Comments 203
а
Дилетантский вопрос почему нельзя вставлять в трафик легитимные запросы? Раз соединение с VPN, следом запрос погоды с яндекса итп, потом опять запрос VPN.
Дело в том как происходит установление соединения. После установления соединения данных гоняются по "трубе", как раз и называемой туннелем. То есть ты больше не переподключаешься для, например, просмотра видео в Ютуб. Видеопоток будет идти в уже установленном соединении. А блокирует тспу как раз в момент или сразу после установления соединения. Дальше оно уже не трогает соединение с сервером.
Так об этом и говорю, соединение "запросили ютубчик", соединение запросили погоду, запросили еще "видос с ютучбчика".
По ощущениям вручную работало раньше с аутлайном - не пашет, отключаемя, заходим на яндекс, подключаемся - работает...
вы статью читали? там как раз про поведенческий анализ туннеля после установки соединения, можеште самолично проверить открыв ваершарк и подключившись к стандартному (неmux) влесу и посчитайте количество clienthello пакетов
Соединения к разным ip, на сколько я понял, обрабатываются отдельно. Поэтому легитимные запросы на другие ip никак не повлияют.
При qBittorrent соединение Proxy (v2rayN) реже отваливается. Время тоже важно: после 21 часов частота разрывов повышается многократно.
работы <...> такой схемы вообще не описывают — как и кодового имени
Вы серьёзно, или это мнение нейрослопа? У этой темы уже третий месяц как есть собственное название - "сибирская блокировка", потому что первые места, где она появилась - это Сибирь и Дальний Восток.
Такое ощущение, что нейронка про этот термин не знала. Это вполне может быть, потому что эту блокировку и вообще всё, что связано с РКН, массово и в первую очередь обсуждают на русском языке в плохо индексируемых Телеграм-чатах и закрытом от IPv4-внешки ntc.party. На английском языке в GitHub как раз-таки название у блокировки, которое отражено у вас в заголовке статьи: "по fingerprint" - единственное, что увидит нейронка в Сети.
Вы серьёзно, или это мнение нейрослопа? У этой темы уже третий месяц как есть собственное название - "сибирская блокировка"
Почему вы дергаете цитату без критического контекста? Такое даже нейронки себе не позволяют:
Академические работы (ensafi/IMC 2022, gfw.report) такой схемы вообще не описывают
Никакие академические работы и документация ТСПУ ничего не называют "сибирской блокировкой", прув ми вронг.
Сначала читаешь, думаешь интересная статья, а потом.. "А, нейронка. Понятно."
У нейронки я могу и сам спросить, не хуже нагаллюцинирует.
Где тег "диалоги с ИИ"?
предыдущую статью о факте (только о факте) бана по fingerprint удалили, теперь показывает 451: https://habr.com/ru/articles/1044396
эта статья сейчас на хабре, вероятнее всего, единственная с этой информацией
но нет приходит
представитель РКН"кряк" и вбрасывает тему о нейрослопе
Капец блин
PS: воткнул Вам минус в карму.
надеюсь поможет задуматься.
предыдущую статью о факте (только о факте) бана по fingerprint удалили - 451:
PS: воткнул Вам минус в карму.
раз вы такой педант до справедливости, то замечу, что статья не удалена, а она не доступна вам в силу специфики вашего интернет соединения.
карму сами себе понизите?
карму сами себе понизите?
зачем себе? я её Вам понижу.
что у нас есть?
информация которая удалена с ресурса (пусть только и для жителей России)
новая статья с аналогичным разбором
"критика 1" вида "нейрослоп! а-а-а-а!"
"критика 2" вида "удаление только в России - не удаление вообще!"
Капец.
Вот вам обоим в карму минус и считайте его плюсом.
все статьи с 451 и недоступные с РФ айпи - самые полезные же. Раз их скрыли для РФ, значит там точно большая доля правды есть )
Извините, сугубо имхо, но на техническом ресурсе, или хотя бы в статье где обсуждаются технические точности, человек должен отличать термины "удалена" от "скрыта"/"недоступна по ip" , а не комментировать с нотками настроения "я художник, я так вижу".
Т.к. если у читателя вашего комментария возник интерес, то в первом случае не будет смысла и "включать квн" и попытки посмотреть, что там - т.к. она же УДАЛЕНА, а во втором - с радостью будет проделано "приседание", и можно всецело ознакомится с важной информацией.
Ваше счастье, что вы указали 451, и пришлось самому проверить, т.к. уже побежал холодок по спине из-за того, что Хабр стал не только скрывать для ru-ip, но и удалять актуальные дискуссии.
информация которая удалена с ресурса (пусть только и для жителей России)
То, что она недоступна для жителей двухпроцентной, не значит, что она "удалена". Она вполне себе доступна для любых других неподсанкционных локаций.
Подмены понятий я, к сожалению, терпеть с вашей стороны не стану. К остальному вопросов нет.
Предыдущую статью не удалили (404), а спрятали для РФ региона (поэтому 451 - недоступна по законодательным причинам).
И эту спрячут, если модераторы найдут в ней полезность для обхода блокировок.
Ого! Кармические войны!
Воткнул плюс в карму из вредности.
В чём ценность этой нейростатьи? Ниже уже подробно разобрали, что многое из написанного некорректно и вводит в заблуждение. Если уж и пользоваться LLM (в принципе ничего против этого не имею), то надо хотя бы свою голову включать, вычитывать, перепроверять сгенерированное нейронкой, потому что галлюцинации никто не отменял.
вот смотрите мой случай.
одним утром я проснулся и узнал, что мой VPN больше не работает. Причём VPN настроенный вот по этим принципам, что указаны в моей же статье.
Я потратил приблизительно день на то, чтобы методом проб и ошибок выяснить нечто ценное, важное. Что блокирование VPN теперь идёт по fingerprint. Что достаточно поиграть с этой настройкой, чтобы восстановить работоспособность сервиса.
Собрался было написать об этом на habr, но меня опередил другой habruser выдав статью с этой информацией.Затем пришёл "большой брат" и заблокировал доступ к этой статье из России.
Затем появилась статья, под которой мы с Вами общаемся.
И вот сегодня на habr у нас ситуация: имеется только то, что имеется. Да оно местами неправильное, да, критика местами верная.
Но кроме этого для человека ищущего корень проблемы и выполняюшего этот поиск ИЗ России кроме этого почти ничего нет.Далее набегает куча людей с криками "уберите нейрослоп!"
Внимание, вопрос: на чьей стороне играют эти кричащие? На стороне РКН! На стороне тех, кто строит в нашей стране киберконцлагерь, фашизм. Пусть даже и прикрываются условно-благородным (очень условно) тезисом борьбы за точность формулировок и фактов.
PS: несмотря на выделение жирным и возможные длинные тире этот текст если и является нейрослопом, то естественным, а не искусственным. :)
И что теперь, нельзя критиковать подобные статьи только потому, что эта статья единственная в открытом доступе и не заблокирована? Вроде, никто не говорит, что статью надо обязательно удалить (по крайней мере, лично я к этому не призывал). Критика вполне по делу. Просто хотелось бы, чтобы автор прислушался к этой критике и в следующий раз выдачу искусственного интеллекта вдумчиво пропускал через фильтр естественного интеллекта и не перепечатывал ничем не подтверждённые выдумки LLM. Но нет, это уже не первая сомнительная нейростатья от этого автора.
P.S. А вы вообще всех с другим мнением автоматически минусуете в карму? :D
критиковать можно и нужно, но критика должна быть конструктивной
игра на стороне РКН очевидно деструктивна для большинства граждан РФ
если говорить о минусах, то я минуснул только двоих, где критика была очевидно деструктивной
Вы пытаетесь дискутировать с человеком, у которого прямо в профиле намек на нейрофилию.
А немедленный минус в карму за отказ и неприятие к поеданию нейропомоев - это уже клинический симптом.
Статьи соответствующей тематики выходят регулярно, видео на ютубе тоже. Причем по самым разным способам обхода.
Я уже и не говорю про то, что любая нейронка расскажет о способах и поможет их настроить.
А Статья обычный мусорный нейросетевой дайджест, в одном чате такие каждое утро бот собирает. Один-в-один.
Статьи соответствующей тематики выходят регулярно
из списка доступных из РФ на хабре сегодня есть только одна - эта
видео на ютубе тоже
ютуб из РФ сегодня недоступен, кроме как через VPN
требуя удалить эту статью потому что вам не нравится "нейрослоп", Вы закрываете кому-то возможность восстановить доступ к тому ютубу, на который ссылаетесь.
В данном случае Вы, кряк, - агент Роскомнадзора.
Дёшево по CPU
Что ты имел ввиду? С каких пор по CPU это дёшево?Дёшево это на уровне сетевой карты. CPU это как раз дорого.
Инженеры стремятся делать анализ и отброс пакетов с помощью eBPF, а не CPU.
Так а что делать то?
Для начала сходить в сентябре на выборы. А дальше видно будет.
До сентября тоже что-то нужно делать
Беларусы сходили в августе 2020-го года. Результаты нарисовали - вышли на улицы, получили звездюлей, кого-то убили, кто-то сел.
Есть планы что делать после сентября у россиян? Ведь результаты 146% нарисуют.
какое соотношение наблюдателей к участкам там было?
в рф - 90к. 90к * 2 независимых наблюдателя. = 180к человек. такова цена, чтобы можно было с чистой совестью и во весь голос говорить, что выбор был не тот.
p.s. наблюдал выборы 10 лет.
В Беларуси пускали только заранее согласованных наблюдателей, часть согласованных наблюдателей просто не пускали на участки - типа мест нет, так как "нужные" наблюдатели уже внутри, часть потом выгнали и не дали смотреть подсчёт голосов. Ну и часть протоколов просто липовые были - у меня с одного только моего дома было больше голосов за альтернативного кандидата, чем в результатах, которые комиссия вывесила.
Часть комиссий сбежала с участков ночью через окна и запасные выходы, когда люди стояли возле входа и ожидали подсчёта.
Так что при должной сноровке наблюдатели идут на три буквы спокойно.
я сильно не вникал как там можно было наблюдать. законы по идее схожи.
> Так что при должной сноровке наблюдатели идут на три буквы спокойно.
с этим согласен, поэтому для РФ выборов я думаю, нужно 2-3 человека, чтобы один ясно и четко обозначал позицию председателю, и если его, наблюдателя, выпрут, то оставшиеся тихо фиксируют "подсчет".
И оставшихся выпрут, точнее просто не пустят - и ничего они не смогут фиксировать.
Так было в Беларуси. Как будет в России - трудно предсказать, видимо сильно от участков зависеть будет.
Хорошо видно как "согласовывают" собрания - у нас ковид, не согласовываем или потом отзывают согласие и всё.
Ну и я уверен, не соберется столько народу пойти в наблюдатели, а кто попытается организовать что-то крупное - сразу поедет на нары.
А в реальности - фигня вышла. Я поменял chrome на firefox и все работает, а у легитимных сайтов много клиентов отвалилось. И реалити и xhttp h2 отлично работают.
Автор, я понимаю ты хочешь помочь людям понять как работают блокировки. Но очень рекомендую тебе, не делать выводы по косвенным признакам и по информации от тех кто делал выводы по косвенным признакам. НИКТО, кроме инженеров РКН и ФСБ не знает как работает тспу. У тспу и систем фильтрации ОЧЕНЬ много ложных срабатываний. По моим субъективными впечатлениям, ложных срабатываний более половины всех блокировок. Ты НИКАК не можешь знать, косвенный признак вызван ложным срабатыванием или прямой инструкцией для тспу.
Поэтому любые косвенные признаки это ОЧЕНЬ сомнительная основа делать такие статьи так как блокировка могла быть тупо ошибкой тспу.
Это да, но что вы предлагаете делать? Выводы делать, по-вашему, нельзя, а действия-то вы разрешите? Трафик-то как-то проходить должен, свободный доступ к информации должен сохраняться.
Ты НИКАК не можешь знать, косвенный признак вызван ложным срабатыванием или прямой инструкцией для тспу.
На 146% - вряд ли, но на 95-99% - вполне себе. Все, эти, инструменты разного рода и направленности диагностирования - они не на пустом месте появились и работают, они работают на гипотезах, и работают хорошо.
А вы не хотите, чтобы автор делал выводы. Чувствуется некоторая недосказанность, а что вы с этого имеете?
Если судить по информации в интернете от таких инструментов, то какое то время назад ходила информация что ркн блокирует трафик на нестандартных портах, вот примерно по таким диагностикам и были сделаны подобные выводы. Это лишь один случай странных выбросов, отголоски которых форсятся до сих пор. Я предлагаю проводить диагностику своей конкретной ситуации, а не опираться на чьи-то диагностические данные и скрипты. Я видел тонну сообщений что ркн блокирует то и сё, и в подавляющем большинстве случаев ркн не имел никакого отношения к неработоспособности туннеля и проблема была в кривых настройках на стороне сервера или клиента.
Я предлагаю проводить диагностику своей конкретной ситуации, а не опираться на чьи-то диагностические данные и скрипты
Вы точно айтишник? Зачем вы предлагаете велосипед изобретать?
Все типы блокировок РКН систематизированы, определены, а новые довольно быстро за пару суток определяются коллективным разумом из чатов в ТГ, списков рассылок и на GitHub из той самой "тонны сообщений", про которые вы говорите. Предлагаются фальсифицируемые гипотезы, имеются теории, которые можно проверить, и так мало-помалу все пакости цензуры найдены и классифицированы. Я рад, что у сообщества есть чёткий ликбез по блокировкам и все средства для их диагностики.
Да, по косвенным признакам. Иного не дано, исходников конфигураций ТСПУ никто не заопенсурсил.
Минусы тоже есть - какие-то редкие A/B тесты иных типов блокировок пройдут незамеченными, да. Вы, видимо, это имеете в виду. Согласен, ага. Но и шанс нарваться на них не такой уж и большой. Если нарвался на что-то - с вероятностью, близкой к 95-99%, такое можно решить или хотя бы понять, что это за блок попался, за конечное время. Инструменты есть, чаты и веб-сайты заинтересованных в разблоке пока работают, а ещё можно слова через рот говорить (я почти потерял этот навык, но всё же, иногда помогает). Выкрутимся, а как иначе-то, всегда выкручивались...
Какой там автор, какие выводы, это же чистейший нейрослоп 😁
«чёрного ящика» — это метод анализа, при котором изучают внешнее поведение системы, не имея доступа к её внутреннему устройству, исходному коду, алгоритмам или архитектуре.
В день когда отвалидся xray прогнал тесты и для себя таблицу составил "Таблица" В таблице нету провайдеров с работы там из Termux на телефоне гонял. И таблицу gpt форматировал.
Основная фильтрация идет на домашнем операторе.
Лучший обход блокировок, конечно, простой: 40 минут на самолёте и у тебя свободный интернет без всей этой инженерной клоунады. А если оставаться на земле, то пришлось уже собрать свой клиент с WebRTC, WireGuard, Xray и Hysteria, автопереключением маршрутов. Есть Kubernetes-кластер, Terraform по триггерам для смены IP и поднятия новых машин, Ansible для раскатки конфигов, healthcheck туннелей и логика, которая решает, куда гнать трафик. Спасибо РКН: теперь охранник из отеля вынужден так извращаться с сетями, хотя IT у него вообще-то просто хобби.
Лучший обход блокировок, конечно, простой: 40 минут на самолёте
Бросить все, бросить родных и друзей и свалить в никуда. Очень простой вариант. Для бомжа живущего под мостом.
Ну я к жене так в РФ и переехал. Хотя в Беларуси тоже гайки зажмут наверное.
Овощное мнение
По-моему овощное это не отстаивать свои права а тихо слиться и смыться.
У вас тут нет никаких прав, очнитесь наконец-то . И да, это не ваша страна, а их.
Позвольте спросить, а когда Россия была " наша"?
У вас вообще нет никаких прав. Потому что если право можно отобрать - это не право, это привилегия. И если вы хоть немножко следите за новостями, с каждым годом список привилегий становится всё короче и короче.(С)
Нет прав, значит и бороться за них не надо? Это называется выученная беспомощность.
умные слова легко говорить пока за вами воронок не приехал или другие иные проблемы не начались
у нас тут в комментах аналог кухни, побухтели и разошлись с умным видом
вы же лично наверное написали уже пяток заявлений на РКН и к депутатам на прием ходили по другим важным-горячим вопросам? или просто руки еще не дошли за последние 5-12 лет?
Когда откроется окно возможностей (а оно откроется), лучше всё-таки что-то делать вместо причитаний "у нас нет прав, всё равно ни на что не повлиять".
само собой, тут вы правы, правда никто не знает как это окно будет выглядеть и для кого оно будет - окно
также это подразумевает что исполнительные механизмы внезапно начнут интерпретировать законы в вашу пользу, а не как начальство (изменившееся) прикажет
==
но тем не менее, обратите внимание как вы посоветовали бороться, но сразу слились когда оказалось что вы тоже этого не делаете, аргументируя отсутствием окошка
А вы готовы за эту борьбу получать ответку от государства? Со всеми вытекающими, типа сумы и тюрьмы? А то побухтеть в Интернете - все смелые.
вы же наверное активно отстаиваете свои права, да ведь? и наверное получается?
Да, вот сейчас как раз написал. Его борьба
аа, ясно, я вот на своем заборе тоже написал, в укромном уголке за сараем. ;))
Это все фигня. Отстаиванию прав требуется критическая масса. Не надо устраивать дебош на красной площади, отстаивание так не работает. Все начинается с малых дел. Отказался идти на поводу у оборотней и заявил на них, в том числе публично, выкатил претензию чиновнику через вышестоящий орган, увидел несправедливость и поинтересовался происходящим хотя бы, и т.п. Не надо максимализма и резких движений. Эффективное отстаивание требует массовости.
угу, главное быть уверенным что все это делают да, еще с середины нулевых все с малых дел начинали, и в 22 году закончили
помнится даже сам солнцеликий говорил на голубом экране "обращайтесь в суд" - помню это даже мемом было в начале 10х
помоему очевидно что это не работает
p.s. сразу скажу, что именно работает, я не знаю, но это точно нет
Суд - это игра на гос поле, для искушенных в бюрократии может быть даже удобным инструментом. Не обязательно быть уверенным, что остальные занимаются тем же, но обязательно понимать, что делаешь правильно по ощущению справедливости, не по УК.
делаешь правильно по ощущению справедливости
у нас цель не самолюбие потешить, а ситуацию поменять.
для изменения ситуации совершенно бесполезно требовать от УК своего дома цветочки поливать и чувствовать как вы маленькими шажками меняете мир вокруг
собственно когда РКН у вас интернет блочит, вы требуя асфальтировать дыры в течении 20 лет - ничего не сделаете с этим, потому что ваше желание чтото требовать упирается в желание другой стороны ваши хотелки исполнять
Лучший обход блокировок, конечно, простой: 40 минут на самолёте
define простой
За то не скучно😁
Почему бездомные просто не купят себе дом))
Не у всех огромные зарплаты и удаленка, чтобы так легко менять локации
Слишком много страшных слов в одном абзаце. Можно все куда проще реализовать.
У Паши Дурова на днях как раз было где-то в Осло выступление на тему 40-минутных стран. Кагбе даже никуда не летая можно много интересного узнать. Например, когда у тебя точка выхода VPN где-нибудь в Германии и для посещения некоторых типов ресурсов тебе нужно в сети удостоверить личность - не потому, что ты из России, а потому что ты из Германии. Мелочь, конечно, но и российский занавес с мелочей начинался.
А потом ждешь штрафы за просмотр\загрузку пиратского контента) Как же хорошо всё таки за границей.)
банковские приложения хостят API в облаках, агрессивно открывают несколько соединений при старте сессии и используют нестандартные (не-браузерные) TLS-стеки — то есть теоретически могут задевать те же сигналы.
Вот такую хрень у приложения ВТБ замечал точно последнюю неделю.
Запускаешь приложение; вводишь PIN или отпечаток; получаешь заглушку, что у них что-то упало. На вторую или третью попытку пускает нормально и дальше работает условно исправно.
Условно, потому что глюков не встречал, но может оно внутри у себя запросы повторяет.
Да, эта фигня уже не меньше недели вылазит... Со второго - третьего раза пускает.
Ну, не знаю. Нижегородская область, Ростелеком. xHTTP не заводится ни в какую вообще, gRPC одним днем сломали и больше тоже не заводится, а самый простой (даже не мультихоповый и без реверса и без сайта-заглушки) vless-tcp-reality живет до сих пор,с октября 2025. Точнее, даже не 1,а 3 моих личных (и для друзей + родственников) ВПН.
вопрос от ламера: как лучше - постоянно держать включенным соединение на смартфоне или все же включать\выключать по мере надобности?
зы: а что по устойчивости протокола Mieru ?
Нижний Новгород, ростелеком. Работает всё: raw, grpc, xhttp, xhttp h3/hysteria. Кратковременно только наблюдалась блокировка raw по фп хрома.
"grpc, xhttp " - по каким гайдам настраивали?
Ни по каким. Настройки примитивнейшие - полный дефолт, в качестве транспортной безопасности импользую все доступные подходы: TLS, reality на свой локальный nginx со своим сертификатом и none + vless enc (raw транспорт). Для xhttp h3 - терминирую quic на nginx и делаю proxy_pass на unix-сокет xray. Также использую фоллбеки, если один сервер не отвечает - xray переключает на другой, поэтому проблему с фп хрома заметил только спустя пару дней, зайдя посмотреть логи.
UPD: xhttp stream one, без xmux
как лучше - постоянно держать включенным соединение на смартфоне или все же включать\выключать по мере надобности?
Как минимум прописать, чтобы паттерн "geoip:ru" шёл в "direct". А дальше по необходимости.
это настроено, просто думаю если я в ютуб не лезу ,например, пару дней, то есть смысл рвать соединение и выключать впн,а по мере необходимости включать,или пускай оно висит постоянно включенным.
где тут редфлаг для ТСПУ\оператора или кого там еще
Лучше конкретные приложения - весь трафик youtube в VPN, а остальные приложения можно и не трогать.
читая статью подумалось, раз на этой стороне сидит умный чувак и пытается понять как работает противоположная сторона и прихожу к мнению (имхо) там наверняка набрали яйцеголовых которые сидят и тупо ковыряют rfc, по косточкам разбирая и потом хуяк - на тебе Сибирь :)
в интересное времена живем...
И как всегда, вопрос (кто виноват уже понятно) - что делать простому человеку?
От капитана очевидность:
VPN/прокси по своей концепции, это не средство обхода блокировок(весь концепт VPN/прокси не про это изначально).
По части детекта факта применения VPN/прокси, в качестве средства обхода, имеет концептуальный "слоновий" патерн - специфичный маршрут трафика.
Именно этот "слоновий" патерн 2026 году в РФ и начали "рубить" и технически(падеж стелс-VPN/прокси по мере апгрейда ТСПУ), так и экономически - решением о заградительных тарифах на трансграничных трафик конечного пользователя. Остальные признаки вспомогательные.
Даже если мы очередным 146-мым "оригинальным стелс-способом" снова лишь прячем "мух"(специфику пакетов), то "слон"(крайне специфичный маршрут трафика) как всегда виден заинтересованным сторонам(и может быть "неожиданно" и творчески использован).
Гораздо больший потенциал как показывают и теория и практика имеют “неоднокликовые” решения вроде Zapret(которым серверная часть не нужна и как следствие отсуствует слив трафика в специфичный маршрут).
Трансграничный пиринг инфраструктурных гигантов тарифицируеться не как у пользователя, и если вы обратились фактически например к российским GGC(или или внутриросийским сегментам CDN Cloudflare например), то ваш трафик для вашего провайдера внутрироссийский.
Открытие разных сессий под разные соединения при обращении и к внутриросийским CDN полностью лишает ТСПУ статистической опоры. Вместо одного монолитного "туннеля" (в котором ТСПУ со временем вычислил бы аномальную энтропию), каждое приложение или вкладка браузера порождает краткосрочную, независимую сессию.
Формат коммента общеакадемический по понятным причинам.
Подскажите, а как Вы длинные тире набираете? Все никак на клавиатуре не могу найти.
Например автозамена редактора - двойной тире на длинный
ALT+0151даст тебе —
—
Левый Alt зажать и 0151 на Num Pad. Пользуюсь с бородатых времён, так как двойной дефис -- выглядит не очень.
Раньше когда не знал, через замену символов в Microsoft Word копировал тире и вставлял далее.
Т.е. я правильно понимаю - набирая это текст, автор примерно в каждом втором предложении делал "Левый Alt зажать и 0151 на Num Pad.?" (если у него вообще был NumPad на лаптопе). Или это как-то иначе работает? ;)
p.s. Более того, если использовать для редактуры Word - там автоматом заменяются два минуса на короткое тире "–" (которое существенно короче чем использованное в тексте автора "—" ).
Да. Посмотри, например, мои статьи (за 2013 или 2016). Там везде длинное тире —, т.к. просто короткое - бесит. И его я вставлял отдельно. Так что это не всегда нейронка. Посмотри это, может тоже проникнешься
Два минуса в Ворде заменяются на короткое тире, а вот один минус — на длинное. В чём логика — не знаю.
Option+minus
Если под Windows, то можно поставить раскладку Ильи Бирмана.
Это легкий намек на AI?
Для пользователей MacOS (за остальные ОС не ручаюсь)
"-" — просто кнопка "минус"
"–" — Option + "минус"
"—" — Option + Shift + "минус"
P.S. Option == Alt на виндовс клавиатурах
В обсидиане и ноушене можно дважды тире жать, заменяется само, дескотоп мак.
Alt + 0151 на numpad.
В Linux: зажать клавишу Compose и три раза нажать -.
А зачем весь этот головняк, зачем блокируют?
Опять нейрослоп, к тому же плохо вычитанный.
Впн российского провайдера с европейским айпи, голый вайргард, подключаюсь с 1 мобильного и 2 проводных провайдеров - про блокировки только на хабре узнаю. Выбирал по низу рынка. Есть ощущение, что больше всего проблем с подключением у тех, кто самые хитровыделанные методы обхода использует. Связь только на мобильном инете пропадает, когда сирены воют, видимо изза белых списков.
Вот кстати тоже не понял этого. Большинство обычных людей ставят себе "какой то там vpn" из стора на смартфон и сидят себе в инстаграмчиках. Причем зачастую бесплатный с рекламой.
только вот он не работает по принципу "нажму кнопку и не парюсь"
У ребенка моего для роблокса четыре квн-а стояло в какойто момент (в добавок к самодельному, с которым сам роблокс почемуто плохо дружил, видимо с самим хостингом), и каждый раз надо перебирать было какой сегодня норм работает
и вообще в принциве и подороже и подешевле, постоянно рандомного чтото отваливается, то телега, то сайты которые через телегу открываешь, то роблокс работает работает, потом бац всё, ни один из серверов в списке квн-а не работает..даже после обновления...через пару часов чинят но сам принцип задалбывает
роблокс вернули, хоть геморроя меньше (мне)
Потому что все эти "готовые" решения, нажал кнопку и работает, держат некомпетентные люди. Знаю такого. Когда телегу начали блочить он даже не понял почему у него бот для покупки ВПН сломался. Говорит "долбим напрямую, пока апи не ответят". Что с этим делать ему было непонятно. Занавес.
У меня уже 5 лет работает OpenVPN до VPS в Нидерландах. Единственное что, белые списки не обходит когда их включают на мобильном интернете.
HTTPS прокси на сквиде тоже безо всяких проблем работает. Причем на 443 местами падает, а на чем-нибудь повыше 10000 - ни единого разрыва.
Наконец то хоть кто то понимает.
Я вот читаю все эти хитросплетения стелс, каскады, Селф стил и всегда эти же люди первыми шумят что все пропало, все заблокировали. Не могут люди сделать просто, потому что не могут потратить свое время на изучение технологий, чтение документации, а полагаются что какой то Валера из интернета всю доку изучил и даёт им реально полезный гайд, который сам он получил черт знает на каком этапе этого сломанного телефона. Мне вообще всегда интересно знать откуда все эти сложности произрастают(есть подозрение что фабрика троллей старается завести в такие дебри).
Тут уже описано было, что центр управления один а реализация у провайдеров своя, либо раскатка понемногу происходит, вы в удачной группе находитесь. На дальнем востоке у знакомого на домашнем интернете основного провайдера державы отвалились в июне VLESS + TCP + Reality + Vision, VLESS + XHTTP + REALITY + Vision. Пошел он тестить, не работало в целом все что можно было нащелкать в 2.9.4 3xui, в итоге работает с раздачи мобильного интернета то, что с провода не работает - тут уже работает.
В это же время есть коллега под москвой (город 100-150к населения), у которого в целом любой трафик пускает, он в целом включает менять айпи только чтобы внешние геобаны обойти типо openai.
К тому же уже всем известно
Не всем.
В чем такой ажиотаж?
В том, что РКН в кое-то веки удалось сломать большинство способов обхода. Несчастные MTPROTO как упали почти месяц назад, так и не поднялись уже. "Неприкасаемый" VLESS на ладан дышит и то только потому, что начали с фингерпринта одного браузера. Дальше останется только статистический анализ прикрутить (что это Вася уже второй месяц качает с этого айпи?), причем достаточно даже оффлайн его поставить гонять, и все, сушите весла.
А что если включить browser dialer. Ркн все браузеры начнет блокировать? Лучше изучать современные технологии фингерпринтинга, все уже придумано. Не нужно ждать пока ркн все фингерпринты блокнет. Но как всегда, у такой свежатинки как браузер дилер есть свои нюансы. Работает только с xhttp+packetup и на клиенте okhttp должен быть включен.
Скоро узнаем. По факту, с каждой итерацией отваливается все больше и больше народу. Чем меньше народу, тем жестче можно кошмарить оставшихся. Статистический анализ напрашивается сам-собой, айпишники закончатся к концу года.
MTproto сам пашка не хочет дорабатывать, вяло какие-то правки от сообщества добавил и всё, протокол очень заметный.
Vless забанили положив целую кучу сайтов, даже на хабре были обсуждения. При этом отвалилось только самое заметное. Нормально настроенные сервера изменений не почувствовали.
СТатистический анализ прикрутят, но на это надо ещё миллиарды денег, а потом сбор статистики и много сложностей. Вот только на подходе ещё куча средств, которые массово не распространены, в какой-то момент возникнет ситуация, что многомиллиардное оборудование ловит трех калек, когда толпа народу ходит другим маршрутом.
Хорошо, что вам смешно! Я вот лично уже заебался. Но главное не терять оптимизма и чувства юмора, полагаю :)
НАстраивать свои сервера без знаний больно, согласен.
У меня суммарно пара недель чистого времени на настройку ушла. Удобно пользоваться панелью, удобно пользоваться дипсиком, маскироваться под чужой сайт не удобно, а вот под свой, да ещё не по поддомену очень удобно. Ещё удобно, когда клиент не создает миллион коннектов, где-то на хабре обсуждалось.
MTPROTO как упали так и поднялись сразу же, проблем нет.
Как личные, так и бесплатные работают с самого 5-6 числа
У меня в окружении не осталось ни одного человека, у которого MTPROTO работает напрямую. У некоторых список этих проксей устанешь листать.
В репе telemt два открытых issue на эту тему, https://github.com/telemt/telemt/issues/617 https://github.com/telemt/telemt/issues/805 (и еще одно на bugs.telegram) - помогите людям, расскажите о своих волшебных конфигах.
Ну или поймите, что "у меня все работает" - это не ваша заслуга, а их недоработка. Ваш провайдер просто забил на фильтрацию или противодействует ей. Со временем таких будет становиться все меньше.
Чисто по моей ситуации. Не уследил, что протухли все прокси MTPROTO. В итоге получил что приложение стартует, но не загружает не одного чата (Винда 7). Пришлось обходными путями добывать хотя бы один адрес. Как только приложение ожило, снова накопировал десяток рабочих, а нерабочие удалил. Сейчас стараюсь каждое утро просматривать, чтобы хотя бы десять рабочих было в настройках.
А вот если не одного рабочего не остаётся, тогда да, тяжело.
Эта диагностика слегка бесполезна в моем случае.
Пока сервер не подключен, он доступен. Но как только пытаюсь подключиться, то сразу теряется.
Не понимаю. Всё мусолят эту тему с "июньскими" блокировками.
Потому что с 1 июня всё, что прекрасно работало до этого, вдруг посыпалось.
К тому же уже всем известно, что эти громкие блокировки обходятся за 5 минут
"Всем" это кому? Огласите список пожалуйста или отвечайте только за себя. Если всё решается за 5 минут, то почему около двух недель так штормило? "Все" тупые, один вы умный или же всё таки что-то произошло и статьи именно это и обсуждали?
Потому что с 1 июня всё, что прекрасно работало до этого, вдруг посыпалось.
Вот прям всё-всё посыпалось? Ну нет же. Вы же сами ниже призываете не обобщать.
Лично у меня отлетел VLESS с отпечатком chrome. Вылечилось сменой отпечатка. А AmneziaWG на том же сервере как работала, так и продолжает работать.
Оффтоп вопрос: где найти какой-нибудь ультимативный гайд по WireShark? Вот прям от и до. Большая часть найденных статей подразумевает, что вы уже не один год в нём сидите, а нужно что-то "для чайников".
Видел, вот такое советовали: https://www.youtube.com/watch?v=OU-A2EmVrKQ&list=PLW8bTPfXNGdC5Co0VnBK1yVzAwSSphzpJ
man tcpdump
Хоть и кажется "при чем здесь tcpdump"
Больше всего в этой истории жалко админов хостингов. Ты спишь, а у тебя полсети отваливается просто потому, что чей-то легитимный трафик показался железке провайдера подозрительным..
А можно не нейросблев стену текста, а нормальную краткую статью с описанием что происходит и что дальше делать?
Спасибо, пожалуйста.
РКН устроил проблемы с доступом российским облачным сервисам и сайтам / Хабр
там есть вся информация и другие полезные статьи
У меня ssh на 3х рахзных машинах перестал работать на днях. Причем раньше я сталкивался с блокировкой подобной, она работала по другому, ssh сессия отваливалась через какое то время, сейчас все по красоте, просто дело даже до запроса пароля не доходит, на любом порту.
То, что статья - нейрослоп, можно понять с первого параграфа (особенно по очередным эрудированным вставкам по типу “только при одновременном выполнении нескольких условий — логическое AND.”), но вот текст:
ТСПУ смотрит на destination IP того TCP-соединения, которое вы инициируете, и сверяет его с базой «подозрительных» CIDR/ASN.
зарубежные ДЦ (Hetzner, DigitalOcean, OVH) — давно;
ряд российских облачных провайдеров — с конца мая / начала июня 2026. Вот отсюда и растёт коллатеральный ущерб для российских проектов: туда же хостятся реальные прокси-серверы, ТСПУ их не разграничивает, и весь трафик к подсети уходит на поведенческую проверку.
я очень долго пытался понять. Во-первых, перечисление без двоеточия или тире в конце вообще не является верной конструкцией по нормам языка. Но предположим, что тут после “CIDR/ASN” идёт двоеточие. Но тогда на что заменяется тире в данном перечислении? На “смотрит”? Тогда почему это стоит как перечисление CIDR/ASN? Может тогда заменяется на “сверяет”? Но тогда падеж не верный и надо было “с зарубежными ДЦ… - давно”.
Вот автору не кажется, что можно было написать “раньше в базе подозрительных ASN у ТСПУ были только зарубежные ДЦ, а с конца мая туда начали заносить и российские компании”, а не городить перечисление из двух элементов?
Это какой-то нейрослоп Шрёдингера: Данные с потолка, при этом ещё и плохо написанные. Будто бы нейросеть выдала шаблон текста, который поверх руками допиливался.
По теме: Такие вот нейрно-статьи показывают теорию мёртвого интернета во всей красе. Я уже не могу даже уверенно доверять информации про блокировки, потому что можно выбрать вообще любую дату, нагенерить статью, что в то время РКН тестировал систему “уничтожитель ВПНов 5000”, который определяет обход блокировок, читая мысли пользователей; и в комментариях наберётся куча “да-да, было дело! Вот у меня сервер в то время не работал!”. Играть в тех поддержку хостинга, пытаясь понять, что именно случилось (спойлер, в большинстве случаев проблема находится между монитором и стулом), нету особого желания.
Живу в Москве и МО, проблем с обычным VLESS никогда не было, так же как и с ssh -D. У знакомых за пределами центрального региона прям очень изредка случались проблемы с Vless, помогал временный переход на xhttp или смена порта, sni или шифрования. Ко всяким статьям про блокировки vless+xhttp, эксплуатирование уязвимостей протокола и прочее отношусь как к историям про биг фута или НЛО: Даже не смотря на полную возможность таких событий, почему-то любые утверждения о них существовании опровергаются достаточно быстро.
В статье от hyperion есть демонстрация так что доверять можно
Вам повезло. Поделитесь у каких ISP в МСК и области такое везенье?
Да я был бы рад своей удаче, только вот в МСК у меня обычный ростелек, ибо иного выбора не было. А в этих ваших интернетах пишут, что он чуть ли не самый жестокий по отношению к ВПНам. Да и по всей области vless работает даже на мобильных провайдерах у вообще всех родственников, кому я установил его же (а там вообще все крупные мобильные опсосы). И по софту тут всё тоже самое обычное: xray - сервер, sing-box и nekobox - клиенты.
Да и по всей области vless работает даже на мобильных провайдерах у вообще всех родственников
А это уже никак не может быть правдой. По крайней мере в МО для мобильного Мегафона, который я активно наблюдаю. Что-то тут вы похоже фантазируете, не понятно с какой целью.
И на ростелеком в МСК также 5 июня были жалобы в формате: "Ничего не работает. Что делать?".
Был конечно небольшой период, когда у меня на проводном работал WG, а многие вокруг жаловались, и было какое-то странное чувство неполного доверия, но оно быстро улетучилось, когда WG перестал работать даже на VPS мастерхоста, где до этого работал несколько лет без сбоев.
А это уже никак не может быть правдой. По крайней мере в МО для мобильного Мегафона
Ну вот у меня Yota, которая уже чуть ли не дочерней компанией мегафона является. Я даже сейчас в настройках телефона могу его вышки напрямую использовать. И там 50/50 стоит либо vless, либо ssh.
Да и пользователи мегафона среди близких тоже имеются. Возможно они просто не говорят об проблемах, но лично сам их не наблюдал.
Что-то тут вы похоже фантазируете, не понятно с какой целью.
Потому что страшно и неясно, что делать. Я ещё даже xhttp не настроил на сервере, а если верить наблюдениям с хабра, я из-за этого уже как пол года не имею прямого доступа к серверу, сам я мёртв, сотрудник РКН и у меня рак лёгких.
И вот просто страшно в очередной раз видеть новость про “массивные блокировки”, читать, как якобы блокируют куда более продвинутые средства обхода блокировок, из-за которых придётся мучится ещё больше. Но проходит неделя, nekobox по прежнему пишет пинг в районе 40-50мс, а на хабре появляется ещё одна статья, как блочат ещё сильнее, и цикл повторяется.
И на ростелеком в МСК также 5 июня были жалобы в формате: “Ничего не работает. Что делать?”.
Ну а у меня всё работало. Может район за пределами МКАДа не сильно блокируют, но уровень блокировок всё равно должен быть как минимум уровня МО. Но это не так. И я не знаю почему это не так.
Чем хитрее комбайн для обхода DPI, тем быстрее его банят по поведению. Попытки мимикрировать под обычный HTTPS сейчас только привлекают внимание автоматики. А старый добрый голый SSH работает как часы ровно потому, что не пытается казаться чем-то другим и не плодит параллельные хендшейки. Тот случай, когда дедовский unix-way тупо уделал новомодные протоколы.
Да не работает он уже давно. Просто ваш локальный тспу так настроен, что пропускает. Как и ютуб раньше, долгое время в одних регионах работал, а в других - нет.
Локальный? Вы мыслите категориями домашнего провайдера) Я мыслю масштабами покрупнее и на местечковые ТСПУ не полагаюсь.Трафик собирается на транзитную ноду внутри РФ, и уже оттуда поднят магистральный SSH-туннель через границу. Внутрироссийский трафик никто не режет, а границу этот SSH пробивает без проблем. Клиенты из абсолютно разных регионов и сетей сидят и горя не знают. Архитектуру надо строить, а не на локального провайдера кивать.
Я от вас вообще впервые слышу, что серверный трафик кто-то смотрит и там нужно что-то "пробивать". При такой схеме вопросов нет.
Трансграничный трафик сейчас смотрят под лупой, поэтому многие и страдают. К слову, если точка входа висит на домашнем IP, то там вообще своя магия доверия, но это уже лирика). Но в целом да, SSH решает. Рад, что поняли друг друга) В этом и смысл всего: аккумулировать в РФ, пробрасывать через туннель.
Внутрироссийский трафик никто не режет
вообще-то режут, вы читали оригинальную статью? (которая https://habr.com/ru/articles/1044396/, а не это нечитаемое нечто)
и уже оттуда поднят магистральный SSH-туннель через границу
т.е. схема клиент рф (с блокировками) - транзит рф (с ослаб. блоками) - европа. при такой схеме ssh ничего не пробивает, любой другой протокол тоже будет работать
Не знаю, читали ли вы саму статью или только комментарии, но вы ошибаетесь насчет "любой другой протокол тоже будет работать". На транзитных узлах в РФ точно так же стоят ТСПУ и жестко фильтруют границу (в статье как раз описаны массовые отвалы на РФ-облаках).Попробуйте поднять с такого РФ-сервера в загран какой-нибудь vless: он нагенерит параллельных хендшейков, притворится браузером и тут же поймает поведенческий бан, потому что браузер с серверного IP, это уже аномалия. Голый SSH не банят ровно потому, что межсерверный SSH - это естественный и легитимный трафик. Пока что))
Вы пишете про границу, а в скобочках про ру-облака, это вообще о чём? Ничего непонятно. На тспу которые стоят в датацентрах нету большинства блокировок которые есть на домашнем интернете, мне не нужно ничего пробовать потому что у меня уже более полу года стоит ру впс тупо как посредник для любых протоколов которые блокируются на домашнем инете. Ни 16кб, ни блокировки отпечатков, ни триггеров на выходном трафике с селектела нет. Входной трафик на эту впс это уже другое дело потому что фильтруется ТСПУ у вашего инет провайдера.
Ркн блокируют отпечаток хрома из-за чего страдает бизнес, а вы про какой-то легитимный ssh трафик от сервера, да им пофиг на это, если люди начнут массово использовать ssh (до этого ещё очень долго), то ркн поставят ограничение в 128кбит/с, 1 сессию и всё, затем если начнут пробрасывать через ру впс, то ограничат и там тоже, и на проблемы пользователей ркн пофиг, доказывали уже не 1 раз
Попытки мимикрировать под обычный HTTPS сейчас только привлекают внимание автоматики Это как? Весь смысл мимикрировать под обычный HTTPS и заключается в том, чтобы автоматика не заподозрила ничего. xhttp и reality вообще стремятся к тому, чтобы выглядеть один-в-один как запросы браузера, которые просто физически невозможно будет отличить от обычного соединения. А старый добрый голый SSH работает как часы ровно потому… что используется в экономике и гос предприятиях, из-за чего блокировка его экономически не целесообразна. Что, наверное, валидный способ обхода блокировок; однако раньше бы я так же сказал, что полное отключение интернета тоже губительно для экономики. не пытается казаться чем-то другим и не плодит параллельные хендшейки wireguard не пытался казаться чем-то другим, openvpn не пытался казаться чем-то другим; l2tp вообще прямо говорил “это l2tp пакет с такой-то версией” в начале каждого заголовка. socks, http proxy, IKEv2, sstp, все они не пытались казаться чем-то иным, но что-то это им не сильно помогло. Может дело в чём-то другом?
Чуть глаза не сломал, но прочитал) Вы вообще про домашний трафик или межсерверный? WG, OpenVPN и L2TP выкосили по сигнатурам. А вот голые SSH-туннели за границу я использую везде. Лично дома (Ростелеком), у клиентов, разбросанных по всей стране (интернет и на юр., и на физ. лицах), и между серверами в ДЦ из RU на иностранные. Я даже не знаю, что будет, если SSH порубят, потому что последствия будут серьезные. Думаю, не рискнут, но это ИМХО.
Чуть глаза не сломал, но прочитал
Когда-нибудь хабр поймёт, что CommonMark, как спецификация MD, не нравится никому. Но до тех пор прийдётся лишь смериться с его неудобствами. Сейчас поправлю.
Вы вообще про домашний трафик или межсерверный?
Оба. Если трафик пересекает границу РФ, то как-будто бы не важно, с сервера или с домашнего интернета отправляешь запрос.
WG, OpenVPN и L2TP выкосили по сигнатурам. А вот голые SSH-туннели за границу я использую везде.
Так у SSH же сигнатура ещё ж более явная, нет? Меня вот это и беспокоит - SSH туннели - это же тоже впн протоколы (учитывая, что через них tun и даже tap можно прокидывать), которые позволяют делать всё то же, что и OVPN и WG, но при этом детектить их легко. То есть вопрос блокировок есть и он не технический, а сугубо экономический. И в марте уже было видно, что из этого приоритетнее правительству.
Сейчас исправлю
Ну да, я забываю, что ради защиты детей хабра, редактирование комментариев пришлось ограничить. Вот нормальная версия (Насколько её возможно сделать с полурабочим CommonMark):
Попытки мимикрировать под обычный HTTPS сейчас только привлекают внимание автоматики
Это как? Весь смысл мимикрировать под обычный HTTPS и заключается в том, чтобы автоматика не заподозрила ничего. xhttp и reality вообще стремятся к тому, чтобы выглядеть один-в-один как запросы браузера, которые просто физически невозможно будет отличить от обычного соединения.
А старый добрый голый SSH работает как часы ровно потому…
что используется в экономике и гос предприятиях, из-за чего блокировка его экономически не целесообразна. Что, наверное, валидный способ обхода блокировок; однако раньше бы я так же сказал, что полное отключение интернета тоже губительно для экономики.
не пытается казаться чем-то другим и не плодит параллельные хендшейки
wireguard не пытался казаться чем-то другим, openvpn не пытался казаться чем-то другим; l2tp вообще прямо говорил “это l2tp пакет с такой-то версией” в начале каждого заголовка. socks, http proxy, IKEv2, sstp, все они не пытались казаться чем-то иным, но что-то это им не сильно помогло. Может дело в чём-то другом?
Минус, если что, не мой) За переделанное форматирование отдельный респект, но не стоило так запариваться, я же шутил) А по сути вы в последнем абзаце сами всё верно подытожили. Сигнатура у SSH светится ярче любого VPN, но забанить его... - это значит положить корпсектор. Вот на этой экономической броне он сейчас и выезжает. Возможно я изменю мнение когда столкнусь с блокировкой, но пока на практике это самый ломовой туннель.
Плюсанул в карму за активность)
нет, банят то что популярно у пользователей. если все начнут пользоваться ssh - блокнут ssh до тех же самих серверов до которых блокнули https прокси
Уже пол года как сижу с ss от outline через хоп + сплит тунель, иногда подлагивает, открываю Яндекс гос услуги отлагивает. Мб просто до Крыма не добралась ересь еще.
Автор, если Вы не можете написать статью без использования ИИ, то хотя бы проверяйте информацию, которую он предоставляет.
25 мая 2026. <...> Под раздачу попали VLESS, Xray, MTProto, WireGuard, gRPC.
Xray не мог попасть под раздачу, потому что это не протокол, а фреймворк, на основе которого работают протоколы с различными настройками. WireGuard блокируется уже несколько лет, 25 мая не сыграло в его судьбе никакой роли. gRPC сам по себе для проксирования не используется и работает вместе с VLESS.
2 июня 2026 — и тут же отдельный инфраструктурный фактор, к ТСПУ вообще не относящийся: европейский ДЦ nLighten без предупреждения обесточил стойки. О нём подробно в разделе 7...
Зачем в статье, посвящённой работе ТСПУ, подробно разбирать ситуацию, вообще не относящуюся к ТСПУ? Примечательно, что нейронка далее по тексту это подмечает:
«Два события совпали по времени с июньскими блокировками, но к ТСПУ прямого отношения не имеют, и сваливать их в один нарратив о «заморозке по fingerprint» — ошибка».
А вот про имена — осторожно. В обсуждениях в «подозрительный» список заносят Selectel, Yandex.Cloud, Cloud.ru. <...> Yandex.Cloud — системообразующий провайдер, за которым стоит изрядная доля рунета; его попадание в список поведенческой заморозки — заявление экстраординарное, и пруф ему нужен уровня пакетного дампа. <...> Я и сам прогнал 12-часовой замер с RU-машины (Ростелеком, AS34168, 72 цикла, 14 июня) к GitHub/PyPI/Fastly: ни одной заморозки, медиана TLS-хендшейка ~135 мс, доступность 99–100%
А причем здесь GitHub с PyPI и Fastly? Речь же шла о российских облаках, разве нет?
VLESS-клиенты (Happ, v2rayTun, Hiddify) по умолчанию используют мультиплексирование (XMUX/Mux) или connection pooling
Xmux используется только в xHTTP и работает на уровне ядра, клиенты сами по себе здесь ни при чём. Mux клиенты по умолчанию не используют, нужно включать его.
Реальный браузер после хендшейка генерирует специфичные паттерны — API-запросы, тайминги, ALPN. А туннель — это непрерывный двунаправленный поток без характерных пауз и смены размеров пакетов.
Как, по-Вашему, DPI определяет наличие или отсутствие запросов к API, если заголовки, путь и тело запроса зашифрованы? Внутри TLS может быть что угодно, а API используют в том числе для загрузки файлов, так что объём трафика здесь сомнительная характеристика. Просмотр видео по HTTP/2 с метриками тоже может выглядеть как непрерывный двунаправленный поток. А вот паузы и размеры пакетов, пожалуй, маркером будут.
TLS-in-TLS: фундаментальная проблема
Непонятно, причём здесь это. Нет никаких доказательств, подтверждающих фильтрацию на основе TLS-in-TLS в России.
уязвимость: если DPI научится детектировать «один долгий GET + много коротких POST к одному path» как аномалию — попадёт под удар
Опять же, каким образом возможно обнаружение типа и пути запроса внутри TLS-соединения?
блокировка QUIC/UDP на 443 = блокировка HTTP/3 для всего рунета (YouTube, Google, Cloudflare) — РКН этого избегает;
YouTube и Cloudflare уже давно блокируются. QUIC ограничивается у некоторых провайдеров.
Транспорт: VLESS+TCP+mux. ALPN: h1.
Может быть и h2.
<...> исторический ряд OpenVPN → WireGuard → Shadowsocks → VLESS → REALITY — это иллюстрация, а не доказательство.
Почему Reality стоит после VLESS, если это не прокси-протокол, а замена обычному TLS, которая, как правило, работает в рамках VLESS?
Короче говоря, статья представляет собой нейрообработку недавней публикации «О схеме ограничений РКН в июне 2026-го» (для понимания ситуации гораздо полезнее будет прочитать её), а также ряда других источников разной степени авторитетности.
К слову, отпечаток Chrome в ядрах xray и sing-box отличается и у последнего (во всяком случае, 3 недели назад) не вызывал блокировку. Предполагаю, что и Firefox тоже, поскольку только на sing-box он вызывает у меня ту самую заморозку.
По существу статьи без понятия, давно уже не слежу. Да и читать этот нейрослоп (простите великодушно если это не так, но даже консервативный Яндекс даёт 40% текста сгенерированного, 20% возможно сгенерированного, и 40% человека, а два из первых сайтов в выдаче показывают 90-95% генерации) с вкраплениями самостоятельно (надеюсь, хотя от них все равно отдает запашком тех же чатов с нейросеткой с которыми я когда -то плотно взаимодействовал) написанного текста мне сложновато , ибо технической квалификацией продираться через эти дебри не обладаю. Но чисто любительское мнение подкрепленное некоторым опытом, вся эта дребедень за исключением белых списков решается хостером не из первой десятки, а желательно не из первой сотни. На крупных я еще пол года назад отчаялся что-то развернуть, мелкие хоть часто и дороже но там работает вообще всё. К примеру сервак в Oracle Cloud в париже (тот который free tier на 24ram 4 ядра), у меня на нём еще пол года назад не работало вообще ничего, на крупные хостеры по моему навесили аналог белых списков, хоть и не везде. А вот мелкий хостер в США работал даже с устаревшей фигнёй типа openvpn, специально проверял. И пол года назад настроенный путь с vless по типу клиент в росии-сша-франция (чего бесплатному серваку пропадать, поставил в качестве выходного узла тпу его все равно не видят, авось и помогло чем-то) прекрасно работает везде за исключением белых списков по понятным причинам.
Как по мне, то лучший выход из сложившейся ситуации не искать пути решения разблокировок но создавать собственные сервисы для своего региона. Глобализация себя не оправдала, поэтому лучший способ борьбы с блокировками это уход от назойливых и заржавелых ино-брендов. В конце концов в каждой стране есть свои умы, способные создавать нехилые вещи.
Довольно грустно видеть очевидную нейро-кальку с моей статьи (+ добавление воды). Напомню, что исходная статья хоть и заблокирована РКН, но доступна через отличные от российских ip адреса.
Коллеги, пользуясь случаем попрошу: объясните мне пожалуйста как настроить совместную работу Caddy и xray (vless+xtthp+reality) чисто на текстовых конфигах. Я даже себе тестовый стенд собрал, чтобы исключить влияние ТСПУ (виртуалка с линуксом в качестве имитации vps) - по отдельности и caddy и xray работают, а вместе не хотят.
А Reality зачем? Почему кадди, а не нгинкс? Что дипсик говорит?
VLESS-XHTTP (без Reality).
Caddyfile
example.com:443 {
reverse_proxy /secretpath/* h2c://127.0.0.1:12345 {
flush_interval -1
}
root * /usr/share/caddy
file_server
encode gzip
}server.json
{
"listen": "127.0.0.1",
"port": 12345,
"protocol": "vless",
"tag": "in",
"settings": {
"clients": [
"id": "some-uuid"
],
"decryption": "none"
},
"streamSettings": {
"network": "xhttp",
"xhttpSettings": {
"path": "/secretpath",
"host": "example.com",
"mode": "auto"
},
"security": "none"
}
}client.json
"outbounds": [
{
"protocol": "vless",
"tag": "proxy",
"streamSettings": {
"network": "xhttp",
"security": "tls",
"tlsSettings": {
"fingerprint": "firefox",
"serverName": "example.com"
},
"xhttpSettings": {
"host": "example.com",
"mode": "auto",
"path": "/secretpath",
"xPaddingBytes": "100-1000"
}
},
"settings": {
"address": "example.com",
"encryption": "none",
"id": "some-uuid",
"port": 443
}
}
для умных подсказка, кто поймет тот поймет, но если кратко то вы таким способом можете заблокировать любой легальный сайт на пару десятков минут для всех юзеров вашего CGNAT айпи тупо послав на него запросы которые выглядят как ПРОКСИ
Два чая этому господину за отличный разбор!
Такое ощущение что на Рунете тестируют все механизмы блокировок и закручивания гаек что бы западный инет мог пойти по этому пути без шишек с обходами
Заморозка по fingerprint: как ТСПУ в июне 2026 ломает соединения по поведению, а не по протоколу