Про "Мой МТС" ничего не могу сказать, но прямой роутинг нужно настраивать не только для .ru доменов, но также и для ru - IP - адресов, для этого энтузиасты поддерживают актуальные базы данных, с ними знакомы и сервер xray, и клиентские приложения.
Отсюда вопрос: это происходит в приложении Streisand после включения обхода рунета по инструкции из статьи, или где-то ещё?
В том то и дело, что цензор увидит реальный сайт yahoo.com по IP адресу VPS. Для этого и нужен Reality: передавать заголовок SNI, корректный сертификат yahoo, а также контент yahoo если трафик не прошёл проверку как прокси.
Подозрительно - возможно, узнаем когда(если!) РКН внедрит Active Probing. А вот утверждение "столько трафика ходит на страницу с ошибкой 404" не совсем верное. Трафик ходит на хост, а по какому адресу внутри хоста я обращаюсь по https - внешний наблюдатель никогда не узнает. Он просто поймёт что я обращаюсь явно не в корень сайта, который показывает 404.
Почему? Трафик VPS <-> Cloudflare замечтательно бегает и по IPv6
Потому что в качестве основного соединения я использую прямое подключение к серверу по IPV4, а CDN - запасной вариант. Если использовать только CDN - тогда IPv6 будет достаточно.
Редирект - нет, а вот проксирование сайта microsoft.com через свой VPS для выдачи его контента на своём домене - можно, вероятно средствами Reality, но я с таким не разбирался.
SS-22 "условно" детектируется как "зашифрованное tcp-соединение". Определить что это SS-22 вроде-бы невозможно, а вот узнать куда бежит трафик и заблокировать как неизвестный шифрованный протокол - запросто. Был прецедент: https://habr.com/ru/news/770840/
Пока я пользуюсь CDN через vless-tls-grpc (как в статье), без reality, и меня устраивает. Если когда-нибудь разберусь и настрою себе CDN+Rеality - тогда конечно напишу.
У Нассима Талеба - трейдера и писателя ("Чёрный лебедь", "Антихрупкость") самая первая книга называется "Одураченные случайностью", и основной её тезис: люди эволюционно не приспособлены к адекватному восприятию случайностей и вероятностей (и поэтому требуется дисциплина мышления чтобы не впадать в иллюзии и не наступать на грабли).
Проверил CDN CloudFlare: там работает domain fronting (первого типа) ... правда только для доменов и поддоменов из своего аккаунта, т.е. под чужой сайт не спрячешься.
Как извлечь пользу от маскировки одного своего домена под другой свой домен - пока идей нет ¯\_(ツ)_/¯
Хотя я сам сторонник личного VPS, но хочу признать, что и у сервиса есть и свои плюсы, а именно: за те же деньги есть возможность переключаться между разными локациями: - при необходимости сменить геолокацию - и при временной неработоспособности одного из серверов Так что весь вопрос в личных предпочтениях и личной стратегии управления рисками.
После импорта строки - настройка появится в "роутинге", её надо выбрать и активировать, при желании можно залезть внутрь и посмотреть из чего она состоит.
Встречал свидетельства на китайских тг-каналах, что GFW заботливо замедляет SSH. Использовать его по назначению (=в терминале) получается, а передавать большой трафик уже нет.
Поэтому допускаю, что РКН скоро начнёт заботиться о нас таким же образом и самостоятельно удалять Obfuscated SSH уже не придётся.
Так что - да, для РКН: Obfuscated SSH лучше чем Xray Reality, поскольку с последним он вряд ли справится.
Удаление wireguard - не самая актуальная задача, поскольку РКН уже заботится о пользователях и временами удаляет трафик, который генерирует это коварное приложение.
Намного более актуальной задачей я считаю удаление vless xtls, который маскируется под https, и государство не в силах мне помочь избавиться от его трафика. Приходится курить мануалы и учиться удалять его с сервера самостоятельно.
Про "Мой МТС" ничего не могу сказать, но прямой роутинг нужно настраивать не только для .ru доменов, но также и для ru - IP - адресов, для этого энтузиасты поддерживают актуальные базы данных, с ними знакомы и сервер xray, и клиентские приложения.
Отсюда вопрос: это происходит в приложении Streisand после включения обхода рунета по инструкции из статьи, или где-то ещё?
В том то и дело, что цензор увидит реальный сайт yahoo.com по IP адресу VPS. Для этого и нужен Reality: передавать заголовок SNI, корректный сертификат yahoo, а также контент yahoo если трафик не прошёл проверку как прокси.
Подозрительно - возможно, узнаем когда(если!) РКН внедрит Active Probing.
А вот утверждение "столько трафика ходит на страницу с ошибкой 404" не совсем верное. Трафик ходит на хост, а по какому адресу внутри хоста я обращаюсь по https - внешний наблюдатель никогда не узнает. Он просто поймёт что я обращаюсь явно не в корень сайта, который показывает 404.
Это Obsidian.
Там есть стандартный модуль - Canvas (mindmap на минималках)
Потому что в качестве основного соединения я использую прямое подключение к серверу по IPV4, а CDN - запасной вариант. Если использовать только CDN - тогда IPv6 будет достаточно.
Редирект - нет, а вот проксирование сайта microsoft.com через свой VPS для выдачи его контента на своём домене - можно, вероятно средствами Reality, но я с таким не разбирался.
Может другие комментаторы подскажут?
SS-22 "условно" детектируется как "зашифрованное tcp-соединение". Определить что это SS-22 вроде-бы невозможно, а вот узнать куда бежит трафик и заблокировать как неизвестный шифрованный протокол - запросто. Был прецедент: https://habr.com/ru/news/770840/
Благодарю за отзыв:)
Пока я пользуюсь CDN через vless-tls-grpc (как в статье), без reality, и меня устраивает. Если когда-нибудь разберусь и настрою себе CDN+Rеality - тогда конечно напишу.
У Нассима Талеба - трейдера и писателя ("Чёрный лебедь", "Антихрупкость") самая первая книга называется "Одураченные случайностью", и основной её тезис: люди эволюционно не приспособлены к адекватному восприятию случайностей и вероятностей (и поэтому требуется дисциплина мышления чтобы не впадать в иллюзии и не наступать на грабли).
Благодарю за статью и примеры!
Проверил CDN CloudFlare: там работает domain fronting (первого типа) ... правда только для доменов и поддоменов из своего аккаунта, т.е. под чужой сайт не спрячешься.
Как извлечь пользу от маскировки одного своего домена под другой свой домен - пока идей нет
¯\_(ツ)_/¯
Я был бы рад видеть в статье актуальный курс монеты (вместо курса почти двухмесячной давности).
Иранская панель Hiddify-manager вроде как поддерживает Hysteria2.
(по крайней мере тег `hysteria2` стоит у них на гитхабе)
Хотя я сам сторонник личного VPS, но хочу признать, что и у сервиса есть и свои плюсы, а именно: за те же деньги есть возможность переключаться между разными локациями:
- при необходимости сменить геолокацию
- и при временной неработоспособности одного из серверов
Так что весь вопрос в личных предпочтениях и личной стратегии управления рисками.
Интересно как в OpenConnect обстоят дела с защитой от детектирования TLS-in-TLS?
У меня сработала такая строчка:
geoip:ru,domain:ru, вроде без ложных срабатываний---
Также смог настроить директ-рф на Streisand iOS, и тут проще сразу дать строку конфигурации, чем городить скриншоты:
streisand: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После импорта строки - настройка появится в "роутинге", её надо выбрать и активировать, при желании можно залезть внутрь и посмотреть из чего она состоит.
https://piped.video
(исходники)
Встречал свидетельства на китайских тг-каналах, что GFW заботливо замедляет SSH. Использовать его по назначению (=в терминале) получается, а передавать большой трафик уже нет.
Поэтому допускаю, что РКН скоро начнёт заботиться о нас таким же образом и самостоятельно удалять Obfuscated SSH уже не придётся.
Так что - да, для РКН: Obfuscated SSH лучше чем Xray Reality, поскольку с последним он вряд ли справится.
Злобный админ мог заразить один сервер сразу тремя этими штуками, если раскидал их по разным портам.
Удаление wireguard - не самая актуальная задача, поскольку РКН уже заботится о пользователях и временами удаляет трафик, который генерирует это коварное приложение.
Намного более актуальной задачей я считаю удаление vless xtls, который маскируется под https, и государство не в силах мне помочь избавиться от его трафика. Приходится курить мануалы и учиться удалять его с сервера самостоятельно.
Смогли же. Пусть топорно (с большим сопутствующим ущербом), но результативно.
Поставил себе и друзьям Straisend, работает как часы.