Комментарии 81
Работодатель какой-то странный, если сидит на openvpn до сих пор.
Или он снаружи РФ?
А что не так с OpenVPN внутри РФ?
Если персональные данные не обрабатываются, не КИИ, не банк, не госучреждение и не медицина, почему нельзя использовать OpenVPN?
>А что не так с OpenVPN
РКН не любит openvpn и wg, это уже повод его поменять. Не, будем жрать кактус с какими-то васян-приблудами для обфускации. Хорошо если сами эти приблуды без троянов.
Повод его поменять
А существует хоть один VPN-протокол, который любит РКН? Проблема же не в протоколах, а в самой сущности туннелирования трафика, которую нельзя контролировать.
Ну, завтра властная группировка поймет, что им в целом надоел современный TLS (уже есть проблемы с eSNI и т.д.) — РКН, разумеется, возьмёт под козырёк — тогда что будем делать? Это будет "поводом" перейти на HTTP?
Туда же многочисленные истории про блокировки просто не понятного цензору трафика. Это всё кончится очень плохо.
>завтра властная группировка поймет, что им в целом надоел современный TLS
проснись нео, у тебя в яндекс-фсбраузере уже ЦА чекистов давно прописался )
>Это всё кончится очень плохо
кто сказал, что чебурнет это плохо? 15 лет за такое или это уже гoсизмeна )
Зачем так краски сгущаете?
Пару месяцев назад на РТ тоже перестали работать VPN. Преимущественно зарубежные.
После звонка в РТ с вопросом "какого хрена?" и устных обьяснений что это мои точки входа в сеть управления серверами пообещали исправить. Через неделю на самом деле адреса серверов добавили в белый лист.
Итого - не обязательно быть юрлицом, не обязательно никуда писать. Простой звонок в ТП, пара минут общения со второй линией, несколько дней ожидания и сервера доступны. Провайдер сам решает этот вопрос с РКН.
Если конечно это ваш личный сервер с небольшим количеством пользователей.
Мы (Positive Technologies) сидим на OpenVPN - все работает нормально, проблем с юлокировками не испытываем. Не знаю используется ли обфускация но с клиентской стороны никаких приседаний не было и проблем тоже.
Возможно у вас организация зарепортила адреса своих VPN-серверов в РКН, чтобы не них не распространялась фильтрация?Договорились по-хорошему, так сказать. Помнится, РКН пару лет назад специально рассылали запросы крупняку именно для этого...
да, вполне возможно
У нас точно организация репортила. Но у некоторых людей на разных провайдерах периодически возникают проблемы с openvpn.
Ну, мы свои адреса не репортили - и wg, и ovpn работают нормально в пределах страны, за исключением одного дня, когда wg блокировали массово.
не хочется палить оператора, но на одном крупнейшем (здоровья им) еще работает в мск
ростелек не работает, мтс не работает
У нас тоже openvpn, полет нормальный, ничего никто не блочит
Простите, а поменять на что? Какие есть альтернативы в опенсорсе? Чтобы были кроссплатформенными?
>в опенсорсе
Ну, openconnect . Citrix и Cisco anyconnect вроде пашут без проблем, значит РКН целенаправленно мочит только васянов и шараги.
РКН не любит openvpn и wg, это уже повод его поменять.
Это повод написать свою приблуду для обфускации. Или две.
Присоединяюсь к вопросу: А какой vpn любит ркн? Очень интересно как по вашему мнению, и как по мнению правительства мне обеспечивать доступ из вне (но в пределах России!!!!) в мою локальную сеть?? Как??? Я так охренел, когда столкнулся с блокировкой wg из России в Россию! Этож такая тупость.
А по поводу приблуд от васяна, вы статью то читали? У нас iptables и их аналоги это теперь приблуды от Васяна?
>приблуд от васяна, вы статью то читали
угу, причём глазами, в отличие от тебя. зато ты, конечно, аудит этого софта с гитхаба сделал. который небось из под рута запускаешь )
кто там его писал? добрый дядя bol-van ну всё, точно не злодей и не тов.маёр
ещё конечно после каждого коммита всё перепроверяешь. и это конечно проще, чем openconnect влепить
купил белый ip у провайдера - wireguard сервер в россии стал работать
А мне нравится заворачивать трафик через ssh, а там уже что хочешь подрубай. Правда скорость так себе, но для работы много не надо
Читал, SSH могут замедлить крайне, что работать будет, но тот же YouTube уже не посмотришь
Замедление ssh будет сродни его отключения, через него проходит огромный объем трафика, или у вас это только к консоли терминала подключение? Любое копирование файлов уже давно через ssh
Замедление ssh будет сродни его отключения
В Китае уже давно так делают, и ничего.
Проблемы индейцев шерифа не волнуют.
Любое...
Ну, ок.
Во-во у меня мобильный интернет от мтс, как появляется трафика больше чем консольный мин на пять - сессия просто рвется. Я не стал париться с обфурскацией думал хватит тоннеля, но с той стороны хитрее.
Я на домашнем билайне уже сталкивался с попыткой контролировать ssh. 18 апреля связь по ssh часто рвалась. Заходишь — нормально. Что-то медленно печатаешь в консоли — нормально. Запускаешь ls -al
в большом каталоге — на середине вывода соединение рвётся.
Через день прошло. Такое чувство, что тестировали rate limit, выясняя, сколько админам надо для комфортного сидения в терминалах, но чтоб никакие тоннели не работали.
А ещё не замедляют? У меня почему-то при копировании файлов по SSH из России в Германию в первые несколько секунд скорость достигает 10 МБ, а потом сразу стремительно падает до 500КБ приблизительно.
SyncThing тоже ограничена по ощущениям от 500КБ до 1МБ.
Я в прошлом хостил 5 узлов сети Tor. В 2021 году, когда РКН серьезно взялся за блокировки Tor, рвали не только подключения по IP+OrPort/DirPort, но и ssh до этих узлов.
У нас фортик, к нему через мегафон с трудом подключаюсь почему-то.
В статье несколько сумбурно все описано, предполагается что читатель сам должен догадаться как у автора устроена архитектура его сети.
Непонятно, на роутере настройка происходит или на рабочей станции с Linux.
Ну видимо это применимо и к роутеру, и к станции (если ознакомиться с комментом на гитхабе). Другой вопрос, что без детального понимания эффекта от таких манипуляций, мои шансы получить положительный результат стремятся к нулю. ))
эта тема больше для тех, кто понимает в чем суть обхода и как работает NFQUEUE, NFT, ужасно мутный zapret (вы пытались понять, что делает инсталлятор ?), но его нужно было подтолкнуть все таки настроить zapret для vpn
пишем на почту в статье. звоним по телефону.
https://digital.gov.ru/ru/events/47846/
Согласен. Читал всё описанное выше и задавался вопросом: неделю грустить но упорно не писать заявку в РКН — брезгливость?
"Роскомнадзор проверит информацию и внесёт IP-адреса компании в «белый список», разблокировав для них доступ к VPN. Однако если компания обращалась в Роскомнадзор самостоятельно, данные о ней в течение месяца всё равно должно подтвердить профильное ведомство."
Интересно, какое у нас профильное ведомство, если мы небольшая компания, которая сдаёт в аренду коммерческую недвижимость, и эта самая недвижимость по VPN связана в одну сеть.
Роскомнадзора на вас не хватает.. С меня лайк и подписка👍
Достаточно написать официальное письмо от организации в РКН по включению казённых IP в белый список. Это работает, проверено на собственной фирме.
Хз не испытываю сложностей с ютуб, на роутере с openwrt настроил wan6(6in4) интерфейс через туннельный брокер ipv6, и все летает, и что самое смешное, очень так кажется, что тспу не может пока анализировать ipv6 пакеты. На крайняк, есть vpn сервер(3x-ui) в докере поднят контейнер на vps'ке в европе, провайдер блокирует openvpn и wg, а вот vless работает замечательно.
У вас провайдер поддерживает ipv6?
очень так кажется, что тспу не может пока анализировать ipv6 пакеты
У меня нативный IPv6 от провайдера, блокировки и замедления на нём работают точно также, как и на IPv4
А в локальной сети все ваши устройства имеют только ipv6 адреса или ipv4 тоже?
Если вы обращаетесь к сайту, который работает только по ipv4, то что будет, как трафик будет идти?
Вспоминается советский анекдот про сантехника: "Тут всю систему менять надо".
не помогает. дропает пакеты openvpn. оператор ростелеком
скорее всего проблема с правилом nft
В прошлом году Ростелеком (СПб) обрубил wireguard и openvpn по UDP, по TCP работало до последних двух недель. Вчера перепробовал несколько VPS в разных странах, не удалось починить. По UDP коннект происходит, но трафик не идет. По TCP постоянный сброс подключения при коннекте.
Пользовался этим скриптом: https://github.com/angristan/openvpn-install и wg аналогичным
Попробуйте разные значения, методом подбора.
В начале сентября Ростелеком дропал пакеты при хендшейке openvpn некоторое время, но если подождать с нной попытки соединение устанавливалось и все работало. Несколько дней назад они перестали это делать соединение устанавливается, но нифига не работает, кто-нибудь в курсе что происходит? На других провайдерах работает, пора походу избавляться от Ростелекома
А что мешает добавить ip сервера в белый список? У нас openvpn тоже как-то перестал работать. Позвонили провайдеру, сообщили ip, тот их в ведомство, которое за списком следит, и через несколько часов блокировки прекратились, и не возобновлялись. Все точки внутри РФ.
Калуга, Билайн, Мобильный интернет.
Чей то DPI (толи Билайна, толи РКН, кто знает подскажите чей именно) анализирует вообще все пакеты похоже и даже в SSH соединении умудряется находить заблокированный паттерн, в результате вместо KeepAlive пакета от сервера приходит HTTP пакет с "FIN, PSH, ACK" флагами и редиректом на заглушку http://blackhole.beeline.ru. Клиент разрывает соединение, пакеты не доходят. Два в одном.
По моему это уже пи**ц!
У меня ростелеком также. Уже в шаге от белых списков. Это не преувеличение. Вот в коментах выше люди радуются. Их организация подала заявку и теперь ovpn работает. Да. Сейчас ВСЕ организации(госуха, акредитованные итд) подают заявки. Т.е. организациям РФ организуют работу мимо dpi. А затем все остальным по белым спискам.
В белый список вносят ip адрес vpn сервера или ip источника?
Заявки подают в РКН?
Это вопрос к тем кто работает в компаниях(они выше отписались).Но судя по информации с gov.ru подают заявку в РКН через минцифры. И туда надо(документов компании) приложить и ip-адреса и типы vpn-сервисов и протоколов. Ip-источника или сервера не знаю. Но это не важно. Пока тестирует. Т.е. потом(и очень скоро) всё может сильно измениться. Это видно по блокировкам(каждый день тестируют всё новые способы). Но суть будет одна. Нужные VPN(которые подали заявки) будут работать. Остальные нет. А затем..когда работе организацией ничего не угрожает..можно остальным вводить белые списки.
А не пробовали все пакеты с Location: http://blackhole.beeline.ru
дропать на роутере, например? :)
Это будет реальное Техническое Средство Противодействия Угрозам.
А что вообще происходит по командам из статьи, нельзя ли расписать подробнее?
Фрагментируют первые пакеты в TCP-сессии.
Те, кто рапортует, что у него openvpn работает нормально, потом бежит со всеми штурмовать Верхний Ларс. Надо идти на 2 шага впереди, а не попадать регулярно в первую волну, чтобы сделать новый шаг и рапортовать как всё работает. Сам этот факт, уже сигнал, что вы идёте на грани.
У меня был блок своего openvpn от теле2 ещё весной. Это был сигналом перейти на xray-reality, закинуть в другое место запасной zerotier, перебросить двойные тоннели, поставил byedpi, изучил ipv6 only решения. Готовиться надо заранее, а не когда приплыли. Тенденция очень даже понятная, блокируют даже статьи. Доступ к информации это весомая часть свободы и пускать на самолёк это не стоит.
Между тем на мобильном Ростелекоме в Спб идет тотальное замедление хабра... а через билайн домашний нормально работает...
"вне политики" доигрались....
Ха, а Хабр еще не заблокирован в РФ? За эту статью ведь могут заблокировать. " 1 марта вступает в силу запрет на публикацию информации в интернете о способах обхода блокировок"
Обходим блокировку VPN