Comments 98
Просто трафик с вашего цода в РФ пока не попадает под фильтрацию, но Вы молодец, расскажите об этом им)
Ха)
На мой взгляд, даже если датацентру стукнет в голову начать заниматься этой ерундой, то запаряться они фильтровать вариант № 3. Особенно если будет много socks5 + балансировщик.
Ни дата-центр, ни вышестоящие операторы не принимают решения о блокировке трафика по ФЗ-90. Кого, когда и в какой порт ТСПУ включать решает местный ГРЧЦ. И дата-центры через ТСПУ ШПД не включаются, а именно там режется существенная часть протоколов и замедляется Youtube.
А вы вообще пробовали выходить в интернет только через ВПН на рос. сервере? Вполне возможно, что внешний сервер вам и не нужен
Нужно разделить фильтрацию по ФЗ-139/149 (что-то там про защиту детей от вредоносного контента) и ФЗ-90 (так называемый суверенный интернет).
VPN, т.е. “application” по сигнатурам блокируется по ФЗ-90 на ТСПУ, точнее - на ТСПУ ШПД. ЦОДы в РФ этим ТСПУ не закрываются, так что схема будет жить, пока не заблокируют или не замедлят российское или зарубежное плечо.
ЦОДы в РФ этим ТСПУ не закрываются
Законопроект № 1214072-7:
Новые внесенные в проект дополнения вводят:
Собственники или иные владельцы точек обмена трафиком при подключении к их точкам обмена трафиком сетей связи, с использованием которых предоставляется доступ к «Интернет», обязаны обеспечивать установку ТСПУ в точке обмена трафиком и соблюдать технические условия установки технических средств противодействия угрозам.
Порядок установки, эксплуатации и модернизации в точке обмена трафиком технических средств противодействия угрозам утверждается Правительством.
обязаны обеспечить пропуск трафика на подключенную сеть связи через ТСПУ.
Не увидел упоминания ЦОДов.
ЦОДы подключены к точкам обмена трафиком.
Все ЦОДы???
А куда ещё ЦОД может быть подключен? Или точка обмена трафиком, или обычный провайдер. И там, и там ТСПУ.
К сожалению, это Ваши заблуждение. Не в том, куда подключены ЦОДы, в другом.
ГРЧЦ, как и многие гос учреждения, сильно оторваны от реальности. Обязав операторов устанавливать ТСПУ ШПД в сторону абонентских сегментов, они с удивлением обнаружили, что огромная часть трафика абонентов через ТСПУ не проходит. Выяснилось, что через точки обмена трафиком абоненты получают трафик Google, CloudFlare и еще пары зарубежных контентщиков. Получалось так: некий оператор берет IP-транзит у Ростелеком, и там, наверху, стоит ТСПУ. Но осталась лазейка для трафика.
Именно поэтому вдогонку делали требования для IX, чтобы увидеть весь трафик.
А причем тут ЦОДы? Не при чем. Поставить ТСПУ - это полдела, нужно на нем получить конкретный порт под конкретного участника (для IX) или присоединенного оператора (для IP-транзита) или для своего сегмента (если абоненты свои). Вот под ЦОДы ГРЧЦ портов не выделяет, т.к. основная задача - видеть трафик абонентов, а в ЦОДах их официально нет.
Итого: ЦОДы официально не ТСПУшатся, если их трафик и попадает на ТСПУ, то вместе с другим, абонентским трафиком.
Вы уж простите, но есть пара замечаний.
1. Туннелировать трафик надо начинать от клиента. Т.к. фильтрация трафика начинается сразу на стороне провайдера. Просто еще не все провайдеры это исполняют в полном объеме. И у вас возникла ошибка выжившего.
2. При довольно серьезном подходе к написанию статьи все же следовало бы отказаться от устаревших "комбайнов" по установке Openvpn. Ubuntu 24/Debian 12, с настроенным nftables будут сломаны. Ну и dh ключи при использовании ec криптографии ненужны. Так же easyrsa уже можно не использовать пару лет. Т.к. возможно обойтись fingerprint.
Туннелировать трафик надо начинать от клиента. Т.к. фильтрация трафика начинается сразу на стороне провайдера. Просто еще не все провайдеры это исполняют в полном объеме. И у вас возникла ошибка выжившего.
А разве провайдеры фильтруют трафик, который идет на российский IP, в рос. датацентр?
Время от времени блокировали. Люди в чатах жаловались на массовый отвал ВПН внутри страны.
Как владелец внутрироссийского OpenVPN, на опыте подтверждаю, - бывало, но эпизодически. Самые системные проблемы были с Калининградом (но туда были только эпизодические командировки, так что тоже длительной статистики нет).
Хуже другое - пользователи VPN тоже имеют привычку пересекать гос. границу, и тогда на пути к российскому серверу на них действуют все трансграничные блокировки. Вручную подключаться к разным серверам из России и из-за границы - неудобный костыль (для технически неграмотных пользователей часто непреодолимый), а раскидывать их на автомате по GeoIP - нетривиальная задачка.
Совершенно точно и однозначно да. В большинстве регионов РФ заблокированы и внутрироссийские VPN. Количество таких регионов и провайдеров расширяется. Официально VPN теперь только по белым спискам от организаций.
В большинстве регионов РФ заблокированы и внутрироссийские VPN.
Заблокированы vpn-протоколы или vpn-сервисы?
У меня три офиса в разных регионах РФ соединены через wireguard, ничего не блокировалось даже временно, за доступностью следит zabbix круглосуточно.
А Вы простите уверены в этом утверждении? Ибо выходит что в большинстве регионов полегли корпоративные VPN сервисы , а про это никто и не знает. Про формирование каких то белых списков тоже никто не слышал . Ну у про поломку всякий домашних решений формата VPN дом-дача , тоже нет криков
Про формирование каких то белых списков тоже никто не слышал
расскажите этим никто про поиск в интернете
О принятии мер в отношении сервисов обхода ограничения доступа к противоправному контенту
О принятии мер в отношении сервисов обхода ограничения доступа к противоправному контенту
3 сентября 2021 года
2 сентября в соответствии с правилами централизованного управления сетью связи общего пользования, утвержденными постановлением Правительства Российской Федерации от 12 февраля 2020 года № 127, было принято решение о блокировке еще 6 нарушающих российское законодательство сервисов VPN (Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN).
Использование сервисов обхода блокировок приводит к сохранению доступа к запрещённой информации и ресурсам, создаёт условия для незаконной деятельности, в том числе связанной с распространением наркотиков, детской порнографии, экстремизма и склонением к суициду.
Для исключения нарушения работы программного обеспечения и приложений, не нарушающих российское законодательство и использующих VPN-сервисы в технологических целях, были сформированы «белые списки» для предотвращения их блокировки.
Роскомнадзором получены сообщения от 64 отраслевых организаций, 27 из которых используют упомянутые VPN-соединения для обеспечения 33 технологических процессов. Представлены более 100 ip-адресов с целью исключения их из политик ограничения доступа.
Ранее Роскомнадзор по тем же основаниям ограничил работу VyprVPN и OperaVPN.
Применение технических средств против сервисов обхода блокировок является эффективным и оправданным механизмом. Включенные в «белые списки» технологические процессы российских компаний продолжили бесперебойную работу при полной блокировке VPN-cервисов, нарушающих законодательство РФ.
Время публикации: 03.09.2021 10:10
https://rkn.gov.ru/news/rsoc/news73836.htm
или
https://web.archive.org/web/20231004090648/https://rkn.gov.ru/news/rsoc/news73836.htm
Ваш комментарий какое отношение имеет к этой Вашей фразе "Совершенно точно и однозначно да. В большинстве регионов РФ заблокированы и внутрироссийские VPN." В постановлении на которое Вы ссылаетесь речь идёт про плокировку сервисов ! VPN для обхода блокировок . Какой обход блокировок для внутрироссийских VPN ? И потом Вам уже ре один человек отписал что у них VPN на много толчек во многих регионах работает . Так что совершенно точно , что в большинстве регионов РФ внутрироссийские VPN не заблокированы.
В постановлении на которое Вы ссылаетесь речь идёт про плокировку сервисов ! VPN для обхода блокировок . Какой обход блокировок для внутрироссийских VPN ?
попробуйте вчитаться внимательнее:
программного обеспечения и приложений, не нарушающих российское законодательство и использующих VPN-сервисы в технологических целях
В переводе с бюрократического на русский: составлены белые списки адресов / диапазонов адресов VPN шлюзов, которые должны оставаться доступными даже в случае ввода жестких блокировок по типу трафика.
Я напомню, что "государственная" база геолокаций IP собирается только 3 недели, а общедоступные сервисы часто содержат неточные данные и веерные блокировки приводят к масштабным сбоям в рунете. Чтобы такого не просиходило, весь крупный бизнес ещё к началу 2022 года подал списки адресов своей "критической инфраструктуры" в РКН. То, что не задевает мелочёвку означает только то, что их адреса достаточно точно мэппятся с российскими координатами
Так от клиента он в openvpn заварачивается до российского сервера, разве нет?
РКН блокируют OpenVPN, как протокол, вне зависимости от того, куда подключаетесь.
Не блокирует. Наблюдали кратковременные проблемы при начале блокировок, но сейчас все работает.
Только что протестил. OpenVPN (proto udp). Пакеты в сторону сервера уходят, обратно - по нулям.
А сервер где физически находится? В России? И как называется дата-центр куда не доходят пакеты?
Сервер не в РФ (название ДЦ говорить не буду, извините).
До 23 августа всё работало без проблем. Затем какое-то время (не меньше недели) наблюдалось такое поведение: vpn подключается, но как только кол-во трафика, полученное клиентом от сервера, превышает 4 килобайта - клиент перестает получать пакеты. Сейчас даже 4 кб входящего трафика нет, режут соединение сразу.
Дальше подробно не следил, т.к. сделал собственный примитивный обфускатор трафика. Через него и продолжаю пользоваться openvpn.
У нас 40+ каналов по РФ поднято прямо сейчас (соответственно разные города и провайдеры), за рубеж всего один канал (Германия), с ним тоже проблем нет, протокол udp. Канал с tcp у коллег до Германии резали одно время.
И вы не обращались в ркн для внесения ваших vpn подключений в белый список? Или провайдер в ваших интересах?
Мы не обращались, но интернет везде заведён на юрлиц, могу предложить что блокировки каким-то образом нацелены на физиков. Либо нам сильно везёт.
Моя личная линия openvpn (тоже Германия, ip физлица) тоже работает, Америка с домашнего провайдера работает, с мобильного блокируется.
Мне кажется что мелких vpn сетей у бизнеса на Руси в том или ином виде довольно много, повально их резать может быть вредно.
ЛО, ростело. блокируются протоколы openvpn, wg - и неважно, куда. за границу или внутри страны. видел уже не одно сообщение, что у все большего количества домовых провайдеров появляется тспу
Навскидку проверил ростелеком - Курган, Пермь, ХМАО, Новосибирск, Томск, Салехард, Тюмень работают. В ЛО у нас нет площадки, надо поспрашивать у коллег. Возможно для физиков и юриков по разному работает.
скорее, просто пока у государства нет такого количества тспу для охвата всех провайдеров. у меня openvpn отвалился примерно месяц назад. именно как протокол
Интересно, сколько нужно ТСПУ для полного охвата?
просто пока у государства нет такого количества тспу для охвата всех провайдеров
при этом, само государство утверждает обратное:
РКН: все узлы связи в России на 100% оборудованы средствами противодействия угрозам на базе оборудования ТСПУ
ну кто мы такие, что бы не верить государству. хотя на что тогда оно же планирует потратить 60 лярдов?
есть подозрение, что не все йогурты одинаково полезны узлы ТСПУ одинаково производительны - на первых этапах развертывания было достаточно уметь блокировать по реестру, затем потребовалось уметь работать с сигнатурами на основе заголовков пакетов, потом дошло дело до анализа паттернов в полном трафике. Предполагаю, что 60 ярдов планируют потратить на обновление парка железа до последнего (на текущий момент) поколения
Хм. СПБ, Ростелеком. Блокируется wg за рубеж, но работает внутри страны.
Полностью с Вами согласен.
И не понимаю зачем им нужен OVPN для каких-то обходов? В количестве 2-ух штук.
OVPN прекрасен своей маршрутизацией, и прочими CCD. Для работы это просто идеал.
Кстати, там в скрипте ключ DH просто гвоздями прибит.
А для обхода кочек есть прекрасный три икса рей на одном VPS.
# Create the DH parameters file using the predefined ffdhe2048 group
echo '-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEA//////////+t+FRYortKmq/cViAnPTzx2LnFg84tNpWp4TZBFGQz
+8yTnc4kmz75fS/jY2MMddj2gbICrsRhetPfHtXV/WVhJDP1H18GbtCFY2VVPe0a
87VXE15/V8k1mE8McODmi3fipona8+/och3xWKE2rec1MKzKT0g6eXq8CrGCsyT7
YdEIqUuyyOP7uWrat2DX9GgdT0Kj3jlN9K5W7edjcrsZCwenyO4KbXCeAvzhzffi
7MA0BM0oNC9hkXL+nOmFg/+OTxIy7vKBg8P+OxtMb61zO7X8vC7CIAXFjvGDfRaD
ssbzSibBsu/6iGtCOGEoXJf//////////wIBAg==
-----END DH PARAMETERS-----'этот DH вот из того скрипта.
Я в чём то ошибся?
Можно же обойтись встроенной функцией tun2proxy --dns virtual? Когда поступит dns пакет с запросом в tun, Tun2proxy прорезолвит адрес, назначив его из приватного пространства 198.18.0.0/15 в ответном днс пакете.
В дальнейшем, при запросе соединения на полученный адрес, он будет сопоставлять его с реальным адресом по своей внутренней таблице.
Тоже пришлось использовать промежуточный VPS, но сделал проще. Настроил UDP редирект с VDS1 на VDS2
Спасибо. А как делали редирект? Просто DNAT? Можете рассказать?
Проще, собрал бинарь и запустил как сервис
https://github.com/justinb01981/tiny-webrtc-gw/blob/master/udp_redirect.c
./udp_redirect 0.0.0.0 1234 xxx.xxx.xxx.xxx 1234
Кроме смены IP на VDS еще пришлось "пофиксить" MTU в конфиге OpenVPN. Добавил mssfix 1200
Супер. Прикольно. Попробую.
Мне кажется два правила в айпитаблях - dnat и snat проще. Пример из интернетов
iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination хост2:3000
iptables -t nat -A POSTROUTING -p tcp -d хост2 --dport 3000 -j SNAT --to-source хост1
Но зачем...
У вас так трафик ходит из ядра в юзерспейс и наоборот, когда можно просто через маршрутизацию. Тогда он вообще из ядра не будет выходить, так намного эффективнее и пропускная способность будет выше
Можно еще проще: на промежуточном поставить аналог gdpi... Но, если сделали blackhole <IP> на уровне провайдера - тогда зарубежный VPS
Я тут до блокировки поста 🎉🎉🎉
А где бы почитать про то же самое, только применительно к wireguard?
В большинстве регионов не работают VPN-соединения до российских серверов! И таких регионов всё больше. То, что у кого-то работает VPN до российского сервера, это временная недоработка РКН, которая будет со временем устранена!
Ну хватит чушь нести. РКН на самом деле работает все более точечно, блокируя именно иностранные сервисы, внутренние они уже научились не аффектить.
Начали хвалить РКН, кто бы мог подумать!)
Есть такие слова как непредвзятость и объективность. В компаниях, где я работал и работаю, тысячи сотрудников в VPN. И у меня у одного знакомого чей ВПН я админю несколько десятков сотрудников сидят на VPN. И у них все работает, без каких-либо проблем.
Поэтому, если отбросить эмоции и истерики, то РКН учится и постепенно перестает устраивать ковровые бомбометания по площадям.
Вопрос о нужности ТСПУ (или как минимум нужности той части их функциональности, которая предназначена для блокировки внешних угроз и атак) для разумных людей уже не стоит - массированная кибератака со стороны иностранных держав является как бы уже даже не "возможным" а "ожидаемым" событием. После пейджергейта это не осознали только эльфы-инфантилы.
Есть такие слова как непредвзятость и объективность. В компаниях, где я работал и работаю, тысячи сотрудников в VPN <...> И у них все работает, без каких-либо проблем.
Информация из профиля:
Работает в VK
Вы сейчас серьёзно?
Ну в ВК я уже не работаю.
И если во время войны с телеграмом страдали все, в том числе сбер, ВК, Яндекс и другие большие компании (на самом деле почти все) - а сейчас стоны раздаются только от эндюзеров.
Так что РКН учится и блокирует аккуратней чем раньше
на моем тогдашнем месте работы (из топ-10 компаний всея РФ), инфу по белым спискам с адресами шлюзов подали в где-то середине 20 года после крупного инцидента. думаю, что секрет кроется в этом, а не в резком наборе квалификации специалистами ркн - хотя, отрицать то, что она таки подросла, точно не стоит
Простите люди добрые, но за полгода так и не смог понять, почему нельзя использовать и тем более упоминать nftables и дистрибутивы его использующие? Такие как Ubuntu 24.04 или Debian 12. Ведь половина публикуемых в статьях скриптов, или не заработают на этих дистрибутивах, или как минимум сломают nftables правила.
Что сакрально-запрещенного в nftables, или в ec криптографии на Хабре, что за них постоянно прилетает в карму?
Публикация имеет пометку "Туториал". И прочитавшие могут попытаться ее использовать в лоб. А получат проблемы совсем не там, где надо.
В целом, поддерживаю идею о том, что как минимум нужно в 2024 уже писать явно про nftables/iptables применительно к решаемой задаче. Что-то типо "вот смотрите тут скриптец, но он iptables юзает, если у вас система с nftables (например, Debian 12), сделайте apt install iptables и можете готовить рецепт дальше, если не хотите ставить - дуйте в доки nftables для решения задачи своими руками"
ЗЫ: я сам честно пытался перевести домашний роутер на nftables. Ну модно же. У меня в общем то не очень то и много правил. около 100 строк +-. Но, каюсь, ниасилил. Совсем уж и синтаксис не тот и подход к формированию правил. Решил, что уж очень отлично с траснляцией в nftables справляется дебиановская прослойка.
тоже openvpn стал блокироваться с позавчера. Пока думаю, VPS простаивает. Удобно было клиент опен-впн в роутере кинетик, wireguard я так понимаю тоже блокируется сейчас. придется опенВРТ видимо пробовать установить на роутер.
На кинетик есть прекрасное решение по установке xray под entware - XKeen . Такой тип VPN на данный момент никем не детектируется, ставится на роутер легко, настраивается гибко. Для VPS есть удобная графическая панель для конфигурации и администрирования .
Вопрос по варианту 2: разве трафик в vtun без шифрования не будет детектить DPI (ТСПУ)?
У менять есть з самые дешевые виртуалки в России, на разных хостингах. На каждом из них я настроил по одному варианту. Пока все три варианта работают. В том числе и vtun без шифрования и без сжатия. Будем посмотреть, что будет дальше ))
vtun сейчас как Неуловимый Джо.
без шифрования он детектится элементарно (и с шифрованием, скорее всего, тоже, потому что имеет определенные сигнатуры), но из-за того что им пользуются только три с половиной анонимуса, РКН на него не обращает внимание.
Vtun можно засунуть в ssh туннель. Они сами об этом говорят у себя в FAQ. После этого vtun превращается в еще большего Неуловимого Джо ))
Can I use vtun over SSH ?
Yes, via the port forwarding feature of ssh. Don't enable vtun's encryption as ssh does its own encryption. Also, make sure to select the TCP protocol as SSH can forward TCP but not UDP. An example session might look something like this
home$ ssh -L 5000:localhost:5000 work.megacorp.com
(authenticate if necessary)
work$ vtund -s home_tunnel_config
...
home$ vtund home_tunnel_config localhost
Рекомендую научиться пользоваться GOST (go simple tunnel). Через примерно пол года применения я забыл про всякие Wireguard и OpenVPN как про страшный сон. Настройка туннеля укладывается в одну команду.
На хабре про него подробная статья была: GOST: швейцарский нож для туннелирования и обхода блокировок / Хабр (habr.com)
только кажется ее РКН на территории России забанил, надо через VPN/прокси из-за бугра открывать
Да, но цель была, чтобы работало везде и у всех. То есть работало на андроидах, айфонах, айпадах. У бабушек, у дедушек, у соседки Даши, которая, постит фоточки в инсту. Когда едешь в метро, чтобы всё работало и т.д.
С апреля 2022 года использую аналогичное решение.
Оказывается, vpn может быть удобным и не требующим частую активацию/деактивацию при хождении по ресурсам в различных локациях. За все время только протокол VPN до клиента пришлось менять -- изначально был WG, заменил на Openconnect, между VPS канал продолжает обеспечиваться WG.
Схема для наглядности
Сейчас рассматриваю вариант замены внутреннего VPS на прошивку openwrt для роутера.
Ага, понятно, трафик в Россию в p2p не засовываете. А как вы вычисляете, что request идет в Россию?
На российской VPS c помощью geoIP. Подгружаю в список правил nft переменную RU.ipv4 с набором российских айпишников. Маркирую пакеты, у которых адрес назначения не пересекается с множеством в переменной RU.ipv4, и отправляю в канал на зарубежную VPS. Все остальные пакеты уходят на интерфейс WAN.
https://github.com/wirefalls/geo-nft
Мне вот интересно, почему никто не говорит про ShadowSocks? Он был разработан в Китае специально для обхода великого китайского фаерволла, и вроде как его невозможно задетектить. Я себе уже года как 2 сделал сервер в хэтцнере, и он прекрасно работает по сей день
Используем GO Simple Tunnel (GOST) и делаем все легче
На сервере заграничном мы устанавливаем OpenVPN
На сервере Российском мы вводим команду установки GOST:
wget https://github.com/ginuerzh/gost/releases/download/v2.11.5/gost-linux-amd64-2.11.5.gz
gunzip gost-linux-amd64-2.11.5.gz
sudo mv gost-linux-amd64-2.11.5 /usr/local/bin/gost
sudo chmod +x /usr/local/bin/gost
nano /usr/lib/systemd/system/uservice.serviceДалее откроется редактор, туда вы вводим это:
[Unit]
Description=Ubuntu Service 20
After=network.target
Wants=network.target
[Service]
Type=simple
ExecStart=/usr/local/bin/gost -L=udp://:port/ip:port
[Install]
WantedBy=multi-user.target
В вставленном тексте мы заменяем оба port на тот порт что у вас стоит в OpenVPN. ip заменяем на ip адрес зарубежного сервера. Также если у вас протокол TCP а не UDP то заменить udp на tcp. Далее все сохраняем и запускаем:
systemctl daemon-reload
systemctl enable uservice
systemctl start userviceВсе что осталось это в ключах из зарубежного сервера поменять ip на российский, чтобы вы подключались к российскому серверу.
Спасибо. Чем больше вариантов, тем лучше.
Подскажите, как будет выглядеть ваш пример для цепочки из двух промежуточных хостов с gost?
От этого пользы особой не будет, но на первом сервере мы в настройки GOST ставим IP второго сервера. На втором сервере ставим IP сервера где стоит OpenVPN. В сам ключ ставим IP первого сервера и трафик у нас будет идти Сервер 1 -> Сервер 2 -> Сервер 3 (Там где стоит OpenVPN). Подключаться будем к серверу 1, а на выходе наш IP будет от сервера 3
Обход блокировок с помощью Double…