Pull to refresh

Comments 68

H!load vpn. Его разработчик писал, что на протяжении декабря у крупных провайдеров были тех.работы, предположительно для ограничения работы впн сервисов.

У меня на теле2 почти 3 недели не работал Windscribe, сейчас добавили какой-то протокол Wstunnel он фурычит. При этом на домашнем провайдере всё ок, но он видимо из-за того, что весьма местный вообще к блокировкам пофигистически относится...

Поэтому об этом тут же обязательно стоит рассказывать.

Wstunnel вроде как заворачивает трафик в TLS, такой способ доступен в V2Ray, который (при правильной настройке) не распознаёт даже китайский GFW.

(при правильной настройке)

Вот про это подробнее, пожалуйста. Какие настройки - правильные? В тех VPN, которыми я пользовался доселе, настройка была единственная - выбрать страну местонахождения сервера.

С вашей стороны скорее всего ничего, только надеяться, что провайдер этим озаботился. Со стороны провайдера часто используется следующая схема: на сервере крутится V2Ray и принимает/отдаёт протокол Vmess, завёрнутый в WebSocket с нестандартным path; с ним общается Nginx, который по этому path отправляет трафик к V2Ray, а на все остальные что-то похожее на обычный сайт (для защиты от active probing, для РФ пока неактуально), он же заворачивает всё в TLS, что делает трафик практически неотличимым от обычного веб-сёрфинга; на клиентском устройстве соответствующий конфиг (если у провайдера своё приложение, то оно само этим озаботится). Схема уязвима для тупых блокировок по домену/IP, поэтому чем менее популярный провайдер, тем лучше (идеально, если он обслуживает только вас).

Настройте себе outline, его просто не получится заблокировать, не положив весь остальной интернет - весь сервер вы сами себе выбираете

его просто не получится заблокировать
Почему?
Он же хостится не у гугла, а на впс пользователя

wstunnel заворачивает трафик не в TLS, а конкретно в WebSocket. В V2Ray реализовано то же самое.

UFO just landed and posted this here

При этом websocket бегают поверх TLS

Конечно. Следует читать "не в абстрактный TLS, а конкретно в websocket". Не совсем точно сформулировал, прошу простить.

Поверх TLS много что бегает, и если стоит задача сделать трафик максимально похожим на HTTPS (наиболее массовый вид трафика в интернете), то нет ничего лучше, чем обернуть его в HTTPS, что для решаемой задачи в реальности означает websocket.

С точки зрения внешнего наблюдателя это все выглядит именно как TLS

Этого маловато по нынешним временам. Боюсь, простой stunnel4, оборачивающий трафик в "голый" TLS, не решит задачу маскировки трафика так же хорошо.

Собственно, мой поинт в том (высказанный где-то тут рядом в комментариях), что для создания SOCKS5-прокси, работающего через websocket, из двух вариантов (ShadowSocks с плагинами либо wstunnel) мне больше нравится второй, в нем слоев инкапсуляции меньше, следовательно меньше оверхеда, и противодействие active probing'у есть (тут я имею в виду конкретную реализацию).

UFO just landed and posted this here

А для чего комментарии ещё нужны? Ладно, вы правы.

У меня и через них не работает не работает

А если бы они и по Первому каналу ещё рекламу крутили, то ещё раньше бы заблокировали.

Утром не работало, сейчас проверил, с 3-4 попытки подключилось

И вчера и сегодня работает, но не все локации.

Ikev2 в клиенте для windows они зря отключили, по моему.

Надеюсь что то предпринимут, столько рекламы то было

Ну не зря же они подписку сразу на 2+ года продавали по бешеной скидке

Круто я подписку на 2 года по фул прайсу купил)))

Сколько это стоило?
Интересно сравнить со средней ценой VPS, порядка 5$ в месяц. Правда, у VPS только одна локация, а тут потенциально очень много.

Я заплатил (это было около 4-х месяцев назад) по тогдашнему курсу - ~7500, в долларах не скажу, т.к. сами понимаете, что тогда с ним было), курс не вспомню. В итоге получается около 600 - 700 в месяц

Во время ковровых бомбардировок Телеги — были проблемы с хостингом, то Амазон АВС отваливался, то еще что-то. Пока с этим все тихо, будем надеяться, что у них нет свободных денег, чтобы заниматься чем-то подобным

Когда покупал подписку, повелся на фичу серфшарка NoBorders. Типа даже в случае блокировки проблем с доступом с сервису не будет.

Теперь походу на собственный VPS придется переходить и там уже поднимать VPN сервер. Сами протоколы надеюсь не забанят...

делать хопы по SSH

Его не забанят, если не хотят вернуть страну состояния "до 2000-х".

На страну им давно уже пофиг. Было бы не пофиг, не было бы такого последовательного ее уничтожения.

Факты, которые якобы "последовательно уничтожают", озвучите ? Только в рамках действующих в РФ ФЗ пожалуйста.

Тише, вам нельзя волноваться...

Пока что достаточно настроить подключение к серверам Surfshark через приложение OpenVPN отличное от родного. (Работает)

PS: появилась реакция SurfShark, но по большей части рекомендации сводятся к настройке OpenVPN вручную.

https://support.surfshark.com/hc/en-us/articles/360012116860-How-to-connect-from-countries-with-network-restrictions-

а это сработало у кого-то (настройка вручную)?

Подтверждаю, OpenVPN UDP через OpenVPN Connect работает.

Работает, но не черерз приложение Surfshark.

Через приложения от openvpn.net - работает.
Настройка: https://my.surfshark.com/vpn/manual-setup/main/openvpn

Для Windows можно попробовать приложение OpenVPN Connect https://openvpn.net/vpn-client/ вместо OpenVPN GUI который в мануале. (там тоже работает, но OpenVPN Connect удобнее)

Подтверждаю, OpenVPN работает. И телефон и ПК

достаточно ограничить скорость.

А в принципе и состояние страны не священная корова. Перекличка предприятий, кому нужен vpn, проведена.

Его не забанят, если не хотят вернуть страну состояния "до 2000-х".

ssh можно сделать по госэцп, юрики схавают.

Можно написать свой протокол и никому про него не рассказывать :-)

Или обфусцировать существующий до степени неузнаваемости, примерно как бог черепаху.

В китае все уже придумано, Shadowsocks proxy over http

ShadowSocks без V2Ray достаточно легко идентифицируется DPI и блочится. Есть плагин V2Ray, маскирующий его под websocket (который является настоящим честным https). Но вместо этого слоеного пирожка уж лучше взять готовый wstunnel, который сразу использует websocket (см. репо "erebe/wstunnel" на гитхабе). По сравнению с ShadowSocks минус в том, что не под все архитектуры есть готовые бинарники, на роутер не поставишь, если сам не умеешь в кросскомпиляцию.

Идеальный вариант применения — когда на VPS крутится, для отвлечения внимания, какой-нибудь реальный сайтик с доменным именем, всё как положено. Но при получении определенного хедера nginx проксирует трафик на wstunnel. Такое не обнаружить ничем — ни DPI, ни портсканом.

Причем в этот wstunnel (который сам по себе всего лишь SOCKS5-прокси) можно и wireguard обернуть, получив полноценный VPN.

Есть технологии обфускации протоколов. Смотри shadowproxy, например.

Зашел на сайт Сёрфшарк в свой лишний кабинет, сгенерировал пару, скачал конфу для Wireshark. Мгновенно подключился как на ПК, так и на огрызке. Отставить панику! )

Конфу для Wireshark? Это чтобы товарищ майор мог снифать тебя без проблем? )

Начнём из далека. Что такое Wireshark?

да, извиняюсь, именно Wireguard

Итоги моего двухдневного мучения в попытках заставить впн работать:

  1. Сначала попробовал вручную скачать конфиг для Wireguard и через одноимённый софт подключиться. На андроид смартфонах успехом не увенчалось, в журнале постоянно "Sending handshake initiation to peer 1. На пк, иногда бывает то же, что и на смартфоне, но раз в 5-6 попыток соединение всё-таки устанавливается.

  2. Роутер подключается по IKEv2. Работает как работал.

  3. Через OpenVPN не работает. Родной софт или сторонний - без разницы.

  4. Родное приложение на смартфоне не подключается в любом из режимов.

  5. Приложение на пк один раз подключилось через OpenVPN (TCP). Больше не подключалось.

    В итоге, всё как-то странно. Вроде работает, вроде нет. Провайдера не знаю, но он берёт интернет у Крымской "Миранда-Медиа".

Та же ситуация с Wireguard. Через телефон и ПК можно без проблем подключиться к серверам Казахстана, поэтому получается либо провайдеры РФ заблокировали подключение к определенным IP surfhark, либо принимающие сервера блочат вход. Я не смотрел tcpdump,если у кого то есть возможность то посмотрите на Линуксе логи, отправляются ли запросы???

средства обхода блокировок противоправного контента признаются угрозой.

Угрозой кому и чему? Что вообще есть «угроза»? Нет ли тут подмены понятий? Я взял у друга телефон позвонить (VPN), так как у меня плохая связь и вообще не ловит сеть (недоступность ресурса).

В техподдержке сервиса не могут ответить по поводу остановки работы в РФ.

А друг отвечает — «у меня мобилу спи*дили».

Угроза стабильности и тому самому деду.

Спасибо за способ! У меня всё получилось настроить, на самом деле достаточно простая инструкция, то есть я вообще не айтишник на разу, я дизайнер и всё оч легко получилось, подключилась к айзербайджану, всё работает. Рекомендую!

Не работало. Удалил. Скачал .apk с официального сайта и всё работает. Пользуйтесь!

Я даже сейчас будущее предскажу, которое будет (и параллельно которого я желаю, подсмотрел в каменте папаши Мюллера):

  1. Вместо гугла — Яндекс;

  2. Вместо github какой-нибудь "Яндекс.Код";

  3. Вместо pornhub — редирект на сайт РПЦ ;) ;

  4. Объединить все адресные книги и органайзеры с мобильных устройств\компьютерах\локальных и облачных сервисах в Глобальную Адресную Книгу Пользователя Суверенного Рунета с обязательным хранением на Госуслугах, доступ на редактирование - через токен и ПДН. И если есть в адресной книге телефон иноагента — получи красную пометку в профайл и минус в соцрейтинг.

Меня лично устраивает, как и генеральная линия на первом канале ;)

А как тут модератора позвать? @moderator

А то немного странно смотрится, когда аккаут swith_on, молчавший ровно 6 лет, вдруг начинает проявлять такую активность, может, его угнали?

Абзац удалён модератором.
Впрочем, Хабр не место для политических дискуссий, а по тексту что я написал - модерацию по действующим Правилам хабра-сообществ вменить затруднительно. Карму я тоже восстановлю - это не проблема, благодаря моему опыту и знаниям. А пишу я здесь т.к. тема для меня горячая - я занимаюсь блокировкой VPN-сервисов на уровне white list своего предприятия - и Surfshark - крайний номер этого списка (постоянно мною дополняемого).

Ну разумеется я пишу с вражеской территории, а сам я иностранный агент. Других вариантов и быть не может, ведь в России все такие сторонники СМЕРШа, как вы, верно?

Провокаторов я с чистым сердцем отправляю к модератором, не вступая с ними в дальнейший диалог.

немного удивлен, у меня конечно с матюками и не с первого раза, но Surfshark на настольном компе работает

Sign up to leave a comment.

Other news