Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 16
Очень интересно, но текущие реалии вынуждают задаться вопросом - а как там вообще сейчас дела с QUIC в РФ? Живой? Вроде, блокировали его ковровыми методами.
в России ситуация с QUIC местами непростая: где-то работает стабильно, где-то действительно чувствуется ограничение UDP. Поэтому я и делаю эти исследования, хочется понять, как протокол ведёт себя в реальных российских сетях, где он устойчив, а где требует обходных механизмов или fallback. Пока результаты разные, но точно не нулевые, QUIC во многих сетях остаётся рабочим. Если есть свои наблюдения, буду рад услышать/прочитать.
Своих наблюдений особо нет, увы. Реалии вынуждают использовать VPN постоянно для себя и всех сотрудников нашего скромного бизнеса, так что что там без него творится - нет возможности мониторить (только когда на сам VPN покушаются). На ntc.patry тема про QUIC тоже с 2022 года заглохла.
А Вашему продукту могу пожелать всяческих успехов и развития, тема интересная, - но пока не будет клиентов как минимум под Android, iOS и Windows - испытать его в бою не представляется возможным :( Вот эти все сценарии про потери пакетов, переключения между сетями и пр. - они же про смартфоны в первую очередь.
на мобильном интернете невозможно подключиться, приходится генерировать конфигурацию ВАРП с протоколом AmneziaWG.
Кто использует openvpn tcp over tcp вместо udp, а, главное, зачем? Это какой-то изощренный способ стрельбы в колено?
Со стороны, это действительно так выглядит :) но на практике люди нередко оказываются в ситуациях, где UDP либо режется, либо нестабилен, либо просто запрещён корпоративной политикой. И тогда единственный рабочий вариант, именно TCP.
И тут приходят на встречу websocket, wss подключения, внутри можно пускать как wg так и tun или просто socks5. Отличное решение для обхода корпоративных фильтров и не только без ваших vless, ocserv и тд, размести за обратным прокси и настрой правильно шифры.
WebSocket и WebTransport и для ряда задач это действительно удобная схема, но у WSS есть и обратная сторона: он все-таки работает поверх TCP, что значит head-of-line blocking, ретраи, дополнительные очереди и дрожание RTT при плохой сети. Для прокси и легкого транспорта это терпимо, но для IP-туннеля под реальное время, иногда ограничивает.
MASQUE здесь интересен тем, что он дает тот же «видимый» HTTPS-трафик, но при этом сохраняет свойства QUIC: datagram-передачу без перепосылок, быстрое переподключение, нормальную работу под плавающим jitter и возможность migration без разрыва.
По разный случай свой рецепт :)
В нынешних реалиях либо протокол vless + reality, либо уповать на бога.
Глянул протокол — он вполне подходит для sni fronting и для проксирования сторонних узлов. Все фишки reality можно поверх него реализовать. Поверх http1.1 и http2 он тоже умеет работать.
Таки от задач зависит. Если корпоративный траффик тоннами гонять - там свои приблуды, требующие аппаратных ускорений. Для мелких задач до нескольких десятков мегабит спасает и экзотика. Я уже года два корпоративные и личные микроты подключаю к импортным VPS на RouterOS по SSTP с сертификатами. Просто SSTP, безо всяких костылей и надстроек.Тьфу 3 раза, но коннект стабильный. Заворачиваю туда то, что закрыто отсюда туда (ютубы, онлайн кинотеатры и прочие воцапы), и оттуда сюда (всякие интелы деллы и прочая тонна сайтов производителей разного оборудования, которая "не разговаривает с мальчиками из вон той песочницы")))
Все стабильно работает, коннект не отваливается. Ютубы бегают, ао крайней мере, 4к поток вывозит, и даже не один. Но для запросов выше 15-18 мбит лучше либо микроты на ARM, либо х86 городить.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
MASQUE VPN: как QUIC и RFC 9484 делают туннели более живыми (и почему OpenVPN/WireGuard иногда не справляются)