Comments 91
Красиво, но Но провайдеру стоит написать официальную претензию.
Но провайдеру стоит написать официальную претензию.Провайдер ответит то же самое, что ответил неофициально. Требования к содержанию «страницы-заглушки» у РКН есть, а вот требования её всегда показывать нет, поскольку не во всех случаях эту заглушку реально показать — например, если в реестре содержится указание «блокировать доступ к IP», что означает бан по всем портам.
Вполне реальна ситуация, когда провайдер обязан ограничивать доступ к IP-адресу (а не к домену), поэтому заглушка не показывается, а на этом адресе висит веб-сервер и крутится сайт. Причём, может так оказаться, что конкретно этот сайт блокировать никто не собирался, а «нехороший» адрес достался ему «по наследству», на этом IP раньше вообще веб-сервера не было, а висел, допустим, сокс-прокси, который РКН заблокировал, прокси взял и переехал, а айпишник из реестра не удалили, потому что РКН не обязан это делать (но если провайдер такой шибко «умный», что решит руководствоваться этой логикой и доступ к IP не заблокирует, а РКН-овский «Ревизор» вздумает туда постучать и обнаружит, что доступ не блокируется, то это пропуск => провайдеру будет засчитан +1 к числу пропусков, а за определенный процент пропусков можно уже и огрести — степень огребания зависит от того, насколько провайдер дружит с региональным филиалом РКН и настолько он готов покаяться и пообещать, что впредь будет усерднее).
А предыдущий провайдер не блокировал, потому что… ну, например, он в особых отношениях с Роскомнадзором. Условный Ростелеком может позволить себе некоторые записи из реестра игнорировать, как, например, проигнорировал когда-то указание блокировать кучу больших подсетей Amazon. А что ему будет? 50 тысяч штраф — это ничто для такого гиганта, а отзыв лицензии… у Ростелекома? Хорошая шутка и политическое самоубийство для чиновника, который о таком заикнется, потому что Ростелеком, гори он огнём, у нас мегачемпион, бюджетным учреждениям интернеты даёт и всякие социальные проекты по интернетизации глухих деревень тащит.
Вот на это и нужно давить.
Наличие IP адреса в реестре никак не является основание не исполнения провайдером своих обязанностей.
В претензии нужно сделать упор именно на то, что доменное имя не находиться в реестре и соответственно провайдер не исполняет добросовестно условия контракты.
Надеюсь у Вас есть юрист? Будем ему практика.
Верно говорит Дудь, этот страх карательной системы въелся в нашу кровь.
Люди! Посещение заблокированных сайтов — законно! Использование анонимайзеров — законно! Участие в несогласованных митингах — тоже законно!
Хотя, был случай, когда через открытую точку сотрудники ГРЧЦ полчаса смотрели порно, а потом запросили у провайдера данные владельца точки, но исход того случая неизвестен, как и мотивы запроса. Есть предположение, что это попытка подвести пользователя под ст. 6.17. КоАП (дети могли теоретически через эту точку получить запрос к контенту, причиняющему вред их развитию), поскольку хотелось его «прижучить», а больше прицепиться не к чему. Но это домыслы, исход дела неизвестен.
habr.com/ru/news/t/467229
Человек выше пишет о законности и о том, как должно быть в теории, а вы пишете о том, что произошло по факту. Естественно, в России правоохранительные органы и суды не испытывают строгой необходимости придерживаться рамок закона, потому у вас и различаются точки зрения.
Возможные последствия для владельца точки в случае, если через неё позвали граждан на несогласованный митинг (а правоохранительные органы заподозрили в совершении этого деяния именно владельца точки), это другой разговор.
Вы знаете, как показывает практика, вы можете не держать открытых точек и не ходить на митинги, но вас все равно арестуют за нападение на сотрудника Росгвардии :(
Тактика точечного террора именно так и работает. Достаточно незаконно посадить одного, чтобы все начали бояться отстаивать свои права…
Как написали выше дьявол в деталях. Если вы не смогли настроить защиту точки и она висит открытая, это ваша беда. Закон подразумевает что вы не можете сознательно предоставлять доступ без авторищации, декларируя его тем или иным образом, получая при этом какую либо выгоду.
Дружище от части ты прав. Незаконно поддерживать различные анонимайзеры, впн и пр. А так же предоставлять услуги связанные с вышеперечисленным. Таким образом мои юзвери закон не нарушают, а меня как админа возможно привлечь...
Незаконно поддерживать различные анонимайзеры, впн и пр. А так же предоставлять услуги связанные с вышеперечисленнымЭто не так, если речь о России. Владелец анонимайзера обязан по требованию РКН начать фильтровать выдачу. Поддерживать анонимайзер не запрещено, а его владелец не обязан ничего фильтровать до получения соответствующего требования.
И где я ошибся? Последует ли наказание если я откажусь исполнять требование РКН? Моя задача максимум обезопасить себя и моего работадателя от возможных проблем. Я пишу о сути, вы говорите по существу. У меня нет времени и желания искать грань между законностью и праванарушением. Особенно за счет и средствами работадателя. И еще раз. Статья не юредичиская, она техническая. 1 из возможных способов решения конкретной проблемы. Офтопом про закон я лишь снимаю с себя ответственность за возможные действия 3-х лиц.
За посещение нет. За поддержку доступа к таким сайтам есть)
Во-первых, RouterOS он не ресолвит все A- и АААА-записи, которые принадлежат домену. Может быть, не стоит так категорично утверждать, но я встречался с примером этого в моей практике.
Во-вторых, во времена приснопамятной веерной блокировки
Речь идет хоть и о частых но о единичных случаях, когда необходимо обойтись малой кровью. Вариантов решения огромное количество. Я покзал один из них. Тот который позволит избежать ответственности за предоставление доступа к заблокированым ресурсам которые вполне могут оказаться в той подсети доступ к которой вы откроете. Если начать рассматривать все возможные варианты то у каждого будет к чему придраться.
Но где же тогда редирект на страницу с указанием на то что данный ресурс заблокирован и т.д. и т.п., спросите вы.А редиректа и не будет если вы через HTTPS идете на сайт, только обрыв соединения. Редирект выходит только если вы идете не сайт через HTTP, т.к. не проверяется защищенность соединения и провайдеру легче подсунуть вам редирект на заглушку.
Уберите, пожалуйста, свои рассуждения о законности — не вводите людей в заблуждение. Каковы бы не были законы о блокировках они только к провайдерам относятся, к распространению информации, а не к потреблению её
Позвольте мне как автору самому решать о каких своих рассуждениях писать. Прошу заметить что речь в моем случае идет не о домашней сетке. А о сети предприятия. Закон не запрещает (пока) находить лазейки частным гражданам. Закон запрещает поддерживать и предоставлять такой доступ. И я как админ вполне подхожу под эти ограничения.
Я бы не был так уверен. Конечного пользователя это не затрагивает, а вот на счёт организации не факт. Фактически в таком случае организация становится владельцем vnp сервиса, на которых распространяется требование блокировки.
Мы законопослушные граждане и не ходим туда куда нам запрещают наши госорганы.
Категорически не согласен с подобными формулировками! Куча сайтов заблокированы по беспределу, причем вполне себе официально. А такими словами вы только подтверждаете факт того, что схаваете все, что вам припихнут под соусом «законности». Из за людей с таким мышлением в стране и не меняется ничего, и ничего не поменяется, пока вот такое совковое мышление из голов людей не искоренится.
Я вполне разделяю вашу точку зрения. Но положа руку на сердце, скажите. Вы повторите те же самые слова своему работадателю? У вас хватит мужества сказать ему что вы сами будете решать кому и куда давать доступ? И последний вопрос. Вы готовы у себя дома настроить неконтролируемый доступ к интернету для всех желающих, сли нет то почему?
Вы повторите те же самые слова своему работадателю? У вас хватит мужества сказать ему что вы сами будете решать кому и куда давать доступ?
Не знаю, я, к счастью, не был в такой ситуации. Но если бы был, я бы потребовал от руководства предоставить мне список сайтов, которые необходимо разблокировать и разблокировал бы только их, маршрутизацией трафика до их ip через другого провайдера или vpn. Не стал бы городить этот огород и исправлять сломанное роскомнадзором.
Вы готовы у себя дома настроить неконтролируемый доступ к интернету для всех желающих, сли нет то почему?
Да, готов. Более того, я это давно сделал, завернув 100% домашнего трафика в vpn. Считаю практику запрещений, порочной и деструктивной в долговременной перспективе.
В детстве мне много чего запрещали без объяснения причин, просто нельзя и все, поэтому я, как никто другой, знаю, как практика запрещений отрицательно влияет на человека, лишь подогревая интерес к запрещенному. Нужно не запрещать, а просвещать, учить людей самостоятельно отличать хорошее от плохого, а не держать их в искуственно созданном стерильном вакууме, вырвавшись из которого они офигеют от реального мира и начнут делать всякие глупости. Но это сложно, проще запретить.
Нужно не запрещать, а просвещать, учить людей самостоятельно отличать хорошее от плохого, а не держать их в искуственно созданном стерильном вакууме, вырвавшись из которого они офигеют от реального мира и начнут делать всякие глупости. Но это сложно, проще запретить.
"Вы будете смеяться" ©, но, строго говоря, именно описанное Вами и погубило СССР. Люди насмотрелись американских фильмов, где герои живут в собственных домах, где всё идеально, у каждого есть машина, которая никогда не ломается, никто никогда не болеет и т.п., и захотели того же самого. А если бы выезд не запрещали, чтобы желающие могли хлебнуть заграницы полной чашей, всё могло сложиться по-иному.
Умер один добрый человек и попал, как полагается в рай. Живет — не горюет.
Вдруг через рай несутся черти в колеснице, и говорят:
— Поехали с нами, у нас выпивка, девушки, прелести всякие, все искушения на выбор, все что захочешь! Поехали!!!
Мужик пошел к Господу:
— Господи, пусти меня в Ад на экскурсию!
— Но зачем тебе это? Тебе чего-то не хватает?
— Да нет, но просто интересно посмотреть.
Господь дал ему разрешение на три дня. Мужик вернулся, полон впечатлений. Через некоторое время снова черти несутся через Рай. Снова пригласили. Отпросился, вернулся — довольный. Через некоторое время опять все повторилось. После нескольких путешествий мужик долго думал, пришел к Господу:
— Господи, отпусти меня на совсем в Ад!
— Ты в этом уверен???
— Да.
Отпустил его Господь.
Мужик собрался, приехал в Ад, а его тут же в смолу!
— Ребята, да вы чего, это же я, вы же со мной пили, мы ж…
— А ты НЕ ПУТАЙ ТУРИЗМ С ЭМИГРАЦИЕЙ.
По-иному ничего сложиться не могло бы по одной простой причине. СССР развалился не из-за того, что люди насмотрелись американских фильмов. И я конечно в СССР не жил, но сдается мне, их там не очень-то показывали.
СССР развалился не из-за того, что люди насмотрелись американских фильмов
Конечно, нет. Вряд ли можно назвать одну конкретную причину, способствующих факторов было немало, и это — один из них.
И я конечно в СССР не жил
Ну так не спорьте о вкусе ананасов с теми, кто их ел. Показывали (не всё подряд, конечно), во вполне официальных кинотеатрах (на особо любимые я вообще раз десять ходил), а ближе к концу — так вообще (как пошли всякие видеосалоны и частные телеканалы) хлынули мутным потоком.
Скорее СССР погубил (в этом контексте) контраст между советскими фильмами о советской реальности и собственно этой реальностью. Не было бы этого контраста, советская пропаганда "в американском кино враньё или просто сказка, а на самом деле там негров линчуют" воспринималась бы серьёзней. А когда она же утверждает, что в совестком кино правда, а любой видит, что нет, то к её словам об Америке доверия не будет.
контраст между советскими фильмами о советской реальности и собственно этой реальностью.
Не припоминаю какого-то особого контраста (ну, кроме тех товарищей, которые нам совсем не товарищи которых в конце фильма обычно разыскивала милиция). Парочку примеров не подкинете?
Может хватит официального определения соцреализма?
Социалистический реализм, являясь основным методом советской художественной литературы и литературной критики, требует от художника правдивого, исторически-конкретного изображения действительности в её революционном развитии. Причём правдивость и историческая конкретность художественного изображения действительности должны сочетаться с задачей идейной переделки и воспитания в духе социализма.
То есть перед соцреализмом не стояла чистая задача отображения социалистической реальности, требовалось её не просто отображать, а исключительно в определенном ключе, да так чтобы она переделывала людей
В детстве мне много чего запрещали без объяснения причин, просто нельзя и все, поэтому я, как никто другой, знаю, как практика запрещений отрицательно влияет на человека
Как говорят американцы, эта фраза попросту сделала мой день. Давно так не смеялся, спасибо.
Дорогой Bonio. Вы статью прочли полностью или только вступлением огианичились? Я сделал тоже самое что предлагаете сделать вы. Только элегантние и за меньшее колличество телодвижений чем сделали бы вы. Спросив вас про неконтролируемый доступ я имел в виду сл. В своей борьбе за свободу доступа к информации вы готовы предоставить свои каналы связи всем желающим? Абсолютно всем, вне зависимости от того знаете вы этих людей или нет.
Вы же вообще вопрос не поняли, судя по ответуВы готовы у себя дома настроить неконтролируемый доступ к интернету для всех желающих, сли нет то почему?Да, готов. Более того, я это давно сделал, завернув 100% домашнего трафика в vpn.
Во-первых, у вас какие-то древние микротики. Даже RB951G отлично работает, а уж hAP ac^2 и подавно.
Во-вторых, вы неверно трактует закон. Ответственность несут провайдеры, которым теперь ещё и ревизора воткнули.
Скажите, у вас есть лицензия на предоставление доступа в интернет? У вас стоит ревизор? Наконец, у вас установлено оборудование СОРМ? Если нет, то за отсутствие блокировок вы ответственности не несете.
Дома я тоже долго игнорировал блокировки до тех пор, пока у меня не сломался google chromecast и не начались массовые проблемы с доступом к разрешенным в РФ сайтам (та самая эпопея с телеграммом).
Самое простое решение проблемы — не использовать mangle (который тоже жрёт ресурсы), а прописать маршруты к необходимым сетям.
Если не хотите прописывать ручками — можете получать их динамически от BGP пира. Либо самостоятельео поднять у себя на виртуалке, либо поднять пиринг с существующим сервисом (на Хабре про него писали).
В итоге в VPN вы отправите только нужный вам трафик и очень надолго забудете о проблеме.
Соответственно резолв не сработает и данные через шлюз не пойдут.
Есть ли адекватный способ попросить для этих(и только этих) адресов и резолв делать через шлюз?
Используйте правильные DNS.
1.1.1.1
8.8.8.8
Не используйте провайдерские DNS
C:\>nslookup
╤хЁтхЁ яю єьюыўрэш■: UnKnown
Address: 192.168.1.1
> server 8.8.8.8
╤хЁтхЁ яю єьюыўрэш■: dns.google
Address: 8.8.8.8
> telegram.org
╤хЁтхЁ: dns.google
Address: 8.8.8.8
Не заслуживающий доверия ответ:
╚ь : telegram.org
Addresses: 2a02:2698:a002:1::3:17
5.3.3.17
> set vc
> telegram.org
╤хЁтхЁ: dns.google
Address: 8.8.8.8
Не заслуживающий доверия ответ:
╚ь : telegram.org
Addresses: 2001:67c:4e8:1033:1:100:0:a
2001:67c:4e8:1033:2:100:0:a
2001:67c:4e8:1033:3:100:0:a
2001:67c:4e8:1033:4:100:0:a
2001:67c:4e8:1033:5:100:0:a
2001:67c:4e8:1033:6:100:0:a
149.154.167.99
Поправьте меня если я ошибаюсь. Стандарт запроса-ответа dns именно udp. Tcp используется например при передаче зон...
Впрочем, для большинства случаев, tcp работает уже сейчас.
DNS открытый протокол и провайдер его перехватывает без проблем.
Вы сами себе провайдеры. Кто вам мешает заворачивать любые запросы в тот же впн?
Если не проверили проверьте для начала куда идут ваши запросы на самом деле, Nslookup вам в помощь. Ну и dns ssl тот же гугл и фаерфокс уже почти допилили.
Есть ли адекватный способ попросить для этих(и только этих) адресов и резолв делать через шлюз?
Простите я видемо не до конца понял Ваш вопрос. Наверняка это возможно. С появлением 1.1.1.1 скорость отклика которого порой даже выше провайдреских я завернул все запросы на него. И мне не совсем ясно для чего нужно разделение днс трафика. Когда проще найти 1рабочий правильный днс сервер.
— если хотите для всех устройств и без их (устройств) настройки поднимаете на роутере впн, перехватываете весь DNS трафик на роутере и отправляете в впн (на микротике настраивается достаточно просто), но будете зависеть от ВПН, если он упадет, интернета у вас не будет
— если хотите в пределах одного устройства, но для всей операционной системы, настраиваете локальный ДНС, который обращается к глобальным ДНС с шифрованием, можно что-то типа DNSCrypt, а можно обычный ДНС сервера c поддержкой DNS-over-https (в bind вроде уже появился, да и других полно)
— если для Вас достаточно только в рамках браузера, то firefox поддерживает DNS-over-https, добавить пару строчек в about:config и готово.
Но т.к. не являюсь админом — проблемы именно с реализацией на практике.
На хабре есть личные сообщения? Если есть напишите мне в личку, пообщаемся.
На роутере настроены днсы 1.1.1.1 1.0.0.1 (если получаете ip от провайдера по DHCP, не забудьте отключить Use Peer DNS в настройках интерфейса)
Разрешаем днс запросы к роутеру
/ip dns
set allow-remote-requests=yes
Заварачиваем 53 порт на роутер (правила в самый вверх)
/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=udp src-address=192.168.88.0/24 to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=tcp src-address=192.168.88.0/24 to-ports=53
где 192.168.88.0/24 локальная есть.
Указываем через какой адрес/интерфейс делать запросы на 1.0.0.1 и 1.1.1.1, прописываем отдельные маршруты для наших днс серверов.
/ip route
add distance=1 dst-address=1.0.0.1/32 gateway=pppoe-out pref-src=172.17.2.60
add distance=1 dst-address=1.1.1.1/32 gateway=pppoe-out pref-src=172.17.2.60
где pppoe-out интерфейс pppoe подключения провайдера, 172.17.2.60 ip адрес, который получил микротик от впн сервера (можно указывать просто впн интерфейс, если у вас не policy based впн как у меня, типа openvpn)
В принципе все, трафик на 53 порту перехватывается со всех устройств и направляется на роутер, когда роутер пытается делать ДНС запрос, он уходит через впн ip (т.е. заворачивается в впн).
У меня немного избыточная конфигурация (из за других настроек), но тоже не сложно. Для надежности можете заблокировать попытки обращения на другие днс сервера с других адресов/интерфейсов (на случай, к примеру, если забыли отключить Use Peer DNS).
Ну или можете написать личное сообщение, если будет время постараюсь подсказать.
Много софта полностью игнорирует DNS системы, к примеру Телеграм.
Да что уж говорить, Windows 10 полностью игнорирует системные настройки ДНС, когда это касается системных служб и телеметрии. Я в начале тоже раздавал по dhcp, потом пришел к этому варианту, с ним всегда все работает, не важно какие устройства и как настроены.
+ заварачивая трафик вы можете добавлять статические ДНС записи, к примеру добавив IP для example.com на микротик, он начнет резольвиться в этот адрес на всех устройствах в сети (не надо бегать добавлять всем в hosts, а на андроиде не всегда возможно), это часто бывает полезно, с Вашим вариантом так не получится
Если друзья используют ручную настройку адреса — не надо уподобляться плохим провайдерам и использовать заворот на себя, зачем-то же они на своих устройствах это сделали.
Кстати, можете найти подтверждение про игнорирование днс в windows 10? Я бегло найти этого не смог.
По поводу работы DNS в windows 10, как то давно пытался блокировать телеметрию через DNS, ничего хорошего не получилось и снифер показывал запросы по 53 порту на левые адреса (сейчас блокирую через GPO firewall, с отключением обычных правил, трафик только тот, что разрешил). Работа DNS в windows 10 вообще не очевидна, ОС, помоему, делает одновременный запрос на все ДНС сервера, и использует тот ответ, который пришел раньше, в связи с этим возникают проблемы, когда ответ через впн приходит позже и благодаря CDN балансировке (не тот регион) у вас возникают дополнительные тормоза через впн. Сейчас как минимум попробуйте подменить microsoft.com в hosts на свой и проверьте результат (ip не изменится), ну или попробуйте прослушивать трафик на 53.
Ну и на всякий случай, я не предлагаю вмешиваться в трафик как провайдеры, я тоже против этого. Просто в данном случае перехват трафика менее проблемный, если я не перехвачу весь трафик, то в половине случаев его перехватит провайдер, что приводит к проблемам.
У вас же есть резервный шлюз? Смайл.
Вот на этом стоит остановится подробнее. Как, находясь на территории России, подключить резервный шлюз, который не будет фильтроваться РКН с учетом перспективного закона о Рунете и массового внедрения DPI?
Предлагаю рассмотреть самый жесткий сценарий с блокировкой зарубежного VPN трафика.
Пока есть возможность достучаться до зарубежных серверов, на вскидку ovpn, sstp. Которые способны работать на 443 порту маскируясь под https. Хотя конечно на сколько в перспективе эффективным окажется dpi? Штука новая не известно всего чего и как она может. Но что то мне подсказывает что скорее будет закрытый чебурнет, чем они действительно начнут детальный анализ всего подозрительного трафика. И если таки дойдет до чебурнета (в чем лично я уже почти не сомневаюсь). То остается лишь уповать на космический интернет от Теслы и иже с ним. При чем люди которые сумеют наладить контрабанду абонентских терминалов, буквально озолотятся. Не удивлюсь если этими людьми окажутся те же Ротенберги.
Ну и, да, так split-gw подход дает side-эффект в виде вашего как бы одновременного присутствия разом в точке проживания (по IP от провайдера) и в точке второго шлюза (для РНК-закривленных маршрутов). На выходе это иногда мешает жить больше, чем просто перенаправление всего трафика в шлюз, без разделения.
Например, если вам нравится заходить на сайт 7-zip.org для проверки его обновлений. И ещё пару подобных ресурсов.
В статье описано решение для корп.сети. Задача была дать доступ к ошибочно закрытым сайтам. Список которых на сегодня (для моей сети), не больше 10 шт. Что происходит всего черного списка ркн с микротиками я так же написал. Пускать весь трафик через другие каналы контрпродуктивно. Даже если ваш шлюз шире основного канала будут задержки отклика. Статья не про то как обмануть рнк. Про это можно нагуглить в других местах. Статья про небольшой костыль в корп.среде. Решающий конкретную, небольшую задачу без строительства вавилонской башни.
Мы законопослушные граждане и не ходим туда куда нам запрещают наши госорганы.
Они не нам запрещают, а провайдерам. И не запрещают, а это цензура в чистом виде.
Душевный Mikrotik против бездушного РКН и такого же провайдера