Умный обход блокировок в Украине

[novapromotions]

Какая средняя нагрузка на канал? Ведь все пользователи соц. сетей потребляют огромное количество медиа видео/музыка?

[zhovner]

Вот график нагрузки с одного сервера, на нем примерно 100 человек:


Возможно, если пользователей будет больше, придется докупить еще пару серверов. Впрочем за 3€ это не так накладно.

[trnc]

Объясните, пожалуйста, как именно работает DNS балансировка? Я проверил из нескольких географически разных мест — в результате резолва мне всегда возвращается IP адрес одного и того же сервера (тот, что вы арендовали и у Linode).

[zhovner]

Балансировка никак не привязана к географии. Попробуйте этот сервис https://www.host-tracker.com/InstantCheck/ResultComplete/f4fce39f-0d40-e711-850b-0003ff73517a

[trnc]

Да, спасибо, уже разобрался, я подумал что у вас работает что-то типо Dynamic DNS и IP сервера для домена меняется в зависимости от загрузки того или иного сервера (да, да я тот еще генератор идей :D) Но на деле все проще, просто для домена внесено несколько A записей и всего-то. А проверял из разных мест… даже не знаю почему. Так приучен. Спасибо вам за сервис!

[SirEdvin]

Многие провайдеры просто подменяют dns записи и все.
Google DNS — наше все.

[zhovner]

Киевстар (и вроде Vodafone), блокирует DNS ответы с заблокированными доменами от любых резолверов. Так что этот способ бесполезен. Кроме того, не так просто установить DNS сервера для мобильного интернета.

[FeNUMe]

Многие, но не все. С киевстаром замена днс не работает например, а это сотни тысяч клиентов.

[madroot]

если впн настроен корректно, нормально выдает клиентам все адреса, то пофиг на подмену днс, клиент юзает днс сервака, на котором можно указать любой днс. я поднимал фермы на опенвпн, немного в другой конфигурации, но в целом решение абсолютно живое и боевое.

[EmmGold]

Многие провайдеры просто подменяют IP адреса…

[FeNUMe]

Спасибо за список заблокированных сетей, все никак руки не доходили самому их собрать и перенаправить через свой впн.

[zhovner]

Там отсутствует DrWeb и 1C. Но никто пока не просил добавить эти сети.

[ValdikSS]

DrWeb использует IP, вероятно, сервиса DDoS-защиты Qrator.

[Spectre]

Прошу :) как же cureit
Спасибо за сервис

[trnc]

А если я на свой машине пропишу маршруты на некоторые серверы статично, чтобы через ваши OVPN сервер пакеты ходили, будет работать?

[EasyX]

Да-да, спасибо! Руки не доходили у себя на роутере заблокировать эти сети

[FeNUMe]

Вы только блокируйте с умом, иначе потом задолбетесь смотреть на тормозящие сайты на которых используется контент с заблоченых сетей(картинки, видео, скрипты я.метрики и просто js-либы с яндексовского CDN)

[Tortortor]

роскомнадзор обходи, а об Украине забудьте.

[Lailore]

Ага, только у вас там блокировка другого рода. Сравнения то что на Украине с Роскомнадзором напоминает сравнение тёплого с мягким

[Lailore]

И да с чего это тут надо забывать? это касается российские компании

[frees2]

Яндекс ведь вчера выпустил свой браузер с VPN. Неизвестны данные. На десктопном только себя любимого разблокировал…

Против политических блокировок нужна, как это банально не звучит, международная солидарность и международная поддержка друг друга. Будь то LinkedIn или Яндекс.
В этом контексте гораздо проще всё решается.

[eealexaa]

Кое-что известно. Обход обеспечивается расширением Yandex Access версии 1.7.3. Его можно скачать и под любой хром-совместимый настольный браузер. Принцип работы такой же, как и «Забороны».

[frees2]

https://chrome.google.com/webstore/detail/yandex-access/idbedjafhibameiaanmbpjhcbhikpfbl
Дополнительная информация
Версия: 1.7.3
Обновлено: 22 мая 2017 г.
Расширение помогает открыть ряд веб-ресурсов, доступ к которым ограничили на территории Украины.

Пять звёздочек это конечно круто.
Как то они сами стесняются рассказать подробности. Хотя бы скорости…

[zhovner]

Пишут про проблемы с Android 4.4. Вроде бы при подключении к VPN доступны только заблокированные сайты, а остальной интернет нет. Прошу помочь тех у кого есть устройство с этой системой.

[RoyalFoxy]

у меня такая же ситуация, андроид 4.4.2, грузит вк, а Telegram, к примеру, не работает

[RoyalFoxy]

если я чем-то могу помочь — обращайтесь

[EminH]

Есть одна проблема, обычный пользователь даже если и сможет настроить VPN клиент, в большинстве случаев оставит whitelist/blacklist пустым, что приведет к ситуации когда весь трафик будет идти через удаленный сервер.
Не лучше ли воспользоваться решением на основе proxy.pac? Тогда сам VPN провайдер (или точнее получается Proxy провайдер) будет определять что пойдет через него а что напрямую.
правда для Windows это не только настройка браузера, например Skype тоже можно через прокси пускать.

[zhovner]

Про какой whitelist/blacklist вы говорите? Клиенту ничего настраивать не нужно, нужные маршруты ему прилетают с сервера.

По поводу .pac файла вам расскажет ValdikSS У него на сервисе https://antizapret.prostovpn.org/ больше всего трафика расходуется на отдачу самого файла, а не на пользовательский трафик. Потому что кривой windows скачивает этот файл на каждый запрос.

[EminH]

может я не понял вот эту часть

Cписок сетей маршрутизируемый через сервера Zaborona VPN
Собираем все нужные диапазоны. Соседние сети объединяем в один диапазон, чтобы уменьшить общее число маршрутов на клиенте.

Как клиент будет знать «все нужные диапазоны»?

[zhovner]

Посмотрите спойлер «Конфиг сервера OpenVPN». Там все маршруты из этого списка устанавливаются клиенту.

[EminH]

Это конфиг сервера, как клиент будет знать маршрут? Список будет скачиваться периодически?

[FeNUMe]

При подключении к серверу, клиент автоматически устанавливает в системе эти маршруты, пользователю вообще ничего не нужно делать и знать. Установил openvpn, закинул конфиг сервиса, подключился и пользуешься.

[EminH]

понятно, спасибо.
можно ли как либо указывать прямо FQDN? например mail.yandex.ru, он определит список ip адресов автоматически?

[zhovner]

Можно узнать название компании, по названию найти все AS (автономные системы) которые принадлежат этой компании. Потом узнать все сети которые находятся в этих автономных системах.

[EminH]

я думаю еще можно периодически делать запрос типа nslookup yandex.ru и записывать IP адреса

[zhovner]

Долго будет записывать, может даже несколько месяцев. Сервисы вроде yandex и google имеют огромное число серверов для балансировки нагрузки.

[ValdikSS]

Некоторые провайдеры Украины заблокировали AS компаний полностью, и доступ пропал не только к самим сайтам mail.ru, yandex, но и к другим сайтам, использующим их инфраструктуру.

[zhovner]

При подключении клиенту с сервера приходит список маршрутов которые нужно установить. Они устанавливаются автоматически в момент подключения. Я не знаю как еще объяснить.

Вот эти строчки буквально значат «впихнуть клиенту такой маршрут»

push "route 87.250.224.0 255.255.224.0"
push "route 93.158.128.0 255.255.192.0"

[Dogata]

почему в конфиге пути с «keys/», тогда как ключи и сертификаты у вас лежат в «pki/»?

[zhovner]

Их нужно достать из easy-rsa и разложить в /etc/openvpn вручную.

[Dogata]

серверные — можно ведь просто оставить в корне.
а клиентские — в папку клиент.

у openvpn в документации ведь об этом не говорится — что куда? все на свое усмотрение?

[EminH]

больше всего трафика расходуется на отдачу самого файла, а не на пользовательский трафик

здесь можно придумать workaround в форма простейшего веб сервера который будет хостить Pac файл локально, и только периодически скачивать master pac file с сервера в интернете (раз в неделю)

[zhovner]

простейшего веб сервера который будет хостить Pac файл локально

То есть Вы предлагаете устанавливать клиенту на компьютер веб-сервер который будет отдавать .pac файл? Как-то это неоправданно сложно. И как быть с мобильными устройствами? В них .pac прокси работает только для WiFi подключений и не работает для мобильного интернета.

[EminH]

для мобильных устройсв это не подойдет конечно. идеально было бы вшить это все в рутер

[Lici]

Возьмите и установите все по инструкции с сайта, все отлично работает со всех устройств. Автор просто красавчик.

[nikitasius]

OVH — 3 евро за безлимитную виртуалку (100 Мбит). Прямо ставь дебиан и дерзай по sock5 через putty.

[Redaicd]

Я конечно все понимаю, но таким образом можно и личные данные собирать

[zhovner]

Расскажите как именно и какие личные данные можно собрать. Как работает HTTPS и HSTS-заголовок вы, надеюсь, знаете?

На этот вопрос есть ответ в разделе Помощь на сайте https://zaborona.help/faq.html

[Redaicd]

Знаем, поэтому и пишем, весь обмен ключами происходит через ваш узел, ничего не мешает расшифровывать данные
Для простого примера, попробуйте fiddler который выступает как прокси между браузером и сайтом. Замечательно расшифровывает https

[FeNUMe]

Без установки сертификата в доверенные на клиенте, вы ничего не перехватите и не расшифруете.

[ValdikSS]

Замечательно расшифровывает https

Для этого сначала потребуется установить сертификат Fiddler в браузер или ключницу ОС.

[zhovner]

Для того чтобы расшифровать HTTPS, нужно его сперва зашифровать своим ключом. Если пытаться подменить ключ своим, пользователь увидит сообщение о том, что сертификат не прошел проверку подлинности. И чтобы продолжить пользоваться таким соединением, пользователю нужно добавить сайт в исключения вручную


Fiddler во время установки ставит вам в систему также свой корневой сертификат, поэтому соединения перехваченные с его помощью работают без предупреждений о битом сертификате.

[crea7or]

Давеча API одного сайта изучал, так пустил трафик с мобилки через PC с фидлером, трафик ясно дело https — так вот мобилка даже не ругнулась.

[TIgorA]

попадают как-то немец, голландец и русский на необитаемый остров. русский говорит:
– как по-немецки «шлюпка»? а по-голландски?
немец и голландец отвечают:
– звідки нам знати. ми через vpn сидимо

[NorthDakota]

А почему же не взять vds в Украине?
Магистральщики ведь не будут блочить

[zhovner]

1. В России хостеры тоже выполняют блокировки.

2. Нет нормальных цен и тарифов.

[ksenobayt]

Не все и не всегда. Айхор, например, ничего не блокирует, чем я бесстыдно пользуюсь.

[frees2]

Тогда уж в Луганске (VDS/VPS), по крайней мере тамошние админы спать будут спокойно.

[roman901]

Внезапно — есть сервер в МираХосте, который использую как vpn для обхода блокировок РКН. Тоже блокируют о.о

[zhovner]

Не понял. Мирохост блокирует сайты Mail.ru или сервера Мирохост блокируют в России?

[NorthDakota]

У меня ВПН на ukraine com ua все норм
Никто ничего не блокирует

[frees2]

Сервер физический где, на Украине, в Германии, в США, во Франции?!

Честно удивляюсь, зачем заказывать сервер через посредника на 20% дороже.

[NorthDakota]

Физически в Украине, у них свой дц

[frees2]

Таки да, должен работать, но последствия могут быть.
https://habrahabr.ru/post/329248/#comment_10230702

[roman901]

traceroute to vk.com (95.213.11.180), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *

И всё в таком духе.
Mirahost блокирует сайты РФ.
UPD: нет, яндекс не блокируется, блокируется mail.ru и vk.com

[salabon]

Взял, для интереса vds в Украине, физически машинка находится в Харькове.
vk.com пингуется, DNS резолвится, но зайти на него не получается.
Таймаут соединения.

Через wget тоже не скачивается индексная страница. Тоже таймаут соединения.

[throttle]

15 минут. 15 минут, как я закончил собирать все эти маршруты — и вот статья. Эх. :)
На самом деле, спасибо, статья была ожидаемая, и решение лежит на поверхности. Появление сервиса — дело времени.
Еще бы сделать так, чтоб через впн разрешались не все имена, а только заблокированные, но это со стороны клиента нужно что-то поумнее, чем впн-клиент.

[zhovner]

Apple так умеет через профиль .mobileconfig. Но нужно заранее прописать все домены, которые необходимо резолвить через свой DNS в конфиг. Я решил, чтобы собрать все домены невозможно. Нужно учитывать контент-сервера, сотни поддоменов контент серверов vk.com вроде blabla.vk.me, *.userapi.com и так далее. Поэтому я решил что эта задача невыполнима.

https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html
SupplementalMatchDomains

A list of domain strings used to determine which DNS queries will use the DNS resolver settings contained in ServerAddresses. This key is used to create a split DNS configuration where only hosts in certain domains are resolved using the tunnel’s DNS resolver. Hosts not in one of the domains in this list are resolved using the system’s default resolver.

[throttle]

собрать все домены невозможно

Ну, задача, в целом, конечна, но мороки много, да. И изменений может быть куда больше, чем с адресами.
Мне это интересно реализовать скорее с эстетической точки зрения.

[Pilat]

Зачем так извращаться, если есть Tor Browser?

[zhovner]

Tor не поможет обойти блокировки для мобильных приложений вроде Яндекс.Такси, Вконтакте и других. К тому же это очень медленно.

[darkk]

Почему не поможет? По крайней мере на android работает.

[MedicineMan]

Для мобильных приложений есть Orbot на основе Tor. В нем есть функция VPN Mode, где можна указать какие приложения через него должны ходить

[MedicineMan]

Скорость страдает прилично, а с VPN разницы не заметишь.

[Pilat]

А кто гарантирует, что VPN сервис запустил не хакер/СБУ/ИГИЛ ?

[zhovner]

Я из СБУ.

[trnc]

Ну во-первых даже если так, то большинство заблокированных работают по HTTPS (если не все). Следовательно вопрос — что именно хакер/СБУ/ИГИЛ сможет сниффать? Мусор? Узнают они разве что, что вы ходили на ВК через их сервер и это почти все, что им станет известно.

Во-вторых, если хотите гарантий — платите 3 евро в месяц за аренду своего сервера, поднимайте на нем свой OpenVPN сервер и наслаждаетесь.

Ну и третье — Tor Browser с OpenVPN не сравнится как минимум по скорости работы.

[Pilat]

По первому пункту — "Узнают они разве что, что вы ходили на ВК" это всё что надо "им" знать.
Второе — это для гиков. Собственно любые VPN сервера для гиков.
Ну а третье — скорее всего Вы просто не пробовали. Насчёт скорости — это легенды. Недостаточно для торрентов по скорости, для игр по латентности. Для соцсетей — вполне достаточно.

[trnc]

Это все что им надо знать? В смысле? Они не получат ваших данных, как им поможет в принципе информация о том, что вы обращались к серверу вк? Они даже не узнают зарегистрированы вы там или нет, они узнают что вы просто обменивались некоторой информацией с этим сервером. Так поясните свою фразу «это всё что надо „им“ знать». И, кстати, раз вы советуете Tor browser, разве вы не знаете что владелец exit-ноды точно также может видеть куда через его ноду ходят пользователи? Пусть даже IP источника во втором случае отследить тяжелей.

Второй пункт — не согласен. С увеличением количества блокировок и развитием VPN число пользователей умеющих настраивать и пользоваться VPN растер ежедневно. Поднять свой сервер — не такая сложная задача.

Третье — я пробовал. Мой рабочий ноут и домашний ПК объединены в VPN с помощью OpenVPN уже несколько лет как. Юзал я и L2TP/Ipsec настроенный на микротике в своей время, да и не только. Насчет скорости легенды? Две моих машины находятся в одном городе и через OpenVPN в пределах города 100 Мбит я получаю. Что касается этого случая — тут дело в том, где находится сервер. Я проверил как работает VPN автора. Сначала у него было 2 сервера, уже 4 и вполне себе прилично работает. Да, возможно пинг высоковат — но это обусловлено географией и маршрутизацией, но по скорости все в порядке. Подключался и к серверу в Нидерландах и во Франции. Все хорошо работает. Соц сети, сервисы яндекса, сервисы mail.ru и т.д. А именно это и есть цель — обход блокировок соц. сетей и универсальность использования на любом устройстве. Поставил раз — и забыл.

А теперь предложите альтернативу, только пожалуйста давайте обойдемся без глупых советов по поводу Tor browser и прежде чем давать такие советы и говорить о скорости работы — вы как минимум эту скорость сравните.

[Pilat]

По первому пункту. Всё зависит о целей. Естественно, конечные ноды кто-то контролирует. И HTTPS запрос, который уйдёт на vk, они увидят. От кого и кому — уже не увидят. То есть никакой информации о пользователе раскрыто не будет до того момента, когда этим вопросом займутся всерьёз, как занялись с распространителями наркотиков в США. Использование же левых OpenVPN серверов раскрывает использование гражданином Украины сервера vk.com, то есть как нарушитель закона он уже засвечен и может быть включён в список.

Второй пункт. На Украине 20 миллионов пользователей VK. Сколько из них способны поставить OpenVPN клиент и им пользоваться? Назовите конкретную цифру, обоснуйте её, а не пользуйтесь выражениями типа "постоянно растёт" — это можно в политических спорах на митингах использовать, но не при решении технических проблем. Я даже не прошу написать сколько людей способны сами поставить себе OpenVPN сервер — процент явно исчезающе мал. Tor Browser же способны поставить столько же людей, сколько способны поставить оперу, firefox, яндекс бразер и любой не-дефолтный браузер. Число заходов на vk с firefox — 2 процента — это пол миллиона человек, это примерно нижняя граница оценки способных поставить тор. А теперь приведите обоснование какой-нибудь цифре способных поставить OpenVPN.

Третий пункт. Tor обеспечивает просмотр vk.com и видео с него 480p, видео с ютуба 1080p. Только что проверил самостоятельно на десктопе с линуксом. Так что если у Вас нет возможности скачать и запустить TorBrowser, то не стоит насчёт него высказываться.

Теперь объясните, сколько человек пользуется сейчас VPN и сколько вообще способны это сделать из тех 20-ти миллионов пользователей на Украине (ну на самом деле в России наверняка процент будет таким же). Это к вопросу о глупых советах.

[Jogger]

>то есть как нарушитель закона он уже засвечен
Даже если опустить тот факт, что закон неконституционен — в нём ничего не говориться о пользователях, он обязывает провайдеров блокировать ресурсы, но не запрещает пользователям посещать их. Так что пользователь ни в коей мере не «нарушитель закона».

>На Украине 20 миллионов пользователей VK. Сколько из них способны поставить OpenVPN клиент и им пользоваться?
Абсолютно все. Обосную — те, кто сам себе ставил и настраивал систему — несомненно справятся и с OpenVPN. Те же, кто на это не способен — несомненно, воспользовались чьей-то помощью — либо бесплатной, от родственников/друзей, либо платной — от наёмных работников. Не вижу причины, почему они не смогут сделать то же самое в части установки OpenVPN.

Я, если что, не считаю что tor в данном случае будет чем-то хуже vpn. Просто именно ваши доводы — в данном случае несостоятельны.

[saboteur_kiev]

VPN это чей-то ресурс. Если все 20 млн поднимут себе опенвпн, кто будет платить за трафик и сервера, которые этот впн поддерживает? Скорее всего просто тихонько отрубят всю украину.

[Pilat]

Мой главный довод — VPN технически сложней чем Тор Браузер, и при этом не решает реальных проблем. Простой пример. Сейчас заблокирован вк. Заблокирует правительство сайт вк2. Что делать в случае с впн? Два варианта — на впн прописать пуши с новыми подсетями, или клиенту самому это сделать в своих настройках. Если кто-то думает что это реально — и тот и другой вариант — то уж я не знаю какой смысл спорить с теми, кто никогда не занимался поддержкой конечных пользователей.

[Jogger]

В таком случае вы сравниваете тёплое с мягким. Те проблемы, о которых вы сейчас сказали, возникают из-за того, что в данной статье описывается VPN, через который пускают трафик только для некоторых сайтов. Скажите, как вы думаете, сколько людей смогут настроить tor-браузер чтобы через tor шёл трафик только на вк и яндекс, а всё остальное открывалось напрямую? А сколько людей смогут настроить почтовый клиент на пк, который работает на пк, чтобы он работал через tor? А если в этом почтовом клиенте несколько почтовых ящиков, и нужно чтобы через tor шёл только запрос на яндекс, а остальное шло напрямую? И наконец, что делать странным людям, которые предпочитают хром, тоже переходить на тор-браузер, который по сути лиса? Легко видеть, что при решении того же набора задач — преимущество tor уже не так очевидно…
И ещё раз подчеркну — я не против использования тор. Но не надо считать его панацеей, с ним тоже не всё так гладко. Возможно для кого-то тор окажется более подходящим под его задачи.

[trnc]

На 100% согласен. Настроить сеть так, чтобы только пакеты на заблокированные ресурсы бегали через TOR будет в разы проблематичнее чем поставить OpenVPN и скачать файл конфигурации, а маршруты push-нет сервер что весьма удобно. А если не настраивать маршрутизацию через сеть TOR, то что, придется держать два браузера? Один для заблокированных ресурсов, второй для обычной работы в сети? К тому же нередко у соображающих людей есть возможность настроить OpenVPN клиент уже на самом домашнем роутере и избавить сразу всех пользователей домашней сети от проблем с доступом, не настраивая дополнительно клиент на каждом. Преимуществ данного решения перед TOR браузером целая уйма.

Pilat, кстати, проверил я скорость. Я подключился к одному из VPN серверов автора поста, но к тому до которого у меня наименьший пинг, далее проверил скорость на примере закачки файлов с яндекс диска и mail.ru облака. То же самое сделал через TOR. Угадайте в каком случае скорость была выше примерно в 7 раз? К тому же пинг до того же vk у меня вырос всего-то в два раза. С 22 мс из сети провайдера, стал 46 через VPN, все весьма шустро открывалось, музыка в вк загружалась быстро, видео то же, чего о Tor не скажешь.

[Jogger]

Ну, на счёт скорости он прав в том смысле, что скорости тор вполне достаточно для работы, поэтому это не решающий аргумент в выборе «тор или vpn». Другой вопрос, что пускать абсолютно весь трафик через тор (и соответственно замедлять его) ради пары сайтов — не оправдано.

[Pilat]

Я пишу о том, что OpenVPN решением для 20-ти миллионов пользователей не является, а не о том, что нельзя в принципе пользоваться OpenVPN. Любой метод обхода блокировок будет иметь недостатки и неудобства, но среди них есть критические и терпимые. Всё что Вы пишете — это терпимые неудобства, я же пишу о критических — технической несостоятельности большинства пользователей. Не говоря уже о том, что 20 миллионов пользователей OpenVPN сложно представить на практике уже в силу масштаба проблемы на стороне серверов openvpn.
Для запрещённых сайтов один браузер, для остальных другой — вот и всё решение проблемы. А через хром или лису лазить — 99% разницы в соцсетях не заметят, разве что удивятся, что в браузер можно поставить кучу дополнений.

[Jogger]

> OpenVPN решением для 20-ти миллионов пользователей не является
Это ваши домыслы, вы так и не смогли это утверждение ничем подтвердить.

>я же пишу о критических — технической несостоятельности большинства пользователей
Ещё раз вам повторяю — если бы вы были правы, эти люди в принципе не пользовались бы интернетом. Все люди в интернете либо достаточно технически грамотны, либо пользуются помощью тех, кто технически грамотен, без исключений. Единственный, кто не сможет воспользоваться таким решением — тот, кто не хочет им воспользоваться.
>на стороне серверов openvpn.
Любой технически грамотный пользователь может поднять сервер openvpn за копейки (см. статью выше, блин!). Такой сервер может обслуживать более одного клиента. Ваше утверждение настолько же обоснованно, насколько и утверждение «exit-ноды тора не выдержат 20 миллионов пользователей».
>вот и всё решение проблемы.
Для тех самых «технически неграмотных» пользователей, о которых вы так печётесь, это замена одной проблемы на другую, а не решение.
Я в принципе не понимаю вашего упрямства. Зачем вам надо, чтобы все пользовались тором, а не vpn? Надеетесь что каждый из них будет нодой? Напрасно имхо. Тогда зачем? Что за религиозный фанатизм?

[saboteur_kiev]

А каким образом Тор гарантировано решает проблем доступа?

Вот поставил я себе тор. Какой-то пользователь заходит в свой ТОР браузер и через какое-то количество хопов выходит в интернет через меня. И что, он обошел блокировки? нет. Как гарантировано заставить в ТОР браузере ходить на определенные ресурсы через тех, у кого они открыты?

[Pilat]

Никак. Пользователь вообще не знает через кого он пойдёт. Но можно нажать Control-Shift-L и поменять цепочку, добившись работающего выхода.

Ещё один способ — в torrc прописать через кого нельзя выходить:

ExcludeExitNodes {ua}

или через кого можно:

ExitNodes {us}

Интересно, что ExitNodes {ua} всё равно открывает и яндекс, и вконтактик, хотя и трафик идёт через украинский сегмент. Не получилось у меня почувствовать себя украинцем. (судя по отчётам vk, он вообще не заметил потери клиентов в 20 миллионов, может блокировки и нет?)

К вопросу как пускать трафик через тор.
Никак не пускать. Открываете TorBrouser и заходите через него во вконтактик. Больше ничего не надо делать. Ну придётся запомнить что для одноклассников и соцсетей один браузер, для другого — другой. Для 99.9999% пользователей понятние "другой сайт" не существует :) тем более что через тор всё будет работать, хотя и несколько странно в некоторых случаях.

[olku]

В Opera есть VPN бесплатный с несколькими локациями, в 2 клика. Не работает?

[eMk1LL]

Скорость не та и порой не работает

[trnc]

Дак его в первые же дни после блокировки вроде как обвалили и Opera решила прикрыть свою VPN карусель для Украины.

[zhovner]

[eshirshov]

Вна

[easty]

Думал на хабре таких нет)

[LESHIY_ODESSA]

Сначала я был очень зол, что карму сложно получить и вообще печалька. Но потом я увидел с какой скоростью с помощью кармы выпиливают неадекватов, которые в/на. Или которые не верят что есть ВИЧ и, что страшнее, пытаются за это пропагандировать. Или которые верят в гомеопатию и так далее. Как только я увидел скорость выпиливания неадекватов. то я сразу полюбил и принял карму.

[easty]

Просто здесь я думал люди с мозгами и могут сложить дважды два и понимать, кто пожинает плоды срача. Ну и собственно для подобных разговоров есть другие ресурсы.

[Lailore]

Хм, а чего, довольно забавно. Реверсивный трафик.

[Vittman]

Я так понимаю — можно заюзать client.ovpn конфиг и на роутере, если он поддерживает OpenVPN?

Cобирался сделать тоже самое на арендованной VPS (с пропусканием через туннель только заблокированного трафика), а конфиг повесить на роутере, предварительно пошив его прошивкой от Padavan.

Подскажите, если сервис бесплатен — то чем оплачивается аренда серверов?

[zhovner]

Я так понимаю — можно заюзать client.ovpn конфиг и на роутере, если он поддерживает OpenVPN?

Можно. Но полагаю маршруты придется настраивать вручную.

Подскажите, если сервис бесплатен — то чем оплачивается аренда серверов?

Один VPS сервер стоит примерно 3 Евро в месяц. Буду экономить на завтраках.

Но если хотите закинуть денег, вот мой Bitcoin-кошелек:

 17HArdWAUkSvfLXTQQ8bmQHrAtK827Qmeq

[Vittman]

Тогда ясно.

Я думал — что это много серверов и у вас там каким-то образом балансировка =)

[enamchuk]

Специально брал VPS-сервер самый дешёвый в Украине для обхода сайтов, заблокированных Роскомнадзором (установил прокси и VPN). Через него теперь не открываются ВК и другие запрещённые в Украине сайты. Так что хостинг в этой же стране — не вариант. Нужно брать в Голландии.

[frees2]

Уже говорил, спрашивал знакомых, Киев.

Нет никаких проблем, работать VPS будет в любом случае, или вы знаете где блокируют и назовёте где этот сервер стоит?! И как это работает?!

Другое дело, могут люлей получить от наци, а полиция будет весело смотреть как провода рубят.

[enamchuk]

Не рекламы ради, сервис https://takewyn.com/, хостинг от 1$, но у них блокируются сайты, запрещённые в Украине (если выбрать украинский IP).

[frees2]

Узел VPN на Украине, как они его блокируют по IP?!
Вы же по VPN его смотрите!

[enamchuk]

Мой vps в Украине с украинским же IP, соответственно, к нему применяются все ограничения, предписанные законодательством Украины, и, соответственно, запрещённые в Украине сайты ВК и Однокласники через этот мой VPN на украинском vps не работают. Но сайты, не запрещённые в Украине, но запрещённые в России — открываются без проблем (например, rutracker.org).

[silverjoe]

У меня виртуалка в одном облачном хостинге, сервер вроде бы в Питере. Через нее тот же трекер спокойно открывается.

[devalone]

Тоже самое, брал у gmhost, вообще никаких проблем с ними за год не случилось

[maxwww]

Спасибо автору за пост!
В статье есть небольшие неточности:
1. Копировать файлы нужно в папку /etc/openvpn/keys, ну или в конфиге указывать без папки keys
2. Клиентский конфигурационный файл должен иметь расширение не .opvn а .ovpn
Мелочь, но 5 мин времени сэкономит :)
Спасибо!

[zhovner]

Копировать файлы нужно в папку /etc/openvpn/keys, ну или в конфиге указывать без папки keys

У меня в конфиге так и указано. Дело в том что в родном пакете deb-пакете openvpn есть только папка /etc/openvpn, остальные предполагается создавать на свой вкус.

Клиентский конфигурационный файл должен иметь расширение не .opvn а .ovpn

Опечатка. Спасибо.

[zhovner]

deleted

[ProRunner]

Пользуюсь бесплатным расширением friGate — также проксирует только заблокированные сайты (из списка Роскомнадзора, плюс можно добавлять/удалять). Как бонус, открываются .onion сайты из тор. Покупать отдельно впн не надо.

[zhovner]

К сожалению не работает для мобильных приложений.

[alexoron]

А что это у вас там за какой-то вконтактик для школоты переживают?
Уже как сколько лет там неинтересно в основном.
Ну перебегут в ФБ, делов-то.
Осталась парочка груп, которую пару раз в неделю просматриваю.
А просматриваю спокойно через AWS EC2.
Еще иногда что-то закачать с яндексдиска нужно.
Сегодня смотрел выход IP — Hermiston, Oregon, United States

[tangro]

Люди ломанулись скачивать фотоархивы и контакты. Сегодня посещаемость упала уже на 50% от тех первоначальных 10 лямов.

[kartvladek]

Статистика не верная. Количество не изменилось, просто теперь посещения не из Украины напрямую, а через прокси по всему миру

[tangro]

С чего бы количество не изменилось, если в фейсбуке появилась целая куча новых активных аккаунтов, которые перенесли свои фотки и прямо написали, что вк больше не пользуются.

[kartvladek]

Я не смогу вам аргументированно (с цифрами и графиками) ответить но позвольте не верить тому, что кто-то что-то написал в ФБ да и вообще в интернетах. Количество пользователей примерно такое-же как и до блокировки, а спустя совсем малое время будет увеличиваться. Нам вообще побоку эти блокировки. Я живу в Киеве. Стыдно -да, трудно — нет.

[rvt]

Согласен.
Живу в Одессе.

[Vlad_fox]

у меня пару знакомых после шумихи тоже ломанулись посмотреть контакт и однокласники (кто постарше) — просто по приколу, чтоб при случае — а это ныне модная тема поговорить о блокировке, что у меня вон удалось (не удалось — неважно в сущности) войти в соцсеть.
просто на слуху и чтоб быть в теме.
проверили и забиыли. как до того не юзали так и после не особо будут.
разве что болезненно с вконтакта будут искать замену — где так же удобно нелицензионную музычку подворовать

[saboteur_kiev]

Вы мало себе представляете размер украинского бизнеса в вк.

1. Очень дешевые рекламные компании с целевой русскоязычной аудиторией, да и хостинг недорогой (понятно что это, если есть какой-то доход в голосах, без вывода их в наличность)
2. Игровая платформа, с документацией на русском, где любой школьник может написать свое приложение и сразу выйти на большую аудиторию. Да, это будет еще одно говноприложение. Но у большинства в детстве платформа была спектрум или поиск, с возможностью распространить свою поделку пешком. Вход в андроид или стим — сложнее и дороже. Я уж не говорю про MS и Apple.
3. OpenID — огромное количество ресурсов, где регистрация была по VK ID. Теперь все это переделывать, переписывать, заводить новые аккаунты или забивать совсем.
4. Огромное количество ссылок на фотки, видео и так далее на разных ресурсах — это проблема. Ты можешь сделать интересный форум, а какой-то юзер вставит там фотку из ВК. А блокировка выполнена криво, и https трафик просто выдает таймаут. Вот и грузится страничка с твоего ресурса с таймаутами. Опять нужно все перепроверять.

Понятно, что все вышеприведенное рано или поздно исправится. Но почему приказ ни с кем не обсуждет, просто подписан и завтра уже применить — почему не предупредить, не проконсультироваться, не выяснить варианты, не дать хотя бы месяц-два времени чтобы люди заранее подготовились?

[tangro]

Я, наверное, в каком-то не том украинском бизнесе работаю, но в упор не могу вспомнить какого-нибудь популярного приложения или сайта, завязанного исключительно на ВК авторизацией, апишкой или чем-то ещё. Поддержка ВК всегда делалась «ну, за компанию» параллельно с использованием мировых платформ. Рекламу — да, покупали. Но это перестать делать (в виду отсутствия аудитории) легче всего. Вырезать ссылки на фоточки тоже очень легко. Вот что действительно многим трудно — отказаться от пиратской музыки. Но тоже уже люди ищут варианты, кто на эпл спрыгивает, кто на гугл.

[kartvladek]

Немного не в тему, но вот добавлю: есть огромное количество предприятий как в госсекторе, так и в малом бизнесе, имеющих почты и диски на мейлру и яндексе. И вдруг в один из дней это все стало недоступно. Не все такие умные, не все могут в пару кликов поставить расширение для браузера, а деловую переписку надо вести вот прямо сейчас. Я этот пример из реалий беру. У нашего завода таким образом «столбняк» произошел по связям с поставщиками и прочим. Такие дела.

[rvt]

Да, корпоративная почта. Ящики, зарегистрированные в 1990-х, когда Гуглом и не пахло. И переписку нужно вести здесь и сейчас. Огромное количество писем… Абсолютно наплевательское отношение! Могли бы, действительно, предупредить, дать времени хотя бы неделю.

[Billar]

Автор, у меня лично были проблемы с роутингом именно определенных сетей пока не добавил в файл конфига клиента строку:
route-nopull

Только после этого начало работать как надо

[zhovner]

С опцией route-nopull, сервер не установит вообще никаких маршрутов.

[toxi_roman]

Спасибо за удобный сервис. На ПК и на Андроиде работает без проблем.
Сам искал сделать что-то подобное, но не мог понять, как отправлять только заблокированный трафик на ВПН, а все остальное пропускать по-стандартному. Благодаря этой статье уже понял, как это сделать.

[frees2]

Это простая информация от двух-трёх источников в Киеве, которые где то услышали…

Готовятся большие списки «вражеских сайтов» и снова списки «русских цодов».

В 2008-2009 годах произошел ряд неприятных инцидентов, связанных с конфискацией государственными органами серверов из коммерческих дата-центров. По официальной версии, эти серверы хранили незаконный контент. Серия подобных происшествий отпугнула многих заказчиков от украинских ЦОД, и они начали размещать свои серверы за границей.

[kartvladek]

Да, есть такое дело. В нашей стране это возможно. Поправка — упомянутые ЦОДы и до этого имели сервера за пределами Незалёжной.

[redfenix]

Я рад, что Украина заблокировала сайты… теперь хотя бы этот закон не примут
https://www.vedomosti.ru/technology/articles/2017/04/19/686399-zapretit-obhodit-blokirovki

[dimm_ddr]

А что им помешает? Те же люди, которые раньше рассказывали зачем блокировки нужны, сейчас рассказывают как их обходить будут рассказывать что обходить блокировки плохо. Я не удивлюсь даже если они следующим же предложением осудят украинские блокировки. Противоречивость даже соседних предложений в тексте наших депутатов уже давно не смущает.

[saboteur_kiev]

Фраза радует:
«Важной ставкой для власти был перенос иностранными компаниями серверов в Россию в рамках закона о персональных данных, говорит эксперт по безопасности Андрей Солдатов. Но предписанные сроки прошли, а компании не спешат это делать и способов воздействия на них нет.»

[tangro]

Эту бы энергию да в конструктивных целях. Митинги против запрета ВК в Украине прошли примерно так: 2 людей в Одессе, 0 людей в Запорожье, 6 человек в Харькове, 50 человек в Киеве, больше митингов не было. Вот она, аудитория пользователей подобных сервисов. Конечно, ещё какое-то время люди будут вытягивать из ВК свои старые фотки, переписку, контакты — но это закончится через месяц.

[throttle]

Люди еще и на работу ходят, вообще-то. Эти 50 человек — это те, кому вообще нечего делать было в это время. Не тот это повод, чтоб вместо работы идти на митинг, который заведомо ни к чему не приведет. Особенно учитывая то, что блокировки эти обойти можно элементарно.

[devalone]

Особенно учитывая то, что блокировки эти обойти можно элементарно.

Всё конечно так, но печалит сам факт блокировок, что это становится нормальным, а когда это становится нормальным, открывается путь для новых ограничений свободы.

Заголовок спойлера

пора заводить трактор…

[throttle]

Схема, отработанная годами, и поэтому работает как часы:
— создать врага (бабая), внутреннего или внешнего;
— напустить страху на народ (бабай обижает детей);
— вызваться этот самый народ защитить от бабая;
— … (тут любые ограничения свобод — заблокируем все странички «бабая» в интернете);
— PROFIT.

[tangro]

Всё так часто и бывает. Но не в этом случае — на Украину физически напали. Во многих семьях есть погибшие, аннексирована территория. «Создавать врага» не пришлось, он сам создался. Приходится идти на ограничение свобод ради защиты.

[throttle]

del

[frees2]

Люди хотят нормально жить, у них право где жить, с кем жить и как жить, государство строится для людей, а не люди строятся для государства.
Классический фашист Парубий и банкир-президент Порошенко не есть Украина.
Тоже самое относится к любому государству.

Можно как угодно извращаться в политике, придумывать лженаучные контенты про народность и нацию в духе национальной романтики, выдавать межкультурные и экономические проблемы за этнические, паровоз уже ушел в 21 век.
Экономика не пустит обратно.
Пропаганда традиционности в культуре, неразрывности власти, имеет конкретную цель: чтобы к нынешним политикам относились как к вечной ценности.

[Lailore]

Создался? Есть погибшие? Вы это людям из Донецка и Луганска скажите. И про пенсионеров оставшихся без своих денег тоже.

И мне кажется это ограничение свободы не для защиты, а для того что бы легче было вешать лапшу на уши своему населению.

[throttle]

ограничение свободы не для защиты, а для того что бы легче было вешать лапшу на уши

Мне почему-то это представляется самоочевидным настолько, что не требует пояснения.

[ForSokolov]

Ещё обиднее то, что под раздачу попала также любимая игрушка Perfect World (в своё время Mail выкупил её у Нивала). Для оперативного решения проблемы был развёрнут сначала SOCKS proxy, а потом и L2TP сервер с возможностью захода только на определённые IP. Преимущества — не нужен допсофт, клиент встроен в винду. Недостатки — не все провайдеры разрешат подключения на UDP 1701. Кто хочет потестить — инструкция тут.

[amarao]

Предлагаю правительству России поднять государственный прокси-сервер для жителей Украины для обхода блокировок на Украине, а правительству Украины — госдарственный прокси-сервер для жителей России для обхода блокировок в России.

На выходе будем иметь во-первых возможность насолить соседу (бесценно!), а во-вторых очевидные плюсы для населения, которое сможет пользоваться нормальным интернетом всюду.

[xmonoid]

Имхо, достаточно одного в Беларуси. В конце концов, авиасообщение через Минск уже наладили, ж/д в процессе. Оборот денежных средств там же. Чому бы и интернет не пустить?

[zhovner]

Знаете нормальной хостинг в Беларуси?

[throttle]

Я искал — дорого что-то.

[amarao]

А если белорусы начнут банить что-нибудь? Не, лучше всего diversity. Чем больше политическая конкуренция за предоставление качественного прокси-сервера соседу, тем лучше пользователям.

[Basokl]

Я сделал намного проще. Был по умолчанию DNS провайдера поставил DNS Google, yandex.

[alexandr_k]

Замена DNS помогает не на всех провайдерах.

[Andrii_Z]

.

[Mark0us]

я, конечно, придираюсь, но вы решили блокировку ресурсов яндекса с помощью ресурса яндекса?

[Basokl]

Да. После вашего комментария задумался, и стало смешно от абсурда.

[arheops]

Fasterfox для фаерфокса умеет то же самое уже лет 15.

[KuniLinux]

А где у Scaleway ДЦ в Польше? есть пруф?
Scaleway это по сути Online.net у которого ДЦ во Франции и Нидерландах

[ValdikSS]

Пару недель назад добавили ДЦ в Польше.

[zhovner]

Сейчас уже нельзя купить сервера в пользе. Но на днях еще можно было.

[selenite]

А что, решать проблему за счет федерации трафика уже расхотелось?
Я так смотрю, проекты типа Diaspora, энтузиазм вокруг XMPP и прочего открытого «сам-себе-хостинг» совсем вздулись, и господа «мы-знаем-толк-в-безопасности» подпольщики решили, что OpenVPN + существующие социалки — это единственный расклад?

Украина могла бы дать те 18 млн пользователей в новую, свободную от запретов социалку. Но, кажется, мы просто решили сдаться, поднять жалкую тысчонку серверов с опенвпном и угоститься одновременно и сладким блюдом от правительства, и от коммерции.

P.S. Алсо, почему в комментах нет всего того миллиона украинских фронтэнд-разработчиков, у которых нет-нет, да есть ssh-доступ наружу — про ssh -D хоть кто-то вспомнил, или все пошли хайпово обсуждать, как поднять впн? :)

[throttle]

Вспомнил, вспомнил. Только это если для себя и по-быстрому.
А если надо для нескольких устройств, и чтоб удобно — лучше впн. На роутере поднял, и забыл.

[ValdikSS]

Я так смотрю, проекты типа Diaspora, энтузиазм вокруг XMPP и прочего открытого «сам-себе-хостинг» совсем вздулись

Это почему это? Херы пишутся, prosody доделывается, антиспам разрабатывается, нормальное шифрование в XMPP-клиентах реализовывается.

Из социалок есть новый крутой Mastodon. Надеюсь, скоро сделают интеграцию с Diaspora. Ну и всякие полностью распределенные сайты и форумы в ZeroNet. На удивление, там все очень активно, есть даже сайты с фильмами и музыкой с дизайном вроде Popcorn Time, которые сами находятся в ZeroNet, а контент тянут либо из ipfs, либо из интернета.

[devalone]

Год назад для обхода российских блокировок выбрал украинский VPS со своим OpenVPN, ping небольшой и работает отлично. Но такого поворота событий я, честно говоря, не ожидал, придётся всё таки искать «за бугром»…

[rakhinskiy]

Тоже начинал с openvpn (так как проживаю в Крыму и к Росскомнадзору добавляются еще блокировки)
В итоге надоело постоянно ходить на bgp.he.net и собирать подсети с AS-ок
Сделал проще, поставил несколько squid серверов доступных из вне + по впн. DNS спрятал в впн.
На Django сделал не большую веб морду, где добавляешь домен и выбираешь для него прокси (можно ещё указать для какого клиента) а он генерит wpad файлы
В некоторых случаях конечно не помогает, там где не только http/https трафик.
Но зато google play например работает без проблем и не влияет например на работу youtube.
Ну и если например провайдер вскрывает трафик, то просто выбираю прокси через впн для нужного домена.

[matrixzp]

Хочется свой личный ВПНчик сделать, но процесс не так уж прост для человека с ограниченными знаниями :) Зарегистрировался на scaleway.com, что дальше тут клацать непонятно пока совсем :)

[LESHIY_ODESSA]

Свой собственный VPN за 3 минуты

[Andrii_Z]

Подскажите, как преобразовать IP с маской (типа 23.32.0.0/11) в правило
push «route 185.85.14.0 255.255.254.0»
?
Хочу подобавлять некоторые другие сайты (hulu, spotify etc)

[zhovner]

Для этого можно использоваться ip calculator

[Andrii_Z]

Что-то делаю не так
Вот IP 23.37.148.230
По калькулятору делаю push «route 23.37.148.230 255.0.0.0»
Но маршрут идет не через VPN

[zhovner]

Посмотрите в логах клиента, устанавливается ли маршрут. Если у вас windows, введите route print.

[Andrii_Z]

Нету в таблице этого IP.
Может после обновления нужно перегенерировать ovpn?

[zhovner]

а вы эту настройку в серверный конфиг добавляете или в клиентский? Нужно в серверный.
Покажите полностью оба конфига.

[zhovner]

Вот еще очень удобный скрипт collapse.py для объединения нескольких соседних диапазонов в один большой. Нужно расскоментировать строку для поддержки ipv6. И расскоментировать другой print для преобразования масок из /24 в 255.255.255.0. Невероятно облегчает задачу добавления сетей в конфиг openvpn.

[throttle]

Осталось его научить bgp.he.net парсить по крону, и конфиг впн корректировать.

[zhovner]

Сомневаюсь что за несколько месяцев что-либо поменяется в этих сетях. Так что проще один раз настроить а потом допиливать если вдруг что-то сломается. Хотя вполне вероятно, что за все время этих санкций, список сетей ни разу не изменится.

[throttle]

Я тоже сомневаюсь, просто у меня понимание «проще» в другую сторону настроено. :) По мне проще автоматизировать максимально, что компьютер делал эту работу вместо меня, и не думать больше об этом. Проще скормить три номера AS. Но парсер этот нашкарябать — у меня займет больше времени, чем вручную собрать эти префиксы, это да. Т.е. с точки зрения потраченного времени — врукопашную эффективнее.

[Ipeacocks]

Плюс верстка же тоже может поменяться.

[throttle]

У некоторых есть API на эту тему.

[ValdikSS]

Принцип таков:

1. Получаем IP с домена

$ dig +short yandex.ru

5.255.255.88
77.88.55.77
77.88.55.88
5.255.255.77

2. По IP получаем номер AS

$ whois 5.255.255.77 | awk '/origin:/ {print $2}'

AS13238

3. Получаем анонсируемые маршруты этой AS

$ whois -h whois.radb.net -- '-i origin AS13238' | grep route

route:          213.180.192.0/19
route:          213.180.204.0/24
route:          213.180.206.0/23
route:          87.250.224.0/19
route:          87.250.230.0/23
…

[alexdon]

Таким образом скрипт может добавить половину интернета если какой-то из сервисов разместится на amazon/CloudFlare. Прецеденты уже есть — yandex.fr

Считаю что нужно добавить еще проверку, если AS возвращает более 20 (±) сетей — то добавить только один маршрут/IP адресс.

[Dogata]

а зачем? в Украине ведь сайты не блокируют.

[zhovner]

Is this real life?

[MobileLord]

Подскажите, как сделать так чтобы open vpn стартовал с уже запущенным конфигом?
Я закинул ярлык в папку автозагрузка, прописал в объекте «C:\Program Files\OpenVPN\bin\openvpn-gui.exe» --connect «zaborona-help.ovpn», поставил галку запускать от имени админа. Галку стартовать при запуске в самой программе не ставил. В итоге программа не запускается при запуске win, но если запускать через ярлык — сразу конектит с выбранному конфигу. У меня win 10.

[Melchiorn]

Попробуйте настроить по этой инструкции, у меня на 7-ке и 10-ке работает

[trnc]

Не совсем понимаю зачем ставить в автозагрузку запуск программы, когда есть готовая служба. Настройте просто запуск этой службы (если он еще не настроен), далее конфигурационный файл кладете в папку config и все.

[Melchiorn]

Если настраивать службой, тогда не работает gui, и не понятно подключен впн или нет, ну кроме как смотреть в параметрах адаптера или на сайтах проверки ip. А с автозагрузкой ты сразу видишь что впн подключается и в случае чего его можно отключить, если не нужен.

[ValdikSS]

В GUI есть галка «управлять службой» в настройках.

[trnc]

Я лично привык проверять подключение не с помощью gui, значка в трее, а по выводу нескольких команд в консоли или терминале, что и вам советую. К тому же у службы есть ряд преимуществ перед автозапуском. Главное лично для меня — это поднятие туннеля без логина в систему. Зачастую на работе мне надо получить доступ к домашнему компу. Дома никого, включаю его удаленно с помощью WoL, запускается система и уже без логина я могу подключиться по RDP через OpenVPN туннель. Удобно ведь? А без службы, только с автозапуском такое бы не прошло, как минимум в том случае если у вас пароль для входа в систему или просто несколько учетных записей.

[Dogata]

server-ipv6 2a01:7e01:e001:77:8000::/65

откуда конкретно вы взяли ipv6? у этого сервера именно такой ipv6? или там этот адрес как-то модифировали для конфига? например, откуда взялось 65?

[zhovner]

Это сеть которую выдал хостинг провайдер. Linode дает отдельную /64 сеть на VPS, эти адреса можно раздавать напрямую клиентам. К сожалению с ipv6 много проблем на windows, так что скорее всего отключим скоро. Например антивирус ESET NOD32 ломает ipv6 на интерфейсе. Нужно в свойствах адаптера убирать этот плагин.

[Dogata]

откуда 65?

[zhovner]

Маска подсети. Половина от /64

[EnVaultBoy]

Интересует следующий вопрос у моего провайдера доступ к интернету происходит через PPPOE, так вот что бы войти в интернет настройки забиты в роутер, со всеми этими действиями у меня все равно заблокирован вк, как можно поставить VPN в(на) роутер?

[zhovner]

со всеми этими действиями у меня все равно заблокирован вк

Что вы имеете в виду? После подключения к openvpn у вас не открывается вконтакт? Вы точно уверены, что подключились к VPN?

[Melchiorn]

Написал небольшую пошаговую инструкцию по настройке впн для пользователей роутеров с прошивкой Padavan

[zhovner]

Спасибо, скоро залью на сайт.

[zhovner]

https://twitter.com/ValdikSS/status/867835686858240000?cn=cmVwbHk%3D&refsrc=email

[Melchiorn]

У меня просто прописаны днс от гугла в настройках wan'a, вот и не заметил подвоха.
Но в инструкции есть ремарка насчет этого

* Если вдруг VPN подключается и сразу отключается, тогда в строчке «Получать адреса DNS от VPN-сервера» ставите «Заменить весь список DNS» и нажимаете «Применить»

[eMk1LL]

Я извиняюсь, а можно инструкцию или объяснить — при выборе в настройках VPN клиента на прошивке падавана режима OpenVPN пишет «SSL/TLS сертификат(ы) не найдены!». Как это вылечить? :)

[spacewalk]

после добавления всех маршрутов через push, где клиентом выступает mikrotik 951, падает основное соединение почему-то, пока не отключишь впн и не перезагрузишь роутер. он не может проглотить столько маршрутов?

[throttle]

На вкладке «Dial Out» есть чекбокс «Add Default Route» — эта галка должна быть снята.

[spacewalk]

она снята, само собой. может изза большого колва роутов отваливается встроенный в микротик опенвпн-клиент?

[throttle]

Не знаю, надо поэкспериментировать.
Я имел ввиду, что у себя проверю, как оно, и тогда напишу.

[zhovner]

Нас DDoS-ят. Хостер сразу nullroute-нул IP адрес. Не работает веб-морда, VPN сервера продолжают работать.

[toxi_roman]

К ВПН серверам уже тоже не подключается.

[hova888]

Уже работает. спасибо

[Chpock]

Не знаю, хорошая это новость для вас или плохая, но никто не воспользовался вашим мануалом, в том числе комментаторы. Уже прошло 4-о суток, а никто так и не заметил, что отсутствует упоминание запуска команды «easyrsa gen-dh» и копирования результата в /etc/openvpn/ под именем «dh2048.pem». Без этого инструкция не полна.

[Chpock]

Да и настройка NAT упущена. Но в любом случае — спасибо, с вашей инструкцией от покупки VDS до создания рабочего VPN ушло всего 2 часа. В основном на разборки с systemd (тут много нецензурных слов) и немного на рецепты dh.pem + включение NAT. Без этой инструкции понадобилось бы по-больше времени.

[zhovner]

Сорян, братуха. Прои диффи хэлмана забыл.

[trnc]

А про NAT можно конкретнее? Маскарадинг на стороне сервера имеется в виду?

[silverjoe]

Пара советов.

1. Настроить fail2ban для OpenVPN, если вы еще этого не сделали. Если что — могу дать конфиг.
2. Возьмите пару серверов в России для OpenVPN — vscale или SimpleCloud (200 и 150 руб/мес), может кто подскажет еще дешевле, хотя куда уже? :)

[saboteur_kiev]

Технологии просты, и понятны:
Покупаете где-то зарубежом VPS, чтобы с IP адреса этого VPS не блокировались нужные вам ресурсы.
Поднимаете на VPN.
Локально настраиваете маршрутизацию, чтобы к определенным ресурсам ходило через VPN, к остальным напрямую.

В статье и комментариях про это описано. А дальше нужно уметь что-то делать. Например программировать, чтобы написать удобную и дружелюбную к пользователю оболочку, чтобы всем этим рулить. Тут подробная инструкция будет готовый код программы

[LESHIY_ODESSA]

Повторюсь — Свой собственный VPN за 3 минуты

[sigmanor]

Добавьте в список так же yandex.ua он тоже заблокирован

[zhovner]

Яндекс резолвится то на amazon то на cloudflare. Они пытаются самостоятельно обойти блокировки. Так что мы не спешим добавлять этим сети потому что они постоянно меняются.

Используйте yandex.ru

[sigmanor]

Понял, спасибо за информацию.

[frees2]

Вопрос для хабрахабра, как Яндекс автоматом перекидывает блокированных на https://yandex.fr

Сервер ресурса: ................eu-central-1.compute.amazonaws.com

[frees2]

17:33 Украинский «Яндекс» подозревают в передаче данных российским спецслужбам — СБУ (видео)
Организация VPN и сбор данных.

«За дополнительную плату покупателям предлагали „перепрошить“ телевизор, чтобы получить возможность свободно просматривать телевизионные пропагандистские каналы страны-агрессора, запрещенные Национальным Советом по вопросам телевидения и радиовещания Украины за угрозу национальной безопасности. Стоимость такой услуги составляла 1900 гривен», — сообщили в СБУ.
Уголовное производство осуществляется по ст. 110 Уголовного кодекса Украины (посягательство на территориальную целостность и неприкосновенность Украины).
17:23, 29 мая 2017

[DjOnline]

Сайт первого канала и другие онлайн вещания тоже там запрещены? Torrent.tv?

[OnoVano]

Сразу прошу прощения за, возможно, глупый вопрос. Но насколько это безопасно? Все те расширения из плей маркета и из магазина гугла, например, они дорожат своими местами там, потому менее вероятнее что навредят. А что мешает автору забороны как-то навредить пользователям? Если это конечно возможно. Еще раз говорю, я не хочу никого обидеть, просто я не нашел ни одной статьи вменяемой об этих VPN которые могли бы рассказать о рисках. Спасибо.

[throttle]

У автора забороны ровно столько же возможностей (теоретически) навредить, как и у твоего провайдера.

[zhovner]

Ответ на этот вопрос дан здесь https://zaborona.help/faq.html

Для того, чтобы говорить о безопасности, нужно понимать модель угроз.
Давайте представим самый худший для вас сценарий, если я решил максимально навредить, как это будет выглядеть с вашей стороны?

[OnoVano]

Для меня худший сценарий это получение доступа к моим файлам на ПК и к тем же файлам но на облачных хранилищах.
Я прочитал материал по ссылке, там показано как шифруются сайты и тд. Все убедительно, а что делать с программами? У меня на смарте стоит Маил Ру диск. Там соединение шифруется как-то? И другие программы использующие интернет.

[zhovner]

По пути между вами и серверами mail.ru стоят десятки компаний-провайдеров которые могут перехватывать и модифицировать трафик.

Чисто статистически, в этих компаниях наверняка нашлись бы нехорошие люди которые стали бы массово перехватывать данные пользователей. Например кредитных карт, чтобы воровать деньги.
Хотя ушлые компании иногда так делают с http сайтами https://habrahabr.ru/post/262631/
Все это прекрасно понимают, поэтому используют протоколы которы не позволяют просматривать или модифицировать данные.

[zhovner]

Все программы вроде mail.ru диск тоже используют https.

Разумеется не все так идеально, и существуют атаки и на https. Например можно перехватить момент редиректа с HTTP на HTTPS и послать поддельный редирект. От этого защищаются с помощью заголовков HSTS и т.д.

Для меня худший сценарий это получение доступа к моим файлам на ПК и к тем же файлам но на облачных хранилищах.

Если вы не устанавливаете автоматическое обновления windows, то ваш компьютер наверняка уязвим для целой кучи экслойтов, в том числе и удаленных. И любой у кого, кто находится с вами в одной сети (например по wifi) может получить полный доступ к вашему компьютеру. Мы в том числе.

Недавняя эпидемия с вирусом WannaCry была вызвана именно такой халатностью. Не смотря на то, что micorosft исправила проблему за несколько месяцев до массового распространения вируса, он заразил миллионы компьютеров.

[OnoVano]

Прошу прощения конечно, но слишком много воды. Кто-то там может, все эти организации типа маил.ру и провайдеры — это понятно. Но пример это не удачный. Они официальные, с адресом и поддержкой, с ними и судится можно если что. Да и есть лимит доверия к ним. За 9 лет использования сервисов маил.ру проблем не было у меня. У меня вопрос конкретно про стронние ВПН, про вас например.

И любой у кого, кто находится с вами в одной сети (например по wifi) может получить полный доступ к вашему компьютеру. Мы в том числе.

Будьте добры, скажите прямо, что да, вы при определенных условиях можете залезть юзерам в ПК, если захотите.

[simplix]

Если так поставить вопрос, то при определённых условиях можно к любому залезть в ПК, например целенаправленной атакой или физическим воздействием :) А чтобы этого не случилось, нужно как минимум вовремя ставить обновления для системы, следить чтобы не было вредоносного ПО и хоть немного разбираться в том, что вы делаете, чтобы другие не смогли вас обмануть методами социальной инженерии.

[zhovner]

Если вы используете операционные системы с публично известными уязвимостями — да мы можем залезть прямо к вам на компьютер. Как впрочем и любой другой, кто этого пожелает.

[OnoVano]

Ясно. Спасибо за развернутые и исчерпывающие ответы.

[Jogger]

Кстати, о безопасности. Возможно я неправильно понимаю принцип работы впн, но ведь выходит что все клиенты подключенные к одному впн в результате находятся в одной (виртуальной) локальной сети. И соответственно есть прямой доступ ко всем портам компьютера, что позволяет производить атаки аналогичные «wannacry»? Разумеется атакующему придётся перенастроить маршрутизацию для этого, чтобы его запросы шли через впн не только на заданные адреса. И соответственно такое подключение будет менее безопасным, чем скажем нахождение за NAT роутера. Я правильно понимаю?

[zhovner]

Нет, клиенты изолированы друг от друга. Входящие подключения из интернета для ipv6 тоже заблокированы.

[Jogger]

А можете рассказать какие настройки openvpn за это отвечают? С целью повышения образованности (с)Простоквашино
UPD. Пока писал вопрос уже ответили

[trnc]

В OpenVPN есть директива «client-to-client» которая позволяет клиентам «видеть» друг друга. В данном случае клиенты друг друга не видят. Однако с сервера видно каждого клиента и при желании с сервера можно получить доступ к расшаренным открытым папкам, например, возможно что и другие порты у вас открыты. Некоторые службы или демоны могут привязываться ко всем интерфейсам, так что по IP адресу в сети VPN эти службы или демоны будут отвечать на запросы. Чтобы этого не произошло — настраивайте firewall да и конкретные службы и демоны тоже.

[trnc]

Дополню свой ответ: настройка firewall на стороне сервера тоже важна, поскольку даже отключив client-to-client директиву на стороне сервера, если default policy цепочки FORWARD является ACCEPT, то пакеты от клиента к клиенту все также будут проходить уже с помощью маршрутизации в системе. Поэтому нужно также дропать пакеты в цепочке FORWARD. Тогда клиенты точно друг друга не «увидят».

[sljubchenko]

Добрый день. Хочу поднять свой openvpn. Скажите пожалуйста обязательно нужен IPv6.? И посмотрите пожалуйста хостинг https://gdccloud.ru/services/vps подойдет ли конфигурация за 50 руб. для 5 человек использования? Или этот за 87 руб. https://justhost.ru/services/vps Спасибо.

[yadem]

Хабраюзеры — подскажите, чтобы не потерять возможность получать письма из украины в почте для доменов яндекса, что можно сделать?
Поднять свой mail relay и прописать его например c приоритетом ниже яндексовского в dns?

[LESHIY_ODESSA]

Зачем вам что-то делать? MX сервера никто не блокировал и по моему не собирается. Их нет в указе Президента.

[NorthDakota]

Моему роутеру помимо ta.key требуется еще client.key
Где его взять?

[zhovner]

Не знаю что такое ta.key, но вот здесь все нужные файлы https://zaborona.help/extra.html

[NorthDakota]

Разобрался. Спасибо!

[yadem]

Эх, как бы получить инструкцию для настройки на собственном сервере?

[zhovner]

https://habrahabr.ru/post/331178/

[OnoVano]

Привет. Начала появляться вот такая запись. Это нормально?

[OnoVano]

[LESHIY_ODESSA]

Попробуйте добавить в конфиг — auth-nocache

[zhovner]

Можете погуглить. Да, это нормально и можете не обращать внимания на это сообщение.

[OnoVano]

Спасибо.

[evil_random]

А не поделитесь списком заблокированных адресов? У меня есть свой прокси, но я не могу собирать адреса вручную :( Слишком накладно по времени.

[LESHIY_ODESSA]

Всё же лежит на Гитхабе.

github.com/zhovner/zaborona_help/blob/master/config/ferm/ferm.conf
github.com/zhovner/zaborona_help/blob/master/config/openvpn/ccd/DEFAULT

[evil_random]

Спасибо!

[yadem]

Вопрос, а кто-то пробовал что-то подобное делать на WireGuard? Может есть маны?