Comments 74
"VPN сервера в России" - Что теперь все данные внутри РФ в открытом виде пересылать?
Тут скорее просто название приложения или сервиса такое взято откуда то и вставлено в табличку.
Ага — вот оно как раз.
Короче в следующий раз кто-то назовёт свой сервис "Интернет", Интернет заблочат и дело в шляпе. Сидим тут рассусоливаем.
С другой стороны, если переименовать сервис, то он разблокируется, я правильно понял?
Кстати, а причем тут Минтранс? У нас теперь Минтранс за интернет отвечает? Типа там трафик и тут трафик...
Грусть печаль
Список конечно странный, но очень интересно глянуть на белый список VPN !
127.0.0.1
Нет, в 2016 блокировали.
В основном это те у которых айпи внутри страны.
У меня есть чёткое ощущение, что чиновники в силу своей безграмотности не понимают вообще разницу между VPN как протоколом и сервисом в сети «OutC00lVPN». Они люди простые, если видят одинаковые буквы — требуют всё запретить. Что и порождает эти шизофренические списки.
Какая нечистая сила мешает слугам народа консультироваться у специалистов — ума не приложу. Может, раздутое до небес самомнение? Да нет, не может быть…
Когда ещё не проснулся и прочитал чиновники как виновники)
акая нечистая сила мешает слугам народа консультироваться у специалистов
отсутствие мозгов
Учитывая, что это список для других неайтишников - с нашей стороны выглядит странно, но для конечного адресата этих списков правильно. "Вот эти VPN заблокированы - этими приложениями не пользуйся". А вникать, какой именно протокол используется в твоей любимой приложеньке и на какие эндпоинты она пытается ходить - это не для каждого занятие.
Я думаю многое они понимают. Но гораздо проще с телевизора говорить, что запретили ВПН с педофилами, чем "электорату" у тв объяснять разницу.
Они и консультируются у специалистов, но если бы цель была не рушить работу IT и прочего бизнеса, опирающегося на него, то консультировались бы у IT-специалистов, а так какие цели - такие и специалисты.
Вопрос неэксперта: если разрешенный VPN сервис за границей (который блокирует сайты для пользователей из Росии) использовать как промежуточное звено для переподключения на такие же разрешенные VPN сервисы но которые уже будут видеть что подключение произведено не из Росии не будут же блоктровать сайты (иначе попадут под удар уже местных регуляторов) то так можно будет?
То есть прыгаем за границу на "правильный" VPN и с него (уже как "местный") прыгаем на незаблокированный там VPN и уже далее идем куда хотим...
Так это не работает, по крайней мере не должно работать юридически. Разрешенный сервис должен блокировать доступ ко всем запрещенным ресурсам в т ом числе и VPN.
В теории - нет - после правильного ВПН должен стоять ТСПУ, который не даст подключиться к неправильному. Как на практике - не знаю
Там сложнее описано. Россия - правильный VPN с сервером в условной Германии - другой правильный VPN в условной Германии. Все не запрещенные, но последний видит, что подключение из Германии и уже не гонит трафик через ТСПУ.
Вопрос где найти два настолько правильных VPN.
Насколько я понял вопрос, оба VPN - "правильные" (т.е. разрешенные). Просто для второго в цепочке вы уже выглядите не как пользователь из России (а условно из США), и поводов включать фильтрацию уже как бы и нет. Т.е. загвоздка только в том, как оплачивать второй, чтобы не спалиться, что пользователь из России.
Т.е. юридически это обман, но чисто технически должно работать.
Чтобы заблокировать shadowsocks надо заблокировать весь интернет-трафик наружу. Хотя чую к этому и идем :(
Вот у меня он сейчас по 443 порту прет, маскируясь под Хром и запросы на сервера гугла. И это пока я даже усиленную защиту не включал. То есть чтобы меня забанить, мне надо забанить https трафик получается? Мне просто интересно, как они будут вычленять через DLP системы что я гоню трафик именно через Shadowsocks. Вы по статьям специалист в протоколе, буду рад пояснению.
обязательный государственный MitM TLS
Вы можете рассказать поподробнее? В моём понимании - весь TLS трафик будет обязательно шифроваться "своим" сертом. В таком случае получается, что для безопасности придётся передавать уже шифрованный трафик и как его дальше запакуют/расшифруют нас не волнует. Или есть какие-то ещё средства борьбы против такого?
По итогу при окукливании в сторону СК если и будут возможны пути обхода (для большинства не будут), то это уже не будет работа или развлечение, это будет что-то уровня голубиной почты или использования рации резидентом, и чем выше уровень навыков и меньше проходящих фильтр, тем проще побороть лень и "побеседовать" с каждым подозрительным гражданином. Это вот не прямо сейчас и есть вероятность не дожить (тем или иным способом), но выглядит даже реалистичнее прилёта марсиан.
Как это будет работать? Хром будет ругаться и не пускать на сайты с подменным сертификатом. Ок, можно насильно впаривать всем какой-нибудь Яндекс браузер. Но как быть с приложениями? Вообще все приложения, которые ходят куда-то за границу, отвалятся.
Не все. ssl pinning не во всех приложениях используются, так что достаточно сертификат в систему поставить - и часть приложений ходить продолжат, тот же adguard на андроид по этой логике работает когда из приложений трекеры и рекламу вырезает.
Это нормальная практика вообще? Знаю, что разработчики иногда отключают проверку сертификата, чтобы упростить себе работу. В таком случае ssl как бы есть, но источник сертификата не проверяется.
Ну он не примет сертификат если его CA в системе не установлен даже с отключенным пиннингом. Так что обычный mitm не сделать.
З.Ы. И вы путаете. Есть дефолт, когда приложение работает с беком если соединение подписано сертификатом CA которого в системе установлен. Есть возможность вообще проверку отключить, а есть именно сделать ssl пиннинг, когда кроме конкретного сертификата вообще никакие другие не подойдут. Только обновлять приложение если на беке серт обновляли. И вот этим уже не сказать что прям многие занимаются.
Честно скажу, не силен в этих вопросах, хотя следовало бы. Если я правильно понял, то без установки левого CA приложения со стандартными настройками отвалятся (в том числе без ssl pinning). Если проверка отключена совсем (что я вероятно и встречал на практике неоднократно), продолжат работать. Зачем отключают проверку - чтобы не возиться с установкой недостающих в системе CA.
Меня злит, что в Outline до сих пор не добавили что-то типа Reality.
А есть какой-то гайд для нубов как замаскровать ss?
У меня идёт подключение к wireguard, поток в россии заворачивается в ss и идёт на сервер в Европе, это считается маскировкой?
А где можно список разрешённых vpn-ов посмотреть? А то всё позапломбировали, половина российских сайтов не работает из-за границы.
Мне оператор рекламирует ItHelper. Я не нашёл про него нечего, не пробовал сам. Даже не знаю, какие у него точки наружу.
Довольно давно была новость о том что Kaspersky VPN первый из VPN кто присоединился к блокировкам. Попробуйте его
То есть, вы хотите сказать, что китайцы не могут заблокировать этот протокол, а наши смогут?
Смогли же. Пусть топорно (с большим сопутствующим ущербом), но результативно.
Возможно вам будет интересно. У меня в тот период работало все - и Shadowsocks и OpenVPN, и даже обычная SOCKS-5 прокси на Dante. Один нюанс - все это работало на своем VPS. Shadowsocks кстати, настраивал по вашей статье https://habr.com/ru/articles/735536/. Вообще, пользуясь случаем хочу вам сказать спасибо за ваши статьи по обходу блокировок и сопутствующую информацию в комментариях, не бросайте нас)
При этом треть пользователей интернета среди китайцев все равно как-то обходят блокировки. Говорят, при желании это не сложно сделать. Я думала, что они Shadowsocks используют)
Я тут в онлайн-шутер с китайцем играю.
Спросил у него, чем они пользуются для обхода блокировок. Он подробностей не знает, просто какой-то платный софт. Пинг 160-170 у него, у меня 100-110, сервера европейские. Он из Китая, я из Сибири.
Так что если китайцы не смогли, то наши вряд ли.
Опять же давайте читать, чего там блокировать собрались. Shadowsocks-2022 ≠Shadowsocks так-то.
По вашим гайдам уже давно использую его как fallback на случай проблем (которые не связаны с блокировками) с более крутыми транспортами :)
Кстати, sing-box весьма неплохо работает на бытовых роутерах. Я думал что будет память жрать как не в себя, но нет. На Xiaomi AX-3200 OpenWRT отлично работает. Он даже в оф.репе есть, начиная с 23.05.0.
После установки и недельной работы sing-box свободной памяти на роутере 90 МБ, не считая кешированных 72МБ. Used: 81МБ всеми приложухами из 256 МБ доступных.
Ну вообще когда на юге начали плотно блочить все что казалось нестандартным у меня у знакомых отпал Outline на базе ss. Причем у остальных кто был не в южных регионах работал. Насколько я понял даже эти блокировки на юге проходились через vless+reality
Всем привет. Хотелось бы получить совет. Сейчас рассматриваю вариант смены провайдера домашнего интернета на более крупного (мтс если точнее, московский регион). Они при подключении домашнего интернета предоставляют только свой роутер. Подскажите, пользовался ли кто-нибудь их интернетом, и нет ли там каких-то особых проблем с блокировками различных vpn? Так же интересует возможность в дальнейшем поставить vpn на их роутер, для обхода блокировок, не может ли быть такого, что на эти предоставляемые роутеры вообще невозможно будет это установить? Сейчас пока пользуемся более мелким провайдером и своим собственным роутером. ВПН на каждом устройстве стоят свои и работают с переменным успехом, но чаще всего работают нормально. Есть опасение, что со сменой провайдера все будет хуже. Спасибо.
Если радио и тв эти дебилы контролируют хорошо , то с блокировкой интернета у них совсем плохо.Они были бы рады его совсем отключить , но очень боятся негативного поведения населения.Ох уж , представляю , какая будет радость , когда вся эта нечисть уйдет в небытие, и все что они успели сломать , восстановится. Напьюсь от радости!
СМИ: в обновлённый перечень блокировки VPN-сервисов и VPN-протоколов Роскомнадзора вошёл Shadowsocks