Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 154
а
Дилетантский вопрос почему нельзя вставлять в трафик легитимные запросы? Раз соединение с VPN, следом запрос погоды с яндекса итп, потом опять запрос VPN.
Дело в том как происходит установление соединения. После установления соединения данных гоняются по "трубе", как раз и называемой туннелем. То есть ты больше не переподключаешься для, например, просмотра видео в Ютуб. Видеопоток будет идти в уже установленном соединении. А блокирует тспу как раз в момент или сразу после установления соединения. Дальше оно уже не трогает соединение с сервером.
Так об этом и говорю, соединение "запросили ютубчик", соединение запросили погоду, запросили еще "видос с ютучбчика".
По ощущениям вручную работало раньше с аутлайном - не пашет, отключаемя, заходим на яндекс, подключаемся - работает...
вы статью читали? там как раз про поведенческий анализ туннеля после установки соединения, можеште самолично проверить открыв ваершарк и подключившись к стандартному (неmux) влесу и посчитайте количество clienthello пакетов
Соединения к разным ip, на сколько я понял, обрабатываются отдельно. Поэтому легитимные запросы на другие ip никак не повлияют.
работы <...> такой схемы вообще не описывают — как и кодового имени
Вы серьёзно, или это мнение нейрослопа? У этой темы уже третий месяц как есть собственное название - "сибирская блокировка", потому что первые места, где она появилась - это Сибирь и Дальний Восток.
Такое ощущение, что нейронка про этот термин не знала. Это вполне может быть, потому что эту блокировку и вообще всё, что связано с РКН, массово и в первую очередь обсуждают на русском языке в плохо индексируемых Телеграм-чатах и закрытом от IPv4-внешки ntc.party. На английском языке в GitHub как раз-таки название у блокировки, которое отражено у вас в заголовке статьи: "по fingerprint" - единственное, что увидит нейронка в Сети.
Вы серьёзно, или это мнение нейрослопа? У этой темы уже третий месяц как есть собственное название - "сибирская блокировка"
Почему вы дергаете цитату без критического контекста? Такое даже нейронки себе не позволяют:
Академические работы (ensafi/IMC 2022, gfw.report) такой схемы вообще не описывают
Никакие академические работы и документация ТСПУ ничего не называют "сибирской блокировкой", прув ми вронг.
Сначала читаешь, думаешь интересная статья, а потом.. "А, нейронка. Понятно."
У нейронки я могу и сам спросить, не хуже нагаллюцинирует.
Где тег "диалоги с ИИ"?
предыдущую статью о факте (только о факте) бана по fingerprint удалили, теперь показывает 451: https://habr.com/ru/articles/1044396
эта статья сейчас на хабре, вероятнее всего, единственная с этой информацией
но нет приходит
представитель РКН"кряк" и вбрасывает тему о нейрослопе
Капец блин
PS: воткнул Вам минус в карму.
надеюсь поможет задуматься.
предыдущую статью о факте (только о факте) бана по fingerprint удалили - 451:
PS: воткнул Вам минус в карму.
раз вы такой педант до справедливости, то замечу, что статья не удалена, а она не доступна вам в силу специфики вашего интернет соединения.
карму сами себе понизите?
карму сами себе понизите?
зачем себе? я её Вам понижу.
что у нас есть?
информация которая удалена с ресурса (пусть только и для жителей России)
новая статья с аналогичным разбором
"критика 1" вида "нейрослоп! а-а-а-а!"
"критика 2" вида "удаление только в России - не удаление вообще!"
Капец.
Вот вам обоим в карму минус и считайте его плюсом.
все статьи с 451 и недоступные с РФ айпи - самые полезные же. Раз их скрыли для РФ, значит там точно большая доля правды есть )
Извините, сугубо имхо, но на техническом ресурсе, или хотя бы в статье где обсуждаются технические точности, человек должен отличать термины "удалена" от "скрыта"/"недоступна по ip" , а не комментировать с нотками настроения "я художник, я так вижу".
Т.к. если у читателя вашего комментария возник интерес, то в первом случае не будет смысла и "включать квн" и попытки посмотреть, что там - т.к. она же УДАЛЕНА, а во втором - с радостью будет проделано "приседание", и можно всецело ознакомится с важной информацией.
Ваше счастье, что вы указали 451, и пришлось самому проверить, т.к. уже побежал холодок по спине из-за того, что Хабр стал не только скрывать для ru-ip, но и удалять актуальные дискуссии.
информация которая удалена с ресурса (пусть только и для жителей России)
То, что она недоступна для жителей двухпроцентной, не значит, что она "удалена". Она вполне себе доступна для любых других неподсанкционных локаций.
Подмены понятий я, к сожалению, терпеть с вашей стороны не стану. К остальному вопросов нет.
Предыдущую статью не удалили (404), а спрятали для РФ региона (поэтому 451 - недоступна по законодательным причинам).
И эту спрячут, если модераторы найдут в ней полезность для обхода блокировок.
Ого! Кармические войны!
Воткнул плюс в карму из вредности.
В чём ценность этой нейростатьи? Ниже уже подробно разобрали, что многое из написанного некорректно и вводит в заблуждение. Если уж и пользоваться LLM (в принципе ничего против этого не имею), то надо хотя бы свою голову включать, вычитывать, перепроверять сгенерированное нейронкой, потому что галлюцинации никто не отменял.
вот смотрите мой случай.
одним утром я проснулся и узнал, что мой VPN больше не работает. Причём VPN настроенный вот по этим принципам, что указаны в моей же статье.
Я потратил приблизительно день на то, чтобы методом проб и ошибок выяснить нечто ценное, важное. Что блокирование VPN теперь идёт по fingerprint. Что достаточно поиграть с этой настройкой, чтобы восстановить работоспособность сервиса.
Собрался было написать об этом на habr, но меня опередил другой habruser выдав статью с этой информацией.Затем пришёл "большой брат" и заблокировал доступ к этой статье из России.
Затем появилась статья, под которой мы с Вами общаемся.
И вот сегодня на habr у нас ситуация: имеется только то, что имеется. Да оно местами неправильное, да, критика местами верная.
Но кроме этого для человека ищущего корень проблемы и выполняюшего этот поиск ИЗ России кроме этого почти ничего нет.Далее набегает куча людей с криками "уберите нейрослоп!"
Внимание, вопрос: на чьей стороне играют эти кричащие? На стороне РКН! На стороне тех, кто строит в нашей стране киберконцлагерь, фашизм. Пусть даже и прикрываются условно-благородным (очень условно) тезисом борьбы за точность формулировок и фактов.
PS: несмотря на выделение жирным и возможные длинные тире этот текст если и является нейрослопом, то естественным, а не искусственным. :)
Дёшево по CPU
Что ты имел ввиду? С каких пор по CPU это дёшево?Дёшево это на уровне сетевой карты. CPU это как раз дорого.
Инженеры стремятся делать анализ и отброс пакетов с помощью eBPF, а не CPU.
Так а что делать то?
Для начала сходить в сентябре на выборы. А дальше видно будет.
До сентября тоже что-то нужно делать
Беларусы сходили в августе 2020-го года. Результаты нарисовали - вышли на улицы, получили звездюлей, кого-то убили, кто-то сел.
Есть планы что делать после сентября у россиян? Ведь результаты 146% нарисуют.
А в реальности - фигня вышла. Я поменял chrome на firefox и все работает, а у легитимных сайтов много клиентов отвалилось. И реалити и xhttp h2 отлично работают.
Автор, я понимаю ты хочешь помочь людям понять как работают блокировки. Но очень рекомендую тебе, не делать выводы по косвенным признакам и по информации от тех кто делал выводы по косвенным признакам. НИКТО, кроме инженеров РКН и ФСБ не знает как работает тспу. У тспу и систем фильтрации ОЧЕНЬ много ложных срабатываний. По моим субъективными впечатлениям, ложных срабатываний более половины всех блокировок. Ты НИКАК не можешь знать, косвенный признак вызван ложным срабатыванием или прямой инструкцией для тспу.
Поэтому любые косвенные признаки это ОЧЕНЬ сомнительная основа делать такие статьи так как блокировка могла быть тупо ошибкой тспу.
Это да, но что вы предлагаете делать? Выводы делать, по-вашему, нельзя, а действия-то вы разрешите? Трафик-то как-то проходить должен, свободный доступ к информации должен сохраняться.
Ты НИКАК не можешь знать, косвенный признак вызван ложным срабатыванием или прямой инструкцией для тспу.
На 146% - вряд ли, но на 95-99% - вполне себе. Все, эти, инструменты разного рода и направленности диагностирования - они не на пустом месте появились и работают, они работают на гипотезах, и работают хорошо.
А вы не хотите, чтобы автор делал выводы. Чувствуется некоторая недосказанность, а что вы с этого имеете?
Если судить по информации в интернете от таких инструментов, то какое то время назад ходила информация что ркн блокирует трафик на нестандартных портах, вот примерно по таким диагностикам и были сделаны подобные выводы. Это лишь один случай странных выбросов, отголоски которых форсятся до сих пор. Я предлагаю проводить диагностику своей конкретной ситуации, а не опираться на чьи-то диагностические данные и скрипты. Я видел тонну сообщений что ркн блокирует то и сё, и в подавляющем большинстве случаев ркн не имел никакого отношения к неработоспособности туннеля и проблема была в кривых настройках на стороне сервера или клиента.
Я предлагаю проводить диагностику своей конкретной ситуации, а не опираться на чьи-то диагностические данные и скрипты
Вы точно айтишник? Зачем вы предлагаете велосипед изобретать?
Все типы блокировок РКН систематизированы, определены, а новые довольно быстро за пару суток определяются коллективным разумом из чатов в ТГ, списков рассылок и на GitHub из той самой "тонны сообщений", про которые вы говорите. Предлагаются фальсифицируемые гипотезы, имеются теории, которые можно проверить, и так мало-помалу все пакости цензуры найдены и классифицированы. Я рад, что у сообщества есть чёткий ликбез по блокировкам и все средства для их диагностики.
Да, по косвенным признакам. Иного не дано, исходников конфигураций ТСПУ никто не заопенсурсил.
Минусы тоже есть - какие-то редкие A/B тесты иных типов блокировок пройдут незамеченными, да. Вы, видимо, это имеете в виду. Согласен, ага. Но и шанс нарваться на них не такой уж и большой. Если нарвался на что-то - с вероятностью, близкой к 95-99%, такое можно решить или хотя бы понять, что это за блок попался, за конечное время. Инструменты есть, чаты и веб-сайты заинтересованных в разблоке пока работают, а ещё можно слова через рот говорить (я почти потерял этот навык, но всё же, иногда помогает). Выкрутимся, а как иначе-то, всегда выкручивались...
Какой там автор, какие выводы, это же чистейший нейрослоп 😁
В день когда отвалидся xray прогнал тесты и для себя таблицу составил "Таблица" В таблице нету провайдеров с работы там из Termux на телефоне гонял. И таблицу gpt форматировал.
Основная фильтрация идет на домашнем операторе.
Лучший обход блокировок, конечно, простой: 40 минут на самолёте и у тебя свободный интернет без всей этой инженерной клоунады. А если оставаться на земле, то пришлось уже собрать свой клиент с WebRTC, WireGuard, Xray и Hysteria, автопереключением маршрутов. Есть Kubernetes-кластер, Terraform по триггерам для смены IP и поднятия новых машин, Ansible для раскатки конфигов, healthcheck туннелей и логика, которая решает, куда гнать трафик. Спасибо РКН: теперь охранник из отеля вынужден так извращаться с сетями, хотя IT у него вообще-то просто хобби.
Лучший обход блокировок, конечно, простой: 40 минут на самолёте
Бросить все, бросить родных и друзей и свалить в никуда. Очень простой вариант. Для бомжа живущего под мостом.
Ну я к жене так в РФ и переехал. Хотя в Беларуси тоже гайки зажмут наверное.
Овощное мнение
По-моему овощное это не отстаивать свои права а тихо слиться и смыться.
У вас тут нет никаких прав, очнитесь наконец-то . И да, это не ваша страна, а их.
Позвольте спросить, а когда Россия была " наша"?
У вас вообще нет никаких прав. Потому что если право можно отобрать - это не право, это привилегия. И если вы хоть немножко следите за новостями, с каждым годом список привилегий становится всё короче и короче.(С)
Нет прав, значит и бороться за них не надо? Это называется выученная беспомощность.
умные слова легко говорить пока за вами воронок не приехал или другие иные проблемы не начались
у нас тут в комментах аналог кухни, побухтели и разошлись с умным видом
вы же лично наверное написали уже пяток заявлений на РКН и к депутатам на прием ходили по другим важным-горячим вопросам? или просто руки еще не дошли за последние 5-12 лет?
Когда откроется окно возможностей (а оно откроется), лучше всё-таки что-то делать вместо причитаний "у нас нет прав, всё равно ни на что не повлиять".
само собой, тут вы правы, правда никто не знает как это окно будет выглядеть и для кого оно будет - окно
также это подразумевает что исполнительные механизмы внезапно начнут интерпретировать законы в вашу пользу, а не как начальство (изменившееся) прикажет
==
но тем не менее, обратите внимание как вы посоветовали бороться, но сразу слились когда оказалось что вы тоже этого не делаете, аргументируя отсутствием окошка
вы же наверное активно отстаиваете свои права, да ведь? и наверное получается?
Да, вот сейчас как раз написал. Его борьба
аа, ясно, я вот на своем заборе тоже написал, в укромном уголке за сараем. ;))
Это все фигня. Отстаиванию прав требуется критическая масса. Не надо устраивать дебош на красной площади, отстаивание так не работает. Все начинается с малых дел. Отказался идти на поводу у оборотней и заявил на них, в том числе публично, выкатил претензию чиновнику через вышестоящий орган, увидел несправедливость и поинтересовался происходящим хотя бы, и т.п. Не надо максимализма и резких движений. Эффективное отстаивание требует массовости.
угу, главное быть уверенным что все это делают да, еще с середины нулевых все с малых дел начинали, и в 22 году закончили
помнится даже сам солнцеликий говорил на голубом экране "обращайтесь в суд" - помню это даже мемом было в начале 10х
помоему очевидно что это не работает
p.s. сразу скажу, что именно работает, я не знаю, но это точно нет
Лучший обход блокировок, конечно, простой: 40 минут на самолёте
define простой
За то не скучно😁
Почему бездомные просто не купят себе дом))
Не у всех огромные зарплаты и удаленка, чтобы так легко менять локации
Слишком много страшных слов в одном абзаце. Можно все куда проще реализовать.
банковские приложения хостят API в облаках, агрессивно открывают несколько соединений при старте сессии и используют нестандартные (не-браузерные) TLS-стеки — то есть теоретически могут задевать те же сигналы.
Вот такую хрень у приложения ВТБ замечал точно последнюю неделю.
Запускаешь приложение; вводишь PIN или отпечаток; получаешь заглушку, что у них что-то упало. На вторую или третью попытку пускает нормально и дальше работает условно исправно.
Условно, потому что глюков не встречал, но может оно внутри у себя запросы повторяет.
Ну, не знаю. Нижегородская область, Ростелеком. xHTTP не заводится ни в какую вообще, gRPC одним днем сломали и больше тоже не заводится, а самый простой (даже не мультихоповый и без реверса и без сайта-заглушки) vless-tcp-reality живет до сих пор,с октября 2025. Точнее, даже не 1,а 3 моих личных (и для друзей + родственников) ВПН.
вопрос от ламера: как лучше - постоянно держать включенным соединение на смартфоне или все же включать\выключать по мере надобности?
зы: а что по устойчивости протокола Mieru ?
Нижний Новгород, ростелеком. Работает всё: raw, grpc, xhttp, xhttp h3/hysteria. Кратковременно только наблюдалась блокировка raw по фп хрома.
"grpc, xhttp " - по каким гайдам настраивали?
Ни по каким. Настройки примитивнейшие - полный дефолт, в качестве транспортной безопасности импользую все доступные подходы: TLS, reality на свой локальный nginx со своим сертификатом и none + vless enc (raw транспорт). Для xhttp h3 - терминирую quic на nginx и делаю proxy_pass на unix-сокет xray. Также использую фоллбеки, если один сервер не отвечает - xray переключает на другой, поэтому проблему с фп хрома заметил только спустя пару дней, зайдя посмотреть логи.
UPD: xhttp stream one, без xmux
как лучше - постоянно держать включенным соединение на смартфоне или все же включать\выключать по мере надобности?
Как минимум прописать, чтобы паттерн "geoip:ru" шёл в "direct". А дальше по необходимости.
это настроено, просто думаю если я в ютуб не лезу ,например, пару дней, то есть смысл рвать соединение и выключать впн,а по мере необходимости включать,или пускай оно висит постоянно включенным.
где тут редфлаг для ТСПУ\оператора или кого там еще
Лучше конкретные приложения - весь трафик youtube в VPN, а остальные приложения можно и не трогать.
читая статью подумалось, раз на этой стороне сидит умный чувак и пытается понять как работает противоположная сторона и прихожу к мнению (имхо) там наверняка набрали яйцеголовых которые сидят и тупо ковыряют rfc, по косточкам разбирая и потом хуяк - на тебе Сибирь :)
в интересное времена живем...
И как всегда, вопрос (кто виноват уже понятно) - что делать простому человеку?
От капитана очевидность:
VPN/прокси по своей концепции, это не средство обхода блокировок(весь концепт VPN/прокси не про это изначально).
По части детекта факта применения VPN/прокси, в качестве средства обхода, имеет концептуальный "слоновий" патерн - специфичный маршрут трафика.
Именно этот "слоновий" патерн 2026 году в РФ и начали "рубить" и технически(падеж стелс-VPN/прокси по мере апгрейда ТСПУ), так и экономически - решением о заградительных тарифах на трансграничных трафик конечного пользователя. Остальные признаки вспомогательные.
Даже если мы очередным 146-мым "оригинальным стелс-способом" снова лишь прячем "мух"(специфику пакетов), то "слон"(крайне специфичный маршрут трафика) как всегда виден заинтересованным сторонам(и может быть "неожиданно" и творчески использован).
Гораздо больший потенциал как показывают и теория и практика имеют “неоднокликовые” решения вроде Zapret(которым серверная часть не нужна и как следствие отсуствует слив трафика в специфичный маршрут).
Трансграничный пиринг инфраструктурных гигантов тарифицируеться не как у пользователя, и если вы обратились фактически например к российским GGC(или или внутриросийским сегментам CDN Cloudflare например), то ваш трафик для вашего провайдера внутрироссийский.
Открытие разных сессий под разные соединения при обращении и к внутриросийским CDN полностью лишает ТСПУ статистической опоры. Вместо одного монолитного "туннеля" (в котором ТСПУ со временем вычислил бы аномальную энтропию), каждое приложение или вкладка браузера порождает краткосрочную, независимую сессию.
Формат коммента общеакадемический по понятным причинам.
Подскажите, а как Вы длинные тире набираете? Все никак на клавиатуре не могу найти.
Например автозамена редактора - двойной тире на длинный
ALT+0151даст тебе —
—
Левый Alt зажать и 0151 на Num Pad. Пользуюсь с бородатых времён, так как двойной дефис -- выглядит не очень.
Раньше когда не знал, через замену символов в Microsoft Word копировал тире и вставлял далее.
Т.е. я правильно понимаю - набирая это текст, автор примерно в каждом втором предложении делал "Левый Alt зажать и 0151 на Num Pad.?" (если у него вообще был NumPad на лаптопе). Или это как-то иначе работает? ;)
p.s. Более того, если использовать для редактуры Word - там автоматом заменяются два минуса на короткое тире "–" (которое существенно короче чем использованное в тексте автора "—" ).
Да. Посмотри, например, мои статьи (за 2013 или 2016). Там везде длинное тире —, т.к. просто короткое - бесит. И его я вставлял отдельно. Так что это не всегда нейронка. Посмотри это, может тоже проникнешься
Два минуса в Ворде заменяются на короткое тире, а вот один минус — на длинное. В чём логика — не знаю.
Option+minus
Если под Windows, то можно поставить раскладку Ильи Бирмана.
Это легкий намек на AI?
Для пользователей MacOS (за остальные ОС не ручаюсь)
"-" — просто кнопка "минус"
"–" — Option + "минус"
"—" — Option + Shift + "минус"
P.S. Option == Alt на виндовс клавиатурах
В обсидиане и ноушене можно дважды тире жать, заменяется само, дескотоп мак.
Alt + 0151 на numpad.
В Linux: зажать клавишу Compose и три раза нажать -.
А зачем весь этот головняк, зачем блокируют?
Опять нейрослоп, к тому же плохо вычитанный.
Впн российского провайдера с европейским айпи, голый вайргард, подключаюсь с 1 мобильного и 2 проводных провайдеров - про блокировки только на хабре узнаю. Выбирал по низу рынка. Есть ощущение, что больше всего проблем с подключением у тех, кто самые хитровыделанные методы обхода использует. Связь только на мобильном инете пропадает, когда сирены воют, видимо изза белых списков.
Вот кстати тоже не понял этого. Большинство обычных людей ставят себе "какой то там vpn" из стора на смартфон и сидят себе в инстаграмчиках. Причем зачастую бесплатный с рекламой.
только вот он не работает по принципу "нажму кнопку и не парюсь"
У ребенка моего для роблокса четыре квн-а стояло в какойто момент (в добавок к самодельному, с которым сам роблокс почемуто плохо дружил, видимо с самим хостингом), и каждый раз надо перебирать было какой сегодня норм работает
и вообще в принциве и подороже и подешевле, постоянно рандомного чтото отваливается, то телега, то сайты которые через телегу открываешь, то роблокс работает работает, потом бац всё, ни один из серверов в списке квн-а не работает..даже после обновления...через пару часов чинят но сам принцип задалбывает
роблокс вернули, хоть геморроя меньше (мне)
Потому что все эти "готовые" решения, нажал кнопку и работает, держат некомпетентные люди. Знаю такого. Когда телегу начали блочить он даже не понял почему у него бот для покупки ВПН сломался. Говорит "долбим напрямую, пока апи не ответят". Что с этим делать ему было непонятно. Занавес.
У меня уже 5 лет работает OpenVPN до VPS в Нидерландах. Единственное что, белые списки не обходит когда их включают на мобильном интернете.
HTTPS прокси на сквиде тоже безо всяких проблем работает. Причем на 443 местами падает, а на чем-нибудь повыше 10000 - ни единого разрыва.
Наконец то хоть кто то понимает.
Я вот читаю все эти хитросплетения стелс, каскады, Селф стил и всегда эти же люди первыми шумят что все пропало, все заблокировали. Не могут люди сделать просто, потому что не могут потратить свое время на изучение технологий, чтение документации, а полагаются что какой то Валера из интернета всю доку изучил и даёт им реально полезный гайд, который сам он получил черт знает на каком этапе этого сломанного телефона. Мне вообще всегда интересно знать откуда все эти сложности произрастают(есть подозрение что фабрика троллей старается завести в такие дебри).
Тут уже описано было, что центр управления один а реализация у провайдеров своя, либо раскатка понемногу происходит, вы в удачной группе находитесь. На дальнем востоке у знакомого на домашнем интернете основного провайдера державы отвалились в июне VLESS + TCP + Reality + Vision, VLESS + XHTTP + REALITY + Vision. Пошел он тестить, не работало в целом все что можно было нащелкать в 2.9.4 3xui, в итоге работает с раздачи мобильного интернета то, что с провода не работает - тут уже работает.
В это же время есть коллега под москвой (город 100-150к населения), у которого в целом любой трафик пускает, он в целом включает менять айпи только чтобы внешние геобаны обойти типо openai.
Не понимаю. Всё мусолят эту тему с "июньскими" блокировками. Буквально одни и те же статьи, а врываются в топ. К тому же уже всем известно, что эти громкие блокировки обходятся за 5 минут. В чем такой ажиотаж?
К тому же уже всем известно
Не всем.
В чем такой ажиотаж?
В том, что РКН в кое-то веки удалось сломать большинство способов обхода. Несчастные MTPROTO как упали почти месяц назад, так и не поднялись уже. "Неприкасаемый" VLESS на ладан дышит и то только потому, что начали с фингерпринта одного браузера. Дальше останется только статистический анализ прикрутить (что это Вася уже второй месяц качает с этого айпи?), причем достаточно даже оффлайн его поставить гонять, и все, сушите весла.
А что если включить browser dialer. Ркн все браузеры начнет блокировать? Лучше изучать современные технологии фингерпринтинга, все уже придумано. Не нужно ждать пока ркн все фингерпринты блокнет. Но как всегда, у такой свежатинки как браузер дилер есть свои нюансы. Работает только с xhttp+packetup и на клиенте okhttp должен быть включен.
Скоро узнаем. По факту, с каждой итерацией отваливается все больше и больше народу. Чем меньше народу, тем жестче можно кошмарить оставшихся. Статистический анализ напрашивается сам-собой, айпишники закончатся к концу года.
MTproto сам пашка не хочет дорабатывать, вяло какие-то правки от сообщества добавил и всё, протокол очень заметный.
Vless забанили положив целую кучу сайтов, даже на хабре были обсуждения. При этом отвалилось только самое заметное. Нормально настроенные сервера изменений не почувствовали.
СТатистический анализ прикрутят, но на это надо ещё миллиарды денег, а потом сбор статистики и много сложностей. Вот только на подходе ещё куча средств, которые массово не распространены, в какой-то момент возникнет ситуация, что многомиллиардное оборудование ловит трех калек, когда толпа народу ходит другим маршрутом.
MTProto решается одним патчем от Пашки, а на счет мнимых "отвалившихся" и что "влесс - всё" каждый раз смешно. По логике этих ИИ статей уже как год влесс мёрт и вообще белые списки на проводе. Всё как работало, так и продолжает работать. Не забудьте заминусовать за несогласную с тобой реальность, как на хабре принято
Хорошо, что вам смешно! Я вот лично уже заебался. Но главное не терять оптимизма и чувства юмора, полагаю :)
НАстраивать свои сервера без знаний больно, согласен.
У меня суммарно пара недель чистого времени на настройку ушла. Удобно пользоваться панелью, удобно пользоваться дипсиком, маскироваться под чужой сайт не удобно, а вот под свой, да ещё не по поддомену очень удобно. Ещё удобно, когда клиент не создает миллион коннектов, где-то на хабре обсуждалось.
MTPROTO как упали так и поднялись сразу же, проблем нет.
Как личные, так и бесплатные работают с самого 5-6 числа
У меня в окружении не осталось ни одного человека, у которого MTPROTO работает напрямую. У некоторых список этих проксей устанешь листать.
В репе telemt два открытых issue на эту тему, https://github.com/telemt/telemt/issues/617 https://github.com/telemt/telemt/issues/805 (и еще одно на bugs.telegram) - помогите людям, расскажите о своих волшебных конфигах.
Ну или поймите, что "у меня все работает" - это не ваша заслуга, а их недоработка. Ваш провайдер просто забил на фильтрацию или противодействует ей. Со временем таких будет становиться все меньше.
Чисто по моей ситуации. Не уследил, что протухли все прокси MTPROTO. В итоге получил что приложение стартует, но не загружает не одного чата (Винда 7). Пришлось обходными путями добывать хотя бы один адрес. Как только приложение ожило, снова накопировал десяток рабочих, а нерабочие удалил. Сейчас стараюсь каждое утро просматривать, чтобы хотя бы десять рабочих было в настройках.
А вот если не одного рабочего не остаётся, тогда да, тяжело.
Эта диагностика слегка бесполезна в моем случае.
Пока сервер не подключен, он доступен. Но как только пытаюсь подключиться, то сразу теряется.
Не понимаю. Всё мусолят эту тему с "июньскими" блокировками.
Потому что с 1 июня всё, что прекрасно работало до этого, вдруг посыпалось.
К тому же уже всем известно, что эти громкие блокировки обходятся за 5 минут
"Всем" это кому? Огласите список пожалуйста или отвечайте только за себя. Если всё решается за 5 минут, то почему около двух недель так штормило? "Все" тупые, один вы умный или же всё таки что-то произошло и статьи именно это и обсуждали?
Потому что с 1 июня всё, что прекрасно работало до этого, вдруг посыпалось.
Вот прям всё-всё посыпалось? Ну нет же. Вы же сами ниже призываете не обобщать.
Лично у меня отлетел VLESS с отпечатком chrome. Вылечилось сменой отпечатка. А AmneziaWG на том же сервере как работала, так и продолжает работать.
Оффтоп вопрос: где найти какой-нибудь ультимативный гайд по WireShark? Вот прям от и до. Большая часть найденных статей подразумевает, что вы уже не один год в нём сидите, а нужно что-то "для чайников".
Видел, вот такое советовали: https://www.youtube.com/watch?v=OU-A2EmVrKQ&list=PLW8bTPfXNGdC5Co0VnBK1yVzAwSSphzpJ
man tcpdump
Хоть и кажется "при чем здесь tcpdump"
Больше всего в этой истории жалко админов хостингов. Ты спишь, а у тебя полсети отваливается просто потому, что чей-то легитимный трафик показался железке провайдера подозрительным..
А можно не нейросблев стену текста, а нормальную краткую статью с описанием что происходит и что дальше делать?
Спасибо, пожалуйста.
РКН устроил проблемы с доступом российским облачным сервисам и сайтам / Хабр
там есть вся информация и другие полезные статьи
У меня ssh на 3х рахзных машинах перестал работать на днях. Причем раньше я сталкивался с блокировкой подобной, она работала по другому, ssh сессия отваливалась через какое то время, сейчас все по красоте, просто дело даже до запроса пароля не доходит, на любом порту.
То, что статья - нейрослоп, можно понять с первого параграфа (особенно по очередным эрудированным вставкам по типу “только при одновременном выполнении нескольких условий — логическое AND.”), но вот текст:
ТСПУ смотрит на destination IP того TCP-соединения, которое вы инициируете, и сверяет его с базой «подозрительных» CIDR/ASN.
зарубежные ДЦ (Hetzner, DigitalOcean, OVH) — давно;
ряд российских облачных провайдеров — с конца мая / начала июня 2026. Вот отсюда и растёт коллатеральный ущерб для российских проектов: туда же хостятся реальные прокси-серверы, ТСПУ их не разграничивает, и весь трафик к подсети уходит на поведенческую проверку.
я очень долго пытался понять. Во-первых, перечисление без двоеточия или тире в конце вообще не является верной конструкцией по нормам языка. Но предположим, что тут после “CIDR/ASN” идёт двоеточие. Но тогда на что заменяется тире в данном перечислении? На “смотрит”? Тогда почему это стоит как перечисление CIDR/ASN? Может тогда заменяется на “сверяет”? Но тогда падеж не верный и надо было “с зарубежными ДЦ… - давно”.
Вот автору не кажется, что можно было написать “раньше в базе подозрительных ASN у ТСПУ были только зарубежные ДЦ, а с конца мая туда начали заносить и российские компании”, а не городить перечисление из двух элементов?
Это какой-то нейрослоп Шрёдингера: Данные с потолка, при этом ещё и плохо написанные. Будто бы нейросеть выдала шаблон текста, который поверх руками допиливался.
По теме: Такие вот нейрно-статьи показывают теорию мёртвого интернета во всей красе. Я уже не могу даже уверенно доверять информации про блокировки, потому что можно выбрать вообще любую дату, нагенерить статью, что в то время РКН тестировал систему “уничтожитель ВПНов 5000”, который определяет обход блокировок, читая мысли пользователей; и в комментариях наберётся куча “да-да, было дело! Вот у меня сервер в то время не работал!”. Играть в тех поддержку хостинга, пытаясь понять, что именно случилось (спойлер, в большинстве случаев проблема находится между монитором и стулом), нету особого желания.
Живу в Москве и МО, проблем с обычным VLESS никогда не было, так же как и с ssh -D. У знакомых за пределами центрального региона прям очень изредка случались проблемы с Vless, помогал временный переход на xhttp или смена порта, sni или шифрования. Ко всяким статьям про блокировки vless+xhttp, эксплуатирование уязвимостей протокола и прочее отношусь как к историям про биг фута или НЛО: Даже не смотря на полную возможность таких событий, почему-то любые утверждения о них существовании опровергаются достаточно быстро.
Чем хитрее комбайн для обхода DPI, тем быстрее его банят по поведению. Попытки мимикрировать под обычный HTTPS сейчас только привлекают внимание автоматики. А старый добрый голый SSH работает как часы ровно потому, что не пытается казаться чем-то другим и не плодит параллельные хендшейки. Тот случай, когда дедовский unix-way тупо уделал новомодные протоколы.
Да не работает он уже давно. Просто ваш локальный тспу так настроен, что пропускает. Как и ютуб раньше, долгое время в одних регионах работал, а в других - нет.
Локальный? Вы мыслите категориями домашнего провайдера) Я мыслю масштабами покрупнее и на местечковые ТСПУ не полагаюсь.Трафик собирается на транзитную ноду внутри РФ, и уже оттуда поднят магистральный SSH-туннель через границу. Внутрироссийский трафик никто не режет, а границу этот SSH пробивает без проблем. Клиенты из абсолютно разных регионов и сетей сидят и горя не знают. Архитектуру надо строить, а не на локального провайдера кивать.
Я от вас вообще впервые слышу, что серверный трафик кто-то смотрит и там нужно что-то "пробивать". При такой схеме вопросов нет.
Трансграничный трафик сейчас смотрят под лупой, поэтому многие и страдают. К слову, если точка входа висит на домашнем IP, то там вообще своя магия доверия, но это уже лирика). Но в целом да, SSH решает. Рад, что поняли друг друга) В этом и смысл всего: аккумулировать в РФ, пробрасывать через туннель.
Уже пол года как сижу с ss от outline через хоп + сплит тунель, иногда подлагивает, открываю Яндекс гос услуги отлагивает. Мб просто до Крыма не добралась ересь еще.
Автор, если Вы не можете написать статью без использования ИИ, то хотя бы проверяйте информацию, которую он предоставляет.
25 мая 2026. <...> Под раздачу попали VLESS, Xray, MTProto, WireGuard, gRPC.
Xray не мог попасть под раздачу, потому что это не протокол, а фреймворк, на основе которого работают протоколы с различными настройками. WireGuard блокируется уже несколько лет, 25 мая не сыграло в его судьбе никакой роли. gRPC сам по себе для проксирования не используется и работает вместе с VLESS.
2 июня 2026 — и тут же отдельный инфраструктурный фактор, к ТСПУ вообще не относящийся: европейский ДЦ nLighten без предупреждения обесточил стойки. О нём подробно в разделе 7...
Зачем в статье, посвящённой работе ТСПУ, подробно разбирать ситуацию, вообще не относящуюся к ТСПУ? Примечательно, что нейронка далее по тексту это подмечает:
«Два события совпали по времени с июньскими блокировками, но к ТСПУ прямого отношения не имеют, и сваливать их в один нарратив о «заморозке по fingerprint» — ошибка».
А вот про имена — осторожно. В обсуждениях в «подозрительный» список заносят Selectel, Yandex.Cloud, Cloud.ru. <...> Yandex.Cloud — системообразующий провайдер, за которым стоит изрядная доля рунета; его попадание в список поведенческой заморозки — заявление экстраординарное, и пруф ему нужен уровня пакетного дампа. <...> Я и сам прогнал 12-часовой замер с RU-машины (Ростелеком, AS34168, 72 цикла, 14 июня) к GitHub/PyPI/Fastly: ни одной заморозки, медиана TLS-хендшейка ~135 мс, доступность 99–100%
А причем здесь GitHub с PyPI и Fastly? Речь же шла о российских облаках, разве нет?
VLESS-клиенты (Happ, v2rayTun, Hiddify) по умолчанию используют мультиплексирование (XMUX/Mux) или connection pooling
Xmux используется только в xHTTP и работает на уровне ядра, клиенты сами по себе здесь ни при чём. Mux клиенты по умолчанию не используют, нужно включать его.
Реальный браузер после хендшейка генерирует специфичные паттерны — API-запросы, тайминги, ALPN. А туннель — это непрерывный двунаправленный поток без характерных пауз и смены размеров пакетов.
Как, по-Вашему, DPI определяет наличие или отсутствие запросов к API, если заголовки, путь и тело запроса зашифрованы? Внутри TLS может быть что угодно, а API используют в том числе для загрузки файлов, так что объём трафика здесь сомнительная характеристика. Просмотр видео по HTTP/2 с метриками тоже может выглядеть как непрерывный двунаправленный поток. А вот паузы и размеры пакетов, пожалуй, маркером будут.
TLS-in-TLS: фундаментальная проблема
Непонятно, причём здесь это. Нет никаких доказательств, подтверждающих фильтрацию на основе TLS-in-TLS в России.
уязвимость: если DPI научится детектировать «один долгий GET + много коротких POST к одному path» как аномалию — попадёт под удар
Опять же, каким образом возможно обнаружение типа и пути запроса внутри TLS-соединения?
блокировка QUIC/UDP на 443 = блокировка HTTP/3 для всего рунета (YouTube, Google, Cloudflare) — РКН этого избегает;
YouTube и Cloudflare уже давно блокируются. QUIC ограничивается у некоторых провайдеров.
Транспорт: VLESS+TCP+mux. ALPN: h1.
Может быть и h2.
<...> исторический ряд OpenVPN → WireGuard → Shadowsocks → VLESS → REALITY — это иллюстрация, а не доказательство.
Почему Reality стоит после VLESS, если это не прокси-протокол, а замена обычному TLS, которая, как правило, работает в рамках VLESS?
Короче говоря, статья представляет собой нейрообработку недавней публикации «О схеме ограничений РКН в июне 2026-го» (для понимания ситуации гораздо полезнее будет прочитать её), а также ряда других источников разной степени авторитетности.
К слову, отпечаток Chrome в ядрах xray и sing-box отличается и у последнего (во всяком случае, 3 недели назад) не вызывал блокировку. Предполагаю, что и Firefox тоже, поскольку только на sing-box он вызывает у меня ту самую заморозку.
По существу статьи без понятия, давно уже не слежу. Да и читать этот нейрослоп (простите великодушно если это не так, но даже консервативный Яндекс даёт 40% текста сгенерированного, 20% возможно сгенерированного, и 40% человека, а два из первых сайтов в выдаче показывают 90-95% генерации) с вкраплениями самостоятельно (надеюсь, хотя от них все равно отдает запашком тех же чатов с нейросеткой с которыми я когда -то плотно взаимодействовал) написанного текста мне сложновато , ибо технической квалификацией продираться через эти дебри не обладаю. Но чисто любительское мнение подкрепленное некоторым опытом, вся эта дребедень за исключением белых списков решается хостером не из первой десятки, а желательно не из первой сотни. На крупных я еще пол года назад отчаялся что-то развернуть, мелкие хоть часто и дороже но там работает вообще всё. К примеру сервак в Oracle Cloud в париже (тот который free tier на 24ram 4 ядра), у меня на нём еще пол года назад не работало вообще ничего, на крупные хостеры по моему навесили аналог белых списков, хоть и не везде. А вот мелкий хостер в США работал даже с устаревшей фигнёй типа openvpn, специально проверял. И пол года назад настроенный путь с vless по типу клиент в росии-сша-франция (чего бесплатному серваку пропадать, поставил в качестве выходного узла тпу его все равно не видят, авось и помогло чем-то) прекрасно работает везде за исключением белых списков по понятным причинам.
Как по мне, то лучший выход из сложившейся ситуации не искать пути решения разблокировок но создавать собственные сервисы для своего региона. Глобализация себя не оправдала, поэтому лучший способ борьбы с блокировками это уход от назойливых и заржавелых ино-брендов. В конце концов в каждой стране есть свои умы, способные создавать нехилые вещи.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Заморозка по fingerprint: как ТСПУ в июне 2026 ломает соединения по поведению, а не по протоколу