Comments 246
Оооо, качественный контент подъехал, подключусь.
Вводные:
- админю vpn для конторы, серваки в европе, сотрудники в РФ
- перепробовал пяток методов и десяток схем
- успешно живём даже в условиях белых списков
Пробовал технологии, рекомендую:
- cbeuw/cloak, поддерживает tcp/udp, хорошая скорость
- trojan-gfw/trojan, работает по tcp, хорошая скорость
- apernet/hysteria, работает по udp, хорошая скорость
- cacggghp/vk-turn-proxy, работает по tcp, на ssh хватает
Пробовал технологии, не рекомендую:
- shadowsocks/outline, палится, банят
- obfs4proxy, палится, банят
- vless, похоже палится, банят
- amnezia, похоже научились детектить
Особое внимание:
- ТСПУ начали поставлять на сети межрегиональных провайдеров, желательно настраивать multihop, чтобы траффик из РФ выходил и шифрованным, и обфусцированным
`client -> vps rf -> vps eu -> vpn`
- желательно не использовать обход блокировок на мобилках одновременно с небезопасными приложениями (макс/яндекс/банки), активно сливают, можно поймать бан на следующий день
- не забываем настраивать split-tunnel, чтобы траффик для отечественных сервисов шёл внутри страны
- РКН чувствителен к портам, для белых списков только 80/443, для обхода блокировок не использовать 1337/1984/3128/8080
- РКН быстро добавляет IP в блэклист сервера за рубежом, и рубит машину в РФ, если спалит
В общем, на данный момент самым живым является схема, когда:
- есть защита от активных проб
- есть валидные tls сертификаты и настоящий веб-сервер, который отвечает
- траффик шифруется лишь 1 раз
- траффик обфусцируется и очень похож на https
- входной и выходной адреса отличаются
- есть резервирование на несколько машин внутри страны
Для корпоративных сетей рекомендую cloak, он позволяет проксировать только то, что нужно обфусцировать, лишних дырок в инфру не нарисуете.
Просто для обхода блокировок trojan/hysteria, работают стабильно, легко настроить на мобилке.
Во-первых спасибо за статью!
Во-вторых:
На домашнем инете чебурнет не наступит
Почему? Я в сетевой архитектуре понимаю на уровне "ну там чёто пакеты... рукопожатия какие-то...", поэтому мне не совсем ясно почему я могу нафильтровать всё в мобильной сети, но не могу по проводам сделать то же самое. Дело в масштабах?
В общем, я тупой, объясните, пожалуйста.
мое мнение
я бы расказал почему только вот говорить о том почему чебурнета на кабельном интернете не будет - отдельный пост на кучу символов
ну если кратко то если изучить законы и все документы за последние пару лет - до 28 года чебурнета на кабелях 100% не будет, после 28 - хз
говорить о том почему чебурнета на кабельном интернете не будет - отдельный пост на кучу символов
Если он будет - с удовольствием почитаем.
Пока поста нет, можно ознакомиться вот с этой новостью. 2028 год — это плановая дата, к которой предполагается подготовить всё необходимое для того, чтобы физически отрезать рунет от мировой сети, превратить его в Кванмён. Из наших с вами налогов на это планируется потратить триллион рублей.
Авральным методом ускорят наступление светлого будущего.
а доля российских процессоров «Эльбрус» и «Байкал» достигнет 50% потребностей критической инфраструктуры
Их же больше не производит TSMC?
так целевые проценты можно достигнуть не только увеличивая количество процессоров Эльбрус но и уменьшая общее количество процессоров в принципе.
У МЦСТ же есть линия для производства по 90 нм техпроцессу? Чтобы читать повестки на госуслугах быстродействия должно хватить.
Чтобы читать повестки на госуслугах быстродействия должно хватить.
Формально, что бы госуслуги заработали на таких слабых процессорах, еще нужно разработчикам платить достойно а не "20т.р. при условии допнагрузки", иначе страничка будет открываться дольше чем длится сессия авторизации.
p.s. Обыватель не сможет приобрести полностью российский компьютер, ни при каких условиях, даже гипотетических, что все воры будут 'расстреляны', а от распилов будет гарантированная защита, экономика в стране не сможет сойтись. Тупо не хватит людей для поддержания на должном уровне.
А тот кто сможет, тому повестку не пришлют.
МЦСТ же есть линия для производства по 90 нм техпроцессу?
Разве? Они же вроде фаблесс, размещают заказы на сторонних фабриках
Википедия говорит, что это завод "Микрон", но уже не TSMC. Хотя мне помнится из прочитанного когда-то, что в начале 2000х Sun передавал им производственную линию под этот техпроцесс в рамках сотрудничества и развития архитектуры SPARC. Возможно, глючит, эффект Манделы :)
Там намного веселее, Байкал выпиливают из ядра linux 7.1. Импортозамещение победило, теперь напишут свое ядро, а потом и полностью свою ось. К 2030 на всех ПК будет.
Закупка топоров, кабели рубить? /s
Несколько месяцев назад у небольшого провайдера домашнего интернета сломался магистральный кабель. Сутки с лишним чинили. После починки несколько часов работали только сайты из "белого списка". Потом заработали и все остальные (ну, кроме тех, что в "черном списке"). Так что технически все уже и так настроено, просто пока что рубильник не включают.
если изучить законы и все документы за последние пару лет - до 28 года чебурнета на кабелях 100% не будет, после 28 - хз
Законы, говорите? Че там по ютубу, законники, хорошо работает?
для кого то видимость все же делают
Доступ к нижеуказанной информации может быть ограничен во внесудебном порядке...
Тык. Такое бинго на ютубе собрать не проблема.
Тут вопросики, доживет ли страна в текущем варианте до 27 года. Как говориться по осени будем смотреть. Это мы тут все такие умные, себе впны понаставили, а большинство народу что смотреть, что слушать, а вакуум рождает еще больший страх и тревожность у них.
За пост спасибо, отличная работа, лишний раз убеждаюсь, что если бы не текущее руководство, то Россия была бы в топе мировых ИТ технологий и российские ИТ компании были бы фаворитами на бирже Nasdaq.
Не были бы. Уже пытались, нас там без смены прописки не ждут. Тот же Яндекс гнали отовсюду кроме совсем маргинальных стран до всей суеты. Стоило Воложу перевезти кусочек Яндекса в другую юрисдикцию, обозвать красиво, по-западному, и вот он уже лутает миллиардные инвестиции.
Все правильно, а что вы хотите от юрисдикции бешеного принтера. Законы летят налево и направо, и частенько не только противоречат друг другу, а еще и Конституции. Не сложно догадаться, что защита прав собственности в такой обстановке становится эфемерным понятием. Именно поэтому западные инвесторы и ждут другую юрисдикцию, это не они такие плохие, это у нас опилками голова полна.
без смены прописки не ждут
Так тогда все меняли на Кипр и отлично работали. А почему? Потому что британское право. Притом что весь Кипр (кроме турецкого) до сих пор, можно сказать, контролируется ex-СССР и совсем чуть британскими военными.
Тот же Яндекс гнали отовсюду
Яндекс же не с какими-то там передовыми технологиями лез в другие страны, а с такси и доставкой. При чем тут IT? Он лез в традиционный бизнес, в аренду, в сферу услуг, в которых решают не технологии, а эффективная финмодель. Причем он лез со своими СНГшными привычками и представлениями о ведении подобного бизнеса в духе "наймем работников за три копейки без оформления".
А вот Волож пришел на рынок с пусть довольно скучными и не вызывающими вау-эффекта, но тем не менее вполне себе высокими технологиями.
И? Где "единороги" и "золотые антилопы"? ;)
Уже смотрели результаты работы его и команды на свободном цивилизованном рынке - всё, что видно - постройка датацентров, набивка их ИИ-модулями, и сдача в аренду. Ну хоть бы Амазон потеснил, или Гугль, или Uber...
В России же получилось почему-то.
Ну так то же самое с Veeam backup, Abbyy, Atomic Heart и ещё десятком других компаний, которым пришлось стать нероссийскими (некоторым ещё до всех событий), чтобы нормально залутать миллирдные и миллионные инвестиции.
Россия была бы в топе мировых ИТ технологий и российские ИТ компании были бы фаворитами на бирже Nasdaq
У какой-нибудь Индии на это гораздо больше шансов.
Будет ну уж слишком сложно подделать такие низкие результаты с одним из худших рейтингов за годы без массового резонанса
А в чем именно сложность конкретно в этот раз?
Безусловно техническая грамотность жителей Питера и Москвы выше среднестатистической по стране. Но не судите о России по Москве. Масса людей в глубинках не настолько хорошо во всем этом разбирается. Сам пост обусловлен сложностями обхода при включение режима БС.
А в целом, я считаю, что ситуация крайне плохая в стране, даже СССР не позволял себе настолько все цензурировать. Когда подвергаются цензуре советские фильмы, произведения Пушкина, то это уже совсем печально, потому что, все мы знаем чем закончил СССР, он просто распался.
На выборах гарантированно нарисуют 120%, потому что другого варианта не будет, механизм давно пошел в разнос.
Я живу в самой что ни на есть дыре и ВПН - массовая фича, даже у людей, которые не знают, как это вообще расшифровывается.
плохая, но почему? почему в нулевый начался рассвет всего, до середины 10х продержался, и стагнация пошла уже видная с 2018-2020 примерно? потом решили что надо СВО и далее уже закономерно понеслась общая дичь.
ведь теперь что-то мало говорят о доступе БПЛА через сотовую связь, а тем не менее БПЛА меньше не стало, потому как изначально не совсем так всё это работало.
потом говорили о мошенниках, мол мы для народа за народ и избавляем вас от мошенников. Тоже результата 0. Ну переехали они дружно в эту маху.
то что сейчас, это симптомы либо клинического идиотизма, либо откровенного саботажа.
Одну маленькую историю расскажу для понимания, как можно угрохать любую тему.
В начале нулевых, была такая мощная контора при МинЮсте РФ - Центр правовой информатизации министерства юстиции РФ. С филиалами по областям. Довелось мне работать в одном филиале. Основное направление, это формирование и сопровождение государственной системы правовых данных "Эталон". (был аналог нынешнего Консультант+ и гарант и тд и тп. даже у ФАПСИ в то время было такое направление) не суть.
И вот в один прекрасный день, по каким-то причинам, убрали в Москве директора этого Центра. И поставили бывшего гинеколога. А он замом себе привёл бывшего уролого. Как вы думаете сколько по инерции продержалась эта система? Точно не помню, но около года.
Я к тому, что мне это всё сегодняшнее напоминает то, вчерашнее. Развал с голов. А дальше как домино посыпалось.
Для вся эта затея? Кому выгодна?
Выборы между чем и чем?
Отлично. На кого текущих менять будем? На аналог "навальнят" которых, дословно: " не пускают к кормушке...". Они будут лучше? Если такие придут мы поимеем 90-е только в ещё худшем формате.
Почему бы и не на них? Эти точно не справляются, на тех посмотрим. Нам нечего терять, но многое можем приобрести. 90-е, которые вы так неосторожно упомянули, буквально сейчас на дворе. Просто развала пока не случилось и мы вошли в них со стороны 1999, а не 1993. Но и идём сейчас не в нулевые. За последние 5-8 лет страна обнулила огромную часть прогресса, достигнутого за первые 20 лет существования РФ и не потерянного за 10 лет застоя
Вы же понимаете, что планка настолько низкая, что можно просто ничего не делать и будет уже намного лучше, чем сейчас? Это я не пошутила, не сострила и не сыронизировала, я говорю абсолютно серьёзно.
я бы расказал почему только вот говорить о том почему чебурнета на кабельном интернете не будет - отдельный пост на кучу символов
Напишите, если не сложно.
да уже сейчас много чего чебурнетится (не открывается), так что 28м годом нас не испугать, но канешна очень печально что ктото за меня решает смотреть ли мне песни на ютубе или не смотреть.
Ага, слышали уже - "обнуления презмдентских сроков не будет, войны не будет, мобилизации не будет, интернета по белым спискам не будет, повышения пенсионного возраста не будет, да и законы этого не позволяют"
Это какие такие особые законы, распространяющиеся на мобильный интернет, но не распространяющиеся на обычный?
Хотя, можешь не отвечать - уж убедительно лить воду, чтобы для обывателя это звучало логично, охранители нашего правительства умеют... но факт есть факт - законов нет. Ты бы ещё конституцию привёл в пример или права человека...
Технически - можете. В чём-то это даже проще: необязательно в правилах географию учитывать, как сейчас с мобильными сетями делают.
Политически - можете не захотеть. Опять же, пока: экстраполяция по прошлым решениям тут не особо надёжна.
Если коротко, у мобилки, куча железа, на каждый чих свое. Поэтому трафик проще бить на классы. Потом они идут в шнурок. А там все в общем потоке, и искать что-то, это как иголку с стогу. Можно взять магнит, а поможет?
Короче, технически сложнее
UPD: ребята, мой сайт шипко.смешные.online теперь в белых списках, не рофл, сами чекните
я бы сказал, что кнопка "next" должна быть над картинкой, а то при переключении она каждый раз оказывается на новом месте
так в этом и прикол, я хочу сделать максимально неюзабельный UX, тут домен кириллицей LOL
Учитесь как нужно делать максимально неюзабельный сайт: https://userinyerface.com/
Надеюсь вы не будите от туда брать идеи :-)
А мне сайт понравился) Только мало картинок в ротации.
Оооо, качественный контент подъехал, подключусь.
Вводные:
- админю vpn для конторы, серваки в европе, сотрудники в РФ
- перепробовал пяток методов и десяток схем
- успешно живём даже в условиях белых списков
Пробовал технологии, рекомендую:
- cbeuw/cloak, поддерживает tcp/udp, хорошая скорость
- trojan-gfw/trojan, работает по tcp, хорошая скорость
- apernet/hysteria, работает по udp, хорошая скорость
- cacggghp/vk-turn-proxy, работает по tcp, на ssh хватает
Пробовал технологии, не рекомендую:
- shadowsocks/outline, палится, банят
- obfs4proxy, палится, банят
- vless, похоже палится, банят
- amnezia, похоже научились детектить
Особое внимание:
- ТСПУ начали поставлять на сети межрегиональных провайдеров, желательно настраивать multihop, чтобы траффик из РФ выходил и шифрованным, и обфусцированным
`client -> vps rf -> vps eu -> vpn`
- желательно не использовать обход блокировок на мобилках одновременно с небезопасными приложениями (макс/яндекс/банки), активно сливают, можно поймать бан на следующий день
- не забываем настраивать split-tunnel, чтобы траффик для отечественных сервисов шёл внутри страны
- РКН чувствителен к портам, для белых списков только 80/443, для обхода блокировок не использовать 1337/1984/3128/8080
- РКН быстро добавляет IP в блэклист сервера за рубежом, и рубит машину в РФ, если спалит
В общем, на данный момент самым живым является схема, когда:
- есть защита от активных проб
- есть валидные tls сертификаты и настоящий веб-сервер, который отвечает
- траффик шифруется лишь 1 раз
- траффик обфусцируется и очень похож на https
- входной и выходной адреса отличаются
- есть резервирование на несколько машин внутри страны
Для корпоративных сетей рекомендую cloak, он позволяет проксировать только то, что нужно обфусцировать, лишних дырок в инфру не нарисуете.
Просто для обхода блокировок trojan/hysteria, работают стабильно, легко настроить на мобилке.
Пару недель назад получил такое же письмо с удалением IP от совершенно нейтральной vps-ки с крутящимся лет 5 как сайтом на пяток sni.
"запрещённых протоколов" ?
Vless на tcp был? А если xhttp?
Остальные протоколы не блокируют? Просто ВПН/прокси светится как новогодняя ёлка мыши симметричным трафиком in/out.
>Просто ВПН/прокси светится как новогодняя ёлка мыши симметричным трафиком in/out.
Ну это скорее про классические туннели openvpn wireguard через которые все гонится..
современыне прокси протоколы нанмого хитрее особенно xhttp имхо
Какая разница какой протокол? Если vps используется как промежуточное звено, то in/out в любом случае будет симметричен.
Пишем скрипт, который по крону качает рандомный "образ линукса" (или кусок от него) в рандомное время на рандомной скорости.
Можно конечно. Тоже об этом думал (в моём регионе пока нет белых списков, но два белых ip на Яндексе на всякий случай держу 🤦♂️). Но это как вешать замок на дверь сарая, у которого нет стены. И выявить ВПН на ноде, и заблокировать её, хостеру труда не составит. Другой вопрос, что им это не нужно, и без нажима со стороны власти они этим заниматься не будут.
Пробовал Hysteria 2 — блокируется даже с обфускацией. А без обфускации это обычный QUIC, который сам по себе в России заблокирован.
И зря вы внесли VLESS в список не рекомендуемых протоколов. Он гибко настраивается, поддерживает много различных параметров и вариантов конфигураций. Учитывая, что у вас работает Trojan, то если одна конфигурация VLESS не сработала, должна завестись другая.
По поводу AmneziaWG: есть вероятность обойти DPI подбором маскировочных параметров I1-I5 под какой-нибудь UDP протокол.
я не понимаю откуда вы и автор статьи взяли "quic в рф блокируется"... протокол не блокируется и белые списки ТСПУ с ним тоже работают
фейки для awg делаются в основном на quic
все в репо olc/twl
по моим сканам Quic не работает на провайдере Т2 и МЕГАФОН, других симок у меня нету
так же на большом количестве провайдероа домашнего тоже не работает Quic
проверьте мегафон ещё раз. нерабочий quic слышал только про теле2, но там странно, на гугл говорят quic проходит.
curl -v --http3-only https://google.com
а ну и ответ про репо просто отличный - там нету ни 1 readme
я непонятно выразился? НЕ-РА-БО-ТА-ЕТ
а для репо и редми не нужен, там кучка файлов где все понятно и по названию LOL
Спасибо что довольно быстро дали понять что с вами не стоит вести диалог, продолжайте в том же духе.
(Свой скрин где quic работает не вижу смысла прикреплять, страшно представить какой будет ответ, это будет явно не извинение и попытка разобраться в ситуации)
ты статью читал? прямо написано
" у всех все по разному - в каждом регионе, районе, и провайдере"
я не знаю зачем ты пытаешься меня задеть пассивной агрессией когда можно вести конструктивный диалог, LULZ
а еще извинись передо мной !
Я пытаюсь вас задеть? Посмотрите на свои посты сначала - в основном насмехание, агрессия, троллинг, и ваш последний ответ никак не помог ситуации. Как бы вы были первым кто испортил мне настроение за вопрос. Прям блин очень, очень жаль что вы оказались таким неприятным человеком. (Могли бы спокойно обсуждать инет цензуру, но у меня больше никаких вопросов нет)
Критику надо принимать как нормальный человек.
Я тоже немного шарю в теме и делился инфой в закрытой теме на ntc, мог бы и с вами, но вы показали себя и больше желания нет.
У меня цель - исследовать инет цензуру, у вас тоже, но в то же самое время еще и показать что самый умный а все остальные тупые, походу.
так нет
твое первое сообщение
"я не понимаю откуда вы и автор статьи взяли "quic в рф блокируется"
в статье прямо написано что я получил это из тестов, ручками, и если вы задали такой вопрос - вы плохо читали статью, это уже LOL. так же это ВООБЩЕ не критика, это тупое отрицание тезиса, который обоснован логами из репо
"проверьте мегафон ещё раз"
зачем ? в репо последнее обновление было на момент коментария пару часов назад, как за пару часов могло чтото изменится
"а ну и ответ про репо просто отличный - там нету ни 1 readme"
вы статью не читали? там прямо написана ссылка на тесты
Свой скрин где quic работает не вижу смысла прикреплять,
зачем мне твой скрин где у тебя работает QUIC если я прямо пишу в статье что у кого то это работает а у кого то нет, это полный бред, я просто не понимаю как можно быть таким тугим
в итоге - вы не прочитали статью, не почитали репо. а виноват тут я ?
кстати, вы дали curl к домену гугла которого нету в бс, как по вашему я бы его потестил? иза вас мне пришлось тратить свое время на то чтобы вернутся в репо и найти домен который пропускает QUIC
ты представь как тяжело мейнтейнить список айпи и тестов подсетей из бс бесплатно так тебе еще пишет десятки технически не квал пользователей типо тебя с аргументами "а вот у меня работает" обвиняя тебя в техническом непрофессионализме ( а спор начался именно с того что QUIC не работает, а у вас работает... что очень странно как аргумент к спору ведь в статье прямо написано что ситуация у всех разная )
сходи в гугл и посмотри как много людей с неработающим QUIC.
и я не спорю что где то работает QUIC, потому что я прямо так и написал в статье, что у кого то работает а у кого то нет
ты представь как тяжело общаться когда каждый ответ - насмешка. это была основная моя претензия.
перепроверки никому ещё не мешали, они иногда могут найти ошибки, прикинь?
и ожидать от читателя чтобы он помнил каждое слово из огромной статьи это мощно...
"не спорю что где то работает QUIC, потому что я прямо так и написал в статье " идеальный ответ на котором всё и должно было закончиться.
мой ответ в основном был на "обычный QUIC, который сам по себе в России заблокирован." что не является правдой.
перепроверки никому ещё не мешали, они иногда могут найти ошибки, прикинь?
не спорю, только вот ты скинул мне нерабочую команду для проверки, lol
идеальный ответ на котором всё и должно было закончиться
я просто не ожидал что ты буквально статью не читал
"обычный QUIC, который сам по себе в России заблокирован." что не является правдой.
я не делал такого заявления BTW
да и я не сказал бы что это что не является правдой
почему ? вот
но в посте я писал прямо что у всех все по разному, в конце концов перед тем как упомянуть меня тебе просто стоило прочитать статью
тоесть твое утверждения
QUIC работает в рф, его никто не блокировал
тоже лож, хотя я такого заявления не делал, мое заявление "QUIC у кого то работает а у кого то нет, у меня не работает,"
кароче, статью почитай и извинись
"просто не ожидал что ты буквально статью не читал" - я ошибся и написал лишнее "вы и автор статьи", и ты продолжаешь эту мелкую ошибку раздувать, хотя всё уже абсолютно очевидно
"я не делал такого заявления BTW" - ты буквально не читал самый первый коммент с которого всё началось, цитата именно оттуда и скопирована без изменений.
не вижу смысла писать больше и не понимаю куда ты продолжаешь, тема уже закрыта несколько сообщений назад.
а хотя вижу зачем это всё, просто продолжается трололо... (ты уже специально мои слова изменяешь походу, а ещё очень беспокоишься о потраченом времени но продолжаешь эту бессмыслицу)
где я менял твои слова?
а так да, если бы ns почитал статью то ns бы не упоминал меня.
просто проблема в том что если я не разрешу все тут - тот кто читает эту ветку коментариев очень сильно запутается
так же на тему "QUIC не заблокирован в рф" я прикрепил скрины и собственные тесты
( у меня QUIC не работает, по этому заявление "QUIC не заблокирован в рф" является ложью, правильнее сказать "он у кого то работает а у кого то нет" )
"ты буквально не читал самый первый коммент с которого всё началось, цитата именно оттуда и скопирована без изменений."
это тут каким боком ? я его прочитал -> заметил то что ты упомянул тут меня хотя я таких заявлений не делал, ты не мог просто случайно промахнутся по клавише и написать "автор статьи"
ты переобуваешься уже какой раз, тебе сложно просто закончить генерировать оправдания и перестать мне отвечать?
у меня QUIC не работает, по этому заявление “QUIC не заблокирован в рф” является ложью
Cправедливости говоря - нет. “QUIC работает стабильно в РФ” - ложь, “QUIC не заблокирован” - добросовестное заблуждение (потому что человек вполне может считать, что он сам по себе не заблокирован, а заблокировано что-то другое, что ломает и его тоже).
.
Одно время зарубежный QUIC блокировался, по крайней мере, на некоторых провайдерах. То есть решение не самое надёжное.
- vless, похоже палится, банят
дичь
Хм. Дичь или нет, не знаю. Я ненастоящий сварщик, если что.
Домашний провайдер и рабочий провайдер, разные. Сервер с vless, работает нормально. Throne (Windows).
Мобильный интернет: Т2, тот же сервер - какое-то время работал, теперь нет коннекта. Недели две как. Соединение по 443 просто повисает и отваливается по тайм-ауту, при этом по SSH доступ до сервера есть. То же на Мегафон. То же у коллеги на МТС. Клиент X2rayNG.
И даже если вырубить мобильный интернет и подключаться через домашний Wi-Fi, картина не меняется, что для меня прямо загадка. Пока решил на мобильном другим клиентом и протоколом на другом сервере.
Все это в С-Петербурге.
Пробовали менять порт? У меня была похожая ситуация, помогла смена порта, причём в диапазоне до 1024 (выше ни один порт тоже не работал).
Скорее проблема не в протоколе, а в окружении, т.у у меня МТС и я в Санкт-Петербурге и VLESS работает нормально. Возможно это локальные особенности операторов связи на разных локациях одного города, что, как по мне, мало вероятно, т.к магистраль явно не у каждой вышки, но утверждать не буду - не изучал данный вопрос.
Ну и ещё вероятно проблема в конфигурации серверов XRay.
Я когда пробовал через личные VPS использовать VLESS, они работали в среднем минут по 10 и улетали в жесточайший бан, благо оплата у того оператора посекундная - приходилось удалять VPS и разворачивать заново (чтобы сменился IP). Потом перешёл на амнезию, уже второй месяц работает стабильно. Но я и трафика создаю мало - через эту "дырочку" только ТГ, да ВА ходят.
P.S.: Да, vless я настраивал не сам - использовал преднастроенный от оператора, только sni на yastatic.ru менял, но и амнезию ставил "из коробки" (автонастройка из клиента).
У меня года полтора был настроен VLESS через TCP, с 01.04.2026 перестал работать. Может SNI перестал нравиться, может транспорт детектить научились. Перенастроил через XHTTP - полёт нормальный
>vless, похоже палится, банят
Не знаю.. у меня несколкьо лет уже стоят сервера для близих и друзей. ничего не палится.. может настройки виноваты? Или самый простой вариант- просто смотрят какие IP используют продаваны (триалы,пробные закупки) и прилетает бан...
vless, похоже палится, банят
VLESS не палится напрямую примерно никак, если вы настроили нормально, а не тяп-ляп с dest на yahoo.com:443. Хотя, судя по вашему бекграунду, и не должны (возможно, только в самом начале пути, как я когда-то)... Попробуйте ещё раз, дайте ему шанс. Особенно с xHTTP он очень хорош.
Гайд как настроить правильно - в студию.
Буду рад научиться, тяп-ляп я и сам могу.
Вопрос правильный. Пока что отвечу как есть: гайдов не читал, всему учился непрерывно в течение 4 лет и продолжаю учиться пятый год сам, крутясь-вертясь в соответствующих чатах Telegram. В итоге сам научился строить цепочки, где каждый этап связи между юзером и сервером, между сервером и сервером работает через этот сетевой стек, настроенный через панель Remnawave (это не обязательное условие, просто через неё удобно):
XRay/VLESS/XTLS-Reality/TCP/self-steal
или XRay/VLESS/XTLS-Reality/xHTTP/self-steal
И пока работает безотказно.
Если найду готовый гайд, скину, конечно.
А почему именно self-steal? Я так понимаю это когда в dest свой же домен, и сертификат отдает nginx? Чем такой конфиг лучше Reality/TCP/TLS?
Я так понимаю это когда в dest свой же домен, и сертификат отдает nginx?
Да.
А почему именно self-steal?
Потому что, опираясь на популярные крупные домены (особенно на подконтрольные государству домены верхнего уровня), есть неиллюзорный риск дать понять регулятору, что перед ним фейк.
У товарища майора есть список IP-адресов условного MAX.ru, и он точно знает, что AS'ке, в которой вы хоститесь, его быть не может, а открывается именно этот сайт. Бан. Точно так же он может быть уверен, что и yahoo.com с microsoft.com там не будет - тоже бан. Аналогичная логика прослеживается и для всех других крупных доменов.
self-steal (рус. самоворовство) снижает эту вероятность - при обращении к домену открывается лично ваш сайт, он мелкий, про него ничего непонятно, ну и пусть живёт.
Чем такой конфиг лучше Reality/TCP/TLS?
Не совсем так. Reality может отдавать как microsoft.com, так и ваш сайт, который лежит тут же рядом (получается self-steal). То есть чтобы превратить Reality, который проксирует крупный сайт, на самоворовство, нужно всего лишь "dest": "microsoft.com:443" заменить на "dest": "nginx:8081", где nginx:8081 - это локальный NGINX, развернутый на порту 8081, к примеру. Вот и всё отличие. Я тоже раньше ошибочно думал, что XTLS-Vision - для self-steal, а XTLS-Reality - для SNI yahoo.com, но оказалось, что Reality умеет и самоворовство, это у меня в голове неверное видение сложилось.
Спасибо за развернутый ответ. Про риски несоответствия SNI - IP понятно. Вопрос имеет ли Reality (self-steal) преимущества перед TLS. И тот и другой вариант отдают ваш собственный домен с валидным сертификатом. Но как будто TLS проще, т.к. не нужен nginx. Для наглядности два примера конфига:
Reality + self steal:
TLS, отдаваемый самим Xray:
Напишите статью про свой опыт, а то вам карму больше нельзя плюсовать (
Специально для тебя
https://habr.com/ru/articles/1027990/
Пробовал технологии
А на фоне столь обширного опыта, не могли бы вы посоветовать вариант, который потребляет минимальный объём памяти, и его можно запустить в 128 или максимум 256 МБ RAM?
Полагаю, что тут нужно что-то типа HTTPS proxy, но готов изучать и другие опции.
Всё зависит от количества клиентов и траффика. Чем их больше, тем жирнее потребление.
Глянул на свой сервак, методы обфускации жрут ~150mb (все сразу) на пару десятков клиентов. OpenVPN поджирает ещё ~100mb.
Чисто теоретически - получится запустить. Но будет ли это работать сложно сказать. Тут только практика
Смотря сколько пользователей одновременно вы хотите обслуживать и есть ли какие-то дополнительные требования. На несколько пользователей и обычный XRay без проблем влезает в 128 мегабайт, если не использовать XHTTP (он жручий), отключить sniffing и подкрутить GOGC.
Я так понимаю, пора включать "матрёшку" с "кузнечиком" на верхнем уровне.
А кем запрещено ?
- amnezia, похоже научились детектить
Научились, но вторая версия протокола работает. Первую тоже можно обфусцировать, чтобы работала.
vless, похоже палится, банят
Вы что-то делаете не так, раз у вас работает Trojan, но не работает VLESS. Они внутри очень похожи, vless это trojan на стероидах.
cbeuw/cloak
аналогично, Cloak это почти тот же Reality в другой обертке
amnezia, похоже научились детектить
Amnezia использует много разных протоколов, стоило бы уточнять, про какой речь
Вы упомянули что cloak работает но при этом vless детектят. В теории же можно запихать vless-ку в cloak, будут ли тогда детектить?
Залогинился исключительно что бы поддержать автора) статья отличная .. Работа проделана большая ..так что спасибо )
Спасибо за статью и спасибо за комментарии)
Спасибо!
Вопрос: почему такая низкая скорость через WebRTC? Видеотрафик с variable bitrate идет до 14 Мбит/с
Cloudflare нужно полностью перейти на ech, тогда на некоторое время РКН что-то продолжит блокировать, но быстро откатит блокировку ech как только дойдёт, что отвалилось буквально всё. Пару недель cloudflare обойдется и полностью без трафика из РФ, раз уж тренд на полную блокировку и так наметился.
РКН и так уже блокирует Cloudflare без тени смущения.
ECH уже 1-2 года как блокируется. Помогало выключать ECH через API Cloudflare. Потом РКН начал обрубать коннекты после отдачи нескольких килобайт, что выглядит как долгое открытие сайта в итоге белая страница.
/как только дойдёт, что отвалилось буквально всё./
извините...так уже ведь
https://pastebin.com/j5m8DsRY
А что в этой таблице означает столбец "Статус": DETECTED / OK?
Т.е. что именно детектится при проверке, как я понимаю, диапазонов айпи?
detected = заблокировано, at 16kb = 16кб блокировка на тспу. прога https://github.com/Runnin4ik/dpi-detector
про 16кб блок у меня самая первая статья
Чуть ниже ответили. Это детектор замедления по айпи хостеров зарубежных и cdn. Соответственно миллионыресурсов просто не рсботают без какого-либо типа обхода
Что сейчас советуют использовать, если сайт на hetzner, и CF блокируется ? Только поднимать VPS в РФ для проксирования web-трафика ?
можно пожаловаться инет провайдеру, они могут написать в ркн и sni добавят в белый список тспу, после этого на большинстве провайдеров инета сайт начнёт работать
А можно где-то конкретную процедуру по этому процессу почитать? Последний раз, когда звонил с подобным в контору солнышек Ростелеком, суть разговора свелась к:
- У вас яндекс и ВК открывается?
- Да, но проблема не в этом
- Значит интернет работает и мы вам ничем помочь не можем, до свидания (гудки)
Аналогичная история: была блокировка по ip, который чистый и sni чистый, пришлось оперативно добавлять резервный ip (причем получился из +/- того же пула /22 и заработало).
Обращение к РТКМ по телефону не дало ничего абсолютно, написал им в какой-то там отдел и через пару дней стали пропускать трафф на нужный адрес.
Но вообще, это дичь какая-то: они что там, ручками добавляют отдельные адреса/sni в не-заблокированные списки? Вопрос риторический =)
А ничего что на мобильном интернете уже полтора года непрерывно половина интернета под 16 кб блокировкой, а иногда и на проводе включают на месяц-другой?
ECH заблокировали ещё несколько лет назад. Нет разве?
С подключением, РКН давно уже режет ECH и применяет 16кб-блок в сторону его подсетей
Cloudflare нужно полностью перейти на ech,
Нельзя, он в Англии запрещён. Буржуи перенимают опыт опережающими темпами.
Мегафон, домашний интернет - ни один сайт через cloudflare не открывается в принципе. Вернее, ни один сайт, про который мне известно, что он на cf. То есть действительно отвалилась огромная часть интернета и ничего нельзя с этим сделать напрямую
а для 3 способа обязательно домен делегировать на cloudflare? по идее ж с любым так можно сделать или я чего то упускаю?
--вы находитесь здесь--
На домашнем инете чебурнет не наступит
"На домашнем интернете чебурнет не наступит", ага, как же. Уже выборочно тестируют, к концу 2026 гарантом весь интернет будет фулл по белым списочкам по северокорейскому сценарию. А за статью спасибо.
Попробовал через calls.vk.com стримить десктоп используя софтовую вебкамеру video4linux + ffmpeg (т.е не через отдельную кнопку "показать экран") - качество картинки такое себе получается, очень размытый рабочий стол. через max и телемост пока не пробовал
UP: Я знаю, что у вас написано про DC
Я тестировал (если уберут DC), чтобы выглядело максимально правдоподобно и получилось не очень, серверы vk очень сильно пережимают видео поток
Был проездом в Казани. Зарубежный интернет в отеле через любой прокси работал намного медленнее российского. В Москве такой разницы нет. Так что можно не вводить БС на стационарном, а просто сильно деградировать трансграничные каналы.
Тогда номинально вроде все работает через VPN, но на модемной скорости.
просто сильно деградировать трансграничные каналы
Их уже частично деградируют - попробуйте по ssh (scp) что-нибудь больше 10 МБ скачать - первые мегабайты скачиваются на полной скорости, а потом резкое падение до 64 кбит/с. Бесит неимоверно.
Возможно, это локальные особенности провайдера, потому что у себя такого не замечала. 400-500 мбит/с даёт. Хотя через сам впн сайты всегда медленнее открываются, но это не проблема канала, в Москве у меня то же самое
Ждет способы "отравления" трафика для перегрузки ТСПУ, или для "ошибочного" добавления разрешенных ресурсов в BL, там где это происходит автоматически.
а что если всем слать пакеты маленьких размеров? менять mss на меньшее, но тут скорее провайдер взвоет и отключит кабель клиента) отравлением трафика это не назвать, а вот перегрузить всем оборудование легко 😁
С учетом, что по логам "виновника торжества" найдут мгновенно, то подходящую статью ГК/УК быстро обкатают в правоприменительной практике.
Это я к тому, что выбираемые методы не должны привлекать внимание "санитаров".
273 п.3 (повлекшие тяжкие последствия) УК РФ вообще легко подходит. Лишение свободы до 7 лет.
Под тяжкими последствиями как квалифицирующим признаком в статьях 272 - 274.1 УК РФ следует понимать, в частности, длительную приостановку или нарушение работы предприятия, учреждения или организации, получение доступа к информации, составляющей охраняемую законом тайну, предоставление к ней доступа неограниченному кругу лиц, причинение по неосторожности смерти, тяжкого вреда здоровью хотя бы одному человеку и т.п.
"Ответ" от Telegram - TTL 62. Два хопа. Не может сервер Телеграма быть так близко.
Значит никакого ответа от Телеграма не было. Ответ сгенерировало устройство которое стоит прямо у оператора, сразу за первым роутером:
[Ты] → [роутер оператора] → [ТСПУ] → [интернет]
Такое возможно только в том случае, если у ТСПУ есть приватные ключи Телеграма чтоб пройти TLS handshake. Ну или это часть "сопротивления" телеги, когда они отдают TTL 62 и это как-то влияет на то, будет трафик резаться, или нет.
Спасибо автору за статью!
Сохраните себе статью, чтобы она сохранилась. Так как подобные статьи нередко блокируют.
Ещё из любопытного, заблокированные ресурсы работают в роуминге с иностранных симок. Во всяком случае узбекские симки в роуминге спокойно открывают всякие нельзяграмы. Баг это или фича, продолжат ли работать в белых списках и работает ли везде - это не понятно
Да, тоже слышал что люди пользуются esim других стран. РКН пытается следить только за россиянами, а иностранцы в России не интересуют.
Как я понимаю, роуминг - это фактически VPN до провайдера, выпустившего симку, доступа к расшифрованному трафику у ТСПУ нет. Можно только полностью роуминг блокировать. Но я думаю это тоже сделают.
Там зависит от: https://www.gazeta.ru/tech/news/2026/04/03/28195987.shtml
Как узнать заранее будет “Local Breakout” или “S8 Home Routing” (нужен второй) - вот главный вопрос.
При белых списках иностранные Sim-карты либо совсем не подключаются к сети оператора, либо таки подключаются, но интернет-данные не передают. Даже DNS-запросы и белосписочные ресурсы не работают. Таков был мой опыт, во всяком случае.
Еще из интересного: один период времени (лето 2025) часть иностранных Sim-карт переставали работать даже в условиях без белых списков. Сами провайдеры тогда писали, что роуминг в РФ временно может быть недоступен. Потом это починили, но что это было я так и не понял…
В общем, не очень надежный это вариант(
В сентябре прошлого года у меня зарубежная физическая сим вообще не подключалась к сети. Потом стала подключаться (спустя недели 2), но даже смс не приходили. Поддержка оператора (зарубежного) заявила, что блокировка идет со стороны наших операторов. Наши операторы, только развели руками и сказали, что ничего не знают :D
Там два типа роуминга
В Китае трэвел симки, которые часто являются гонконгскими симками, не подвержены их фаерволу. Гиды, которые продают физические симки, явно говорят, что это гонконгские симки. Непонятно на сколько это официально разрешено, но этим пользуется каждый первый, мне кажется, турист, который туда едет. Жалко, что у нас нет такого Гонконга)
Это штатная фича.
Роуминг бывает Home Routing и Local Breakout. Обычно (не обязательно!) делают первое и в результате - при допустим использовании мегафона вне России - будет цензура роскомнадзора.
Другое дело что для заявленных целей белых списков логично либо принудительно local breakout делать (и сказать что власти требуют) или рубить нафиг роуминг но вот этого НЕ делают (как минимум в Омске). Ну и как результат - если есть желание - можно иметь eSIM с оплатой СБП (именно QR а не переводами) на русском и интернетом за примерно 160 рублей за гигабайт. Роуминговую (определяется Польша).
Вообще - пониманию вот таких ньюансов работы сотовых сетей мне помогла книжка Martin Sauter From GSM to LTE-Advanced Pro and 5G: An Introduction to Mobile Networks and Mobile Broadband (ну и ее ранние издания). Можно купить в Google Play, Amazon Kindle.(можно даже d Litres'е но - там нескачиваемый PDF). Старые издания на рутрекере есть. Новые на z-library. на flibust'е сейчас нет в том числе потому что залить туда большой файл немного сложно.
Обзор на обходы блокировок и даже не нейрослоп? Невероятно, спасибо, автор
От себя могу добавить, что VK Cloud начали агрессивно лочить аккаунты физлиц даже если не перебрать IP адреса и не заниматься обходом блокировок вовсе(
Поэтому у меня есть предположение, что их возможности «палить обходы» несколько переоценены и критерии для блокировок у белосписочных хостингов куда более простые
Печать, сохранить как PDF...
Прискорбно видеть, во что скатывается моя страна... И главное, что творят "Коллеги-Менгеле"-инженеры из РКН, причем смотря на развитие ТСПУ, приходит понимание, что ещё и очень продвинутые инженеры среди них есть, помимо полных неучей...А ещё не лучше есть инженеры и в ВК, Яндексе, куче банков, которые строят стену из кирпича вокруг себя, своей семьи, и нас, своими собственными руками, подобно Волку из "Ну, погоди!". Это уже начинает напоминать документалки о работниках конц.лагерей 20 века... И какое решение предлагает общество? Борьба с доступом..., все что угодно, лишь бы не вспоминать о старой, давно забытой, золотой табакерке...
давно забытой, золотой табакерке...
Ну, во-первых, с курением и его пропагандой борются, ЕВПОЧЯ. Причем иногда даже там, где никаких курильщиков и не было. Звездочки сами себя не получат.
А во-вторых, если короля играет свита, то табакерок не напасешься.
Пока не дошло буквально до каждого, - игнор, саботаж, итальянская забастовка.
А вообще - давно что-то "Лебединое озеро" не показывали...
Чистое ИМХО.
Больше всего в этой игре абсурдности меня забавляет защита детей от публичного употребления пива мужиками на лавке. Распитие алкоголя в публичных местах запрещено, но если бутылка в бумажном пакете, то якобы можно. Если до запрета непонятно было что в руке, пиво или буратино, то теперь если бутылка в бумажном пакете, то точно пиво. Второй момент, лично мне, как и наверное всем детям без разницы что пьют на лавочке мужики, главное, что бы вели себя культурно и не приставали к окружающим.
Я в детстве с большим удовольствием прочитал Артура Конан Дойла и несколько раз пересматривал советскую экранизацию, и что, тут же побежал за папироской? Разве есть какие-то исследования подтверждающие что папироска в кадре рождает желание курить? На мой взгляд, достаточно в само начале фильма просто сказать, не курите, это плохо, но если вы Уинстон Черчилль, то можете еще и коньяк литрами пить.
Не запомнил, к сожалению, название сериала, про маньяка что-то очередное. В начале каждой серии было что-то вроде "не рекомендуется для просмотра детям до ..., так как присутствуют сцены курения". Я невольно расхохотался. То есть кровища и убийства - бог с ними, но вот курение...
Распитие алкоголя в публичных местах запрещено, но если бутылка в бумажном пакете, то якобы можно.
Вот кстати интересный юридический нюанс. А распивать воду в бутылке из под водки в общественном месте можно?
А распивать воду в бутылке из под водки в общественном месте можно?
Теоретически да, закон не запрещает, поскольку вода не является спиртным напитком. Практически может подойти патруль и попросить дать понюхать.
Юридического нюанса в данной ситуации нету. Отталкиваемся от формулировки [Ст. 20.20 КоАП РФ] (Распитие): Употребление пива, вина, водки и других алкогольных напитков в запрещенных местах влечет штраф от 500 до 1500 рублей. Алкогольный напиток это жидкость с содержанием этилового спирта. Неважно в каком виде и с какой тары происходит употребление, важен сам факт. Т.е. употребление обычной воды из бутылки с этикеткой на которой, например, написано пиво не образует состав правонарушения, но есть одно но.
Если проходящие сотрудники заметят сей пранк, то запросто могут квалифицировать действия как мелкое хулиганство, которое выразилось в явном неуважение к обществу, причем действия носят провокационный характер в отношение сотрудников полиции.
действия носят провокационный характер в отношение сотрудников полиции.
Можно ли считать публичное распитие пива “Степан Разин” и “Емельян Пугачёв” как призыв к народному бунту?
:-)
Помню, лет 20 назад водочная марка "Урожай" выпустила бутилированную воду в своих фирменных бутылках с тем же дизайном, только в надписи "Водка" одну букву убрали... ну, мы с коллегами решили устроить пранк - поставили на самом видном месте в кабинете сей сосуд, предварительно отпив около половины, и когда нас навестил кто-то из директоров, буквально через минуту после его ухода пришла охрана... но повезло - пранк был воспринят благосклонно.
А вообще - давно что-то “Лебединое озеро” не показывали…
В танце участвуют четыре лебедя. Значит какой-то из лебедей ещё не прилетел.
:-)
Классная статья, благодарю!
Где можно более подробно с примерами почитать за 2й метод обхода через Yandex Cloud Functions? На вид должно стабильно работать, но совсем не понятно как именно это настраивать и как пусть трафик с телефона в этот VPN.
нигде, olc пока что первые кто вообще на тему бс опубликовал чтото больше пару слов, попросите нейронку или подождите когда придут дожоры и напишут мануалы
На одном из форумов нашлось такое:
https://github.com/noiseonwires/yac-ws-bridge (Yandex Cloud Functions websocket tunnel/proxy)
там один из вариантов не требует никакой дополнительной настройки на телефоне (можно использовать любой XRay/Singbox клиент), но работает отвратительно, и есть другой вариант где надо на телефоне или компе запустить дополнительное приложение (они его назвали «адаптер»), и Xray коннектится к нему на 127.0.0.1, оно работает ощутимо быстрее.
в общем мегафон - тариф 0, и пользоваться только как звонилка, как только бабло у них упадет, включат моск.
У меня не открывались через мобильную сеть никакие адреса, даже так называемые белые списки. Позвонил оператору и сообщил что добавит в белые списки и попросил перезагрузить телефон на 3-5 минут. Оператор билайн. Как можно интерпретировать данный случай, типа холопам (Не Москва, СПБ, Казань, но Татарстан) отключим всё что бы лишний раз не грузили ничего?
1 уровень (обязательный) - max.ru. Всегда в БС. У всех. Везде. Этот мессенджер можно даже не проверять - он работает всегда.
Так дойдёт до того что VPN будут поднимать через МАКС, со стеганографией через сгенерированные АИ картинки котиков, благо там запросто можно запихнуть гораздо больше данных чем в классических вариантах.
Подскажите идею для сайта заглушки для vless. Что-то все что делаю палится нейронной как шаблонный сайт, даже если там одна страница логина.
У вас в сравнительной таблице Yandex Functions или API Gateway написано бесплатно. Но ведь нужен VPS и домен. Поправьте пожалуйста.
После того, как домен будет настроен на шлюзу, получается можно любой протокол для ВПН использовать с этим доменом и будет работать в белом списке? Понятно, что здесь нужен домен, но можно ли без домена обойтись вообще похожим каким-нибудь путём? Был бы благодарен, если бы более подробнее расписали про этот метод.
домен не обязательно
впн не обязательно, для функций и апи гетвай можно проксировать готовые сервисы.
все что я могу сказать - заверните vless в wss и используйте wss эндпоинт
если нет домена то думаю все понятно, там есть готовая ссылка вида apigw.yandexcloud.net
а больше информации я не хочу делать, пусть это сделают всякие дожоры.
ну просто статья хайпанула меньше чем я ожидал и не окупилась можно сказать, так что думайте сами
сравнительной таблице Yandex Functions или API Gateway написано бесплатно. Но ведь нужен VPS и домен. Поправьте пожалуйста.
Для Serverless Functions не нужен домен, а VPS для «приземления» пойдет самый простой копеечный заграничный за 1$ в месяц.
получается можно любой протокол для ВПН использовать с этим доменом и будет работать в белом списке
Протокол должен работать поверх HTTP/HTTPS, у Яндекса шлюз очень капризный, например через него практически не пролетает даже XHTTP в режиме packet-up, но зато разрешены вебсокеты. На одном из форумов нашлось вот такое: https://github.com/noiseonwires/yac-ws-bridge (Yandex Cloud Functions websocket tunnel/proxy)
На домашнем инете чебурнет не наступит, БС
А что помешает их включить?
если ip-адрес в белом списке то работает всё
Откуда эта информация? Мы точно говорим об одних и тех же белых списках, или есть еще какие-то "более белые" списки, где все работает так, как вы описали?
"если ip-адрес в белом списке то работает всё"
нет, у меня не работает vless с неверным SNI, WG, и 53 порт с протоколом QUIC и всем UDP по мимо DNS, в зависимости от провайдеров ситуация меняется но у меня Т2 и Мегафон и все так как описано в статье.
выяснилось что сбер приложение не работает при белых списках
он не работает на: МЕГАФОН МТС ЙОТА Т2, ну около недели назад спрашивал в чате olc, не работало.
так что не стоит принимать за "пробелы" различия в поведении бс, да и логи каждой команды у меня есть в репозитории, так что это не субьективное мнение а факты
[Ты] → [роутер оператора] → [ТСПУ] → [интернет]
По технологическим условиям установки ТСПУ это не так. ТСПУ ставится между основным исходящим роутером и абонентом (или между nat farm и абонентом). То есть трафик сначала попадает на тспу, так что оно знает исходящие адреса. Это важно.
понятно спасибо, в статье упрощение просто
Как будто бы роутеров у операторов может быть много, а выходов в интернет мало. Поэтому концептуально скорее всего "→" правильные. ИМХО
Думаю что более корректно так:
[Ты] → [BRAS оператора] → [ТСПУ] → [роутер оператора] →[интернет]
ТCПУ должны стоять после терминации абонентской сессии, но до NAT.
Какелские зарубежные симки не банят и бпла летят по рфии а обычным юзверям жизнь портят
Отдельная история с DNS у МЕГАФОНА
В первые месяцы работы БС был доступен Yandex DNS по DNS-over-TLS. Теперь, как я понимаю, подключение к нему только по незашифрованному каналу, никаких HTTPS и TLS
Я вообще не специалист, поэтому не понятно, но интересно, как так происходит?
В семье есть 2 номера одного провайдера. Находились в одной комнате, в паре метров друг от друга, на одном номере при выходе в мобильный интернет доступны только белые списки, а на втором никаких ограничений - все сайты работают (ну кроме чёрного списка).
Или такой случай. Раздали через точку доступа мобильный интернет на ноутбук. На телефоне интернет вдруг перестал работать (блок из-за бесплатной атаки), на ноутбуке соответственно тоже. Но при этом ВК работал на ноуте, а на телефоне, с которого раздача, - нет. Это как, почему?
> И опять - это зависит от провайдера. У разных операторов разные правила.
Встречал комменты с что в отдельных местах в БС включены букмекеры и тп тд
сегодня интернет в ЕКБ штормило в период с 10 по 12 минимум, а фонбет открывался исправно.
Реально или миф?
На мой взгляд ситуация близка к катастрофе для разработчиков ПО. Я не могу скомпилировать половину нужных мне пакетов, из популярных зарубежных репозиториев кода. На домашнем Интернете. Простой пример, даже FFmpeg нормально не компилируется по скрипту BtbN. Обязательно найдется 2-3 библиотеки, которые блокируются на скачивание. ComfyUI не компилируется (опять проблема со скачиванием зависимостей) - пришлось искать готовую portable сборку. Automatic1111 не компилируется (тоже самое). Что хуже блокировки идут и с этой и с той стороны.
Причем у разных провайдеров - разные адреса блокируются.
Через Дом.ру ИИ модели с HuggingFace часто не скачиваются, приходится по несколько раз пробовать и в разное время.
Странно, что разработчики ПО не могут включить КВН, когда возникает необходимость.
Я могу согласиться, что «ситуация близка к катастрофе», но не в узкой сфере (для разработчиков ПО), а глобально, это не только блокировки интернета.
Ничего, что трах*ют в ж*пу, вазилинчиком смазал, отмучился раз в неделю и гуляй себе свободно.
Ситуация не близка к катастрофе, а уже катастрофическая (дальше только - "сделать в принципе уже ничего нельзя"). Проводной интернет работает лучше мобильного не потому что правило такое, а потому что пока мощностей и денег на поломку всего интернета не хватает (следующая итерация - vps-ки провайдеров, их интернет тоже сломают). Не вижу никаких предпосылок что его не будут ломать.
Те у кого в силу обстоятельств есть только мобильный интернет уже ощутили на сколько интернет уже сломан, vpn не заработает, а те что заработают будут стоить дорого и будут медленными...
Почувствуйте себя разработчиком в нынешних реалиях. Что такое установить пакет зависимостей cuda и nvidia, это 5-10гигабайт загрузок, утилиты не очень дружественные (их не пишут с оглядкой на чебурнет), в разных ситуациях версии разные (т.е. для другой задачи снова загружать, особенно если хочешь новые технологии), скорости с обоих сторон лимитированы, 100-200кб, где то можно схитрить и распараллелить, где то обойти, найдя кеш у китайцев,.. то что я раньше делал за минуты, запуская docker, теперь растягивается на часы, сложным пайплайном и рукошевелениями, кошмар, последний раз я заставил это решать ИИ агента, потому что ну уже за гранью разумного.
Уже плохо то, что разработчикам ПО вынуждено приходится использовать КВН. Вторая проблема - КВН работает ненадежно, сегодня работает - завтра не работает, нужно искать другой или другие настройки. Все это лишний стресс и трата времени. Но самое страшное - риск полной блокировки КВН, например через "белые списки" зарубежных сайтов, которые работают (скажем сервера Google, Apple, Microsoft). Либо очень дорогая плата за зарубежный трафик. Как строить бизнес в ПО, строить какие-то планы на год вперед, если условно завтра зарубежный Интернет отвалится...
http://zalupavpn.dpdns.org/
на этом, я чуть не упал со стула от смеха.
Интересно, а когда Илон Маск включит свой Старлинк и на Россию, что они будут делать? Это же сколько бабок на ветер?
Объявят ввоз, продажу и использование терминалов незаконными - цена на черном рынке очень сильно вырастет. Потом поймают несколько бедолаг, спалившихся по неосторожности (провокация с контрольной закупкой или соседям проговорился и они донос написали), показательно осудят несколько человек на реальные сроки - и после этого количество желающих рискнуть резко поубавится.
Объявят ввоз, продажу и использование терминалов незаконными - цена на черном рынке очень сильно вырастет
А их уже можно легально ввозить? не, то что их реально купить уже в РФ - я знаю.
Использование оборудования Starlink на территории России влечет за собой административную ответственность. Согласно ст. 13.4 КоАП РФ, эксплуатация незарегистрированных радиосредств наказывается штрафом в размере 3 000–4 500 ₽ для физических лиц с возможной конфискацией оборудования.
Кроме того, Роскомнадзор отслеживает нелегальные спутниковые сигналы; по приказу № 51 данные о "нетипичных" устройствах могут передаваться операторами в соответствующие органы. При импорте оборудования возможна даже уголовная ответственность за обход санкций.
Вот буквально на следующий день после Вашего комментария: "С 1 мая 2026 года в России официально запрещен ввоз спутниковых терминалов Starlink и других иностранных средств связи, работающих с зарубежными спутниками, согласно постановлению Правительства РФ от 29.04.2026. "
Все уже предусмотрели:
https://habr.com/ru/articles/1027868
Timeweb можно вычеркивать, если только не планируете multihop делать. Их колбасит уже месяц, ТСПУ, видимо, подъехало. Сначала ТГ вылетел полностью, потом вернулся, но без IPv6. По IPv4 то есть, то нету. Народ кинулся на локации в Европе, а там быстренько взвинтили ценник для них.
Вчера исчез доступ к подсетям Meta, но замечено было лишь для FB, WA. Инста шуршала. Впрочем, как и тытруба пока что. Но это дело времени. Ближе к вечеру доступ пока что вернулся.
РКН идет по списку и сначала жмет крупняков - им нужны отчеты наверх. Ну, а мальков убьют просто отбором лицензий, чтобы укрупнить бизнес и проще контролировать.
Спасибо за статью
Попробовал через Yandex API Gateway сделать реверс прокси на сервер с XHTTP, но видимо я не один такой умный, и яндекс умело режет заголовок Referer. Заставить xray размещать x_padding в другом месте не получилось (все ключи перепробовал)
Есть еще vps от яндекса (тоже в белом списке). Вот только недавно теле2\мегафон\мтс (в 61 регионе) сузили белые списки до двух диапазонов:
46.21.244.0/2246.243.210.0/23
Йота при этом продолжает держаться
Ну и для статистики информация по моему региону: в отдельных частях города (где есть военные объекты) белые списки не выключаются никогда. При этом мобильная связь обрывается где-то после 5-10 секунд звонка. Иногда звонок проходит, но качество режут неимоверно. Так же, белые списки включают где-то после 7-8 вечера до 8 утра, но зависит от оператора - мегафон уже включил, а мтс - нет.
Так же применяется более белый список в отдельных районах - вк\яндекс не работают, но работает макс
SOCKS5-прокси для телеги позволяет звонить с лучшим качеством, чем мобильная связь (что в режиме БС, что без него)
Коллеги! Помогите заполнить пробел в знаниях о современных сетевых технологиях. Правильно ли я вкурил, что весь смысл обхода ограничений, наличествующих у могильных операторов, сводится к тому, чтобы заработала только последняя миля, т.е. чтобы мобила подключилась к узлу, который на адресе из белого списка. И дальше с этого узла условного прокси доступ вовне ничем и никак не ограничен? В том смысле, что достучаться с РФ-виртуалки в яндекс облаке при активных БС до внешней VPS всё-таки возможно (понятно, что тоже с танцами), а невозможно только напрямую с моего абонентского устройства?
Хорошее дополнение к Методу 1: если речь про AmneziaWG (популярный WG-форк с обфускацией junk-пакетами), важно понимать его место в этой картине.
AWG пробивает ТСПУ в обычном режиме (фингерпринт WG-handshake перестаёт быть распознаваемым → шейпинг на мобильных операторах не срабатывает). А вот в режиме БС, где L3-фильтр блокирует пакеты по dst IP ещё до DPI, обфускация на L7 не помогает. Сервер AWG с IP не из белого списка — недоступен так же, как обычный WG.
То есть AWG имеет смысл сочетать с твоей рекомендацией про VPS в whitelisted ASN: Yandex/Timeweb/Selectel. Тогда L3 пропускает пакеты до сервера, а L7-фильтрация (если оператор её включает поверх БС, что бывает) обходится обфускацией. Без размещения в БС-подсети — только VLESS+Reality остаётся.
Отличная статья! Очень интересно. А не мог бы уважаемый автор включить в статью еще так называемые ping туннели? На гитхабе даже бинарники для различных ос лежат. Понятно, что крайне медленно, но например чтобы обновить списки БС серверов в клиенте хватило бы. Или этот вариант тоже глушат?
Yandex.Cloud и белые списки Минцифры.
Сведения, необходимые для включения ресурса в белый список Минцифры | Yandex Cloud - Документация
Спасибо за статью !
Жаль она сложновата для моего уровня экспертизы в вопросе)
Есть как будто чуть более простая задача: для работы летом на даче, где доступен только мобильный интернет от Мегафона (и Т2 как вариант) пробиться сквозь БС к сервисам для работы внутри страны.
Гитлаб, мессенджер и VPN Т-Банка.
Запредельных скоростей не требуется, Толк, используемый для видеозвоноков как будто и так уже в БС.
При этом не хочется ходить через какие-нибудь левые прокси, чтобы от безопасников по жопе не получить при случае.
Из того, что прочитал, кажется, что метод через Yandex Cloud Functions должен подойти. Подскажите, куда копать дальше и какие могут быть подводные камни ?
И может это оверкилл и есть варианты проще ?
Спасибо !
Это — всё что вам надо знать о белых списках: как устроены и 6 способов обхода