Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 176
Какая цель этого поста? Растиражировать решение чтобы РКН поскорее занялся процессом его нейтрализации?
Что поделать. Работа интернет не наша заслуга, а их недоработка.
Честно говоря, решение с промежуточным прокси внутри страны кажется настолько поверхностным и очевидным, что и тиражировать особо нечего...
Думаю РКН об этом в курсе, и либо уже "исправляют проблему", либо чего-то ждут (и уж явно не статьи на хабре с тремя тысячами просмотров лол)
уже "исправляют проблему"
Абоненты Билайн не дадут соврать. В тематических каналах сегодня как раз новости пошли про "сужение" белых листов.
подтверждаю. сузили так что нет больше белых списков. заблокировали вообще все и на совсем. с учетом того что были новости про билайн и его рвение общения с ркн, предполагаю что именно на билайне все и тестируется вначале.
сессии рвать они начали перед нг, на ПК висит "выполнения tls-рукопожатия", с сегодня и на мобильном телефоне ютуб встал колом. гмайл почта работает теперь только через веб. клиенты висят. и т.д.
Чем более распространены реализации решения, тем быстрее РКН начнет борьбу.
Объективности ради, способ с двумя серверами работает отлично еще с сентября, как начали щемить инфраструктуры крупных хостеров
Способ с двумя серверами я описывал ещё в своих статьях про XRay в 2023 году :)
Объективности ради, серваки внутри РФ не прокатывают. Это должны быть именно кого надо серваки. И самое интересное, случайный сервак внутри РФ банится даже активнее, чем сервак снаружи. И да, на ру ресурсах тоже забанен. Может диапазон неудачный, но блин, там полсети - всякие сберовские сервисы крутятся, как ни странно...
Ждут технического решения от Cloud провайдеров (Яндекс, ВК, ...):
1. Кровью подписанных и прибитых гвоздями CDNов разрешенных ресурсов. Не подсеть "весь Яндекс", а конкретно IP или малые подсети не пересекающиеся с IP для публичных облаков. А каждый новый CDN - через согласование и ответственного.
2. автоматической блокировке акаунтов заподозренных в проксировании (Aeza-like), причем не только в тупую по доступности открытой панели , но и паттернам графика.
Все эти решения, очевидно, временные, так как никто машину цензуры останавливать не собирается. И я полностью согласен, что пока есть возможность обойти без физических ограничений (обрубленного кабеля), ей стоит воспользоваться. Без огласки и юзеров средства обхода также не развивались бы, да и пользуется чем-то сложнее бесплатного мусора из магазина приложений от силы процент населения, это изначально удел упёртых. Поэтому статистически это все равно погрешность для регулятора, и решит он ее закрыть завтра из-за тысячи человек, или послезавтра из-за 10000 - в целом особой разницы в масштабе проблемы не имеет
Кроме цензуры влась преследует другую, немного противоречущую с цензурой цель - обогащение собственников и управляющих Газпром Медиа и материнского Газпрома. Какая цель важнее для них - непонятно, поэтому возможно такие обходы оставаться будут
На закрытие этих дырок обозначенным лицам идут баснословные бабки, как на прямые блокировки, так и на развитие аналагав. Поэтому тут просто общая цель, и это ее бонусы и преференции
Кстати, по теме статьи - у меня есть платник через схему с отечественным впс в прокладке, но не в белом списке, и свой собственный, оба на влесе. Так вот тот, что с прокладкой на юге РФ лег на месяц раньше, чем без нее. Последнюю неделю ещё и авг неадекватно медленный, поэтому "дыры" сильно зависят от региона, если в мск что-то не банят, уже несколько месяцев может быть закрыто где-нибудь на Урале, и тем более в каком-нибудь Забайкалье, где вообще тестируют не стесняясь. Ну или как у меня на юге. Забанено половина сервисов даже официально представленных на рынке компаний производителей электроники. Те же сервисы Самсунга уже больше полутора лет только через квн) в мск при этом приезжаешь как в другую страну
Чтобы статья словила ERROR 451
Какая цель этого поста? Растиражировать решение чтобы РКН поскорее занялся процессом его нейтрализации?
РКН прекрасно знает об этой схеме обхода блокировок потому что она эксплуатируется давным давно.
Работа идет и жить этой схеме осталось совсем недолго.
Что-бы ликвидировать возможность обхода блокировок через международные каналы связи дата-центров, РКН размещает оборудование ТСПУ на трансграничных узлах связи сетей первой категории.
Т.е. ТСПУ теперь ставят не только у провайдеров внутри страны, а сразу "на кабели" входящие в страну.
В прошлом году РКН отчитался что ТСПУ установлено на 86 трансграничных узлов.
Короче схему до конца года прибьют точно. А скорее даже летом.
А вы наивно полагаете, что они не занимаются этим? Вы действительно думаете, что подобные посты вредят? Или это просто fomo и ощущение упускаемой выгоды?
Разжевываю - хоть как-то бороться с подобными ограничениями можно массово распространяя информацию о способах их обходов.
Мне кажется, они и так в курсе про эту возможность
Лучше возможность, которой временно пользуется пол страны, и которая через условно год или три (или тридцать три) перестанет работать, чем вечная возможность, которой пользуется один человек
До сих пор местами работает способ с бесплатным cloudflare warp (через особые генераторы конфигов для амнезии). То есть, это тупой wireguard (awg), бесплатно и очень быстро. И ему - сто лет в обед. И до сих пор не смогли закрыть его целиком.
РКН и так как работает как может. Вряд ли они что-то не закрывают из лени или из доброты. У них есть свои ограничения. И человеческие (чтобы сделать много гадостей всей стране - нужно много сотрудников) и организационные (они бы хотели каждый IP сбербанка знать и чтоб те не менялись, а их, скорее всего, даже в сбере не знают все и надежно, и к тому же они меняются)
Я верю, что техническая эскалация выгодна обществу, а не РКН. Пока никто не пользовался VPNами - им было легко блокировать. Когда начали переходить на простые VPN - уже стало сложнее. Когда начали переходить на сложные - еще сложнее. Технически можно было бы сделать переход тупо на белые списки (и не по SNI, а по IP, без всяких DPI, простым файрволом) - но технически просто, но экономически бесконечно дорого (деградируй до КНДР за полгода).
На стороне сил добра - лучшие умы и страны и мира. На стороне сил зла тоже есть грамотные специалисты, но все там такие, которые не смогли найти более достойную работу за те же деньги. У всех зарплата включая бонус за негетеросексуальность. Если бы они были действительно хорошими специалистами - смогли бы найти менее унизительную и ненавидимую обществом работу. Поэтому - добро победит - через год, или пять и vae victis. (Не знаю, о чем они думают, и как планируют трудовые книжки сжигать...)
До сих пор местами работает способ с бесплатным cloudflare warp (через особые генераторы конфигов для амнезии). То есть, это тупой wireguard (awg), бесплатно и очень быстро. И ему - сто лет в обед. И до сих пор не смогли закрыть его целиком.
А можно поподробнее для тех, кто в танке? Или хотя бы ссылку с пошаговой инструкцией.
Техническая эскалация кратковременна, вы переоцениваете количество людей, использующих методы обхода. То что в вашем, или моем кругу, людям это необходимо, например по работе, и им приходится чтобы просто иметь деньги это делать, абсолютно ничего не значит. Ставлю почку, что если сегодня выйдет дядя, и скажет что все, обрубаем все концы физически, суверенный чебурнет и тотальный Макс, то 95 процентов не заметят разницы, и ещё 4 процента будут готовы к этому. И лишь "1 процент сами знаете чего" что-то реально потеряет. Но их легко можно назвать экстремистами и делов то)
Вы не учли, что есть бизнес и он должен работать и конкурировать. Думаю, что там уже максимальное "напряжение" и дальше только "белые списки", но это будут последствия и весьма серьезные.
Скорее всего пойдут по пути с "доверенными" компаниями и разрешением им трафика. Тем более, это ещё и уберет мелких конкурентов с рынка.
В целом это все равно "гниение", но медленное.
Оборудование у бизнеса российское?
Откуда драйвера и прошивки для него бизнесы будут брать? Не говоря уже о ПО. Это от "большого ума" или исполнительности такое можно сделать.
Представьте, что какая-то мелочь, пусть даже все носки в страну поставляют из китая (или шьют здесь) - мелкий бизнес. Завтра чебурнетимся по-полной (выход в мир - только у сбербанка и газпрома). Очень быстро эти производители продадут запасы носков. Закупить новые.... ну... может письмами будут переписываться, может челноков посылать, может с гонцами передавать будут корреспонденцию.
У дедушки в бункере носки будут (почему-то я за это не беспокоюсь), он о проблеме узнает через три года после первых носочных бунтов где-то. Тогда "госплан" запланирует носки (или произвести, или выдадут лицензии аккредитованным носочным торговцам и по лицензиям - выход в сеть). Три года будем ходить в драных. Ничего. Неприятно, но в бункере никто не расплачется от сострадания.
На стороне сил добра - лучшие умы и страны и мира.
К сожалению нет. Лучшим умам мира пофиг на эти проблемы, они живут в странах где таких проблем нет. А даже те кто живут в странах, где такие проблемы есть, то почему-то ничего особо не делают и ждут что кто-то все сделает за них и принесет им готовое. Вот и пилят все эти описываемые в статьях штуки два китайца, полтора иранца, и еще иногда россиянин пулл-реквесты докидывает раз в полгода.
Не говоря уж о всяких грантоедах из Tor Project и подобных, которые реализуют ту или иную штуку только когда про нее выйдет «научная работа», а по факту когда те же китайцы уже три года как ее вовсю обкатали и она уже пол года стала не актуальна потому цензоры научились ее блочить…
Понимаю, что мои ожидания, это мои проблемы, но...)) Как по мне, гайд из разряда: как заработать миллион
1) Зарабатывайте больше;
2) Тратьте меньше;
3) Готово!
Они уже читают эту статью.
Неправильно вы бутерброд едите.
Тема интересна с другой стороны. Нас тут уверяли, что ВЕСЬ трафик фильтруется. И все гадали, как же такое можно физически реализовать и на каких мощностях. А тут получается что не весь. И трафик Yandex'а или VK остается нефильтрованным... Что в принципе ставит под сомнению всю идею "белых списков" (если, конечно, она соответствует заявленной, а не реально работает на самоизоляцию). И да, в этом смысле интереснее а что там с Великим Китайским файрволом? Какой-нить TaoBao или 163 тоже имеет нефильтрованный доступ?
Ну это же "для работы" :D
Что-то мне подсказывает, что китайцы могут себе позволить выделить на это дело гораздо больше не только вычислительных мощностей, но и высококвалифицированных сотрудников.
Прокси в датацентрах до сих пор не особо фильтровались, только недавно начались проблемы с ватсаппом и инстой(а до этого они отлично работали, ютуб и сейчас работает), а обычные заграничные сайты, которые без прокси фризились на 15кб, как открывались так и открываются... Но вижу в последнее время, что и с проксями твари что-то докручивают с блокировками...
Да в целом идея с белыми списками идиотская. Нет, если бы это работало для конкретных небольших сетей крупных игроков, которые гарантируют отсутствие проксирования/туннелирования нецелевого, оно бы и норм. А когда любой может взять виртуалку, пусть за оверпрайс, но может, смысл в этом всём? Что мешает не только домохозяйке таким образом в инсту залезть, но и врагу дроном управлять? И смысл тогда в отключении, если у врагов априори будет доступ(так как они более подкованы чем домохозяйка)?
В любом случае, реального белого списка IP внутри страны не существует, поскольку всякие максы при вилеозвонку связываются напрямую с пользователем. То есть по факту фильтруются внешние IP и фильтруются стандартные протоколы по белому списку IP. Однако трафик по некоторым протоколам пропускаются по любому IP внутри страны. В теории, например, можно замаскировать трафик внутри видеозвонка Макса
поскольку всякие максы при вилеозвонку связываются напрямую с пользователем
когда невозможно прямое подключение, трафик аудио-видео-звонков идет через TURN-сервера, достаточно иметь их в белых списках и все, прямые подключения не нужны
можно замаскировать трафик внутри видеозвонка Макса
PoC уже есть
PoC уже есть
@MiracleUsr, а оно требует регистрацию в максе?
Знакомый находится сейчас в Китае с esim и говорит что с ней работают сервисы нормально.
ТСПУ лояльно относится к трафику внутри страны, поэтому сессия не замерзает.
Почему бы тогда просто не поднять свой собственный сервер дома? Белые списки это ведь только для мобильных сетей, разве нет?
РТ(оптика) к примеру в последние несколько дней тоже перешёл на заморозку соединений.
А "Белые списки это ведь только для мобильных сетей", это лишь "тестовый" период.
И как Вы к нему зарубежный аплинк прикрутите?
Видимо потому, что IP твоего собственного сервера дома будет не в белом списке.
Потому что твой домашний сервер тоже не в белом списке, даже если он находится внутри страны. Эти криворукие до сих пор не могут мобильное приложение сбербанка завернуть в белый список.
Пока единственный выход — сидеть на 3G, пока его совсем не отключат. Там вроде всё работает более менее нормально на данный момент.
Нет никакой лояльности. У меня часто бывает так, что входная нода внутри страны отваливается при включении ограничений, а забугорная остаётся доступной. Странно, но факт. Надо бы сменить хостера, но не доходят руки.
Все зависит от региона, провайдера и ... ну или к примеру от погоды на Луне. Бывает так, что утром доступно, а вечером уже отвалилось. Или с мобильного недоступно, а с lte модема работает.
Скорее всего просто по обьему трафика смотрят, потому что у меня HTTPS прокси тоже стал очень плохо работать днем по мере роста числа клиентов. А ночью все ок у меня. Получается, некий поток странного трафика - режем скорость и дропаем подключения (по логам клиентов некоторые подключения отваливаются тупо по таймауту без очевидной закономерности). То есть оно как бы работает, но на практике видео в условном Instagram приходится заводить "с толкача" обновлениями и перезаходами.
Всякие клаудфлэры фризятся везде
Для ТСПУ это выглядит как обычный обмен данными между двумя серверами, который фильтруется гораздо слабее, чем прямой «заход» юзера на иностранный хостинг
А можно тогда у себя на роутере использовать что-то древнее, а не то что не блокируют? Например l2tp? А уже с моста пусть выходит vless.
Зависит от того, что блочит конкретно ваш провайдер. Многие жалуются на недоступность OpenVPN и L2TP, но в регионах пока не видно повальной блокировки.
у меня l2tp и ikev2 за бугор на разные дц давно не работает, до конца декабря прекрасно работал sstp, однако сейчас блокируется\фризится как раз через 10-15кб, сессия устанавливается, ip адрес получается и на этом всё...
при этом точно такой же конфиг внутри страны - работает без проблем
sstp висит на 443 порту вместе с сайтом и Nginx его кидает в accel-ppp, не понимаю как они узнают что это именно sstp запрос прилетает и его блочат ((((
не понимаю как они узнают что это именно sstp запрос прилетает
Так у SSTP известные сигнатуры есть. Например можно посмотреть как это дело проверяет NMAP:
https://svn.nmap.org/nmap/scripts/sstp-discover.nse
Не выйдет. Вот с моста можешь использовать л2тп, а до него во время работы ограничений ничего как правило не доходит.
У меня года 2 назад l2tp работал причём много лет.
Погодите, предлагается поднять север на каком-то хостинге, которой почему-то в белом списке? Яндекс и ВК дают хоститься прямо у них на серверах? Звучит как дыра в заборе, которую прикроют первой
Это хостинг яндекса для внешних клиентов, а не сервера самих сервисов яндекса.
Тогда почему они не блокируются с введением белых списков?
Возможно есть пересечение в этих подсетях со собственными сервисами Яндекса и/или клиентами Яндекс.Облака, которые должны быть в белом списке.
Ну это настолько инфраструктурый звиздец, что прям да, уровень яши. Хотя даже для них сильно. Но возможно просто бизнес, ничего личного. Виртуалки у них и у вконтактеге за оверпрайс. Так что не стал бы исключать и такое, кажется даже более реально. (ибо смешивать закрытый и открытый контур? Да ну не верю)
По идее, такое должны были закрыть сразу же. И надавать по башке Яндексу и ВК. Ибо это обесценивает сам "белый список" чуть более чем полностью.
Но почему-то это работает до сих пор. /задумчиво почесал репу/
Надавать по башке надо кое-кому другому. Тогда и надобность в подобных постах отпадёт...
Скорее всего когда ВК и Яндекс подавали списки своих "белых IP" кто-то просто поленился отделять сети которые они продают от сетей которыми сами пользуются(либо они пересекаются) и дабы не рисковать задеть свои сервисы - подали все. Вон самую жирную подсеть \16 у Яндекса уже урезали.
Я так понимаю, людей триггерят диапазоны. Отредактируйте статью, не портите им карму.
полагаю, не всё так просто. вероятно, подключения субъективны от региона к региону. пару месяцев назад, на реддите обсуждали этот тред - схема работает не везде
У яндекса белый пул адресов уже закончился. Сейчас их не дают
Откуда эта инфа берется? На всех ресурсах посвященных белым спискам всегда есть те, кто говорят, что уже все.
И пока все это говорят - совершенно спокойно скриптами можно выловить как минимум подсети доступные с Т2-операторов.
Да, подсети которые доступны со всех операторов выловить уже тяжело, но все еще возможно.
Самое смешное, что вам не нужны никакие впски и не нужно кормить барыг, которые взвинтили прайс из за того что сумели вырубить себе место в этих белых списках.
Даю подсказку - интернет по проводу работает без ограничений.
Ну все, тогда тяну к себе в загородный дом витую пару, осталось пару миллионов накопить и дело в шляпе.
Эмс?! Если у Вас домик где-нибудь на плато Путорана - тогда снимаю шляпу (и комментарий :)...
А так - для коттеджных окрестностей крупных городов реклама "оптика в загородный дом" чуть ли не каждом столбе в ДНП висит...
для коттеджных окрестностей крупных городов
Это в целом можно отнести к крупным городам сразу и не заморачиваться, погрешность. По данным Росстата 25% населения к городам относятся от слова "никак". А у меня вот пожилой родственник живет в деревне в 42 километрах от города, там на улице неизвестная 35 (это не шутка) такого словосочетания как "проводной интернет" нет.
Последний километр, сложный самый. Мне пришлось несколько лет бодаться с РТ, включая сбор подписей и публичное оглашение ситуации, чтобы подключили оптику, которую пару лет как ввели в деревню.
А вообще, у РТ за километр оптики, тариф 1 млн рублей. И это цены пяти шести летней давности.
А вообще, у РТ за километр оптики, тариф 1 млн рублей. И это цены пяти шести летней давности.
Сделаете дешевле? ;) Просто "километр оптики" - это не только бухта кабеля. Это еще и землеотвод и опоры, или согласование подземной прокладки и земляные/буровые работы. Если еще и речка по дороге попадется, то вообще весело. Проектирование (работа геодезистов), внесение во всякие реестры. А потом еще и поддержание работоспособности, восстановление после экскаватора какого-нибудь.
И все это ради того, чтобы дотащить оптику в деревню на полсотни дворов, с которой брать по условные 700р*20 клиентов в месяц, а те еще и морщить моську будут, что дорого.
PS: Хотя сейчас появились новые технологии прокладки оптики, буквально за 15 минут пробрасывают волокно на десятки километров, непосредственно к клиенту. Просто взрывной рост популярности, все сетями затянуто уже :-/ .
Полсотни дворов это еще "много".
<< Просто «километр оптики» — это не только бухта кабеля. Это еще и землеотвод и опоры>>
Вот вообще нет. НА текущие опоры кладут часто, или роют, или через канал. В общем способов уйма. А отдельные опоры чтобы ставили - не видел ни разу.
Землеотвод дорогой там тоже не нужен - места полно, как правило, и мб вообще уже есть куда приткнуться. За рубль, если вообще нужно.
Вот как раз недавно было, тарифы около 1к., клиентов считают заранее, оборудование в довесок за 3к-5к надо докупить + первичный взнос не малый. В сёлах же дворов может быть и более 1к. Но в данном случае было около сотни, а тащить надо было от соседней деревни в 5-10км.
Последняя миля относительно просто и дёшево решается с помощью радиомоста
В таком случае ложат радиомост на 1 Гбит, а от него раздают канал клиентам по оптике. Это не дешево, но приемлемо и работает.
Делают так не только в России, но и в США, и в других странах - как раз на случай, когда бурить нужно "горы". Итого - шаред гигабит на целый частный сектор, вплоть до 800 клиентов.
А цена выше из-за лицензий на радио
А, ну раз У ТЕБЯ нет в пердях инета, тогда беру свои слова обратно. Простите великодушно нас жителей районов ттк.
Вы живете в тайге среди сопок и белых медведей? Просто даже в захудалый СНТ, где у меня, типа "дача", уже оптика проведена года три как. Да, тарифы чуть выше городских, но 1000 руб за 100 Мб для загорода - вполне себе.
Странно, у меня на проводе дискорд с ютубом не работают, а с недавних дней еще и половина рандомных ресурсов. Не подскажешь, почему?
Он имеет ввиду, что по проводу доступно больше сайтов (работает чёрный список), нежели по мобильной сети. Там кроме ВК, Яндекса и госуслуг ничего не работает на 4G.
Я понимаю, о чем речь, но он не уточнял, следственно, тут мое слово против его
Я имею ввиду что арендуется белый ип и настраивается роутер с openwrt на котором воркает тунель до vps с xray за бугром. Через мобильный интернет подключаюсь к домашнему роутеру на "белом" провайдерском ипе без проблем. Уже проверено на разных операторах во время блока.
Проблемы нужно решать по мере поступления. Сейчас это работает.
Вас уже семеро у кого проблемы. Не понятно правда с чем, с головой или с инетом. Может вам стоит мессенджер МЭКС скачать и там петицию создать за свободный интернет?
Там разные механизмы. На проводе чёрные списки (пока ещё) - разрешено то, что не запрещено. А без провода (мобильные операторы) белые списки - запрещено то, что не разрешено.
И ОП предлагает подключиться к домашнему роутеру и с него уже выходить в интернет. Чтобы увидеть Хабр, а не только Яндекс, Госуслуги и кремлин.ру.
ОП предлагает подключиться к домашнему роутеру и с него уже выходить в интернет
Вот только откуда его домашний IP окажется в белых списках ОП пояснить так и не смог.
Сейчас белые списки для домашних провайдеров применяются редко. На это и расчёт.
Замедленный ютуб, отключенный дискорд и прочие иноагентские сайты это не белые списки, это чёрные списки.
А когда доступен только яндекс, госулсуги, то это белые списки.
Кажется, вы тоже не поняли.
Изначальный комментатор, по-видимому, намекал на то, что белые списки на мобильном инете якобы можно обойти, присоединившись со смарта сначала на свой домашний адрес, а затем уже из домашней сети с проводным провайдером без белых списков — к VLESS-прокси.
К этой схеме возникает резонный вопрос: откуда его домашний адрес возьмётся в белых списках мобильного инета? Если бы всё было так просто, этой (само)очевидной схемой давно бы все пользовались и белые списки тупо не работали бы.
а с недавних дней еще и половина рандомных ресурсов
Кстати, тоже начал такое замечать, тупят и не открываются рандомные сайты. Недавно не мог зайти на один китайский сайт, но спокойно зашел на него из Нидерландов.
Даю подсказку - интернет по проводу работает без ограничений.
Во-первых уже много лет с ограничениями, а если вы конкретно про белые списки, то вы пропустили одно важное слово: «пока работает». А во-вторых, вашего домашнего IP-адреса в белых списках скорее всего не будет (а если и есть, то это недоработка которую скоро исправят)
С выходом подобных постов приходит понимание - пора искать новые способы 🤣
Мобильный интернет уже обходится дороже домашнего, с этими джампами и арендами двух серверов . Да и попробуй ещё заиметь этот адрес из белого списка.
Клиент подключается к РФ-ноде. ТСПУ лояльно относится к трафику внутри страны, поэтому сессия не замерзает.
Это не 100%. Похоже, иногда они делают 16кб замедление для всех серверов хостера, и российские тоже попадают под это. У меня такое случилось с VDS в Москве. Решил принять вызов и попробовать пожить в рамках ограничений в 16кб на соединение (написал свое ПО передающие данные через тысячи соединений). Но это костылище, который во первых сильно снижает скорость передачи, во вторых при желании будет быстро обнаружен.
Решил принять вызов и попробовать пожить в рамках ограничений в 16кб на соединение
Тоже была такая мысль. Сколько примерно потеря в скорости?
Скорость не замерял, но по ощущениям довольно сильно, между каждым пакетом в 16кб нужно установить новое соединение, т.е. пауза минимум время пинга * 2. Страницы открываются не мгновенно, но видео более менее играются на 720p. В теории оптимизировать можно, если устанавливать резерв из N соединений заранее и при передаче брать соединения из резерва и тут же пополнять резерв новыми соединениями, но я уже не стал погружаться так глубоко, метод хоть пока и рабочий, но слишком безумный и легко детектируемый.
т.е. пауза минимум время пинга * 2
А как насчёт TCP fast open?
Это поможет, когда клиент оправляет данные серверу. А тут, наоборот, и это самое интересное) В рамках одного соединения клиент просто подключился и все. Клиент отправляет данные серверу, сервер отправляет данные клиенту, когда нужно. А тут 1 соединение - 1 пакет данных и все, оно закрывается. Но соединения то инициировать может только клиент к серверу, сервер не может сам подключиться к клиенту, чтобы что-то отправить. Поэтому сервер ждет нового соединений клиента, чтобы отправить ему следующую порцию данных, а клиент постоянно их устанавливает.
У меня рабочий впн с осени стал постоянно переподключаться, прикольно, что.
Возможно хостер выдал вам IP-адрес из диапазона который неправильно отмечен в GeoIP-базах (например хостер недавно его купил у кого-то другого)
А что насчет UDP, не проверяли? Там проще параллельную сессию открыть.
А я вот не пойму почему мало внимания уделяется разделенному туннелированию (split tunneling)? Кажется это неплохое подспорье если VPN поднят на своем VPS и на нем сидит полтора землекопа. Что бы у нас не болтался постоянный палевный туннель, а поднимался только по мере необходимости, да будут задержки, но кажется с этим можно жить, сетки итак бывает долго думают прежде чем ответить. Тот же ChatGPT может несколько секунд думать прежде чем ответит, ну будет на 1 сек больше, не беда. Но вот настраивать это... попробовал я его спросить и понял, что тут делов не на 5 минут, в Throne отдельной галочки на это нет. Если не админ, то помудохаться придется. Гайды/маны/статьи может и есть, но в целом хочется что бы шло как-то из коробки при развертывании сервера и клиента.
В сплит туннелировании туннель висит постоянно, просто в него заворачивается лишь необходимый трафик.
И это никак не решает проблему белых списков, да и вообще никакую не решает, кроме меньшей подверженности эврестическому анализу трафика, что тоже сомнительно: не спалишься ты, спалят соседа, и всю подсеть в бан (недавний случай с аезой в пример). Не лишнее, но не ульта, короче.
Хорошо, я возможно не владею терминологией, назовем тогда tunnel on demand. Вся суть что бы не было постоянного туннеля и нечего было палить (собсно я это и описал во первых строках). Шарюсь по рунету - никаких туннелей, все чисто (да не анонимно, но мы не про это), захотел условный ChatGPT - оп (по geoip/site или еще как) система распознала и быстренько подняла мне туннель, не пользуюсь - через определенно время погасила его. Никто же не сидит полный день на закрытых ресурсах. Кажется так он овсе будет несколько чище со стороны.
Про соседа не понял. Про какого соседа? Сосед на моем VPN в смысле еще одного клиента или по хостингу или в доме за стеной? Если первый вариант, то там я командую парадом, второй, ну да есть риск, ну так он везде есть если VPN в датацентре. Но так что же забить на предосторожности со своей стороны? Третий - явно мимо кассы.
В сплит туннелировании туннель висит постоянно
Зависит от реализация туннеля. В прокси типа VLESS когда нет подключений от клиентского софта, подключения к прокси-серверу не поднимается.
Блин покупать сервак внутри страны ради обхода блокировки это такое, там уже есть закон из которого только в последний момент убрали пункт о штрафах за такое
ТСПУ освоили новую тактику: они не рвут сессию через RST, а просто «фризят» её.
А вот оно что. Видимо, если SNI не видно, рубят все.
Идея старая (я ее описывал еще в 2023 в своих статьях про XRay), дополню:
Когда о чем-то таком пишут на Хабре, это значит что этому чему-то жить осталось недолго. Поэтому советую уже сейчас начать копать в сторону reverse-подключений, когда ваш промежуточный российский сервер не сам подключается к забугорному, а принимает входящие подключения от забугорного и перенаправляет трафик между ними и клиентами. В новых версиях XRay настройку этого дела сильно упростили.
Между забугорным и промежуточным сервером можно настроить несколько разных подключений (TLS/не-TLS, TCP/UDP, IPv4/IPv6), XRay позволяет автоматически каждые N минут проверять какие из них живые и отправлять трафик по тем что работают.
Стоит ожидать корректировки белых списков и сужения диапазонов, поэтому не покупайте VPS в облаках на долгий срок, есть риск остаться ни с чем
Reality во многих случаях избыточно и имеет определенные недостатки (например требует обязательно TLS1.3 и спамит запросами сервер под который вы маскируетесь с вероятностью бана). Можно гораздо проще, РКН пока не умеет проверять подлинность сертификатов, поэтому простой TLS inbound с самоподписанным сертификатом на нужный домен работают ничуть не хуже, в иногда даже лучше.
Если делаете routing на промежуточном сервере, я бы не стал прямо с него ходить на российские ресурсы (особенно подконтрольные государству). Или берите второй IP-адрес для сервера и выпускайте трафик с него, или если у хостера не забанен CF Warp, сгенерьте бесплатный конфиг Warp и настройте wireguard outbound на него - CF по умолчанию приземляет клиентов на ближайший сервер (обычно Москва-DME), GeoIP у них прописаны правильно, и для российских ресурсов вы будете выглядеть как российский клиент, не паля то что на вашем сервере работает прокси.
>Когда о чем-то таком пишут на Хабре, это значит что этому чему-то жить осталось недолго.
При всём уважении, тут недавно писали, что ркн победили vless (что, само собой, было полным абсурдом и неправдой). Пока что-то он живее всех живых, сам пользуюсь и вам рекомендую. Так что, всё, что пишут на Хабре, это в минимум неправда на букву "П", а максимум - популизм.
есть технические решения типа VLESS, есть административные/бизнесовые. Размещение VPS для проксирования в неблокируемых подсетях с каким угодно протоколом - административное/бизнесовое. Ровно как и недолгая жизнь таких решений будет решаться административно.
тут недавно писали, что ркн победили vless (что, само собой, было полным абсурдом и неправдой)
Частично это было правдой. РКН действительно блокировал VLESS (и не только VLESS) подключения при использовании определенных транспортов и конфигураций - так называемая в некоторых кругах «сибирская блокировка». Но само «детектирование» там было на самом деле очень тупое и проблема решалась сменой транспорта и настройкой агрессивного мультиплексирования.
При всём уважении, у меня в регионе работает WG и OVPN, но я не называю абсурдом когда кто-то из Краснодара пишет что у него WG не работает.
А есть какая-нибудь документация на английском по работе xray с reverse-подключением (п.1) ?
Старый конфиг (он запутанный и сложный): https://xtls.github.io/en/config/reverse.html
Новый упрощенный конфиг в новых версиях: https://github.com/XTLS/Xray-core/pull/5101 (там на китайском, но google translate неплохо переводит)
Можно гораздо проще, РКН пока не умеет проверять подлинность сертификатов, поэтому простой TLS inbound с самоподписанным сертификатом на нужный домен работают ничуть не хуже, в иногда даже лучше.
Можно вот это развернуть подробнее? Чем этот вариант лучше self steal?
Это немного о разном речь:
Маскировка под чужой домен (условно Яндекс или Гугл) - можно сделать с XTLS-Reality или самоподписанным сертификатом. Пока РКН не научился проверять сертификаты вариант с самоподписанным сертификатом лучше чем Reality, выше описал почему (реалити требует тлс1.3, спамит чужой сервер подключениями, если чужой сервер вас забанит или сломается ваш прокси тоже ляжет)
Использование своего домена. Там steal-from-yourself имел смысл для красивого фингерпринта сервера, но сейчас с появлением XHTTP не имеет смысла, проще поставить на фронтенд тот же Nginx и проксировать подключения с него в XRay. Не обязателен тлс1.3, можно использовать QUIC, можно использовать разделение потоков, можно сделать mux maxConnections=1 для защиты от сибирской блокировки если она вернется.
А у нас что, уже разрешили статьи про впн писать?
«Свобода - это то что у тебя внутри.»
Попробуйте запретите мне статьи про VPN писать, удачи. Они могут заблокировать к ним доступ, но запретить писать не могут.
Ну вообще-то могут, ст. 14.2
Давайте теперь популяризировать эту тему, чтобы у людей вообще не осталось возможности обходить ограничения благодаря тому, что подобные сборщики плюсов на каждом углу кричат про впн и агрят РКН.
Я не думаю, что ваша статья про свободу. Если бы она была про свободу, она была бы выложена на другом ресурсе.
Обожаю хабр за обоснованность его минусов. Как будто ВВ в попу публично расцеловала.
Поясню за комментарий. Не считаю Хабр местом, где необходимо выкладывать инструкции для обхода ограничений. Чем популярнее и доступнее ресурс, а Хабр уже давно набрал обширную аудиторию, тем сложнее обходить блокировки и сильнее ужесточения.
Старая поговорка про инвестиции, когда акциями заинтересовался сапожник, пора их продавать. Так вот мне кажется, чем быстрее большое количество людей, сидящих у телека, узнает про возможность обхода блокировок, тем быстрее мы окажемся в интранете.
Я вот не хочу жить в эпоху Чебурнета. Я не права? Объясните почему.
VK Cloud: Трафик бесплатный, но «белые» IP поймать почти невозможно.
Что такое «белые» IP в данном контексте ?
Дополнительно, лучше иметь 2 IP, на один принимать трафик, с другого конектится за границу .
Вы прямо напрашиваетесь, чтобы РКН заблокировал Хабр
Это не первая и не последняя статья о VPN на Хабре, доброе утро. Им просто вешают 451 со временем и все: https://habr.com/ru/articles/895430/
Но есть очень большой ньюанс не все хостинги российских серверов доступны по белому списку. И надо понимать какие хостинги ведут белые списки.
Интересно, а если кто-то кинет беспроводной линк где-то в Нарве, а внутри страны будет компьютер подключенный к i2p и этому линку, то можно так теоретически пробивать деградацию серверов, если трафик проксировать через i2p внутри страны?
Выше писал про административное решение - проверка крыш, фасадов на наличие антенн. Аномальный трафик "из ниоткуда" в сети местного провайдера.
Приграничная зона - все жители "переписаны", а новые появиться не могут без записи.
Там ооочень административное решение должно быть: окна на Нарву есть, есть даже сараи на огородах "на первой линии".
Антенну можно замаскировать, можно сделать лазерный линк. Его очень трудно засечь. Прописываться не обязательно, можно снять квартиру или комнату с видом на "запад".
Можно просто использовать роутер с usb модемом и зарубежной симкой.
Но лучше писать маску чтобы он разрешил использовать Starlik
Крайне маловероятно что ноды I2P будут в белых списках
@adlayers, сниппеты с аутбаундами из п.2 и п.3 отличаются только наличием комментариев.
Добро пожаловать на «новые территории», каких-то 100$ в месяц за тарелку и вы на связи с миром без белых списков, РКН и СМС, слава Илону! Маску, слава!
Зачем нужны эти костыли в виде Xray и конфигов, проброс порта в линуксе это 3 команды. Ну и еще одна команда для включения переадресации, если она отключена
Всё это, конечно, замечательно, но Яндекс.Облако последний раз, когда я смотрел, стоил как чугунный мост. И, полагаю, будет только дороже.
вся эта тема направлена на отжим бабла в пользу "уважаемых" нелюдей
если уж и тратится дополнительно - выгодней башлять за прямой ip на основном прове
а vpn поднимать с самого vps до дома. и уже магией маршрутизации через него иметь сеть
при таком подходе когда vpn на вход - даже давно убитый l2tp живёт, что уж говорить про более-другие
Объясните чайнику. Мне нужен нативный чат Gemini (с gem-ботами и устраивающим меня механизмом векторизации загружаемых файлов) и NotebookLM. Поднять аналог по API openrouter у себя с аналогичным качеством не получается.
Верно ли, что я не могу просто арендовать за 10$/мес удаленный рабочий стол в стране из списка, в котором Gemini работает? Меня забанит РКН, заморозит канал связи с удаленным рабочим столом?
Что делать?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Гайд по обходу «белых списков» и настройке цепочки рабочие варианты, почему ваш VPN может не работать