IP не сливается через WebRTC при использовании режима TUN (проверял на Nekobox+Win10). Но если не активировать TUN и использовать стандартный режим "системного прокси" - то да, приходится затыкать его плагинами браузера.
Да, на фоне блокировок Shadowsocks: Cloak, а также VLESS+Reality живее всех живых. Оба маскируются под https, но у последнего скорость традиционно выше.
Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.
Как раз наоборот: опыт Китая показывает, что обфускация - не панацея.
Есть как минимум два механизма блокировки обфусцированных протоколов в Китае:
1) Статистические данные о подключении: -- a) посещение подконтрольного системе сайта через прокси. Идёт коннект за границу а оттуда одновременно коннект на сайт внутри страны? Значит прокси, блокируем. -- б) статистика соединений с IP-адресом отличается от статистик всех известных сервисов и очень похожа на статистику использования прокси? Значит прокси, блокируем.
Китайцы рассказывают на форумах про оба варианта.
2) DPI с помощью нейросетей. Это дорого и непросто, но уже есть варианты (пруф, сайт на китайском, смотреть с переводчиком)
Обмануть человека с помощью обфускации намного проще, чем обмануть нейросетку, которая находит совсем неочевидные признаки маскировки.
--- Я встречал мнение, что цель цензуры - не "запретить" запрещённую информацию, а усложнить к ней доступ настолько, что возиться с обходом становится нецелесообразно.
Так что всегда будут гики, которые найдут лазейку и изобретут новые механизмы доступа. Вопрос в том, насколько мы сможем находить работающие на текущий момент методы обхода цензуры и популяризировать их для масс.
P.S. считаю VLESS+Reality достойной технологией, которая будет работать в РФ ближайшие несколько лет.
Да, действительно TUN-режим пропускает через себя весь трафик. Я ошибся в интерпретации результатов теста. Из-за бага в 3X-UI: хотя у меня включена опция "Ban BitTorrent Usage" -- она блокирует загрузку для прокси-режима (если qBittorrent руками настроен качать через локальный прокси) но позволяет качать торренты через TUN.
Видимо есть разница между "весь трафик" и "все исходящие". Пример: Windows 10, Nekobox в режиме TUN. qBittorrent без доп настроек качает файлы мимо прокси. Мне от этого хорошо (не загружаю сервер), но если я по какой-то причине решу качать файлы через прокси - придётся лезть в настройки qBittorrent.
Встречал на Хабре упоминания, что в Китае Shadowsocks уже блокируют (увы, без пруфов). Так что да, у нас за Shadowsocks ещё не взялись. Но блокировка Shadowsocks нетривиальная, для неё нужен бюджет и прямые руки, и когда это совпадёт - все переедут на Vless, а там и новые технологии подоспеют.
Технически да. Shadowsocks и Vless - прокси. Для телефонов/планшетов вообще без разницы, а вот на компе придётся попрыгать с бубном чтобы абсолютно весь трафик шёл сквозь них. С другой стороны, если задача - просто получить доступ к роскомназдоренным ресурсам - то всё работает "из коробки".
Я (с помощью инструкции) поднял на своём сервере связку Vless+Reality. Это ненамного сложнее, чем установить Амнезию, плюс опенсорсный сервер, множество клиентов, и обфускация не хуже Cloak.
IP не сливается через WebRTC при использовании режима TUN (проверял на Nekobox+Win10). Но если не активировать TUN и использовать стандартный режим "системного прокси" - то да, приходится затыкать его плагинами браузера.
Outline не смог подключиться к одному серверу(что может указывать на проблему с конкретным сервером) или к любым серверам не подключается?
Благодарю, поправил!
Сообщения о разблокировках: раз, два.
Также лично у меня сегодня Shadowsocks заработал.
Если mtproto у вас работает - это совсем не значит что так у всех.
Есть свидетельства, что под блокировку попал именно mtproto.
Да, Cloak и VLESS продолжают работать.
Да, на фоне блокировок Shadowsocks: Cloak, а также VLESS+Reality живее всех живых. Оба маскируются под https, но у последнего скорость традиционно выше.
Shadowsocks на Юге тоже попал под раздачу
Есть способ существенно уменьшить задержки для VLESS-Reality: маскироваться под сайт, пинг до которого от VPS минимальный.
Более продвинутый способ: использовать утилиту от авторов XTLS для выбора маскировочного сайта из той же подсети: RealiTLScanner.
Это вы описали протоколы VLESS и Cloak. Последняя, кстати, есть в Амнезии.
Как раз наоборот: опыт Китая показывает, что обфускация - не панацея.
Есть как минимум два механизма блокировки обфусцированных протоколов в Китае:
1) Статистические данные о подключении:
-- a) посещение подконтрольного системе сайта через прокси. Идёт коннект за границу а оттуда одновременно коннект на сайт внутри страны? Значит прокси, блокируем.
-- б) статистика соединений с IP-адресом отличается от статистик всех известных сервисов и очень похожа на статистику использования прокси? Значит прокси, блокируем.
Китайцы рассказывают на форумах про оба варианта.
2) DPI с помощью нейросетей. Это дорого и непросто, но уже есть варианты (пруф, сайт на китайском, смотреть с переводчиком)
Обмануть человека с помощью обфускации намного проще, чем обмануть нейросетку, которая находит совсем неочевидные признаки маскировки.
---
Я встречал мнение, что цель цензуры - не "запретить" запрещённую информацию, а усложнить к ней доступ настолько, что возиться с обходом становится нецелесообразно.
Так что всегда будут гики, которые найдут лазейку и изобретут новые механизмы доступа. Вопрос в том, насколько мы сможем находить работающие на текущий момент методы обхода цензуры и популяризировать их для масс.
P.S. считаю VLESS+Reality достойной технологией, которая будет работать в РФ ближайшие несколько лет.
Первый раз создавал сертификаты, про MitM не подумал, благодарю;)
Панель x-ui ругается, если её открывать через http. И правильно делает: при желании http трафик легко перехватывается.
Автор x-ui предлагает установить сертификат от let's encrypt.. но во-первых его перевыпускать каждые три месяца, во-вторых ... у меня не завелось.
Я установил самоподписанный сертификат с долгим сроком, установка заняла пару минут.
1) Создаю публичный и приватный сертификат
openssl req -x509 -nodes -days 999 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crtСкрипт задаст 6 вопросов, можно отвечать что угодно кроме пятого: тут надо указать ip-адрес
2) Копирую ключи внутрь работающего докера где крутится панель
docker cp selfsigned.key x-ui:selfsigned.keydocker cp selfsigned.crt x-ui:selfsigned.crt3) Прописываю ключи в веб-панели x-ui (Panel Settings)
- Panel Certificate Public Key File Path :
/selfsigned.crt- Panel Certificate Private Key File Path :
/selfsigned.key(Save, Restart panel)
Всё, теперь вебморда открывается через https://ip-adress:port/
Браузер будет возмущаться на "недействительный сертификат", но это не мешает работе.
А есть ли у него явные плюсы по сравнению с Shadowsocks?
Да, действительно TUN-режим пропускает через себя весь трафик. Я ошибся в интерпретации результатов теста.
Из-за бага в 3X-UI: хотя у меня включена опция "Ban BitTorrent Usage" -- она блокирует загрузку для прокси-режима (если qBittorrent руками настроен качать через локальный прокси) но позволяет качать торренты через TUN.
Видимо есть разница между "весь трафик" и "все исходящие".
Пример:
Windows 10, Nekobox в режиме TUN. qBittorrent без доп настроек качает файлы мимо прокси. Мне от этого хорошо (не загружаю сервер), но если я по какой-то причине решу качать файлы через прокси - придётся лезть в настройки qBittorrent.
vdsina испорилась, дешёвых тарифов не осталось, отбой
Встречал на Хабре упоминания, что в Китае Shadowsocks уже блокируют (увы, без пруфов). Так что да, у нас за Shadowsocks ещё не взялись.
Но блокировка Shadowsocks нетривиальная, для неё нужен бюджет и прямые руки, и когда это совпадёт - все переедут на Vless, а там и новые технологии подоспеют.
Технически да. Shadowsocks и Vless - прокси. Для телефонов/планшетов вообще без разницы, а вот на компе придётся попрыгать с бубном чтобы абсолютно весь трафик шёл сквозь них. С другой стороны, если задача - просто получить доступ к роскомназдоренным ресурсам - то всё работает "из коробки".
Судя по трём волнам блокировки в августе, это лишь вопрос времени, когда WireGuard перестанет работать в РФ.
Я (с помощью инструкции) поднял на своём сервере связку Vless+Reality. Это ненамного сложнее, чем установить Амнезию, плюс опенсорсный сервер, множество клиентов, и обфускация не хуже Cloak.