Эм, вопрос «для чего будет использоваться этот VPN» немного выходит за рамки статьи. Скажу лишь что прокси дело не ограничивается. =)
В простых случаях можно, конечно, обойтись и ssh port forwarding. Я так и делал поначалу. Вот только:
1. он не позволяет задать шлюз по умолчанию (завернув вообще весь трафик через туннель, а не только проксируемый).
2. в этом случае несколько сложнее подменить DNS сервер, а то некоторые провайдеры имеют милую привычку весь трафик по UDP:53 принудительно заворачивать на свои DNS сервера.
3. ну и посыл статьи в том, что obfsproxy можно использовать отдельно от сети Tor для маскировки любого трафика (особенно в режиме client). Хотите — заворачивайте ваш SSH в него, сработает не хуже.
Ну всесильность всесильностью, но упомянутый мной выше sslh справляется с задачей отличения по хэндшейку openvpn от https/ssh на ура — значит, и любой стоящий DPI-пакет сможет. Другое дело что не все VPN соединения одинаково вредны, так что едва ли протокол запретят целиком, но вот какие-нибудь лицензии ввести, да и просто попортить кровь урезанием скорости могут.
VPS (virtual private server) — стоит очень по разному, в зависимости от задач. Для этой обычно хватает и минимального плана.
Я в таких случаях ориентируюсь на этот каталог. Правда, нужно быть осторожным: самый дешевый VPS-хостинг я находил у GreenValueHost ($9 в год), но это был клинический случай «за что заплатили, то и получили» — у меня за пол года так и не получилось проработать дольше двух недель без обращения в техподдержку.
Общие советы простые: ищите предложения с внешним IPv4, большим объемом месячного трафика и поближе к вам (чтобы пинг не сильно поднимался), но, само собой, за рубежом. Требования по памяти и CPU у VPN-решений обычно сравнительно невелики.
Совместить с хостингом возможно в том плане что на рынке есть VPS, заточенные именно под хостинг. Туда вполне возможно вкрячить нужный софт, хотя я бы не стал так делать с любым сколь-нибудь важным проектом. Небольшая машинка «для экспериментов» для таких целей и то предпочтительнее (если, конечно, VPN организуется для себя).
По умолчанию да, но это уже смотря как настроить. Особенно если на том же хосте размещен сайт с HTTPS.
Конечно, можно поставить мультиплексор вроде sslh, но зачем?
Может, думали выиграть за счет масштаба? uTorrent уже давно с самообновлением, так что количество майнеров ~ количеству пользователей. В сумме могла бы выйти хорошая копеечка.
Небольшое наблюдение за комментариями: возможно, автор пытался по-возможности избежать любого упоминания о политике. Но попытка игнорирования этой, наиболее известной, стороны жизни покойного (даже не «не только политик, но и ученый», а просто «ученый»), так же как и попытка аккуратно обойти тот факт что он был убит (а не «ушел из жизни» — так всё же говорят об умерших своей смертью) самым нехорошим образом начала перекликаться с заявлениями некоторых про-властных лиц о его предполагаемой «политической незначимости». Что и возымело прямо обратный эффект.
Довольно символично, на мой взгляд: когда пытаешься избегать политики, она сама приходит к тебе.
[sarcasm]Конечно, это произошло не по естественным причинам, ведь США не были пионерами в этой области. И разумеется, нет совершенно никаких альтернативных маршрутов.[/sarcasm]
Посоветую немножко поучить матчасть. Почитайте как работает роутинг вообще, и почему ArpaNet в своё время был разработан децентрализованным. Да, через США идёт немалое количество коммуникаций, что может дать определенные рычаги воздействия, но
а) ни один из них не является принципиально непреодолимым — всегда можно договориться и пустить трафик в обход, даже если это не кратчайший путь.
б) эффект от их использования «внаглую» едва ли будет сравним с сопутствующими репутационными потерями.
Единственная жизненно важная(ну, для людей как минимум) централизованная система — это как раз DNS. Но если очень приспичит, корневые серверы разбросаны по миру и теоретически всегда можно сказать «а идите вы нафиг со своей Америкой». У такого решения будет своя цена в виде фрагментации Сети, но оно есть.
С учетом вышесказанного, я не вполне понимаю смысл санкций в адрес собственно жителей Крыма. Выглядит как victim blaming, честно говоря.
Учитывая «любовь» многих верстальщиков/сайтовладельцев к AdBlock, я не удивлюсь если верстка некоторых сайтов будет адаптирована чтобы скрывать контент в этом режиме.
Ну мы же говорим про обнаружение факта посещения. Один раз посетил — система зафиксировала, а что будет дальше уже неважно. Да и кэш не вечен, а учитывая тенденции блокировок по IP с последующим переездом сайтов — тем более на него полагаться нельзя. Так что VPN — наше всё. Пока ещё.
Альтернативных путей немного. Конечно, у кого-то могут найтись контакты за рубежом в среде радиолюбителей, готовые передавать данные. Но с этим-то как раз методы борьбы отработаны…
Вот и получается, что вся надежда на пресловутые спутники Элона Маска и интернет-шары гугла.
DNS-запросы никто не отменял, а сопоставить DNS-запрос с открытием шифрованного канала на порт 443 современный DPI (умеющий хоть какой-то поведенческий анализ) вполне может. Причем использование альтернативного DNS-сервера не спасет от анализа, а некоторые провайдеры вообще заворачивают весь трафик на UDP:53 на свои сервера.
Кроме того, имя хоста можно передавать еще при установлении TLS соединения, до поднятия шифрованного канала — иначе в случае shared hosting сервер не поймет сертификат какого сайта использовать. Не удивлюсь, если браузеры это делают всегда, просто на всякий случай.
Вы исходите из предположения, что
а) государство волнуют проблемы пользователей;
б) эти самые пользователи что-то будут предпринимать какие-то шаги, если не найдут желаемый контент.
Просто расплодятся группы вконтакте, «Полезные советы» etc.
Т.е. расчет на то, что барыги не будут покупать телефоны, которые в любой момент могут превратиться в тыкву? Ведь если я правильно понял, жертве нужно еще добраться до компа с выходом в сеть.
Если найдут способ снести kill switch на еще не убитом телефоне — вопрос будет только в том, кто окажется быстрее.
Что-то не пойму, какое отношение к атаке на GRX имеет пункт про DNS-туннелирование. Исходя из описания, этот прием вообще не требует какого-либо взлома — либо DNS сервер оператора отвечает независимо от статуса абонента, либо нет.
Или это приведено как вступление к подмене DNS внутри сети оператора? Так там тоже взаимосвязь не очень-то…
Отвечая на собственный вопрос: есть опция torrc «ExitNodes», задающая предпочитаемые exit ноды (ключом, маской/адресом или кодом страны), и еще одна для entry нод. Разумеется, их использование не рекомендуется и понижает анонимность.
Соглашусь с xforce — существование мультплексоров типа sslh показывает, что OpenVPN очень даже можно детектировать «на лету».
Возможен вариант VPN via Tor hidden service (по-простому, поднимаем хост в сети .onion и натравливаем на него VPN клиент с Tor в качестве прокси), но, боюсь, скорость будет так себе.
Вообще, есть ли способ tor клиенту намертво прописать себе желаемые exit-ноды? Я так подозреваю что нет, а жаль.
В простых случаях можно, конечно, обойтись и ssh port forwarding. Я так и делал поначалу. Вот только:
1. он не позволяет задать шлюз по умолчанию (завернув вообще весь трафик через туннель, а не только проксируемый).
2. в этом случае несколько сложнее подменить DNS сервер, а то некоторые провайдеры имеют милую привычку весь трафик по UDP:53 принудительно заворачивать на свои DNS сервера.
3. ну и посыл статьи в том, что obfsproxy можно использовать отдельно от сети Tor для маскировки любого трафика (особенно в режиме client). Хотите — заворачивайте ваш SSH в него, сработает не хуже.
Я в таких случаях ориентируюсь на этот каталог. Правда, нужно быть осторожным: самый дешевый VPS-хостинг я находил у GreenValueHost ($9 в год), но это был клинический случай «за что заплатили, то и получили» — у меня за пол года так и не получилось проработать дольше двух недель без обращения в техподдержку.
Общие советы простые: ищите предложения с внешним IPv4, большим объемом месячного трафика и поближе к вам (чтобы пинг не сильно поднимался), но, само собой, за рубежом. Требования по памяти и CPU у VPN-решений обычно сравнительно невелики.
Совместить с хостингом возможно в том плане что на рынке есть VPS, заточенные именно под хостинг. Туда вполне возможно вкрячить нужный софт, хотя я бы не стал так делать с любым сколь-нибудь важным проектом. Небольшая машинка «для экспериментов» для таких целей и то предпочтительнее (если, конечно, VPN организуется для себя).
Конечно, можно поставить мультиплексор вроде sslh, но зачем?
Довольно символично, на мой взгляд: когда пытаешься избегать политики, она сама приходит к тебе.
а) ни один из них не является принципиально непреодолимым — всегда можно договориться и пустить трафик в обход, даже если это не кратчайший путь.
б) эффект от их использования «внаглую» едва ли будет сравним с сопутствующими репутационными потерями.
Единственная жизненно важная(ну, для людей как минимум) централизованная система — это как раз DNS. Но если очень приспичит, корневые серверы разбросаны по миру и теоретически всегда можно сказать «а идите вы нафиг со своей Америкой». У такого решения будет своя цена в виде фрагментации Сети, но оно есть.
С учетом вышесказанного, я не вполне понимаю смысл санкций в адрес собственно жителей Крыма. Выглядит как victim blaming, честно говоря.
Альтернативных путей немного. Конечно, у кого-то могут найтись контакты за рубежом в среде радиолюбителей, готовые передавать данные. Но с этим-то как раз методы борьбы отработаны…
Вот и получается, что вся надежда на пресловутые спутники Элона Маска и интернет-шары гугла.
Кроме того, имя хоста можно передавать еще при установлении TLS соединения, до поднятия шифрованного канала — иначе в случае shared hosting сервер не поймет сертификат какого сайта использовать. Не удивлюсь, если браузеры это делают всегда, просто на всякий случай.
а) государство волнуют проблемы пользователей;
б) эти самые пользователи что-то будут предпринимать какие-то шаги, если не найдут желаемый контент.
Просто расплодятся группы вконтакте, «Полезные советы» etc.
Если найдут способ снести kill switch на еще не убитом телефоне — вопрос будет только в том, кто окажется быстрее.
Или это приведено как вступление к подмене DNS внутри сети оператора? Так там тоже взаимосвязь не очень-то…
Возможен вариант VPN via Tor hidden service (по-простому, поднимаем хост в сети .onion и натравливаем на него VPN клиент с Tor в качестве прокси), но, боюсь, скорость будет так себе.
Вообще, есть ли способ tor клиенту намертво прописать себе желаемые exit-ноды? Я так подозреваю что нет, а жаль.