Как стать автором
Обновить

Что нового в мире обхода блокировок Интернета в середине 2024

Уровень сложностиПростой
Время на прочтение13 мин
Количество просмотров164K
Всего голосов 167: ↑162 и ↓5+190
Комментарии105

Комментарии 105

Вот кстати вопрос про Xray сервер. А есть ли к нему какая-нибудь панель для мониторинга, в идеале для Grafana. А то работать-то он работает, но отслеживать его стабильность можно только по общему сетевому трафику и строкам в логах.

Если что, интересует не куда ходят пользователи, а запущен ли сервер, сколько подключений, объем трафика и тп.

X-UI и подобные есть, но они для графического представления. Зато умеют слать показатели в ТГ и алерты с заданной периодичностью.

Я сам хочу подружить такие панели с Grafana, Prometheus и подобными сервисами для метрик. Кто подскажет, тому плюс в карму.

3X-Ui почему не нравится? Но там есть один момент с общим объемом трафика.

Допустим клиент1 скачал 100Мб, клиент2 скачал 50Мб, а вы сами по ssh обновили ядро, это 500Мб.

Общий трафик в панели будет - 650Мб. Хотя через XRay прошло всего 150Мб.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Это сарказм ? Или iphone/ipad вам так омерзительны?

Еще смущает «по мнению многих» . Раскроете тему?

НЛО прилетело и опубликовало эту надпись здесь

Представляю диалог Димона и работника РКН))). Хотя, там с бутылкой, похоже можно разобраться.

ага. это было бы громким вскукареком. чтобы всё связанное с эплом позакрывали уже до конца, нахрен. офигительная забота о людях в рф. так-то эпл до сих пор, не взирая на санкции, хотя бы принимет платежи за подписки через мтс.

Извините, но мне кажется, что нельзя вот так взять и забанить ~20% граждан их устройства. То есть, технически, наверное, можно попробовать, но плеваться начнёт в том числе некоторое количество высокопоставленных лиц, потому что они поразительным образом тоже пользуются техникой Эпл. Гугл ничего не удалял и не удаляет, проблемы у него есть только с Ютубом, а в остальном всё у него хорошо: диск работает, почта пока тоже пашет, карты, магазин приложений и почти всё-всё-всё работает. Пока они не сделают что-то лучше и дешевле, чем нынешние айфоны и смартфоны на дроиде, банить всё это бессмысленно.

НЛО прилетело и опубликовало эту надпись здесь

Ну что, все уже скачали статью перед прочтением?

Ессно

Я человек простой. Вижу интересную статью - в первую очередь отправляю в readeck, а уж потом читать.

Или в SingleFile. Быстро и удобно, только комменты сначала дозагрузить нужно

Тут уже дело вкуса. Я ленивый, поэтому мне надо чтобы был не просто файл, а целый api. Чтобы, например, отдельный python скрипт просматривал содержимое readeck'а на предмет новых статей с тегом summarize и автоматически прогонял их через суммаризатор на базе Claude 3.5. Результат потом в телегу приходит.

НЛО прилетело и опубликовало эту надпись здесь

Начиналось все как защита детей от правила 34.

началось всё как разводилово массовки в окружающих странах. еще в начале 90-х. лично присутствовал.

Зачем отдельно качать?

ПКМ->ArchiveBox Exporter->Archive current page

Потом можно и поделится с желающими

зачем. сохраняем в закладках в тор-браузере. и можно в пдф распечатать.

А есть свободный хабр ?)

Возможно пару сек и мой коммент украдёт НЛО

Да по-моему уже ничего свободного нету, но пока есть выбор, цензуру какой марки вы предпочитаете.

А есть свободный хабр ?)

Есть.

зайдите через <выбор по вкусу и навыкам>. все откроется.

А статья-то изначальная - доступна.
Администрация, думаю, по моему ip сможет вычислить промашку.

Спасибо, интересно!

Я с позиции пользователя обычно использую плагин в Edge (или Chrome, или Yandex Browser) - GitHub - anticensority/runet-censorship-bypass: Web-extension for bypassing censorship in Russia
Его фишка в том, что автоматом обнволяет список анонимных прокси и ходит через них лишь на те сайты, которые блокирует РосКомПозор.
В целом вполне утраивает, но есть нюанс.
Мне часто приходится использовать UWP приложения (сенсорный экран, это удобно), и некоторые из них - в первую очередь LinkedIn из России в сеть не ходят.
Вариант, настроить System Proxy, тогда пойдут, - но хочется чтобы через прокси (впн или что угодно еще) шли лишь те приложения что нужно, - в идеале, как с вышеупомянутым аддоном у браузеру, чтобы не я рулил кому куда идти, а оно само, - раз настроил и забыл.
Не подскажете, есть ли такая возможность под винду для UWP? Они как я понимаю используют WebView2.

Как я понимаю, тут нужен свой прокси сервер?
Можно ли использовать динамический список, который генерит тот же runet-censorship-bypass? В Моем случае для LinkedIn он точно должен бы запросы пропускать, но я не разработчик и не пойму как скрестить его с proxyfire.
Не подскажите?

Подойдет любой SOCKS прокси (для UDP необходим SOCKS5), как локальный (динамический порт форвардинг SSH, Shadowsocks c SOCKS интерфейсом и т.п.) так и удаленный. С последним правда есть риск, что DPI сумеет его вскрыть, так как никакого шифрования не будет использоваться.

Динамический список в принципе можно прикрутить, никаких ограничений я тут не вижу. Но честно говоря времени этим заниматься особенно нет. Для своих нужд я обычно настраиваю один браузер ходить через VPN (или прокси), другой напрямую. Если какие-то приложения не хотят работать из РФ, вроде HP Omen Gaming Hub, то их тоже прибиваю к туннелю.

Tunnlto, единственное что для меня минус что все днс запросы идут через впн, а так под конкретное приложение можно настроить впн

В Windows все запросы к DNS идут в контексте процесса DNSCACHE и выяснить какой конкретно процесс инициировал этот запрос невозможно. Поэтому все DNS запросы уходят либо через впн либо на системный DNS (если в конфигурации не указаны DNS сервера).

сервис Антизапрет можно поставить на свой сервер. там опенВПН под капотом.. подключаетесь и пойдут только заблокированные сайты. для этого он будет использовать свой ДНС внутри впн подключения, чтобы понять куда Вам надо попасть...

интересно, почему все борцы, смелые в тишине или своем междусобойчике, так любят детские коверкания названий и фамилий. делу это не помогает, а отношению к нему как к глупости даже очень. или это просто об уровне интеллекта и воспитания?

Пользуюсь пол года VLESS REALITY (3X-UI) и всё спокойно. Правда бывают редкие траблы, по типу 5 минут не отвечает и потом всё работает (такая ерунда бывает раз в 2 недели). Скорее этот момент со стороны хоста, они бывают какие-то работы делают

Для более приятного серфинга интернета использую Эстонию, близко к РФ, минимум блокировок в мире и быстро работает

Я буду признателен, если подскажите, что есть ещё круче него, чтобы повысить стабильность

Ну пока и обычный shadowsocks норм работает, также обычные OpenVPN растут как грибы. У меня почему-то есть подозрение, что особенно гонятся за желающими посмотреть из-за забора они не будут. Им главное отрапортовать и иммитация.

У меня вот древнючий openVPN работает, причём даже на Йоте.

НЛО прилетело и опубликовало эту надпись здесь

Ну так я и написал "ну пока"😊. Заблочат, полезем дальше.

Несколько провайдеров черноземья, мобильных и не очень - ни личный openvpn, ни outline (через papervpn, но они надстроек не делали) ни разу не показывали проблем с подключением после первой волны тестовых блокировок. То есть всегда помню, что могут вырубить в любой момент, но спрыгивать с них не спешу. Настройка в случае чего занимает от силы час, а пользоваться лучше тем, что уже есть и удобно работает

Ну и волнений у нас не ожидается, чего уж там))

НЛО прилетело и опубликовало эту надпись здесь

Скажем так. Я не дурак и у меня в любой момент есть достаточно вариантов поднять сервер у любого публичного провайдера мира, чтобы об этом не беспокоиться. Это не так и сложно. И даже без этого всегда миллион вариантов бесплатных публичных ВПН, чтобы скачать пару мануалов, которые все блокировать никто не будет

Меня давно интересовал этот вопрос. Даже видела способы защиты от сканирования с известного набора специфических адресов. Теоретически, серверу без отчетливого почерка, типа XTLS‑Reality, не грозит попасть в списки? Или лучше перестраховаться?

НЛО прилетело и опубликовало эту надпись здесь

vless reakity работает отлично и ставибильно.

либо у Вас проблема н ахостинге, либо сменить домен под который маскируетесь

1.1.1.1 - vpn от Cloudflare. Тяжело заблокировать. Бесплатный. Не благодарите.

НЛО прилетело и опубликовало эту надпись здесь

Если добавить в суп SOCKS5 прокси и посолить (WireSock/WireSockUI), то Cloudflare тоже можно пользоваться. Правда не проверял, достаточно ли сейчас через прокси только Wireguard handshake пробросить или уже весь туннель надо гнать.

НЛО прилетело и опубликовало эту надпись здесь

при желании

Идут годы, но желание так и не возникло...

Делать сложный DPI дорого по ресурсам, одно дело применить фильтр к одному UDP пакету, другое отловить UDP ASSOCIATE в отдельной TCP сессии и ассоциировать с этим UDP пакетом.

НЛО прилетело и опубликовало эту надпись здесь

Модно просто забанить вообще все что по заголовкам похоже на SOCKS

Можно и на белые списки IP адресов перейти, все что явно не разрешено - запрещено.

«— Работает? — Работает! — Ничего не трогай!»

НЛО прилетело и опубликовало эту надпись здесь

Думаю, мы немного отклонились от темы. Вопрос был о возможности использования Cloudflare Warp из России. Ответ: да, он заблокирован, но есть нюанс — можно пользоваться им через WireSock и SOCKS5 прокси.

официально заблокирован 1.5 года назад, неофициально - 2.5

Кстати, я бы периодически перепроверял. Например, я замечал, что ProtonVPN, который у нас давно заблокирован - вдруг оказался работающим! То ли блокировки слетели, то ли новые сервера - но какое-то время он у меня работал (в январе 2024). Потом перестал. Может быть потом снова начинал работать - но я не проверял.

ProtonVPN

Вероятно сильно зависит от сочетания провайдера и протокола, так как я оплачиваю сервис с 2018 года и серьёзных проблем практически никогда не наблюдал при использовании через IPsec(IKE2), настроенном на маршрутизаторе(RouterOS) через домашний МТС GPON. Около 4 туннелей в разные локации постоянно работают, но работу из других сетей я не проверял, так как с других устройств я просто строю WireGuard-туннель до своего маршрутизатора, а дальше разруливается правилами куда направлять.

Некоторые друзья жаловались на проблемы с подключением к ProtonVPN через мобильные сети(при использовании любых доступных протоколов, в том числе и Stealth).
После этого я просто раскидал им гостевые WireGuard конфиги до моего маршрутизатора - на том проблемы и решились.

Также без проблем функционирует(IPsec) из рабочей сети(собственная AS-ка) с транзитом через ЭР-Телеком.

ProtonVPN тогда запустил новые бесплатные регионы и в блоклист на ТСПУ они попали лишь спустя месяц или два, а сейчас работает только Stealth с долгим подключением до пары минут.

а сейчас работает только Stealth с долгим подключением до пары минут.

О каких сетях/провайдерах/регионах идёт речь?
Если на мобильных, то это вполне возможно, так как на них обычно намного сильнее ограничения по видам "допустимого" трафика.

В Android клиенте к тому же, уже давно нет IPsec, хотя я не знаю насколько агрессивно его сейчас блокируют в целом.

В то же время на стационарных сетях, как я уже упоминал выше, как минимум на части провайдеров/регионов, IPsec работает годами без смены площадок и/или IP-адресов на стороней ProtonVPN.

Возможно мне "повезло", но проводные МГТС, Билайн и Пласинфо не уступают Мегафону по жесткости блокировок.

В бесплатной версии нет IPSec и чтобы просто залогиниться в клиент на Windows пришлось запускать Outline. К VPN подключиться нереально, так как Stealth есть только в мобильных версиях.

IKEv2 до своего сервера в дружественной стране мне тоже уже замедляли.

В бесплатной версии нет IPSec

Если речь исключительно про бесплатный план ProtonVPN, то тут ещё больше "но".
Хотя бы из-за банального ограничения регионов подключения и количества серверов под пользователей бесплатного плана.
В таком ключе обобщать "user experience" по всему сервису не вижу смысла.

Они конечно большие молодцы, что предоставляют и бесплатный доступ, но судить о качестве/надёжности всего сервиса лишь по бесплатному плану не стоит.

Всё так, но для себя не вижу смысла платить за сервис, который не противостоит блокировкам и в любой момент может быть заблокирован по протоколу.

но для себя не вижу смысла платить за сервис, который не противостоит блокировкам

Усилия по противостоянию блокировкам - это весьма зыбкий критерий.
Как определить, это сервис "хорошо старается" или Г-сударство "плохо старается"?

Если подходить с максимально потребительской точки зрения: "должно работать само по себе и шоп я не думал", то объективной оценки точно не выйдет.

В текущих условиях в РФ, простым пользователям более перспективно ориентироваться не на готовые сервисы, а разворачивать собственные VPN-серверы на основе одного из заточенных на задачу маскировки протоколов.

Он не работает. Заблокирован

Есть-ли гайд по настройке, покупке забугорного спутникового двухстороннего интернета? Где такое можно найти? В даркнете?

Озон, WB. Цена больше 100к, работает только на периферии зоны.

Если носки2022 и влесс скомпрометированы и их научились блочить, куда с них можно уходить?

НЛО прилетело и опубликовало эту надпись здесь

День добрый. А не подскажите несколько пунктов по которым можно определить "правильность" настройки? Я не настоящий айтишник, так продвинутый юзер из технической среды. Настраивал по статьям MiraclePtr, вроде особо влево/вправо не бегал. Запреты на ру сайты и маршруты на клиентах настраивал. Вроде все работает, но есть одно но. По непонятным мне причинам, сайт канвы определяет что я из РФ. И это внушает долю сомнений. Хотя вроде все сделано верно. Ру сервисы проверки ИП показывают что мой настоящий адрес (делаю вывод что прямой маршрут до ру сегментов работает), зарубежные сайты показывают адрес сервера в нидерландах (значит до остального интернета иду через впс). Все известные мне блокировки типа инсты, рутрекера, статьи на хабре (для него отдельное правило пришлось писать) , некоторые зарубежные сайты с документацией на оборудование и пр. все работает. а канва нет) Делаю вывод что раз она как то детектит, то и остальные наверное могут. Как проверить можно?

Делаю вывод что раз она как то детектит, то и остальные наверное могут. Как проверить можно?

Ну во-первых одни и те же айпишники могут географически определяться по разному. Я пользовался g-core, польским VPS и там часть говорила что это Польша, часть про Нидерланды, а часть говорила что РФ. Во-вторых совсем не обязательно что другие сайты будут полагаться только на айпи при определении локации, ну и в-третьих есть способы утечки "внутреннего" IP, из известных например через webrtc. https://browserleaks.com/webrtc

одни и те же айпишники могут географически определяться по разному

Возможно, но в большинстве случаев с этим сервером такого не наблюдается. провайдер не юр лицо из РФ и пр. чистые нидерланды, оплата зарубежной картой и т.д.

совсем не обязательно что другие сайты будут полагаться только на айпи при определении локации

Значит ли это что сайт (канва в данном случае) определяет по тем или иным данным что сижу с впн (по времени на телефоне или еще как то) а РКН не сможет, и не дропнет сессию.

способы утечки "внутреннего" IP, из известных например через webrtc.

тут для меня сложновато. сделал скрин, вроде не показывает что РФ где то светится. не глянете?

Hidden text

Ну и в целом, вопрос актуальный для тех кто не совсем глубоко в теме так сказать. Есть ли способ надежно проверить прикрыты ли тыли? Когда тем летом отпал обычный опенвпн было больновато, а впереди судя по всему все только веселее

Подозрительно что у вас показывается два Public IP address, возможно потому что вы часть траффика заворачиваете в VPN а часть нет. Попробуйте просто весь трафик завернуть. Если сработает то уже копайте какие ресурсы добавить в роуты. У меня Canvas нормально открывается с Амнезией.

а РКН не сможет, и не дропнет сессию.

Не понятен вопрос. Вы же заходите не на сайт РКН а на сайт канвас. Для РКН вы просто периодически гоните некий шифрованный трафик на непонятный IP. Это все с чем они могут работать, в ваш браузер они залезть не могут.

Попробуйте просто весь трафик завернуть.

Попробовал, не помогло. Если это важно, один IP это адрес VPS, второй американский 26.26.26.1 (поиск по гуглу выдал ссылку на хабр коммент в статье MiraclePtr со снесенным ответом и на 4пда на снесенный топик)

Для РКН вы просто периодически гоните некий шифрованный трафик на непонятный IP

Понял, то есть в контексте блокировок со стороны РКН не должно быть опасным

Так же настраивал для себя. Ну почти, 3X-UI взял себе в помощники.

Проверял на одном известном сайте - он определяет местоположение по языку по умолчанию отображения страниц в браузере. Первым стоит русский - редиректит на российское зеркало, отображает сайт на русском, локацию пишет - Россия (логично, ведь сайты зоны .ру не оборачиваются в прокси). Меняю в настройках предпочтительный язык на английский - отображается оригинал сайта без редиректа, а я в Нидерландах.

Меняю в настройках предпочтительный язык на английский

Слушайте, помогло! Убрал из настроек хрома русский язык для сайтов, сбросил кеш и канва загрузилась.
Спасибо большое!

(см. инструкцию от MiraclePtr, она недоступна из России, но можно открыть ее через прокси/vpn).

доступно без прокси/vpn

НЛО прилетело и опубликовало эту надпись здесь

проверил, Россия

Я нахожусь в Лен.Области, если купить спутниковый коплект (двухсторонний интернет) в Германии, Финляндии, Латвии привезти сюда, в РФ, настроить на их спутник и работать как будто ты находишся на територрии Германии, Финляндии, Латвии и т.д. Кто-нибуть так делал?, есть-ли такой опыт у кого-нибуть?

Насколько я помню, это карается по закону, так как равносильно созданию своей частной сети, что тоже запрещено делать. Но упирается в соседей, которые могут на вас настучать за обход ограничений. Очень бы хотел узнать позицию знающего человека, так как сомневаюсь

  1. Какой "частной сети"? Пока траффик вы не начнёте соседям продавать, пришить можно только незаконное использование радио-частот. (Ну если прям захотят конечно, то и терроризм пришьют. У нас по прежнему "закон - что дышло". Тут вон слышал историю: чел купил на озоне радио-няню с камерой, потом решил продать... Доблестные борцы со шпийонами на него дело завели за реализацию шпийонской техники). Это штраф и конфискация радиоаппаратуры.

  2. А на что соседи будут стучать? На тарелку? Так говорите им " Такое спутниковое ТВ" Меньше болтаешь - крепче спишь 😁

Соседи вообще могут настучать на что угодно, даже за провод кв антенны приемника перекинутый с дерева до дома, я на всякий случай на тарелке сразу бы нарисовал надпись триколор или нтв+, что бы у соседей вообще мыслей не было )

shaman + надо писать... тогда тарелку 100% не унесут ))

Меня интересует технический аспект, что, на каких сайтах, посредники, покупка, оплата, доставка, у кого есть опыт работы этого оборудования(дешифратора сигнала) на территории РФ.
С законами и соседями я решу вопрос сам.

Круто работает бот от амнезии

НЛО прилетело и опубликовало эту надпись здесь

А вы точно запустили правильный бот https://t.me/free_vpn_amnezia_bot

А то появилось много фейковых клонов

А посоветуйте, плиз, прокси устойчивый к конторским DPI и работающий через HTTP-проксю. Поставили безопасники касперского (всё что про него знаю) в виде и всё:

  1. отвалился openvpn с невнятными connection reset (судя по всему валится сам openvpn когда DPI переписывает всё своим конторским сертификатом)

  2. не работает openconnect

  3. не заработал jwstunnel (какая-то поделка с гитхаба, которая всё в вебсокеты заворачивает)

stunnel так и не понял умеет ли через http-прокси работать.

прямо беда.

НЛО прилетело и опубликовало эту надпись здесь

Перерыл 100500 конфигов, так и не нашёл как настроить КЛИЕНТА (сам же xray, т.к. у меня линукс-серверы) через корпоративную проксю. Либо у них документация плохая, либо оно не умеет.

Ну и в целом сомнения. Корпоративный прокси будет делать ssl-inspection, и либо xray сам отвалится (как openvpn, мол что-то-пошло-не-так), либо админы всё равно будут видеть всё что внутри ssl бегает (лучше так конечно, чем никак).

НЛО прилетело и опубликовало эту надпись здесь

А почему нет ни слова про Psiphon?

НЛО прилетело и опубликовало эту надпись здесь

Нужно больше таких полезных статей. Очень актуально сейчас!

Иногда я чувствую себя неимоверно глупым, когда слышу столько вроде бы знакомых, но непонятных слов, в которых люди вроде автора с такой лёгкостью плавают. Зато это даёт знак, что ещё есть, куда расти.

Ставим туда XRay‑сервер (нередко даже сразу панелью X‑UI или Marzban)

А что не так с Marzban и чем он хуже AmneziaVPN?

Муторная настройка и отсутствие мануалов. 3х гораздо дружелюбнее.

Бро ты ещë где-нибудь статьи выкладываешь? В тг например.

НЛО прилетело и опубликовало эту надпись здесь

А если тот же WireGuard направить через 443 порт, пробовал кто-нибудь? Лично у меня, единственное где не работает WG на стандартном порте это через мобильную сеть.

Где-то полгода назад пытался таким образом обойти блокировку стандартного WG на мобильной сети(Билайн и МТС, вроде бы проверялись) до RouterOS на VPS в Казахстане.
Насколько помню, собирая трафик, поведение немного различалось(по отношению к порту из динамического диапазона) по тому какое количество пакетов успевало пройти в процессе(после) хендшейка, но итог был неутешительным.

Дампы вряд ли уже найду, да и ситуация могла уже 10 раз поменяться за это время.
Но это очень "топорный" способ, и сомнительно, что ТСПУ будет слепо вайтлистить UDP 443 из-за того что там ходит QUIC. Учитывая, что QUIC тоже может легко уйти в бан по велению пятки строителей сувенирного Интернета ; )

НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории