CloudFlare запустил бесплатный VPN — без регистрации (и SMS)

    image
    Бесплатный VPN без какой либо регистрации от известной компании с хорошей репутацией, что? Да !
    Сегодня CloudFlare запустил бесплатный VPN для быстрого и безопасного доступа к сайтам, CloudFlare отдельно отмечает, что назначение приложения — это безопасность и защита от трекинга (через скрытие трафика от провайдера), однако оно не предназначено для анонимности.
    Коротко о CloudFlare:
    CloudFlare — известный и один из самых крупных CDN провайдеров, который защищает многие сайты от DDOS атак и скрывает IP адрес сервера, около года назад, CloudFlare решил нести добро в массы запустил приложение для защиты DNS запросов (используя DNS Over HTTPS).
    Приложение обладает всего 1 кнопкой для подключения и совершенно не требует регистрации (даже почту вводить не надо), разработчики подчеркивают, что такой тип VPN подходит для любого поколения пользователей, желающих сделать свой сёрфинг в интернете более безопасным.

    image

    Для соединения с CloudFlare приложение использует протокол WireGuard, что позволяет переносить сессию даже при смене IP адреса клиента (например при переключении между сотовой сетью и Wi-Fi), ради этого, даже была написана своя реализация протокола под название BoringTun.

    Разработчики декларируют следующие особенности:

    1. Идентификаторы пользователя или логи не записываются
    2. CloudFlare не передает информацию для рекламы и маркетинга
    3. Регистрация не нужна
    4. Сервис переодически проходит внешний аудит, для подтверждения своих обещаний

    P.S.: Верить сервису или же нет — дело каждого.

    Отдельно хочется отметить, что при использовании приложения, вы автоматически получите доступ к IPv6 ресурсам.

    Существует и платная версия сервиса
    По словам CF, она позволяет улучшить скорость доступа к сайтам, используя маршрутизацию внутри инфраструктуры CF, однако она не обязательна, при бесплатном использовании нет никакого ограничения по трафику.

    Подробнее прочитать о сервисе можно в блоге у CloudFlare:


    Приложние доступно на Android и iOS
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 82

      +5

      Интересно, за чей счёт всё таки банкет?

        +1
        Я думаю за счет инвесторов и это часть PR кампании, как и бесплатные тарифы для сайтов…
          +10
          Вот данные по разрешениям wireguard, вот ссылка на F-Droid(а там и ссылка на исходный код).
          Из подозрительных разрешений — только доступ к камере, но это только для того, чтобы отсканировать QR код и это разрешение можно ограничить практически на любом совеременном Android смартфоне.
          И даже не просят разрешение на чтение данных, только на запись. Выбор файла осуществляется через стандартный файл менеджер(молодцы, я не ожидала даже).

          Вот данные по приложению Cloudflare. Помимо того, что они и так узнают про вас(DNS запросы, посещённые сайты), так и доступ к местоположению, доступ к информациии о Wi-Fi, чтение личных данных из памяти. Надо ещё будет последить какие разрешения добавятся через время.

          Вот и прикидывайте за чей счёт банкет. Как там говорят? Если что-то бесплатно, то товар — это Вы! И никаких там промоакций, расширения пользовательской базы. Зачем, если можно уже начинать собирать «лишние» данные «прозапас».
            0
            Мне кажется им проще проверять клиентов своим приложением, чем тратить ресурсы на анализ\проверку юзеров с инета (которые приходят на их CDN). Они собирают статистику, логи, данные устройства.
            0
            Молодцы, что wireguard впилили. За NoiseProtocol будущее
              +3
              Что в нём хорошего без мимикрии под HTTPS?
                –4
                В чём в нём? Где вы увидели https?
                  +2
                  В протоколе WireGuard. В том то и дело, что нигде в нём не увидел HTTPS. В современных реалиях без возможности инкапсуляции протокола в HTTPS перспективы протокола сомнительны. Более интересным вариантом с этой точки зрения выглядит SoftetherVPN.
                    0
                    AnyConnect/OpenConnect тоже выглядит со стороны как обычный HTTPS.
                    И в отличие от Softether для него есть клиенты под Anroid
                      +1
                      Да, тоже хороший вариант, спасибо!
                      Softether на Android/iOS можно в режиме SFTP/OpenVPN ещё использовать.
                        +2
                        Конечно SSTP, извиняюсь за ошибку
                        +1
                        Softether поддерживает протокол SSTP — вылитый HTTPS. У андроида есть клиенты SSTP. Я лично пользуюсь.
                          0
                          Я где-то пол года назад смотрел, под Android не было бесплатных SSTP-клиентов в принципе.
                          Сейчас что-то находится на гитхабе, но судя по всему оно еще сырое.
                            0
                            Есть такое дело. Использую VPN client pro. Покупал давно — когда у них ещё не было темы с подпиской. Но на просторах интернета попадаются и ломанные клиенты. Я проверял — работают нормально.
                    • UFO just landed and posted this here
                        +1

                        Нет. Сначала они заблокируют номер порта, используемый VPN, а потом сделают паттерны для выделения их пакетов (по заголовкам, магическим числам и тд). Маскировка под HTTPS или под трафик популярного приложения вроде "танков" или "whatsapp" помогла бы затруднить блокировку.

                          0
                          Китай успешно режет WireGuard ещё с самого момента его появления. Ничего сложного в этом нет. Там простой и легко выделяющийся протокол.
                          • UFO just landed and posted this here
                              0
                              Кстати, неплохая бизнес-идея для издателей онлайновых игр: VPN, трафик которого выглядит как игровая сессия. Если подключение идёт по тем же самым адресам, к которым подключаются игровые клиенты, то тут вообще отфильтровать невозможно.
                                0
                                то тут вообще отфильтровать невозможно

                                Бан по IP же.
                                  0
                                  Еще в прошлом-позапрошлом году ответственные товарищи задумывались о том, чтобы контролировать внутриигровое общение.
                        0
                        Я, конечно, сам почитаю по ссылкам, приведенным внизу статьи.
                        И даже попробовал. Приятно удивился, что при заходе со смартфона на internet.yandex.ru у меня еще и IPv6 адрес добавился (не то, чтобы я без него страдал, но спасибо!)

                        При этом хотелось бы, чтобы все это уже из статьи было понятно.
                        Как минимум, после прочтения у меня не повилось уверенности, что шифруется весь трафик. И даже поначалу подумал, что это только для доступа к серверам, которые хостятся у них.
                        безопасность и защита от трекинга (через скрытие трафика от провайдера), однако оно не предназначено для анонимности.
                        Это как?
                        Шифруются не только DNS запросы, но весь трафик. IP у меня меняется. Выхожу через другую страну. Возможно могу обращаться к запрещенным сайтам и прочим телеграммам.
                        Какую анонимность в данном случае я не получу, коль скоро CloudFlare тоже мои действия не протоколирует и, полагаю, в разные моменты времени будет выдавать мне разные IP?
                          0
                          Какую анонимность в данном случае я не получу, коль скоро CloudFlare тоже мои действия не протоколирует и, полагаю, в разные моменты времени будет выдавать мне разные IP?

                          Технически приватность — есть, однако я решил привести именно позицию разработиков:
                          What WARP Is Not
                          From a technical perspective, WARP is a VPN. But it is designed for a very different audience than a traditional VPN. WARP is not designed to allow you to access geo-restricted content when you’re traveling. It will not hide your IP address from the websites you visit. If you’re looking for that kind of high-security protection then a traditional VPN or a service like Tor are likely better choices for you.


                            0

                            Но я так понимаю ип меняется, а значит ркн им обойти можно

                              0
                              РКН использует DPI, поэтому они могут достаточно легко заблокировать соединение, просто обнаружив в нём использование определённого протокола — без привязки к IP.
                              0
                              А, ОК.
                              Для моих бытовых целей вполне достаточно.
                              Спасибо за наводку!
                              +1
                              Оно в хедеры X-Forwarded-For или что-то подобное с настоящим IP случайно не добавляет?
                              Судя по «It will not hide your IP address from the websites you visit» и тому, что у них есть свой удостоверяющий центр (и соответственно, возможность выпустить SSL-сертификат для любого домена и провернуть MitM при отсутствии pinning), то теоретически может, хотя маловероятно что будут заниматься подобным.
                                +1
                                Посмотрел, нет, 2ip.ru/privacy всё таки пишет американский IP и «Заголовки HTTP proxy — нет»
                                Хотя нет, какая-то ерунда. whoer.net/ru при этом показывает вполне реальный IP.
                                На мобильном хроме.
                                  +4

                                  Возможно, речь идет о сайтах внутри инфраструктуры cloudflare, для которых запрос будет выглядеть приходящим с реального адреса или для которых реальный IP будет отражаться в логах cloudflare.

                                    +1
                                    Возможно, речь идет о сайтах внутри инфраструктуры cloudflare, для которых запрос будет выглядеть приходящим с реального адреса
                                    Кстати, похоже на то. Whoer.net судя по всему скрыт за cloudflare, он определяет реальный IP
                                +1
                                Идентификаторы пользователя или логи не записываются


                                А это законно в США? Там вроде был закон принят о запрете сообщать пользователю облачных сервисов, что его данные используются спецслужбами. Но не в курсе точно, как там с прецедентами.
                                  +2
                                    0
                                    Посмотрим как работать будет. У эпл так вроде бы получилось потролить юстицию США (хотя толку-то в итоге?).
                                  0

                                  У меня установлено приложение (iOS) но до сих пор пишет что я в списке ожидания? Что я делаю не так?

                                    +1

                                    Только что прилетел апдейт. Извиняюсь за беспокойство :)

                                    0
                                    Разработчики декларируют следующие особенности:


                                    Внимательно прочитал особенности. Среди задекларированных особенностей НЕТ безопасных сессионных ключей или какой там у них эквивалент в WireGuard. Т.е. они могут, в теории, при согласовании ключа выбирать свой random предсказуемым образом, способствуя тем самым перехвату траффика, и все еще оставаться в рамках своей декларации и проходить аудит на соответствие ей.
                                      0
                                      догадываюсь, что отсутствие сессионых ключей им важно для возможности приземлять трафик в любой ДЦ и динамически их менять без пересоздания соединения…
                                        0
                                        Хорошо, перефразирую. Генерация и использование выглядящих сильными, но слабых по факту ключей шифрования (как в свое время было в забагованном OpenSSL из Debian) не противоречат privacy policy. А должны бы.
                                    +8
                                    Два момента:

                                    1) Для обслуживания российских пользователей используется сервер в Москве.

                                    2) CloudFlare не белая и пушистая — она не чурается цензуры:
                                    Сервис DDоS-защиты Cloudfare отказывает в своих услугах сайту 8chan, который, как считается, был площадкой для стрелка из Эль-Пасо и некоторых других экстремистов. Отключение от сервиса фактически означает смерть сайта: Cloudfare в своей области почти что монополист, а без защиты от DDoS-атак ни один крупный сайт работать не в состоянии.

                                    История очень примечательная: 8chan выставляют на мороз не по приговору суда, не по каким-то формальным основаниям, а просто потому, что руководство Cloudfare посчитал своего клиента «омерзительным».

                                    В своем пространном посте основатель компании Метью Принц объясняет, почему они класть хотели на Первую поправку (потому что они частная компания, а не правительство), а также многословно и малоубедительно рассуждает, почему это нельзя считать цензурой (потому что миссия компании — сделать интернет лучше, а в лучшем интернете нет места таким отморозкам).

                                    Мы уже привыкли принимать интернет как данность, как воздух или воду. Воздуха в каких-то ситуациях может не хватать, но обычный нормальный человек вряд ли столкнется с тем, что ему запретят дышать, потому что он кто-то решил, что он плохой.

                                    Между тем, интернет — его системообразующие сервисы —контролируется частным компаниями, и любой возомнивший себя мессией глава любой из таких компаний может послушать голоса в своей голове и отправить вас и ваш создававшийся годами сайт/блог/профиль/канал в телеграме в небытие.
                                    • UFO just landed and posted this here
                                        –1
                                        Наоборот. Трафик на российские сайты от российских пользователей будет ходить с меньшей задержкой и без РКН блокировок.
                                          0
                                          Для того чтобы он ходил без блокировок надо чтобы была L2 связность за границу, или L3 без фильтрации. Если сервер VPN подключен для IP транзита к российским операторам, то и фильтрация автоматически будет.
                                            –2
                                            Это ваши фантазии. Попробуйте на сервере в России wget'ом запросить заблокированный сайт. Сервер должен быть не офисный конечно.
                                              +4

                                              Я заинтригован. Что тогда будет?

                                                –4
                                                Попробуйте.
                                                  +1

                                                  Если кратко — то телеграмы эти ваши блочат домашние ISP, на серверах в датацентрах такой дичи обычно нет.

                                                    +2
                                                    Магистральные операторы блочат, сотовые, площадки IX. На Ростелекоме что-то очень суровое планируют. РКН не даёт расслабиться.
                                                    Датацентры не сами же по себе, к ним и между ними тянутся разнообразные каналы операторов.
                                                    Если где-то что-то работает и не блокируется, то это не повод думать, что так будет всегда.
                                                      0
                                                      Справедливости ради — ваш оппонент ничего не говорил насчет «всегда». Он сказал, что сейчас обычно не блокируют.

                                                      Только что прогнал blockcheck на VPS'ке, арендованной у reg.ru:
                                                      [!] Результат:
                                                      [] Ваш провайдер не блокирует сайты.
                                                • UFO just landed and posted this here
                                            0
                                            Отключение от сервиса фактически означает смерть сайта

                                            The Daily Stormer, который в Cloudflare отключили в позапрошлом году, никуда не делся.
                                              0
                                              1) Для обслуживания российских пользователей используется сервер в Москве.
                                              Как вы это узнали?
                                              Вот только опять проверил — при активации адрес у меня из Стокгольма становится.
                                              И internet.yandex.ru показывает 8.40.140.*, и SpeedTest начинает тестировать с AltusHist B.V. Stockholm.
                                                0

                                                Да, похоже. Вместо линкедина заглушка мтс. Orbot пока рано сносить.

                                                  0

                                                  Больше компромата тут: https://codeberg.org/crimeflare/cloudflare-tor

                                                  +1

                                                  Насколько я помню общение с ТП CF по поводу использования их сервиса раздачи контента, они говорили, что общаются с РКН, чтобы их не забанили навсегда просто потому, что среди их клиентов могут оказаться такие, которых РКН не возлюбит.


                                                  Что мешает РКН предложить детищу CF под названием WARP добровольно и без принуждения встроить фильтрование по спискам РКН, от греха, так сказать? CF есть что терять, у них, в отличии от Гугла, ДНС все же не основной бизнес (аллюзия на известную шутку) — а если серьезно, то потеря рынка CDN для них важнее пиара серверов 1.1.1.1/1.0.0.1.

                                                    0
                                                    а если серьезно, то потеря рынка CDN для них важнее пиара серверов 1.1.1.1/1.0.0.1.

                                                    Смотря какой рынок, смотря в какой стране
                                                      +2
                                                      Что мешает РКН предложить детищу CF под названием WARP добровольно и без принуждения встроить фильтрование по спискам РКН, от греха, так сказать?

                                                      Это ладно. Сразу станет видно, что какие-то сайты перестали? можно переключиться на другой VPN.
                                                      А вот если будут расшифровывать и полноценно СОРМить (сбрасывать нашим доблестным органам дамп трафика) — об этом даже не узнать, пока не клюнет.
                                                      Но это паранойя, мне кажется. Скорее списками РКН обойдутся
                                                        0
                                                        Им, ввиду их масштаба, и невозможности уйти в глухую оборону, придется хотя бы для вида списки внедрять. Уж как это по факту будет — может, в Warp+ будет галочка в настройках «я не считаю действия РКН соответствующими Конституции РФ», которая отключит для этого «плюсового» клиента списки — но для внешнего наблюдателя (и для этого, как его, комплекса проверки охвата доставки счастья, который «Ревизор») все должно быть в стиле «мышь не проскочит». Опять же, повод пару баксов за плюс заплатить будет.

                                                        Хотя, как по мне, VPN от крупной компании именно в силу (в подобной ситуации) уязвимости ее бизнеса выглядит не самым безопасным решением. Но, и правда, VPN от CF — отличный довесок для пиара сервиса 1.1.1.1, why not?
                                                      +1
                                                      Только для телефонов или на Windows тоже можно использовать?
                                                        0
                                                        Не на всяком телефоне, только смартфоны Android или IOS. Если у вас «просто телефон» — не прокатит, если у вас мобильная винда — тоже никак.

                                                        А на десктопе, и правда, пока только обещают, что под Windows, что под Mac, что под Linux.

                                                        И лично у меня есть подозрение, что это неспроста: как только первый клиент под какой-нибудь Линукс появится, народ начнет ставить его как шлюз по умолчанию для ЛВС компаний и для дома, а это тот еще трафик, и те еще политическо-РКН-овские риски.

                                                        С другой стороны, только анализ всего трафика множества людей — это очень лакомный кусок пирога для любого маркетолога. Так что, разрешив сливать в свой VPN трафик бОльшого числа людей, CF только собственные базы насыщает — и свою капитализацию повышает. За это мжно и трафиком заплатить!
                                                          0
                                                          как только первый клиент под какой-нибудь Линукс появится

                                                          Попробуйте собрать github.com/cloudflare/boringtun

                                                            0
                                                            В Debian Stretch командой 'cargo build --release' собирается исполняемый файл boringtun, который даже запускается и создает новый сетевой интерфейс. Как его использовать, точнее где брать конфиг, пока не понял.
                                                        +1
                                                        Если уж разводить паранойю, то не стоит ещё забывать, что у Cloudflare есть свой удостоверяющий центр, они могут генерировать SSL-сертификаты для любых доменов, и таким образом делать MitM проходящего через них трафика куда угодно, если не используется certificate pinning.
                                                        Ресурсов такое дело потребует существенных, да и палевное это дело, но теоретическая возможность есть.
                                                          +5

                                                          И после первого запроса на Certificate Transparency у них отнимают их УЦ, на этом их бизнес можно будет закрывать.

                                                            0

                                                            Вот я и говорю, слишком палевное это дело.
                                                            Хотя, надо внимательно смотреть, что у них там в EULA написано.
                                                            При работе своего CDN-сервиса они, например, генерируют сертификаты для чужих доменов и MitM'ят трафик вполне легально.

                                                              0
                                                              MitM'ят трафик вполне легально.

                                                              Вот. Именно. Им незачем заниматься палевными вещами, ведь пользователи и так готовы отдать им хоть весь свой трафик.

                                                          0
                                                          Ну как бесплатный…
                                                          130 рублей в месяц.
                                                          А бесплатный, насколько я понял — как и раньше, шифрует только DNS-запросы.

                                                          При всем, приложенька пока что существенно кушает батарею.
                                                            0
                                                            А бесплатный, насколько я понял — как и раньше, шифрует только DNS-запросы.
                                                            Почему вы так считаете?
                                                            Я тоже думал, что только DNS запросы шифруются. Но при заходе на сайты они меня видят с буржуйского IP.
                                                            А у вас как?
                                                              0
                                                              Ну в настройках два варианта же:
                                                              «1.1.1.1 — make private requests to look up the location of websites using Clouflare's DNS»
                                                              «1.1.1.1 with WARP+ — everything from 1.1.1.1 plus access to optimized faster Internet paths»

                                                              В общем, заплатил за WARP+ и не сожалею.
                                                              0
                                                              Там в настройках 1.1.1.1 и 1.1.1.1 with WARP, который описывается как
                                                              1.1.1.1 with WARP prevents anyone from snooping on you by encrypting more of the traffic leaving your phone.
                                                              И при включении пишет «Your internet is now private».
                                                              Платный WARP+, о котором говорится
                                                              WARP+ extends WARP by sending all of your Internet traffic over the same optimized Internet routes which make thousands of websites 30% faster on average. WARP+ combines millions of Internet route measurements with Cloudflare’s private Internet backbone to deliver a better Internet directly to your phone.

                                                              +3
                                                              Бесплатный сыр, еще и с фирменным клиентом. Opera вроде спалилась, что трафик vpn пользователей анализировала, вот и с этим сервисом что-то подобное будет.
                                                                0
                                                                да и фиг с ним с анализом, что вы так паритесь то, для посещения пары сайтов сойдет.
                                                                0
                                                                WireGuard — это только UDP? Использование TCP не предусмотрено?
                                                                Зайти в этот рекламируемый VPN из TOR-а не получится?
                                                                  0
                                                                  Была статья на хабре с анонсом этого сервиса, на тот момент только для DNS, с перспективой полного VPN. Установил. Ждал. Теперь расширили.
                                                                  Но VPN трафик только по подписке :(
                                                                  Бесплатно — только DNS осталось.
                                                                  Может потому что это не Россия а Беларусь…
                                                                  UPD:
                                                                  Ups… платно это WARP+, а так VPN работает.
                                                                  Извиняюсь.
                                                                    0
                                                                    установил приложение на андроид. при включении ни один сайт в браузере не открывается
                                                                      0
                                                                      Кто-то умеет вытащить из андроидного com.cloudflare.onedotonedotonedotone*.apk информацию о том, с кем и как он соединяется? Адреса, ключи?
                                                                        0
                                                                        там в логах все написано
                                                                        0
                                                                        Интересно, а через OpenVPN можно с ними как-то коннектиться?
                                                                          0
                                                                          Для соединения с CloudFlare приложение использует протокол WireGuard

                                                                        Only users with full accounts can post comments. Log in, please.