Комментарии 60
К сожалению, даже кроме предполагаемоей новеллы о «цифровых границах», уже сейчас прослеживается тенденция со стороны всяких окологосударственных сервисов — блокировать вход с адресного пространства датацентров. Мол, «мы работаем с физическими лицами, а они там не находятся по определению; вот с адресов провайдеров для населения — добро пожаловать!»
Городские/районные суды, например, ага (<название_суда>.sudrf.ru, при этом центральный портал ГАС Правосудие на sudrf.ru в таком не замечен). Из датацентра Селектела не пускали. Приходится для таких отдельный списочек маршрутов держать, которые заворачивать через офисный роутер.
Да, практика огораживания единожды начавшись уже с трудом остановима. Я ненароком обнаружил, что известный когда-то LiveJournal блокирует напрочь ЦОДы Hetzner (просто 403 Forbidden от nginx).
А может ли это быть связано, например, с ранними атаками с айпи адресов данного провайдера ?
Не атаками, а скорее всяким ботоводством и пр
Очень может быть (кроме собственно атак ещё много разного abuse бывает). Проблема ведь в том, что к провайдерам хостинга / VPS / VPN не только белые и пушистые пользователи приходят — плати деньги и не создавай особых проблем.
А повторная используемость IP-адресов высокая, плюс в какой-то момент админ атакуемой системы звереет и блокирует подсеть от /24 и выше. В общем, IP-адрес из мест общего пользования сейчас для многих выглядит подозрительно.
Хетцнер, амазон, ажур — таки рассадник хз чего, но что пытается найти уязвимые CMS с такой интенсивностью, что дешевле заблокировать их нахрен и потом разблокировать конкретные адреса по запросам клиентов.
Жалуйтесь в Минцифры и Роскомнадзом, это не всегда, но работает.
Из датацентра Селектела не пускали.
Все вами перечисленные ресурсы, а также перечисленные иными участниками комментариев, я проверил через VPS селектела (московский ДЦ) -- всё работает.
Я ни одного конкретного домена не написал. Проверьте, например, http://proletarsky.ros.sudrf.ru/ - у меня с IP выделенного сервера в питерском ДЦ Селектела не открывается.
Буквально недавно пробовал самый базовый убунту сервер RuVDS в Королёвском датацентре - достучаться до мособлеирц.рф с него не получилось.
Вот, вот. Мосэнергосбыт вообще весело придумал, они не только запломбировали адреса датацентров в РФ, но и сайт на ночь отключать стали..
Цифровое огораживание - мировая практика. Примерно год назад начал замечать что некоторые иностранные ресурсы не пускают к себе с VPN от российского хостинг-провайдера с физическими серверами в Польше, то есть приложили дополнительные усилия чтобы окуклиться не просто по geoip но прям по residency_ip. Про китайские практики все и так знают.
Интернет с доступом откуда и куда угодно был пока он был молод а мир был политически связен. С утерей политической связности общий интернет распадется на более-менее изолированные куски максимум лет за 10, нынешнее состояние сети будут вспоминать как сейчас вспоминают "свободный интернет нулевых".
Поддерживаю предыдущего коментатора и категорически предостерегаю от такого способа. Лично знаю человека, который залогинился в личный кабинет банка (ВТБ) с IP своего VPS в РФ и получил блокировку счёта с возможностью восстановления только при личном визите. В этой ситуации даже по консульской доверенности можно только закрыть счёт и вывести деньги.
И какое нашли решение?
Ох, какой же хренью занимаются эти "борцы с нежелательными посетителями". Только лишние накладные расходы (временнЫе, вычислительные, финансовые...) людям создают. Паразитная деятельность, прикидывающаяся полезной.
(побуду адвокатом дьявола) С их точки зрения это не совсем паразитная деятельность: если оттуда всё больше не наши люди, да ещё и поломать норовят злые хакеры — выглядит разумным уменьшить площадь атаки.
Я сам когда-то на тестовом сервере сделал набор CN-nets.set для iplist, да и заблокировал напрочь — работы для fail2ban стало в разы меньше.
Это защита из разряда "изменить дефолтный порт ssh" или "белого" списка MAC-адресов на WiFi-роутере: от тупых броадкаст-сканов может помочь, против целенаправленной атаки - нет. Иллюзия защищённости есть, а по факту - шлагбаум посреди поля и неудобства для легитимных пользователей.
Я бы предложил для "потенциально опасных источников траффика" более строгие ограничения делать: лимит RPS, ограничение протоколов (ICMP, UDP...), капча, обязательная двухфакторная аутентификация и т.п. Да, такое реализовать гораздо сложнее, чем белый список подсетей, и квалификации вахтёров может не хватить...
А воздвижение государственных границ в интернете я считаю дикостью.
Да это не иллюзия защищенности, а просто подножка всяким бот-сканам, чтоб в логи не гадили. Там же сейчас вири через один все начинают майнить и сканировать сети и брутить известные порты. Ушел с порта - уже шлак отсеялся и можно на настоящих атаках состредоточиться, которых иначе в шуме и не разберешь.
Да и нагружать фаервол забаненными ip адресами ботов - лишняя нагрузка на проц, потом каждый полезный сетевой пакет должен будет прорваться через все эти мириады адресов ботов.
Так что смена портов это такая же здоровая практика как и вытирать ноги о коврик перед входом в дом.
Если "оттуда" большей частью ддосят, то проще потерять долю процента посетителей.
К счастью, эту проблему довольно легко решить, если поднять свой сервер внутри РФ и перенаправить трафик через него. Это так называемый «обратный VPN».
Складывается впечатление, что "прямой VPN", в отличие от "обратного", - это когда из РФ подключаешься к иностранному серверу)
я сначала подумал что это когда "там" клиент, который подключается к серверу "тут" с целью "отсюда" трафик гнать "туда".
Блин, и ведь действительно, до такой терминологии докатились... Я-то, увидев заголовок, подумал, речь пойдёт о чём-то типа reverse proxy или VPN-сервере, который сам инициирует соединение с клиентом, вылезая из-под NAT.
Что делает ветеринарная клиника в списке сайтов что доступны только из РФ? Это что такая скрытая реклама?
Да там вообще списки смешные какие-то, хоть outside, хоть inside. Такое ощущение, что это списки только сайтов, с которыми конкретный автор какого-то там канала столкнулся в своей личной жизни. На самом деле таких ресурсов гораздо больше, и маршрутизировать через РФ имеет смысл просто оптом по GeoIP (около 15 тыс. подсетей сейчас).
Мне кажется (не берусь утверждать на 100%), что DPI на ТСПУ глубоко наплевать, в какую сторону устанавливается соединение. Во время проходивших учений вполне себе блокировались VPN-туннели из России в Россию, которые по определению не могут использоваться для обхода блокировок. И если что-то сейчас работает - так только потому, что блокировки VPN до сих пор точечные и рандомные.
Так что если запускать VPN с нуля - хоть "прямой", хоть "обратный", хоть вообще чисто внутрироссийский - имеет смысл сразу брать стойкие к блокировке протоколы. Благо, их есть в ассортименте, и инструкций по их поднятию тут - тоже.
блокировались VPN-туннели из России в Россию, которые по определению не могут использоваться для обхода блокировок
Ну почему же, фильтры стоят только на последней миле, трафик из ДЦ не фильтруется ркн, так что VPN по России от физика в ДЦ вполне может обойти фильтры РКН до твиттера, инсты и тд.
Другое дело что такой VPN не даст зайти на сайт делла или еще кого-то огороженного с той стороны, поэтому нужен и зарубежный VPN.
Это уже давно не так, хотя раньше была такая тема, да. Но речь не про это, а про то, что VPN от российского пользователя до российского сервера тоже блокируют, были прецеденты и у меня лично, и на ntc.party в обсуждениях люди писали. И никаких оснований надеяться, что это ошибка и перегиб, а не целевая модель, увы, нет.
DPI стоит у провайдера, а датацентры во внешний интернет могут смотреть открыто, так что VPN-туннели из России в российский ДЦ могут так же использоваться для обхода.
Вероятно, ваша информация устарела. Лично пользовался несколькими российскими датацентрами, и у всех из них выход за границу так же фильтровался, как и у домашних провайдеров. Да и в новостях что-то, помнится, писали какое-то время назад об установке ТСПУ на датацентры тоже. В общем, если в каких-то датацентрах еще нет цензуры, я бы не рассчитывал на то, что так будет всегда, и VPS за границей всё же подготовил бы)
Это так называемый «обратный VPN»
Это так называемый "VPN", что в нем "обратного", непонятно...
Чуть другой набор проблем. Например - НЕ нужно думать как это все оплачивать потому что у тех кому это надо - уж российская то карточка - не проблема да и техподдержке хостера можно более менее смело объяснить зачем это вообще нужно.
Не совсем понятно, как РКН собирается реализовывать этот запрет, но пока постановление не принято, на виртуалках «обратный VPN» нормально работает. наверное, так же, как MaxMind не даёт провести регистрацию с адресов принадлежащим хостерам. И это достаточно суровая защита. Если есть мысли, как с ней справиться, буду рад услышать.
Что-то непонятно, чем этот "обратный" впн отличается от обычного.
StrongSwan не плох, у меня настроен вход для юзеров через ikeV2, по логину и паролю, намного удобней, чем с сертификатами.
Вопрос конечно из серии про среднюю температуру по больнице но все же - сколько вот такой сервер в минимальной конфигурации сможет поддерживать пользователей при условии, что они не будут смотреть видео и качать торренты ? (ну или например пошейпить на каждого пользователя трафик например по 5 мбит/c ) ? Сколько хотя бы примерно пользователей для сносной работы держит такой сервер в минимальной конфигурации ?
мезулина вредитель, мне vpn нужен для совместной работы, обход ограничений в обе стороны идёт лесом, а эта обезьяна с гранатой глушит wireguard, глуши всякие бесплатные/платные vpn, эти все равно трафик замаскируют, плавающие адреса сделают (как с телегой боролись). А мне работать надо, детей и это чмо из госструктуры кормить нужно, обеспечить работу коллектива в России желательно именно wireguard секьюрно и не затратно в ядре есть и CPU есть не просит, понятно пришлось по первой атаке ssh тунели пробросить и часть корпоративных ресурсов наружу выставить, а часть как .onion ресурсы поднять.
Это так называемый «обратный VPN».
Какая-то дичь типа стрелки осцилографа.
Благодарю за статью. Придётся мне заморочиться , уже надоело. Живу в ЕС после 2022 многие местые провайдеры как с ума посходили. Провадер отптоволокна блокирует Yandex , а LTE блокирует Vk , и гос услуги. Сейчас кстати лучше ) примерно пол года назад вся ru зона лежала, месяца два. Хотя в тех поддержке говорили мы netnutral и ни чего не блокируем , а если и что-то блокется то только опасное .) В общем провайдеры бегут в переди паровоза.
В 2022 была сильная волна сетевых атак, ддосили РФ сайты все, неудивительно что и каналы ложились и антиддос срабатывал на европейские адреса (да и даже западные магистральные операторы разрывали контракты с РФ). Тем более что было достаточно энтузиастов кто продвигал ДДОС в качестве средства борьбы, так что постарались не только лишь все.
Список сайтов недоступных из-за границы. Нахожусь в Мюнхене. Мобильный интернет Vodafone. Пробую зайти на сайт www.ozon.ru. страница открывается. Пробую зайти на finance.ozon.ru. страница открывается. Что в данной статье понимается под недоступностью?
Рассматривал такой вариант, как резервный, но теперь, видимо, его надо считать устаревшим :-)
"поднять свой сервер внутри РФ и перенаправить трафик через него. Это так называемый «обратный VPN»."
Откуда взялась такая терминология? Reverce proxy это тот у которого аплинк в России? А если американец приедет в Китай, а vpn у него будет в Германии - это будет «боковой VPN»?
"нет ничего проще"
Мастера заголовка.
Хорошо, что у них шаблон со стронгсваном появился, но некоторые VPS провайдеры предлагают VPN как готовый сервис.
Установка обратного VPN: нет ничего проще