Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 133
сейчас в список попали серверы с Xray из чистой сети, где раньше не запускали незащищённые протколы типа Wireguard и OpenVPN.
Незаметность xray зависит от рук, его установивших. Может там начиная от порта нетипичного и sni палевного или вовсе торчащей морды, заканчивая отсутствием сплит туннелирования. Active probing со стороны РКН никто не отменял.
Инфы по настройкам обнаруженных проксей нету.
А как по объему понять что там квн?
Смотришь ты с компьютера такой видео, или просто поставил музычку с ютуба в масимальном качестве и вот уже у тебя 20-30 гигов за пару часов. Так что для просмотра видеостриминга нужно прикидываться другим видеостримингом. Иначе видно.
Вот это поворот, на моем впн сервер так же работает мой личный WebRTC стриминг :D
https://github.com/Glimesh/broadcast-box
Ну, допустим, у меня там же ещё nextcloud висит. С фильмами разнообразными. Вот и трафик.
И как объёмы трафика увидит ркн?
Никак, без участия самого провайдера.
Видимо, в этом и есть причина отказа от клиентов?
Что мешает ркн отписаться хостеру "по площадям" на основании статистики трафика?
А хостер - клиентам...
Может там начиная от порта нетипичного и sni палевного или вовсе торчащей морды, заканчивая отсутствием сплит туннелирования
достаточно того, что сосед будут криворукие, и тогда логично с тз РКП будет /16 забанить, что и сделали
Скорее всего просто опросили все порты 443 для подсети и составили список все microsoft, google, yahoo и т.п. которые там нашлись
На моём сервере ничего из этого не было, но могли заметить одну жирную TCP-сессию без мультиплексирования или трафик на госресурсы с этого IP, когда забываешь отключить КВН.
А директ не судьба настроить на госресурсы?
В случае с клиентом - зависит от клиента, условно в 99% случаев это остаётся дефолтной настройкой, и в большинстве случаев в этой дефолтной настройке нет роутинга напрямую.
В случае с сервером - надо покупать VPS в РФ и настраивать цепочку, либо входную (РФ -> не-РФ), либо выходную (не-РФ -> РФ).
Я к тому, что это тоже телодвижения - либо со стороны юзера, либо со стороны админа.
Ну вот как минимум криво настроенные правила как на клиенте(не настроен список на direct), так и на сервере(дропать)
кроме госресурсов есть тындекс-метрики всякие.
надо делить глобально, я сразу виртуалку завёл, на каждой килсвич.
Тут всё просто: там во время установки предлагают поставить панель, ставится она на один и тот же порт, 90% юзеров не меняют порт, адрес, не ставят локально. Поэтому на подсетях Аезы банально почти всех можно так спалить банально по открытому порту панели
Да, я и говорю, морда торчит. Вообще было бы правильнее предупреждать пользователя о необходимости переконфигурировать панель на локалхост, можно даже с примером порт форвардинга через ssh. Торчащая во вне панель в принципе логически противоречит идее маскировки, да и просто нафиг не нужна там, лишняя поверхность для атаки.
В случае сабжа спрятанная морда не спасает. Да и в последнее время SSH туннель так же безбожно рубился почти сразу после соединения. Да и просто в консоли что-то сделать по ssh было невозможно. Сразу после принудительной смены ip адреса со стороны сабжа.
Так никто и не говорит, что спрятанная морда это волшебная пилюля. Просто еще один признак для обнаружения.
Несколько зарубежных vps в пользовании, особых проблем с ssh нету, кроме шейпинга трафика. Но для того, чтобы достаточно комфортно на вебморду зайти или сделать что-либо в тпрминале.
Правда, последнее время (несколько месяцев) стал внезапно обрыв сессии происходить при неактивности больше 2-10 минут (рандомно) и настройка keepalive не помогает вообще. Не знаю, dpi это или на сервере что-то внезапно поломалось, вешаю просто top/something similar для поддержания коннекшена, но надо tcpdump глянуть, конечно.
А может и руки были прямые, просто IP адрес попал в один диапазон с сотней криворуких соседей, и РКН недолго думая выписал предписание на всю подсеть. В этой игре можно проиграть просто из-за плохого соседства
Инфа по обнаруженной проксе из личного опыта:
VPS в Aeza не в РФ
Установлен X-UI
Вебморда X-UI торчит в интернет на кастомном порту 50000+
Вебморда X-UI не "спрятана" за "secret URL"
Хост доступен по SSH 22/tcp из Интернет
Хост не слушает 80/tcp
X-UI слушает на 443/tcp VLESS Reality Inbound (SNI yahoo.com или какой-то подобный)
VLESS клиенты подключаются к прокси из РФ из датацентров хостинг провайдеров (2 клиента)
В данном случае, проигнорированы все требования по маскировке.
AEZA прислала уведомление с требованием устранить нарушение в течение 24 часов.
я думаю - что просто ключ vless утёк на github как-то
Кто и зачем вообще пользуется этим хостингом?
Там же вроде всё настолько плохо, что даже хеллоуворлды размещать стремно. А VPN у российского хостинга размещать это вообще идея на миллион, что же блинб могло пойти не так?
А VPN у российского хостинга размещать это вообще идея на миллион, что же блинб могло пойти не так?
Так а какие варианты, если нет иностранной Visa/Mastercard?
думаю просто стоит пофиксить эту проблему
Крипта и криптокарты)
Конечно, такие обходные пути будут подороже, но как будто бы цена self-hosted VPN и так и сяк будет неуклонно расти — в том числе благодаря более хитрым блокировкам протоколов и провайдеров РКН
Есть один хостинг(эстонский) принимает оплату из РФ, в том числе и СБП, 5$ в мес. за
CPU 1 - Xeon 2.20 GHz
RAM 1 Gb
Диск 20GB SSD
1 белый ip (трафик безлимитный)
Я даже понял про какой эстонский хостинг вы говорите. Вот только часть его адресов похоже попали под блокировку. Пинги идут, ssh работает, а все остальное режется. Даже обычный файл по http не качает. Хотя раньше все работало. Это сервер в Финляндии.
Странно, всё то же самое - в ноябре за 2.9$ в месяц. GeoIP, правда, почему-то Белград.
Покупка криптовалюты российской картой на белорусских сайтах-обменниках (это легальные обменники) и оплата хостинга криптовалютой.
Крипта/завести карту/некоторые иностранные хостинг принимают оплату по сбп
Так есть готовые ВНК, платишь и у тебя появляется доступ.
Есть куча хостингов зарубежных с оплатой криптой. Тот жу freakhosting
Криптовалюта
Другие ру-хостинги с DC вне России.
Крипта. И да - купить в России крипту НЕ рискуя на треугольники нарваться и P2P-переводы - вполне можно. Например через белорусов (у них в дополнение с поддержкой МИР даже прямо интеграция с ру-банками некоторыми сделана). KYC проходить придется, по российскому паспорту вполне проходится.
Ну или - сделать блин эту иностранную карту, нет я не про рекламу которой полон интернет вида "напишите нам доверенность и дайте 30к и мы вам дадим" и не про способы с получением загранкарт в банках - это ж делать надо и сложно (хотя белорусские там вполне без визита открываются и с оплатой комиссий - банку).
а про сервисы вроде https://platipomiru.com/. делается вообще на раз, UI вообще в телеграме, пополнение по СБП, комиссии правда...злые весьма.
У меня кстати Технические Средства Предотвращения Угроз Цензуры живут на как раз российской конторе (не aeza) у которой серверы вне России (IP кстатит бьется как русский). Ну и резерв - xeovo
крипта, дропы, покупка готовых верефицированных иностранных кошельков с панельного для пополнения от продавцов.
Правильно выше написали, для многих пользователей в РФ, у которых нет зарубежной карты, российские хостеры единственный доступный варик
Я пользуюсь. Там промо-тариф предлагает достаточно неплохую виртуалку за копейки.
работает через одно место все, чтобы пользоваться сервером в Европе надо взять второй в России 😆, у меня там 2 промки, обе только через double работают и больше никак, даже после последней смены адресов.
Да, такая схема куда надёжнее.
Только что будем делать, когда на тспу, через которые датацентры подключены, те же правила развернут?
Не развернут, их пропускной способности не хватает для ДЦ трафика
Каналы всем пользователям рунета обрабатывать хватает, а на дц не хватит?
Что за чушь. ТСПУ стоит у провайдеров, у которых копеечный трафик от клиентов по сравнению с ДЦ. И никакой "рунет" они не обрабатывают, нет его. Обработка происходит в точках входа клиентского трафика. Я уж не говорю о том, какие коммутатор стоят в ДЦ и какое говно стоит у провайдеров.
ТСПУ стоит у провайдеров, у которых копеечный трафик от клиентов
И сколько этот «копеечный» трафик у Ростелекома или Домру в миллионике?
Кстати, провайдеры с аплинками меньше 10Гбит/с вообще освобождены от установки ТСПУ.
И никакой "рунет" они не обрабатывают, нет его
Сформулирую так: фактически весь трафик российских пользователей интернета (а это несколько десятков миллионов человек) проходит через ТСПУ
Я уж не говорю о том, какие коммутатор стоят в ДЦ и какое говно стоит у провайдеров
Вы про подъездные свитчи что ли? Причём тут они, ТСПУ не в подъезде ставится.
В ядре сети у провайдеров те же циски и джупитеры, ну сейчас ещё и хуавеи.
del
А как обходить белые списки? Один из узлов входа (даже если он не конечный) должен быть внутри белого списка, правильно? Как быть, если все иностранные дата-центры (будут) закрыты?
Белый список - это точечный список хостов, а не диапазонов. Там есть только конкретные сайты, которые разрешены, и прикинуться ими не получится
К счастью, пока это не совсем так. Конкретно российские "Белые списки" реализованы у всех провайдеров по-разному, где-то диапазоны, где-то прокатывает даже SNI подменить. Сам не пробовал, но историй об этом видел немало...
Да и взять тот же вкантакте — там же сотни хостов и сервисов должны быть доступны для нормальной работы, начиная от VKID заканчивая их видео-хостингом. Поддержка полноценных белых списков такими темпами превращается в очень увлекательное приключение (и ни у кого на это ресурсов толком не хватает, во всяком случае пока что)
Целесообразность белых списков при таких обстоятельствах вызывает крайне много вопросов, конечно))0
Почему? Тот же sni и айпищник из той же подсети?
Потому что вы не сможете получить ip из сети хоста, которым прикидываетесь. Потому что там все диапазоны в выкупленных ASN юрлиц
У меня такое впечатление что под VPN им и пользовались многие. Там даже инструкции по настройке VLESS(!) и прочее прямо в Kb
Но я о них узнала первых раз из других источников, а именно - поиском кому писать abuse report на спам на мой почтовый сервер. Их многие спамеры использовали (может и сейчас используют).
Больше интересно как РКН научился находить VPN-серверы для направления списков хостингам
Так сами российские сервисы ("организаторы распространения информации" или как их там) небось в РКН и сливают ip аккаунтов, кто у них заходит то из Москвы, то через 10 минут из Амстердама. Автоматизировать такое стукачество достаточно тривиально.
предположение на кофейной гуще..
ранее Аеза очень лояльно отнеслась к услугам прокси, это и раздача бесплатного хостинга, и "терминатор", и быстрые шаблоны для создания, развёртывания услуг. В результате, название Аеза стало популярным и разошлось по многочисленным пабликам. Всё это способствовало тому, что РКН просто внесла адреса хостинга в чёрный список. Спустя время, хомячки видя, что услуги не работают, перестали платить, а новым пользователям не продать услугу, если к ней нет доступа с территории РФ. Вот они и "сели в лужу", и пытаются как-то выплыть. Ничего личного, просто бизнес.
Ничего себе, недорогой. 5 евро в месяц... Похоже пишут именно тем, на кого Роскомнадзор пожаловался.
И при этом "евро" у них всегда 130р) Забавно что за такие деньги можно уже взять реально зарубежный хостинг, а не российский с какой-то левой компанией в Европе
260 рублей в месяц за промо, что уже близко к платному КВН, но там будет тормозить половина ресурсов и постоянные капчи из-за коммунального IP.
Не в месяц, а за месяц при покупке на сколько-то лет. Аеза всегда с душком, а теперь они просто кинули всех своих пользователей, ибо почти все они брали инсты под впн.
Просим принять соответствующие меры по устранению нарушения.
Просим прекратить работу в этом участке диапазона...
Прогнулись, че сказать. В целом то позиция понятная, они российский хостер, работающий в российском правовом поле, спорить с РКН себе дороже, проще пожертвовать сегментом VPN-энтузиастов, чем рисковать блокировкой всей подсети и потерей белых клиентов
В одном из чатов выложили их жалобу на РКН месячной давности и рассылка может быть реакцией цензоров на неё.
Также само наличие VPN не является нарушением, многие так обходят геоблокировки в ChatGPT, Gemini и других сервисов не из реестра запрещенных сайтов.
Aeza не использую, но панель настроена хорошо, только 3 порта ssh 80 и 443 reality есть и маскируется под мой же сайт, стоит haproxy для этого, и резервные xhttp grpc wss тоже присутствуют за длинным путем мультиплекс присутствует
Аеза в целом после инцидента с изъятием сервером умерла. Затем их КВН перестал работать без doublekvn, что уже стоило под 1к. Спокойно нашел за куда меньшие деньги стабильного нормального хостера. А в чате аезовцы грозили, что вот-вот, и на днях у всех перестанут работать квны... Ага.
не знаю чему они там не рады, но у них же продается влесс/аутлайн на сайте, 1 профиль - 5 локаций
То есть предполагается, что я на свой сервер, допустим, должен ходить только через ssh? И светить 22 портом на весь мир
А может кто то вообще подсказать норм хостинг? в принципе даже если картой visa/MasterCard оплачивать то тоже норм, просто я лично не знаю нормальных хостингов которые ещё не попали под блокировку в РФ, а про иностранные вообще ничего не слышал, желательно до 10 долларов что нибудь
Тут можешь посмотреть — inferno(dot)name, там довольно много, но есть и реселлеры. Ищи с Looking Glass, чтобы проверить доступность и латентность. Основная проблема в хостингах сейчас, что они начали трафик считать и на дешёвых тарифах ограничения 1-2 Tb, но можно найти и безлимитные.
lowendbox(dot)com тут по Black Friday ещё можно успеть урвать минимальную VPSку за $12/год
в тг-чате амнезии квн часто пишут о дешевых прокси
Serverhunter в помощь
Больше интересно как РКН научился находить VPN-серверы для направления списков хостингам
После запрещения поиска экстремистских материалов, мизулинский лепрозорий "Лига безопасного интернета" ищет на помойках просторах рунета способы обхода блокировок и отстукивает сообщает куда надо. Ботов и кривых инструкций (которые не отдают ошибку 451) с рефералками на VPS расплодилось, как блох на дворняге.
Оставлю это здесь
Необходимо удалить VPN, либо ограничить доступ к запрещенным ресурсам, либо любым другим способом сделать так, чтобы на ТСПУ не было замечено, что указанный IP используется для обхода блокировок
Ну так пользователь ответит, что через этот VPN доступ к запрещённым ресурсам и так ограничен.
Как РКН узнает, какие ресурсы через этот VPN доступны, они же не могут к нему подключиться (если пользователь не идиот и настроил какую-то авторизацию). Никакое ТСПУ не может достоверно определить, есть там обход блокировок или нет.
Вообще, интересно, этот пассаж про ТСПУ пришёл от Роскомнадзора или это уже додумка некоего Валерия из аезы? Если первое, то Роскомнадзор попросту врёт, а если второе, то Валерию стоит поменьше додумывать. Было бы неплохо, если бы компания выложила оригинал письма, которое им пришло.
Хорошая мысль. Вот только хостер может посмотреть логи трафика и убедиться, что была связь с запрещенными сервисами.
Хотя с другой стороны, можно сказать, что трафик не является частью VPN-соединения и это они точно не докажут
Вот только хостер может посмотреть логи трафика
Именно. То-то и оно, что без вмешательства хостера РКН не может узнать, есть там доступ к запрещённым ресурсам или нет.
Стало быть либо они просто просканировали подсеть и все адреса, на которых обнаружили наличие VPN, подали хостеру как "там обход блокировок" (а это не факт, т.к. отличить обход от необхода они без помощи хостера не могут), либо хостер нам врёт и всё было иначе: никаких конкретных адресов хостеру не присылали, а приказали "сам найди в своей подсети тех, кто обходит блокировки".
В общем, как говорится в известном анекдоте "одна черепашка <лжёт>". Интересно, какая из.
Лооол, я месяц назад отказался от этого хостинга, специально не оплатил сервер и его через сутки сразу удалили) А раньше был срок неделя до удаления. Короче вовремя мигрировал 😄
Подтверждаю, клоуны. Причём никакого впна у меня нет, просто играюсь с сервером и живу не в России.
С каких пор аеза стала недорогим хостингом осталось выяснить
Аеза на квн пользователях только и кормилась. Кто будет там проекты хостить? :)
На самом деле неудивительно. Как только провам прилетают официальные списки, они всегда играют в сторону регулятора. А вот то, что РКН научился ловить Xray в чистой /16 это уже тревожный звоночек
Как я люблю смешной КВН (порно режим)
Пока в поддержке предлагают удалить VPN-сервер и прислать скриншот для подтверждения устранения "нарушения"
А скриншот нотариально заверенный или обычный?
У меня аеза месяца 3 назад отрыгнула
Ничего не понимаю...
Т.е. если ты сам поднял ВПН на аезе - это плохо со стороны РКН. А если ты купил у аезы ВПН - норм. Так?
Это потому что у вас панели торчат наружу. Убирайте панели срочно. Если ты сам поднял квн, то зачастую по инструкции, и заходишь в свою панель свободно. Порт панели не должен торчать наружу, делается ssh проброс порта. А ещё потому что вы делаете туда себе домены mysupervpnserver и vless_ivashka
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Aeza начала блокировать хостинг за использование VPN