Comments 105
Вот кстати вопрос про Xray сервер. А есть ли к нему какая-нибудь панель для мониторинга, в идеале для Grafana. А то работать-то он работает, но отслеживать его стабильность можно только по общему сетевому трафику и строкам в логах.
Если что, интересует не куда ходят пользователи, а запущен ли сервер, сколько подключений, объем трафика и тп.
Это сарказм ? Или iphone/ipad вам так омерзительны?
Еще смущает «по мнению многих» . Раскроете тему?
считаю Apple надо было ничего не удалять и ещё послать РКН,
Google именно так и сделали, кстати
чтобы айфоны вообще заблокировали в РФ и люди не смогли ими пользоваться
Работники РКН будут ходить по улицам и конфисковывать у людей айфоны?
ага. это было бы громким вскукареком. чтобы всё связанное с эплом позакрывали уже до конца, нахрен. офигительная забота о людях в рф. так-то эпл до сих пор, не взирая на санкции, хотя бы принимет платежи за подписки через мтс.
Извините, но мне кажется, что нельзя вот так взять и забанить ~20% граждан их устройства. То есть, технически, наверное, можно попробовать, но плеваться начнёт в том числе некоторое количество высокопоставленных лиц, потому что они поразительным образом тоже пользуются техникой Эпл. Гугл ничего не удалял и не удаляет, проблемы у него есть только с Ютубом, а в остальном всё у него хорошо: диск работает, почта пока тоже пашет, карты, магазин приложений и почти всё-всё-всё работает. Пока они не сделают что-то лучше и дешевле, чем нынешние айфоны и смартфоны на дроиде, банить всё это бессмысленно.
Ну что, все уже скачали статью перед прочтением?
Ессно
Я человек простой. Вижу интересную статью - в первую очередь отправляю в readeck, а уж потом читать.
Или в SingleFile. Быстро и удобно, только комменты сначала дозагрузить нужно
Тут уже дело вкуса. Я ленивый, поэтому мне надо чтобы был не просто файл, а целый api. Чтобы, например, отдельный python скрипт просматривал содержимое readeck'а на предмет новых статей с тегом summarize и автоматически прогонял их через суммаризатор на базе Claude 3.5. Результат потом в телегу приходит.
Зачем отдельно качать?
ПКМ->ArchiveBox Exporter->Archive current page
Потом можно и поделится с желающими
зачем. сохраняем в закладках в тор-браузере. и можно в пдф распечатать.
А есть свободный хабр ?)
Возможно пару сек и мой коммент украдёт НЛО
Да по-моему уже ничего свободного нету, но пока есть выбор, цензуру какой марки вы предпочитаете.
А есть свободный хабр ?)
Есть.
зайдите через <выбор по вкусу и навыкам>. все откроется.
А статья-то изначальная - доступна.
Администрация, думаю, по моему ip сможет вычислить промашку.
Спасибо, интересно!
Я с позиции пользователя обычно использую плагин в Edge (или Chrome, или Yandex Browser) - GitHub - anticensority/runet-censorship-bypass: Web-extension for bypassing censorship in Russia
Его фишка в том, что автоматом обнволяет список анонимных прокси и ходит через них лишь на те сайты, которые блокирует РосКомПозор.
В целом вполне утраивает, но есть нюанс.
Мне часто приходится использовать UWP приложения (сенсорный экран, это удобно), и некоторые из них - в первую очередь LinkedIn из России в сеть не ходят.
Вариант, настроить System Proxy, тогда пойдут, - но хочется чтобы через прокси (впн или что угодно еще) шли лишь те приложения что нужно, - в идеале, как с вышеупомянутым аддоном у браузеру, чтобы не я рулил кому куда идти, а оно само, - раз настроил и забыл.
Не подскажете, есть ли такая возможность под винду для UWP? Они как я понимаю используют WebView2.
Как я понимаю, тут нужен свой прокси сервер?
Можно ли использовать динамический список, который генерит тот же runet-censorship-bypass? В Моем случае для LinkedIn он точно должен бы запросы пропускать, но я не разработчик и не пойму как скрестить его с proxyfire.
Не подскажите?
Подойдет любой SOCKS прокси (для UDP необходим SOCKS5), как локальный (динамический порт форвардинг SSH, Shadowsocks c SOCKS интерфейсом и т.п.) так и удаленный. С последним правда есть риск, что DPI сумеет его вскрыть, так как никакого шифрования не будет использоваться.
Динамический список в принципе можно прикрутить, никаких ограничений я тут не вижу. Но честно говоря времени этим заниматься особенно нет. Для своих нужд я обычно настраиваю один браузер ходить через VPN (или прокси), другой напрямую. Если какие-то приложения не хотят работать из РФ, вроде HP Omen Gaming Hub, то их тоже прибиваю к туннелю.
Tunnlto, единственное что для меня минус что все днс запросы идут через впн, а так под конкретное приложение можно настроить впн
сервис Антизапрет можно поставить на свой сервер. там опенВПН под капотом.. подключаетесь и пойдут только заблокированные сайты. для этого он будет использовать свой ДНС внутри впн подключения, чтобы понять куда Вам надо попасть...
интересно, почему все борцы, смелые в тишине или своем междусобойчике, так любят детские коверкания названий и фамилий. делу это не помогает, а отношению к нему как к глупости даже очень. или это просто об уровне интеллекта и воспитания?
Пользуюсь пол года VLESS REALITY (3X-UI) и всё спокойно. Правда бывают редкие траблы, по типу 5 минут не отвечает и потом всё работает (такая ерунда бывает раз в 2 недели). Скорее этот момент со стороны хоста, они бывают какие-то работы делают
Для более приятного серфинга интернета использую Эстонию, близко к РФ, минимум блокировок в мире и быстро работает
Я буду признателен, если подскажите, что есть ещё круче него, чтобы повысить стабильность
Ну пока и обычный shadowsocks норм работает, также обычные OpenVPN растут как грибы. У меня почему-то есть подозрение, что особенно гонятся за желающими посмотреть из-за забора они не будут. Им главное отрапортовать и иммитация.
У меня вот древнючий openVPN работает, причём даже на Йоте.
Ну пока и обычный shadowsocks норм работает, также обычные OpenVPN растут как грибы
Либо вам сильно повезло с провайдером (у него ещё нет ТСПУ, и у магистралов по пути тоже не попадается), либо с регионом - РКН свои блокировки накатывает и тестирует не везде и всегда, а периодически и выборочно по регионам. Но в этом случае расслабляться явно не стоит, суть в том, что инструмент у них есть, и как только возникнет нужда (как например недавно время массовых волнений в Дагестане и в Башкортостане) они его применят.
Ну так я и написал "ну пока"😊. Заблочат, полезем дальше.
Несколько провайдеров черноземья, мобильных и не очень - ни личный openvpn, ни outline (через papervpn, но они надстроек не делали) ни разу не показывали проблем с подключением после первой волны тестовых блокировок. То есть всегда помню, что могут вырубить в любой момент, но спрыгивать с них не спешу. Настройка в случае чего занимает от силы час, а пользоваться лучше тем, что уже есть и удобно работает
Ну и волнений у нас не ожидается, чего уж там))
Я в старой статье уже писал на эту тему:
Существует известное выражение: «пока гром не грянет, мужик
не перекрестится». К сожалению, оно полностью относится и к нашей
сегодняшней теме. Многие люди думают «А, ну пока все работает, а как работать перестанет, тогда я установлю‑перенастрою и решу проблему».
Это очень опасный подход. Допустим, у вас установлен сервер Wireguard
или OpenVPN, и пока всё функционирует нормально. Но уже точно известно,
что Роскомнадзор на подконтрольном ему оборудовании может детектировать
такие подключения. В результате они могут легко начать составлять списки
IP‑адресов таких серверов для полной блокировки доступа к ним когда
запахнет жареным, например, во время обострения политической жизни
в стране, и я более чем уверен, что они уже составляют такие списки.
Если вы на таком «отравленном» IP‑адресе потом поднимите какой‑нибудь
другой, более надежный и недетектируемый сервис, вы все равно не сможете
им пользоваться, ничего не будет работать — останется только арендовать
новый виртуальный сервер, и надеяться, что на IP‑адресе, который вам
достанется, никто не хулиганил до этого. Если вы не верите, что дело
до такого дойдет, то, увы — до такого уже доходило. Пару лет назад РКН
искал Tor‑мосты (bridges), запрашивая их с веб‑сайта Tor, прикидываясь
обычным пользователем, в результате чего IP‑адреса таких мостов
на какое‑то время блокировались полностью, не помогала ни смена порта, и даже не удавалось подключиться к серверу по SSH.
Скажем так. Я не дурак и у меня в любой момент есть достаточно вариантов поднять сервер у любого публичного провайдера мира, чтобы об этом не беспокоиться. Это не так и сложно. И даже без этого всегда миллион вариантов бесплатных публичных ВПН, чтобы скачать пару мануалов, которые все блокировать никто не будет
Меня давно интересовал этот вопрос. Даже видела способы защиты от сканирования с известного набора специфических адресов. Теоретически, серверу без отчетливого почерка, типа XTLS‑Reality, не грозит попасть в списки? Или лучше перестраховаться?
vless reakity работает отлично и ставибильно.
либо у Вас проблема н ахостинге, либо сменить домен под который маскируетесь
1.1.1.1 - vpn от Cloudflare. Тяжело заблокировать. Бесплатный. Не благодарите.
Тяжело заблокировать.
Да как бы нет, элементарно. Там обычный Wireguard, который блокируется на раз простейшим DPI. Роскомнадзор научился его блокировать ещё очень давно.
Если добавить в суп SOCKS5 прокси и посолить (WireSock/WireSockUI), то Cloudflare тоже можно пользоваться. Правда не проверял, достаточно ли сейчас через прокси только Wireguard handshake пробросить или уже весь туннель надо гнать.
SOCKS5 тоже не шифрованный, и при желании анализируется/блокируется на раз. А если его завернуть в TLS или SSH, это это уже какое-то нагромождение костылей получается, проще сразу тогда взять OpenConnect или VLESS.
при желании
Идут годы, но желание так и не возникло...
Делать сложный DPI дорого по ресурсам, одно дело применить фильтр к одному UDP пакету, другое отловить UDP ASSOCIATE в отдельной TCP сессии и ассоциировать с этим UDP пакетом.
Ну это работает принцип неуловимого Джо. На него полагаться нельзя.
И да, не надо ловить UDP ASSOCIATE в сессии. Модно просто забанить вообще все что по заголовкам похоже на SOCKS (а заголовок там очень простой). Ровно так же как они делают с Wireguard, IPSec и другими.
Модно просто забанить вообще все что по заголовкам похоже на SOCKS
Можно и на белые списки IP адресов перейти, все что явно не разрешено - запрещено.
«— Работает? — Работает! — Ничего не трогай!»
Можно и на белые списки IP адресов перейти, все что явно не разрешено - запрещено.
Ну так-то уже. Например точно известно, что у РКН есть белые списки доменов и AS, в сторону которых вообще не применяется фильтрация и которым разрешено то, что не разрешено другим. Написано, QUIC режется уже очень давно, но до AS ВКонтакте он разрешен.
Да и без белых списков, одними черными, можно много чего сделать
В Туркменистане вон 60% адресного пространства всего Интернета заблокировано, в том числе большая часть популярных хостеров и CDN.
официально заблокирован 1.5 года назад, неофициально - 2.5
Кстати, я бы периодически перепроверял. Например, я замечал, что ProtonVPN, который у нас давно заблокирован - вдруг оказался работающим! То ли блокировки слетели, то ли новые сервера - но какое-то время он у меня работал (в январе 2024). Потом перестал. Может быть потом снова начинал работать - но я не проверял.
ProtonVPN
Вероятно сильно зависит от сочетания провайдера и протокола, так как я оплачиваю сервис с 2018 года и серьёзных проблем практически никогда не наблюдал при использовании через IPsec(IKE2), настроенном на маршрутизаторе(RouterOS) через домашний МТС GPON. Около 4 туннелей в разные локации постоянно работают, но работу из других сетей я не проверял, так как с других устройств я просто строю WireGuard-туннель до своего маршрутизатора, а дальше разруливается правилами куда направлять.
Некоторые друзья жаловались на проблемы с подключением к ProtonVPN через мобильные сети(при использовании любых доступных протоколов, в том числе и Stealth).
После этого я просто раскидал им гостевые WireGuard конфиги до моего маршрутизатора - на том проблемы и решились.
Также без проблем функционирует(IPsec) из рабочей сети(собственная AS-ка) с транзитом через ЭР-Телеком.
ProtonVPN тогда запустил новые бесплатные регионы и в блоклист на ТСПУ они попали лишь спустя месяц или два, а сейчас работает только Stealth с долгим подключением до пары минут.
а сейчас работает только Stealth с долгим подключением до пары минут.
О каких сетях/провайдерах/регионах идёт речь?
Если на мобильных, то это вполне возможно, так как на них обычно намного сильнее ограничения по видам "допустимого" трафика.
В Android клиенте к тому же, уже давно нет IPsec, хотя я не знаю насколько агрессивно его сейчас блокируют в целом.
В то же время на стационарных сетях, как я уже упоминал выше, как минимум на части провайдеров/регионов, IPsec работает годами без смены площадок и/или IP-адресов на стороней ProtonVPN.
Возможно мне "повезло", но проводные МГТС, Билайн и Пласинфо не уступают Мегафону по жесткости блокировок.
В бесплатной версии нет IPSec и чтобы просто залогиниться в клиент на Windows пришлось запускать Outline. К VPN подключиться нереально, так как Stealth есть только в мобильных версиях.
IKEv2 до своего сервера в дружественной стране мне тоже уже замедляли.
В бесплатной версии нет IPSec
Если речь исключительно про бесплатный план ProtonVPN, то тут ещё больше "но".
Хотя бы из-за банального ограничения регионов подключения и количества серверов под пользователей бесплатного плана.
В таком ключе обобщать "user experience" по всему сервису не вижу смысла.
Они конечно большие молодцы, что предоставляют и бесплатный доступ, но судить о качестве/надёжности всего сервиса лишь по бесплатному плану не стоит.
Всё так, но для себя не вижу смысла платить за сервис, который не противостоит блокировкам и в любой момент может быть заблокирован по протоколу.
но для себя не вижу смысла платить за сервис, который не противостоит блокировкам
Усилия по противостоянию блокировкам - это весьма зыбкий критерий.
Как определить, это сервис "хорошо старается" или Г-сударство "плохо старается"?
Если подходить с максимально потребительской точки зрения: "должно работать само по себе и шоп я не думал", то объективной оценки точно не выйдет.
В текущих условиях в РФ, простым пользователям более перспективно ориентироваться не на готовые сервисы, а разворачивать собственные VPN-серверы на основе одного из заточенных на задачу маскировки протоколов.
Он не работает. Заблокирован
Есть-ли гайд по настройке, покупке забугорного спутникового двухстороннего интернета? Где такое можно найти? В даркнете?
Если носки2022 и влесс скомпрометированы и их научились блочить, куда с них можно уходить?
VLESS+XTLS не скомпрометирован и его пока что блочить нигде особо не умеют (при правильной настройке)
День добрый. А не подскажите несколько пунктов по которым можно определить "правильность" настройки? Я не настоящий айтишник, так продвинутый юзер из технической среды. Настраивал по статьям MiraclePtr, вроде особо влево/вправо не бегал. Запреты на ру сайты и маршруты на клиентах настраивал. Вроде все работает, но есть одно но. По непонятным мне причинам, сайт канвы определяет что я из РФ. И это внушает долю сомнений. Хотя вроде все сделано верно. Ру сервисы проверки ИП показывают что мой настоящий адрес (делаю вывод что прямой маршрут до ру сегментов работает), зарубежные сайты показывают адрес сервера в нидерландах (значит до остального интернета иду через впс). Все известные мне блокировки типа инсты, рутрекера, статьи на хабре (для него отдельное правило пришлось писать) , некоторые зарубежные сайты с документацией на оборудование и пр. все работает. а канва нет) Делаю вывод что раз она как то детектит, то и остальные наверное могут. Как проверить можно?
Делаю вывод что раз она как то детектит, то и остальные наверное могут. Как проверить можно?
Ну во-первых одни и те же айпишники могут географически определяться по разному. Я пользовался g-core, польским VPS и там часть говорила что это Польша, часть про Нидерланды, а часть говорила что РФ. Во-вторых совсем не обязательно что другие сайты будут полагаться только на айпи при определении локации, ну и в-третьих есть способы утечки "внутреннего" IP, из известных например через webrtc. https://browserleaks.com/webrtc
одни и те же айпишники могут географически определяться по разному
Возможно, но в большинстве случаев с этим сервером такого не наблюдается. провайдер не юр лицо из РФ и пр. чистые нидерланды, оплата зарубежной картой и т.д.
совсем не обязательно что другие сайты будут полагаться только на айпи при определении локации
Значит ли это что сайт (канва в данном случае) определяет по тем или иным данным что сижу с впн (по времени на телефоне или еще как то) а РКН не сможет, и не дропнет сессию.
способы утечки "внутреннего" IP, из известных например через webrtc.
тут для меня сложновато. сделал скрин, вроде не показывает что РФ где то светится. не глянете?
Hidden text
Ну и в целом, вопрос актуальный для тех кто не совсем глубоко в теме так сказать. Есть ли способ надежно проверить прикрыты ли тыли? Когда тем летом отпал обычный опенвпн было больновато, а впереди судя по всему все только веселее
Подозрительно что у вас показывается два Public IP address, возможно потому что вы часть траффика заворачиваете в VPN а часть нет. Попробуйте просто весь трафик завернуть. Если сработает то уже копайте какие ресурсы добавить в роуты. У меня Canvas нормально открывается с Амнезией.
а РКН не сможет, и не дропнет сессию.
Не понятен вопрос. Вы же заходите не на сайт РКН а на сайт канвас. Для РКН вы просто периодически гоните некий шифрованный трафик на непонятный IP. Это все с чем они могут работать, в ваш браузер они залезть не могут.
Попробуйте просто весь трафик завернуть.
Попробовал, не помогло. Если это важно, один IP это адрес VPS, второй американский 26.26.26.1 (поиск по гуглу выдал ссылку на хабр коммент в статье MiraclePtr со снесенным ответом и на 4пда на снесенный топик)
Для РКН вы просто периодически гоните некий шифрованный трафик на непонятный IP
Понял, то есть в контексте блокировок со стороны РКН не должно быть опасным
Так же настраивал для себя. Ну почти, 3X-UI взял себе в помощники.
Проверял на одном известном сайте - он определяет местоположение по языку по умолчанию отображения страниц в браузере. Первым стоит русский - редиректит на российское зеркало, отображает сайт на русском, локацию пишет - Россия (логично, ведь сайты зоны .ру не оборачиваются в прокси). Меняю в настройках предпочтительный язык на английский - отображается оригинал сайта без редиректа, а я в Нидерландах.
(см. инструкцию от MiraclePtr, она недоступна из России, но можно открыть ее через прокси/vpn).
доступно без прокси/vpn
Я нахожусь в Лен.Области, если купить спутниковый коплект (двухсторонний интернет) в Германии, Финляндии, Латвии привезти сюда, в РФ, настроить на их спутник и работать как будто ты находишся на територрии Германии, Финляндии, Латвии и т.д. Кто-нибуть так делал?, есть-ли такой опыт у кого-нибуть?
Насколько я помню, это карается по закону, так как равносильно созданию своей частной сети, что тоже запрещено делать. Но упирается в соседей, которые могут на вас настучать за обход ограничений. Очень бы хотел узнать позицию знающего человека, так как сомневаюсь
Какой "частной сети"? Пока траффик вы не начнёте соседям продавать, пришить можно только незаконное использование радио-частот. (Ну если прям захотят конечно, то и терроризм пришьют. У нас по прежнему "закон - что дышло". Тут вон слышал историю: чел купил на озоне радио-няню с камерой, потом решил продать... Доблестные борцы со шпийонами на него дело завели за реализацию шпийонской техники). Это штраф и конфискация радиоаппаратуры.
А на что соседи будут стучать? На тарелку? Так говорите им " Такое спутниковое ТВ" Меньше болтаешь - крепче спишь 😁
Меня интересует технический аспект, что, на каких сайтах, посредники, покупка, оплата, доставка, у кого есть опыт работы этого оборудования(дешифратора сигнала) на территории РФ.
С законами и соседями я решу вопрос сам.
https://habr.com/ru/articles/828598/#comment_27041144
Есть сайты, показывающие территорию покрытия, например, https://satellitemap.space/
Круто работает бот от амнезии
тут у людей что-то не работает
А вы точно запустили правильный бот https://t.me/free_vpn_amnezia_bot
А то появилось много фейковых клонов
А посоветуйте, плиз, прокси устойчивый к конторским DPI и работающий через HTTP-проксю. Поставили безопасники касперского (всё что про него знаю) в виде и всё:
отвалился openvpn с невнятными connection reset (судя по всему валится сам openvpn когда DPI переписывает всё своим конторским сертификатом)
не работает openconnect
не заработал jwstunnel (какая-то поделка с гитхаба, которая всё в вебсокеты заворачивает)
stunnel так и не понял умеет ли через http-прокси работать.
прямо беда.
XRay с Websocket- либо SplitTunnel-транспортом. Если ни то ни проберется, то Meek (но его не так-то просто отдельно от Tor'а запустить, хотя возможно).
Перерыл 100500 конфигов, так и не нашёл как настроить КЛИЕНТА (сам же xray, т.к. у меня линукс-серверы) через корпоративную проксю. Либо у них документация плохая, либо оно не умеет.
Ну и в целом сомнения. Корпоративный прокси будет делать ssl-inspection, и либо xray сам отвалится (как openvpn, мол что-то-пошло-не-так), либо админы всё равно будут видеть всё что внутри ssl бегает (лучше так конечно, чем никак).
так и не нашёл как настроить КЛИЕНТА (сам же xray, т.к. у меня линукс-серверы) через корпоративную проксю
Делаете два outbound'а - один с нужным протоколом до вашего VPS, другой как обычный http proxy для корпоративной прокси. В первом outbound'е добавляете sockopt - dialerProxy, и там указываете тег второго outbound'a.
Корпоративный прокси будет делать ssl-inspection, и либо xray сам отвалится (как openvpn, мол что-то-пошло-не-так), либо админы всё равно будут видеть всё что внутри ssl бегает
Ну это нормально. В xray можно поставить allowInsecure: false, чтобы он не ругался на неправильный SSL-сертификат, а админы увидят только огромную кучу непонятных GET/POST запросов. Можно вместо VLESS как основной протокол для SplitTunnel взять VMess, тогда передаваемые данные ещё дополнительно одним слоем зашифрованы будут.
А почему нет ни слова про Psiphon?
А почему про него в статье обязательно должно быть слово? Он существует, но я не вижу чтобы они что-то прям новое запилили, чтобы об этом писать в статье про "новинки".
В целом, идея у них хорошая, но слабым местом в плане блокировок у них является изначальный список серверов, поставляемый в клиенте.
Нужно больше таких полезных статей. Очень актуально сейчас!
Иногда я чувствую себя неимоверно глупым, когда слышу столько вроде бы знакомых, но непонятных слов, в которых люди вроде автора с такой лёгкостью плавают. Зато это даёт знак, что ещё есть, куда расти.
Ставим туда XRay‑сервер (нередко даже сразу панелью X‑UI или Marzban)
А что не так с Marzban и чем он хуже AmneziaVPN?
Бро ты ещë где-нибудь статьи выкладываешь? В тг например.
А если тот же WireGuard направить через 443 порт, пробовал кто-нибудь? Лично у меня, единственное где не работает WG на стандартном порте это через мобильную сеть.
Где-то полгода назад пытался таким образом обойти блокировку стандартного WG на мобильной сети(Билайн и МТС, вроде бы проверялись) до RouterOS на VPS в Казахстане.
Насколько помню, собирая трафик, поведение немного различалось(по отношению к порту из динамического диапазона) по тому какое количество пакетов успевало пройти в процессе(после) хендшейка, но итог был неутешительным.
Дампы вряд ли уже найду, да и ситуация могла уже 10 раз поменяться за это время.
Но это очень "топорный" способ, и сомнительно, что ТСПУ будет слепо вайтлистить UDP 443 из-за того что там ходит QUIC. Учитывая, что QUIC тоже может легко уйти в бан по велению пятки строителей сувенирного Интернета ; )
чут чут хлопок обратного роста👌
Что нового в мире обхода блокировок Интернета в середине 2024