VPN за пиво?

    VPN становится сегодня не просто актуальным, но часто и жизненно необходимым сервисом для пользователей рунета. Заблокированный LinkedIn, беспорядочная стрельба Роскомнадзора, возможная блокировка Фейсбука, Вайбера и других ежедневных приложений, сотни и тысячи уже заблокированных сайтов в сети, невозможность оставаться анонимным при использовании ВК, ОК, Mail.ru и прочих "подконтрольных" ресурсов, и множество иных причин. Все это заставляет рунетовцев задуматься о своем будущем в этом сегменте мировой сети.


    У всех нас есть бабушки, дедушки, родители, а также знакомые гуманитарии, музыканты, домохозяйки и прочие замечательные, но навсегда далекие от "сложных" Интернет технологий люди. Да, конечно, Интернет полон туториалами и видео роликами, объясняющих "простой" процесс установки VPN клиента. Однако все это не решает главной задачи — ЗАСТАВИТЬ этих людей проделать непривычные и пугающие их действия и обзавестись, наконец-то, VPN защитой.


    Кроме того, существующие сервисы VPN имеют целый ряд серьезных недостатков, которые не позволяют лично мне рекомендовать их к использованию моим друзьям:


    1. Бесплатные VPN сервисы терроризируют своих пользователей бесконечной рекламой, а иногда и разнообразным малваром. Не говоря уже о скрытых и неприятных ограничениях по скорости соединения и объему трафика.
    2. Платные VPN сервисы, очевидно, отпугивают своей платностью. Но это далеко не самое отрицательное качество популярных и публичных VPN провайдеров.
    3. Самое неприятное — это, конечно же, потенциальная возможность логировать и мониторить ВЕСЬ траффик пользователя без его ведома. Да, разумеется, практически все VPN pровайдеры рекламируют свои услуги под лозунгом "Мы не ведем никаких логов". Но является это заявление правдой или нет — узнать достоверно невозможно.
    4. Масштабные блокировки очень часто включают в себя IP адреса всех известных VPN провайдеров, т.к. все их сервера легко вычисляются и могут быть внесены в черный список сравнительно легко.

    Все вышеперечисленное привело меня недавно к одной интересной идее, которой я хотел бы поделиться с сообщетвом: дать возможность технически подкованным людям (админам) создавать удобный VPN для своих друзей и знакомых.


    Суть идеи в следующем:


    Создается сервис, например, beervpn.com (VPN за пиво :).


    Сервис предлагает нашему админу быстро и легко установить VPN на любой VPS-ке. Для этого на сервисе выкладываются детальные инструкции и готовые автоматизированные скрипты под разные операционки. Это позволит даже начинающим админам стать провайдерами VPN сервиса для своих друзей. Очевидно, что любой, даже начинающий админ сможет найти, купить и настроить дешевый VPS с достаточным траффиком для обслуживания нескольких десятков или даже сотен человек.


    После того, как VPN запущен, мы предлагаем админу создать приватный канал в Телеграме, в который он будет добавлять своих друзей, знакомых, родственников и прочих, кому необходим VPN.


    В этом канале юзеры получат ссылку на мобильную аппу для Android или iOS, которую они должны будут установить на свое мобильное устройство. Аппа будет уникальной для этого админа и, соответственно, для этого канала. Запустив аппу, юзеру необходимо будет авторизоваться через Телеграм. В самой аппе будет только одна кнопка: ON/OFF, которая позволит юзеру включать и выключать VPN на своем устройстве. Настройки VPN соединения будут прописаны в самой аппе. Кроме того, аппа будет постоянно проверять, является ли юзер подписчиком канала и, если нет, то не будет позволять ему использовать VPN. Таким образом, админ сможет управлять своими VPN пользователями через приватный телеграм канал!


    В будущем, можно будет дать возможность админу настроить несколько VPN серверов, например, в разных странах, а у юзеров будет возможность выбрать страну подключения в аппе.


    Очевидно, что саму аппу админ будет получать на нашем сервисе, который будет создавать ее под конкретный сервер/сервера с конкретными настройками доступа. А админ сможет управлять "созданием" аппы, вводя параметры своих VPN серверов в своем личном кабинете на нашем сервисе.


    Кроме красоты, это решение имеет и множество плюсов:


    1. Это бесплатно для пользователя.
    2. Сложно придумать более простой способ подключения к VPN. Даже для самого гуманитарного гуманитария установить аппу и нажать на одну кнопку — вполне посильная задача. Тем более, что предложение установить аппу придет от его друга/родственника, который сможет помочь им справиться с этой задачей.
    3. Заблокировать такой VPN безумно сложно, т.к. необходимо отследить IP адрес VPS сервера (который НИГДЕ не указан) и заблокировать его для каждой созданной аппы. А если сделать автоматическое отслеживание этих блокировок, то можно практически мгновенно переключать IP на сервере и клиенте после блокировки.
    4. Анонимность трафика и отсутствие логов гарантируется самим админом, которому решили довериться его друзья и родственники.
    5. Админ получает взамен регулярную благодарность и пиво.

    Со временем, можно генерить и десктоп аппы и вводить более сложное администрирование пользователей и серверов. Но, мне кажется, что даже в описанном виде — это может быть интересный и несложный в реализации проект.


    Буду рад услышать ваше мнение и критику.


    Ну и все, кто загорелся идеей — пишите, сделаем ее вместе!


    P.S. Я готов положить $1к на всю разработку, оплачивать сервера для сервиса и управлять проектом.
    P.P.S. Кто хочет помочь с разработкой, тестированием, управлением проектом, дизайном, копирайтом, чем угодно, присоединяйтесь к телеграм группе: https://t.me/beervpn

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 148

      +1
      Сайты с информацией по обходу блокировок — будут блокироваться ркпозором. Телега — сейчас не самый надёжный канал связи. Даже начинающему админу не нужны скриншоты для того, чтобы ввести в терминале пару строчек для запуска скрипта с гитхаба. «Аппа» уже придумана — это openvpn. Ничего не помешает ркпозорау заблокировать всю подсеть впс-хостера, до и скалевей к примеру — почти полностью убиты, на той неделе пришел анонс о новом типе впс — не смог им воспользоваться, увы. Админ в итоге сопьется)) Потому лучше деньгами, но это ничем не отличается от уже готовых платных типа протонвпн. За вами уже выехали…
        +2
        Сайты с информацией по обходу блокировок — будут блокироваться ркпозором. Телега — сейчас не самый надёжный канал связи.

        Очевидно же, что у админа VPN уже стоит.
        Даже начинающему админу не нужны скриншоты для того, чтобы ввести в терминале пару строчек для запуска скрипта с гитхаба.

        Под админом имеется в виду ЛЮБОЙ айтишник. И дизайнер и разработчик и т.д.
        Инструкции по настройке VPN на Linux известны далеко не каждому айтишнику.
        «Аппа» уже придумана — это openvpn.

        Нет, OpenVPN требует дополнительных настроек / скачивания и подгрузки профайла и вообще не является user friendly аппой для обычного пользователя.
        Ничего не помешает ркпозорау заблокировать всю подсеть впс-хостера, до и скалевей к примеру — почти полностью убиты, на той неделе пришел анонс о новом типе впс — не смог им воспользоваться, увы.

        Количество подсеток публичных VPN — ограничено. Количество подсеток хостинг провайдеров — это весь Интернет. Замучаются пыль глотать. Или придется чебурнет вводить. А это уже совсем другая история.
        Админ в итоге сопьется)) Потому лучше деньгами, но это ничем не отличается от уже готовых платных типа протонвпн.

        Как админу договариваться с друзьями — его дело. Очевидно, что пиво — это шутка. Я сам, например, пиво не пью.
        За вами уже выехали…

        Устанут ехать…
          +6
          Разработка нового приложения — это далеко за рамками озвученного бюджета, особенно учитывая что это криптография и надо проводить очень серьёзный аудит безопасности. Openvpn отвечает всем условиям задачи, вообще всем. Вы когда последний раз видели его мобильный клиент? Я — примерно пару минут назад. Ставится из маркета, хорошо проверен и безопасен, бесплатный, управляется одной кнопкой и тд тп. Все что надо — выдать пользователю готовый и индивидуальный файл настроек, который генерится или отключается одной командой из консоли.

          Чем это все отличается от уже готового и платного решения? Тот же протонвпн для простых целей бесплатен, не грузит рекламу и тд тп

          ps. Минус тоже от вас? :) По времени очень совпадает))
            0
            У меня OpenVPN не выключается практически никогда. И вообще на всех устройствах настроен. И L2TP настроен параллельно. И я регулярно помогаю людям настраивать VPN на устройствах и в курсе того, что они понимают, что им удобно, а что нет.

            Про минусы публичных VPN я в посте написал.

            Нет, минус не от меня.
              +2
              Тогда я правда не понимаю минусов опенвпн. Клиент ставится из маркета, файл настроек индивидуален и его скачать проще, чем возиться с установкой программы не из маркетов. На андроид можно вынести ярлыки для включения и выключения впн. Если дело только в телеге, то прокси на впс настаивается тоже одной командой скрипта с гитхаб, могу дать ссылку на тот, что я использовал.

              Кстати, как быть с айфонами? Туда не так просто поставить программу мимо тунца. На порядок сложнее, чем скачать официальный клиент опенвпн и скормить ему настройки.
                0

                Не сложнее. Подписывается сертификатом разработчика, которому надо установить доверен в настройках. Сейчас так Телеграмм Х распространяется.
                Другое дело, что OpenVPN выдавливается из памяти и дисконнектится. IKEv2 для ios роднее.

                  +2
                  Только разработка Телеги на порядки дороже озвученного бюджета.
                    0
                    Использую l2tp\ipsec, распространяю через mobile.config (xml). Не нужно сертификатов и прочих файлов настроек.
                    Впрочем ЕМНИП через xml можно и опенвпн настраивать и сертификаты раскладывать, этот механизм для корпоративщиков а-ля gpo.
                    0
                    Вам же уже написали — OpenVPN сложен как для использования (надо выдать пользователю профайл, объяснить как и куда его воткнуть), так и для поддержки (разверни УЦ, следи за сертификатами). Если говорить про массовое решение для обхода блокировок в один клик — то это никак не OpenVPN, а Outline.
                    1. Поставить клиент из маркета
                    2. Выдать пользователю «ключ» (base64-кодированные настройки), который он копипастит, а клиент сам обнаруживает в буфере.
                    Всё. А телега до сих пор вполне надежна, и ссылочки с настройками прокси распространяются ровно так же в один клик.

                    Что касается администрирования — то тут ровно так же рулят различные докеризованные прокси и докеризованный ss-libev. у меня «для своих» даже развернута веб-мордочка с кнопкой «обойти блокировку» и полем ввода мыла. запускается ss-libev в контейнере с случайным ключом расшифровки и детали улетают мылом пользователю.

                    А пользователи у меня в массе своей весьма далеки от ИТ.
                      0

                      Спасибо! Если хотите помочь: https://t.me/beervpn

                        +1
                        Ничего не надо втыкать.

                        Клиент скачивается из любого маркета, иос или андроид — без разницы. Главное, что он официальный, проверенный, надёжный, и безопасный. Написать свой аналог — задача на много человекочасов квалифицированных и высокооплачиваемых специалистов.

                        Файл настроек присылается любым способом и клиент автоматически его открывает — ассоциации по типам файлов рулят. Все. Дальше управление одной кнопкой, со стороны пользователя никаких действий не требуется.

                        Установка сервиса — запуск одного скрипта и нажмите одной цифры.
                        Менеджмент аккаунтов на сервере — запуск одного скрипта и нажатие одной цифры.
                          0
                          Я еще раз повторюсь: речь не идет о написании своего клиента. Речь о том, что OpenVPN сложнее в настройке неквалифицированным пользователем, чем Outline. Который ровно так же есть на обе мобильных платформы в маркете. Только копипастить статический конфиг в Base64 куда как проще и быстрее.

                          Ах, да. Написать аналог «на коленке» — задача на день для прототипирования. За одну человеко-неделю вполне реально выкатить на Android only. С модерновой криптографией (ECDH, AES, AEAD), неизвлекаемыми ключами, и вот это всё. Даже код будет на порядок компактнее, чем у того же Outline.

                          OpenVPN хорош в корпоративном окружении, когда есть кому носиться с настройкой и поддержкой, а для решений в один клик типа «запустил и забыл» он не годится.
                          А с SS мне даже с юзерменеджментом голову греть не приходится, он излишен.
                            0
                            Это вы говорите о том, что не надо писать свой клиент, а автор — хочет свой клиент и хочет ВПН. Аналог на коленке — не есть хорошо, надо нормальные программы для айфона и андроид.

                            ОпенВПН настраивается немного сложнее Аутлайна, надо запускать консоль и ввести одну команду, но автор хочет ВПН. А так — было бы проще поднять прокси, там проще настраивать трафик разных приложений.

                            Я для себя пробовал разные способы обхода блокировок, долго пользовался возможностями Стрейзанд, но в процессе беготни с одного ВПС на другой, пока роскомпозор истерил с миллионными блокировками — вернулся на ОпенВПН. Поставил скриптом и забыл. Если кому из друзей надо — то файл для клиента генерится одной командой, скачать клиент из маркета — проще простого.

                            Если что — я не админ ни разу.
                              0
                              Так Outline (ShadowSocks) в случае Android — таки вполне себе VPN, ибо через VPN API работает.
                              А если заморачиваться поюзерно — я лучше встроенный IPSec/PPTP предпочту.
                                0
                                Я же не спорю, сам пользовался Shadowsocks, это ему хочется ВПН и обязательно свое собственное приложение.
                          0
                          А какие там сложности с сертификатами? Разрешить мультилогин в конфиге, всё?
                            0
                            Создать CA, создать пользовательские, сбандлить их, доставить пользователям.
                            Еще конфиг виртуальной сети написать, и желательно маскарадинг настроить. Докеризация часть этих проблем снимает, конечно.
                      0
                      Разработка нового приложения — это далеко за рамками озвученного бюджета, особенно учитывая что это криптография и надо проводить очень серьёзный аудит безопасности.


                      Зачем там вообще криптография, а уж тем более с аудитом?
                      Для заявленной задачи-то по обходу?
                      В любом случае — все равно внутри тоннеля вы гоняете https
                        0
                        Автор хочет впн.
                          0
                          ВПН — это не более, чем виртуальная частная сеть внутри публичной сети. Вы можете сделать тонель хоть с помощью bird/BGP без шифрования.

                          Целостность и секретность и аутентификацию вам обеспечит https.
                          Ну а от того чтобы этим тунелем смог воспользоваться кто угодно, любой желающий, внедрившийся в тунель где нибудь посередине — для данной задачи совершенно не важно. Тонель то бесплатен.
                            0
                            Целостность и секретность и аутентификацию вам обеспечит https.

                            Ну а от того чтобы этим тунелем смог воспользоваться кто угодно, любой желающий, внедрившийся в тунель где нибудь посередине — для данной задачи совершенно не важно.

                            Вы уж определитесь. Или секретность и аутентификация, или мужик посередине.
                              0
                              Жую специально для вас:

                              Мужик посередине может воспользовать тонелем (не жалко), но не может назваться вашим именем или прочитать вашу «переписку» с сервером — https гарантирует это.

                              Для заявленных целей обхода — этого достаточно.

                              То, что кто-то будет делить с вами и так бесплатный канал — значения не имеет.
                                0
                                Нет. Если мужик посередине может воспользоваться вашим туннелем — он может и прочитать переписку. Потому что туннель закрыт шифрованием.
                                А если вы имели в виду «воспользоваться тем же VPN-сервером с тем же ключом», то этот мужик не посередине, а сбоку. И прочитать ничего не может.
                                  0
                                  А как же вы до сих пор жили без тунеля?

                                  В наш век, если вы до сих пор пользуетесь голым http, без https — вашу переписку может читать кто угодно.

                                  Да, классический VPN c принятым для него шифрованием, дает дополнительные гарантии, в частности, дает возможность пользоваться незащищенным протоколом и жить спокойно.

                                  Но — зачем?

                                  Когда сейчас сайты массово переходят на https, когда есть LetsEncrypt…

                                  Для целей обхода блокировок — шифрование в VPN не нужно.

                                    0
                                    Вы путаете туннелирование и транспортное шифрование. Это разные вещи, но они применяются совместно. Потому что туннелирование без шифрования делает туннель уязвимым к анализу. А так — есть непрозрачный поток трафика от клиента к серверу — поди пойми что там.
                                    Но https это не туннель.
                      +1
                      Нет, OpenVPN требует дополнительных настроек / скачивания и подгрузки профайла и вообще не является user friendly аппой для обычного пользователя.
                      Зайти например на github.com/Nyr/openvpn-install а затем ввести единственную строку запуска скрипта, который сам все что нужно скачает и установит, даже спросит на какой порт поставить, на какое имя создать сертификаты, и это все без дополнительных ковыряний в конфигах. Я не думаю, что это сложнее, чем установить какую нть программу на свой комп. Командная строка без графического интерфейса не такая уж и страшная.
                        0
                        Речь про клиентскую часть, а не про серверную.
                        Лично я от openvpn на мобильниках отказался из-за того, что надо ставить дополнительный софт и подсовывать в него конфиги и сертификаты.
                        А l2tp достаточно пароли ввести.

                        Хотя, конечно, openvpn гораздо лучше через всякие кривые natы пролезает.
                        0
                        Или придется чебурнет вводить.

                        Реакцию властей на действия РКН (т.е. отсутствие реакции) сложно интерпретировать иначе как "всё идёт по плану". Даже об отдельных перегибах на местах ещё не говорили. Так что не обольщайтесь, самоё весёлое ещё впереди.

                        –1

                        Спорно, что никому не нужны нормальные инструкции. Я не админ, но вполне себе смышленый парень, и настроить OpenVPN ни по одному гайду у меня не получилось.


                        При этом с другой стороны, благодаря certbot-auto настроить https оказалось даже проще, чем я думал.

                          +1
                          Тут ниже несколько ссылок на скрипты установки опенвпн, я не админ, но у меня все получилось.
                            +1
                            Вы молодец
                          0
                          Пиво это отсылки к шуткам про админов в свитерах и с пивом.
                          Или к временам фидонета… Там тоже пиво было в ходу)
                          +1
                          На мой взгляд надо брать пример с пиринговых сетей, только вместо раздающих контент хостов — хосты с ВПН, может к пиву ВПН полагается закуска DNSCrypt?
                            +8
                            Вы изобрели TOR?)
                            +1
                            Скриптов для поднятия vpn на vps в один клик в сети полно валяется.
                            Вбить имя и пароль от vpn на телефоне «клиента» тоже ничем не сложнее, чем поставить там софт.

                            И не придется никого на «мобильные мессенджеры» подсаживать.
                              +2
                              Многим юзерам удобнее использовать просто и понятно сделанную аппу, а не копаться в настройках openvpn. А особенно аппу, сделанную лично для них. Это психология и маркетинг, а вы смотрите на проблему взглядом технаря.
                                0
                                А причем тут дополнительный софт вообще и openvpn в частности?
                                И андроид, и айфон имеют встроенную поддержку vpn.

                                Вбиваете там сервер, имя пользователя и пароль — и не надо никаких дополнительных сущностей разводить. Которые в случае айфона вообще не возможны, а в случае андроида дырку в безопасности оставляют.
                                  +1
                                  Так уж вышло, что пользователи чаще используют аппы для включения VPN, а не настраивают его через установки сети. Это просто факт.

                                  А про минусы публичных VPN я уже написал.
                                    0
                                    Так уж вышло, что пользователи чаще ставят софт из маркета, а не из левых источников. А если vpn будет настраивать «админа», то какая разница, как там будет выглядеть методика настройки?

                                    Вариант 1:
                                    Ввести имя и пароль в настройках телефона, вытащить ярлык на рабочий стол или вообще поставить галку «подключаться автоматом». От телефона зависит слабо.
                                    Вариант 2:
                                    Спросить, какая ОС на телефоне, если ios — послать пользователя.
                                    Если андроид, то поставить телеграм и зарегистрировать там пользователя.
                                    Сделать пользователю индивидуальный apk и скачать его на телефон.
                                    Поставить программу из левого источника…
                                      0

                                      А в чем проблема для админа выложить выложить аппу в плей и апп сторы? Она абсолютно честная и легальная.

                                        0
                                        В аппстор уже не нужно деньги платить, любой может выкладывать?
                                          0

                                          Да, вы правы.
                                          $99 в год за app store и $25 за play.
                                          Обсудим с первыми админами. Можем на свой акк выкладывать все аппы, можем с их акков принимать.

                                            0
                                            Если в гугл плей такое еще и прокатит, то в апп сторе вам быстро скажут что не хотят чтобы вы засоряли магазин приложений одной и той же софтиной.
                                          0
                                          Тогда добавляется шаг «выложить софт в маркет» для каждого пользователя.

                                          По-моему, это всё выходит далеко за рамки «за пиво».
                                            0
                                            А в чем проблема для админа выложить выложить аппу в плей и апп сторы?


                                            Даже не учитывая вопрос цены.

                                            Люди месяцами ждут одобрения своих приложений в этих самых сторах.

                                            Ну и опять таки — а вопрос доверия к софту, выложенному непонятно кем.
                                            Ведь это не просто игруха, а будет отвечать за ваш трафик.

                                              0
                                              А доверие к софту всяких *VPN коих в ГП миллион уже не стоит?
                                                0
                                                Если VPN коммерческий — понятен интерес тех, кто делает свой клиент. Это для простоты подключения и привязки тем самым к себе клиента.

                                                В чем интерес бесплатных VPN клиентов?

                                                Ну да, охотно верю, что есть среди них такие, что созданы ради облагодетельствания человечества. Но три-пять штук…

                                                Если же бесплатные VPN-клиенты появляются десятками — простите, что то слабо я верю в альтруистскую мотивацию
                                                  0
                                                  Ок, VPN-клиент с бесплатным триалом, или бесплатным зарезанным планом вы куда отнесете?
                                                  А так, да. Их реально штук несколько — OpenVPN, Outline (ShadowSocks), ProtonVPN. Ну еще OperaVPN была.
                                                    0
                                                    Вот еще человек высказал такое же подозрение как и я:
                                                    habr.com/post/354956/#comment_10791450
                                                    то первое, что я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя.
                                                    Второй мыслью будет желание поиметь на мне какие-то деньги. В случае бесплатного сервиса такое желание как правило выливается в желание покопаться в моих данных.


                                                    Вернемся к вам:
                                                    Ок, VPN-клиент с бесплатным триалом, или бесплатным зарезанным планом вы куда отнесете?


                                                    Очевидно — коммерческий интерес присутствует.

                                                    А так, да. Их реально штук несколько — OpenVPN, Outline (ShadowSocks), ProtonVPN. Ну еще OperaVPN была.


                                                    Про Strongswan сэр не в курсе, конечно же?
                                                    Ну, кто бы сомневался…
                                                      0
                                                      Про Strongswan сэр не в курсе, конечно же?

                                                      а зачем он нужен? StrongSwan — это реализация IPSec, который есть нативно во всех ОС. Ну, в моем Android 6.0 точно есть.
                                                      Просто порог вхождения по настройке IPSec/L2TP VPN он выше среднего, опять же. Это больше корпоративный сценарий, требующий MDM-а, а не массовый синглклик.

                                                      я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя

                                                      Паранойя — это хорошо, но ее лучше использовать вместе с бритвой Оккама. Qui prodest?
                                                        0
                                                        а зачем он нужен? StrongSwan — это реализация IPSec, который есть нативно во всех ОС. Ну, в моем Android 6.0 точно есть.


                                                        Понятно, все же вы не в курсе.
                                                        IPsec IPsec'у — рознь.

                                                        Рассказываю:
                                                        Родной IPsec даже в моем Android 8 (хотя формально он и в Android 5 есть) работает сравнительно корявенько.

                                                        Strongswan стабильнее намного, намного лучше переживает потери связи и смену IP (что норма при перемещениях со смартфоном с подключением то к Wi-Fi, то к мобильному интернету), лучше проходит сквозь NAT (хотя, казалось бы, почему — ведь формально это тот же IPsec — но практика показывает иное, что клиент Strongswan более «пробивной») и пр.и пр.
                                                          0
                                                          Ээээ… Ну тут больше вопрос к вендору прошивки: я на своем попередергивал IPSec между вайфаем и 4G и успокоился, когда убедился, что перепрыгивает стабильно. Нашел, кстати, багу: при поднятии IPSec L2TP туннеля девайс уходил в ребут, а IPSec XAuth ему норм.
                                                          Но на фоне всего этого поднять одной командой sslibev на сервере без юзерменеджмента и маскарадинга, и разбросать строчечку настройки в телеграме чтоб она еще и копипастилась по тапу (а Outline настройку в буфере обнаруживает) — это вообще автомагия.
                                            0
                                            Если ios — не возится с аппами, а скинуть xml, который будучи установлен сам настроит встроенный впн. И никакой суеты и кнопок.

                                            Скорее всего подобные «групповые политики» есть и под андроид, но тут я хз.
                                              0
                                              Ну тут же ботнет хотят делать — «отдать контроль в руки нашему сервису» — потому и нужно приложение. :)
                                                0
                                                Можно приложение тоже ставить xml-ем.
                                                Втихаря, вместе с vpn :D
                                                Никто ж не будет читать, что делает xml, просто нажмет «установить»…
                                                  0
                                                  Что-то не верится, что такая большая дыра есть, позволяющая молча ставить приложения. Даже в андроиде.
                                                    0
                                                    Через xml — это ios, встроенный mdm.
                                                    Конечно он спросит, а уверены ли вы, а точно ли хотите установить этот профиль, и всякое такое.
                                                0
                                                AFAIK, под Android нету. В этом и боль встроенного PPTP/L2TP/IPSec
                                                  0
                                                  Значит нужно использовать решения MDM вроде Cisco Meraki :D
                                                    0
                                                    На толпу в 50 человек использовать MDM? Простите, но нет. синглклик аппа, и хватит.
                                                      0
                                                      Синглклик аппа, телеграм-бот с проверкой подписки — это по сути колхоз-mdm, при этом нормально колхозится он будет только на андроидах (мы ведь говорим про мобилки).
                                                      В mdm-решениях уже всё сделано за нас. Ну и, да, яблоки со своими xml-ами позволяют обойтись почти без колхоза (читать про apple configurator). Про блекбери и мобильную винду не скажу.
                                                        0
                                                        Ну, у меня не стояла задача с подпиской — есть конкретный круг людей, которые в состоянии прочитать инструкцию из двух пунктов, и выполнить эти два пункта. И даже рассказать/показать другу.
                                                        MDM тут был избыточен, а вот Outline достаточен.
                                            +1
                                            Это надо инструкции писать. А аппа, которая с одной кнопкой «сделать хорошо» понятнее и удобнее.
                                              +1
                                              Если vpn будет настраивать «админ», то какая разница, где именно кнопка?
                                              А для пользователя всё равно придётся писать инструкцию, начиная с установки и регистрации в телеграме, поиске галки «разрешить установку левого софта» и т.п.
                                                0
                                                Зачем галка «разрешить установку левого софта», если есть просто более удобный софт в ГП. И инструкция к нему ровно из двух пунктов:
                                                1. Установить Outline по ссылке.
                                                2. Скопировать ключ.
                                                  0
                                                  Чтобы поставить описанный в статье «персональный» сотф.
                                                  Ни про какой outline автор не пишет.
                                                    0
                                                    Автору его уже посоветовали )
                                              0
                                              У андроида очень неудобный встроенный VPN. Требует установки пароля на экран, что минимум половине пользователей нафиг не нужно.
                                                +1
                                                У другой половины пароль уже стоит.
                                                Но вообще, даже если нет сканера отпечатков, то графический ключ люди ставят без особых проблем.
                                              +2
                                              Это психология и маркетинг, а вы смотрите на проблему взглядом технаря.

                                              Запостив идею на хабре, странно ожидать какую-то иную реакцию, нежели «взгляд технаря».
                                                0
                                                Особенно учитывая то, что предложение именно для технарей. Причем тех, кто любит себе жизнь усложнять.
                                            –4

                                            Может хватит советов «азаза, ща нагнём ркн, за бакс впску поднимем в один клик». 3 недели вполне достаточно, чтобы понять что происходит и что будет происходить и перестать давать тупые советы.

                                            • UFO just landed and posted this here
                                                0
                                                Не вижу проблем размещать аппу на Play и даже апдейтить ее там при изменении настроек, добавлении серверов и т.п.
                                                С iOS может быть сложнее, но, с другой стороны, с чего бы Эпплу не пропускать в аппстор обычную VPN аппу?

                                                Про отсутствие спроса, думаю, вы неправы.
                                                Ну это уже вопрос к рынку и успешному маркетингу. Примеров перехода идей от «это никому не нужно» до «как же мы раньше до этого не додумались?» на рынке масса.
                                                +11
                                                В схемах «за пиво» одна фигня мешает: если настроить можно за чай/пиво/улыбку и спасибо, то поддержка уже напрягает. Потому что человек, попросив (и получив) хотя бы помощь по выбору мышки, обязательно считает, что получил безлимитного и бесплатного советчика и ремонтника своих проблем (желательно — по телефону/лично, желательно — круглосуточно).

                                                Поэтому и видим, как (в общем-то добрые) «компьютерщики» отказывают знакомым сразу.
                                                  0
                                                  Согласен, могут замучать. Именно поэтому и хочется оставить на стороне пользователя минимальный шанс на ошибку и факап и отдать контроль в руки нашему сервису и самому админу.

                                                  Но все-равно, каждый админ должен будет решиться на этот шаг, понимая, что ему придется принять на себя груз пары десяткой пользователей. Если не пары сотен…

                                                  Думаю, телеграм каналу нужен будет бот, который возьмет на себя часть глупых базовых вопросов пользователей.
                                                    0
                                                    Админ получает взамен регулярныую благодарность и пиво )

                                                    А разве не в этом смысл «Павел Дуров потратит миллионы долларов на VPN», да и канал в Телеграмме.
                                                      0
                                                      Хочется верить, что в этом тоже ;)
                                                    0
                                                    Эмм. Ну если совсем просто и не получается даже скрипт в 1 строчку на гитхабе запустить, то что мешает тупо сделать или образ виртуалки или ставить прям из коробки openvpn-as? Там вообще в 3 клика все ставится.
                                                      0
                                                      Настройка VPS–ки - задача админа, а не сервиса.
                                                      Пусть настраивает как его душе угодно.
                                                      Нам от него нужны только ключи и логины для «генерации» аппы.
                                                        0
                                                        Ну то есть человек в состоянии настроить vpn-сервер, но почему-то должен клиентскую часть доверить странной апе с привязкой к телеграмму (который привязан к телефону и который у клиента может быть заблочен). При этом передача ключей — такой же открытый вопрос, как и в случае с OpenVPN. Только OpenVPN — продукт, которым пользуются миллионы людей (и который так просто не дропнут из маркета, кстати), а приложение при таких вводных едва ли наберет пару тыщ скачиваний
                                                        +1
                                                        Openvpn-as дает только две бесплатные лицензии, дальше за деньги и одна лицензия стоит больше, чем VPS.
                                                        0
                                                        Чем же вам так www.getoutline.org не угодил?
                                                          0
                                                          Этот сервис работает на DO, который забанен на пять шестых.
                                                            0
                                                            Там же можно без проблем использовать свой VPS.
                                                            0
                                                            Вот вам и ответ.
                                                            Не угодил тем, что слишком публичен и слишком популярен, а значит имеет слишком высокий шанс быть забаненым.
                                                            0

                                                            Мне нравится.


                                                            Действительно, распространению https очень сильно помог https://letsencrypt.org, а точнее
                                                            https://certbot.eff.org. Поэтому нельзя недооценить важность простой настройки. Сам почувствовал это. https на сервере оказалось проще настроить, чем VPN или SOCK5 прокси.


                                                            Я тоже хотел бы поучаствовать в каком-то формате. Могу сделать iOS приложение, например

                                                              0
                                                              Интересно. Но я не совсем понимаю, как можно сделать VPN через SSH?
                                                              Возможно ли перенаправить ВЕСЬ траффика мобильного устройства через SSH туннель по запросу одной аппы?

                                                              Сделал группу для обсуждения: t.me/beervpn.com
                                                                0

                                                                Блин, сорри, правильная ссылка: https://t.me/beervpn

                                                                  0
                                                                  Емнип adguard под андроид может переключать трафик на локальный прокси (будь то ssh или даже тор)
                                                                    0
                                                                    Под андроид — точно можно в произвольный ssh туннель завернуть весь трафик, ki4a, ssh tunnel. Хотя второй возможно уже мёртв. Это если одна приложуха, если 2 — много вариантов умеющих запускать сокс прокси для ssh (вполть до запуска бинарников в shell), а дальше нужно найти того кто завернёт весь трафик в туннель
                                                                    0
                                                                    Про getoutline написали выше.
                                                                    За Streisand спасибо, не знал. Можно его предлагать в инструкциях для админа.
                                                                    Большие молодцы ребята.
                                                                    0

                                                                    Посмотрите https://github.com/trailofbits/algo. Может быть, все что нужно будет — перевести ридми.

                                                                      0
                                                                      github.com/Nyr/openvpn-install
                                                                      Хороший скрипт по установке и быстрой настройке OpenVPN-сервера. Так же способен генерировать клиентские конфиги и сертификаты, и даже отзывать их.
                                                                      Сам использую уже 3 года.
                                                                        0
                                                                        Спасибо, использовал тоже, да
                                                                        –1
                                                                        Встроеный VPN в Opera уже не работает?
                                                                          0
                                                                          Я описал проблемы публичных VPN в посте.
                                                                            0

                                                                            к тому же он и не vpn вовсе, а логгируемая прокси.

                                                                              0
                                                                              В контексте «способы доступа к заблокированным ресурсам» — разницы нет.
                                                                                0
                                                                                Опера поддерживает роутинг на ван на уровне системы? Тот же клиент телеграма сможет использовать?
                                                                          0

                                                                          Вообще как-то слишком много левых приложений. Тот же телеграм работает далеко не стабильно, как "аппа" будет обращаться к заблокированному api для получения данных о наличии человека в телеге, что делать если сам beervpn заблокируют. Зачем вообще нужна отдельная "аппа"? Установка "аппы" не из гоголь стора — потенциальная опасность, поскольку нужно убрать галочку в настройках, которые пользователь хрен сам найдёт.


                                                                          Было бы намного проще и безопаснее — сделать одно приложение для дроида и запустить его в гоголь сторе, это приложение может использовать хоть i2p, хоть tor для хранения своего api. Лучше наверное tor. Сам beervpn хранить в tor, хотя бы чтобы ркн проблем небольших добавить, лучше конечно же i2p. Вообще избавиться от телеграмма как лишнего посредника. Использовать реферальные ссылки аля beervpn://ref?id=XXXXX-XXX-XXXXX&key=YYYY-YYYY=YYYY-yyyy, эта ссылка и будет авторизацией, и админ на том же beervpn.{i2p,tor} может эти все ссылки сам администрировать.


                                                                          Но что делать, коли api будет заблокирован? Можно использовать авторизацию самого VPN сервера, ведь у него есть возможность управлять сертификатами и довольно безопасная!

                                                                            0

                                                                            Мы вообще говорим об одном и том же. Не вижу предмета для спора. Мне нравится идея раздавать аппы, а не инструкции. Вам — инструкции, а не аппы. Суть от этого не меняется.
                                                                            Про "выгоду за пиво", вы просто не поняли смысл шутки. Почитайте тут: https://en.m.wikipedia.org/wiki/Beerware?wprov=sfla1

                                                                              0
                                                                              Однако все это не решает главной задачи — ЗАСТАВИТЬ этих людей проделать непривычные и пугающие их действия и обзавестись, наконец-то, VPN защитой.

                                                                              Автор уверен, что для всех перечисленных людей, это ГЛАВНАЯ задача?
                                                                              Вполне может быть, они, например, считают свой главной задачей — заставить внучка обзавестить наконец потомством?
                                                                              И что вообще кого то заставлять, это нехорошо? Это навязывание вашей воли кому то.
                                                                                +1

                                                                                Отож. Полностью согласен.
                                                                                Большевики пришли: ЗАСТАВИТЬ! (Причем именно заставить, именно кэпсом и именно с восклицательным знаком).
                                                                                Капиталисты пришли: ЗАСТАВИТЬ!!!
                                                                                Убеждать надо, а не заставлять.

                                                                                  0
                                                                                  Капиталисты всё же больше убеждают — реклама, маркетинг, вот это всё.
                                                                                    0

                                                                                    Реклама — очень редко убеждение и информирование. Чаще именно агрессивное принуждение, попытка предотвратить любые попытки обдумать свой выбор.
                                                                                    Маркетинг — чаще попытка скрыть реальное положение дел.
                                                                                    Да и вне продаж чего-то населению принуждения выше крыши, как экономического с информационным, так и силового.
                                                                                    Если что, в России сейчас в основном именно капитализм (экономикой рулят большие капиталы). Со своими особенностями, но капитализм.

                                                                                • UFO just landed and posted this here
                                                                                    +1
                                                                                    Ну да, ну да.
                                                                                    Сначала лозунги о свободе, а потом скатываемся к тому, что народ, это стадо и быдло и его нужно заставлять быть счастливым.
                                                                                    А на самом деле навязывать другим людям свою точку зрения, с какого бы полюса она не находилась.
                                                                                    • UFO just landed and posted this here
                                                                                        0
                                                                                        То, что супер важно вам лично, вовсе не важно кому то другому.
                                                                                        И этого вы принять не можете:
                                                                                        Но, простите, своим беспрекословным подчинением сами-знаете-кому они уже сами говорят, что они стадо и быдло — выставляют себя таковыми, хотя не факт, что заслуженно.
                                                                                        • UFO just landed and posted this here
                                                                                          0
                                                                                          Почему враждебная точка зрения должна навязываться, а совместимая — нет?

                                                                                          На то есть масса причин.
                                                                                          Озвучу несколько.


                                                                                          1. Вы хотите уподобиться вашему врагу? А чем вы после этого вообще лучше?
                                                                                          2. Навязанная точка зрения так же легко может быть заменена на другую навязанную, ибо навязанное преходяще, и только осознанные убеждения в некоторой степени стойки.
                                                                                          3. Результат определяется не качеством точки зрения, а тем, у кого "навязывалка" больше.
                                                                                          4. А как же свобода?
                                                                                          • UFO just landed and posted this here
                                                                                              0
                                                                                              1. Заставлять мягко невозможно. Получите сопротивление только потому, что заставляете. Выгодным для пользователя образом? А не проще ли сразу показать пользователю его выгоду (путем сравнения цены вопроса всех вариантов, причем полной, без всяких "мелким шрифтом") и тем самым убедить его? Кроме того, кто вам сказал, что вы правильно просчитали выгоду конкретного пользователя?
                                                                                              2. С навязанной точкой зрения пользователь не может сделать осознанный выбор, поскольку точка зрения, определяющая выбор, ему уже навязана.
                                                                                              3. "Всегда есть рыба покрупнее" (с) Квай-Гон Джинн.
                                                                                              4. Плохо. Да еще и бесполезно, поскольку очевидно, как этот "тот, кто" воспользуется обретенной свободой.
                                                                                              • UFO just landed and posted this here
                                                                                                  0

                                                                                                  Возвращаясь к теме с VPN.
                                                                                                  Если кто-то будет меня ЗАСТАВЛЯТЬ (прошу заметить, что слово в статье идет именно кэпсом, что поинято использовать для усиления, а потому никак не намекает на скоытые за этим "мягкие" альтернативы) им пользоваться (особенно если это какое-то конкретное решение), то первое, что я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя.
                                                                                                  Второй мыслью будет желание поиметь на мне какие-то деньги. В случае бесплатного сервиса такое желание как правило выливается в желание покопаться в моих данных. Даже если через VPN пойдет только закрытый по HTPS трафик, многое расскажут одни IP адреса.
                                                                                                  Еще придет в голову вариант декабристов, которые подставили вместе с собой под расстрел ничего не понимающих, введенных в заблуждение подчиненных.
                                                                                                  Про "добрую волю" заставляющего я подумаю в последнюю очередь и отнесу к маловероятным вариантам.

                                                                                                  • UFO just landed and posted this here
                                                                                    +1
                                                                                    Пользуюсь вот таким простым рецептом — medium.com/meduza-how-it-works/хочу-свой-vpn-за-5-минут-что-делать-5581e536650a
                                                                                    Цена вопроса — 5$/month/500Gb. Очень удобно шарить ключи, клиенты по все популярные os.
                                                                                      0
                                                                                      5$/mo за 20 Tb, если использовать свой сервер на Hetzner, не благодарите.
                                                                                      –2
                                                                                      От Линкедина на почту был один спам, на Пейсбук нормальным людям монописуально.
                                                                                        0
                                                                                        Идея для размышлений. У многих VPS-провайдеров есть API и почасовая оплата. Можно написать клиент, который будет работать с произвольным VPS-провайдером и по запросу поднимать новый VPN-сервер, а после использования удалять его. Это очень дёшево и заблокировать это можно только полностью заблокировав провайдера.
                                                                                          0
                                                                                          Не так давно один мой друг брал себе очередной дроплет на do. Только с четвертой или пятой попытки ему удалось найти незаблокированный IP.
                                                                                          И нет никаких гарантий что этот IP не будет заблокирован.
                                                                                          Связываться в тему хостерами у которых есть API — чревато (даже хетцнер попал под раздачу).
                                                                                          Связываться с хотсерами без API и вообще не пойми какими — тоже так себе затея (риски).

                                                                                          Даешь пиление провайдеров и опсосов на включение ipv6 :) пока по слухам только мтс умеет из опсосов, остальные провели тестирование и свернули…
                                                                                          • UFO just landed and posted this here
                                                                                              0
                                                                                              А что IPv6? Он так же резво блокируется.
                                                                                              IPv6 не блокируется, ни одним оператором. Пока не блокируется.
                                                                                                0
                                                                                                А много-ли операторов предоставляют IPv6?
                                                                                                  0

                                                                                                  Провайдеры с IPv6: 34 штуки.
                                                                                                  Среди них крупные: МТС, Дом.ru, Ростелеком, ТТК.
                                                                                                  Конечно ipv6 доступен далеко не во всех регионах но провайдеры потихоньку осваивают его. А если ваш провайдер всё ешё не предоставляет ipv6 то вы можете воспользоваться 6to4.

                                                                                                    0
                                                                                                    Провайдеры как-то странно осваивают — тот же билайн потестил на проводе и на мобилках, убедился что всё работает и свернул.
                                                                                                  0
                                                                                                  IPv6 не блокируется, ни одним оператором. Пока не блокируется.


                                                                                                  Просто руки не дошли пока что.
                                                                                                  По факту это не является принципиально неосуществимым.
                                                                                                  0
                                                                                                  Пока система контроля ревизор не умеет в ipv6.
                                                                                                  А так никто не мешает поднимать дальше впн на ipv6 и заворачивать туда ipv4 :D

                                                                                                  А вот если как раз использовать туннели для включения ipv6 — то можно нарваться на блок ipv4 адреса брокера…
                                                                                                    0
                                                                                                    Не так резво. И в силу разрядности адреса — до гораздо меньшего объема. АФАИК циске до сих пор больно блэклистить v6, примерно на порядок больнее, чем v4
                                                                                                0
                                                                                                Мобильное приложение openvpn работает так: устанавливается в один клик из аппстора, затем в тот же телеграм присылается профайл, делается два клика по файлу: скачать-запустить, опенвпн сам подхватывает файл. Ещё один клик по кнопке «подключить». Более юзерфрендли сложно себе представить. Разве что написать бота, который будет отправлять профайл без лишних просьб.
                                                                                                И, конечно, не нужно держать несколько приложений, чтобы IP-шники нельзя было отследить. OpenVPN не держит, насколько я представляю, базу всех IP с развернутыми серверами.
                                                                                                  0
                                                                                                  вы забыли несколько существенных моментов. настроить подсеть на сервере и маскарадинг. и напугать пользователя ворнингом «Сеть может отслеживаться» при импорте сертификата. Чем, кстати, приятно отличаются решения на pre-shared ключах.
                                                                                                    0
                                                                                                    Я недавно настраивал VPN для домашних и не заметил никаких таких ворнингов (даже если они были). Думаю, обычные пользователи вполне умеют следовать инструкции «кликните ОК».
                                                                                                    Я не настоящий сварщик и, к сожалению, понятия не имею ни о настройке подсети, ни о маскарадинге. Я просто нашёл инструкцию о том, как поднять OpenVPN на VPS и теперь по просьбе знакомых в пару действий завожу ключи. Самое сложное действие, которое требуется от пользователя — найти нужное приложение на сайте openVPN (и то, потому что мне было лень отправлять на него ссылку).
                                                                                                      0
                                                                                                      Ну, я его настраивал еще когда этих ваших докеров даже не было, ручками. Самое бесявое всегда было — юзерменеджмент. Сгенери, раздай… И не забудь проверить что трафик заворачивается и ходит как надо — к слову о маскарадинге.
                                                                                                        0
                                                                                                        В моей инструкции не было никакого докера. Я озаботился VPNом незадолго до того, как это стало модным. Всё работает из коробки, ничего проверять мне не пришлось. Единственная нерешенная проблема — невозможность подключиться к стандартному порту из многих внутренних сеток.
                                                                                                        Сгенерить десяток ключей — не проблема вообще. Была бы сотня — ну ёлки, неужели это проблема написать веб-страничку/бота для друзей, который будет генерить и отдавать ключи?
                                                                                                          0
                                                                                                          Можно и без ключей, никто не мешает по логину-паролю авторизовывать, хоть это и не труъ
                                                                                                            0
                                                                                                            а можно и без логинов-паролей )
                                                                                                              0
                                                                                                              Вот это труъ :) если конечно речь не про без сертификатов, логинов-паролей и вообще без всего)
                                                                                                              Микротику вот как клиенту было вообще плевать на сертификаты сервера и CA (может уже поправили в свежих прошивках, не скажу — всё равно ovpn не лучшее решение на микротиках)
                                                                                                                0
                                                                                                                pre-shared key
                                                                                                    0
                                                                                                    господа, а озадачивался ли кто-то ответственностью админа за трафик, идущий с его vps-ки? найти его возможно хотя-бы по кредитке, которой он оплачивает vps. потеряет кто-нибудь из знакомых мобилу с vpn возле террористов и не сочтет нужным оповестить админа. пример утрированный, но у нас все возможно. я вот поэтому гостевой wi-fi не оставляю без пароля. вроде, физ лица не должны идентифицировать своих клиентов, но вычислить владельца все равно можно.
                                                                                                      0
                                                                                                      Есть юрисдикции в которых владелец сетевого ресурса не отвечает за транзитный трафик. Германия, ЕМНИП, Швейцария. Можно погуглить TOR Exit-friendly хостинги — это будет ровно то, что вы ищете.
                                                                                                        0
                                                                                                        Если уехать в эти юрисдикции, то особо и обходить ничего не нужно. А находясь в наших юридикциях можно вдобавок получить какую-нибудь «незаконную трансграничную передачу данных».
                                                                                                          0
                                                                                                          Ну, законодательной базы пока под это нету, живите спокойно. Но уехать можно, да.
                                                                                                        0
                                                                                                        Мне от DO пару раз прилетало за то, что забывал выключить все и трансмишн прорывался качать кины через впс. Без последствий, однако.
                                                                                                          0
                                                                                                          Если предоставление vpn будет носить характер предоставления услуги, то могут пришить и незаконную предпринимательскую деятельность, особенно если «за пиво», то есть доход в натуральной форме.
                                                                                                          +1
                                                                                                          так есть же Outline getoutline.org/en/home
                                                                                                            0
                                                                                                            Все что описал автор в посте — уже сделал Google — Outline

                                                                                                            Only users with full accounts can post comments. Log in, please.