Да. sing-box используют как ядро малое количество клиентов, почти все используют xray-core, в котором tun появился недавно и 1. Работает не на всех ОС 2. Не настраивает маршруты
Поэтому все как использовали tun2socksили аналоги, так и используют
А причем тут DPI, если речь идет про локальный socks5? После локального socks5 может быть что угодно, будь то vless, wireguard или любой другой прокси или VPN протокол.
Это совершенно другое и нацелено на то, что бы еще больше запутать ТСПУ, т.к. потенциально оба этих потока могут вообще идти через разных провайдеров, но в конце они всегда будут отправляться/скачиваться с одного сервера. Конкретно для вышеописанного детекта прокси никаких других вариатов кроме как делать еще один прокси чейн нет.
Есть. Завернуть трафик на IP-адреса телеги в туннель. Туннель можно как поднять на роутере (если owrt/mikrotik/keenetic и некоторые другие), так и на отдельном устройстве.
Аренда на землю, где стоят вышки бесплатная? Электричество на поддержание ядра сети и собственно, базовых станций бесплатное? Инженеры, которые не смотря на то, что вышки отключены все равно должны находится на своих рабочих местах для включения/отключения и проведения прочих работ бесплатные? Арендованные радиочастоты у государства бесплатные?
Во первых, что бы хоп был виден - он должен отвечать/отправлять ICMP, что отключается двумя правилами nft или iptables. Во вторых - большая "классических" VPN сейчас либо заблокирована, либо чувствует себя не очень хорошо. Большая часть пользователей сейчас использует прокси протоколы, а именно VLESS, ShadowSocks. Они чисто технически не могут передавать ICMP пакеты.
apple/google и прочих разработчиков мобильных операционных систем важно давать знать об этом другим приложениям для корректной работы, это нормальная практика
Ужасная практика. По хорошему понимание должно приходить по определению доступности какого-либо healthcheck сервиса, который доступен исключительно изнутри корпоративной (VPN) сети.
Это направлено исключительно против приватных прокси. Крупные сервисы и так уже не выпускают в интернет с тех же адресов, на которые принимают подключения, особенно для белых списков
Всех неугодных (или угодных) найти не получится. Да и почему вы вдруг решили, что mmg.whatsapp.net неугодный домен? Что, если какие-то сервисы требуют его (или любой другой домен) для корректной работы?
Может 'пока' не делают, а может и делают, но пока это не обнаружили, т.к. явно все внимание приковано к МАКС'у. Госуслуги вон уже давно при подключении с зарубежных адресов требует поставить макс и блочит аккаунт на 72 часа, так что они вполне себе используют тактику обнаружения IP-адресов.
Проблема в том, что зачастую IP выходного сервера (которая, как говорится в статье, часто совпадает с входным) РКН сможет на всех ТСПУ глобально раскатывать блокировку определенного IP. Поэтому для корректной работы придется ставить за этим сервером еще однин, который никак не связан с российскими IP адресами. Говоря простым языком - плата за прокси/VPN вырастет в два раза.
Да. sing-box используют как ядро малое количество клиентов, почти все используют xray-core, в котором tun появился недавно и
1. Работает не на всех ОС
2. Не настраивает маршруты
Поэтому все как использовали tun2socksили аналоги, так и используют
TUN режим в таких клиентах - это ничто иное как socks5 на локальном порту и интерфейс, созданный tun2socks, который и ходит в этот прокси.
По умолчанию торчит открытый 1080, но можно поменять на произвольный: настройки => прокси => порт
Вот только что мешает другим приложением кинуть 65535 проб на все порты 127.0.0.1 для выявления локального socks5?
А причем тут DPI, если речь идет про локальный socks5? После локального socks5 может быть что угодно, будь то vless, wireguard или любой другой прокси или VPN протокол.
Это совершенно другое и нацелено на то, что бы еще больше запутать ТСПУ, т.к. потенциально оба этих потока могут вообще идти через разных провайдеров, но в конце они всегда будут отправляться/скачиваться с одного сервера. Конкретно для вышеописанного детекта прокси никаких других вариатов кроме как делать еще один прокси чейн нет.
Есть. Завернуть трафик на IP-адреса телеги в туннель. Туннель можно как поднять на роутере (если owrt/mikrotik/keenetic и некоторые другие), так и на отдельном устройстве.
Аренда на землю, где стоят вышки бесплатная? Электричество на поддержание ядра сети и собственно, базовых станций бесплатное? Инженеры, которые не смотря на то, что вышки отключены все равно должны находится на своих рабочих местах для включения/отключения и проведения прочих работ бесплатные? Арендованные радиочастоты у государства бесплатные?
Правдивы. Мой хостер один из первых отлетел в 16кб еще в прошлом году - с определенными sni блокировки нет.
Во первых, что бы хоп был виден - он должен отвечать/отправлять ICMP, что отключается двумя правилами nft или iptables.
Во вторых - большая "классических" VPN сейчас либо заблокирована, либо чувствует себя не очень хорошо. Большая часть пользователей сейчас использует прокси протоколы, а именно VLESS, ShadowSocks. Они чисто технически не могут передавать ICMP пакеты.
Ниже есть комментарий от одного из разработчиков протокола. https://habr.com/ru/news/1006950/comments/#comment_29622680
Ужасная практика. По хорошему понимание должно приходить по определению доступности какого-либо healthcheck сервиса, который доступен исключительно изнутри корпоративной (VPN) сети.
Если последний и предпоследний сервер будут не в РФ - то последнему будет по барабану на его блокировки со стороны РФ. Трафик то на него не из РФ идет
Это направлено исключительно против приватных прокси. Крупные сервисы и так уже не выпускают в интернет с тех же адресов, на которые принимают подключения, особенно для белых списков
ТСПУ не может подменить вам HTTPS запрос без явного предупреждения от браузера.
Ну или если вы удосужились поставить корневик минцифры в систему - тогда очень даже может.
Почти все выходные TOR-узлы умеют в ipv6
Всех неугодных (или угодных) найти не получится. Да и почему вы вдруг решили, что mmg.whatsapp.net неугодный домен? Что, если какие-то сервисы требуют его (или любой другой домен) для корректной работы?
Может 'пока' не делают, а может и делают, но пока это не обнаружили, т.к. явно все внимание приковано к МАКС'у. Госуслуги вон уже давно при подключении с зарубежных адресов требует поставить макс и блочит аккаунт на 72 часа, так что они вполне себе используют тактику обнаружения IP-адресов.
Все адреса не перебаните. На крайний случай ВК сами могут арендовать зарубежный хост для определения IP и на него стучаться.
Проблема в том, что зачастую IP выходного сервера (которая, как говорится в статье, часто совпадает с входным) РКН сможет на всех ТСПУ глобально раскатывать блокировку определенного IP. Поэтому для корректной работы придется ставить за этим сервером еще однин, который никак не связан с российскими IP адресами. Говоря простым языком - плата за прокси/VPN вырастет в два раза.