Может работать как SOCKS-прокси(для доступа в Yggdrasil) и пробрасыватель портов на узлы Yggdrasil (последнее я не пробовал). Tun-устройство не делает, слот VPN не занимает.
Да понятно, что можно руками настроить любых туннелей, причем благодаря mesh-у даже GRE становится вполне себе отказоустойчивым без всяких цисковых приблуд - ибо поиск маршрута до remote-точки туннеля перекладывается на сам mesh - значит пока хоть какой-нибудь путь есть туда - живём(пусть и не быстро).
Хотелось бы встроенного функционала, чтоб не конфигурять в куче мест, но я понимаю - "не цель" :-)
Я лично замечал когда HTTP/3 подымал на своих сервисах - что браузеры начинают "болеть" при доступе на них на некоторых провайдерах. Сервера как в РФ, так и зарубежом, провайдеры разные, но все в РФ. При этом если пробовать достучаться до зарубежного сервера с других места(не из РФ) - всё тип-топ. А самая дичь - что это непостоянно и не везде такие проблемы, что добавляет увлекательности отладке. Глазеть на то, что значительная часть пакетов по UDP/443 не долетает до точки назначения - веселого мало.
Ну WS-транспорт может быть полезным чтобы подольше от DPI прятаться. Другие варианты имеют уж очень приметные сигнатуры, а QUIC бывает целиком отсыхает из-за РКН - вот тут да, в наших реалиях он бесполезен.
Да, "это не цель Yggdrasil" (c), но все же если что-то работает - оно имеет право на жизнь.
По теме - мне надо обязательно найти время пощупать. Отсутствие CKR в go-реализации - это то, из-за чего у меня боль-дырка-задница
Если прикидываться пингами "на всю котлету"(максимально возможный MTU) - порежут легко такое на ТСПУ. А если кидать стандартные 64 байтные пакеты, то, во-первых скорость будет полное говно, а во-вторых по количеству пакетов это тоже будет аномалия и это тоже порежут легко и непринужденно.
ICMP и DNS-туннели были нишевым вариантом когда ни о каких DPI и речи не шло.
Возможности работы с большими каталогами пользователей AD/ALD
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
DoT рубится по сигнатурам. DoH отрезать сложнее, но у нас по условиям задачи уже гипотетическая ситуация где более HTTPS. А в случае DNSSEC - насколько я понимаю вы будете защищены от только от подмены. Задача регулятора при борьбе с такими записями стоит не в том чтобы прислать вам какую-то подмененную запись - задача не доставить вам эту запись вообще.
В этом и заключается принципиальная разница между нами. Вы считаете что даже в текущей ситуации надо бороться играя с системой-шулером на ее поле краплеными картами. Я же считаю что в текущей ситуации пистолет с одной пулей эффективнее исправляет несправедливый приговор - потому что законных способов это сделать нет, а так хотя ьы страдать из-за несправедливости не будешь.
Если не смущает интерфейс все в одном - то есть Retroshare. Правда оно desktop-only(мобильного интерфейса нет) и когда я еще им пользовался - вменяемого режима для запуска без GUI(на сервере) у него не было.
Справедливости ради(не защищая конкретно ФБК) - борьба с коррупцией на определенных масштабах ИМХО не может быть аполитичной сама по себе.
Нет, если мы говорим о взяточничестве третьего заместителя семнадцатого секретаря усть-переп*дюйского райкома - то конечно может. Но как только цели становятся крупнее - возникают всякие нюансы
Все тоже самое - создаете УЦ любым удобным для вас способом, подписывайте им сертификат с нужными вами EKU и добавляете этот сертификат везде в доверенные издатели(ЕМНИП в Windows оно называется так).
Важное примечание: без Timestamp-сервера в подпись Powershell-скрипта не зашивается дата, когда скрипт был подписан. Из-за чего вам придется переподписывать все скрипты при прокисании codesign-сертификата. Если это устраивает - ок. Если нет - подумайте о разворачивании Timestamp-сервера (они есть как в составе некоторые сетевых УЦ, так и standalone-реализации)
>Но почему-то ни для кого это не является проблемой
Еще как является, только сделать с этом ничего нельзя. Но это не значит что об этой проблеме надо перестать говорить. Как и о проблеме написания говнокода с помощью ИИ.
Рут через Zygisk прекрасно скрывается
Update: опередили
Есть Yggstack-android (https://github.com/DrewCyber/yggstack-android/)
Может работать как SOCKS-прокси(для доступа в Yggdrasil) и пробрасыватель портов на узлы Yggdrasil (последнее я не пробовал). Tun-устройство не делает, слот VPN не занимает.
Да понятно, что можно руками настроить любых туннелей, причем благодаря mesh-у даже GRE становится вполне себе отказоустойчивым без всяких цисковых приблуд - ибо поиск маршрута до remote-точки туннеля перекладывается на сам mesh - значит пока хоть какой-нибудь путь есть туда - живём(пусть и не быстро).
Хотелось бы встроенного функционала, чтоб не конфигурять в куче мест, но я понимаю - "не цель" :-)
Я лично замечал когда HTTP/3 подымал на своих сервисах - что браузеры начинают "болеть" при доступе на них на некоторых провайдерах. Сервера как в РФ, так и зарубежом, провайдеры разные, но все в РФ. При этом если пробовать достучаться до зарубежного сервера с других места(не из РФ) - всё тип-топ. А самая дичь - что это непостоянно и не везде такие проблемы, что добавляет увлекательности отладке. Глазеть на то, что значительная часть пакетов по UDP/443 не долетает до точки назначения - веселого мало.
Ну WS-транспорт может быть полезным чтобы подольше от DPI прятаться. Другие варианты имеют уж очень приметные сигнатуры, а QUIC бывает целиком отсыхает из-за РКН - вот тут да, в наших реалиях он бесполезен.
Да, "это не цель Yggdrasil" (c), но все же если что-то работает - оно имеет право на жизнь.
По теме - мне надо обязательно найти время пощупать. Отсутствие CKR в go-реализации - это то, из-за чего у меня боль-дырка-задница
Лучше быть луддитом, но с данными, чем продвинутым пользователем без них
VLESS + Reality - это уже прошлый век. XHTTP с Self-steal поактуальнее будет
Если прикидываться пингами "на всю котлету"(максимально возможный MTU) - порежут легко такое на ТСПУ. А если кидать стандартные 64 байтные пакеты, то, во-первых скорость будет полное говно, а во-вторых по количеству пакетов это тоже будет аномалия и это тоже порежут легко и непринужденно.
ICMP и DNS-туннели были нишевым вариантом когда ни о каких DPI и речи не шло.
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
Хотите изобрести второй DeltaChat? :-)
DoT рубится по сигнатурам.
DoH отрезать сложнее, но у нас по условиям задачи уже гипотетическая ситуация где более HTTPS.
А в случае DNSSEC - насколько я понимаю вы будете защищены от только от подмены. Задача регулятора при борьбе с такими записями стоит не в том чтобы прислать вам какую-то подмененную запись - задача не доставить вам эту запись вообще.
В этом и заключается принципиальная разница между нами. Вы считаете что даже в текущей ситуации надо бороться играя с системой-шулером на ее поле краплеными картами. Я же считаю что в текущей ситуации пистолет с одной пулей эффективнее исправляет несправедливый приговор - потому что законных способов это сделать нет, а так хотя ьы страдать из-за несправедливости не будешь.
Если не смущает интерфейс все в одном - то есть Retroshare. Правда оно desktop-only(мобильного интерфейса нет) и когда я еще им пользовался - вменяемого режима для запуска без GUI(на сервере) у него не было.
Конституции РФ, статья 55, пункт 3: кроет статью 29 как за нефиг делать. Ибо меру определить в других законах можно легко и непринужденно.
Так DPI небось на базе DPDK построены
Справедливости ради(не защищая конкретно ФБК) - борьба с коррупцией на определенных масштабах ИМХО не может быть аполитичной сама по себе.
Нет, если мы говорим о взяточничестве третьего заместителя семнадцатого секретаря усть-переп*дюйского райкома - то конечно может. Но как только цели становятся крупнее - возникают всякие нюансы
Все тоже самое - создаете УЦ любым удобным для вас способом, подписывайте им сертификат с нужными вами EKU и добавляете этот сертификат везде в доверенные издатели(ЕМНИП в Windows оно называется так).
Важное примечание: без Timestamp-сервера в подпись Powershell-скрипта не зашивается дата, когда скрипт был подписан. Из-за чего вам придется переподписывать все скрипты при прокисании codesign-сертификата. Если это устраивает - ок. Если нет - подумайте о разворачивании Timestamp-сервера (они есть как в составе некоторые сетевых УЦ, так и standalone-реализации)
Так у SSTP известные сигнатуры есть. Например можно посмотреть как это дело проверяет NMAP:
https://svn.nmap.org/nmap/scripts/sstp-discover.nse
>Но почему-то ни для кого это не является проблемой
Еще как является, только сделать с этом ничего нельзя. Но это не значит что об этой проблеме надо перестать говорить. Как и о проблеме написания говнокода с помощью ИИ.
В тред врывается английское слово Folder. Его как тогда переводить будем? По устоявишмся сейчас канонам это вроде как и есть "Папка"