Как я защитил свой VPN от DPI: graylist + nginx stream + немного паранойи

[nikerossxp]

аккуратные коннекты с правильным google.com

если зонд знает ваш точный SNI

правильный sni - только собственный домен. Вся "популярщина" это уже моветон пару месяцев так точно.

зонд точно знает ваш точный sni

уже есть относительно полный список IP зондов

считаю неуважением к сообществу писать какие-то статьи, прямо игнорирующие все обоснованные ранее советы

[gotch]

Тем более, что зарегистрировать свой домен на год стоит 125 рублей.

[ArjLover]

Где по 125?

[gotch]

Не буду здесь рекламировать, но небольшие хостинг- провайдеры берут ровно столько за домен и год хостинга dns.

[ArjLover]

Эх, максимально простой вопрос был. Жалко?

А за продление?

[gotch]

Я в личное вам ответил. Продление не важно, это же временный домен под задачу.

[DennisP]

Да где угодно. Часто на некоторые домены дают хорошую скидку на первый год, типа для привлечения клиентов. Например сейчас на namecheap домен .online стоит 0.99$ за первый год

[nidalee]

А Namecheap не требует KYC? Потому что с русскими у них разговор короткий.

[DennisP]

Я не знаю. Но их много, не только namecheap даёт такие условия

[nidalee]

В таком случае конкретно Namecheap лучше избегать, там активисты.

[jshapen]

Месяц назад регил там домен. Указал что я из Камбоджи. Другого KYC не потребовал.

[Universal32]

Куча доменов в namecheap. Захожу с Нидерландов. Все гладко уже несколько лет.

[nidalee]

Хорошо, но это до следующей волны активизма.

[Aelliari]

домены из 1.111b на .xyz стоят $0,99 как на покупку, так и на продление. Но это будут только цифры

[gscdlr]

А можно название материала/ссылку? Стараюсь знакомиться со всеми материалами по теме. У меня стороннее готовое решение, но может придется разворачивать свое.

[Alexinthecold]

>правильный sni - только собственный домен

Может я не совсем понял о чем речь идет=) но если вы считаете, что лучше селфстил делать конфиг со своим доменом или просто VLESS-TCP-TLS , то я считаю нельзя говорить так категорично, потому для всего есть свое применение.

Есть ситуации когда ваш "собственный домен" со селфстилом вам только навредит и не будет работать, а вот риалити в классическом понимании пробиться поможет. У меня такой опыт имеется...

[Olvizd]

А точно есть активпроббинг от дпи? У 99% пользователей в target Гугл/Майкрософт. И что-то не слышно про массовые блокировки.

[BURAKKu]

Fallback в x-ray настраивается сильно проще, благо ядро умеет это из коробки (как раз против active probing).

Если хотите маскироваться под сайт купите себе домен (закиньте туда лендинг с виджетом на чат, можете даже метрики Гугла или Яндекса подкинуть) и поднимите сайт в caddy (чтобы не веселиться с сертификатами каждый раз). В настройке сильно проще, чем зоопарк, который вам посоветовала нейронка

Ну или раз нужна именно такая логика, то взять OpenResty и весь зоопарк переделать на пару скриптов в нем.

[Lordbander]

Не то чтобы рекомендация, но спросил ИИ, подо что бы замаскироваться. Выдал норм список не типичный. Замаскировался под супермаркет, где заказывают мильены раз. Может не так злобно трафик шерстить будут, как microsoft.

[Feemor]

Купить себе домен стоит 200р в год. Если что, можно домен новый купить и настроить сертификаты за 20 минут. Визитку сайт на генерировать в течении 10 минут в нейросети

[Goradiz]

За продление попросили 12 000 руб. и столько же стоит сертификат на год.

[iamezhik]

Ну если у вас не "коммерческая" история с сотнями клиентов, то сменить домен не проблема, новый будет стоить примерно сто-двести рублей. А сертификата достаточно самоподписанного.

[seivgard]

Обсолютно бесплатно можно сделать честный сертификат от letsencript с автопродлением...

[Retifff]

Можно домен третьего уровня использовать совершенно бесплатно.

[jorgvonfrundsberg]

А где можно его получить бесплатно?

[Retifff]

Есть сайты, которые на своем имени выдают домены третьего уровня, погуглите "домен третьего уровня бесплатно".

[edo1h]

любой ddns-провайдер, их полно бесплатных

[neox-inside]

Например digitalplat.

[xFFFF]

Dynu, sslip

[DarkTM]

генерить визитку, это себя подставлять.

Все куда проще, находим даже через нейронку, что-то типа opensource готовых корпаративных мессенджеров, админок и т.д. Сдераем с них морду и все нужные страницы, желательно на том же на чем они написаны. Т.е. если там React, у себя делаем так же.

И на свой домен вешаем их. Условно, mast.example.com, который увидит на этом ip, любой кто попадет в fallback, и не каких вопросов у них не будет. Так как A, ресурс является некой админокй или корп.мессенджером, или еще чем-то, что вот совсем не подозрительно, как и активный трафик к нему. Совсем иное, сайт визитка. Так как то что вы ходите на сайт визитку, по пять тысяч раз в день, уже само по себе подозрительно.

[nadge]

Звучит логично, но они что, вручную каждый сайт смотрят? Или условному сбер чату (как его там не помню) скармливают, типа классифицируй нам?

[ainu]

Если не делают этого сегодня — не означает, что не начнут делать завтра

[maksd_gt]

тспу это комплекс программно-технических средств в который входит в т.ч нейросеть и обученная модель. Модель обучается ровно на тех данных которые есть от пользователя и умники которые делают Селф стил мало того что подготавливают почву для блокировки посети своего хостера, так ещё и дают модели обучиться тому как какой протокол себя ведёт и в целом как ведут себя ВПН для выявления общего паттерна работы ВПН для всех протоколов и семейств протокола. для дальнейшей блокировки их тоже.

[Anton_lah]

Может я не совсем понял, что такое сайт-визитка. Но сайтом может быть просто страничка с логином. А что там внутри - кто ж его знает. Может редактирование видео изображений?..

[maksd_gt]

Забудьте про сайты-визитки для обхода блокировок. Это тупик. Работает пока нейронка не выявит паттерн и не будет готова для блокировки у всех такого же паттерна. Дальше блокировка целых подсетей хостеров при обращении к которым выявили такой паттерн.

[maksd_gt]

У меня есть теория, что 70-85% инструкций по поднятию своего ВПН сегодня, написано фабрикой троллей ФСБ и профильные сообщества ведут они же. Иначе не объяснить такого глубокого, как рак в последней стадии, распространения этих селф-стилов по профильным сообществам. Так же как и бесчисленное количество дезинформации об обходе ВПН детектирования российскими приложениями на телефонах(здесь про всякие рабочие профили которые якобы должны скрыть факт использования ВПН в основном профиле, что технически безграмотное заблуждение или прямая дезинформация). Я считаю что фабрика троллей делает все чтобы информация в ру сегменте интернета об обходе блокировок была максимально некорректной и чтобы можно было высекать сразу тех кто по этим инструкциям настраивает. Я не видел ни одной полноценной инструкции в интернете и всегда приходится спорить с какими то троллями которые на прямые факты, продолжают утверждать что это все рабочие вещи(рабочие профили и Селф стилы) а я просто ничего не понимаю в этом. В одном чате меня даже заблокировали, когда я стал объяснять почему это технически ошибки. Как это объяснить как не кампанией по дезинформации населения.

[Rubilnik]

Мне вот кажется будет странным, что я гоняю гигабайты через сайт визитку целыми днями)

[maksd_gt]

Наконец то хоть кто-то это понимает.

Я уже заколебался фейспалмы пробивать в профильных чатах в ТГ, когда вижу очередную классную рекомендацию делать селф-стил без технической аргументации "как потом защититься от блокировки по статистической аномалии". Я считаю что большая часть инструкци в интернете по впн, это фсбшные тролли пишут. Нет другого объяснение такому обилию заблуждений и явных логических ошибок. "Как защититься от детектирвоания? Создать своим селф стилом огромную статистическую аномалию, которая торчит и видна при любом масштабе и даже не нужно детально анализировать трафик"

[heejew]

А зачем эти нагромождения, если ядро x-ray и так работает так, если запрос пришел без нужных shortid,publilkey то происходит ровно то же. В чем суть?

[kvd264]

Ну чтоб наверняка. Мало ли произойдет что-то другое. Пусть самые странные боты держатся от xray от греха подальше, он наверняка только на обычных расчитан. /s


Очередной нейрослоп на хайповую тему во имя умножения энтропии. Юра MiraclePtr, мы все про ebay ли.

[segflt]

Спасибо за ваш комментарий! Ответ на вопрос зачем это нужно если ядро xray все умеет изложен в самом конце моего опуса)

[edo1h]

какой-то он неубедительный. и вообще выглядит как типичный нейрослоп на запрос «обоснуй значем нужно ненужное»

[Okeu]

Ответ на вопрос зачем это нужно если ядро xray все умеет изложен в самом конце моего опуса

это:

Смысл есть — это разные слои защиты. Xray fallback отвечает на вопрос «что показать если уже достучались», детектор отвечает на вопрос «кого вообще не пускать дальше nginx». Вместе это defence‑in‑depth: зонд не только видит легитимный контент, но и активно блокируется на сетевом уровне после обнаружения паттерна.

не ответ на вопрос, а просто бессмысленная каша:
1) я не вижу там ответа на вопрос: "Зачем?"
2) "Xray fallback отвечает на вопрос «что показать если уже достучались»", а что, nginx детектор не отвечает на тот же самый вопрос? Или обращение к nginx - это еще не достучались? Что тогда вообще значит "достучались"? Для внешнего наблюдателя любой прозрачный прокси не имеет разницы, хоть господь бог его переадресовал на другую страницу.
А вот лишний инфраструктурный геморрой разводить не имеет смысла, пока нет ответа на вопрос "Зачем?". Где-то я видел статьи, где были аргументации такого подхода.

[Mizantrop777]

Да они тупо трафик режут входящий. Исходящий не трогают

[Anton_lah]

спасибо, очень полезно. Чем больше таких слоев защиты, тем сложнее определить, что там на самом деле.

[maksd_gt]

Банальный реалити уже решает эту задачу и дает правильный фолбэк. Что гордить то? Просто правильно настроить и сайт донор выбрать не тем на чем сидишь.