Комментарии 148
Сайты с информацией по обходу блокировок — будут блокироваться ркпозором. Телега — сейчас не самый надёжный канал связи. Даже начинающему админу не нужны скриншоты для того, чтобы ввести в терминале пару строчек для запуска скрипта с гитхаба. «Аппа» уже придумана — это openvpn. Ничего не помешает ркпозорау заблокировать всю подсеть впс-хостера, до и скалевей к примеру — почти полностью убиты, на той неделе пришел анонс о новом типе впс — не смог им воспользоваться, увы. Админ в итоге сопьется)) Потому лучше деньгами, но это ничем не отличается от уже готовых платных типа протонвпн. За вами уже выехали…
Сайты с информацией по обходу блокировок — будут блокироваться ркпозором. Телега — сейчас не самый надёжный канал связи.
Очевидно же, что у админа VPN уже стоит.
Даже начинающему админу не нужны скриншоты для того, чтобы ввести в терминале пару строчек для запуска скрипта с гитхаба.
Под админом имеется в виду ЛЮБОЙ айтишник. И дизайнер и разработчик и т.д.
Инструкции по настройке VPN на Linux известны далеко не каждому айтишнику.
«Аппа» уже придумана — это openvpn.
Нет, OpenVPN требует дополнительных настроек / скачивания и подгрузки профайла и вообще не является user friendly аппой для обычного пользователя.
Ничего не помешает ркпозорау заблокировать всю подсеть впс-хостера, до и скалевей к примеру — почти полностью убиты, на той неделе пришел анонс о новом типе впс — не смог им воспользоваться, увы.
Количество подсеток публичных VPN — ограничено. Количество подсеток хостинг провайдеров — это весь Интернет. Замучаются пыль глотать. Или придется чебурнет вводить. А это уже совсем другая история.
Админ в итоге сопьется)) Потому лучше деньгами, но это ничем не отличается от уже готовых платных типа протонвпн.
Как админу договариваться с друзьями — его дело. Очевидно, что пиво — это шутка. Я сам, например, пиво не пью.
За вами уже выехали…
Устанут ехать…
Разработка нового приложения — это далеко за рамками озвученного бюджета, особенно учитывая что это криптография и надо проводить очень серьёзный аудит безопасности. Openvpn отвечает всем условиям задачи, вообще всем. Вы когда последний раз видели его мобильный клиент? Я — примерно пару минут назад. Ставится из маркета, хорошо проверен и безопасен, бесплатный, управляется одной кнопкой и тд тп. Все что надо — выдать пользователю готовый и индивидуальный файл настроек, который генерится или отключается одной командой из консоли.
Чем это все отличается от уже готового и платного решения? Тот же протонвпн для простых целей бесплатен, не грузит рекламу и тд тп
ps. Минус тоже от вас? :) По времени очень совпадает))
Чем это все отличается от уже готового и платного решения? Тот же протонвпн для простых целей бесплатен, не грузит рекламу и тд тп
ps. Минус тоже от вас? :) По времени очень совпадает))
У меня OpenVPN не выключается практически никогда. И вообще на всех устройствах настроен. И L2TP настроен параллельно. И я регулярно помогаю людям настраивать VPN на устройствах и в курсе того, что они понимают, что им удобно, а что нет.
Про минусы публичных VPN я в посте написал.
Нет, минус не от меня.
Про минусы публичных VPN я в посте написал.
Нет, минус не от меня.
Тогда я правда не понимаю минусов опенвпн. Клиент ставится из маркета, файл настроек индивидуален и его скачать проще, чем возиться с установкой программы не из маркетов. На андроид можно вынести ярлыки для включения и выключения впн. Если дело только в телеге, то прокси на впс настаивается тоже одной командой скрипта с гитхаб, могу дать ссылку на тот, что я использовал.
Кстати, как быть с айфонами? Туда не так просто поставить программу мимо тунца. На порядок сложнее, чем скачать официальный клиент опенвпн и скормить ему настройки.
Кстати, как быть с айфонами? Туда не так просто поставить программу мимо тунца. На порядок сложнее, чем скачать официальный клиент опенвпн и скормить ему настройки.
Не сложнее. Подписывается сертификатом разработчика, которому надо установить доверен в настройках. Сейчас так Телеграмм Х распространяется.
Другое дело, что OpenVPN выдавливается из памяти и дисконнектится. IKEv2 для ios роднее.
Вам же уже написали — OpenVPN сложен как для использования (надо выдать пользователю профайл, объяснить как и куда его воткнуть), так и для поддержки (разверни УЦ, следи за сертификатами). Если говорить про массовое решение для обхода блокировок в один клик — то это никак не OpenVPN, а Outline.
1. Поставить клиент из маркета
2. Выдать пользователю «ключ» (base64-кодированные настройки), который он копипастит, а клиент сам обнаруживает в буфере.
Всё. А телега до сих пор вполне надежна, и ссылочки с настройками прокси распространяются ровно так же в один клик.
Что касается администрирования — то тут ровно так же рулят различные докеризованные прокси и докеризованный ss-libev. у меня «для своих» даже развернута веб-мордочка с кнопкой «обойти блокировку» и полем ввода мыла. запускается ss-libev в контейнере с случайным ключом расшифровки и детали улетают мылом пользователю.
А пользователи у меня в массе своей весьма далеки от ИТ.
1. Поставить клиент из маркета
2. Выдать пользователю «ключ» (base64-кодированные настройки), который он копипастит, а клиент сам обнаруживает в буфере.
Всё. А телега до сих пор вполне надежна, и ссылочки с настройками прокси распространяются ровно так же в один клик.
Что касается администрирования — то тут ровно так же рулят различные докеризованные прокси и докеризованный ss-libev. у меня «для своих» даже развернута веб-мордочка с кнопкой «обойти блокировку» и полем ввода мыла. запускается ss-libev в контейнере с случайным ключом расшифровки и детали улетают мылом пользователю.
А пользователи у меня в массе своей весьма далеки от ИТ.
Спасибо! Если хотите помочь: https://t.me/beervpn
Ничего не надо втыкать.
Клиент скачивается из любого маркета, иос или андроид — без разницы. Главное, что он официальный, проверенный, надёжный, и безопасный. Написать свой аналог — задача на много человекочасов квалифицированных и высокооплачиваемых специалистов.
Файл настроек присылается любым способом и клиент автоматически его открывает — ассоциации по типам файлов рулят. Все. Дальше управление одной кнопкой, со стороны пользователя никаких действий не требуется.
Установка сервиса — запуск одного скрипта и нажмите одной цифры.
Менеджмент аккаунтов на сервере — запуск одного скрипта и нажатие одной цифры.
Клиент скачивается из любого маркета, иос или андроид — без разницы. Главное, что он официальный, проверенный, надёжный, и безопасный. Написать свой аналог — задача на много человекочасов квалифицированных и высокооплачиваемых специалистов.
Файл настроек присылается любым способом и клиент автоматически его открывает — ассоциации по типам файлов рулят. Все. Дальше управление одной кнопкой, со стороны пользователя никаких действий не требуется.
Установка сервиса — запуск одного скрипта и нажмите одной цифры.
Менеджмент аккаунтов на сервере — запуск одного скрипта и нажатие одной цифры.
Я еще раз повторюсь: речь не идет о написании своего клиента. Речь о том, что OpenVPN сложнее в настройке неквалифицированным пользователем, чем Outline. Который ровно так же есть на обе мобильных платформы в маркете. Только копипастить статический конфиг в Base64 куда как проще и быстрее.
Ах, да. Написать аналог «на коленке» — задача на день для прототипирования. За одну человеко-неделю вполне реально выкатить на Android only. С модерновой криптографией (ECDH, AES, AEAD), неизвлекаемыми ключами, и вот это всё. Даже код будет на порядок компактнее, чем у того же Outline.
OpenVPN хорош в корпоративном окружении, когда есть кому носиться с настройкой и поддержкой, а для решений в один клик типа «запустил и забыл» он не годится.
А с SS мне даже с юзерменеджментом голову греть не приходится, он излишен.
Ах, да. Написать аналог «на коленке» — задача на день для прототипирования. За одну человеко-неделю вполне реально выкатить на Android only. С модерновой криптографией (ECDH, AES, AEAD), неизвлекаемыми ключами, и вот это всё. Даже код будет на порядок компактнее, чем у того же Outline.
OpenVPN хорош в корпоративном окружении, когда есть кому носиться с настройкой и поддержкой, а для решений в один клик типа «запустил и забыл» он не годится.
А с SS мне даже с юзерменеджментом голову греть не приходится, он излишен.
Это вы говорите о том, что не надо писать свой клиент, а автор — хочет свой клиент и хочет ВПН. Аналог на коленке — не есть хорошо, надо нормальные программы для айфона и андроид.
ОпенВПН настраивается немного сложнее Аутлайна, надо запускать консоль и ввести одну команду, но автор хочет ВПН. А так — было бы проще поднять прокси, там проще настраивать трафик разных приложений.
Я для себя пробовал разные способы обхода блокировок, долго пользовался возможностями Стрейзанд, но в процессе беготни с одного ВПС на другой, пока роскомпозор истерил с миллионными блокировками — вернулся на ОпенВПН. Поставил скриптом и забыл. Если кому из друзей надо — то файл для клиента генерится одной командой, скачать клиент из маркета — проще простого.
Если что — я не админ ни разу.
ОпенВПН настраивается немного сложнее Аутлайна, надо запускать консоль и ввести одну команду, но автор хочет ВПН. А так — было бы проще поднять прокси, там проще настраивать трафик разных приложений.
Я для себя пробовал разные способы обхода блокировок, долго пользовался возможностями Стрейзанд, но в процессе беготни с одного ВПС на другой, пока роскомпозор истерил с миллионными блокировками — вернулся на ОпенВПН. Поставил скриптом и забыл. Если кому из друзей надо — то файл для клиента генерится одной командой, скачать клиент из маркета — проще простого.
Если что — я не админ ни разу.
А какие там сложности с сертификатами? Разрешить мультилогин в конфиге, всё?
Разработка нового приложения — это далеко за рамками озвученного бюджета, особенно учитывая что это криптография и надо проводить очень серьёзный аудит безопасности.
Зачем там вообще криптография, а уж тем более с аудитом?
Для заявленной задачи-то по обходу?
В любом случае — все равно внутри тоннеля вы гоняете https
Автор хочет впн.
ВПН — это не более, чем виртуальная частная сеть внутри публичной сети. Вы можете сделать тонель хоть с помощью bird/BGP без шифрования.
Целостность и секретность и аутентификацию вам обеспечит https.
Ну а от того чтобы этим тунелем смог воспользоваться кто угодно, любой желающий, внедрившийся в тунель где нибудь посередине — для данной задачи совершенно не важно. Тонель то бесплатен.
Целостность и секретность и аутентификацию вам обеспечит https.
Ну а от того чтобы этим тунелем смог воспользоваться кто угодно, любой желающий, внедрившийся в тунель где нибудь посередине — для данной задачи совершенно не важно. Тонель то бесплатен.
Целостность и секретность и аутентификацию вам обеспечит https.
Ну а от того чтобы этим тунелем смог воспользоваться кто угодно, любой желающий, внедрившийся в тунель где нибудь посередине — для данной задачи совершенно не важно.
Вы уж определитесь. Или секретность и аутентификация, или мужик посередине.
Жую специально для вас:
Мужик посередине может воспользовать тонелем (не жалко), но не может назваться вашим именем или прочитать вашу «переписку» с сервером — https гарантирует это.
Для заявленных целей обхода — этого достаточно.
То, что кто-то будет делить с вами и так бесплатный канал — значения не имеет.
Мужик посередине может воспользовать тонелем (не жалко), но не может назваться вашим именем или прочитать вашу «переписку» с сервером — https гарантирует это.
Для заявленных целей обхода — этого достаточно.
То, что кто-то будет делить с вами и так бесплатный канал — значения не имеет.
Нет. Если мужик посередине может воспользоваться вашим туннелем — он может и прочитать переписку. Потому что туннель закрыт шифрованием.
А если вы имели в виду «воспользоваться тем же VPN-сервером с тем же ключом», то этот мужик не посередине, а сбоку. И прочитать ничего не может.
А если вы имели в виду «воспользоваться тем же VPN-сервером с тем же ключом», то этот мужик не посередине, а сбоку. И прочитать ничего не может.
А как же вы до сих пор жили без тунеля?
В наш век, если вы до сих пор пользуетесь голым http, без https — вашу переписку может читать кто угодно.
Да, классический VPN c принятым для него шифрованием, дает дополнительные гарантии, в частности, дает возможность пользоваться незащищенным протоколом и жить спокойно.
Но — зачем?
Когда сейчас сайты массово переходят на https, когда есть LetsEncrypt…
Для целей обхода блокировок — шифрование в VPN не нужно.
В наш век, если вы до сих пор пользуетесь голым http, без https — вашу переписку может читать кто угодно.
Да, классический VPN c принятым для него шифрованием, дает дополнительные гарантии, в частности, дает возможность пользоваться незащищенным протоколом и жить спокойно.
Но — зачем?
Когда сейчас сайты массово переходят на https, когда есть LetsEncrypt…
Для целей обхода блокировок — шифрование в VPN не нужно.
Нет, OpenVPN требует дополнительных настроек / скачивания и подгрузки профайла и вообще не является user friendly аппой для обычного пользователя.Зайти например на github.com/Nyr/openvpn-install а затем ввести единственную строку запуска скрипта, который сам все что нужно скачает и установит, даже спросит на какой порт поставить, на какое имя создать сертификаты, и это все без дополнительных ковыряний в конфигах. Я не думаю, что это сложнее, чем установить какую нть программу на свой комп. Командная строка без графического интерфейса не такая уж и страшная.
Или придется чебурнет вводить.
Реакцию властей на действия РКН (т.е. отсутствие реакции) сложно интерпретировать иначе как "всё идёт по плану". Даже об отдельных перегибах на местах ещё не говорили. Так что не обольщайтесь, самоё весёлое ещё впереди.
Спорно, что никому не нужны нормальные инструкции. Я не админ, но вполне себе смышленый парень, и настроить OpenVPN ни по одному гайду у меня не получилось.
При этом с другой стороны, благодаря certbot-auto настроить https оказалось даже проще, чем я думал.
Пиво это отсылки к шуткам про админов в свитерах и с пивом.
Или к временам фидонета… Там тоже пиво было в ходу)
Или к временам фидонета… Там тоже пиво было в ходу)
На мой взгляд надо брать пример с пиринговых сетей, только вместо раздающих контент хостов — хосты с ВПН, может к пиву ВПН полагается закуска DNSCrypt?
Скриптов для поднятия vpn на vps в один клик в сети полно валяется.
Вбить имя и пароль от vpn на телефоне «клиента» тоже ничем не сложнее, чем поставить там софт.
И не придется никого на «мобильные мессенджеры» подсаживать.
Вбить имя и пароль от vpn на телефоне «клиента» тоже ничем не сложнее, чем поставить там софт.
И не придется никого на «мобильные мессенджеры» подсаживать.
Многим юзерам удобнее использовать просто и понятно сделанную аппу, а не копаться в настройках openvpn. А особенно аппу, сделанную лично для них. Это психология и маркетинг, а вы смотрите на проблему взглядом технаря.
А причем тут дополнительный софт вообще и openvpn в частности?
И андроид, и айфон имеют встроенную поддержку vpn.
Вбиваете там сервер, имя пользователя и пароль — и не надо никаких дополнительных сущностей разводить. Которые в случае айфона вообще не возможны, а в случае андроида дырку в безопасности оставляют.
И андроид, и айфон имеют встроенную поддержку vpn.
Вбиваете там сервер, имя пользователя и пароль — и не надо никаких дополнительных сущностей разводить. Которые в случае айфона вообще не возможны, а в случае андроида дырку в безопасности оставляют.
Так уж вышло, что пользователи чаще используют аппы для включения VPN, а не настраивают его через установки сети. Это просто факт.
А про минусы публичных VPN я уже написал.
А про минусы публичных VPN я уже написал.
Так уж вышло, что пользователи чаще ставят софт из маркета, а не из левых источников. А если vpn будет настраивать «админа», то какая разница, как там будет выглядеть методика настройки?
Вариант 1:
Ввести имя и пароль в настройках телефона, вытащить ярлык на рабочий стол или вообще поставить галку «подключаться автоматом». От телефона зависит слабо.
Вариант 2:
Спросить, какая ОС на телефоне, если ios — послать пользователя.
Если андроид, то поставить телеграм и зарегистрировать там пользователя.
Сделать пользователю индивидуальный apk и скачать его на телефон.
Поставить программу из левого источника…
Вариант 1:
Ввести имя и пароль в настройках телефона, вытащить ярлык на рабочий стол или вообще поставить галку «подключаться автоматом». От телефона зависит слабо.
Вариант 2:
Спросить, какая ОС на телефоне, если ios — послать пользователя.
Если андроид, то поставить телеграм и зарегистрировать там пользователя.
Сделать пользователю индивидуальный apk и скачать его на телефон.
Поставить программу из левого источника…
А в чем проблема для админа выложить выложить аппу в плей и апп сторы? Она абсолютно честная и легальная.
В аппстор уже не нужно деньги платить, любой может выкладывать?
Тогда добавляется шаг «выложить софт в маркет» для каждого пользователя.
По-моему, это всё выходит далеко за рамки «за пиво».
По-моему, это всё выходит далеко за рамки «за пиво».
А в чем проблема для админа выложить выложить аппу в плей и апп сторы?
Даже не учитывая вопрос цены.
Люди месяцами ждут одобрения своих приложений в этих самых сторах.
Ну и опять таки — а вопрос доверия к софту, выложенному непонятно кем.
Ведь это не просто игруха, а будет отвечать за ваш трафик.
А доверие к софту всяких *VPN коих в ГП миллион уже не стоит?
Если VPN коммерческий — понятен интерес тех, кто делает свой клиент. Это для простоты подключения и привязки тем самым к себе клиента.
В чем интерес бесплатных VPN клиентов?
Ну да, охотно верю, что есть среди них такие, что созданы ради облагодетельствания человечества. Но три-пять штук…
Если же бесплатные VPN-клиенты появляются десятками — простите, что то слабо я верю в альтруистскую мотивацию
В чем интерес бесплатных VPN клиентов?
Ну да, охотно верю, что есть среди них такие, что созданы ради облагодетельствания человечества. Но три-пять штук…
Если же бесплатные VPN-клиенты появляются десятками — простите, что то слабо я верю в альтруистскую мотивацию
Ок, VPN-клиент с бесплатным триалом, или бесплатным зарезанным планом вы куда отнесете?
А так, да. Их реально штук несколько — OpenVPN, Outline (ShadowSocks), ProtonVPN. Ну еще OperaVPN была.
А так, да. Их реально штук несколько — OpenVPN, Outline (ShadowSocks), ProtonVPN. Ну еще OperaVPN была.
Вот еще человек высказал такое же подозрение как и я:
habr.com/post/354956/#comment_10791450
Вернемся к вам:
Очевидно — коммерческий интерес присутствует.
Про Strongswan сэр не в курсе, конечно же?
Ну, кто бы сомневался…
habr.com/post/354956/#comment_10791450
то первое, что я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя.
Второй мыслью будет желание поиметь на мне какие-то деньги. В случае бесплатного сервиса такое желание как правило выливается в желание покопаться в моих данных.
Вернемся к вам:
Ок, VPN-клиент с бесплатным триалом, или бесплатным зарезанным планом вы куда отнесете?
Очевидно — коммерческий интерес присутствует.
А так, да. Их реально штук несколько — OpenVPN, Outline (ShadowSocks), ProtonVPN. Ну еще OperaVPN была.
Про Strongswan сэр не в курсе, конечно же?
Ну, кто бы сомневался…
Про Strongswan сэр не в курсе, конечно же?
а зачем он нужен? StrongSwan — это реализация IPSec, который есть нативно во всех ОС. Ну, в моем Android 6.0 точно есть.
Просто порог вхождения по настройке IPSec/L2TP VPN он выше среднего, опять же. Это больше корпоративный сценарий, требующий MDM-а, а не массовый синглклик.
я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя
Паранойя — это хорошо, но ее лучше использовать вместе с бритвой Оккама. Qui prodest?
а зачем он нужен? StrongSwan — это реализация IPSec, который есть нативно во всех ОС. Ну, в моем Android 6.0 точно есть.
Понятно, все же вы не в курсе.
IPsec IPsec'у — рознь.
Рассказываю:
Родной IPsec даже в моем Android 8 (хотя формально он и в Android 5 есть) работает сравнительно корявенько.
Strongswan стабильнее намного, намного лучше переживает потери связи и смену IP (что норма при перемещениях со смартфоном с подключением то к Wi-Fi, то к мобильному интернету), лучше проходит сквозь NAT (хотя, казалось бы, почему — ведь формально это тот же IPsec — но практика показывает иное, что клиент Strongswan более «пробивной») и пр.и пр.
Ээээ… Ну тут больше вопрос к вендору прошивки: я на своем попередергивал IPSec между вайфаем и 4G и успокоился, когда убедился, что перепрыгивает стабильно. Нашел, кстати, багу: при поднятии IPSec L2TP туннеля девайс уходил в ребут, а IPSec XAuth ему норм.
Но на фоне всего этого поднять одной командой sslibev на сервере без юзерменеджмента и маскарадинга, и разбросать строчечку настройки в телеграме чтоб она еще и копипастилась по тапу (а Outline настройку в буфере обнаруживает) — это вообще автомагия.
Но на фоне всего этого поднять одной командой sslibev на сервере без юзерменеджмента и маскарадинга, и разбросать строчечку настройки в телеграме чтоб она еще и копипастилась по тапу (а Outline настройку в буфере обнаруживает) — это вообще автомагия.
Если ios — не возится с аппами, а скинуть xml, который будучи установлен сам настроит встроенный впн. И никакой суеты и кнопок.
Скорее всего подобные «групповые политики» есть и под андроид, но тут я хз.
Скорее всего подобные «групповые политики» есть и под андроид, но тут я хз.
Ну тут же ботнет хотят делать — «отдать контроль в руки нашему сервису» — потому и нужно приложение. :)
AFAIK, под Android нету. В этом и боль встроенного PPTP/L2TP/IPSec
Значит нужно использовать решения MDM вроде Cisco Meraki :D
На толпу в 50 человек использовать MDM? Простите, но нет. синглклик аппа, и хватит.
Синглклик аппа, телеграм-бот с проверкой подписки — это по сути колхоз-mdm, при этом нормально колхозится он будет только на андроидах (мы ведь говорим про мобилки).
В mdm-решениях уже всё сделано за нас. Ну и, да, яблоки со своими xml-ами позволяют обойтись почти без колхоза (читать про apple configurator). Про блекбери и мобильную винду не скажу.
В mdm-решениях уже всё сделано за нас. Ну и, да, яблоки со своими xml-ами позволяют обойтись почти без колхоза (читать про apple configurator). Про блекбери и мобильную винду не скажу.
Это надо инструкции писать. А аппа, которая с одной кнопкой «сделать хорошо» понятнее и удобнее.
Если vpn будет настраивать «админ», то какая разница, где именно кнопка?
А для пользователя всё равно придётся писать инструкцию, начиная с установки и регистрации в телеграме, поиске галки «разрешить установку левого софта» и т.п.
А для пользователя всё равно придётся писать инструкцию, начиная с установки и регистрации в телеграме, поиске галки «разрешить установку левого софта» и т.п.
У андроида очень неудобный встроенный VPN. Требует установки пароля на экран, что минимум половине пользователей нафиг не нужно.
Это психология и маркетинг, а вы смотрите на проблему взглядом технаря.
Запостив идею на хабре, странно ожидать какую-то иную реакцию, нежели «взгляд технаря».
Может хватит советов «азаза, ща нагнём ркн, за бакс впску поднимем в один клик». 3 недели вполне достаточно, чтобы понять что происходит и что будет происходить и перестать давать тупые советы.
Не вижу проблем размещать аппу на Play и даже апдейтить ее там при изменении настроек, добавлении серверов и т.п.
С iOS может быть сложнее, но, с другой стороны, с чего бы Эпплу не пропускать в аппстор обычную VPN аппу?
Про отсутствие спроса, думаю, вы неправы.
Ну это уже вопрос к рынку и успешному маркетингу. Примеров перехода идей от «это никому не нужно» до «как же мы раньше до этого не додумались?» на рынке масса.
С iOS может быть сложнее, но, с другой стороны, с чего бы Эпплу не пропускать в аппстор обычную VPN аппу?
Про отсутствие спроса, думаю, вы неправы.
Ну это уже вопрос к рынку и успешному маркетингу. Примеров перехода идей от «это никому не нужно» до «как же мы раньше до этого не додумались?» на рынке масса.
В схемах «за пиво» одна фигня мешает: если настроить можно за чай/пиво/улыбку и спасибо, то поддержка уже напрягает. Потому что человек, попросив (и получив) хотя бы помощь по выбору мышки, обязательно считает, что получил безлимитного и бесплатного советчика и ремонтника своих проблем (желательно — по телефону/лично, желательно — круглосуточно).
Поэтому и видим, как (в общем-то добрые) «компьютерщики» отказывают знакомым сразу.
Поэтому и видим, как (в общем-то добрые) «компьютерщики» отказывают знакомым сразу.
Согласен, могут замучать. Именно поэтому и хочется оставить на стороне пользователя минимальный шанс на ошибку и факап и отдать контроль в руки нашему сервису и самому админу.
Но все-равно, каждый админ должен будет решиться на этот шаг, понимая, что ему придется принять на себя груз пары десяткой пользователей. Если не пары сотен…
Думаю, телеграм каналу нужен будет бот, который возьмет на себя частьглупых базовых вопросов пользователей.
Но все-равно, каждый админ должен будет решиться на этот шаг, понимая, что ему придется принять на себя груз пары десяткой пользователей. Если не пары сотен…
Думаю, телеграм каналу нужен будет бот, который возьмет на себя часть
Админ получает взамен регулярныую благодарность и пиво )
А разве не в этом смысл «Павел Дуров потратит миллионы долларов на VPN», да и канал в Телеграмме.
Настройка VPS–ки - задача админа, а не сервиса.
Пусть настраивает как его душе угодно.
Нам от него нужны только ключи и логины для «генерации» аппы.
Пусть настраивает как его душе угодно.
Нам от него нужны только ключи и логины для «генерации» аппы.
Ну то есть человек в состоянии настроить vpn-сервер, но почему-то должен клиентскую часть доверить странной апе с привязкой к телеграмму (который привязан к телефону и который у клиента может быть заблочен). При этом передача ключей — такой же открытый вопрос, как и в случае с OpenVPN. Только OpenVPN — продукт, которым пользуются миллионы людей (и который так просто не дропнут из маркета, кстати), а приложение при таких вводных едва ли наберет пару тыщ скачиваний
Openvpn-as дает только две бесплатные лицензии, дальше за деньги и одна лицензия стоит больше, чем VPS.
Чем же вам так www.getoutline.org не угодил?
Мне нравится.
Действительно, распространению https очень сильно помог https://letsencrypt.org, а точнее
https://certbot.eff.org. Поэтому нельзя недооценить важность простой настройки. Сам почувствовал это. https на сервере оказалось проще настроить, чем VPN или SOCK5 прокси.
Я тоже хотел бы поучаствовать в каком-то формате. Могу сделать iOS приложение, например
Интересно. Но я не совсем понимаю, как можно сделать VPN через SSH?
Возможно ли перенаправить ВЕСЬ траффика мобильного устройства через SSH туннель по запросу одной аппы?
Сделал группу для обсуждения: t.me/beervpn.com
Возможно ли перенаправить ВЕСЬ траффика мобильного устройства через SSH туннель по запросу одной аппы?
Сделал группу для обсуждения: t.me/beervpn.com
Блин, сорри, правильная ссылка: https://t.me/beervpn
Емнип adguard под андроид может переключать трафик на локальный прокси (будь то ssh или даже тор)
Под андроид — точно можно в произвольный ssh туннель завернуть весь трафик, ki4a, ssh tunnel. Хотя второй возможно уже мёртв. Это если одна приложуха, если 2 — много вариантов умеющих запускать сокс прокси для ssh (вполть до запуска бинарников в shell), а дальше нужно найти того кто завернёт весь трафик в туннель
Посмотрите https://github.com/trailofbits/algo. Может быть, все что нужно будет — перевести ридми.
github.com/Nyr/openvpn-install
Хороший скрипт по установке и быстрой настройке OpenVPN-сервера. Так же способен генерировать клиентские конфиги и сертификаты, и даже отзывать их.
Сам использую уже 3 года.
Хороший скрипт по установке и быстрой настройке OpenVPN-сервера. Так же способен генерировать клиентские конфиги и сертификаты, и даже отзывать их.
Сам использую уже 3 года.
Встроеный VPN в Opera уже не работает?
Вообще как-то слишком много левых приложений. Тот же телеграм работает далеко не стабильно, как "аппа" будет обращаться к заблокированному api для получения данных о наличии человека в телеге, что делать если сам beervpn заблокируют. Зачем вообще нужна отдельная "аппа"? Установка "аппы" не из гоголь стора — потенциальная опасность, поскольку нужно убрать галочку в настройках, которые пользователь хрен сам найдёт.
Было бы намного проще и безопаснее — сделать одно приложение для дроида и запустить его в гоголь сторе, это приложение может использовать хоть i2p, хоть tor для хранения своего api. Лучше наверное tor. Сам beervpn хранить в tor, хотя бы чтобы ркн проблем небольших добавить, лучше конечно же i2p. Вообще избавиться от телеграмма как лишнего посредника. Использовать реферальные ссылки аля beervpn://ref?id=XXXXX-XXX-XXXXX&key=YYYY-YYYY=YYYY-yyyy, эта ссылка и будет авторизацией, и админ на том же beervpn.{i2p,tor} может эти все ссылки сам администрировать.
Но что делать, коли api будет заблокирован? Можно использовать авторизацию самого VPN сервера, ведь у него есть возможность управлять сертификатами и довольно безопасная!
Мы вообще говорим об одном и том же. Не вижу предмета для спора. Мне нравится идея раздавать аппы, а не инструкции. Вам — инструкции, а не аппы. Суть от этого не меняется.
Про "выгоду за пиво", вы просто не поняли смысл шутки. Почитайте тут: https://en.m.wikipedia.org/wiki/Beerware?wprov=sfla1
Отож. Полностью согласен.
Большевики пришли: ЗАСТАВИТЬ! (Причем именно заставить, именно кэпсом и именно с восклицательным знаком).
Капиталисты пришли: ЗАСТАВИТЬ!!!
Убеждать надо, а не заставлять.
Капиталисты всё же больше убеждают — реклама, маркетинг, вот это всё.
Реклама — очень редко убеждение и информирование. Чаще именно агрессивное принуждение, попытка предотвратить любые попытки обдумать свой выбор.
Маркетинг — чаще попытка скрыть реальное положение дел.
Да и вне продаж чего-то населению принуждения выше крыши, как экономического с информационным, так и силового.
Если что, в России сейчас в основном именно капитализм (экономикой рулят большие капиталы). Со своими особенностями, но капитализм.
Почему враждебная точка зрения должна навязываться, а совместимая — нет?
На то есть масса причин.
Озвучу несколько.
- Вы хотите уподобиться вашему врагу? А чем вы после этого вообще лучше?
- Навязанная точка зрения так же легко может быть заменена на другую навязанную, ибо навязанное преходяще, и только осознанные убеждения в некоторой степени стойки.
- Результат определяется не качеством точки зрения, а тем, у кого "навязывалка" больше.
- А как же свобода?
- Заставлять мягко невозможно. Получите сопротивление только потому, что заставляете. Выгодным для пользователя образом? А не проще ли сразу показать пользователю его выгоду (путем сравнения цены вопроса всех вариантов, причем полной, без всяких "мелким шрифтом") и тем самым убедить его? Кроме того, кто вам сказал, что вы правильно просчитали выгоду конкретного пользователя?
- С навязанной точкой зрения пользователь не может сделать осознанный выбор, поскольку точка зрения, определяющая выбор, ему уже навязана.
- "Всегда есть рыба покрупнее" (с) Квай-Гон Джинн.
- Плохо. Да еще и бесполезно, поскольку очевидно, как этот "тот, кто" воспользуется обретенной свободой.
Возвращаясь к теме с VPN.
Если кто-то будет меня ЗАСТАВЛЯТЬ (прошу заметить, что слово в статье идет именно кэпсом, что поинято использовать для усиления, а потому никак не намекает на скоытые за этим "мягкие" альтернативы) им пользоваться (особенно если это какое-то конкретное решение), то первое, что я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя.
Второй мыслью будет желание поиметь на мне какие-то деньги. В случае бесплатного сервиса такое желание как правило выливается в желание покопаться в моих данных. Даже если через VPN пойдет только закрытый по HTPS трафик, многое расскажут одни IP адреса.
Еще придет в голову вариант декабристов, которые подставили вместе с собой под расстрел ничего не понимающих, введенных в заблуждение подчиненных.
Про "добрую волю" заставляющего я подумаю в последнюю очередь и отнесу к маловероятным вариантам.
Пользуюсь вот таким простым рецептом — medium.com/meduza-how-it-works/хочу-свой-vpn-за-5-минут-что-делать-5581e536650a
Цена вопроса — 5$/month/500Gb. Очень удобно шарить ключи, клиенты по все популярные os.
Цена вопроса — 5$/month/500Gb. Очень удобно шарить ключи, клиенты по все популярные os.
От Линкедина на почту был один спам, на Пейсбук нормальным людям монописуально.
Не так давно один мой друг брал себе очередной дроплет на do. Только с четвертой или пятой попытки ему удалось найти незаблокированный IP.
И нет никаких гарантий что этот IP не будет заблокирован.
Связываться в тему хостерами у которых есть API — чревато (даже хетцнер попал под раздачу).
Связываться с хотсерами без API и вообще не пойми какими — тоже так себе затея (риски).
Даешь пиление провайдеров и опсосов на включение ipv6 :) пока по слухам только мтс умеет из опсосов, остальные провели тестирование и свернули…
И нет никаких гарантий что этот IP не будет заблокирован.
Связываться в тему хостерами у которых есть API — чревато (даже хетцнер попал под раздачу).
Связываться с хотсерами без API и вообще не пойми какими — тоже так себе затея (риски).
Даешь пиление провайдеров и опсосов на включение ipv6 :) пока по слухам только мтс умеет из опсосов, остальные провели тестирование и свернули…
А что IPv6? Он так же резво блокируется.IPv6 не блокируется, ни одним оператором. Пока не блокируется.
А много-ли операторов предоставляют IPv6?
Провайдеры с IPv6: 34 штуки.
Среди них крупные: МТС, Дом.ru, Ростелеком, ТТК.
Конечно ipv6 доступен далеко не во всех регионах но провайдеры потихоньку осваивают его. А если ваш провайдер всё ешё не предоставляет ipv6 то вы можете воспользоваться 6to4.
IPv6 не блокируется, ни одним оператором. Пока не блокируется.
Просто руки не дошли пока что.
По факту это не является принципиально неосуществимым.
Пока система контроля ревизор не умеет в ipv6.
А так никто не мешает поднимать дальше впн на ipv6 и заворачивать туда ipv4 :D
А вот если как раз использовать туннели для включения ipv6 — то можно нарваться на блок ipv4 адреса брокера…
А так никто не мешает поднимать дальше впн на ipv6 и заворачивать туда ipv4 :D
А вот если как раз использовать туннели для включения ipv6 — то можно нарваться на блок ipv4 адреса брокера…
Не так резво. И в силу разрядности адреса — до гораздо меньшего объема. АФАИК циске до сих пор больно блэклистить v6, примерно на порядок больнее, чем v4
Мобильное приложение openvpn работает так: устанавливается в один клик из аппстора, затем в тот же телеграм присылается профайл, делается два клика по файлу: скачать-запустить, опенвпн сам подхватывает файл. Ещё один клик по кнопке «подключить». Более юзерфрендли сложно себе представить. Разве что написать бота, который будет отправлять профайл без лишних просьб.
И, конечно, не нужно держать несколько приложений, чтобы IP-шники нельзя было отследить. OpenVPN не держит, насколько я представляю, базу всех IP с развернутыми серверами.
И, конечно, не нужно держать несколько приложений, чтобы IP-шники нельзя было отследить. OpenVPN не держит, насколько я представляю, базу всех IP с развернутыми серверами.
вы забыли несколько существенных моментов. настроить подсеть на сервере и маскарадинг. и напугать пользователя ворнингом «Сеть может отслеживаться» при импорте сертификата. Чем, кстати, приятно отличаются решения на pre-shared ключах.
Я недавно настраивал VPN для домашних и не заметил никаких таких ворнингов (даже если они были). Думаю, обычные пользователи вполне умеют следовать инструкции «кликните ОК».
Я не настоящий сварщик и, к сожалению, понятия не имею ни о настройке подсети, ни о маскарадинге. Я просто нашёл инструкцию о том, как поднять OpenVPN на VPS и теперь по просьбе знакомых в пару действий завожу ключи. Самое сложное действие, которое требуется от пользователя — найти нужное приложение на сайте openVPN (и то, потому что мне было лень отправлять на него ссылку).
Я не настоящий сварщик и, к сожалению, понятия не имею ни о настройке подсети, ни о маскарадинге. Я просто нашёл инструкцию о том, как поднять OpenVPN на VPS и теперь по просьбе знакомых в пару действий завожу ключи. Самое сложное действие, которое требуется от пользователя — найти нужное приложение на сайте openVPN (и то, потому что мне было лень отправлять на него ссылку).
Ну, я его настраивал еще когда этих ваших докеров даже не было, ручками. Самое бесявое всегда было — юзерменеджмент. Сгенери, раздай… И не забудь проверить что трафик заворачивается и ходит как надо — к слову о маскарадинге.
В моей инструкции не было никакого докера. Я озаботился VPNом незадолго до того, как это стало модным. Всё работает из коробки, ничего проверять мне не пришлось. Единственная нерешенная проблема — невозможность подключиться к стандартному порту из многих внутренних сеток.
Сгенерить десяток ключей — не проблема вообще. Была бы сотня — ну ёлки, неужели это проблема написать веб-страничку/бота для друзей, который будет генерить и отдавать ключи?
Сгенерить десяток ключей — не проблема вообще. Была бы сотня — ну ёлки, неужели это проблема написать веб-страничку/бота для друзей, который будет генерить и отдавать ключи?
Можно и без ключей, никто не мешает по логину-паролю авторизовывать, хоть это и не труъ
господа, а озадачивался ли кто-то ответственностью админа за трафик, идущий с его vps-ки? найти его возможно хотя-бы по кредитке, которой он оплачивает vps. потеряет кто-нибудь из знакомых мобилу с vpn возле террористов и не сочтет нужным оповестить админа. пример утрированный, но у нас все возможно. я вот поэтому гостевой wi-fi не оставляю без пароля. вроде, физ лица не должны идентифицировать своих клиентов, но вычислить владельца все равно можно.
Есть юрисдикции в которых владелец сетевого ресурса не отвечает за транзитный трафик. Германия, ЕМНИП, Швейцария. Можно погуглить TOR Exit-friendly хостинги — это будет ровно то, что вы ищете.
Мне от DO пару раз прилетало за то, что забывал выключить все и трансмишн прорывался качать кины через впс. Без последствий, однако.
Если предоставление vpn будет носить характер предоставления услуги, то могут пришить и незаконную предпринимательскую деятельность, особенно если «за пиво», то есть доход в натуральной форме.
так есть же Outline getoutline.org/en/home
Все что описал автор в посте — уже сделал Google — Outline
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
VPN за пиво?