Как стать автором
Обновить

Комментарии 81

А что не так с OpenVPN внутри РФ?

Если персональные данные не обрабатываются, не КИИ, не банк, не госучреждение и не медицина, почему нельзя использовать OpenVPN?

>А что не так с OpenVPN

РКН не любит openvpn и wg, это уже повод его поменять. Не, будем жрать кактус с какими-то васян-приблудами для обфускации. Хорошо если сами эти приблуды без троянов.

Повод его поменять

А существует хоть один VPN-протокол, который любит РКН? Проблема же не в протоколах, а в самой сущности туннелирования трафика, которую нельзя контролировать.

Ну, завтра властная группировка поймет, что им в целом надоел современный TLS (уже есть проблемы с eSNI и т.д.) — РКН, разумеется, возьмёт под козырёк — тогда что будем делать? Это будет "поводом" перейти на HTTP?

Туда же многочисленные истории про блокировки просто не понятного цензору трафика. Это всё кончится очень плохо.

>завтра властная группировка поймет, что им в целом надоел современный TLS

проснись нео, у тебя в яндекс-фсбраузере уже ЦА чекистов давно прописался )

>Это всё кончится очень плохо

кто сказал, что чебурнет это плохо? 15 лет за такое или это уже гoсизмeна )

Зачем так краски сгущаете?

Пару месяцев назад на РТ тоже перестали работать VPN. Преимущественно зарубежные.

После звонка в РТ с вопросом "какого хрена?" и устных обьяснений что это мои точки входа в сеть управления серверами пообещали исправить. Через неделю на самом деле адреса серверов добавили в белый лист.

Итого - не обязательно быть юрлицом, не обязательно никуда писать. Простой звонок в ТП, пара минут общения со второй линией, несколько дней ожидания и сервера доступны. Провайдер сам решает этот вопрос с РКН.

Если конечно это ваш личный сервер с небольшим количеством пользователей.

Мы (Positive Technologies) сидим на OpenVPN - все работает нормально, проблем с юлокировками не испытываем. Не знаю используется ли обфускация но с клиентской стороны никаких приседаний не было и проблем тоже.

Возможно у вас организация зарепортила адреса своих VPN-серверов в РКН, чтобы не них не распространялась фильтрация?Договорились по-хорошему, так сказать. Помнится, РКН пару лет назад специально рассылали запросы крупняку именно для этого...

да, вполне возможно

У нас точно организация репортила. Но у некоторых людей на разных провайдерах периодически возникают проблемы с openvpn.

Ну, мы свои адреса не репортили - и wg, и ovpn работают нормально в пределах страны, за исключением одного дня, когда wg блокировали массово.

В большинстве регионов не работают. Даже в Москве уже мало где работают.

не хочется палить оператора, но на одном крупнейшем (здоровья им) еще работает в мск

ростелек не работает, мтс не работает

У нас тоже openvpn, полет нормальный, ничего никто не блочит

Простите, а поменять на что? Какие есть альтернативы в опенсорсе? Чтобы были кроссплатформенными?

>в опенсорсе

Ну, openconnect . Citrix и Cisco anyconnect вроде пашут без проблем, значит РКН целенаправленно мочит только васянов и шараги.

У меня летом были проблемы с openconnect. Работодатель в сети Ростелекома.

Возможно у вас был включен DTLS в конфигурации.

Я пробовал его отключать, разницы никакой.

РКН не любит openvpn и wg, это уже повод его поменять.

Это повод написать свою приблуду для обфускации. Или две.

Присоединяюсь к вопросу: А какой vpn любит ркн? Очень интересно как по вашему мнению, и как по мнению правительства мне обеспечивать доступ из вне (но в пределах России!!!!) в мою локальную сеть?? Как??? Я так охренел, когда столкнулся с блокировкой wg из России в Россию! Этож такая тупость.

А по поводу приблуд от васяна, вы статью то читали? У нас iptables и их аналоги это теперь приблуды от Васяна?

>приблуд от васяна, вы статью то читали

угу, причём глазами, в отличие от тебя. зато ты, конечно, аудит этого софта с гитхаба сделал. который небось из под рута запускаешь )

кто там его писал? добрый дядя bol-van ну всё, точно не злодей и не тов.маёр

ещё конечно после каждого коммита всё перепроверяешь. и это конечно проще, чем openconnect влепить

купил белый ip у провайдера - wireguard сервер в россии стал работать

А мне нравится заворачивать трафик через ssh, а там уже что хочешь подрубай. Правда скорость так себе, но для работы много не надо

Читал, SSH могут замедлить крайне, что работать будет, но тот же YouTube уже не посмотришь

Замедление ssh будет сродни его отключения, через него проходит огромный объем трафика, или у вас это только к консоли терминала подключение? Любое копирование файлов уже давно через ssh

Замедление ssh будет сродни его отключения

В Китае уже давно так делают, и ничего.

Проблемы индейцев шерифа не волнуют.

Любое...

Ну, ок.

Во-во у меня мобильный интернет от мтс, как появляется трафика больше чем консольный мин на пять - сессия просто рвется. Я не стал париться с обфурскацией думал хватит тоннеля, но с той стороны хитрее.

Я на домашнем билайне уже сталкивался с попыткой контролировать ssh. 18 апреля связь по ssh часто рвалась. Заходишь — нормально. Что-то медленно печатаешь в консоли — нормально. Запускаешь ls -al в большом каталоге — на середине вывода соединение рвётся.

Через день прошло. Такое чувство, что тестировали rate limit, выясняя, сколько админам надо для комфортного сидения в терминалах, но чтоб никакие тоннели не работали.

А ещё не замедляют? У меня почему-то при копировании файлов по SSH из России в Германию в первые несколько секунд скорость достигает 10 МБ, а потом сразу стремительно падает до 500КБ приблизительно.

SyncThing тоже ограничена по ощущениям от 500КБ до 1МБ.

Я в прошлом хостил 5 узлов сети Tor. В 2021 году, когда РКН серьезно взялся за блокировки Tor, рвали не только подключения по IP+OrPort/DirPort, но и ssh до этих узлов.

У нас фортик, к нему через мегафон с трудом подключаюсь почему-то.

В статье несколько сумбурно все описано, предполагается что читатель сам должен догадаться как у автора устроена архитектура его сети.

Непонятно, на роутере настройка происходит или на рабочей станции с Linux.

Ну видимо это применимо и к роутеру, и к станции (если ознакомиться с комментом на гитхабе). Другой вопрос, что без детального понимания эффекта от таких манипуляций, мои шансы получить положительный результат стремятся к нулю. ))

эта тема больше для тех, кто понимает в чем суть обхода и как работает NFQUEUE, NFT, ужасно мутный zapret (вы пытались понять, что делает инсталлятор ?), но его нужно было подтолкнуть все таки настроить zapret для vpn

пишем на почту в статье. звоним по телефону.

https://digital.gov.ru/ru/events/47846/

Согласен. Читал всё описанное выше и задавался вопросом: неделю грустить но упорно не писать заявку в РКН — брезгливость?

Компания из США, вряд ли они писать будут.

"Роскомнадзор проверит информацию и внесёт IP-адреса компании в «белый список», разблокировав для них доступ к VPN. Однако если компания обращалась в Роскомнадзор самостоятельно, данные о ней в течение месяца всё равно должно подтвердить профильное ведомство."

Интересно, какое у нас профильное ведомство, если мы небольшая компания, которая сдаёт в аренду коммерческую недвижимость, и эта самая недвижимость по VPN связана в одну сеть.

Наверное вы и есть профильное ведомство, сами и подтвердите что используете VPN для себя. Попробуйте написать в Роскомнадзор и потом расскажите нам тут на хабре о результате, думаю будет интересно почитать.

Роскомнадзора на вас не хватает.. С меня лайк и подписка👍

Достаточно написать официальное письмо от организации в РКН по включению казённых IP в белый список. Это работает, проверено на собственной фирме.

Компания из США, вряд ли они запрос писать будут.

Можете пояснить какие у вас IP адреса (Зарубежные или Российские) и протоколы VPN были внесены в белый список?

Проблемы были в основном с российскими мобильными операторами. Протокол - openvpn.

Хз не испытываю сложностей с ютуб, на роутере с openwrt настроил wan6(6in4) интерфейс через туннельный брокер ipv6, и все летает, и что самое смешное, очень так кажется, что тспу не может пока анализировать ipv6 пакеты. На крайняк, есть vpn сервер(3x-ui) в докере поднят контейнер на vps'ке в европе, провайдер блокирует openvpn и wg, а вот vless работает замечательно.

У вас провайдер поддерживает ipv6?

Нет, просто 6to4 и все, ipv6 пакеты передаются через ipv4, для этого и нужен туннельный брокер ipv6.

А где находится территориально туннельный брокер и по каким протоколам идет трафик до него?

Территориально брокер в РФ, протокол IPv6 in IPv4(RFC4213).

очень так кажется, что тспу не может пока анализировать ipv6 пакеты

У меня нативный IPv6 от провайдера, блокировки и замедления на нём работают точно также, как и на IPv4

Сначала блокировки ютуба работало нормально, теперь уже нет
мтс мобильный на роутере

А у вас резолв от youtube.com по ipv4 или ipv6? Я про то что, если у вас маршрутизатор получает ipv4 и ipv6, то резолв приходит с какого из этого интерфейса?

А в локальной сети все ваши устройства имеют только ipv6 адреса или ipv4 тоже?
Если вы обращаетесь к сайту, который работает только по ipv4, то что будет, как трафик будет идти?

В локальной сети использую ipv4 и ipv6, то есть устройства получают и 4 и 6 версии адрес. Если удаленный ресурс поддерживает ipv6, то по умолчанию обращение идет через ipv6, если нет, то ipv4.

Вспоминается советский анекдот про сантехника: "Тут всю систему менять надо".

В прошлом году Ростелеком (СПб) обрубил wireguard и openvpn по UDP, по TCP работало до последних двух недель. Вчера перепробовал несколько VPS в разных странах, не удалось починить. По UDP коннект происходит, но трафик не идет. По TCP постоянный сброс подключения при коннекте.

Пользовался этим скриптом: https://github.com/angristan/openvpn-install и wg аналогичным

По TCP постоянный сброс подключения при коннекте

причем насколько я вижу он (тот кто обеспечивает нам безопасность) делает это отправкой пакета с FIN

Попробуйте AmneziaVPN, на Хабре много раз писали. Их X-ray пока работает.

Попробуйте разные значения, методом подбора.

В начале сентября Ростелеком дропал пакеты при хендшейке openvpn некоторое время, но если подождать с нной попытки соединение устанавливалось и все работало. Несколько дней назад они перестали это делать соединение устанавливается, но нифига не работает, кто-нибудь в курсе что происходит? На других провайдерах работает, пора походу избавляться от Ростелекома

А что мешает добавить ip сервера в белый список? У нас openvpn тоже как-то перестал работать. Позвонили провайдеру, сообщили ip, тот их в ведомство, которое за списком следит, и через несколько часов блокировки прекратились, и не возобновлялись. Все точки внутри РФ.

и правда все для нас.

а если нужно ролик с ютуба посмотреть, куда позвонить можно?

Зато этот способ позволяет продолжать работать. Обход блокировок импортных ресурсов - это, скорее, запасной вариант.

Калуга, Билайн, Мобильный интернет.

Чей то DPI (толи Билайна, толи РКН, кто знает подскажите чей именно) анализирует вообще все пакеты похоже и даже в SSH соединении умудряется находить заблокированный паттерн, в результате вместо KeepAlive пакета от сервера приходит HTTP пакет с "FIN, PSH, ACK" флагами и редиректом на заглушку http://blackhole.beeline.ru. Клиент разрывает соединение, пакеты не доходят. Два в одном.

По моему это уже пи**ц!

У меня ростелеком также. Уже в шаге от белых списков. Это не преувеличение. Вот в коментах выше люди радуются. Их организация подала заявку и теперь ovpn работает. Да. Сейчас ВСЕ организации(госуха, акредитованные итд) подают заявки. Т.е. организациям РФ организуют работу мимо dpi. А затем все остальным по белым спискам.

В белый список вносят ip адрес vpn сервера или ip источника?
Заявки подают в РКН?

Это вопрос к тем кто работает в компаниях(они выше отписались).Но судя по информации с gov.ru подают заявку в РКН через минцифры. И туда надо(документов компании) приложить и ip-адреса и типы vpn-сервисов и протоколов. Ip-источника или сервера не знаю. Но это не важно. Пока тестирует. Т.е. потом(и очень скоро) всё может сильно измениться. Это видно по блокировкам(каждый день тестируют всё новые способы). Но суть будет одна. Нужные VPN(которые подали заявки) будут работать. Остальные нет. А затем..когда работе организацией ничего не угрожает..можно остальным вводить белые списки.

А не пробовали все пакеты с Location: http://blackhole.beeline.ru дропать на роутере, например? :)
Это будет реальное Техническое Средство Противодействия Угрозам.

Попробую, спасибо.

А что вообще происходит по командам из статьи, нельзя ли расписать подробнее?

а вот и нет. там udp

вы не внимательно читали

Я читал авторов утилит, а не статью. UDP вообще не поддерживается. В статье вообще ничего не понятно, если заранее не знать, что это, для чего и как используется.

Сильно понятнее не стало. Как это работает? Что конкретно должно измениться в таблицах?

Те, кто рапортует, что у него openvpn работает нормально, потом бежит со всеми штурмовать Верхний Ларс. Надо идти на 2 шага впереди, а не попадать регулярно в первую волну, чтобы сделать новый шаг и рапортовать как всё работает. Сам этот факт, уже сигнал, что вы идёте на грани.
У меня был блок своего openvpn от теле2 ещё весной. Это был сигналом перейти на xray-reality, закинуть в другое место запасной zerotier, перебросить двойные тоннели, поставил byedpi, изучил ipv6 only решения. Готовиться надо заранее, а не когда приплыли. Тенденция очень даже понятная, блокируют даже статьи. Доступ к информации это весомая часть свободы и пускать на самолёк это не стоит.

Между тем на мобильном Ростелекоме в Спб идет тотальное замедление хабра... а через билайн домашний нормально работает...

"вне политики" доигрались....

Так за эту статью могли смело заблокировать " 1 марта вступает в силу запрет на публикацию информации в интернете о способах обхода блокировок"

Ха, а Хабр еще не заблокирован в РФ? За эту статью ведь могут заблокировать. " 1 марта вступает в силу запрет на публикацию информации в интернете о способах обхода блокировок"

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории