Уже несколько лет существует коробочное решение от Amnezia VPN c клиентами для Windows, Mac, Linux, Android и iOS (iOS не поддерживает Cloak).
Немного не актуальная информация, так как поддержку Cloak (а именно OpenVPN over Cloak, который в том числе позволяет настроить связку SS + Cloak в родном клиенте SS и не только) давно ввели для iOS (с версии 3.0.7, если не ошибаюсь).
Есть очень удобный self-hosted VPN - Amnezia VPN, который позволит установить свой VPN на свой сервер, есть как обычные OpenVPN и WG, так и OpenVPN over Cloak для обхода блокировок VPN-протоколов, к примеру.
В статье сказано, что бесплатные сервера или триал нужны для проверки работает ли VPN в России или нет.
У каждого сервиса, вроде бы, есть политика возврата, которая в целом дает возможность протестировать работоспособность сервиса на территории РФ, что позволит сделать необходимые выводы и либо вернуть средства, либо продолжить использование. Что мешает оплатить и проверить в таком случае?
Ну и достаточное количество форумов, материалов и сайтов, где можно посмотреть и почитать отзывы о том, работает сервис или нет, можно ли ему доверять и т.п.
Трафик HTTPS-прокси в целом выглядит как обычный интернет трафик, при этом HTTPS-прокси шифрует данные, но подвержен Active Probing, можно настроить и использовать dumbproxy, который имеет встроенную функцию против Active Probing, что делает его очень хорошей альтернативой VPN (на мой взгляд).
SOCKS5 достаточно быстрый протокол, который работает как с TCP, так и с UDP, но при этом не шифрует данные из коробки, я бы не назвал его устойчивым к DPI блокировкам, если брать именно SOCKS5, но если рассматривать именно сетевой протокол SOCKS на базе которого был создан Shadowsocks, то тут SOCKS-прокси > HTTPS-прокси.
SOCKS-прокси — сокращение от Socket Secure. В отличие от HTTP/HTTPS, протокол SOCKS создавался для передачи больших объемов трафика. SOCKS4 поддерживают только TCP-соединения. SOCKS5 поддерживает UDP, TCP, авторизацию по логину и паролю и удаленный DNS-запрос. В целом SOCKS5 считается более быстрой и безопасной альтернативой HTTP/HTTPS-прокси.
SOCKS-прокси из коробки не шифрует данные, то есть называть его более безопасным, чем HTTPS-прокси, просто некорректно. SOCKS5 поможет, чтобы обойти блокировки и скрыть IP-адрес, но никак не защитить данные и полностью вас анонимизировать.
Расширение для браузера. Многие VPN-провайдеры предлагают установить расширение в браузера. Это разновидность предыдущего способа.
Любой VPN-сервис, который называет свое расширение VPN-расширением - нагло врет, так как браузер просто не предоставляет инструментов, чтобы сделать этот самый VPN внутри браузера (вспоминаем, что даже Opera называла "VPN" в своем браузере VPN-ом, когда это оказалось неправдой), все подобные "VPN"-расширения используют либо SOCKS4/5, либо HTTP(S) прокси для того, чтобы помочь юзерам обойти блокировки.
Последний способ особенно опасен. К счастью, способы решения этой проблемы уже существуют. Это V2Ray, VMess, Cloak. Они делают трафик похожим на обычный.
VMess очень сильно устарел и в целом его возможно заблокировать (давно уже есть VLESS).
Рабочие VPN в России в 2023 году с оплатой криптой
Странно, что не был упомянут Red Shield VPN, который поддерживает оплату криптой (Bitcoin, Monero, TON), оплату РУ картами, а также является одним из самых живучих VPN-ов на территории РФ в том числе, также имеет на своем борту протокол с обфускацией трафика (RedLink Shadow), поддерживая использования данного протокола на всех платформах (iOS, Mac и др), тогда как иные сервисы чаще всего работают на обычном OpenVPN и WG, ну и IKEv2 иногда :)
На момент публикации этой статьи картина была следующая:
TorGuard- также поддерживает тариф с конфигурацией различных протоколов прокси устойчивых к DPI. Оплата криптой в доступе. Да и с доступом проблем нет.
Mullvad- имеют инструмент для обфускации трафика на Desktop, а также, если не ошибаюсь достаточно давно выпустили обновление для смартфонов, чтобы во время блокировок можно было подключаться к серверам (через их функцию Bridge).
Ну и забавно конечно, что вы приводите в статье гайд по настройке чистого OpenVPN, который при первом чихе со стороны цензора отвалиться и не будет работать.
А вот это просто оставлю здесь (избегайте бесплатного, но в "минусы " сервиса причисляется отсутствие бесплатных серверов O_o). Уж простите, но чтобы VPN-сервис смог предоставить качественную услугу ему нужно оплачивать сервера и труд разработчиков.
Избегайте бесплатных VPN. Бесплатные VPN всегда перегружены и зачастую небезопасны.
Недостаток его в том, что он использует старую версию Shadowsocks, которая имеет ряд уязвимостей и китайцы научились ее блочить (правда, мне кажется, наш РКН до такого еще не скоро дорастет, туповаты ребята).
К сожалению, реальность такова, что в некоторых регионах очень не массово, но тестировали/тестируют блокировку Shadowsocks, причем успешно, происходит это так отслеживаются трафик SS на хост, далее убеждаются, что там SS и блокируют на пару часов.
P.S - хотелось бы дополнить, что все, что описано здесь, смогут сделать и в РФ при большом желании.
Outline отличается от WireGuard тем, что он использует технологию виртуальной частной сети (VPN), а не тоннельное шифрование данных. Это делает его более безопасным, поскольку ваши данные могут быть защищены от прослушивания посторонними лицами.
То есть вы хотите сказать, что WireGuard могут прослушать и то что WG не является VPN-протоколом?
WireGuard является коммуникационным протоколом, который реализует зашифрованную виртуальную частную сеть (VPN). При этом работает только по UDP (из коробки). Шифрование в WG есть (ChaCha20). Достаточно зайти и немного почитать главную на сайте WireGuard :)
А Outline в свою очередь использует Shadowsocks (который не является VPN, а скорее очень сильно улучшенным Proxy), как протокол, который хоть также и шифрует данные, но при этом является настолько же уязвимым к блокировке, как и WG. Тут вопрос времени сколько ему осталось без массовых блокировок.
Если говорить про маскировку VPN трафика в целом, то можно смотреть в сторону Cloak, VLESS и прочего (на Habr есть отличная серия статей на этот счет - 1, 2, 3, 4).
Если важно маскировать именно WireGuard трафик, то очень неплох wstunnel.
Shadowsocks не выход, если делать какие-то предположения на будущее, так как его умеют вычислять и блокировать (если мы говорим про РФ, то уже были успешные не массовые тесты), но как выход в текущей ситуации, достаточно неплохо.
А зачем автору подключаться по SSH, если за него это делает Amnezia? На картинках видно, что вводится Логин:Пароль от купленного сервера, а потом выбирается протокол, который установится за пользователя.
Продукт опенсорный и никто не мешает использовать их докеры вручную, чтобы установить VPN, но Автор статьи приводит пример с их приложением, которое облегчает ручную настройку собственного VPN.
Автор использует сервис AmneziaVPN, который сам подключается к купленному серверу по SSH, устанавливает туда Docker-контейнер с протолом, который вы выбрали и все, VPN и сервер полностью настроены и готовы к работе.
Кстати, у них есть свой блог на Хабр, где можно подробнее изучить суть работы их приложения.
Использование TypeScript, Vue, React и Webpack для сборки никак не влияют на отказ в публикации. Главное, в таком случае - это корректно описать команды для сборки проекта, чтобы проверяющим вручную не пришлось думать самостоятельно (как раз из-за отсутствия корректно плана сборки чаще всего и заворачивают "без объяснения причин", но никак не из-за использования TS или Webpack)
Команда Censor Tracker как раз занимается сбором таких ресурсов. В одном из будущих обновлении функция проксирования такой категории сайтов должна будет появиться.
Отличная статья, спасибо!
Насколько я знаю можно завернуть OpenVPN, Shadowsocks, а также видел, что кто-то пытался и WireGuard в него заворачивать, но не знаю, успешно ли...
Немного не актуальная информация, так как поддержку Cloak (а именно OpenVPN over Cloak, который в том числе позволяет настроить связку SS + Cloak в родном клиенте SS и не только) давно ввели для iOS (с версии 3.0.7, если не ошибаюсь).
Отличная статья, спасибо!
Да, есть - Red Shield VPN, TrustZone VPN, Mullvad VPN, Cactus VPN (назван в статье), TorGuard, Xeovo VPN
Есть очень удобный self-hosted VPN - Amnezia VPN, который позволит установить свой VPN на свой сервер, есть как обычные OpenVPN и WG, так и OpenVPN over Cloak для обхода блокировок VPN-протоколов, к примеру.
У каждого сервиса, вроде бы, есть политика возврата, которая в целом дает возможность протестировать работоспособность сервиса на территории РФ, что позволит сделать необходимые выводы и либо вернуть средства, либо продолжить использование. Что мешает оплатить и проверить в таком случае?
Ну и достаточное количество форумов, материалов и сайтов, где можно посмотреть и почитать отзывы о том, работает сервис или нет, можно ли ему доверять и т.п.
Трафик HTTPS-прокси в целом выглядит как обычный интернет трафик, при этом HTTPS-прокси шифрует данные, но подвержен Active Probing, можно настроить и использовать dumbproxy, который имеет встроенную функцию против Active Probing, что делает его очень хорошей альтернативой VPN (на мой взгляд).
SOCKS5 достаточно быстрый протокол, который работает как с TCP, так и с UDP, но при этом не шифрует данные из коробки, я бы не назвал его устойчивым к DPI блокировкам, если брать именно SOCKS5, но если рассматривать именно сетевой протокол SOCKS на базе которого был создан Shadowsocks, то тут SOCKS-прокси > HTTPS-прокси.
Расширения FastProxy и FriGate нельзя считать безопасными.
SOCKS-прокси из коробки не шифрует данные, то есть называть его более безопасным, чем HTTPS-прокси, просто некорректно. SOCKS5 поможет, чтобы обойти блокировки и скрыть IP-адрес, но никак не защитить данные и полностью вас анонимизировать.
Любой VPN-сервис, который называет свое расширение VPN-расширением - нагло врет, так как браузер просто не предоставляет инструментов, чтобы сделать этот самый VPN внутри браузера (вспоминаем, что даже Opera называла "VPN" в своем браузере VPN-ом, когда это оказалось неправдой), все подобные "VPN"-расширения используют либо SOCKS4/5, либо HTTP(S) прокси для того, чтобы помочь юзерам обойти блокировки.
VMess очень сильно устарел и в целом его возможно заблокировать (давно уже есть VLESS).
Странно, что не был упомянут Red Shield VPN, который поддерживает оплату криптой (Bitcoin, Monero, TON), оплату РУ картами, а также является одним из самых живучих VPN-ов на территории РФ в том числе, также имеет на своем борту протокол с обфускацией трафика (RedLink Shadow), поддерживая использования данного протокола на всех платформах (iOS, Mac и др), тогда как иные сервисы чаще всего работают на обычном OpenVPN и WG, ну и IKEv2 иногда :)
Xeovo - поддерживает конфигурацию различных протоколов прокси устойчивых к DPI (о чем они писали в своей статье на Habr). Принимают оплату в крипте.
TorGuard - также поддерживает тариф с конфигурацией различных протоколов прокси устойчивых к DPI. Оплата криптой в доступе. Да и с доступом проблем нет.
Mullvad - имеют инструмент для обфускации трафика на Desktop, а также, если не ошибаюсь достаточно давно выпустили обновление для смартфонов, чтобы во время блокировок можно было подключаться к серверам (через их функцию Bridge).
Ну и забавно конечно, что вы приводите в статье гайд по настройке чистого OpenVPN, который при первом чихе со стороны цензора отвалиться и не будет работать.
А вот это просто оставлю здесь (избегайте бесплатного, но в "минусы " сервиса причисляется отсутствие бесплатных серверов O_o). Уж простите, но чтобы VPN-сервис смог предоставить качественную услугу ему нужно оплачивать сервера и труд разработчиков.
Вы про установку SS на роутер с поддержкой Entware?
Если я правильно понял, то вот недавно статью выпустили (только там пускают WG over SS).
Про SS-2022 не так много знаю. Мое сообщение было про старый SS, который используется в Outline и большинством юзеров.
К сожалению, реальность такова, что в некоторых регионах очень не массово, но тестировали/тестируют блокировку Shadowsocks, причем успешно, происходит это так отслеживаются трафик SS на хост, далее убеждаются, что там SS и блокируют на пару часов.
P.S - хотелось бы дополнить, что все, что описано здесь, смогут сделать и в РФ при большом желании.
То есть вы хотите сказать, что WireGuard могут прослушать и то что WG не является VPN-протоколом?
WireGuard является коммуникационным протоколом, который реализует зашифрованную виртуальную частную сеть (VPN). При этом работает только по UDP (из коробки). Шифрование в WG есть (ChaCha20). Достаточно зайти и немного почитать главную на сайте WireGuard :)
А Outline в свою очередь использует Shadowsocks (который не является VPN, а скорее очень сильно улучшенным Proxy), как протокол, который хоть также и шифрует данные, но при этом является настолько же уязвимым к блокировке, как и WG. Тут вопрос времени сколько ему осталось без массовых блокировок.
Печально, что Trojan, чистый Shadowsocks и VMess уже могут заблокировать...
Но NaiveProxy смотрится очень интересно для запуска на OpenWRT.
Есть отличная статья, где можно узнать про разные подобные протоколы и что с ними можно сделать)
P.S - статья по настройке очень интересная, спасибо Вам за нее!
Если говорить про маскировку VPN трафика в целом, то можно смотреть в сторону Cloak, VLESS и прочего (на Habr есть отличная серия статей на этот счет - 1, 2, 3, 4).
Если важно маскировать именно WireGuard трафик, то очень неплох wstunnel.
Shadowsocks не выход, если делать какие-то предположения на будущее, так как его умеют вычислять и блокировать (если мы говорим про РФ, то уже были успешные не массовые тесты), но как выход в текущей ситуации, достаточно неплохо.
А зачем автору подключаться по SSH, если за него это делает Amnezia? На картинках видно, что вводится Логин:Пароль от купленного сервера, а потом выбирается протокол, который установится за пользователя.
Продукт опенсорный и никто не мешает использовать их докеры вручную, чтобы установить VPN, но Автор статьи приводит пример с их приложением, которое облегчает ручную настройку собственного VPN.
Автор использует сервис AmneziaVPN, который сам подключается к купленному серверу по SSH, устанавливает туда Docker-контейнер с протолом, который вы выбрали и все, VPN и сервер полностью настроены и готовы к работе.
Кстати, у них есть свой блог на Хабр, где можно подробнее изучить суть работы их приложения.
Использование TypeScript, Vue, React и Webpack для сборки никак не влияют на отказ в публикации. Главное, в таком случае - это корректно описать команды для сборки проекта, чтобы проверяющим вручную не пришлось думать самостоятельно (как раз из-за отсутствия корректно плана сборки чаще всего и заворачивают "без объяснения причин", но никак не из-за использования TS или Webpack)
Здравствуйте!
Команда Censor Tracker как раз занимается сбором таких ресурсов.
В одном из будущих обновлении функция проксирования такой категории сайтов должна будет появиться.