Все указанные "признаки" вроде бы можно понять, кроме вот этих - "а также переводит на свой счёт более 200 тыс. рублей по СБП со своего счета в другом банке либо досрочно закрывает вклад на аналогичную сумму."
Как перевод САМОМУ СЕБЕ НА СЧЕТ В ДРУГОМ БАНКЕ может быть действием в угоду мошенникам? Ну сделал ты перевод сам себе, их же нужно как то вывести, чтобы передать негодяям, и вот тут уже наступает ответственность СБ банка, куда переводил. Получается сделали возможность 30млн самому себе в месяц по СБП между своими счетами гонять, и тут же ее прикрутили этим лимитом в 200к?
Ну а закрытие вклада раньше срока так это вообще песня. У многих банков стоит автопродление предыдущего вклада, которое нельзя отключить, и если тебе не понравились условия продленного, то ты закрывая его делаешь это явно "раньше срока". И что, блок средств сразу?
Всё, теперь понял, о чём вы. Как вариант, именно для таких дешевых маршрутизаторов - вполне себе. Можно написать скрипт и средствами OpenVPN пушить клиенту маршруты на ip заблокированных ресурсов через vpn (если конечно у дешевой железки оперативной памяти хватит хранить тысячи записей). И это при условии, что провайдер не трогает сам впн-протокол, а в случае с openvpn были уже преценденты блокировки даже внутри РФ.
Зачем из пушек по воробьям палить? В случае ненадобности полноценного маршрутизируемого с двух сторон туннеля, если использовать линуксовый PBR на основе списка доменов (dnsmasq+ipset/nft sets) либо списков IP, то вполне хватит связки высокопроизводительного hev-socks5-tunnel для создания маршрутизируемого tun (tcp+udp) и xray как транспорта.
Ага, а то, что одна из самых известных мировых IT-персон, один из столпов СПО, по политическим мотивам в прямом эфире своими заявлениями и действиями рушит всю идеологию, на которой была основана разработка ядра Linux, да ещё и под интересным соусом, это мы обсуждать конечно не будем, ага, ведь хабр то вне политики.
При попытке входа с ру-ip на contabo.com сразу же блок. При регистрации просят ввести адрес. И чем это отличается от того же хетцнера? Ну а так да, цены у них вкусные, несомненно.
В случае с Nginx можно через апстримы раскидать по SNI через ssl_preread, о чем автор в этой статье и написал. Примерно как то так, вставлять в nginx.conf перед блоком http, переменные заменить на свои. Xray c Reality заставить слушать 127.0.0.1:444, oceserver - 127.0.0.1:445. Можно еще через Haproxy, с подобной логикой. В конфиге закомментирован proxy_protocol (добавил на всякий), т.к. при его включении что xray, что ocserver придётся особо настраивать под его использование
Вот с этим у меня wg прекрасно работает под Debian12 через cloak. Конфиг сервера от автора можно не трогать, единственно "RedirAddr" указать такой же, как "ServerName" у клиента . В конфиге интерфейса вайргард-сервера естественно указываем Listen=51000
deb-router ~ # cat /etc/systemd/system/cloak-client.service [Unit] Description=cloak-client After=network.target StartLimitIntervalSec=0 [Service] Type=simple #Service variables #Путь до конфига клиента Environment=CONFIG="/etc/cloak/ckclient.json" #Адрес VPSки с сервером cloak Environment=SRVIPADDR=123.123.123.123 #Локальный ip-адрес на котором будет слушать cloak. В данном случае будет слушать на всех интерфейсах Environment=LISTENLOCIP=0.0.0.0 #Локальный порт на котором будет слушать cloak. Его же прописываем как порт пира сервера в конфиге wireguard Environment=LISTENPORT=51000
Изучил. Wireguard прекрасно работает через cloak, но заметил одну интересную особенность - тестил всё это у себя через мобильный Теле2 и при указании некоторых популярных доменов как обманки в "ServerName" очень сильно троттлит трафик (по анализу SNI, видимо). Прописываешь один - скорость еле-еле и пинги космические, указываешь другой и даёт почти на всю ширину канала и пинги хорошие. Вообщем, нужно еще и доменное имя сервера-обманки хорошее подбирать. Ну и MTU оптимальный найти (у меня с 1380 нормально).
Судя по тому, что у вас в конфиге openvpn транспортом указан udp - правильно ли я понимаю, что cloak умеет пробрасывать (инкапсулировать) udp через tcp (tls)? Если так, то получается можно таким же макаром и более шустрый wireguard через всё это дело пустить? Глянул в гитхабе автора cloak примеры конфигов для openvpn, так у него там транспортом tcp указано. Очень интересует этот момент.
То, что потушили изичевый opara-vpn «для домохозяек» удивления не вызывает, это было более-менее предсказуемо. Тут возникают другие резонные вопросы — дальше то что? Ну завернут все брендированые VPN даже пусть по доменам и IP (допустим). А дальше то что, блок всех мимокроков по udp 500, 4500,1701 и т.д., по специфичным сигнатурам для разных типов VPN? К чему все это идет и что делать?
Все указанные "признаки" вроде бы можно понять, кроме вот этих - "а также переводит на свой счёт более 200 тыс. рублей по СБП со своего счета в другом банке либо досрочно закрывает вклад на аналогичную сумму."
Как перевод САМОМУ СЕБЕ НА СЧЕТ В ДРУГОМ БАНКЕ может быть действием в угоду мошенникам? Ну сделал ты перевод сам себе, их же нужно как то вывести, чтобы передать негодяям, и вот тут уже наступает ответственность СБ банка, куда переводил. Получается сделали возможность 30млн самому себе в месяц по СБП между своими счетами гонять, и тут же ее прикрутили этим лимитом в 200к?
Ну а закрытие вклада раньше срока так это вообще песня. У многих банков стоит автопродление предыдущего вклада, которое нельзя отключить, и если тебе не понравились условия продленного, то ты закрывая его делаешь это явно "раньше срока". И что, блок средств сразу?
Всё, теперь понял, о чём вы. Как вариант, именно для таких дешевых маршрутизаторов - вполне себе. Можно написать скрипт и средствами OpenVPN пушить клиенту маршруты на ip заблокированных ресурсов через vpn (если конечно у дешевой железки оперативной памяти хватит хранить тысячи записей). И это при условии, что провайдер не трогает сам впн-протокол, а в случае с openvpn были уже преценденты блокировки даже внутри РФ.
Зачем из пушек по воробьям палить? В случае ненадобности полноценного маршрутизируемого с двух сторон туннеля, если использовать линуксовый PBR на основе списка доменов (dnsmasq+ipset/nft sets) либо списков IP, то вполне хватит связки высокопроизводительного hev-socks5-tunnel для создания маршрутизируемого tun (tcp+udp) и xray как транспорта.
Ага, а то, что одна из самых известных мировых IT-персон, один из столпов СПО, по политическим мотивам в прямом эфире своими заявлениями и действиями рушит всю идеологию, на которой была основана разработка ядра Linux, да ещё и под интересным соусом, это мы обсуждать конечно не будем, ага, ведь хабр то вне политики.
При попытке входа с ру-ip на contabo.com сразу же блок. При регистрации просят ввести адрес. И чем это отличается от того же хетцнера? Ну а так да, цены у них вкусные, несомненно.
В случае с Nginx можно через апстримы раскидать по SNI через ssl_preread, о чем автор в этой статье и написал. Примерно как то так, вставлять в nginx.conf перед блоком http, переменные заменить на свои. Xray c Reality заставить слушать 127.0.0.1:444, oceserver - 127.0.0.1:445. Можно еще через Haproxy, с подобной логикой. В конфиге закомментирован proxy_protocol (добавил на всякий), т.к. при его включении что xray, что ocserver придётся особо настраивать под его использование
Вот с этим у меня wg прекрасно работает под Debian12 через cloak. Конфиг сервера от автора можно не трогать, единственно "RedirAddr" указать такой же, как "ServerName" у клиента . В конфиге интерфейса вайргард-сервера естественно указываем Listen=51000
deb-router ~ # cat /etc/cloak/ckclient.json
{"Transport": "direct",
"ProxyMethod": "openvpn",
"EncryptionMethod": "plain",
"UID": "УИД клиента",
"PublicKey": "Пабкей сервера",
"ServerName": "dl.google.com",
"NumConn": 4,
"BrowserSig": "chrome",
"StreamTimeout": 300
}
deb-router ~ # cat /etc/systemd/system/cloak-client.service
[Unit]Description=cloak-client
After=network.target
StartLimitIntervalSec=0
[Service]
Type=simple
#Service variables
#Путь до конфига клиента
Environment=CONFIG="/etc/cloak/ckclient.json"
#Адрес VPSки с сервером cloak
Environment=SRVIPADDR=123.123.123.123
#Локальный ip-адрес на котором будет слушать cloak. В данном случае будет слушать на всех интерфейсах
Environment=LISTENLOCIP=0.0.0.0
#Локальный порт на котором будет слушать cloak. Его же прописываем как порт пира сервера в конфиге wireguard
Environment=LISTENPORT=51000
ExecStart=/usr/local/bin/ck-klient -u -i "$LISTENLOCIP" -l "$LISTENPORT" -s "$SRVIPADDR" -c "$CONFIG"Restart=always
[Install]
WantedBy=multi-user.target
deb-router ~ # cat /etc/wireguard/wg0.conf
[Interface]Address = 10.0.0.1/24
PrivateKey =
MTU = 1380
PreUp = ip route add 123.123.123.123 via 192.168.1.1
PostUp = iptables -t nat -A POSTROUTING -o %i -s 192.168.1.0/24 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o %i -s 192.168.1.0/24 -j MASQUERADE
PostDown = ip route delete 123.123.123.123 via 192.168.1.1
#peer on cloak-server[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/0
Endpoint = 127.0.0.1:51000
PersistentKeepalive = 20
Изучил. Wireguard прекрасно работает через cloak, но заметил одну интересную особенность - тестил всё это у себя через мобильный Теле2 и при указании некоторых популярных доменов как обманки в "ServerName" очень сильно троттлит трафик (по анализу SNI, видимо). Прописываешь один - скорость еле-еле и пинги космические, указываешь другой и даёт почти на всю ширину канала и пинги хорошие. Вообщем, нужно еще и доменное имя сервера-обманки хорошее подбирать. Ну и MTU оптимальный найти (у меня с 1380 нормально).
Судя по тому, что у вас в конфиге openvpn транспортом указан udp - правильно ли я понимаю, что cloak умеет пробрасывать (инкапсулировать) udp через tcp (tls)? Если так, то получается можно таким же макаром и более шустрый wireguard через всё это дело пустить? Глянул в гитхабе автора cloak примеры конфигов для openvpn, так у него там транспортом tcp указано. Очень интересует этот момент.