Вы сейчас это пишете человеку который много лет в ISP работал, лол. Нет, не большинство. Крупняк федерального уровня - да, а мелко-средние бизнесы на такое обычно не тратятся.
Да и у крупняка такое не везде. Достаточно вспомнить как у банков массово POS-терминалы при обострении блокировок отваливались, а у ритейлеров кассы в филиалах.
Ну то есть вы сами признаете что блокировки были, только масштабы пока ещё не федеральные.
до сих пор работают у большинства бизнеса внутри РФ.
пока работают.
как только двухступенчатые схемы станут массово популярны (уже становятся), это дело массово закрутят. РКН там уже сколько-то ярдов в очередной раз выбил себе на увеличение мощностей фильтрации.
Покажи хоть один реальный кейс крупняка, который встал раком из-за блокировок РКН
Это у вас щас такая намеренная дешевая манипуляция - просить привести пример из крупняка, хотя я прямым текстом сказал выше, что для крупняка уже действуют исключения по белым спискам? А про то как всякие небольшие конторы вынуждены менять протоколы и адреса потому что у них периодически из-за ТСПУ виртуальные сети отваливаются, здесь даже на Хабре уже неоднократно сами админы подобных контор писали. И вишенка на торте - тут же были истории когда РКН отказывал им во внесении их эндпоинтов в списки исключений.
Статья за "неправильное использование корпоративного VPN"? Что за статья такая? Или речь про штрафы за рекламу обхода и за умышленный поиск экстремизма через VPN?
То есть вы вообще не в курсе какие законы принимаются в стране, но кидаетесь какашками в тех кто знает? Подскажу для одаренных: Статья 13.52. Нарушение порядка использования на территории Российской Федерации программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен.
почитайте внимательно ее текст и комментарии юристов к ней, это именно оно.
Технология как жила, так и будет жить, ограничивают именно сервисы, которые не используются компаниями и протоколы которые не используются бизнесом.
Брехня. Это OpenVPN не используется бизнесом? Это Wireguard не используется бизнесом? Это AnyConnect не используется бизнесом? Идите-ка вы с такими лекциями для колхозников куда-нибудь на пикабу или дзен.
Wi-Fi в аэропорту, отеле, кофейне это зона риска где любая нечесть может перехватить трафик и что-то украсть
В эпоху повсеместного TLS, ага.
А вообще, статья фантастически наивна. «ВПН не заблокируют, потому что они нужны бизнесу, trust me bro». Алё, бизнес уже от этих блокировок массово страдает. То что судьба малых бизнесов власти не волнует - это давно уже известно, а для больших бизнесов уважаемых людей есть проверенное решение: белые списки. «Если вам надо чтобы ваш ВПН работал без сбоев, подайте заявку в РКН со списком ваших endpoint’ов или AS, используемых протоколов и обоснованием зачем вам это нужно, на фирменном бланке и с подписью директора. И не забывайте, что за неправильное использование таких вещей статья в законах уже есть». Более того, подобные списки для всяких там Сбербанков и подобного крупняка РКН начал составлять ещё много лет назад.
Короче, автор, за статью двойка. Если вы этот шлак выдали не по собственной глупости, а за деньги, я считаю что за такую халтуру заказчик должен потребовать у вас оплату назад, это совсем дно.
А значит, когда производству нужны высококвалифицированные спецы, зачастую приходится заливать проблему деньгами. Ну просто иначе никто не придет.
Когда как, иногда деньги есть, но вкладывать их будут отнюдь не в вашу зарплату, даже если сильно надо. Иногда это бывает вырождается в «пару седых спецов которым уже некуда идти потому что они ничего другого не умеют и не хотя и двадцать вчерашних студентов работающих за еду». И результат в стиле «сдать проект, а дальше просто чтобы не развалилось».
Вы говорите «VLESS rip», и сразу же предлагаете XHTTP как решение, который в 99% как раз с VLESS и работает.
Ничего он не rip и даже не «детектится». Мы ведь все-таки на профильном ресурсе, давайте придерживаться корректных формулировок. Утверждение “DPI конкретно детектит VLESS” - заведомо некорректное. VLESS это простейший протокол установления соединения из двадцати байт хендшейка. Он может работать поверх нескольких десятков разных комбинаций транспортов (TLS 1.2, TLS 1.3, Reality, Vision, HTTP/2, WS, XHTTP, и даже KCP). Детектирование производится не в отношении самого VLESS, а в отношении характеристик какой-нибудь из используемых комбинаций и параметров частей этих комбинаций (типа выбранного fingerprint’а и SNI для TLS).
Вы сами видимо невнимательно ознакомились с новостями. Тот вариант закона, что предлагал обязательное сканирование - его уже отклонили, окончательно. В текущем варианте там сканирование опциональное (добровольное) - и вот уже его могут принять, а могут и не принять.
Вы когда браузером заходите на какой-нибудь тяжелый ресурс, он может с десяток коннектов параллельно к разным зостам поднимать (статика с разных морд CDN, эндпотнты API, и много другого). А при работе через прокси оно все превращается в такую же кучу коннектов, но к одному прокси.
При достаточно низком пороге срабатывания две правила роутинга в клиенте не помогут - только мультиплексирование.
Адреса нужные уважаемым господам будут в белых списках. А точнее, у таких уважаемых господ будут (уже есть) свои отдельные абонентские каналы с более мягкой фильтрацией.
Да, я про это выше писал. Проблема в том что рано или поздно (а скорее всего довольно скоро) такие дыры заткнут, например нарезав диапазоны в БС на более мелкие и точные.
А если уж говорить про них, то там все плохо. Для обхода белых списков по SNI хватит обычного Reality. Для обхода белых списков по IP не обязателен CDN, подойдет все что угодно что оказалось в диапазонах белых списков (например облачные виртуалки). К тому же те CDN что там есть - начали бороться с прокси. А при белых списках по IP+SNI вам даже CDN никак не поможет (если только не допускает фронтинг).
Конфиги кладете на другой адрес (можно даже через российскую CDN) и у клиентов добавляете как подписку. После этого в случае чего пользователям достаточно просто нажать «Обновить» у себя в клиентах и все снова работает с новыми параметрами.
Вот только сам Майк Годвин говорил, что есть случаи, когда упоминания тех-самых действительно уместны в дискуссии. Например, когда прослеживаются слишком явные параллели.
А ещё он отверг идею о том, что тот, кто ссылается на закон Годвина, проиграл спор, и утверждал, что при правильном применении правило «должно функционировать не столько как завершение разговора, сколько как его начало»
поэтому в случае серьезного факапа и недовольства начальства им сделают больно.
Не сделают. Вот как раз там «своих не бросают» (если только нет цели кого-то подсидеть и поставить на вкусное место своего человека, но это совсем другая история). Вспомните сколько раз они уже с грохотом ломали кучу всего - и ничего не поменялось. У них на это дело карт-бланш.
Вы сейчас это пишете человеку который много лет в ISP работал, лол. Нет, не большинство. Крупняк федерального уровня - да, а мелко-средние бизнесы на такое обычно не тратятся.
Да и у крупняка такое не везде. Достаточно вспомнить как у банков массово POS-терминалы при обострении блокировок отваливались, а у ритейлеров кассы в филиалах.
Ну то есть вы сами признаете что блокировки были, только масштабы пока ещё не федеральные.
пока работают.
как только двухступенчатые схемы станут массово популярны (уже становятся), это дело массово закрутят. РКН там уже сколько-то ярдов в очередной раз выбил себе на увеличение мощностей фильтрации.
Это у вас щас такая намеренная дешевая манипуляция - просить привести пример из крупняка, хотя я прямым текстом сказал выше, что для крупняка уже действуют исключения по белым спискам? А про то как всякие небольшие конторы вынуждены менять протоколы и адреса потому что у них периодически из-за ТСПУ виртуальные сети отваливаются, здесь даже на Хабре уже неоднократно сами админы подобных контор писали. И вишенка на торте - тут же были истории когда РКН отказывал им во внесении их эндпоинтов в списки исключений.
То есть вы вообще не в курсе какие законы принимаются в стране, но кидаетесь какашками в тех кто знает? Подскажу для одаренных: Статья 13.52. Нарушение порядка использования на территории Российской Федерации программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен.
почитайте внимательно ее текст и комментарии юристов к ней, это именно оно.
Брехня. Это OpenVPN не используется бизнесом? Это Wireguard не используется бизнесом? Это AnyConnect не используется бизнесом? Идите-ка вы с такими лекциями для колхозников куда-нибудь на пикабу или дзен.
В эпоху повсеместного TLS, ага.
А вообще, статья фантастически наивна. «ВПН не заблокируют, потому что они нужны бизнесу, trust me bro». Алё, бизнес уже от этих блокировок массово страдает. То что судьба малых бизнесов власти не волнует - это давно уже известно, а для больших бизнесов уважаемых людей есть проверенное решение: белые списки. «Если вам надо чтобы ваш ВПН работал без сбоев, подайте заявку в РКН со списком ваших endpoint’ов или AS, используемых протоколов и обоснованием зачем вам это нужно, на фирменном бланке и с подписью директора. И не забывайте, что за неправильное использование таких вещей статья в законах уже есть». Более того, подобные списки для всяких там Сбербанков и подобного крупняка РКН начал составлять ещё много лет назад.
Короче, автор, за статью двойка. Если вы этот шлак выдали не по собственной глупости, а за деньги, я считаю что за такую халтуру заказчик должен потребовать у вас оплату назад, это совсем дно.
Когда как, иногда деньги есть, но вкладывать их будут отнюдь не в вашу зарплату, даже если сильно надо. Иногда это бывает вырождается в «пару седых спецов которым уже некуда идти потому что они ничего другого не умеют и не хотя и двадцать вчерашних студентов работающих за еду». И результат в стиле «сдать проект, а дальше просто чтобы не развалилось».
по 1.2 в среднем на проект?) быстро работаете :D
Вы говорите «VLESS rip», и сразу же предлагаете XHTTP как решение, который в 99% как раз с VLESS и работает.
Ничего он не rip и даже не «детектится». Мы ведь все-таки на профильном ресурсе, давайте придерживаться корректных формулировок. Утверждение “DPI конкретно детектит VLESS” - заведомо некорректное. VLESS это простейший протокол установления соединения из двадцати байт хендшейка. Он может работать поверх нескольких десятков разных комбинаций транспортов (TLS 1.2, TLS 1.3, Reality, Vision, HTTP/2, WS, XHTTP, и даже KCP). Детектирование производится не в отношении самого VLESS, а в отношении характеристик какой-нибудь из используемых комбинаций и параметров частей этих комбинаций (типа выбранного fingerprint’а и SNI для TLS).
Вы сами видимо невнимательно ознакомились с новостями. Тот вариант закона, что предлагал обязательное сканирование - его уже отклонили, окончательно. В текущем варианте там сканирование опциональное (добровольное) - и вот уже его могут принять, а могут и не принять.
Вы когда браузером заходите на какой-нибудь тяжелый ресурс, он может с десяток коннектов параллельно к разным зостам поднимать (статика с разных морд CDN, эндпотнты API, и много другого). А при работе через прокси оно все превращается в такую же кучу коннектов, но к одному прокси.
При достаточно низком пороге срабатывания две правила роутинга в клиенте не помогут - только мультиплексирование.
NTC-форум. Теперь на него просто так не зайти, но это наоборот своеобразный фильтр от школьников:)
сейчас Happ довольно популярен, пока каких-то серьезных косяков за ними замечено не было
Адреса нужные уважаемым господам будут в белых списках. А точнее, у таких уважаемых господ будут (уже есть) свои отдельные абонентские каналы с более мягкой фильтрацией.
Да, я про это выше писал. Проблема в том что рано или поздно (а скорее всего довольно скоро) такие дыры заткнут, например нарезав диапазоны в БС на более мелкие и точные.
Его фильтровали полностью много лет назад (года так 4, а то и 5 назад), но сейчас он почти везде свободно бегает
Нет, не поэтому.
Ровно точно так же абсолютно такими же словами уже про многие вещи говорили, и в итоге они происходили сильно быстрее чем ожидалось.
В комментарии выше не было речи про белые списки.
А если уж говорить про них, то там все плохо. Для обхода белых списков по SNI хватит обычного Reality. Для обхода белых списков по IP не обязателен CDN, подойдет все что угодно что оказалось в диапазонах белых списков (например облачные виртуалки). К тому же те CDN что там есть - начали бороться с прокси. А при белых списках по IP+SNI вам даже CDN никак не поможет (если только не допускает фронтинг).
Конфиги кладете на другой адрес (можно даже через российскую CDN) и у клиентов добавляете как подписку. После этого в случае чего пользователям достаточно просто нажать «Обновить» у себя в клиентах и все снова работает с новыми параметрами.
Да, этот вариант гораздо лучше, настоятельно советую.
Вот только сам Майк Годвин говорил, что есть случаи, когда упоминания тех-самых действительно уместны в дискуссии. Например, когда прослеживаются слишком явные параллели.
А ещё он отверг идею о том, что тот, кто ссылается на закон Годвина, проиграл спор, и утверждал, что при правильном применении правило «должно функционировать не столько как завершение разговора, сколько как его начало»
Не сделают. Вот как раз там «своих не бросают» (если только нет цели кого-то подсидеть и поставить на вкусное место своего человека, но это совсем другая история). Вспомните сколько раз они уже с грохотом ломали кучу всего - и ничего не поменялось. У них на это дело карт-бланш.
Есть и другие CDN, которые не заблокированы. Не бесплатные, но довольно недорогие.