Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге

[konkere]

У меня только один вопрос: почему регулятор целенаправленно режет никому неизвестный мессенджер?

[rcq]

Никак специально не режет. И статья этого не утверждает.

Реальность проще и хуже. РКН и операторы по его предписаниям фильтруют не «по продуктам», а по диапазонам и фингерпринтам. Когда блочат сеть провайдера, типовой SNI-паттерн или конкретный TLS-fingerprint, в этот фильтр попадают сразу десятки мелких сервисов которых никто индивидуально не «замечал». Это collateral, а не таргетинг.

Reality в этом контексте нужен ровно потому, что «правильная репутация» от такого collateral'а не спасает. Не важно знаменит ли ты, важно как твой ClientHello выглядит на DPI. Если как обычный мессенджер с cloud-IP, попадёшь в общий фильтр. Если как трафик к microsoft.com, пройдёшь.

То есть статья не про «РКН охотится за нами», а про «как сделать так, чтобы DPI вообще не различал что это мессенджер».

[konkere]

А, т.е. вы изначально поселились в таком диапазоне? Сорян, да

[art3012]

Такой подход давно напрашивается в виде еще одного proxy в Telegram

[rcq]

В Telegram уже есть свои MTProto-прокси для похожей задачи, но они маскируют именно Telegram-протокол. Reality универсальнее: его можно завернуть вокруг любого outbound-трафика. Поэтому в нашем случае это и сработало проще, чем городить свою обфускацию.

[rcq]

UPD: задумывалось как ответ на коммент @art3012, промахнулся кнопкой. Дублирую в правильном треде.