Комментарии 114
Может быть на черные дни помогут запасы неиспользуемых в обычное время адресов?
Да, это как вариант. Главная проблема что в первую очередь отлетают "оптимизированные" сервера для Китайцев и остаются не оптимальные варианты. Плюс целые ASN могут рубить, по этому может не спасти :(
Как насчёт децентрализованного варианта, как в VPN Gate?
Давать пользователям возможность предоставлять свой интернет трафик в помощь, блокировать active probing.
Тогда проблема ASN пропадёт, и ловить будет можно только по отпечаткам протоколов.
В теории можно решить данную проблему если мы реализуем то что сказал ниже@Kellis, нужно будет добавить возможность "пожертвовать" свои ноды. Условно сделать отдельный список "Community" серверов.
Особенно будет эффективно если деплой будут делать не только в дата центрах и IP-адреса будут принадлежат физическим лицам.
Особенно будет эффективно если деплой будут делать не только в дата центрах и IP-адреса будут принадлежат физическим лицам.
Будет этакий Tor 2.0, и с тем же логическим финалом, как только решение выйдет в массы и львиная доля выходных нод станет принадлежать физическим лицам в штатском. По сути это задача двух генералов.
Понимаю, что наивный вопрос - но может ваше решение можно развернуть у себя, например, на vps и клиент под телефон/роутер? ?
P.S. Из РФ нет тарифов на неделю или месяц - попробовать?
Время спутникового интернета, вот потому он интенсивно строится
как показывает опыт спутникового тв в рф - спутник не панацея и блокируется ещё легче чем всё остальное. всё-же радио очень подвержено атакам.
Гроб на колесах от ГРЧЦ уже в вашем городе... на вашей улице... попались. Конфискация тарелки, штраф, при желании судимость.
А влезут ли все абоненты в спутниковый интернет? Особенно в условиях города. Например будет 10 млн. желающих, рядом в поле видимости 1-2 спутника. Даже если он 6 гигабит раздает, на каждого 0.6 кбит скорость.
А вот для сельской местности идеально.
А что, это идея. Тут сказано, что тарелка потребляет 150 Вт в среднем - значит две солнечных панели ватт по 200-300 + аккумулятор - дальше едем в глубокие леса и горы, там эту антенну ставим, ставим условную малину, получаем суперавтономный сервер :)
А с горы как раздавать его себе будете? Или там же на горе остаётесь?
А зачем его раздавать? Это же точка выхода - к нему по сети, и уже от него в общую сеть. Найти его в лесу будет невозможно, заблокировать или заглушить тоже
А, вы так хостить через спутник решили. Я то думал вы доступ в остальной интернет ретранслировать надумали. В любом случае не быстро.
Привет, а вы думаете в сторону того, чтобы сделать свой клиент?
Да, но не хотим просто создавать очередной wrapper для WireGuard и OpenVPN. От него особой пользы не будет. У клиента должно будет быть больше функционала чем у официальных.
Наш план на данный момент:
1. Довести до ума все генераторы WireGuard/OpenVPN/Stealth proxy
2. Добавить дополнительный функционал + учесть чего не хватает в официальных клиентах
3. Начать разработку приложений и запустить закрытое альфа тестирование
4. Добавить stealth proxies (минимум VMess и VLESS)
5. Заказать независимый аудит всех приложений на уязвимости (с публичной публикацией)
6. Официальный запуск приложений
7. Опубликовать исходной код всех приложений
Больше всего нас сейчас замедляет 5 и 7. Не только финансово, но из-за бюрократии. У нас нету точных дат, но можно сказать что мы уже работаем над этим.
Will Launch “When It’s Ready” ™
С одной стороны вы говорите, что готовились к таким блокировкам, но в этом же абзаце пишите, что " В этот же день на Xeovo обвалилось огромное количество тикетов ".
Вот бы кто сделал нормальный кроссплатформенный враппер над Cloak + чем-нибудь внутри... Больше, по большому счёту, ничего выдумывать не нужно - оно будет работать до момента "блочим всё, что не можем распознать, HTTPS в подозрительных случаях замедляем".
Прочитал, посмотрел сайт, но так и не понял - предоставляете ли вы VPN решения на случай блокировки WireGuard и OpenVPN?
Да, мы предоставляем stealth proxies (Shadowsocks, VMess, VLESS и Trojan).
https://blog.xeovo.com/stealth-proxies-release/
Является ли это полноценной заменой обычного VPN с точки зрения клиента?
В смысле, будут ли также прозрачно работать email клиент по SMTP/IMAP, другие программы, использующие интернет на Windows/Linus десктопе?
Да, но зависит от клиента. Как рабочий пример есть Nekoray с режимом TUN. Весь трафик будет проходить через прокси.
С точки зрения пользователя - часто да. Технически - нет.
VPN создаёт сетевой интерфейс с туннелем, а прокси требуют либо поддержки со стороны приложения, либо перехвата трафика приложения через системные вызовы, файрвол, etc.
То есть точный ответ зависит от юзкейсов.
UPD: Уже вижу, что ниже @ValdikSSзамечательно расписал разницу.
Перерыл ваш сайт, никак не могу найти UI для активации таких прокси или информацию о том, как это сделать. Нашёл просто Proxy, но там ни слова про stealth.
Ещё я как эникейщик искал кнопку для скачивания клиента. Неплохо было бы сделать страницу заглушку/мануал для таких пользователей.
да, их там не сильно просто найти (может быть это и хорошо) https://xeovo.com/guides/
Китайские комбайны вроде v2ray, xray, sing-box сотоварищи это, конечно, здорово в плане инновационных протоколов и широких возможностей в инкапсуляции трафика и функциональности по маршрутизации, но коммерческую VPN-инфраструктуру на них не построишь, они рассчитаны на домашнее использование, максимум на любительский сервис для пары десятков друзей. И это не столько из-за отсутствия унифицированных кросс-платформенных утилит с графическим интерфейсом, скудной документации, кучи протоколов со своими нюансами и недостатками, а из-за отсутствия понятия сессии, нормальной аутентификации, и непосредственно самого VPN — все эти программы являются либо туннелями с socks/http-прокси фронт/бэкендом (shadowsocks, v2ray), либо вовсе туннелируют один порт (cloak).
Они не туннелируют протоколы, отличные от TCP и UDP (и то не все), не позволяют принимать входящие соединения, часто нарушают работу VoIP/WebRTC/NAT Punching (т.к. не сохраняют порт UDP), требуют настройки каждой программы на использование прокси отдельно, либо реализуют userspace IP-стек с псевдо-сетевым интерфейсом, что только увеличивает костыльность решения. Сделаны они так из-за того, что программировать прокси, т.е. работать с потоками данных гораздо проще, чем обрабатывать отдельные пакеты, как того требует VPN.
С другой стороны у нас есть великий и могучий PPP, как в его обычном "L2"-виде, так и поверх UDP (L2TP). Он обеспечивает всё то, чего не хватает коммерческому сервису для эффективной инфраструктуры, а конечному пользователю для счастья: сессионность, аутентификация, туннелирование любых IP-протоколов в любые стороны, возможность терминирования на удалённом устройстве (настройка на бытовых роутерах, все поддерживают L2TP). С помощью него можно централизованно терминировать все возможные туннели, независимо от программы и протокола. Для него есть крутые коммерческие системы биллинга и доступа, операторского уровня.
Недоумеваю, почему никто не скрестил эти две вещи.
Туркменистан — это endgame в плане интернет-цензуры, в стране по сути
действуют вайтлисты. Это ситуация тяжелее, чем в Китае, чем в России,
чем в арабских странах — чем везде на планете, за исключением КНДР, где
вместо интернета действует интранет.
Тем не менее, даже в этой стране можно предоставлять VPN-сервис с помощью обычного немодифицированного OpenVPN. Достаточно поразмыслить над тем, почему туркменские ресурсы доступны с заблокированных диапазонов дата-центров и подумать, как это применить.
Вроде бы еще не заблокировали все подсети AWS и Azure, но это то что мы слышали полгода назад. Не знаем как сейчас обстоят с этим дела в Туркменистане.
Тоесть хочешь сказать, что та же панель 3X-ui от алирезы не рассчитана на скажем 500 юзеров под 1 сервер?
С другой стороны у нас есть великий и могучий PPP ... Недоумеваю, почему никто не скрестил эти две вещи.
Помниться, когда я пытался настроить PPP овер Етхернет в Linux, я чуть с ума не сошел. Этот вечно кривой pppoeconf и совершенно неюзабельный Network Manager, который ничего не запоминает и сам себя не понимает. Утилиты pon/poff которые непонятно при каких условиях срабатывают. Да, я в конце концов настроил, написал скрипты запуска-остановки соединения, но это походило на какое-то циничное издевательство.
Неудивительно, что разработчикам проще собственный криворукий proxy написать, чем объяснять пользователям как им с этим PPP управляться.
Карта без Крыма и новых территорий. Враги рисовали.
Я предпочту их "друзьям" из Роскомнадзора, которые лишают меня возможности подключаться к моему же личному арендованному серверу.
Причём, сервер вовсе не для обхода блокировок, там крутятся нужные мне сервисы (например персональный репозиторий F-Droid, небольшая личная база знаний) которые я не хочу выставлять в интернет для всеобщего доступа, поэтому к серверу подключаюсь через VPN-туннель. Т.е. я использую технологию VPN именно для того, для чего она изначально и была в своё время создана - для организации виртуальной "локалки" между двумя разнесёнными географически машинами.
Но, внезапно оказывается, что "товарищи" мешают мне это делать, причем, у них претензий ко мне вообще нет, у них претензии к тем, кто таким способом обходит блокировки, а мои неудобства, видите ли, всего лишь побочный ущерб. Такие товарищи мне совсем не товарищи.
Люди, рисующие карты, в свою очередь, не пытаются как-то меня ограничивать и вставлять мне палки в колёса.
Ага, а теперь попробуйте вернуть деньги за не оказанную техподдержку их дружеского оборудования с дружескими лицензиями. Или хотя бы просто зайти из РФ на сайт https://ark.intel.com/
А, товарищ из серии "моя хата с краю". Слушай, а тебя все в стране устраивает, и самая большая проблема, что твои серваки блочат? А ничего, что тут шатают и свободу слова и доступ к информации? Очень жаль твою инфраструктуру (на самом деле нет), но сейчас есть вещи понасущнее.
Сами выдумали соломенное чучело, сами его разбили, сами себя и похвалите тогда.
Я лично для распространения способов обхода блокировок среди населения сделал больше, чем многие другие - число плюсов к моим руководствам "как обходить блокировки РКН" на 4pda и форуме Keenetic говорит само за себя.
Скрытого подтекста в моем комменте не было - этот сервер действительно для обхода блокировок я не использую. Не потому что я кайфую от цензуры, а потому что для обхода я использую другой сервер.
Что касается Роскомнадзора - он должен быть разогнан, по этому вопросу не может быть компромиссов. А при каких условиях он будет разогнан, мы все и так понимаем
Блин, ну я почему-то прочел вот тот камент именно как «еще чего вздумали, свободу доступа к информации хотеть». Тогда — пардон. ?
А почему Роскомнадзор должен быть разогнан? В чем в этом смысл для государства?
Есть такая маргинальная теория, что любое министерство в составе государства должно иметь целью пользу для населения соответствующей страны, а не что-то иное.
Ну вы сами правильно сказали, что она маргинальная. Общественный договор не подразумевает то, что все что делает государство будет исключительно на пользу гражданам. Относитесь к нему как к любому другому договору и тогда будет понятно чего ожидать.
Хотя, цензура порой идет на пользу, потому что уменьшает вероятность массовых выступлений, госпереворотов и последующего коллапса экономики, когда населению резко становится нечего кушать. Зато свобода, равенство, братство.
Вроде бы.
На самом деле, свобода слова вещь очень обширная и очень мощная, как мы все имели возможность наблюдать, порой надо ограничивать ее, манипулируют людьми и манипулируют сильно, и к сожалению без фильтров никак. Так или иначе весь мир придет к фильтрации.
Зарегистрирован: 9 августа
"И работаем над модифицированным Raspberry Pi" - можете пояснить суть идеи?
Задача сделать маленькую коробочку которую волонтеры смогут подключать у себя дома к сети. Коробка будет проверять наши домены/IP на признаки блокировки. Проверки будут через команды ping / HTTP / TCP port. Это если коротко.
По идее, вы можете делать то же самое с помощью уже существующей инфраструктуры RIPE Atlas.
как вариант можно выложить инструкцию или даже готовый файл импорта для микротов
у них в рос7 появился вполне удобный нетвоч который умеет в том числе http/https проверки
icmp и tcp там тоже теперь есть
у многих стоят такие коробочки
почему бы не задействовать их?)
Пожалуйста, сделайте программную пробу на базе роутера с openWrt и распространяйте. Как в ripe atlas сделали. Что-то вроде такого:
http://www.kineta.nl/atlas/wr802n-write-up-v2.pdf
Эту бы инструкцию кто-нибудь перевел бы на русский язык.
А то в России проб ripe atlas все меньше и меньше становится.
Правда, если будет отслеживаться доступность запрещенных ресурсов, то возникает вопрос с безопасностью тех людей, у которых размещается проба.
Цитата отсюда:
https://roskomsvoboda.org/cards/card/ripe-atlas/
"Кроме того, отслеживание блокировок имеет «побочный эффект»: с зондов людей могут отправляться DNS-запросы на запрещённый в стране контент, что способно вызвать вопросы правоохранительных органов".
Еще есть globalcheck, который тоже блокировки отслеживает. Использует свои пробы на базе TL-MR3020.
Простые probe — вещь массово нежизнеспособная, т.к. не решен вопрос мотивации: человеку предлагается установить какое-то непонятное железо или виртуальную машину, которое его только обременяет, без чего-либо взамен. Годится только для энтузиастов.
Устройства периодически обязательно будут ломаться, если разработчик до этого не сделал пару встраиваемых систем и не набил шишек, либо же как минимум требовать ручной настройки, если endpoint'ы заблокируют или что-то вроде.
Я с полгода разрабатываю подобную систему, вот чего это мне стоило, и оно только-только приближается к релизу.
Это красиво. Удачи с релизом!
И тем не менее - думаю многие из ИТ поучаствовали бы. Причем как правило мотивация была бы "время на настройку", чем деньги - как правило ИТ все-таки худо-бедно на жизнь себе зарабатывают. Иными словами, если это готовый контейнер/*pack/deb|rpm/пакет WRT/пара строк в конфиге микротика/ - почему бы и да. Какая разница, что крутить, домашний микросервер или роутер все равно работают 24/7.
По-моему, Atlas не высылает зонды в РФ. Я уже не помню подробностей, но ещё до войны я пробовал податься добровольцем, и все было глухо.
Высылали. Другое дело, что они просили указать, в какой вы AS - потому что в некоторых концентрация маяков и так была более, чем достаточная.
Можно просто софтинку поставить на постоянно работающий сервачок. У меня так стояло дома в свое время. Помимо всего прочего было интересно смотреть, сколько времени мой зонд был недоступен (провайдер лежал)
У меня давно живет.
Физически в России
Вот только куда кредиты девать...
Попахивает GlobalCheck. Не думали с ними договориться?
Я бы попробовал ваш сервис, но не вижу чтоб можно было рублями оплатить на месяц.
В рублях можно только через https://vpnpay.io/ru/xeovo/
Там только 6 и 12 месяцев. Для меня не подходит, мне сначала нужно затестить сервис.
Тогда криптой на сайте https://xeovo.com/#pricing есть помесячная оплата (промокод HABR2023). Крипту можно купить за рубли.
Вы специально усложняете, чтобы клиентов поменьше было?)
Так VPN же запрещён в России (по крайней мере такой, как у xeovo), как, по вашему, незаконный сервис должен принимать рубли?
Формула простая - чем сложнее оплата, тем меньше клиентов)
Морщить нос когда на неполноценнлй карте только фантики? Вам аж 2 варианта предложили даже для таких вводных, но вам подавай "шоб как до 2022". Чудеса :)
Это и так очевидно. Я говорю, что ограничение тут со стороны законов страны, а не потому что владельцы сервиса почему-то хотят сделать нам неудобно, и не потому что они такие глупые и не догадались сделать приём рублями.
При регистрации e-mail опционален, но для оплаты через данный сервис он необходим, иронично.
А можно ли ваш VPN настроить на роутере, чтобы можно было подключать произвольные устройства, а не только те, на которые можно установить клиента?
Например у меня есть шлем виртуальной реальности Oculus. Для скачивания обновлений ему нужно подключатся к серверу кампании разработчика, который заблокирован.
На счёт quest не уверен, но на quest 2 можно ставить обычные APK с андроида. Думаю на андроид клиент появится раньше, чем на роутер(если мы говорим не про стандартные ipsec\wireguard а что-то РКН защищённое)
Зависит от роутера. Обычный WireGuard поддерживается многими роутерами.
Для Shadowsocks уже нужен роутер или на базе OpenWrt, или с поддержкой Entware (скажем, Keenetic). Xray поддерживается, емнип, только в OpenWrt, но при желании можно попросить, чтобы его собрали в Entware, они все равно берут пакеты из OpenWrt.
Из-за такого большого арсенала первые проблемы начались с тестированием рабочих GUI клиентов и составлением пользовательских инструкций для каждой операционной системы.
ИМХО
1) не нужны ни GUI клиенты ни инструкции для кучи ОС. приземлять VPN на конечное устройство это накладно и неудобно, гораздо лучше приземлять его на роутер чтобы все в домашней сети без дополнительных настроек могли пользоваться интернетом в полной мере (ну особняком ещё android/ios потому что ну ты же не всегда дома сидишь), поскольку большинство дефолтных прошивок для роутеров не годится их сразу отменяем и целимся на openwrt на которой можно сгородить что угодно, если пользователю нужен интернет он купит себе роутер с поддержкой owrt и прошьёт, если нет то и нет. сделайте репозиторий с пакетами для openwrt и напишите плагин к luci.
2) VPN сервис это конечно прикольная игрушка, но для любого человека имеющего небольшой хотя бы опыт в ИТ и инфобезе недоступная, куда как полезнее была бы возможность развернуть сие чудо на своей vps в гдеугодно.
3) настройка маршрутов: большинство vpn сервисов предлагают тоннель в который заворачивается 0.0.0.0/0 что ломает работу локальных ресурсов, за такое надо руки отрывать.
4) не нужно играться с самодельными пробами на базе малинки, есть же ripe atlas probes с уже готовой инфраструктурой, да и в конце концов ту же роль может выполнять ваш клиентский софт на openwrt клиента
большинство vpn сервисов предлагают тоннель в который заворачивается
0.0.0.0/0 что ломает работу локальных ресурсов, за такое надо руки
отрывать.
У локальных диапазонов на хостах должны быть свои, более конкретные маршруты - и тогда ничего 0/0 не поломает.
а причём тут локальные диапазоны?
госуслуги, конопоиск.. хренова гора сервисов ломается когда пытаешься зайти на них "из-за бугра"
Ваш первый комментарий был про маршрут 0.0.0.0/0 и локальные ресурсы. Локальные ресурсы - это те, которые находятся в одной локальной сети с вами, а вовсе не что-то, абстрактно располагающееся "в той же стране и недоступное из-за рубежа". Недоступным всё это стало по своей воле и руки тут если и ломать - то владельцам ресурсов, а не кому-то, связанному с VPN-сервисами.
Такие сервисы обычно и не рассчитаны на тех, кто легко всё может сделать сам.
1) не нужны ни GUI клиенты ни инструкции для кучи ОС. приземлять VPN на конечное устройство это накладно и неудобно, гораздо лучше приземлять его на роутер чтобы все в домашней сети без дополнительных настроек могли пользоваться интернетом в полной мере (ну особняком ещё android/ios потому что ну ты же не всегда дома сидишь)
Если приземлять на роутер, то на смартфон не нужно. Т.к. вы можете приземлить смартфон на свой роутер. Зачем вам отдельно маршрутами управлять на смартфоне и роутере(если вы конечно не хотите всё в VPN пулять)
Большая часть людей использует простые/дешевые роутеры которые не поддерживают VPN протоколы, или максимум только OpenVPN.
Полностью согласен, напомню что у нас нету фокуса на B2B, так бы сделали отдельную линейку специально под B2B клиентов.
Скажите пожалуйста, а можно сделать что-то вроде anonabox? И потом распространить такую прошивку? А то самостоятельно неподготовленному пользователю настроить сложно, а если будет что-то готовое, что потом останется только прошить... Идея с роутером, с которого раздается интернет на все домашние устройства и который сам будет направлять трафик "в обход" - очень мне нравится. А то чувствуется, очень скоро у нас тут все по настоящему заблокируют.
Да, можно. Есть компания которая разрабатывает роутеры специально под VPN и уже имеет интеграцию с разными VPN провайдерами
Проблема только в том что они поддерживают только WireGuard и OpenVPN. Мы конечно можем повторить их идею, но с фокусом только на stealth proxy, но для этого понадобится огромное количество ресурсов.
А обычное ssh туннелирование тоже блочат? Возможно, если не будет много подключений к одному ip, то тоже как протокол норм ?
По нашуму опыту - попадают. У нас закрытый VPN на OVHCloud, только для сотрудников, по whitelist IP адресов. Ровно также попал под блокировку в понедельник-вторник, когда начались ковровые блокировки. Active probing не пробивает, но похоже было что DPI определяет, что пакет идёт в формате OpenVPN и тупо дропает его.
У вас только клиент под разные платформы? Нет ли расширений для Chrome?
Привык, что из одного браузера работаю черз VPN (с буржуйскими ресурсами), а из другого "напрямую" со всякими РБК...
Или в клиенте можно указать "такое-то приложение bypass"?
Cамое лучшее время проверки качества ВПН Октябрь, обычно в Китаее перед съездом КПСС интернет мега режут ( трафик медленее становится).
Учитывать надо фактор сам по себе интернет "просядает" в определенное время=)
У меня сейчас wireguard крутится с номинальным кол-вом портов 3000 , бывает забаняет меняю порт. Насколько я понял , сама суть бана сводится к конкретному порту (кол-во трафика и время соеденения) . OpenVPN / LTP умерли , IPSEC постепенно забанили...
Вопрос не по теме. Но есть возможность использовать VPN на Windows для определенных приложений ?
У нас нет, пока не сделаем свой клиент. А так у других провайдеров фича называется обычно "split tunneling".
На кинетиках до определенной версии прошивки работала схема "в винде политиками трафик конкретных приложений помечаем метками, а на роутере заворачиваем помеченный трафик в VPN".
По-моему, где-то до версии 3.7 это работало.
СерверЫ.
А как можно будет зайти на сайт для оплаты или получения конфигурационного файла, если ваш сайт начнут нормально блокировать за предоставление инструментов обхода блокировок? Или вы договорились с РКН?;)
Если что можно через Tor http://xeovok4d6ehoclmlyviwuq7zlmcvucuekhrt2677r33ny2csyd4yldyd.onion/
Не получается оплатить рублями по ссылке https://vpnpay.io/en/xeovo/. Кнопка "Перейти к оплате..." приводит к ошибке:
Hidden text
Возникла ошибка
К сожалению, во время создания заказа произошла неизвестная ошибка. Пожалуйста, попробуйте еще раз
Разные ПК-броузеры: Едже, Файрфокс, разные параметры оплаты. Вот сейчас только что кнопка отработала, пробовал варианты (зачем мне на АК QR-код?), вернулся и всё, более не работает.
Спасибо что сообщили об ошибке! Команда VPNPay вроде бы устранила ошибку. Попробуйте сделать хард рефреш в браузере (CTRL+SHIFT+R).
Если проблема не решилась лучше всего писать на почту help@vpnpay.io
В связи с блокировкой OpenVPN недавно тоже интересовался, наткнулся на некий "комбайн" под названием Marzban. Развернул у себя на серваке, очень удобно, клиенты тоже можно найти под разные платформы.
Многа букав, но непонятно что в сухом остатке.
Есть кнопка, которую можно нажать, или прога , которую можно запустить и решить все проблемя?
Сухой остаток был прямо в начале:
В этот же день на Xeovo обвалилось огромное количество тикетов, но к вечеру, когда информация о новой волне блокировок VPN ещё продолжала расходиться по рунету, и СМИ ещё собирали статистику, которую мы здесь приводим, мы уже закрыли большую часть из них и соединение наших клиентов было восстановлено.
Xeovo отличный сервис. Ребята большие молодцы. Респектую.
Перестал сегодня работать на Теле 2 операторе. по вайфаю работает
Попробовал из Ханьчжоу, сервер в Корее. В принципе, скорость (30/30 мбит/сек) на уровне других провайдеров и собственного VPS . Смущает только один момент. Включил 4k видосик на ютубе, и загрузка вашего сервера подскочила с 2 до 33%. Т.е. больше 3-4 клиентов оно не потянет.
Как мы учились обходить блокировки VPN в Китае, чтобы быть готовыми к РКН