Комментарии 146
Про DNS запросы - кажется, вы описываете DNS IP leak. Тут ещё нужно генерировать какой-то рандомный поддомен (чтобы точно ничего нигде не кешировалось), и убедиться, что ваш сервер якобы его резольвит. DNS клиент (как минимум в Windows) по умолчанию отправляет DNS запросы сразу по всем интерфейсам, поэтому и палится оригинальный IP, несмотря на подключенный VPN. Точнее, видно только DNS сервер, от которого приходит запрос, но владелец этого DNS сервера знает, куда вы ходите, несмотря на VPN.
В нормальных VPN клиентах эта уязвимость исправляется, чаще всего на уровне WFP.
Проверяйте свои VPN клиенты :)
На уровне ОС это тоже настраивается включением опций DisableParallelAandAAA и DisableSmartNameResolution.
Действительно, через групповые политики. Но надёжнее в любом случае заблочить DNS пакеты на всех интерфейсах, кроме VPN.
Правильнее грамотно настроить маршруты, чтобы любой трафик не мог идти в обход VPN, а не блокировать один вид трафика на всех интерфейсах.
Любой трафик от нативного приложения по определению может общаться с любого интерфейса, что Windows 10+ и делает? Если же их DNS-клиент шлет @interface-nameserver с source IP 0.0.0.0, при этом перебирая все интерфейсы - было бы странно.
Правильнее грамотно настроить маршруты,
Тут я еще не уверен, что сетевой стек Windows правильно обрабатывает fail-over (подморгнем Wireguard), но это как-нибудь в другой раз.
Тут я еще не уверен, что сетевой стек Windows правильно обрабатывает fail-over (подморгнем Wireguard), но это как-нибудь в другой раз.
Пока интерфейс активен, нет и fail-over'а, даже если трафик через него не течет. А с Wireguard'ом вообще отдельная история, потому что у него во флоу работы вообще нет понятия сбоя. Есть только "просроченное регулярное рукопожатие", которое приводик к повторным попыткам его совершить.
Таблица маршрутизации не применяется, когда приложение напрямую работает с сетевыми адаптерами. Как не настраивай маршруты, а без блокировки трафика мимо тоннеля, он все равно течет. Причем, второе место по подобным нежданчикам, после DNS-резолвера, занимают торрент-клиенты по типу qBitTorrent и ко, которые по умолчанию тоже стучат по всем сетевым адаптерам напрямую, игнорируя маршруты в системе.
Там даже сложной низкоуровневой магии нет, все без проблем реализуется средствами WinAPI любым школьником.
Как не крути, а единственной защитой от утечек является фаервол.
dnsleak палит точку выхода (vpn) - если у тебя random-location-dns то всё равно по задержке до dns понятно откуда выполз
А какой в этом сейчас практический смысл? Вроде бы цель попасть на ресурс, а не скрыть факт попадания. Но, конечно, если хочешь попасть на черный рынок для торговли органами или наркотой, то лучше скрыть доменные имена. А в остальном... Объясните пожалуйста
Специально детектить в общем-то большого смысла я тоже не вижу, только может если метрики точнее собирать (например, юзер не из Нидерландов, а из РФ), либо делать сайт, который детектит эти утечки.
А смысл их закрывать следующий.
Например, есть страны, где просмотр порно, скажем так, сильно не одобряется на государственном уровне. Вот ты весь такой технически подкованный включаешь впн, и все равно смотришь. А в это время твой провайдер по днс запросам знает, на какие сайты ты ходишь, и может на тебя настучать. Таким образом, будешь наказан, несмотря на впн.
Есть и другие приколы похожего рода, например, интернет пропал на минутку, впн отключился, и запретное видео дальше автоматом идет через незащищенный канал. Опять встрял.
Таких нюансов много, поэтому впн клиенты надо тщательно выбирать.
Пользователи из нидерландов так же могут быть русскими и посещать российские ресурсы.
Ну в россии смотреть порно не запрещено. Если оно не с детьми, конечно. То есть, получается, что скрывать доменное имя есть смысл только если нарушаешь метсные законы?
Пользователи из нидерландов так же могут быть русскими
И при чём же здесь национальность? Не думаю, что кто-то собирает такую метрику, а если и собирает кто-то, то не только лишь все, потому что это непросто. Я про что в данном контексте.
Вот есть у вас продукт - пусть это будет сайт. Вы собираете некоторые метрики - например, сколько всего уникальных пользователей в день зашло, и откуда. И, предположим, видите, что из Нидерландов сегодня был миллион уникальных юзеров. Бизнес может принимать решения на основе этих метрик - например, сделать локализацию сайта. Имея более точное определение страны пользователя, вы можете понять, что, допустим, из этого миллиона только 50 000 было из Нидерландов, остальные из других стран сидят через VPN. Локализацию делать бизнесу невыгодно, деньги не потеряны. Так понятнее?
Ну в россии смотреть порно не запрещено
Это никак не относится к теме нашего обсуждения, я нигде не говорил про порно и РФ в одном контексте. VPN он не только в РФ нужен, вот это поворот.
То есть, получается, что скрывать доменное имя есть смысл только если нарушаешь метсные законы?
Давайте рассмотрим такое утверждение. Все люди - приматы. Значит ли это, что все приматы - люди? Вот ваша логика так и выглядит. Если так рассуждать, то и VPN используют только преступники.
Вот есть у вас продукт - пусть это будет сайт. Вы собираете некоторые метрики - например, сколько всего уникальных пользователей в день зашло, и откуда. И, предположим, видите, что из Нидерландов сегодня был миллион уникальных юзеров. Бизнес может принимать решения на основе этих метрик - например, сделать локализацию сайта. Имея более точное определение страны пользователя, вы можете понять, что, допустим, из этого миллиона только 50 000 было из Нидерландов, остальные из других стран сидят через VPN. Локализацию делать бизнесу невыгодно, деньги не потеряны. Так понятнее?
Понятнее что? Я спрашиваю зачем скрывать сайт, куда стучишься, а вы объясняете зачем владельцу сайта знать.
И именно поэтому ваше утверждение с приматами сюда не подходит.
Если так рассуждать, то и VPN используют только преступники.
Вообще мимо. VPN можно использовать для посещения ресурсов, которые РКН решил скрыть от глаз. Но их посещение вполне законно. Меня никто не арестует, если я зайду на bbc.com, например. Или если посмотрю видео из ютуба.
Вопрос именно в том, зачем мне скрывать сайт, который я хочу посетить. И все ваши доводы либо напрямую завязаны на нарушение местных законов либо не объясняют то что я спросил. Вот я и делаю такой вывод, потому что я тоже не могу придумать ни одного кейса, когда я делаю что то законное и хочу это скрыть.
Понимаете, если меня провайдер или тов. майор спросит пользуюсь ли я ВПН я скажу что пользуюсь. И даже могу историю браузера им показать если очень надо.
Понимаете, если меня провайдер или тов. майор спросит пользуюсь ли я ВПН я скажу что пользуюсь. И даже могу историю браузера им показать если очень надо.
Одно другому вообще-то не мешает. Кто-то может перфекционист, и чувствует себя неуютно, когда утечка адреса есть. Где-то может быть сервис, который использует расширенную геолокацию, чтобы блокировать доступ (вспомнить хотя бы волну про-украинских сайтов, запрещающих доступ из РФ/если стоит русская локаль/и т.д.). Совершенно необязательно нарушать закон. Жаль, что у вас такая ассоциация :)
Честно говоря вообще не вижу смысла доказывать, для чего нужно скрывать утечки своего адреса. Хочу - и баста, я думаю, это достаточно сильный аргумент :)
если меня провайдер или тов. майор спросит пользуюсь ли я ВПН я скажу что пользуюсь. И даже могу историю браузера им показать если очень надо
И я могу, но не строю всю свою жизнь исходя из этого. Более того - не могу представить, чтобы такая ситуация произошла.
Честно говоря вообще не вижу смысла доказывать, для чего нужно скрывать утечки своего адреса
Я не прошу доказывать, я прошу просто объяснить. И пока ни одно объяснение меня не устроило. Не с точки зрения личных предпочтений даже. Просто ваше первое объяснение было про нарушение закона, а затем что то из серии "ну просто так хочется". Про тяжелую политическую обстуновку совсем из пальца высосано. Даже сами украинцы ходят по нашим сайтам. И даже на хабре есть. Закрывать доступ куда либо основываясь на истории навигации - такое себе занятие. Выстрел самому себе в ногу.
Короче не подходят объяснения эти. Ну понятно, платить за какой то там ВПН чтобы скрыть от третьих лиц (кроме самого ВПН, кстати) свои похождения, это, наверное, круто. Можно потом коллегам в курилке рассказать: "Прикиньте, я сайты от провайдера скрываю". Но тут же последует вопрос: "А зачем". "Ну как, я же весь такой "в тени"".
Это, конечно, личное дело каждого. Просто хотел понять. Раз вам нечего и незачем скрывать и вы не знаете зачем, могли бы и не писать столько сообщений, а просто сказать: "Не знаю" :)
Ну, я наверное плохо объясняю, раз так тяжело понять. Истории про сервисы, которые ведут себя по-разному в зависимости от того, откуда вы пришли - они не высосаны из пальца. И я не призываю, опять же, никого платить - сам не пользуюсь. Когда надо, на работе прошу админов настроить рабочий впн, чтобы и наружу тоже работал.
А про нарушение закона - ну вот на одной из прошлых работ мы делали впны. Собираешь те же метрики dcu - юзеры в основном из стран типа пакистана, ирана, египта, азербайджана. Смотришь куда они в основном ходят, делаешь туннели чтобы не тормозило. Фичи добавляешь востребованные :) Просто бизнес, ничего личного. Судя по dcu, либо там по полстраны народа преступников, либо тезис ну не совсем состоятельный.
А в курилке таким хвастаться ну это типа вообще не уровень. Вообще хвастаться это как-то по-детски что ли. Кому надо - тот молча дела делает
Истории про сервисы, которые ведут себя по-разному в зависимости от того, откуда вы пришли - они не высосаны из пальца.
Вспоминаем ваше отверждение про приматов )
Я не говорил, что поведение сайтов в зависимости от географического положения высосаны из пальца. Я сказал, что основывать это поведение на списке посещенных сайтов - глупая затея.
А про нарушение закона - ну вот на одной из прошлых работ мы делали впны. Собираешь те же метрики dcu - юзеры в основном из стран типа пакистана, ирана, египта, азербайджана. Смотришь куда они в основном ходят, делаешь туннели чтобы не тормозило.
Ну так скрыть адрес от ВПНа то не получится. Ну и кстати, провайдер вполне может сделать то же самое. И делают. Так в чем угроза?
Судя по dcu, либо там по полстраны народа преступников, либо тезис ну не совсем состоятельный.
Я не знаю что такое DCU. И гугл не помог. Но если граждане ломятся на сайты, посещения которых запрещены местными законами, значит они преступники. Ну, преступник - тот, кто преступает закон. Вроде это так работает.
Поищите метрику DAU, это +- то же самое только посередине connected. Мне кажется, я вам говорю про тёплое, а вы мне - про мягкое. Не вижу смысла это продолжать.
Мне кажется, я вам говорю про тёплое, а вы мне - про мягкое
Возможно так. В любом случае, мы ведь не базарные бабки. Предлагаю разобрать это более предметно. Если считаете, что я вас не понимаю, покажите на примере. Процитируйте меня, где я говорю "теплое", а затем себя, где вы говорите "мягкое".
Давайте я начну. Вы говорите:
А смысл их закрывать следующий.
Например, есть страны, где просмотр порно, скажем так, сильно не одобряется на государственном уровне. Вот ты весь такой технически подкованный включаешь впн, и все равно смотришь. А в это время твой провайдер по днс запросам знает, на какие сайты ты ходишь, и может на тебя настучать. Таким образом, будешь наказан, несмотря на впн.
Есть и другие приколы похожего рода, например, интернет пропал на минутку, впн отключился, и запретное видео дальше автоматом идет через незащищенный канал. Опять встрял.
Таких нюансов много, поэтому впн клиенты надо тщательно выбирать.
Здесь вы приводите пару примеров а затем говорите "таких нюансов много". Но при этом предложенные вами нюансы явно нацелены на сокрытие нарушения местного законодательства. О чем я и сказал дальше:
То есть, получается, что скрывать доменное имя есть смысл только если нарушаешь метсные законы?
На это вы ответили еще одним примером:
Вот есть у вас продукт - пусть это будет сайт. Вы собираете некоторые метрики - например, сколько всего уникальных пользователей в день зашло, и откуда. И, предположим, видите, что из Нидерландов сегодня был миллион уникальных юзеров. Бизнес может принимать решения на основе этих метрик - например, сделать локализацию сайта. Имея более точное определение страны пользователя, вы можете понять, что, допустим, из этого миллиона только 50 000 было из Нидерландов, остальные из других стран сидят через VPN. Локализацию делать бизнесу невыгодно, деньги не потеряны. Так понятнее?
Но здесь указан пример того, зачем кому то нужно ваше географическое положение, намекая на то, что история посещений может косвенно ее показать. Ну то есть объясняете зачем владельцам ресурсов эта информация (хотя изначально разговор был не об этом).
Кстати, этот сайт не знает ничего о моих посещениях. Знает провайдер. И РКН.
Но ладно, к этому еще можно вернуться. Я отвечаю:
Я спрашиваю зачем скрывать сайт, куда стучишься, а вы объясняете зачем владельцу сайта знать.
Ну да, вы ведь попытались ответить на вопрос заинтересованности бизнеса, а я спрашивал в чем интерес именно пользователя.
Где-то может быть сервис, который использует расширенную геолокацию, чтобы блокировать доступ (вспомнить хотя бы волну про-украинских сайтов, запрещающих доступ из РФ/если стоит русская локаль/и т.д.). Совершенно необязательно нарушать закон. Жаль, что у вас такая ассоциация :)
Вот тут вы уже явно говорите про определение географического положения по истории просмотра, чтобы использовать эту информацию против пользователя.
Но это ведь косвенные признаки. О чем я намекнул дальше.
Про тяжелую политическую обстуновку совсем из пальца высосано. Даже сами украинцы ходят по нашим сайтам. И даже на хабре есть. Закрывать доступ куда либо основываясь на истории навигации - такое себе занятие.
Ну то есть сайты, которые поддерживают украину, пытаясь заблокировать пользователей из РФ по истории их просмотров могут заблокировать и украинцев, которых они так поддерживают.
А ну и кстати, тут еще надо не забывать, что информация эта содержится у провайдера и даже если провайдер ее потом продает или она утекает, ресурс в реальном времени эту информацию увидеть не сможет. Даже если он имеет доступ к историческим данным, ему ведь надо еще как то связать с этими данными меня, а я сижу через ВПН, то есть мой реальный IP они не знают.
Далее вы снова говорите про плюсы того, чтобы видет историю посещений:
А про нарушение закона - ну вот на одной из прошлых работ мы делали впны. Собираешь те же метрики dcu - юзеры в основном из стран типа пакистана, ирана, египта, азербайджана. Смотришь куда они в основном ходят, делаешь туннели чтобы не тормозило.
Напоминаю, предмет разговора в минусах для пользователя, а не в плюсах для бизнеса. Ну ок. Так в данном то случае это плюс для пользователя! Ему же сервис предложит лучшие маршруты. С провайдером это так же работает, кстати.
О чем я и сказал дальше:
Ну так скрыть адрес от ВПНа то не получится. Ну и кстати, провайдер вполне может сделать то же самое. И делают. Так в чем угроза?
Ну то есть провайдеры точно так же прокладывают выгодные маршруты по истории посещения.
И даже если запрещенный сайт провайдер обслуживать не станет, то все остальные вполне может. Вы ведь не отключаете впн, когда заходите, например, на гугл. А значит ваше посещение выпадает из статистики провайдера.
Ну и в заключение.
ВПН клиент, который скрывает историю посещений от провайдера, сам то эту историю видит. возможно сохраняет. И, возможно, продает (или воруют). Так в чем принципиальная разница, увидит ваши посещения какой-нибудь Ростелеком или же ваш ВПН провайдер?
Я надеюсь эта выдержка из диалога объясняет, почему вы мне что то говорите, говорите, а я вас не могу понять.
Я про историю просмотров/посещений вообще ни слова не говорил нигде :) Туннели да прокладывают, но не на основе истории отдельно взятого юзера, а на основе агрегированной статистики. С утечками это не имеет ничего общего.
О чем и речь, говорю же, смысла нет. Что у вас бомбануло так, я не понимаю.
Ну как же не говорили? С этого ведь все и началось.
DNS клиент (как минимум в Windows) по умолчанию отправляет DNS запросы сразу по всем интерфейсам, поэтому и палится оригинальный IP, несмотря на подключенный VPN. Точнее, видно только DNS сервер, от которого приходит запрос, но владелец этого DNS сервера знает, куда вы ходите, несмотря на VPN.
В нормальных VPN клиентах эта уязвимость исправляется, чаще всего на уровне WFP.
Вот Еще более приближенно
Точнее, видно только DNS сервер, от которого приходит запрос, но владелец этого DNS сервера знает, куда вы ходите, несмотря на VPN.
Да ничего не бомбануло. С чего вы взяли? :)
Ну, тут упор на то, что он знает. Конечно, он может построить историю, но факт построения истории не является такой уж большой проблемой, т к без VPN он и так знает вашу историю, а с VPN её знает ещё и владелец VPN.
Речь была про тот случай, когда хочешь скрыть от провайдера, куда ты ходишь. А про историю это отдельная большая ортогональная тема, никак не связанная с dns ip leak.
Объяснение очень простое: недоверие властям.
По большому счёту - никаким, но особенно - своей страны, в какой бы стране Вы не жили. Власти не действуют в интересах большинства собственного населения (может не везде, может в каких-то странах это не так, но мне о таких неизвестно). Актуальная политическая повесточка (и западная и в РФ) периодически изменяется, плюс возникла практика наказания за действия совершённые в прошлом, до возникновения актуальной повестки/законов - причём и в РФ и на западе, что характерно. Поэтому даже не будучи преступником и ничего не нарушая сегодня - завтра можно неожиданно для себя самого оказаться преступником, причём за что-то совершенно безобидное и непредсказуемое: лайки, смайлики… И это не выдумки и не теория заговоров - это наша сегодняшная реальность.
Помимо недоверия властям ещё есть дополнительный фактор: крайне слабая информационная безопасность абсолютно всего. Все (включая кафешку, через WiFi которой вы что-то гуглили) собирают любые им доступные данные обо всём о чём только возможно, а потом эти данные продаются, воруются и взламываются (после чего или продаются или выкладываются в общий доступ бесплатно). А покупает их кто? Правильно, мошенники всех мастей. А зачем? Правильно, чтобы использовать эти данные против Вас чтобы что-то с Вас поиметь.
В таких условиях чем меньше о Вас знают те, кто может за Вами прийти с целью что-то отобрать - будь то бизнес, деньги или свободу, - тем лучше. Поэтому, да, VPN это то, что нужно использовать везде и всегда просто по умолчанию - не для обхода каких-то конкретных ограничений, а для того, чтобы минимизировать доступную посторонним (и потенциально враждебным) людям информацию о себе.
Объяснение очень простое: недоверие властям.
По большому счёту - никаким, но особенно - своей страны, в какой бы стране Вы не жили.
Ну да. Хоть и глупость, но, наверное, люди действительно могут так думать.
Но раз уж эта тема затронута, поделюсь своими мыслями.
Власти не действуют в интересах большинства собственного населения (может не везде, может в каких-то странах это не так, но мне о таких неизвестно).
Не действовать в интересах и действовать во вред это не одно и то же. Но и это утверждение, на мой взгляд, неверно. Всем не угодишь, и понимание о том, что значит "действовать в интересах" у всех разное. И терпения не у всех хватает. Люди считают, что любое изменение делается по щелчку пальцев. Щелкнул - повысили пенсии. Щелкнул, повысили зарплаты. Щелкнул - по всей стране заработали заводы. Но это так не работает.
А еще конфликты интересов. Кто-то хочет больше свободы, кто-то больше стабильности. Я думаю, что в постсоветтском пространстве, все таки, стабильность опережает свободу. Хотя и свобод у нас хватает, на самом деле. На мой взгляд, идеальный баланс.
плюс возникла практика наказания за действия совершённые в прошлом, до возникновения актуальной повестки/законов - причём и в РФ и на западе, что характерно.
Не знаю, что там на западе, но если такое есть в РФ, меня это пугает. Можете рассказать подробнее? Я не сталкивался с такими случаями (ни лично, ни в СМИ). Ну только фейки попадались.
Помимо недоверия властям ещё есть дополнительный фактор: крайне слабая информационная безопасность абсолютно всего. Все (включая кафешку, через WiFi которой вы что-то гуглили) собирают любые им доступные данные обо всём о чём только возможно, а потом эти данные продаются, воруются и взламываются (после чего или продаются или выкладываются в общий доступ бесплатно). А покупает их кто? Правильно, мошенники всех мастей. А зачем? Правильно, чтобы использовать эти данные против Вас чтобы что-то с Вас поиметь.
Я не пользуюсь публичными вайфай, но мошенники и меня донимают время от времени. Че то мне кажется, что утечки из кафешек это та капля в море, которую сейчас бессмысленно учитывать. Ну, это как рассматривать ходовые качества автомобиля в зависимости от использования обычного бензина или GDrive, в то время, как в автомобиле остался литр моторного масла, которое не менялось уже года 3.
Утечки есть. Их много. Это и данные из гугла и данные из банков и с госуслуг. В общем из используемых сервисов, где вы в любом случае авторизуетесь, а значит нет разницы с ВПН вы ими пользуетесь или нет. И качество этих утечек для мошенников куда выше, чем какие-то там жалкие мегабайты траффика из кафе.
И более того, эти утечки от вас не зависят. Вы можете настроить 100-500-факторную авторизацию через супер-приватные каналы, а сервис просто отдаст ваши данные посторонним (специально или случайно). И все неудобства были насмарку.
В таких условиях чем меньше о Вас знают те, кто может за Вами прийти с целью что-то отобрать - будь то бизнес, деньги или свободу, - тем лучше. Поэтому, да, VPN это то, что нужно использовать везде и всегда просто по умолчанию - не для обхода каких-то конкретных ограничений, а для того, чтобы минимизировать доступную посторонним (и потенциально враждебным) людям информацию о себе.
Вот тут есть нюанс.
Если я покину место ДТП, я буду наказан так, как был бы наказан будучи пьяным. Ну потому что зачем мне покидать место ДТП, особенно когда из повреждений царапина? Разве что есть что скрывать.
На месте тех, кто может за вами прийти, я бы сосредоточился на тех, кто скрывает свой трафик, а не на тех, кто мирно смотрит аниме на запрещенных сайтах.
И мне кажется именно так они и действуют. Чем больше вы скрываете, тем больше к вам интерес.
Не знаю, что там на западе, но если такое есть в РФ, меня это пугает
Я не юрист, так что могу ошибаться, но из того, что попадалось в статьях - тупо подвели под "длящееся преступление" ситуации с постами/лайками/донатами совершёнными в прошлом (когда они не нарушали закон). Старые посты, например, чтобы они не являлись "длящимся преступлением", нужно удалять после выхода новых законов, по которым эти посты начинают считаться неприемлемыми, а если ты не уследил за новыми законами или не имеешь технической возможности удалить, то ты уже внезапно преступник. С лайками - вообще безумие, кто вообще может помнить что и где он когда-то лайкал.
И более того, эти утечки от вас не зависят.
Это правда. Но если утекает в одном месте это же не повод не затыкать утечку из других. Чем из большего количества мест течёт, тем больше данных получится собрать, объединить, сделать их более точными и детальными - и всё это однозначно работает против нас. Так что вполне разумно хотя бы уменьшать масштаб проблемы насколько это возможно сделать самостоятельно, нежели поднять лапки и сдаться.
Если я покину место ДТП, … Разве что есть что скрывать.
Вы же понимаете, что проводите аналогию между тем, чтобы скрыться с места преступления создавая этим препятствия расследованию и тем, чтобы добровольно и круглосуточно докладывать товарищу майору о всех своих передвижениях, покупках, разговорах и половых актах? Всем есть что скрывать - это обычно называется тайна частной жизни, тайна переписки, банковская тайна и т.п. - причём про всё это даже есть статьи в УК и ГК РФ. Более того, речь ведь даже не про товарища майора, а про слив данных посторонним бизнесам вроде Вашего провайдера или упомянутой ранее кафешки.
Тема "мне нечего скрывать" в целом уже многократно обсуждена, все доводы за и против известны, и очевидно является банальной провокацией со стороны тех, кто хочет всё знать про других - условно того товарища майора. Не надо повторять эту глупость, если, конечно, Вы не эксгибиционист и не товарищ майор.
На месте тех, кто может за вами прийти, я бы сосредоточился на тех, кто скрывает свой трафик
Это тоже глупость. Во-первых уже сегодня VPN используется настолько массово, что это абсолютно нереально сделать. А во-вторых - по какому конкретно делу они начнут обходить всех пользователей VPN? По каждому открытому делу без явных подозреваемых? Это же просто смешно.
VLESS применяет транспортные протоколы, такие как WebSocket и HTTP/2
Не так. VLESS может использовать WS и HTTP/2 как транспорт, но в 99% случаях (самые популярные варианты настройки из статей, от продавцов прокси, т.д.) он их не использует - там происходит обычный TLS-хендшейк, после чего сразу начинает работать чистый VLESS (который вообще очень примитивный протокол). То есть никакого HTTP там нет, единственное что его объединяет с HTTPS - это то, что в ALPN при установке TLS-соединения там может быть h2, и что сервер слушает на 443 порту, и фоллбэкается на настоящий веб-сервер если клиент не прошел проверку "свой-чужой".
Как выявить, что на твой сайт заходит пользователь через прокси или VPN?
Вы забыли самые простые и популярные способы.
IP-адрес клиента из диапазона дата-центров, а не residential.
На IP-адресе клиента что0то слушает 443 порт (очень актуально в эпоху расцвета VLESS и подобных).
Разница в таймзонах. Если по GeoIP клиент из Амстердама (потому что там прокси-сервер), а на клиентской машине таймзона Moscow или Yekaterinburg (это можно определить скриптом в браузере), то это тоже красный флаг.
Разница в пинге, грубо говоря от клиента до целевого сервера задержка 120 мс, а вот сервера до IP-адреса клиента всего 20 мс (потому что сервер у вас в Стокгольме, клиент пингует Стокгольм из Москвы, а Стокгольмский сервер в ответ пингует IP-адрес прокси в Амстердаме). Из браузера такой тест с хорошей точностью сделать сложно, но возможно.
Ну и самое тупое, некоторые сайты тупо банят клиентов, если у них в браузере в списке предпочтительных языков есть русский язык :)
На IP-адресе клиента что0то слушает 443 порт (очень актуально в эпоху расцвета VLESS и подобных).
Разве? Многие пользователи сидят за NAT, а их внешний IP - это IP роутера, и на 443-м и 80-м портах висит веб-интерфейс администрирования этим самым роутером.
Многие пользователи сидят за NAT, а их внешний IP - это IP роутера, и на 443-м и 80-м портах висит веб-интерфейс администрирования этим самым роутером
Пользователей с белыми IPv4 в мире все меньше и меньше, люди действительно массово сидят за NAT'ом, но не только за домашним, а еще и за провайдерским (CGNAT), и поэтому их устройства просто так не доступны снаружи.
Ни один приличный роутер при настройках по умолчанию не откроет свою веб-морду на внешний сетевой интерфейс.
Доступ к админке снаружи нужно специально и осознанно включать ручками.
Пользователей с белыми IPv4 в мире все меньше и меньше
Возможно и так, но в России у очень многих провайдеров пользователям выдаётся динамический белый IP
Пользователей с белыми IPv4 в мире все меньше и меньше
Не факт. Но даже если и так - пользователь может включить доступ снаружи и его роутер будет отвечать на 443 порту.
но в России у очень многих провайдеров пользователям выдаётся динамический белый IP
У вас есть достоверная точная статистика по всем российским провайдерам?
Мои наблюдения показывают, что в России таких провайдеров становится все меньше и меньше по естественным причинам.
Но даже если и так - пользователь может включить доступ снаружи и его роутер будет отвечать на 443 порту.
С дуру можно и х.. сломать, и ногу прострелить. Во-первых, нет смысла ориентироваться на единичные пограничные случаи, а во-вторых, никто в здравом уме не будет принимать решение в подобных эвристиках только по одному фактору, они всегда принимаются по совокупности.
>Возможно и так, но в России у очень многих провайдеров пользователям выдаётся динамический белый IP
выдавался
например у билайна (один из крупных)
Пользователей с белыми IPv4 в мире все меньше и меньше
Нидерланды. 2 крупнейших провайдера выдают не только белые, но еще и они де-факто статические: за почти 2 года ни единого разрыва ни одиной смены.
Где ни работал в последние лет 20, всегда на точке выхода сотрудников висел сайт (или owa, или сайт компании, или интерфейс авторизации для удалённого подключения). Так что Вы несколько не правы - 80, 443 и иные порты отнюдь не являются признаком "маскировки". Ну, и мобильные клиенты - поголовно за NAT и с колоссальной разницей пинга от клиента и точки выхода.
Так что Вы несколько не правы - 80, 443 и иные порты отнюдь не являются признаком "маскировки"
Вы это не мне объясняйте, а тем кто придумывает такие эвристики
поголовно за NAT и с колоссальной разницей пинга от клиента и точки выхода
NAT'илка обычно стоит у самого провайдера, там задержка минимальная, даже на мобильных канала (у современных LTE с пингом очень неплохо, не говоря уж о 5G), а в сравнении с задержкой от NAT'илки до целевого сервера так вообще крошечная
NAT'илка обычно стоит у самого провайдера, там задержка минимальная, даже на мобильных канала (у современных LTE с пингом очень неплохо, не говоря уж о 5G), а в сравнении с задержкой от NAT'илки до целевого сервера так вообще крошечная
Вы это расскажите пользователям мобильного интернета, находящихся за гирляндой радиорелейных линий в паре сот километров от "самого провайдера", если повезёт...
Вы, опять же, это не мне все рассказывайте, а тем кто эти механики придумывает и реализует.
Опять же, не вижу смысла тыкать в один из пунктов и упорно доказывать, что в каких-то редких и специфических случаях оно не будет работать - разумно же предположить, что никто в здравом уме не будет принимать решение в подобных эвристиках только по одному фактору, они всегда принимаются по совокупности. И, опять же, я думаю, в большинстве случаев подобные срабатывания будут значить не то что пользователю сразу же полностью заблокируют доступ, скорее всего просто запросят какие-то дополнительные подтверждения что он это он и находится там, где указал.
А что подразумевается под IP-адресом клиента? Если прокси в датацентре в Германии, то незакрытый от всего мира VLESS будет слушать 443 порт. IP-адрес клиента за компом в РФ ничего слушать и не должен.
Провайдерские роутеры настаиваются через порт 58000 (TR-069).
на 443-м ... портах висит веб-интерфейс
У большинства роутеров веб-интерфейс в WAN не торчит.
У большинства роутеров веб-интерфейс на 443 порту не доступен, потому что это HTTPS, а, значит, нужен домен, потому что на обычный IP-адрес никто сертификат вам не выпишет.
Во-первых, роутер сам может резолвить router.asus.com на 192.168.1.1.
Во-вторых, производитель роутера вполне может договориться с поставщиком сертификатов и выпустить для своего роутера соответствующий. Либо в инструкции написать "чтобы зайти в интерфейс нужно открыть https://router.asus.com, а если появится вот такой вот экран, то нажать на "Advanced" и далее на "Proceed to router.asus.com"". И 99% пользователей, которые диктуют телефонным мошенникам коды из SMS "1234 ваш пароль от банка, никому его не говорите!", как пить дать так и сделают.
Да резолвить дело-то не хитрое, но сертификата не дадут, потому что доменное имя общее для всех роутеров.
Вот, скажем, Keenetic даёт, но там доменное имя 3 уровня уникальное для каждого роутера. И даже там наружу по умолчанию всё это не торчит, и надо явным образом включать руками. А, как известно, если что-то по умолчанию не включено, то у большинства пользователей оно так и будет.
На внешних адресах, по умолчанию, админка запрещена. Только в локалке работает. Можно, конечно сделать при желании, но зачем? С работы домашний роутер настраивать?
А для чего вообще сайту знать, использует пользователь прокси/VPN или нет?
Например, некоторые сервисы очень не любят, когда пользователь регистрируется выдавая себя за жителя одной локации, а на самом деле живет в другой (например, там где подписка будет стоить дороже или санкции что-то запрещают)
А причём тут прокси/VPN? Если нужно знать расположение клиента - запросите эту информацию (и, при желании/необходимости, верифицируйте) ровно так же, как и любую другую (вроде email). Нет никакой проблемы сделать сервис, который будет верифицировать пользователей разными способами (включая традиционный сбор коммунальных квитанций), и предоставлять другим сервисам информацию о стране расположения юзера, освобождая их самих от необходимости запрашивать у юзера подтверждения.
Реальная же проблема не в этом, а том, что хочется "и на ёлку влезть и не ободраться" - увеличить прибыль (или защититься от штрафов за нарушение закона) с минимальными расходами. Проверять у юзеров документы - дорого. Даже использовать сторонний сервис для такой проверки - есть риск что немало юзеров предпочтут отказаться от использования вашего сервиса если он начнёт требовать чтобы они прошли верификацию на стороннем сервисе и даже чтобы они просто подключили этот самый сторонний сервис если они его уже используют (потому что необходимость разглашать личные данные всем подряд - в принципе бесит). Поэтому принимается решение блокировать вполне легальное использование прокси/VPN, в надежде что это позволит решить проблему максимально дешёво.
И тут ровно два варианта изменить эту ситуацию: либо за такое люди начнут массово судиться и штрафовать компании (что маловероятно, потому что скорее всего такие решения компаний не нарушают законов тех стран, где они зарегистрированы), либо текущие тенденции приведут к тому, что через прокси/VPN будет сидеть настолько большой процент юзеров, что отказываться от них станет не выгодно (а вот это вполне вероятно).
Например, Википедию запрещено править через средства анонимизации, поскольку при этом соотношение вандальных правок к полезным очень велико и выгоднее пожертвовать толикой полезных правок, чем потратить уйму усилий на устранение вандализма (в русскоязычном разделе несколько лет назад с большим трудом удалось вычислить и изгнать администратора-клоновода, который маскировал это, пуская клона через VPN - без анонимизации его спалили бы гораздо раньше и он бы попил сообществу куда меньше крови).
У Википедии ж насколько помню можно попросить исключение если внятно обоснуешь почему. И был момент когда (вроде из за Чараса) вообще рассматривали идею выдать это исключение вообщем всем из России кто попросил если таки заблочат.
Но Википедия - особый случай - на чтение спокойно работает хоть через Tor, блокировок в России нет - и смысл лезть править под средствами анонимизации нет.
Ну и насколько помню - это запрет именно про средства анонимизации а через личный прокси/VPN - оно особо не мешает.
Угу и даже начали выдавать, когда при "битве при Чарасе" Википедию заблокировали на 4 часа. Потом развыдали обратно. Так что при уже длительной блокировке есть готовый сценарий.
В русском разделе исключение не дадут, пока Википедию не заблокируют в РФ.
Править Википедию через средства анонимизации может быть нужно по двум причинам:
1) некоторые редакторы-россияне вынуждены постоянно сидеть с включённым VPN из-за блокировок, не у всех хватает технической грамотности пустить трафик до Википедии в обход VPN, а постоянно переключать VPN туда-сюда утомляет
2) происходящаяя прямо сейчас история в Индии внушает опасения, что Фонд Викимедия могут вынудить выдать IP-адреса редакторов по решению суда.
А чем анонимизация через VPN в данном случае будет отличаться от ребута роутера с динамическим IP?
не у всех он динамический
в случае с динамическим IP можно бахнуть диапазон пошире (например, на несколько дней лишив возможности вносить правки через провайдера "Рога и копыта" города Мухосранска) и вандал оказывается не у дел, а с VPN он просто поменяет подсеть легко и быстро
VPN позволяет выбрать страну, так что, например, своего виртуала можно "прокачивать" как жителя другой страны, в то время как с динамическим IP новый адрес всё равно будет палить город и провайдера
Чаще всего - защита от ботов, например от парсинга. Например, сильно ограничивается частота обращения к какому-то АПИ для IP датацетров
Если сайт зарабатывает на рекламе, то пользователь, играющий в прятки, ему не интересен, т.к. непонятно кто это и какую рекламу показывать.
А просто спросить пользователя не судьба? Зачем вообще этот безудержный сбор чувствительной информации о пользователе когда можно просто попросить пользователя указать свои предпочтения в рекламе в каком-то специализированном стороннем сервисе и показывать ему то, что он попросил (плюс какой-то процент всего подряд для разнообразия).
Кроме того, VPN никакого отношения к "игре в прятки" не имеет - куки он не блокирует.
Респект, спасибо за дополнение!
Тоже добавлю несколько:
Дыра в WebRTC
WebRTC может раскрыть реальный IP-адрес пользователя, даже если он использует прокси или VPN.К прослушиванию открытых портов клиента помимо 443 можно ещё добавить 1080( SOCKS-прокси), 8080, 3128 (HTTP/HTTPS-прокси) - их должно быть больше - нужно погуглить стандартные.
К IP адресам дата центров можно еще проверять на использование Tor - точки выхода в открытом доступе и регулярно обновляются (надо гуглануть)
Это не совсем по теме, но вдруг кому понадобится. Для проверки утечек(если быть точнее это проверка на бота, но одно другому не мешает 🤣) мне очень нравится пользоваться этим сайтом, там много всего, очень выручал раньше:)
Пс: статья вышла занимательная, спасибо
Ну и самое тупое, некоторые сайты тупо банят клиентов, если у них в браузере в списке предпочтительных языков есть русский язык :)
А что за сайты такие?
а по 5 есть примеры чего-то, что так делает, хоть сколь нибудь значимого?
А можете 4й пункт объяснить подробнее как это реализовать если впн весь трафик от клиента заворачивает через сервер?
Так там метод как раз и основан на том, что через впн весь трафик от клиента заворачивает через сервер.
Сначала проверяется задержка от клиентского устройства до конечного сервера.
Потом со стороны сервера пингуется уже IP-адрес клиента, который видит сервер, и сравнивается задержка.
В случае без VPN/прокси, сначала трафик в обоих случаях идет по одинаковому пути:
клиент->сервер->клиент
сервер->клиент->сервер
То есть расстояние и задержки в примерно одинаковы.
Если используется прокси/VPN, то сервер видит только адрес прокси/впна, а не настоящий адрес клиента, и соответственно в обратную сторону пингует только прокси/впн, а не самого клиента, и получается как-то так:
клиент->проксик->сервер->проксик->клиент
сервер->проксик->сервер
То есть обратный пинг будет гораздо короче, чем от клиента к серверу, что и является показателем того, что что-то тут не чисто.
Пингуетcя. Так. А что происходит при:
ассиметричном линке (аномалии роутинга или просто тупо односторонний спутник)?
если роутер клиента на пинги НЕ отвечает и тоже самое делает сервер VPN (тупо сильно зарезан ICMP)?
ассиметричном линке (аномалии роутинга или просто тупо односторонний спутник)?
В этом случае никакой проблемы, все то же самое. При замере пинга измеряется время между отправкой пакета данных и получением его обратно. Соответственно, время пинга - это сумма времени доставки пакета отсюда туда и времени доставки пакета оттуда сюда. Даже если у вас туда и сюда трафик идёт по совсем разным маршрутам, один по кратчайшему, а другой через пол-мира и орбиту, в зависимости от направления пинга слагаемые поменяются местами, но от перемены мест слагаемых сумма не изменится, и при тесте без прокси/ВПН у вас пинг будет примерно одинаковый.
если роутер клиента на пинги НЕ отвечает и тоже самое делает сервер VPN (тупо сильно зарезан ICMP)?
В этом случае тест невозможен, потому часто и советуют отключать ICMP на сервере и фаерволлить все порты не в REJECT, а в DROP.
И как я уже сказал, никто в здравом уме не будет принимать решение в подобных эвристиках только по одному фактору, они всегда принимаются по совокупности.
Но ведь в клиентских устройствах на Винде пинг выключен по умолчанию насколько я знаю. Сам факт что пинг проходит это уже должно насторожить. А если не проходит то мы просто не получаем никакой дополнительной информации.
То есть по сути мы скатываемся к решению номер 2 только критерий не 443 порт а доступность пинга.
Про разницу в пинге видел в студенчестве такое, что у университета был канал с большим запасом, а в класс давали очень лимитированную полосу, отчего получение ответа на любой http запрос тянулось на десятки секунд.
И тут ещё непонятно, кто должен измерить пинг по длинной цепочке, если разрешение таймеров в js специально загрублено после выявления meltdown и spectre?
Тут новости еще круче. Что же делать, ведь удалят сейчас все...
https://www.rbc.ru/technology_and_media/29/11/2024/674969a09a7947dc7ef1f085
YouTube разослал части своих пользователей уведомления, что Роскомнадзор внес их ролики с методами обхода блокировок в реестр запрещенной информации на основании ч. 7 ст. 15.1 закона «Об информации, информационных технологиях и о защите информации». Как следует из уведомления (копия есть у РБК), в связи с этим YouTube предупредил, что, если пользователь не удалит такой ролик самостоятельно, компания может быть вынуждена заблокировать контент.
Представитель Роскомнадзора подтвердил, что они направили требования об удалении материалов, популяризующих использование VPN (Virtual Private Network — технология, которая позволяет создать защищенное соединение между устройством пользователя и сервером, за счет чего пользователи могут скрыть свой IP-адрес и сохранить конфиденциальность в Сети) и других способов обхода блокировок. «К настоящему моменту со стороны администрации YouTube не исполнены требования по удалению более 300 материалов, популяризующих использование VPN-сервисов и других программ для обхода блокировок доступа к противоправному в России контенту», — рассказал представитель Роскомнадзора.
VPN: последний выпуск. Завтра об этом писать нельзя
Настоятельно рекомендую всем ознакомиться с правоприменительной практикой, руководствующейся понятием "длящегося нарушения", когда, например, за пост про ФБК, сделанный в 2011, могут притянуть сегодня, потому что позже ФБК был объявлен экстремистской организацией. Так что завтра о ВПН не только писать станет нельзя, но и этот сегодняшний пост будет представлять угрозу для автора. Такие грустные дела.
Успевайте скринить, пока не удалили)
До принятия закона №406-ФЗ не было явного запрета на распространение информации о VPN. Основное регулирование касалось работы VPN-сервисов, а не частных лиц, которые их рекомендовали или обсуждали. Новый закон вводит жёсткие ограничения на распространение информации о способах обхода блокировок, включая использование VPN.
Да? Ссылку можете дать на то - кто что ввел и кто что подписал?
Так и не понял, в чем проблема писать статьи про VPN не для обхода блокировок, а для построения защищенной сети. Формально ничего не нарушается, а аббревиатура уже у всех на слуху - кому надо, те поймут.
Проблемы нет. Есть риски. Риски того, что "служитель в погонах" поймёт статью по-своему. И доказывайте ему потом что "ты не жираф". Тупо-сила на их стороне. Придумать аббревиатуру вроде "ЧВС" (частная виртуальная сеть или "частная сеть виртуального уровня" ) - конечно можно. Но когда аббревиатура сделается популярной - могут постучаться в дверь. Физически, а не виртуально (
паранойя 80 lvl
Ок, описывай реально правильный сценарий применения VPN.
Лично я использую VPN уже более 15 лет для того, чтобы из любой точки сети мог подключиться своим ноутбуком к домашнему серверу, расположенному в моей квартире. И чтобы посмотреть на уличную камеру, стоящую в квартире.
Долгое время использовал OpenVPN, но когда начались ковровые бомбардировки - пришлось выбирать более стабильные протоколы. Всё с одной целью - я действительно хочу обеспечить надёжное и безопасное подключение к моей домашней сети.
То, что у кого-то "домашней сетью" может оказаться какая-то другая сеть - меня не волнует (и я промолчу, что каждая первая компания, разрешающая удалёнку для сотрудников, использует VPN для тех же целей - надёжное и безопасное подключение).
И при этом - автор статье именно это и делает. Только использует существующий (и обозначающий чуть другое) "VLESS" как замену "VPN". И если VPN бывают разные и для разных целей используется то вот случаев использования решений на базе VLESS НЕ для обхода цензуры - мне неизвестно (да - это может быть китайская цензура или там украинская). Смысл пробовать выиграть по правилам за счет терминологии - если одна из сторон может произвольно менять правила а потом говорить что все так было (при этом правила не все сообщаются и факты корректировки тоже).
то вот случаев использования решений на базе VLESS НЕ для обхода цензуры - мне неизвестно (да - это может быть китайская цензура или там украинская)
Справедливости ради, XRay умеет в reverse-подключения, так что VLESS тоже можно использовать, например, для доступа к ресурсам внутри частных сетей спрятанных за NAT'ом, например.
"служитель в погонах" поймёт статью по-своему
Не поймет, туда не попадают те, кто способен на понимание в таком контексте. Он сделает так, как ему надо. Надо палок по этой статье - сделает. И привлеченный эксперт напишет "правильное" заключение - он тоже понимает, что эксперта привлекают (и платят) не для оправдательных заключений.
Проблема в том, что надзорный орган такие эвфемизмы и экивоки не обманут. Это не компьютер, с которым формальные трюки проходят.
Вы, конечно, можете пободаться и оспорить в суде (но на скрытие надзорный орган даёт буквально пару дней, так что сначала всё равно придётся скрыть, а только потом бодаться). Вот только судья тоже не формальный компьютер, а живой человек, который "оценивает доказательства в соответствии со своими внутренними убеждениями" (это не я придумал, это в ГПК РФ так написано). Проще говоря, будет ваше слово против слова эксперта Роскомнадзора, а в чью пользу повернётся внутреннее убеждение судьи? В "нет оснований не доверять гражданину Пупкину" или в "нет оснований не доверять эксперту Роскомнадзора"?
А если в начале роликов говорить (или в начале статей писать), что информация в ролике не предназначена для жителей России? Дисклеймер такой вставлять.
Если информация предоставляется на русском языке - могут сделать вывод, что она нацелена на жителей РФ (в частности, такой позиции придерживается ЦБ РФ в отношении одного уважаемого зарубежного участника финансовых рынков, которого из-за отсутствия российских лицензий, но наличия на сайте инфы на русском языке, включили в один список с финансовыми пирамидами и прочей мерзостью)
А вот интересно - могут ли такой вывод делать если в начале ролика прямо русским языком говорить что это про - обход нелегитимной цензуры. Украинской цензуры. Как бы - у как минимум части населения Украины потребность есть иметь доступ к российским ресурсам есть же а русский для многих из них - родной (что не раз подтверждалось властями России). Хотя конечно может хватить дури допустить появление документа где будет написана что украинская цензура российских ресурсов - вполне себе полезная а помогать ее обходить - плохо.
Нелигитимная цензура ресурсов, пропагандирующих убивать и грабить.
Ну скажем так - вспоминается мне некое стихотворение Убе́й его́! . А теперь вспоминаем кем и в какой ситуации написано.
И...а с каких пор в (например) https://vk.com/exgad https://vk.com/viktorargonovproject https://vk.com/rockoperaikar https://vk.com/glory_to_arztozka https://vk.com/the_lof https://vk.com/ecringe00 https://vk.com/author_today , пропагандируют убивать и грабить(ладно - тут с определенной точки зрения можно понять - в том же https://vk.com/ecringe00 например графические описания как надо убивать есть кого именно - вопрос отдельный) ? но каким способом может пропагандировать убивать и грабить например https://appmetrica.yandex.ru/ ?
каким способом может пропагандировать убивать и грабить например https://appmetrica.yandex.ru/ ?
Ну, допустим, грабить она пропагандирует самим своим наличием. Или что, агрессивная рекламная компания - не грабёж?
(sarcasm)
ну ладно тогда я сделаю клич помощи т.к. последний день можно )
есть обычный роутер asus , с обычной прошивкой, как на нем запустить скрипт чтобы он продолжал работать после завершении ssh сессии?
nohup & - всё равно закрывает
disown - отсутствует
Возможно мой скрипт можно куда то в авторан засунуть, но я так и не нашёл где этот авторан
screen можете поставить на него?
нету такого, поставить нельзя т.к. тут нету менеджера пакетов )
тут нужен эксперт кто шарит в роутерских прошивках и знает что там за система используется
Несмотря на то что вы просите другое - так почему бы не поставить вместо "обычной прошивки" на этот самый скорее всего поддерживаемый "обычный роутер asus" - "необычную" OpenWRT? И будет вам и disown, и screen, и менеджер пакетов.
На асусы зачастую можно поставить "прошивку от Мерлина", а там уже и до Entware с менеджером пакетов рукой подать, и нормальный доступ к автозапуску есть, так что и screen не понадобится.
nohup & - всё равно закрывает
Пробовали перенаправить stdout и stderr в /dev/null или куда-нибудь в файл? По идее, это должно отвязать процесс от терминала.
# типа того:
./command.sh >/dev/null 2>&1 &Возможно мой скрипт можно куда то в авторан засунуть, но я так и не нашёл где этот авторан
AsusWRT tries to execute file /jffs/.asusrouter on successful boot and /jffs/.autostop on shutdown/reboot.
File must be valid executable and have executable permissions.
Newer versions of AsusWRT disable these scripts,
ИМХО, основная сложность будет не чем подключаться, а как купить VPS за границей. И потом не словить на него блок по IP по всем протоколам вместе со всей подсетью хостера.
а как купить VPS за границей
многие российские и не только российские (например, молдавские) хостеры предлагают сервера в иностранных дата-центрах и позволяют платить за них рублями с российских банковских карт
очень многие недорогие иностранные хостеры позволяют оплачивать услуги криптой
И потом не словить на него блок по IP по всем протоколам вместе со всей подсетью хостера.
а это уже отдельный вопрос, добро пожаловать в Таджикистан
Это сейчас позволяют.
Криптовалюту что ли заблокируют? У нас майнинг узаконен, крипту получить хоть какими путями очень легко, да хоть в телеграмме в пару кликов. Заблокировать весь интернет как в КНДР вряд ли решатся, поднять 2 vps - у нас и за бугром и знать трафик через 2 туннеля не проблема,TLS трафик между российским и иностранным датацентром очень вряд ли вызовет хоть какие-то подозрения, учитывая кол-во серверов в РФ
Таджикистан
1) Туркменистан
2) Даже в Туркменистане, по имеющимся данным, можно проковырять себе дырочку к IP-адресу своего сервера. Забашляв деньги сотрудникам надзорного органа.
IT мир меняется так же как и остальной мир.
Раньше VPN решения ( отдельная программа\сервер , физическое устройство ) использовались IT-продвинутыми пользователя и сетевыми администраторами чтобы попасть в "локальную" сеть домашней или служебной сети. Или связать несколько физически разнесенных производственных сетей в единое целое.
А сейчас в связи с воздействием на Трафик VPN решениями стал пользоваться практически каждый, чтобы у него был доступ к сайтам, которые дружелюбны России.
Можно простую инструкцию, где наиболее беспроблемно поднимать машину для выхода, какое ПО ставить по обе стороны туннеля, как его настроить, чтобы разделить хождение туда и сюда? Вот чтобы можно было бы сохранить на одной страничке А4
Вот чтобы можно было бы сохранить на одной страничке А4
На одной страничке вы такую инструкцию при всем желании не уместите.
Вот есть хорошая инструкция, например: Личный прокси для чайников: универсальный обход цензуры с помощью VPS, 3X-UI, Reality/CDN и Warp / Хабр
"Эта интернет-страница удалена из публичного доступа по юридическим причинам"
Зайдете с VPN - будет доступна
Так сейчас почти со всеми стоящими статьями на эту тему. Но тут на Хабре их не удаляют полностью, только закрывают доступ из РФ, через иностранный прокси/VPN они по-прежнему доступны.
Замкнутый круг вижу тут я
https://web.archive.org/
без инструкции разберётесь надеюсь
"Скорее всего не будет нарушением". Вы как Грым из романа Пелевина ) захотят - будет
Народ, я стесняюсь спросить, но тут хоть кто-то пошел смотреть, что это за такой 406-ФЗ?
Это никому не нужно. Автор сам не знает об чем речь. Я выше уже просил это уточнить, какой закон, какой подзаконный акт, кто и что подписал и т.д.
Статья рекламного характера.
Я пошел ;)
406-ФЗ этого года вносит изменения в уголовный кодекс, отметаем ;)
Есть 405-ФЗ от 31 июля 2023 года, он уже хотя бы по теме. В нем (п.5) вносится поправка в статью 15 149-ФЗ, а именно перечень оснований для включения в реестр блокировок дополняется наличием информации об их обходе (пункт "м"). Правда эта поправка вступила в силу 1 сентября 2024 года, а не завтра (30 ноября) как в статье. Так что что конкретно имел ввиду автор данного топика остается непонятным.
Теперь вместо "VPN" будем писать: "То чего нельзя называть"?
Довольно иронично, что 30 ноября отмечается международный день защиты информации, кстати.
А почему у вас такая низкая стоимость и тем более за год?)
Ладно, уболтали. Зашёл на https://en.nekoray.org и у меня пустое поле) Сайт без VPN не работает что ли?) Вы бы хоть сказали, если так.
Интересно как без vpn западные санкции по ip теперь обходить? То есть я так , правильно понимаю, что ркн нам запрещает обходить незаконные санкции?
Немного не в тему, чем РКНу помешал сайт с информацией по разработке ОС?
а у вас работают TLS подключения к https://play.google.com и https://postfix.org?
Оба домена не числятся в списках блокировок, но они недоступны по России.
Автор думает, что успев в последний день, он избежит закона? Думаете, закон не имеет обратной силы? Очень даже имеет.
В доках vless в инструкции. Есть пункт что необходима синхронизация времени по ntp притом местного. И возник вопрос. А не светится ли где эта информация о местном времени?Потому что если да то это фейл. Кто знает разьясните за этот параметр.
VLESS давно успешно подавляется аналогично замедлению Youtube.
Пока что ни одного случая "подавления" в результате именно успешного детектирования протокола не было. Иногда, судя по всему, замедляют тупо весь трафик до "засвеченных" адресов, иногда до определенных направлений (определенных подсетей и хостеров), либо даже не специально замедляют, а тупо перегружены межоператорные линки (а в случае с Reality ещё бывают проблемные маскировочные домены, что тоже влияет на скорость и стабильность работы).
Если у вас есть реальные доказательства именно успешного детектирования с пруфами и дампами - добро пожаловать на NTC, вместе изучим, но имейте в виду, что такие "VLESS успешно подавляется!!!1" туда приходят каждую неделю, и в результате расследования на самом деле оказывается именно одно из того, что я написал выше.
Не буду спорить с тем, что технически вы правы, а оператор/РКН не идентицифируют трафик как VLESS. Но и я не утверждаю, что VLESS блокируется, он успешно подавляется. Какая польза от VPN, который работает на скорости 100кб/с? Да, на ntc зайти можно, но в то же время самый банальный дистрибутив скачивается сутками, youtube не работает и т.д.
Какая польза от VPN, который работает на скорости 100кб/с?
Речь о том, что в большинстве подобных случаях проблема не в протоколе, а в хостере или линках до него, просто из-за особенностей протокола (только TCP в качестве транспорта и новый внешний коннект на каждый внутренний коннект) они для него сильнее проявляются. При этом можно использовать, например, другого хостера (или немного подкрутить сервер) и иметь не 100кб/c, а на несколько порядков больше.
Если бы всё так просто решалось, то в профильной теме на ntc не было бы 200+ сообщений с итогом "всё попробовали, ничего не помогло".
Так там в профильной ветке (и паре других) как раз очень много сообщений вида "в итоге переехал на другой хостинг, теперь проблемы нет" :)
Как и "сменил третий хостинг, и вот опять".
Как и "сменил третий хостинг, и вот опять".
Так это совсем не удивительно. Если проанализировать и свести в одно свидетельства из тех тредов на NTC, личные наблюдения и наблюдения других хаброюзеров, то картина примерно такая:
В каких-то случаях тормоза и нестабильность возникают из-за багов в некоторых версиях XRay (и соответственно в использующих их клиентах и серверных панелях) или неправильной настройки (например, неудачно выбранный маскировочный домен, и т.д.)
До некоторых направлений "в забугор" наблюдается перегрузка магистральных каналов, возможно из-за того, что сейчас все массово ломанулись смотреть ютуб через VPN и без местных кэшей. TCP-based протоколы от такого деградируют очень сильно, тем более если не работает BBR.
До ряда популярных хостеров производится намеренное "подавление", как вы выразились.
Соответственно, для любого из этих пунктов, вполне нормально "сменил третий хостинг, и вот опять", если человек использовал тот же софт, пользовался одним и тем же провайдером, и один "засвеченный" хостинг менял на другой, тоже оказавшийся "засвеченным", а потом второй "засвеченный" хостинг менял на такой же третий.
И то, что в пунктах 2 или 3, никакого отношения конкретно к VLESS на самом деле не имеет - у людей точно так же "подавлялись" там и ShadowSocks, и Wireguard (где он не забанен), и даже обычные SFTP и HTTPS, когда они пытались просто скачать файлы со своего сервера.
Это именно тот момент, в который никто не верил, когда Россия быстро прошла этап Китая (где режут по протоколам и даже неизвестные протоколы) и стала Ираном, где уже есть "белые" и "серые" списки хостеров и IP-диапазонов (к серым повышенное внимание и превентивное "подавление"). Следующая станция - Туркменистан, где эти огромные серые списки в какой-то момент стали черными, а белые серыми.
И да, способы успешно и легко бороться со всем вышеперечисленным есть, они довольно просты и для них более чем хватает существующих на сегодня инструментов и даже того же VLESS - но рассказывать здесь открыто о них уже нельзя.
VLESS, как протокол не блокируется и не подавляется, ни в Китае, ни в Туркменистане, ни в РФ, насчет Ирана не уверен. В 99.9% случаях не правильные настройки протокола в следствие бан ip хостинга. Ещё бывает сносят подсети хостеров, как с Hetzner.
Раз уж пошла такая пляска и начались блокировки интернета для обычных людей как в Китае Турции северной Корее, то считаю теперь необходимым планомернысм требовать введения сметрной казни для чиновников и политиков как в этих странах. Пора уничтожать тех кто разрушает нашу страну изнутри и вредит жителям России.
Нельзя вводить ограничения против обычных граждан, приносящих налоги, ухудшая их жизнь в стране, но при этом давать возможность чиновникам и политикам грабить и уничтожать страну любыми способами
VPN: последний выпуск. Завтра об этом писать нельзя