Comments 144
2) Конторе 0 рублей потраченных средств (при том что речь идет о смешных суммах — VPN можно и от 1 доллара в месяц найти, ну а за 5 долларов — вы получите гарантировано отличнейшую производительность) — не довод вообще.
Конторе важно чтобы оно работало, а не сэкономить 3 копейки.
3) Tor — это средство анонимизации. В отличие от простого VPN. Вопрос — а чем занимается ваша контора, что нуждается в таком?
является нормальным решением
И Гугль всегда нормально работает?
Я вот наблюдаю как при подключении через Тор так Гугль постоянно:
1) Как минимум запрашивает Капчу решать.
2) А иногда и просто — блокирует, и Капчу не предлагает.
Яндекс чуть добрее — но в принципе такой же подозрительный.
VPN можно и от 1 доллара в месяц найти
С оплатой в рублях и отчётными документами? Флаг в руки.
Надежность — под вопросом. Если VPS попадет в список блокировки?
Надежность под вопросом у Тора.
Гугль-Яндекс практически всегда требуют капчу решать. Но! Иногда и капча не помогает — просто нода Тора заблокирована у них намертво — и живи со своим прокси как хочешь
VPS с вашим личным IP (не shared) на небольшом хостере — никуда не попадает ни в какие списки.
Да и производительность у VPN существенно выше, чем у Tor
У Гугль-Яндекса капча вводится в поисковиках, насколько я знаю?
Нет, не только одной капчой дело ограничивается.
Нередко и капча не помогает.
Тебе сразу выдают страничку — что твой IP (IP выходной ноды Tor) заблокирован.
Иногда не сразу, иногда после парочки поисковых запросов.
Это очень даже нередкое поведение.
И сколько нужно будет поднимать VPS с VPN в случае частых блокировок? Tor не заблокируют. Есть obfs.
Глупо подымать VPN в сетях Амазона, Хетцнера и пр. — кого блокировали вместе с Телеграмом.
Мелкого же хостера не заблокируют, ибо не придет к нему Телеграм, Телеграму банально это неудобно. Поднять VPN у мелкого хостера и спать спокойно.
Tor лочат уже отдельные провайдеры. Наблюдал такое на Урале в двух разных городах. И мосты не помогали, к сожалению — с ними скорость была никакующая.
VPS с VPN — это хорошо. Но у меня Squid итак работает, прокси нужен. Поэтому было решено попробовать его научить обходить блокировки РКН.
Преимущество в том, что не надо покупать VPS
Если вы школьник — то, да, это довод.
Вы то позицируете сие решение для конторы, как вы сами тут написали habr.com/post/354708/#comment_10788154
А стоимость VPS смешная.
который, к слову, тоже может попасть в блокированные подсети из-за сами знаете чего
Если это не публичный VPN, то никуда он не попадет.
Не заводите его на Amazon, заведите у мелкого хостера — и никаких случайных блокировок вам.
Решение через Tor крайне медленное.
На фоне скорости Tor и копеечных затрат на другой-второй-третий VPS довод про блокировку VPS, которая не более чем случайна — притянут за уши.
Вы банально через Tor не сможете полноценно пользоваться google.com — ибо Google сам блокирует частенько ноды Tor.
Плюс, статья может быть полезна бюджетным организациям, где на RJ45 коннекторы по полгода деньги выделяют
Что-то сомнительно чтобы в учреждениях, не имеющих в запасе пару десятков RJ-45, жизненно необходимыми были бы вообще хоть какие-нибудь зарубежные сайты.
И, запросто руководству предприятия это может стоить места, если кто накапает, что у них блокировки обходятся. И за меньшее по шапке дают.
И в принципе не владеете ситуацией.
Перешли на личности? Кончились здравые аргументы?
Я понимаю, что вы решили техническую задачу — и гордитесь этим. Это то понятно.
Но вот обоснование… Для бюджетных учреждений? Вы серьезно?
Какие именно жизненно важные ресурсы для бюджетной организации, которая на столько далека от современных технологий, что такой организации даже RJ-45 нужно за полгода заказывать — какие такие жизненно важные ресурсы, размещенные на заграничных хостингах, которые прям настолько нужны организации, что руководитель этого бюджетного госучреждения готов рискнуть своим местом?
Конкретные примеры, пожалуйста.
И, еще один вопрос, а что мешает запускать Tor локально?
Не навлекая возможной ответственности ни на админа этой организации ни на ее руководителя?
Речь идет об обходе блокировки неправомерно заблокированных ресурсов, попавших «под раздачу».
Давайте не будете врать.
Tor позволяет обходить все. И правомерные и неправомерные.
Вы проверяете все судебные решения? Ваша прокси автоматически блокирует только неправомерные сайты?
Какая ответственность? Вы внимательно читали то, что я писал? Ничего противоправного в статье не описано. Tor локально? Вы серьезно? И ЗАЧЕМ?
Вы предложили VPS и VPN, ок, предложили так предложили, но нам это не нужно, нет надобности, понимаете? Предлагаю закончить диалог.
Если у Вас есть лишние 2 евро, можете платить, никто ведь не запрещает!
Это делается элементарно.
Контора дает тебе типа премию в размере этих 2 евро.
Ты оплачиваешь с личной карты.
Никаких заморочек по бухгалтерии.
И ничего не покупаешь за личный счет.
В чём приемущество описанного в статье метода, я не понялв том, чтобы в vpn/tor маршрутизировать только «запрещенный» трафик. Используя остальной интернет напрямую.
И с репозиториями неаккуратно вышло… я бы Бастер подключал с другим приоритетом, и вместе с основным, а не вместо него. И apt указал бы ставить пакет из него.
Как мы все знаем, Tor — это не HTTP-прокси
Мы все также знаем, что с версии 0.3.2 Tor может использоваться в роли туннелирующего HTTP-прокси (использует метод «HTTP CONNECT»). Порт для приёма соединений к прокси задаётся через настройку HTTPTunnelPort.
Кстати, в вашей конфигурации работают websockets?
Чем ваш подход лучше этого и этого вариантов?
Чем хуже сразу можно сказать: нужно патчить и собирать свои версии пакетов, а значит потом тоже нужно будет пересобирать и постоянно следить за обновлениями. Конкретно головная боль и лишняя забота. Про url_regex
я даже не знаю что сказать.
1) в Ваших вариантах другой подход в принципе, свои плюсы и минусы.
2) мне нужен был именно Transparent HTTP+HTTPS прокси, по которому можно нормально и централизовано отслеживать посещения, в т.ч. HTTPS ресурсы. И данная связка это позволяет. Плюс, в моей первой статье 2015 года так и не была решена основная проблема — ip адреса в логах на порту 443 вместо доменных имен. И не работали более новые версии Squid. Лучше поздно, чем никогда) Проблему исправил патчем. Эта статья, можно сказать, дополнение к первой про peek and splice.
3) можно ничего не патчить и не компилить, а просто взять готовые пакеты и поставить, накатить конфиг, дело 10 минут.
Про требование отслеживать посещения в статье ни слова, стоило бы добавить если это, вы считаете, важно. Добавлять ли обсуждение достоинств и недостатков этого подхода, а также ссылки на альтернативные варианты — на ваше усмотрение.
Нет, конечно, url_regex
работать будет, но всё равно немного странно использовать ограниченный список доменов, когда есть полный список всех заблокированных сайтов в открытом доступе. По хорошему должно быть объяснено почему используется именно url_regex.
тогда люди получат доступ к действительно по праву заблокированным ресурсам, что недопустимо.
Либо трусы, либо крестик. Либо ресурсы заблокированы, и к ним доступа нет. Либо админ придумал и реализовал способ обхода блокировки, и предоставил этот способ в общественное пользование — тогда он нарушает, ага.
Интересна сама концепция правомерности блокировок согласно некому списку регэкспов.
А замглавы Минкомсвязи Алексей Волин вообще заявил: «У нас разве есть закон, запрещающий обходить блокировки? Я про такой не слышал».
Для личных целей, — нет закона, да.
А публичные сервера обхода блокировок — уже прикрывать начали и это вполне по закону.
Дома — вы можете это сделать.
Но предоставить Tor целой фирме — это не то же самое.
Если бы вы предоставили Tor только на Whatsapp — это еще куда ни шло.
Но вы то предоставляете доступ на все заблокированное.
А что админ нарушил, «предоставив общественности» способ обхода неправомерных блокировок РКН?
Вы можете ознакомиться с материалами по делу Дмитрия Богатова,
арестованного в связи с тем, что он держал ноду Тора, то есть как раз «предоставил общественности способ обхода блокировок».
Неправомерных блокировок или правомерных блокировок — всего лишь игра слов, так как какие именно блокировки ваша система не определяет, на это нужна экспертиза человеком.
Вы сравниваете совсем не те вещи, не вводите в заблуждение
Конечно же, это просто фантазии, такого быть не может, и никогда ничего подобного не было…
Или можно выбросить Tor, купить VPS за $5, настроить ssh-туннель с локальным SOCKS5 и заворачивать туда.
ExcludeExitNodes {ru,ua}
Это исключает использование выходных узлов в указанных странах (хотя, вероятность, что вам попадётся именно российский узел, мала, но она есть). Ещё придётся установить пакет tor-geoip (в Debian — tor-geoipdb).
VPN, VPS — еще раз, не надежное решение, в перспективе. VPN блокируется как таковой. Причем легко, в отличие от Tor с obfs. И Tor бесплатен, если интересует именно скорость, то как я уже сказал, ничего не мешает сделать несколько сервисов и настроить на них Squid. К тому же, я готов к более конструктивному обсуждению Вашего способа. Предоставьте обзор, я только рад, на такую-то тему
1) нужен сервер «где-то там». И насколько он будет доступен — тоже вопрос.
2) не для каждого CCNP.
3) как Вы сами же изъяснились, «Какое-то некрасивое полурешение»
4) платно. Почему кто-то должен дополнительно платить за то, чтобы работать в Интернете, если он уже итак за него платит?
Это малая часть недостатков. Безусловно, там есть и свои плюсы. Подход абсолютно другой. Каждый сам решает, с чем ему извращаться. Можно покупать VPS за бугром, настраивать до него туннели и т.п., с маршрутизацией копаться. Можно настроить несколько сервисов Tor, использовать и не беспокоиться о скорости и о том, что «оно отвалится» из-за каких-то там аварий\блокировок и т.д.
Здесь ведь еще, не забывайте, вопрос доступности для других. Вы сможете реализовать. Я смогу. Петр — сосед сисадмин не сможет, Евгений не сможет, и т.д. Поставить Squid, Tor, настроить за 10 минут базовый конфиг из статьи сможет практически любой админ, хотя бы немного знающий Linux. И решение в принципе не уступает вышеназванной статье по функционалу. Вы говорили, что «интернет не ограничивается https и https». Это верно. Но… К чему нужно получить доступ вне этих протоколов? Если заблокирован доступ к какому-то серверу по SSH, что мешает пускать SSH через тот же Squid?) Или FTP?
думаю Вы сами откроете оф.документацию Тор и поймете, что нет никаких публичных мостов. С 2012 года их не существует. И список взять неоткуда
В Китае Тор блокируется.
И список взять неоткуда
Не смешите.
Исходники Тора открыты. Никто не мешает РКН подключиться как обычному пользователю для получения списка мостов — кандидатов на блокировку.
И сделать все автоматизировано.
Имхо, вопрос времени.
Я уже столкнулся в двух уральских городах с крайне отвратительной работой Тор. Без мостов вообще не работало. С мостами — дико медленно.
При том что канал в интернет сам по себе был довольно жирный.
Что? Вы сначала хотя бы проверьте информацию. В Китае блокируется Тор так же, как и в других местах, то есть через одно место, obfs там прекрасно работает. Не вводите в заблуждение других
Через бриджи все прекрасно работает, нужно уметь это настраивать
Перекрыть Tor можно только полным отключением от глобальной сети, имейте это в виду, прежде чем делать такие заявления
До того, как РКН из-за какого то Телеграмчика начал блочить по десяткам миллионов адресов — вам можно было поверить.
Но государство показало, что у него есть рычаги для очень масштабных действий. Другое дело, что эти рычаги нужно еще тонко подстроить.
Но количество нод Тора не бесконечно. Совсем не обязательно полностью отключать интернет, чтобы залочить значительную часть нод.
Оставшимися после этого будет трудно пользоваться для чего нибудь серьезного — из-за возросшей нагрузки.
Вам говорят о том, что ноды Тора — это в той или иной степени — публичная вещь. Публичные VPN уже блокировать начали. И до Тора доберутся.
Частные VPS сервера, — другое дело. О них никто не знает кроме вас.
И еще раз… Сколько стоит Ваше решение вопроса?) 10 VPS с VPN, Вы серьезно?)
10 VPS — это от 10 до 30 долларов в месяц.
Но этого не нужно.
Вы в пылу спора навыдумывали ерунды, частные VPN на базе своего VPS (не те, что предоставляют публичные услуги) — не имеют никаких повышенных рисков по блокировке.
Уважаемый, вы пробовали в конторе заворачивать все на забугорный VPS? Как Вы себе это представляете? Я уже выше писал, напишу еще раз, раз уж так нужно. VPS\VPN и прочее не предоставляют возможностей по масштабированию, абсолютно, никак и никогда.
Это если не знать насколько медленным является Тор.
Вы предлагаете для масштабирования добавлять входные ноды Тора.
Когда всего лишь 1 сервер VPS/VPN на минимальном тарифном плане будет попроизводительнее нескольких входных нод Тора.
Тор-то базируется на ровно тех же каналах интернета, он не является более скоростным чем VPS за счет какого-то волшебства.
Могут быть проблемы с слишком большими затратами процессорного времени на шифрование. Так ведь вам для обхода, а не для сокрытия. Значит, можно обойтись без шифрования. Какой нибудь bird завести вместо полноценного VPN и процессора уже хватит.
Отлично работает даже на low-end домашних роутерах за несколько тысяч рублей.
Здесь подробно описал habr.com/post/270657
Хорошо. Но масштабируемости в принципе нет. Squid + Tor позволяет масштабировать систему насколько угодно.
Это не ваша личная сеть.
И она не расширяется сама по себе, как облако, когда просто платишь больше.
Вы можете обойти первоначальную ограниченность скорости сети Тора — путем использования дополнительных входных нод.
Но не забывайте, что этим ноды до вас не пустовали. Ими пользуетесь не только Вы и их число не бесконечно.
Так что насчет масштабируемости — вы явно оптимистично. Там куча ограничений.
она не расширяется сама по себе
К слову, сеть Tor расширяется каждый месяц и довольно неплохо.
Так что насчет масштабируемости — вы явно оптимистично. Там куча ограничений.
Какие — такие ограничения, которые нельзя компенсировать? Спрашивали про скорость — я уже ответил. Доступность? Легко, уже ответил. Поддержка? Легко. Какие там еще есть ограничения? Зато в VPS+VPN есть куча ограничений, которые довольно критичные в условиях всяких блокировок\слежек\другого тотального бреда. И этих ограничений нет в Tor. И даже если понаставят кучу DPI с супер умными алгоритмами, Tor будет работать и при должной настройке с хорошей скоростью, чего я, к сожалению, не могу сказать про VPN.
Я предлагаю просто закрыть диалог, так как это переливание из пустого в порожнее. Все уже выше написал, и всё равно люди говорят одно и то же.
В статье предложена конкретная реализация метода на openwrt. Онная платформа естественно подразумевает собой soho-использование, но, во-первых, никто не заставляет использовать именно ее.
Во-вторых даже в этой конкретной реализации пожалуй единственная плохо масштабируемая вещь — dnsmasq. При необходимости отслеживание резолвинга 'запрещенки' можно сделать на том же unbound, причем с преферансом и поэтессами. Для soho (на который заточена статья) это естественно перебор, но если встает вопрос масштабируемости, то python в зубы и вперед.
Вся остальная обработка трафика такая же, как у большинства других linux based routers. В сценариях, когда софтовые маршрутизаторы окажутся недостаточно масштабируемы во-первых очень врядли есть место сквиду, во-вторых есть более простые и радикальные способы решения проблем с блокировками.
python в зубы и вперед.
Это явно не сходится с Вашими словами «есть более простые и радикальные способы решения проблем с блокировками.». Я же сказал, что если вдруг скорости не хватает — да просто даже клонируем конфиг файл Tor, ставим другой порт, запускаем, в Squid указываем еще один Cache peer, всё… Что может быть проще этого?
Я не говорю, что Ваш способ плох. Он просто другой. Со своими — и +
Не нужно смешивать 'способ' и 'реализацию'.
'ваш' способ — разбирать трафик на L7
'мой' — перехватывать обращения к DNS и на их основе менять правила маршрутизации (L3)
А что squid, что openwrt — это уже детали реализации.
Он просто другой. Со своими — и +
Абсолютно верно. Но эти '+' и '-' вовсе не масштабируемость.
В случае разбора трафика на L7 (ваш способ со squid) можно более точно определять заблокированность ресурса и меньше трафика направлять 'в обход'.
А в случае работы на L3 атомарной единицей разблокировки становится IP адрес.
С одной стороны большая точность это конечно же плюс.
С другой — она никак не должна быть выше точности с которой блокирует провайдер, иначе итог точной разблокировки немного не оправдает ожидания.
Разбирая трафик на L7 мы естественно ограничиваемся только теми протоколами, которые умеем на L7 разбирать (привет телеграму).
Ну и работа на L3 менее ресурсоемка.
ps:
если вдруг скорости не хватает — да просто даже клонируем конфиг файл Tor, ставим другой порт
если это и есть 'масштабируемость', то она достигается даже на конкретной реализации с openwrt: "просто клонируете конфиг tor, ставите другой порт" и добавляете redirect в iptables, регулируя распределение трафика тем же random.
pps:
под более простым и радикальным способом я имел в виду, что если вы действительно уперлись в потолок масштабируемости софтовых роутеров, то сеть у вас бооольшая, аплинков несколько и почти наверняка есть своя AS (а если нет — имеет смысл ее получить). Дальше объясняете своим аплинкам, что вы большой и взрослый, трафик у вас транзитный и фильтровать его вы будете сами.
При создании сертификата CN указывал. ЧЯДНТ?
Конфиг pastebin.com/4zrVrw7r — просто прокси без тора и фильтрации для начала. Хром негодует.
В чём может быть проблема? Сертификат создавал командой из статьи.
Прозрачность — это прозрачность, никакой авторизации и настроек на стороне клиента. Только заворачивайте файрволом порты на Squid и все. И Squid должен быть шлюзом по-умолчанию для клиентов.
У себя заменил FoxyProxy на SmartProxy. У него есть удобная фишка — полуавтоматическое создание правил для недоступных хостов. Полезно для сайтов, которые используют заблокированные внешние ресурсы, не нужно искать, что именно отвалилось. И в целом интерфейс поудобнее.
При таком конфиге, чтобы обойти заблокированные адреса https достаточно в браузере прописать прокси :3130. Это можно как-то быстро поправить?
«Прозрачный» HTTPS прокси для обхода блокировок Роскомнадзора