Как стать автором
Обновить

Современные технологии обхода блокировок: V2Ray, XRay, XTLS, Hysteria, Cloak и все-все-все

Время на прочтение20 мин
Количество просмотров326K
Всего голосов 126: ↑124 и ↓2+153
Комментарии136

Комментарии 136

ЗакрепленныеЗакреплённые комментарии

Создатель протокола VLESS RPRX просил писать именно VLESS, а не VLess и т.д. :)

Reality протокол уже официально пре-релизнулся и поддерживается многими клиентами, аля WingsX (iOS, Mac), v2rayNG (Android), v2rayN (Windows). Если посмотреть в гитхабе, есть примеры (https://github.com/chika0801/Xray-examples) и описание. Думаю нет релиза из-за того что Xray-core 1.8 не поддерживает xtls-rprx-direct, и если прям релизнут, то v2rayNG и тд релизнут новые версии с новым ядром не только в github, но и в play market и тд, и тем самым на многие сервера нельзя будет подключиться из-за того что клиенты не будут поддерживать старые конфиги.

Рекомендуете использовать ws, но многие от него уходят в сторону grpc из-за нестабильности, и ещё grpc поддерживает cloudflare например, как и ws, но за ws при больших объемах запросов нужно платить ещё)

Многие говорят что у Trojan бОльшая задержка нежели у VLESS, но тем не менее оно всё таки имеет приемущество в некотром смысле - поддержка на старых устройствах. Оригинальный Xray-core поддерживается только на iOS 16+, поэтому на более старых можно использовать Trojan.

Использовать ws, grpc в России это пока слишком, нет смысла терять скорость если нет необходимости. Можно понять если у нас не осталось уже чистых IP и блочат как в Иране или Туркменистане например, и использовать ws, grpc вместе с cdn, тогда это ещё разумно, а так, такое..

В целом статья хорошая, у меня не дошли руки дописать, но я рад что статья всё таки вышла и подготовила хабрчан к чебурнету)

НЛО прилетело и опубликовало эту надпись здесь

За обзор спасибо, монументально!

А вот на вопрос "что использовать?", если мы в России, а не в Китае - то пока что ответил бы "Wireguard" :) Потому что угадать, что, когда и как будут блокировать, невозможно, и к тому времени наверняка появится целый зоопарк ещё более изощрённых протоколов. Проблемы тут можно решать только по мере их возникновения. Про технические возможности блокировки в текущих реалиях не скажу, не в курсе. Но как минимум историю с регистрацией корпоративных VPN, которую чуть было не начали реализовывать, тогда же сразу и свернули, - так что чтобы начать блочить вот прям протоколами, её сначала надо будет заново пройти.

В любом случае, полезно минимизировать количество трансграничных каналов, т.е. VPN-сервер для пользователей делать в России, а от него уже канал за рубеж отдельно, который в случае наступления тёмных времён можно хоть каждую неделю перенастраивать на новый протокол, не трогая конечные устройства.

НЛО прилетело и опубликовало эту надпись здесь

Ну заблокируют - он будет за пару часов заменён на что угодно другое. Пока что он очень радует минимальной потерей скорости при ощутимой latency (а до зарубежного сервера у нас по-любому >30ms)

Два сервера у меня уже больше года. Изначально даже не из опасений блокировки, а из-за того, что весь трафик пользователей гонять через Европу - лишние тормоза и проблемы с российскими сайтами. А таблицу маршрутизации на десятки/сотни тысяч префиксов я себе на роутеры (дома и в офисе) по BGP раздаю, но на телефон-то её не запихнёшь (да и на ноутбук под виндой без отдельных танцев с бубном - тоже).

НЛО прилетело и опубликовало эту надпись здесь

А зачем на телефон? телефон цепляется ipsec\wireguard к домашнему роутеру, а роутер уже решает куда дальше пулять.

Так я ровно про это и пишу. Для конечных устройств один VPN-сервер с популярным и шустрым протоколом, а от него за кордон - другой, с тем протоколом, который пробьётся. Только Вы предлагаете в качестве первого VPN-сервера домашний роутер использовать, у меня отдельная виртуалка в облаке. Тут уж от количества и состава пользователей и стабильности домашнего канала зависит, но это нюансы, схема принципиально та же.

НЛО прилетело и опубликовало эту надпись здесь

Это было не к вопросу обхода блокировок, а к вопросу маршрутизации.

Внутри страны блочить IPSec/WireGuard сразу не будут. Даже перед блокировкой VPN-сервисов популярных ЦБ проводил опрос у банков не пользуются ли они случайно ими, чтобы ненароком бизнес-процессы не сломать. IPSec отвечает в огромном количестве компаний за интеграции между компаниями, региональными отделениями. О подготовке к блокировке такого мы узнаем явно заранее.

НЛО прилетело и опубликовало эту надпись здесь

Разделение на физиков и юриков не рассматривается вообще, это на первый взгляд кажется, что просто

  1. РКН(ТСПУ) не знает про клиентские данные из биллинга провайдера ничего . А тип клиента это именно что биллинговый признак. В лучшем случае этот признак есть на pcrf/pcef оператора ( почти никогда ), но и втуда ТСПУ не ходит для сверки.

  1. Довольно огромный процент среднего и малого бизнеса используют договор для интернета для физлица. Даже если центральный офис сидит на корпоративном, то вот конечные точки/офисы часто могут сидеть на мобильном инете, симка которого оформлена на физлицо. Да даже если крупный бизнес смотреть, то подробная схема тоже встречаемся часто по абсолютно разным причинам, даже если так не принято

Так что если будет блочиться - это будет блочиться для всех в равных условиях.

Единственный вариант попытаться разделить юриков на физиков это выдача статических nat ip из специально выделенного пула. Но это лишь задумка, по факту операторы этим не занимаются. Да и второй вопрос все равно останется нетронутым.

Но вот оно приключилось

Так в итоге и не заблочили пока. Тыкают палочкой, смотрят.

Технари склонны ударятся в другую крайность — "а наверну-ка я обфускацию по-максимуму, чтобы быть на шаг впереди даже тех китайцев, которые обходят Золотой Щит".


Но не нужно бежать быстрее медведя, достаточно бежать быстрее самых медленных. А самые медленные сейчас — пользователи коммерческих сервисов.


Я вообще много лет сижу на бесплатном Антизапрете (даже не его self-hosted варианте), заблокировать который как два байта переслать (достаточно доступ к домену заблокировать), но который, тем не менее, отметил 10-летие работы.

НЛО прилетело и опубликовало эту надпись здесь

Истово поддерживаю. Не нужно выкладывать все что умеешь.

У киатйцев на гитхабе прям просьба жирным текстом. Меньше спрашивай, больше читай.

Не давай инфу GFW.

НЛО прилетело и опубликовало эту надпись здесь

Коммерческие сервисы тоже есть со всякими маскировками. Вон, Adguard VPN уже давно хвалится, что у них какой-то особый протокол, который до сих пор не могут заблокировать — и ведь работает, что характерно...

Сглазили вы Антизапрет :)

угу, который составляет реестр неугодных.... и следит за ними уже 10 лет....

НЛО прилетело и опубликовало эту надпись здесь

Этот костыль почти не замедляет wireguard поскольку работает тоже в ядре. Альтернатив по скорости насколько я понимаю нет. Поддержки других систем нет, но для линуха работает хорошо.

В ядре - это хорошо только на первый взгляд. По факту сложно обновлять и портировать. Поэтому очень многие кто использует WG под капотом перешли на userspace-имплементации (на Go там или ещё чём). Обновлять можно просто выкатив новый бинарник приложения.

А несколько % скорости не так важны, особенно в плане обхода блокировок.

В интернете есть более красивая идея.
Пользователи идут на забугорный VPN сервер который ВЫПОЛНЯЕТ требования роскомнадзора. Поэтому его не блокируют.
А с того VPN сервера идут на частный VPN сервер, о котором роскомнадзор не знает.

а это, простите - какой? Который выполняет. Для себя интересуюсь.

Это просто идея. Такие сервера мне неизвестны.

кажется что лолгично с него начинать как с самого простого-молодёжного-итд. но почему то ещё пару лет назад всплывали новости о тестировании блокировок протоколов на (внезапно) - ipsec\l2tp несмотря на то что ето самые корпоративные протоколы иих троготь надо в последнюю очередь

Использую Outline на своем сервере. Он как, заслуживает доверия?

Это shadowsocks. Поэтому, думаю, заслуживает.

jigsaw-code под google так что подумать дважды прежде чем (наверняка так же как хром телеметрит по полной)

он у меня (винда10) дерется с tun-интерфейсом от OpenVPN и не работает вообще. а так полезная вещь, да

это чистый shadowsocks, почитайте статью, он давно детектится

А есть кто-то сравнимое по удобству и простоте настройки? Что детектится - пока не режут вроде, никто не жаловался.

Так то да, пока не трогают, но запасные варианты надо иметь.

Чем он удобен, кроме того, что ставится одной командой в докер?

Вчера настроил после этой статьи xray/grpc + xray/xtls-vision. Потратил прилично времени, чтоб все это понять. Зато в клиенте shadowrocket куча настроек, что куда/почему/зачем. Намного гибче, чем outline.

Outline очень удобен, когда делаешь VPN не для себя или не только для себя. У него очень простые однокнопочные клиенты, не требующие настройки и понятные даже бабушке. Ну и то, что устанавливается всё одной командой, сразу работает, и легко администрируется - это несомненный плюс, особенно, когда свободного времени не так много.

Надо чтобы клиенты ставились и подключались одной кнопкой, чтобы родителям или людям далеким от ИТ было просто ставить. С этим у Outline все хорошо

авторы на гитхабе пишут про это https://github.com/Jigsaw-Code/outline-server#shadowsocks-resistance-against-detection-and-blocking

The Outline team and Shadowsocks community made a number of improvements that strengthened Shadowsocks beyond the censor's current capabilities.
...
Shadowsocks remains our protocol of choice because it's simple, well understood and very performant.

НЛО прилетело и опубликовало эту надпись здесь

Спасибо за разъяснение, меня термин "плагин" по отношению к X-Ray ввел в заблуждение, я решил, что ему нужен будет Shadowsocks, а он самодостаточный клиент-сервер получается.

НЛО прилетело и опубликовало эту надпись здесь

XRay еще и multiuser умеет, ShadowSocks-ev не умел.

Лично я склоняюсь к юридическим, а не к технологическим решениям проблемы. Необходимо изменение законодательства, а не его обход.

Написал бы много мыслей по этому поводу, но, к сожалению, карма слишком низка.

НЛО прилетело и опубликовало эту надпись здесь

Может быть off-topic, но никто не знает решения на android с протоколом IP-over-DNS?
Iodine имеет клиент andiodine, который падает, накрылся slowdns.
Судя по тестам провайдер пропускает dns трафик даже при отрицательном балансе.

а оно живет еще? в одном перевернутом провайдере прибили все эти "овер" уже давно, лет 10 как. icmp, dns и другие чудеса.

Я заграницей, отрицательный баланс, скорость смог довести до 100кб+ при установке длинных txt записей:


image

Спасибо за статью. Как раз сейчас изучаю Xray и sing-box. Заинтересовался XTLS Reality, благо он реализован и в xray и sing-box. Но Gui клиентов с поддержкой realty на Windows не нашёл, хотя на андроид есть Nekobox.

НЛО прилетело и опубликовало эту надпись здесь

Nekobox позволяет добавлять кастомные поля в JSON-конфиг

То ли я слепой, то ли лыжи не едут)
С Nekobox с вашей подачи разобрался, спасибо

НЛО прилетело и опубликовало эту надпись здесь

Интерфейс старой версии и вправду был вырвиглазным, но сейчас всё изменилось, а может вы этот и имели ввиду, хе)

Чтонибудь из этих средств можно установить без административного доступа к винде?

Клиент v2ray не требует административного доступа к винде (и установки вообще как таковой). Софтина поднимает локальный прокси, который можно вбить в браузер или плагин.

НЛО прилетело и опубликовало эту надпись здесь

В сети ходят куча скриптов от китайцев, которые разворачивают практически любую из перечисленных в статье конфигураций, с одной оговоркой — они нафиг сносят существующий nginx и переписывают его своим. Хуже того — некоторые вообще его оставляют только для переадресации на сайт-заглушку, а на порту 443 висит, собственно, сам v2ray.
Есть ли какие-то скрипты, которые поднимают только v2ray с рюшечками, не трогая nginx?
Хотелось бы совместить приятное с полезным и разместить еще какие-то страницы на локальном nginx, а не отдавать сервер полностью под v2ray да редиректы.
У меня на старом сервере висит v2ray на "каталоге" сайта, но все новые авто-скрипты, похоже, так делать разучились.

НЛО прилетело и опубликовало эту надпись здесь
Смотря что именно надо — если в планах использовать XTLS (Vision или Reality), то XRay должен стоять перед Nginx, потому что эти механизмы требуют TLS-хаков, и поэтому сессия должна терминироваться именно в XRay.
Ага, вот оно что. Тогда понятно, почему так :)
Скриптов для этого даже особых не надо, Xray написан на Go и устанавливается просто киданием бинаря куда-нибудь в /opt, ну для надёжности можно systemd-юнит из трёх строк написать :)
Да тут скорее банально рабочий конфиг v2ray бы сгенерировать. А то я что-то пытался руками написать — не взлетело. Придется дальше мануалы раскуривать.
НЛО прилетело и опубликовало эту надпись здесь

Вот кстати да, вариантов установки сервера очень не хватает, ansible скриптов каких-нибудь, особенно, как уже отметили, при уже работающем nginx или другом реверс прокси.

Так что спасибо за эту статью и заранее спасибо за будущую!

Поддерживаю. И еще собранные пакеты под какую-нибудь Линуксовую систему хочется... Можно даже Убунту... Или Тэйлс :)

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Создатель протокола VLESS RPRX просил писать именно VLESS, а не VLess и т.д. :)

Reality протокол уже официально пре-релизнулся и поддерживается многими клиентами, аля WingsX (iOS, Mac), v2rayNG (Android), v2rayN (Windows). Если посмотреть в гитхабе, есть примеры (https://github.com/chika0801/Xray-examples) и описание. Думаю нет релиза из-за того что Xray-core 1.8 не поддерживает xtls-rprx-direct, и если прям релизнут, то v2rayNG и тд релизнут новые версии с новым ядром не только в github, но и в play market и тд, и тем самым на многие сервера нельзя будет подключиться из-за того что клиенты не будут поддерживать старые конфиги.

Рекомендуете использовать ws, но многие от него уходят в сторону grpc из-за нестабильности, и ещё grpc поддерживает cloudflare например, как и ws, но за ws при больших объемах запросов нужно платить ещё)

Многие говорят что у Trojan бОльшая задержка нежели у VLESS, но тем не менее оно всё таки имеет приемущество в некотром смысле - поддержка на старых устройствах. Оригинальный Xray-core поддерживается только на iOS 16+, поэтому на более старых можно использовать Trojan.

Использовать ws, grpc в России это пока слишком, нет смысла терять скорость если нет необходимости. Можно понять если у нас не осталось уже чистых IP и блочат как в Иране или Туркменистане например, и использовать ws, grpc вместе с cdn, тогда это ещё разумно, а так, такое..

В целом статья хорошая, у меня не дошли руки дописать, но я рад что статья всё таки вышла и подготовила хабрчан к чебурнету)

Да, обзор приятный, но не хватает гайдов и\или скриптов, так что ждем вместе с автором мая месяца.
А то я вот вроде не совсем дебил, но тот v2ray, что у меня поднял скрипт (года два назад) работает прекрасно, а на другой машине с более новым v2ray скопированный конфиг с измененным uuid и путем — уже не работает. Хотя казалось бы… Из настроек там по сути только они и есть.

ждем вместе с автором мая месяца.

Вы что-то знали про май месяц?

НЛО прилетело и опубликовало эту надпись здесь

Насколько я помню, direct вполне официально объявлен как deprecated и рекомендуется переходить на vision. Sing-box вон, его изначально и не поддерживал :)

Даже если deprecated, всё таки надо помнить что многие используют до сих пор direct и радуются жизни, а вот обновление, оно такое жесткое что прервёт этот кайф)

А сколько нужно набрать объема, чтобы Cloudflare начал требовать деньги?

К сожалению CF решила не указать конкретные цифры, но подробная табличка есть здесь: https://developers.cloudflare.com/support/network/using-cloudflare-with-websockets/

На iOS <16 еще можно использовать Shadowrocket, он хорошо умеет в VLESS с XTLS-Vision и uTLS.

Я заранее подготовился к данному аргументу, и поэтому указал что нет клиентов именно с оригинальным Xray-core в iOS'ах ниже 16 версии)

а куда они дели utls из shadowrocket в ios 16?

почитав все эти перепетии, подумал что чебурнет это просто когда не работает QUIC от слова совсем. Все просто ушли вперед, а чебурнет остался.

А что, ssh-туннели в России уже режут?

Понятно, что для Китая - да. А в России-то зачем? Если не режут, то и вряд ли будут. У нас последним самым ушлым 1% обычно не занимаются.

Ожидал и не увидел идеи прятать стеганографией в видеопоток. Например, через какой-нибудь имитатор zoom.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

У нас уже крупные телеком и прочие ИТ-компании просто наложат вето на закрытие ssh. Не готова Россия к полной изоляции по факту. И сервера за рубежом по факту, и работники.

Так-то оно да, кто-то вот землянки роет. Вопрос в вероятностях и матожидании выхлопа.

НЛО прилетело и опубликовало эту надпись здесь

а) будут, потому что нужна квалификация, чел в погонах не понимает что такое ssh.

б) в) слишком сложно, нет такой энергии и мощи организации

я) если даже так, то бегите, глупцы :) (что и кому вы там собираетесь доказывать своими иксреями?)

а)

это очень грубая, школьная, ошибка. вас видимо в Первый отдел не таскали и внимательно не беседовали.

Первый отдел принимает решения о запрете? Может неаккуратно выразился, согласен, что существуют челы в погонах, которые понимают. Но они для точечных репресиий, не для общего запрета.

я буду уклоняться от темы статьи. Первый отдел просто берет за... ну не будем уточнять. на кукан, как рыбу. и можно кричать о правах и прочее... не поможет. и вы очень недооцениваете роль товарищей майоров в текущей жизни. надеюсь, вам с ними не придется столкнуться.

У нас уже крупные телеком и прочие ИТ-компании просто наложат вето на закрытие ssh.

Так же мощно наложат, как наложили, когда их обязали оборудование для защиты детей от гейства за свой счет купить, поставить и доступы левым людям дать?


Не готова Россия к полной изоляции по факту.

После февраля прошлого года я уже ничему не удивлюсь. К тому же на Россию и ее неготовность к чему-то там центрам принятия решений (с) наплевать.

Вот не уверен, кстати, что доля будет более 1%. Люди смиряются (большинство отказалось от нельзяграма). Пассионарные уезжают или настраивают тунели, последних очень мало по-любому.
Да и вообще, в России сильно выделяться со сложным шифрованием трафика - это игра в русскую рулетку: постучат в физическую дверь сегодня или завтра. Проще уехать, когда ssh-тунели закроют (если до сих пор не хватало) или найти занятия, не зависящие от интернета.

НЛО прилетело и опубликовало эту надпись здесь

На всякий случай надо развернуть и проверить работу! Скачать мало :)
У нас одним днем могут отколоть.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Спасибо. Всё больше склоняюсь к аренде собственного сервака для индивидуального VPN. Платный VPN, который был закуплен на год с лишним вперёд сначала стал работать с большими перебоями, потом ограничил доступ к ресурсам типа FB, да бог бы с ним невелика потеря. Но теперь он вообще не хочет коннектиться и это уже всерьёз начинает мешать работе, поскольку теряешь доступ к ресурсам типа analog.com. Мало того, что электронные компоненты приходится закупать кривейшими путями, часто через Китай, так слетевшие с катушек цензоры ещё процесс разработки новых электронных устройств затрудняют, стреляя себе в ногу и увеличивая нашу технологическую отсталость!

Тем более, что у некоторых хостеров есть прям готовая услуга - vps с развернутым vpn. Но все это не поможет в случае блокировки VPN

Окей, вопрос с серверами и протоколами решен. А где это все развернуть? Где лучше купить зарубежный сервер, да чтобы оплатить можно было из России?

НЛО прилетело и опубликовало эту надпись здесь

пользовался vdsin'ой, но с прошлой недели они ввели 30+% комиссию на пополнение

значит маршируют в закат с военно-морской песней. дотянулись дефективные манагеры и туда.

полностью согласен, докатываю баланс, а пока ищу куда уйти)

я не рекламирую, но вот м... время-веб зашел сразу.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

посмотрите еще weasel, вполне демократичные цены на vps в нидерландах.

цены хорошие. смущает только десктопное железо.

model name : Intel Core Processor (Broadwell, IBRS)

какие цены, такое и железо, зато сеть 5гбит (shared) показывает iperf.

timeweb от 188р.

ishosting.com от 5$.

188 vps в РФ. В Тюльпанландии —  250.

Отличная статья, спасибо!

Можно же для обычного серфинга на те же "зароскомнадзоренные" сайты арендовать дедик где-нибудь в Амстердаме и работать на нём через удаленный рабочий стол.

Что с этой схемой не так?

НЛО прилетело и опубликовало эту надпись здесь

Не заметил в статье про cloak, интересно насколько он хорош для маскировки Shadowsocks?

НЛО прилетело и опубликовало эту надпись здесь

Неудобно только тем, что помимо клиента нужно ещё скачать/настроить плагин. Под IOS тоже работает на клиенте ShadowRocket.

спасибо. я как раз написал телеграм бота управления личным впн. ставится в 1 клик. арендуете vps, запускаете скрипт. shadowsocks который rust. как бы проверить насколько используемые shadowsocks + v2ray отвечают современным требованиям. Вы можете сделать экспертизу?

из коробки:

  • wireguard

  • shadowsocks + v2ray

  • adguardHome

  • легко и быстро настраиваемый PAC доступный по ссылке (в том числе для клиента под android shadowsocks)

  • поддержка домена и ssl

    https://github.com/mercurykd/vpnbot, есть телеграм группа для обсуждения хотелок

    если кто подскажет новейшую лучшую защиту, могу встроить в бота

Такие статьи надо в PDF себе сохранять…

Спасибо за статью. Живу в Китае 13 лет и постоянно приходится проходить квест по перелазу GFW. Имею 5 платных известных впнов и периодически поднимаю свои серваки для туннелирования, но работает всё очень не долговечно и не стабильно. И в разных городах/районах/провайдеров блокировки работают чуть по разному - например ВПН может работать какое-то время, пересекаешь границу с другим городом и он отваливается. Потом опять пол часа ищешь рабочий сервак/сервис/протокол.
Потом из-под впн китайские сервисы и сайты очень медленно шевелятся. А некоторые крупные сайты просто блокируют весь иностранный трафик, и зайти на них можно только из Китая. Вобщем Китай закрывает инет со всех сторон.
И особенная жесть с интернетом происходит во время разных больших партийных съездов.
За распространение впн сервисов тут наказывают очень больно. Вроде еще не наказывают за использование, но это не точно. Ходят слухи, что отслеживают и наказывают в некоторых локациях типа Синьцзяна, но подтвердить слухи не могу.
Я живу в 5 км от Гонконга, там вот нормальный инет, но сигнал глушат на границе. Каждый выезд из Китая ка глоток свежего воздуха)
Здесь просто поставить впн приложение тот еще квест - гугол плей как и весь гугол тут в принципе не доступен, в апп маркетах китайских телефонов впн приложения отсутствуют чуть более чем полностью, ну и во всяких аппсторах та же ситуация.
Если кто планирует лететь в Китай, рекомендую ставить не меньше 3-5 разных впн сервисов еще до прилета. И кстати бесплатные впн сервисы бывают работают лучше платных, но их ставить на свой страх и риск)Самое веселое, что китайцев почти полностью устраивает ситуация с цензурой и ограничениями, но это отдельная тема).

НЛО прилетело и опубликовало эту надпись здесь

Блокируют всё втихаря, не удивлюсь если скоро просто перейдут на блокировку всего кроме "белого списка кошерных сайтов". У М̶и̶н̶и̶с̶т̶е̶р̶с̶т̶в̶а̶ ̶п̶р̶а̶в̶д̶ы̶  Партии абсолютная монополия на вещание информации, поэтому в первую очередь борются чтобы никакая информация не просочилась извне и блокируют СМИ, соц сети, мессенджеры. Но под раздачу попадает много всего. Как я уже говорил, гугол полностью заблочен, не работает ни поиск, ни почта, ни гугл сервисы ни даже капча.

Многие сайты хоть и не заблочены, но чтобы залогиниться надо пройти гугл капчу, а так как она не подгружается, то по факту войти нельзя и таки опять нужен впн.
Кстати поисковик яндекс тут работает (правда без отображения картинок), но разрешает пользоваться поисковиком только после авторизации. То есть нельзя просто открыть главную яндекса и что-то искать, сначала надо войти в свою учетку. Интересно если ли у яндекса такие требования в других странах?
Cloudflare без впн как-бы доступен, но не всегда. Во-первых, если его пинговать, то у меня около 20-30% пакетов уходят без ответа. Во-вторых, иногда Cloudflare меня просто не пускает на сайт и пишет Access denied, your location is banned и всё такое, либо бесконечно перезагружается. В общем, пытаться открывать внешние сайты без впн это удовольствие ниже среднего.
Без впн ни работают ни б̶о̶г̶о̶м̶е̶р̶з̶к̶и̶е̶ фейсбуки с твиторами, ни вотсап/вибер/телега.

В Китае разрешен, по-сути, один мессенджер это WeChat, но у иностранцев он работает не удовлетворительно. Чтобы там зарегистрироваться, надо пройти 4 круга ада, вплоть до того, что нужно приглашение от человека, который находится в Китае, и этот человек должен залить в WeChat свой паспорт и привязать банк карту, и потом как-бы выступает гарантом, что приглашенный это благонадежное лицо. И при этом все равно Китай часто блокирует аккаунты иностранцам, которые зарегались на не китайский номер.

То есть связь с миром почти отрезана. Такой парадокс - вроде Китай заинтересован в поиске иностранных клиентов и сбыте товаров забугор, и одновременно с этим запрещает общаться с иностранцами (вотсап/телега). На почту они не любят отвечать, и получается, что много сделок срывается так как нет нормальной оперативной связи. В общем логика в её отсутствии.

Мне лично нужен впн для работы - для связи с клиентами в нормальных мессенджерах + всякие гугл доки, и для развлечений/новостей – ютуба, твитора и прочих редитов.
А сеть Тор у меня так и не получалось завести, возможно я плохо пытался, но за тор тут сильно "ругают", поэтому я не усердствовал в экспериментах от греха подальше.

Вроде есть некий местный одобренный и благословлённый партией ВПН, который регистрируется по паспорту и ессно передает всё тщу майору. Исползовать такой впн я пока морально не готов.
И еще в компьютерные клубы не пускают без китайского ID. Вот никак нельзя без документа зайти поиграть в условный редалерт или посидеть в чатиках. Всё через идентификацию. А иностранцам даже с валидным паспортом нельзя в комп клуб. И этим правилам, по моему опыту, как минимум лет 15, а по факту наверно так было всё время с запуска чинета. Уот так уот.
И небольшой оффтоп на тему биометрии: заметил, что всё больше турникетов метро (по крайней мере в Шэньчжэне) оборудуются сканерами лица и отпечатков пальцев. То есть чтобы просто зайти в метро, надо билет+лицо. Пока не видел, чтобы заставляли сканировать палец, но думаю скоро будет и палец ̶и̶ ̶з̶о̶н̶д̶. Здесь отсутствует такое слово как анонимность. Про то какая жесть была тут с ковидом и как через инет отслеживали каждый метр передвижения людей – уже не буду писать, коммент и так затянулся)

А может кто-нибудь выкатить готовые inbound и outbound для sing-boxa в конфигурации VLESS-XTLS-Reality? Дал бы тысячу очков вашему Гриффиндору))

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Желательно, чтобы настроенный VPN обновлялся без участия пользователя.

OpenVPN распространяется через apt и сам обновится на свежую версию, подключение лишь прервётся на несколько секунд.

Shadowsocks-rust распространяется через snap и тоже сам обновится.

Поддержка остальных сервисов из статьи (XTLS, Hysteria и т. д.) потребует участия пользователя? Нужно ли регулярно проверять обновления, скачивать их, останавливать сервисы, устанавливать обновления, запускать сервисы? Это можно как-то автоматизировать удобно и надёжно?

Говорю об установке клиентов и серверов на Linux, очевидно.

А вот как соотносится тот факт что все Xray, V2ray , Naive. Cloak .. и тп маскируются под https и конектятся на 443 порт - а с другой стороны китайцы в сети пишут что у них блокируют 443 порт? Они что в Китае https не используют что ли? А банки как же и прочие сервисы с персональными данными? И соответственно про РФ - а у нас что тоже могут 443 заблокировать???

НЛО прилетело и опубликовало эту надпись здесь

"запрета доступа к китайским сайтам через прокси "

как запретить ходить на определенные сайты ?

НЛО прилетело и опубликовало эту надпись здесь

У меня во время изучения сабжей было стойкое ощущение, что всё это какой-то лютый овенинжениринг. Особенно ранние VMESS, где зачем-то навелосипедили своё шифрование. С объяснением автора XTLS-Vision/Reality вроде как звучат ок, но мне кажется что Naiveproxy в этом плане куда более минималистичное и элегантное решение.

Так и не понял, чем сейчас обфусцировать Wireguard - на VPS работает в Linux, а ходят туда со смартфонов и винды. Есть идеи?

Спасибо, интересно попробовать. Может и клиент для смартфона бует не такой ублюдский, как у WG.

Спасибо за материал!

А кто-то понимает, белый список протоколов там используется или чёрный? Если "испортить" (например, XOR-нуть) payload Ethernet-фрейма, пропустят или заблокируется?

НЛО прилетело и опубликовало эту надпись здесь

Спасибо! А посоветуйте, чем/как проще всего XOR'нуть трафик? (Я видел https://github.com/faicker/ipt_xor.)

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории