Comments 67
Вчеры отвалился wireguardd в днр. Что интересно на телефоне через wi-fi не работало, но на ПК было все нормально.
Проверял на трех провайдерах, благо в многоэтажном доме их полно.
Пусть РКН лучше заблокирует 127.0.0.1
Подавляющее большинство серверов террористов принимает соединения из интернета на 0.0.0.0
Так вроде уже было лет 5-6 назад.
Это пройденный этап
https://habr.com/ru/articles/357228/
У себя
Увы, мы находимся тут.
ночью пару раз отваливался, днём окончательно помер
В последние месяцы мой провайдер VPN регулярно информирует об очередных сбоях из-за блокировок. Благо, он довольно быстро фиксит эти неприятности...
Эпоха простого использования VPN подходит к концу, увы :(
На телефоне Wireguard до дома (РФ -> РФ) отвалился, Wireguard до VPS в ЕС тоже. Не может сделать handshake. Shadowsocks работает. Собственно, всё так же, как и недавно было (на прошлой неделе, 7-8 августа), обсуждали тут.
OpenVPN РФ-РФ, РФ-Заграница работает. Конфиг TCP обёрнутый в SSL на нестандартном порту. Без SSL обёртки РФ-РФ тоже работает.
В моем случае Openvpn отвалился внутри РФ. В пределах одного города :(
На порту 1194 ? Ещё в прошлой статье в комментариях говорили что 1194 блокируют а по любому другому порту всё ок.
1194 UDP
Не было "ни единого разрыва"
А для особо одаренных stunnel изобрели еще дцать лет назад
trojan + reality - в бой!
честно говоря, эти профессианалы уже достали. внутри страны блокируют по DPI.
работать-то как? у коллег датчики отвалились по стране. нам нужно удаленный доступ иметь в несколько своих сеток внутри страны.
сколько уже можно, блин.
Если ты хочешь нормально работать (и жить), то велком на релокацию. А так терпи. Я думаю, через какое-то время настроят и все будет хорошо. Ну максимум придется сходить заверить айпишники.
Не переживайте, скоро додумаются до православных сертификатов, с которыми все будет нормально. Или уже додумались, а сейчас дают повод их ставить )
Уже додумались. Как минимум с конца прошлого года Сбер, ВТБ, Госуслуги и еще некоторые гос. конторы при посещении их онлайн ресурсов активно и настойчиво рекомендуют пользователям установить этот самый "православный" корневой сертификат в хранилище доверенных корневых центров сертификации на всех своих устройствах использующихся для выхода в интернет. От которого потом естественно можно сколько угодно и каких угодно уже рабочих сертификатов выпустить и использовать уже не уведомляя пользователя.
Разумеется подается это все под соусом "вот вот враги скорее всего попытаются нам отключить интернет, поэтому чтобы не было перебоев и вы могли и дальше пользоваться нашими услугами и смотреть котиков в интернете побыстрее установите наш сертификат и покажите им дулю".
И ведь даже при этом формально не врут, но как говорится "есть ньюанс" (кто именно эти самые враги и где они находятся)...
P.S.
При этом сами ресурсы работают по прежнему(пока?) продолжают работать на сертификатах выпущенных нормальными международными центрами сертификации, а не выпущенных самостоятельно от того корневого, который навязывают. Видимо наблюдают за статистикой и % "отсертификаченных" пользователей пока еще слишком мал. Но лягушка продолжает медленно вариться дальше...
К счастью, сбером и втб на сегодня можно пренебречь, с госуслугам сложнее, всё же удобная штука
Там вроде другой соус) Что то про то, что российским центрам сертификации ни кто не верит в мире, а в импортные центры сертификации им дорога закрыта из за санкций)
Сейчас вроде изменили, снизив градус "ненависти". В рамках общего в государстве курса взятого на "оказуаливание" войны. В прошлом году, когда я эти сообщения первый раз читал(потом уже просто игнорировал на автомате не читая) про враждебные силы планирующие лишить нас интернета задвигали при впаривании этих сертификатов.
Сейчас зашел в инкогнито-режиме(иначе по кукам узнают и заново уже даже не пытаются впарить, а молча открываются с обычним зарубежным сертификатом), да, про отзыв сертификатов зарубежными центрами сертификации пишут.
Однако, что "закрыта дорога" и про отзыв это тоже ложь. Если НЕ ставить российские корневые сертификаты от Минцифры, а просто проигнорировать эти странички и обновить пару раз (как на гос. услугах), или нажать отдельную кнопку "сертификаты уже установлены" (например Сбер, при том, что они НЕ установлены). Все прекрасно открывается именно с сертификатами выданными зарубежными центрами сертификации.
У Сбера правда он выдан каким-то малоизвестным центром из Греции (Hellenic Academic and Research Institutions CA, GR). Но насколько знаю, старый сертификат у них никто не отзывал/не блокировал, он просто банально протух по времени действия. А вот новый в том же центре им выдавать уже не стали из-за наложенных на Сбер санкций (скорее всего просто нет возможности легально оформить его покупку/оплату из-за блокирующих финансовых санкций). Нашли просто другой центр.
У Госуслуг, ВТБ и еще некоторых гос. конторы же вообще нормальные сертификаты — от GlobalSign до сих пор используются.
Очень давно уже, с самого момента появления всех этих государственных и около- АйТи сервисов, завёл отдельную виртуалку для таких взаимодействий. На ней свежий браузер, с какими только властям угодно сертификатами, программами и тд, который ходит исключительно на государственные сайты. Больше ничего там нет и не будет.
Следующий шаг - запрет протокола HTTPS, как представляющего угрозу конституционному строю РФ
Shadowsocks работает
Ещё вариант Connectbot + openvpn for android ( перенаправить локальный 1194 через ssh на openvpn tcp 1194 , в openvpn исключить приложение connectbot из приложений)
А есть идея как на Mikrotik сделать site2site через OpenVPN завернутый во что-нибудь или Wireguard'e handshake пустить через носки? Только Metarouter + OpenWRT?
Только так, да. Если микрот что-то не поддерживает из коробки, то либо полагаться на metarouter, либо роутить трафик на отдельную железку.
Я б посмотрел в сторону sstp на микроте. Метароутер кажется немношк сдох, можно использовать контейнеры (на некоторых микротах на 7 ros), но мне не очень понравилось как они шуршат. Ну или прошить микрот в openwrt и там уже чудить как следует:)
А существует ли VPN, которая использует для маскировки работающий сайт? Т.е. чтобы обращения к VPN выглядели как одни из запросов к HTTP-серверу, причём чтобы при проверке там реально было осмысленное содержание?
OpenVPN over Cloak (настроенный с помощью AmneziaVPN) сегодня тоже отвалился. Я не специалист по сетям, поэтому настраиваю VPN с помощью гайдов и подобных Амнезии инструментов. XRay, настроенный по статье, работал без проблем.
Подойдёт и обычный HTTPS-прокси типа такого: https://github.com/Snawoot/dumbproxy
Из плюсов то, что это стандартный протокол и можно им пользоваться даже без какого-либо клиента.
Насчёт а) тут всё очевидно, это вполне себе HTTPS.
Насчёт б) доступно несколько опций:
Парольная авторизация, но с использованием опции hidden_domain, чтобы запрашивать пароль 407-ым статусом только на "секретном" домене, а дальше уже браузер запомнит его и будет всегда слать. То есть вы добавляете в опции авторизации hidden_domain=abracadabra.tld и ставите у себя в браузере этот прокси в настройках. На все запросы без заголовка авторизации прокси будет отвечать 400-ым кодом, но на запрос секретного домена прокси ответит 407-ым статусом, браузер спросит пароль и дальше всегда будет слать авторизационные заголовки.
Парольная авторизация, но с клиентом прокси, который всегда шлёт пароль (в виде заголовков авторизации). Например, адгард так умеет. Либо сам dumbproxy запускать на клиенте локально, а он уже пускай дальше форвардит соединение с заголовками авторизации в dumbproxy на сервере.
Авторизация по клиентским сертификатам TLS. Тут удобнее всего воспользоваться steady-tun или каким другим TLS-враппером, а браузер настроить на плэинтекстовый порт враппера.
Пост на хабре про dumbproxy: https://habr.com/ru/articles/687512/
Вопрос. Как hidden_domain правильно использовать в настройках dumbproxy ? И как в той же мозилле строка должна выглядеть в настройках прокси в "URL автоматической настройки прокси" c hidden domain? Заранее спасибо за ответ.
На сервере вот так:
dumbproxy -auth static://?username=admin&password=123456&hidden_domain=mydomain.com ...
или
dumbproxy -auth basicfile://?path=/etc/dumbproxy.htpasswd&hidden_domain=mydomain.com ...
URL автоматической настройки такой же, как и в других случаях. Разница только в том, что чтобы браузер начал отправлять логин и пароль нужно сначала посетить в браузере страницу этого самого hidden_domain, тогда всплывёт окно с запросом логина и пароля, браузер запомнит и будет дальше отправлять.
То есть hidden_domain это опция, которая говорит прокси не отвечать кодом 407 для требования авторизации на всех доменах кроме одного секретного. 407ой код ответа нужен только браузерам, который логин и пароль к прокси не отправляют до явного требования со стороны прокси.
Либо, в качестве альтернативного варианта, можно просто запустить на клиенте локально dumbproxy и ему опцией -proxy указать уже URL dumbproxy на сервере, чтобы dumbproxy на клиенте всегда отправлял логин и пароль. Т.е. использовать цепь: браузер -> локальный dumbproxy без пароля -> удалённый dumbproxy с паролем и hidden_domain -> интернет.
Ответил ниже. Можете ещё с nginx или haproxy поиграться, поставив его на фронт с реальным сайтом, а dumbproxy сделав одним из бекендов. Но в целом оно и само по себе достаточно правдоподобно, особенно если защиту от active probing включить. Из плюсов что это стандартный протокол и можно настроить клиент без какого-то дополнительного софта.
Похоже на XTLS-Reality и Trojan, только они не шифруют трафик ещё раз + не умеют создавать вирт. локальные сети.
Кто-то softether vpn использует?одно время он очень выручал
Использовал, на работе ЕСПД от Ростелекома (ну по сути там суровый прокси, который режет почти всё, что ломится в обход), у него есть подключение через HTTPS прокси, помогает. Правда, потом в документации OpenVPN нашёл, что оно, оказывается, тоже такое умеет, сейчас пока его использую.
У меня 7 августа отвалился Wireguard, который я использовал для проброса домашних сервисов в интернет. Взамен поднял Softether, с тех пор еще ни разу не отваливался.
Отвалился после проб 7 августа и два дня лежал, настроен был для i2tp и обычного IPSec/ISAKMPv1. То есть, уже бесполезен, хотя очень удобен.
Отпустило...
Утром тоже 2 из 4х vpn'ов перестали работать. Подключается, вроде все ок. Но буквально посылаешь ping - 1 пакет проходит и дальше все, тишина.
Wireguard. Порты разные пробовал.
Только что смотрю снова все 4 работают. Нужно что-то думать по этому поводу...
Есть ли сейчас доступные впн(желательно бесплатные, потому что не хочется платить за то что может упасть в любой момент)
Покупайте VPS и ставьте туда, что вашей душе угодно для создания VPN, но когда рубильник дёрнут, уже никакой VPN не поможет
Не совсем VPN, но бесплатно. Попробуйте вот это: https://github.com/Snawoot/opera-proxy
Пост на хабре про него: https://habr.com/ru/articles/555368/
Amnezia VPN
А какая сейчас обстановка с SSH туннелями?
А помните комментарии, что у населения поднимется компьютерная грамотность и все научатся пользоваться VPN и блокировки нипочём?
Утро 17.08.2023 - wg на билайне моб. в Подмосковье не работает. :(
Небольшой провинциальный провайдер. VPS в европах, Wireguard. Ничего пока не отваливалось. Также не отваливалось на мегафоне. Но на всякий пожарный домашний канал прокинул через udp2raw, благо его можно развернуть прямо на роутере.
15:05 17.08.2023 - wg на билайне моб. в ХМАО не работает. :(
Билайн, Московская область. Open VPN полностью. И корп и личный , похоже весь протокол
upd:
после звонка в техподдержку билайна - заработало
а в техподдержке сказали, мол не мы, возможно роскомнадзор)
Фуууух. Вроде нашел доступный вариант. Вот думаю статью на хабре выпустить
Вот же, меня тоже задело! Утро начиналось не с кофе и просмотра интересных сериалов...
Прям дэжавю какое-то, когда телегу блокировали, тоже интернет отваливался.
Пользователи по всей России опять столкнулись с массовыми сбоями в работе VPN-протоколов OpenVPN и WireGuard