Как стать автором
Обновить

GOST: швейцарский нож для туннелирования и обхода блокировок

Уровень сложности Средний
Время на прочтение 14 мин
Количество просмотров 85K
Всего голосов 180: ↑177 и ↓3 +174
Комментарии 112

Комментарии 112

Закрепленные Закреплённые комментарии

И да, если вам интересно, как использовать вебсокет- или plain-HTTP-туннели GOST для работы через CDN, маскируясь под чужие домены, смотрите мою следущую статью "Domain fronting для чайников, и как его использовать для обхода блокировок".

Спасибо за статью!!! Собрал gost для Entware - mipsel, aarch64 (хотя, скорее всего и сборки с гитхаба заработают). Поверил в режиме прокси и tun на паре устройств. Заметил одну очепятку в ip (пусть и останется).

Немного дополнил (про маскарад) - https://forum.keenetic.com/topic/17498-сборка-gost-go-simple-tunnel-на-роутере/?do=findComment&comment=177938

Ваша ссылка, похоже, ведёт на операцию сохранения, а не на саму страницу, и при заходе веб-архив сейчас ругается, что сегодня страницу уже сохранили 84 раза)

Вот ссылка на страницу: https://web.archive.org/web/20231202131820/https://habr.com/ru/articles/777656/

И первое, что наверняка сделали много даже еще не прочитав статью - сохранил себе на HDD.
Как сообщает Хабр -  с 1 декабря Роскомнадзору разрешено блокировать сайты с информацией о VPN и иных способах обхода блокировок.
Т.е. Хабр теперь подпадает. Читать хабр через VPN будет всё же неудобно.
Может стоит использовать более мягкие формулировки чтобы не дразнить гусей? ИМХО материал статьи и его доступность более ценны нежели акт гражданского неповиновения в выраженный такой форме.

Моя цель сейчас - чтобы статью увидело как можно больше людей, которым она могла бы быть интересна и полезна. И тут есть такая проблема, что если не написать в заголовке большими буквами "Обход блокировок", то люди в статьи просто не заходят. Еще веселее получилось с моей недавней статьей про OpenConnect - она набрала во много раз больше просмотров, добавлений в закладки и репостов по сравнению со статьями про XRay, судя по всему, просто потому, что там в заголовке есть слово "VPN" - то есть у людей есть стойкая ассоциация "VPN - это про обход цензуры", а все остальное как-то утекает мимо внимания.

Хабр уже публиковал официальное обращение, что в случае запросов от Роскомнадзора про удаление запрещенного контента про обход блокировок, они, во избежании попадания в бан, будут скрывать такие статьи при заходе на Хабр с территории РФ. Пока что мне никаких просьб что-то сделать со статьями от администрации не поступало, если вдруг поступит - будем обсуждать и решать. В любом случае, Роскомнадзор в выходные не работает, так что пусть пока пару дней повисит.

она набрала во много раз больше просмотров, добавлений в закладки

Я перестал такие статьи в закладки добавлять, это бессмысленно, имхо. Сразу на винт теперь сливаю.
К сожалению, есть у меня ощущение, что вас тут скоро забанят. Вы еще где-то пишите? Если да, скажите, плиз, где, я там тоже на вас подпишусь.

К сожалению, есть у меня ощущение, что вас тут скоро забанят. Вы еще где-то пишите? Если да, скажите, плиз, где, я там тоже на вас подпишусь.

Больше писать не буду. Статьи точно, комментарии, скорее всего, тоже. Причины изложил здесь.

Она набрала много просмотров, т.к. это нормальное полноценное технологическое решение. Все эти VLESS, XTLS Reality и прочие сингбоксы с некореями по крайней мере на меня производят впечатление типичных товаров с АлиЭкспресс, к сожалению..

 Все эти VLESS, XTLS Reality и прочие сингбоксы с некореями по крайней мере на меня производят впечатление типичных товаров с АлиЭкспресс, к сожалению..

Почему? Они надеждные гибкие, проверены временем, и предлагают возможности, недосягаемые для "полноценных VPN".

Наверное, потому что "не красиво" и "где-то там на гитхабе лежит, качать и настраивать надо".

Ну мое такое предложение.

Однако, как показывает практика и тенденции - все это плавно перетекает и к "полноценным" впн-сервисам.

Раньше допустим был просто WG у всех, как один из протоколов, а теперь у некоторых не только просто WG предоставляется, но уже и с обфускацией, да еще и с разными ее вариантами. И для опенвпн протокола подобные вещи пошли. А кто-то и socks5 дает свой же, для приложений и браузеров, как дополнительная киллсвитч гарантия.

Называть вендоров я конечно не буду, но конечно это не шляпа всякая с балтийскими регистрациями и возжностями киви оплаты...

Так что это все, конечно, гонка щитов и мечей. И все подобные решения, которые зарекомендуют себя хорошо , довольно скоро перетекут и к впн-сервисам в красивые приложения, совсем ни разу не похожие на "поделки с али экспресса".

Но необходимо понимать, что и ценник там тоже совсем не алиэкспрессовский.

Не созлашусь. "Полноценные" сервисы эксплуатируют ими же и навязываемые страхи "злых хакеров ворующих номера кредиток в отелях" используя довольно простое решение на базе OpenVPN. Буквально несколько лет назад, когда проблема блокировок в Китае была уже довольно острой, только 1 сервис предлагал свои stealth-протоколы. Т.е. у "полноценных" в большинстве своем вообще не стоит задача вкладываться в недетектируемые решения, продолжая стричь на банальном OpenVPN для которого все давно настроено. Даже WG начал появляться как супер-фича, по факту же скорее нужная для экономии ресурсов. У "полноценных" возможно даже нет специалистов, которые могли бы сделать свой протокол и реализовать его поддержку на всех платформах. Почему? Да посмотрите на функциональность клиентов - все максимально тупо. Ни раздельной маршрутизации, ни общих ресурсов. Это ж VPN, кто например в рамках одной учетки позволяет объединять сети?

Может оказаться, что аудитория али-протоколов с гитхаба вполне себе сравнима, а может и больше, аудитории "полноценных", за счет стран, где "полноценными" просто не пользуются.

"Полноценные" конечно так и останутся и за свой "ценник" со скидками в 90% так и будут пасти аудиторию отпускников. В поддержку протоколов уйдут единицы.

Можно подборку статей в виде архива выложить на торренты?

Я просто сохраняю их себе через SingleFile, вместе с комментариями, т.к. в них может содержаться довольно полезная информация.

Советую пройтись и пересохранить ещё раз, во многие статьи спустя долгое время добавляется новая информация и советы, ну и новые вопросы-ответы в комментариях.

Периодически так и делаю.

Смысл сохранять для всех именно в том, чтобы как можно больше людей пользовались. Это вопрос эволюционного выживания. Это примерно как количество людей, сделавших прививку.

И актуализовать знания сообщество будет гораздо лучше, чем один пользователь

Кстати да. Спасибо за наводку. Забыл уже, что такое "Сохранить Веб страницу полностью". А тут думаю пригодится. Тем более изучать материал буду не один день.

Уважаемое сообщество, а посоветуйте VPS, находящиеся вне российской юрисдикции и принимающие оплату через российские банки. Где-то читал, что вроде бы в странах Балтии такие услуги возникли на фоне всего происходящего... Вообще интересны отзывы и советы тех кто имеет в этом опыт, потому что все нестандартные обходы блокировок так или иначе сводятся к наличию своего сервера за границей.

Есть много VPS-хостеров в иностранных юрисдикциях, принимающих оплату криптой. Правда, комиссии при такой оплате могут не понравится.

А без крипты?

Если нет паранойи или каких-то особых требований по приватности - многие российские VPS-хостеры (Aeza, FirstByte, Timeweb, PQ, IHC, и многие другие) позволяют арендовать сервера в иностранных локациях и при этом оплачивать их российскими картами. Насчет доверия таким компаниям каждый решает для себя сам.

Я просто предупредить хотел, но спасибо что опять навтыкали, было бы неплохо чтобы видно кому так не нравится коментарий. Даже на развлекательных сайтах система рейтинга на порядок лучше.

Паранойя есть, но только в отношении РФ. Ничего незаконного с точки зрения той же Европы я делать не собираюсь. Все же, неужели сейчас вообще никакие банковские платежи не проходят, и осталась только крипта?

Мне таких не попадалось. Есть подозрение, что все хостера, которые не против принимать российский карты, так или иначе аффилированы с российскими юрлицами. Хотя, вот например есть индийский хостинг с европейскими локациями, который утверждает что принимает платежи с Qiwi: https://www.scopehosts.com/payment-options, но насколько качественные у них услуги и работают ли такие платежи на самом деле неизвестно.

Ну и остаются ещё варианты с оплатой банковским переводом из неподсанкционных банков, но там тоже никаких гарантий и соответствующие комиссии: https://habr.com/ru/amp/publications/657639/

Короче говоря, как по мне, криптой проще и надёжнее.

ОК, это уже наверное будет совсем оффтоп:) (ну или тема для статьи) но где в РФ купить крипту?

BestChange. Многие обменники из их списка принимают российские карты, либо Qiwi, либо ЮМани. Выбирать лучше не по выгодности курса обмена, а по количеству отзывов.

Через p2p в телеге, там же можно пополнять иностранные карты и оплачивать ими, в том числе хостинг. Кошелек в телеге кастодиальный.

Localcoinswap[точка]com

Или bitpapa (но предупреждаю, у последнего комиссия на вывод битков конская)

Ну тут большинство ничего незаконного делать не собираются, но, почему-то наказаны.

Если не криптой, то можно воспользоваться сервисом https://www.pyypl.com/, пополнять с qiwi. Да, сервис берёт комиссию за каждую транзакцию, но если оплачиваете хостинг на год - не так уж и заметно.

Долго на него смотрел, в итоге решил оформить, но как на зло то, для чего я оформлял эту карту, никак не получается оплатить: к PlayStation аккаунту не привязывается (хотя регион аккаунта соответствует bin карты). К PayPal сначала выдавал ошибку "отклонено банком" (оказалось, пару дней карты не работали), потом транзакции будто начали запрашиваться и отображаться в приложении pyypl, но банк их отклонял, сейчас просто ошибка, мол не получилось привязать. Хотел к апи гугл карт подвязать, чтобы доступ к ним получить - тоже не получилось (( Наверняка, много где эта карта проканает, особенно за хостинг заплатить, но для моих хотелок мне пока не повезло. Ещë как вариант оформить Ininal, но сам я пока что не пробовал их карту. А вы не пробовали карту pyypl к PayPal или аккаунту PlayStation привязать?

Нет, я использую Pyypl для Patreon, хостинга.

Знаю, что PayPal с большим подозрением относится к пользователям, чьи паспортные данные, место жительства и место оплаты различаются. Возможно, для использования Pyypl с PayPal нужны дополнительные документы в виде выписок со счетов в зарубежных банках, счета на оплату коммунальных услуг на Ваше имя.

Так ить Пэйпэл россиян давно всех забанил - с паспортом РФ (в т.ч. загран.) там ловить нечего. А Пиплы вполне на загран подвязываются. Но, увы, с их виртуалки - только оплата. Пополнение - исключительно со своих карт (или пиплового кошелька другого их юзера) - невозможно с любой банковской карты перечислить на любую пипловую виртуалку. Кстати, у Пиплов в конце 2023-го был какой-то масштабный передел технички - раньше к ним без ВПН зайти нельзя было, а сейчас - ок. Раньше из виртуалка светилась как финская, а сейчас новые - как японские (что отдельно создаёт проблемы - оказывается , что "Виза - она и в Африке Виза" - не правда.)

Да тут дело даже не в приватности. К сожалению, забор активно возводится с обеих сторон. Мне свой VPN сервер в Европе нужен чтобы обходить ограничения, накладываемые не только с нашей (rutracker и иже с ними), но и с той стороны (Привет, ChatGPT !).

Остаётся надеяться что рано или поздно всё устаканится, и радоваться, что когда-то давно, когда никаких блокировок еще в помине не было, начал активно изучать opensource технологии и продукты.

ЗЫ Где на просторах Инета встречал мнение, что айтишники либо всех погубят, либо всех спасут. Поэтому, коллеги, призываю всех - давайте жить дружно, нам еще мир спасать !

Может Казахстан попробовать? Туда пока достаточно легко рубли закидывать. Хоть через Киви рубли в тенге кошелек. И с хостером с него расплачиваться.

Казахстан - в целом, неплохая идея. У меня есть VPS в Казахстане. Использую его в качестве основного VPN на сервисах, в которых я "переехала" в Казахстан, и в качестве резервного VPN для остальных ресурсов. Можно оплачивать через Киви или картой Мир несанкционного банка.

Однако следует учитывать, что в Казахстане тоже есть блокировка сайтов (хотя и в гораздо более легкой версии, чем в России), и некоторые сайты (например, рутрекер) через казахстанский VPN работать не будут.

У меня VPS в штатах без ограничения по трафику, оплатил российской картой по акции 1000 рублей за год. Только платил не напрямую, а через криптообменник. Не нужно бояться крипты.

Пользуюсь phq полгода, виртуалка в Нидерландах, оплачиваю с тинька. Если хочется поразвлекаться на выходных - можно поднять виртуалку с астрой :D

(Не совсем в тему) А они торренты разрешают? А то на мой вопрос просто к правилам отослали, но у них правила как и у всех.

Разрешают, по крайней мере в Молдове. Недостаток - некоторые сайты считают трафик из их сети подозрительным и заставляют проходить капчу.

Попробовал я этот PQhosting. В принципе по началу все неплохо, IP чистый, всеми ресурсами определяется как Нидерландский (ChatGPT, ti.com все работает). Но, по ходу они делают большой оверселлинг. Сетка перегружена, скорость через WireGuard даже сотки не дотягивает. Пинг прыгает от 70 до 100мсек.

Может конечно площадка такая перегруженная попалась и в других странах ситуация будет получше.

Не советую. Они постоянно обманывают о доступности локаций - деньги ты закинешь, а сервер не получишь.

Плюс, у них пробанены 25й tcp (эт ещё ладно) и 123й upd (на кой чёрт банить ntp?), из-за чего часть чувствительных к таймингам протоколов обхода блокировок просто разваливаются.

может быть потому что например первая ссылка в гугле объясняет зачем это делать
https://ddos-guard.net/ru/terms/ddos-attack-types/ntp-amplification
и как правило, если хостер банит что то наружу - то он обеспечивает это своим сервисом, к сожалению не все способны найти это в документации ну и не все хостеры обеспечивают, чего уж тут.

Llhost принимает российские карты, раньше было румынским юрлицом, сейчас, кажется, эстонское.

пользуюсь услугами ihor уже 6 месяцев. Нидерланды, KVM SSD Start (1 СPU/768 MB RAM/7 GB SSD vm6 EU1) 240р/мес., канал 200мб/с, оплата картой через юmoney

Пользуюсь HostSailor, через Qiwi via Payssion можно оплачивать в пару кликов. Компания — ОАЭ, сервера в Европе.

Cishost

Болгария, оплату берут в рублях без проблем

Inferno Solutions

русскоязычная поддержка, британская юрисдикция, оплата чем угодно (крипта, иностранные карты, российские карты), ноль проблем за последние пять лет кроме двух даунтаймов по полчаса о которых предупредлили за две недели заранее

Раз уж зашëл разговор о том, где арендовать VPS, посоветую то, чем пользуюсь сам уже 4 месяца. Racknerd, вот ссылка реферальная (при регистрации по ней мне что-то перепадëт) и обычная (если не хотите, чтобы мне что-нибудь перепало, ахах). Из доступных способов оплаты есть крипта (я платил через неë), карты иностранных банков. Вроде доступны карты UnionPay (на странице оплаты этот способ подписан иероглифами), но не знаю, сработают ли выпущенные в России. Я для впн арендовал самый дешёвый тариф (в год что-то около 10 баксов плюс 6 баксов, если сервер нужен в Амстердаме или Страсбурге - я брал в Страсбурге). Эти дешëвые тарифы можно найти, если вверху кликнуть по розовой плашке - раньше была акция к новому году (по которой я арендовал сервер в августе), сейчас там чëрная пятница. Единственное предупреждение: такие низкие цены обусловлены полным отсутствием поддержки: при моëм первом и единственном обращении мне сказали что-то вроде "иди погугли, в интернете полно информации" - благо, смог разобраться. После этого проблем не возникало)

Union Pay от Тинькова declined.

А в целом впечатления действительно приятные. Пинг до Европы 50мс, норм. Не то, что 200+ до US (хоть за Европейский IP и нужно доплатить). Ребут практически мгновенный, есть VNC консоль (должна помочь, если сам напортачу и отрежу себе сетку).

Union Pay от Тинькова declined.

В целом, определить на стороне эквайринга страну карты и фильтровать - по идее должно быть не сложно. Но если конкретно про Юнион пей - там вообще такая проблема, что если сайт его принимает - то он принимает китайский, и возможно (но не гарантировано) международный. А реально проверить только тестом, по сути это отдельные платежное системы

Тут скорее проблема в прямых санкциях, наложенных "Тинькофф". Надо пробовать с неподсанкционного банка РФ. Правда, из крупных кажется только Раффайзен остался, и у него нет UnionPay карт.

От тинька у меня карта есть (оформил, и не успел воспользоваться, как тинëк под санкции попал), но они только внутри РФ работают. Может есть банки, карты которых ещё работают, но это надо искать

Firstbyte - юрисдикция британская, оплата с коммисией через российское ип, идентификация клиента по email. Идентификация плательщика в биллинге символическая. Т. о. подходит под ваши критерии.

Firstbyte - юрисдикция британская

Ну, она у них настолько же британская, как и у Аезы. Изначально чисто российский хостер, который открыл иностранное юрлицо для упрощения процессов и вывода прибыли.

Если уж параноить, то есть сомнения, что в случае взятия российскими органами за яйца российского юрлица они не выдадут требуемое про своих клиентов и их сервера в иностранных юрисдикциях (особенно учитывая, что платежи в рублях они принимают через российское юрлицо).

Идентификация плательщика в биллинге символическая.

Это пока они ещё не начали следовать недавно принятому в РФ закону.

Понятно, что для паранойика вариант слабоват.
Российское юрлицо в используемой связке - это ИП-шник, который рубли за комиссию переводит в UK. Мне кажется они грамотно соблюли первое правило ведения бизнеса в России, оставив только локальный приём платежей.

Идентификация в биллинге, насколько могу судить, стандартная isp-овская, и судя по всему британским требованиям соответвует - типа город-индекс-адрес, которые никто конечно не проверяет.

Это пока они ещё не начали следовать недавно принятому в РФ закону.

Интересный вопрос. Насколько понимаю, большинство полноценных зарубежных хостеров для физиков отвалились вместе с платёжными системами, а для юриков договоры перестали продлевать по происхождению юр.лица. Как поведёт себя firstbyte будем наблюдать.

Inferno solutions, PQhosting?

IP Hoster ( Эстония) - широкий выбор оплаты. Можно с Юмани оплатить... Дружелюбная техподдержка, от 5 баксов аренда...

Напоминает DELEGATE

Ага, нашел, есть даже архивная копия официального сайта: http://delegate.org/delegate/

:) Ни чуть не удивился, что на гитхабе (по ссылке на проект скачивания) присутствует большое количество китайских иероглифов, чем английских фраз.

Похоже это они и писали для себя. Для обхода великого китайского файрвола. И основываясь на этом можно предположить что проект только будет развиваться!

И основываясь на этом можно предположить

Что через некоторое время проект будет внезапно удалён автором, потому что китайское правительство сделало ему предложение, от которого невозможно отказаться.
Было уже.

Поэтому по-хорошему надо качать не готовые релизы, а собирать ручками (благо написаны подобные инструменты обычно на Go, и там это делается просто), чтобы разом иметь локальную копию и исходников, и бинарников, и всех необходимых зависимостей.

Скажите пожалуйста, тут есть проблема "TLS inside TLS"? Т.е. снаружи можно будет посмотреть и понять "ага, это на самом деле не обычный HTTPS-трафик, а TLS-туннель, внутри которого кто-то TLS (то бишь HTTPS) гоняет; да и энтропия у него необычная, соотношение единиц к нулям очень близко к 1:1 - в общем, кто-то прокси/VPN поднял, рубим"? Или же эти проблемы, как у XTLS-reality, решены?

Конкретно тут - тоже есть. Эта проблема нигде кроме XTLS-Vision не решена.

Поправлю: по энтропии и нулям-единицам детектируют просто наличие зашифрованного трафика в потоке (так, например, китайцы режут Shadowsocks и подобные, когда не могут опознать протокол, но понимают, что там что-то зашифрованное, см. последний отчет GFW-Report). Детектирование TLS-in-TLS работает сложнее и под другим принципам, и даже китайцы с иранцами его пока нормально делать не умеют, а уж РКН научится так вообще не скоро.

Кстати, в статье по Вашей ссылке говорится, что мультиплексирование более эффективно против детектирования TLS-in-TLS, чем паддинг, который используется в XTLS-Vision, а мультиплексирование в GOST есть. Непонятно только, как у авторов статьи образовался TLS-in-TLS через XTLS-Vision, если последний не должен допускать такого по определению.

Вопрос не по теме, но может кто уже пробовал ShadowTLS v3?

https://github.com/ihciah/shadow-tls/blob/master/docs/protocol-v3-en.md

В sing-box поддержка есть - https://sing-box.sagernet.org/configuration/outbound/shadowtls/

Интересует прежде всего стабильность работы и поддержка со стороны клиентов (из коробки завести в связке с SS2022 пока не удалось, но подробно еще не успел мануал прочитать).

Судя по описанию, принцип работы очень похож на XTLS-Reality, пока не совсем понятно, есть ли какая-то существенная разница и плюсы/минусы.

Да, хочется именно как альтернативу рассмотреть. Там принцип разработки интересен - постепенно но достаточно быстро разрабатывают новые версии исходя из практических векторов атак и готовы рассматривать допфишки на будущее. Учитывая участившиеся блокировки Realty в Иране (пока есть подозрение что по аномальным объемам трафика либо количеству коннектов вычисляют подозрительные узлы, а далее эктив пробингом что-то делают, что грузит CPU на 100%) особенно интересно.

P.S. Как обстоят дела с мультиплексированием в Sing-box и если ли смысл переходить на это ядро на сервере (учитывая использование клиентов в основном на этом ядре)? С точки зрения скорости разницы с Xray не заметил вообще, но на достаточно мощном железе тестировал, возможно на слабых машинах дело обстоит иначе.

И еще может кто в курсе, у Hetzner все сети имеют плохую репутацию в Google и как следствие капчу в 10 итераций почти на любой запрос или только на конкретные IP-адреса? Проверил на парочке случайных, все печально, но выводы делать рано, т.к. не повезло и оба па базам как открытые прокси детектятся (вероятно что-то там когда-то было на них у предыдущих арендаторов).

Как обстоят дела с мультиплексированием  в Sing-box

А что конкретно интересует? Для Reality (и вообще чего угодно использующего Vision) мультиплексирование обычно не применяют. А вообще в Sing-box с мульиплексированием все очень неплохо, есть несколько вариантов (smux, h2mux, и т.д.), одно НО - его алгоритмы мультиплексирования не совместимы с алгоритмом из XRay, так что если у вас на сервере sing-box, то для рабочего мултиплексирования на клиенте тоже должен быть sing-box.

у Hetzner все сети имеют плохую репутацию в Google

Как вариант, если включен IPv6 - выключить IPv6 в прокси, или наоборот, попробовать его использовать. Второй вариант - заворачивать весь трафик с прокси на Cloudflare Warp - гугл и прочие OpenAI будут очень довольны.

А что конкретно интересует? Для Reality (и вообще чего угодно использующего Vision) мультиплексирование обычно не применяют. А вообще в Sing-box с мульиплексированием все очень неплохо, есть несколько вариантов (smux, h2mux, и т.д.), одно НО - его алгоритмы мультиплексирования не совместимы с алгоритмом из XRay, так что если у вас на сервере sing-box, то для рабочего мултиплексирования на клиенте тоже должен быть sing-box.

Не то что б что-то конкретное, скорее рассматриваю возможность (на будущее), и сам смысл. Например если много знакомых на один сервер закинуть.

А про ядро, вижу что большинство серверное XRay используют, но Sing-box клиентское больше нравиться, есть мысли на него и на сервере перейти. Пока минусов не нашел. Или есть они?

Как вариант, если включен IPv6 - выключить IPv6 в прокси, или наоборот, попробовать его использовать. Второй вариант - заворачивать весь трафик с прокси на Cloudflare Warp - гугл и прочие OpenAI будут очень довольны.

Спасибо, IPv6 пробовал - проблемы не решило. Скорее сервер с чистыми возьму. Хотя скорость на Hetzner хорошая.

WARP-модуль в 3X-UP видел, но разраб X-UI вроде напротив писал, что у него не будет, т.к. больше проблем с ним. Или есть смысл на клиенте домены туда заворачивать (NekoBox вроде профиля в один клик поддерживает, но роутинг самому нужно настраивать)?

Например если много знакомых на один сервер закинуть.

Давайте разберемся с терминологией. Мультиплексирование - это когда клиент группирует несколько потоков в один TCP-коннект - в итоге немного падает максимальная скорость передачи (если канал плохой, то может и сильно упасть), но ускоряется установление новых соединений.иЯ как-то слабо вижу, как оно может коррелировать с количеством людей на сервере

Пока минусов не нашел. Или есть они?

Из плюсов - он быстрее (по заверениям и тестам автора) и поддерживает больше всего всякого.

Из минусов - он не поддерживает fallback для некоторых протоколов (например, средствами его нельзя поставить фейковый веб-сайт, если вы используете вебсокеты, нужно добавлять Nginx), и ещё если у вас на сервере Sing-box, а на клиенте XRay, то не будет работать XUDP (могут быть проблемы со звонками в месседжерах).

Давайте разберемся с терминологией. Мультиплексирование - это когда клиент группирует несколько потоков в один TCP-коннект - в итоге немного падает максимальная скорость передачи (если канал плохой, то может и сильно упасть), но ускоряется установление новых соединений.иЯ как-то слабо вижу, как оно может коррелировать с количеством людей на сервере

Я скорее про усложнение детектирования инкапсулирования. Да, понимаю, что скорее всего если детектирование такое будет реализовано, то это не сильно поможет. Но принципиально хочется шифровать все (рассматривается модель угроз с раскрытием ключей серверов популярных ресурсов, хотя и не знаю, насколько эта обязанность выполняется на практике популярными ресурсами).

С точки зрения ускорения установления соединений, и снижения скорости - потестирую позже, но есть сомнения что серьезная разница будет (для Realty на серверах c хорошими каналами после выбора правильного фейкового сайта (на сервере условно в соседней стойке).

Кстати, про выбор сайта, под который маскируемся, пришлось много времени потратить (об автоматических сканерах тогда не знал), но это стоило того.

и ещё если у вас на сервере Sing-box, а на клиенте XRay, то не будет работать XUDP (могут быть проблемы со звонками в месседжерах).

С обратной ситуацией (Xray сервер, Sing-box клиент) такой же расклад?

С обратной ситуацией (Xray сервер, Sing-box клиент) такой же расклад?

не, с обратной ситуацией все ок, работает как надо - главное не забыть в клиенте на базе sing-box включить packet encoding = xudp.

С одной стороны, заголовок кликбейт, дабы привлечь внимание к проблеме. Ограничения доступа к информации - это проблема.

Но подобный инструмент, это же обычный (может не совсем обычный) инструмент. И создаются такие технологии не для того, чтобы что-то нарушать.

Ну и если есть навыки, помогли бы родному государству. Нашли бы способ перехвата и расшифровки трафика старлинков. Вам бы многие спасибо сказали.

И создаются такие технологии не для того, чтобы что-то нарушать.

Совершенно верно, китайцы создали XRay, VLESS, XTLS, Reality и ещё с десяток подобных тулов (в том числе и GOST из этой статьи, неспроста же он поддерживает Shadowsocks и разнве методы обфускации) для того, чтобы иметь свободный доступ к информации без цензуры. То, что некоторые правительства считают использование таких технологий каким-то нарушением - это половые проблемы этих правительств.

Ну и если есть навыки, помогли бы родному государству. Нашли бы способ перехвата и расшифровки трафика старлинков

Спасибо, но нет. Я помогаю простым людям, оставшимся в родном государстве, помогать же самому этому государству в его нынешнем виде с тем что оно творит я не буду, благо умом ещё не тронулся и рассудок не потерял.

Я про сам туннелинг - это лишь инструмент. Всякие эксрэи и госты лишь производная. Так сказать, для выполнения специфических задач.

А вот со старлинками зря. Тем более много ваших коллег помогают родному государству. И я не про тех, кто ограничения информации создаёт. Осинт специалисты, информационная и экономическая разведка. Всякие дистанционно управляемые штуки чуть меньше, чем полностью на плечах энтузиастов.

Неужели все умом тронулись?

Так сказать, для выполнения специфических задач.

Ну да. То, что эти инструменты сделаны для специфических задач по преодолению GFW (фильтров госцензуры) авторы этих инструментов пишут прямым текстом в документации и в обсуждениях.

много ваших коллег помогают

Ну, это не удивительно. К сожалению, тот факт, что человек является профессионалом в своем деле, не гарантирует, что человек не продаст совесть или по глупости поведясь на пропаганду, или из-за алчности за золотые монеты. Если вспомнить историю, в Германии 30-х годов прошлого века талантливые инженеры проектировали газенвагены и газовые камеры. Человеческую природу, к сожалению, не переделать.

Неужели все умом тронулись?

Если посмотреть на события последних лет, то не то что некоторые, а, кажется, пол-страны умом тронулось. И это очень грустно.

Ну Сахаров создал бомбу. И уже после этого выказывал свой протест.

Вы не подумайте, я не троллю. Мне действительно интересно о чем думают люди.

Могу предположить, что Сахаров "просто делал свою работу", а в процессе, или уже потом, осознал, на кого же он работает, что и вылилось в его диссидентство и правозащитную деятельность.

Впрочем, в истории есть и другие примеры. Альберт Эйнштейн, ужаснувшись тому, что делает его родное государство, уехал, публично отказался от гражданства и активно протестовал (естественно, для родного государства став предателем). А вот если бы он этого не сделал, а решил сотрудничать с родным государством и работать на его пользу (учитывая, насколько ценный он был кадр, его бы как еврея всё-таки не сгноили в концлагерях, а использовали по назначению), то возможно мы бы с вами уже не писали эти строки.

Зря вы так. Напалм тоже ведь не приносит людям счастье. И его тоже создавали умные люди.

Но неужели нет этого ощущения вызова. Как у тех, кто в обычных гаражах и подвалах, без всякого финансирования и государства, создавали разные технические решения.

Напалм тоже ведь не приносит людям счастье. И его тоже создавали умные люди.

Это останется на их совести. А моя совесть чиста.

неужели нет этого ощущения вызова. Как у тех, кто в обычных гаражах и подвалах, без всякого финансирования и государства, создавали разные технические решения.

Есть. Я как раз в одном таком техническом гаражном проекте и участвую. Но он, к счастью, не имеет отношения ни к какому из государств, он исключительно для мирных целей и для пользы людей всех стран.

Мне действительно интересно о чем думают люди.

Они думают о том, что прямой ответ на ваш вопрос для многих из них чреват попадаение по статью УК.

Горшочек не вари.

Я конечно понимаю, что мир айти это про особые струны души. Но хватит ущемляться от обычного комментария.

Автор, не в ваш адрес. Это насчёт дизлайков. Такими темпами придётся новую учетку делать.

Подскажите, пожалуйста, что из инструментов вы бы использовали для суммирования трафика трех ненадежных интернет каналов (3g, lte) с шифрованием трафика.

Я так понимаю gost с стратегией rand может помочь? Например настроив три ip на сервере и настроив маршрутизацию через разные модемы + 3 прокси можно этого добиться?

Или попробовать что-то подобное найти в sing box?

У sing-box тоже есть режим "auto", когда вы задаете сразу несколько прокси для исходящих подключений, он каждые N секунд-минут проверяет подключение через них, и среди тех кто работает, выбирает самый быстрый (с самым малым пингом). Но да, это не суммирование трафика, а просто выбор самого лучшего из аплинков.

Если нужнг именно суммирование - то GOST со стратегией rand или hash вполне может подойти.

Либо ещё вариант: если ваши прокси работают через TCP, можно раскидывать подключения на них (по-очереди, рандомно, и с проверкой доступности) через HAProxy. То есть ставите локально HAProxy и прописывает в нем несколько TCP backend'ов к разным прокси.

Спасибо

И да, если вам интересно, как использовать вебсокет- или plain-HTTP-туннели GOST для работы через CDN, маскируясь под чужие домены, смотрите мою следущую статью "Domain fronting для чайников, и как его использовать для обхода блокировок".

Жаль, что нет полноценных клиентов. Появятся ли?

Сохранил статью в локальный файл. Ну, мало ли...

А каким образом лучше сохранять? У меня никак не выходит сохранить со всеми линками, в pdf они не активны. Неужели старые, добрые грабберы?

gildas-lormeau/SingleFile: Web Extension and CLI tool for saving a faithful copy of a complete web page in a single HTML file (github.com)

Сохраняет все что можно (настраивается) по умолчанию встроенные видео не сохраняет.
Можно как целиком страницу сохранить, так и выделенный фрагмент.

Если будете сохранять статьи с комментами, то прокрутите все комменты чтобы все прогрузились, аддон хоть и подзагружает все что можно перед сохранением, но в длинных ветках может не успеть подзагрузить некоторые ветки комментариев оставив их пустыми.

PS Нашел почему он не сохраняет видео:
"For security reasons, SingleFile is sometimes unable to save the image representation of canvas and snapshots of video elements."

Спасибо! Просто огонь! Работает даже в ios!

Кроме много раз упомянутого "SingleFile" давно существует похожее расширение браузера "Save Page WE" (автор DW-dev). Можно попробовать оба и выбрать. Я сохранил пару страниц, изучил diff и результат Save Page понравился больше. Ещё от того же автора есть "Print Edit WE" - перед сохранением страницы можно заморочиться и поудалять лишние (тяжёлые) блоки.

Здравствуйте! Очень нравятся ваши статьи, но честно говоря многое в них остаëтся для меня непонятным: видимо сказывается отсутствие базовых знаний. Посоветуйте, пожалуйста, что почитать, чтобы лучше понимать, как это всë работает?

Пробовать лучше. Купите любой самый дешевый VPS сервер. Можно в России даже, вам поиграть. На него дефолт Убунта, обычно можно просто галочкой выбрать. Это стоит совершенные копейки. И просто попробуйте на нем сделать то что написано. Что непонятно - гуглить конкретные фразы или ошибки. Непонятные слова тоже гуглить. Все гуглится замечательно.

Спасибо за совет, но как раз-таки настроить впн по гайдам у меня получается: настраивал оутлайн, амнезию, через x-ui настраивал VLESS с XTLS-Reality, сейчас роутер купил с поддержкой openWRT, хочу на нëм настроить впн клиента. Но ощущение, что не хватает каких-то базовых знаний о том, как всë это работает, меня не покидает)

Огромное спасибо за вашу работу, все сохраняю и планирую настроить себе некоторую часть инструментов, что вы рассматриваете, за границей, а то чувствую 24й год будет нести с собой кучу бедствий и интернет может сказать пока-пока... Также, если есть какие-нибудь наработки по части использования этих инструментов с Mesh сетями, думаю будет не лишним эту тему раскрыть, и есть ли решения работающие альтернативными путями, вроде i2p. А то однажды можем проснуться просто нафиг с полным блоком внешней сети (а проверки этого велись уже неоднократно), в которую можно будет попасть только чинушам по VPN, едва ли этих гениев будут заботить последствия, население все больше и больше переходит на отечественные VK (Clips etc)/Яндекс и прочую хрень, срощенную с гос-вом с прицелом на отключение ютуба, гугла, что народ упорно не понимает (и это не только РФ касается, общемировая тенденция контроля)... Слухи о прокси интерфейсах к ютубу уже были, хотелось бы узнать ваше мнение на этот счет, реально ли сделать такую маршрутизацию, чтобы ютуб не мог их блокнуть легко со своей стороны или они могут что-то из арсенала обхода использовать...
Миру мир!

После "возгорания стула" стал вчитываться с особым вниманием: давно исследую тему добычи топлива из жидкого стула...

Полтора часа (1+1/2) читал статью, много думал...
Конец статьи всё разрешил:

Остерегайтесь мошенников

Похоже придётся вернуться к нетскейпу со своими настройками проксей, туннелей и вот-это-всё-- что в статье...
Как же всё это досадно...

давно исследую тему добычи топлива из жидкого стула

Стул (предмет мебели) сухой - метал, пластик, ткань. Немного опалился в результате пригорания.

Остерегайтесь мошенников

Это про то, что в Телеграме какие-то клоуны назвались моим именем и разводили на деньги людей, желающих получить консультации.

MiraclePtr, ничуть не умаляю пользу статьи, с интересом прочёл, внимательно.
От того и досада взяла (стул подгорел): приходится изучать "компьютерные сети" заново.
Несколько раз книга переиздавалась, и каждый раз нахожу что-то новое именно в статьях на "hr-br-hr"... Оттого и грустно, что для "улучшения" всё усложняется...

Где можно почитать подробнее про блоки VPS серверов на которых был wireguard? Не слышал о таком, и как это происходит. И, теперь, что-то стремно им пользоваться, хотя очень даже удобно..

А что с мобильными клиентами... с ними пока не очень.

Есть собранный бинарник для arm. Попробовал, нормально работает в Termux.

И существуют пакеты для OpenWRT, но они, кажется, сделаны для v2:

Попробовал запустить бинарник под mips на TP-Link с OpenWRT. Вроде, тоже все заработало.

Мало кто помнит, но tun-туннели можно строить без дополнительного софта, всего лишь на базе ssh-sshd, см. параметр -w (справедливо для OpenSSH). Включаем ip_forward в sysctl.conf, добавляем маршруты и вперед.

Интересна именно настройка GOST за Nginx, c проксированием wss на GOST.
Здесь китайский гайд по установке GOST и wss туннелей: https://www.youtube.com/watch?v=cxpsEP5TS78 (скрипт сам всё развёртывает на сервере)
Здесь текстовый гайд: https://appscross.com/2023/12/auto-setup-4-wss-https-proxy-nodes/ Возможно будет интересно!

Проблема только с настройкой nginx. Поможите, пожалуйста, разобраться с конфигом nginx.conf (не силён в этом)?! )

Доброго дня всем и мирного неба.

Я в ИТ сфере и сетях много лет, но вот такого рода действия, как упаковка одного протокола в другой и т.д. для меня полностью "первый раз в первый класс". Поэтому мой вопрос примерно такого же уровня.

Итак, у меня есть (ну, не прямо у меня, но под моим управлением, то есть, я могу туда поставить роутер с OpenWRT и всяческими настройками, какие он умеет) офис в РФ со своим белым IP-адресом и доменом (есть сайт - у рос.хостера). Мне надо поднять канал в соседнее государство, скажем, Казахстан, где тоже есть свой белый адрес со своими доменами (и куда я так же могу поставить что угодно - роутер, сервер - с любыми настройками). И содержать этот канал в рабочем состоянии максимально долго (в плане того, что некая организация будет постоянно придумывать разные каверзы дабы закрыть мой канал (не потому что он мой, а потому что по нему ходит нечто, что нельзя вот так взять и прочитать, и вообще нефиг трафик скрывать и всякие каналы поднимать вообще)).

Зачем мне нужен этот канал:

  1. офис в [условном] Казахстане должен ходить в РФ с адресами российского офиса - всякие гос. и прочие услуги, кто работает только с российскими IP-адресами, то есть, офис прикидывается полностью российским

  2. российские клиенты обращаются к ресурсу по IP-адресу российского офиса и перенаправляются сразу на IP-адрес офиса в [условном] Казахстане, где фактически этот ресурс и находится, то есть ресурс прикидывается полностью российским

В итоге имеем

Я прочел и, в меру своего понимания, принял к сведению статьи от MiraclePtr и его коллег. (Да, вынужден признать, бОльшая часть прочитанного для меня осталась непонятной - ну не приходилось мне до того иметь дело)

В итоге у меня возникла пара вопросов:

  1. Что из многочисленных технологий мне стОит применить, чтобы канал жил максимально долго в условиях борьбы с впн иже с ним?

  2. Насколько неподозрительно для провайдера, который подает интернет в рос.офис (вроде мтс) будет постоянный, но непонятный трафик на особо никому не нужный [условно] казахстанский сайт (обычная визитка, никакого криминала в любом понимании) или IP-адрес? Не решит ли он тупо заблочить его "на всякий случай"?

На оба вопроса, к сожалению, ответ "мы не знаем". Потому что действительно, невозможно предсказать, в какую сторону будут действовать цензоры и против чего в первую очередь.

С одной стороны, самое прогрессивное и ядреное сегодняшний день - это XRay (VLESS/XTLS, и очень много разных комбинаций протоколов и транспортов, хоть что-то, но может сработать даже при обострении). Но он прокси, а не VPN - там можно настроить объединение сетей через reverse proxy, но делается это очень сложное и работать может так себе.

Другие варианты: AmneziaWG - самый быстрый, но неизвестно, сколько продержится. OpenConnect (самостоятельно собранный клиент с OpenTLS вместо GnuTLS, самостоятельно собранный сервер с кастомными страницами-заглушками для камуфляжа) и настроенным bbr - должно работать очень неплохо и довольно надёжно. Крайний вариант - OpenVPN через Cloak, очень надёжно, но скорость может разочаровать.

И да, в Казахстане вроде с блокировками пока получше, чем в РФ, и учитывая, что может быть важно направление подключений (для протоколов поверх TCP), советую поднимать туннель из KZ в RU, а не наоборот.

советую поднимать туннель из KZ в RU, а не наоборот

А это мысль! Возможно, направление установки соединения тоже сказывается на детектировании.

ТСПУ, конечно, не фаервол, вряд ли stateful. Но когда WG линк умрет, попробую сперва в обратную сторону его инициировать.

Интересно, как со всякими Zerotier ТСПУ обходится...

Не могу старые статьи комментировать, к сожалению. Потому приходится сюда писать.

Вопрос про OpenConnect.
Я согласно статье все сделал, настроил, и оно даже работало (Windows подключается к удаленному серверу через AnyConnect-овский протокол и цискиного клиента). Но через неделю примерно перестало. В подключении к ВПН (Настройки -> Сеть и Интернет > VPN) пропала возможость ввода логина с паролем. То есть, после кнопки "Подключиться" он не дает ввести логин-пароль, а сразу начинает подключаться (логина с паролем там не сохранено, где-то ожидается ввод, но окна этого я не вижу. В итоге от таймауту соединение отключается - я же не ввел логин-пароль). Куда делся ввод логина-пароля и, главное, как его вернуть? Интернет ничего умного не предлагает, либо я искал плохо.

Может кто знает как побороть эту напасть? Где это чертово окно для ввода логина с паролем?

Спасибо за статью!!! Собрал gost для Entware - mipsel, aarch64 (хотя, скорее всего и сборки с гитхаба заработают). Поверил в режиме прокси и tun на паре устройств. Заметил одну очепятку в ip (пусть и останется).

Немного дополнил (про маскарад) - https://forum.keenetic.com/topic/17498-сборка-gost-go-simple-tunnel-на-роутере/?do=findComment&comment=177938

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Публикации

Истории