Xray может работать в режиме КВН и поднимать tun0. Или вы используете режим прокси, чтобы не раскрыть адрес VPS? Я пока склоняюсь к тому, что риск раскрытия IP сервера - это проблема сервера, и соответственно решать ее нужно на сервере. Возможно выходить через Cloudflare WARP, или арендовать дополнительный IP/VPS. Ну и в крайнем случае, если с настройкой выхода ничего не выйдет или если она невозможна, можно скачать Chrome Beta (Beta будет жить без КВН) и установить все ру приложения как PWA (в браузере кнопка Добавить на главный экран). И хоба, это теперь по сути сайты и никакого tun0 им не увидеть. Но надо смотреть, что там у PWA по уведомлениям и насколько ими в целом удобно пользоваться. Хотя благодаря блокировкам приложений в App Store думаю многие PWA должны быть очень достойными. В итоге можно будет держать Xray в режиме КВН с tun0, распространив на приложения без встроенной поддержки прокси и не рискуя спалить адрес. Замороченно, но все еще удобнее, чем носить 2 телефона.
Это да, пока думаю, что с этим делать. Из самых дешевых вариантов (без аренды дополнительного IP/VPS) приделать на выход cloudflare warp, но не знаю, какие у такого варианта подводные камни
Если в правилах роутинга указано, что конкретные домены идут через КВН, а все остальное мимо, то любой новый IP определятор от шпионов на vps в любой стране мира просто покажет домашний IP пользователя
А тут уже писали про путь /cdn-cgi/trace от всех сайтов на Cloudflare. Даже если все IP-чекеры направлены в директ, выудить IP можно через Cloudflare-сайт из списка исключений для квн, в ответе есть ip=xxx.xxx.xxx.xxx:
Проверить сайт на связь с Cloudflare можно так, в ответе есть server: cloudflare:
curl -I https://chatgpt.com
И если server: cloudflare, то автоматически есть путь /cdn-cgi/trace, и если сайт не режет к нему подключения, то мы попали. Я пыталась в xray сделать такое правило роутинга, но оно не работает (это вроде только для http работает, не для https, но я могла не разобраться):
И если к tun0 в итоге может подключиться кто угодно, то вносить в квн-лист такие сайты можно только на компе, где нет ру приложений, а может и на компе нельзя.
Подскажите, может ли любое приложение сделать запрос через tun0, или оно может только увидеть наличие tun0? Если никто левый (для кого tun0 не назначен интерфейсом по умолчанию) не может сделать запрос, то должно быть достаточно трёх простых вещей: разделение по приложениям, роутинг с whitelist для квн и прокси с авторизацией. А то что есть квн - ну есть и есть, IP никто не узнает, а по одному включенному системному флагу банить не должны, может у меня адблок или я свои пакеты перехватываю и анализирую, это тоже квн. А вот если через tun0 кто угодно может делать запросы, то всё очень плохо и никакой роутинг не спасет.
У меня оказалась утечка quic, xray его не принимал и он шел мимо. Но странно, запросы и так не проходили из-за dpi, а в итоге сверху ещё и бан давали белыми списками, неожиданно и неприятно
А точно ли провайдер не видит квн? У меня есть пример с местным провайдером в одном городе. Вот на какие конфиги хватило фантазии: 1) ru-blocked на свободу, остальное в директ; 2) то же самое, но YouTube отдельно в прокси от byebyedpi (по сути директ с порчей пакетов); 3) ru-blocked на сервер в России (как тут на схемах) и оттуда на свободу, остальное прямо с устройства в директ. Минуту работает YouTube, после чего интернет накрывает белым списком (да-да, проводной!): не работает даже поиск в гугл, но вк без проблем. После перезагрузки роутера интернет опять работает (серый и белый), но стоит загрузить что-нибудь в YouTube - опять белые списки. Пока не могу разгадать, на моем провайдере все три конфига работают. X-ray+VLESS+Reality
Судя по роутингу, запрос 2ip.io выдает адрес впн, и любой подключенный к роутеру телефон с максом может спокойно слить ip. Лучше роутинг "перевернуть" и geosite:ru-blocked заворачивать в впн, а по умолчанию сделать путь в директ. Хотя лучше не лениться и прописать категории нужных сайтов руками (geosite:youtube, geosite:telegram и т.д.). Вдруг список geosite:ru-blocked просто бесконечно разрастается и старые адреса никто не проверяет, и ушлый ркнщик найдет уже неиспользуемый домен из этого списка и запилит на нем ip чекер? А приложения встроят к себе обращения на него, и поймают всех с простым роутингом geosite:ru-blocked -> vpn. Он конечно может и новый домен создать и заблокировать, но вроде при добавлении в geosite:ru-blocked есть какая-то модерация сообществом? И свежий ноунейм сайт надеюсь не пропустят
Хорошее приложение, сижу на нем 2 месяца, но не подключала аутентификацию прокси, и роутинг по умолчанию вел в впн (был white list для директ). Как в статье и написано, из стороннего приложения через прокси на локалхосте или tun0 можно было спокойно вычислить выходной адрес. Настроила аутентификацию прокси и поменяла принцип роутинга: white list для впн и все остальное по умолчанию в директ. Еще на всякий случай geosite:category-ip-geo-detect тоже в директ. В настройках приложения можно заменить адреса получения geoip и geosite на runetfreedom и заюзать в роутинге geosite:ru-blocked. Красота :)
Учитывая простоту реализации апи и приложения, есть большие сомнения, что там сидят какие-то гении, способные написать нормальную проверку на накрутку, они, кажется, особо и не пытались, либо такой цели и не стояло. Сомнений по поводу листинга по этой причине не меньше) Реализовано слишком просто, зато маркетинг на высоте, скорее всего, вместо обещанного листинга всех юзеров в итоге попытаются под тем или иным соусом "продать" биржам
Только не все сайты пускают с IP Cloudflare. Chat GPT не пускает и показывает плашку, как при подключении из РФ
Xray может работать в режиме КВН и поднимать tun0. Или вы используете режим прокси, чтобы не раскрыть адрес VPS? Я пока склоняюсь к тому, что риск раскрытия IP сервера - это проблема сервера, и соответственно решать ее нужно на сервере. Возможно выходить через Cloudflare WARP, или арендовать дополнительный IP/VPS. Ну и в крайнем случае, если с настройкой выхода ничего не выйдет или если она невозможна, можно скачать Chrome Beta (Beta будет жить без КВН) и установить все ру приложения как PWA (в браузере кнопка Добавить на главный экран). И хоба, это теперь по сути сайты и никакого tun0 им не увидеть. Но надо смотреть, что там у PWA по уведомлениям и насколько ими в целом удобно пользоваться. Хотя благодаря блокировкам приложений в App Store думаю многие PWA должны быть очень достойными. В итоге можно будет держать Xray в режиме КВН с tun0, распространив на приложения без встроенной поддержки прокси и не рискуя спалить адрес. Замороченно, но все еще удобнее, чем носить 2 телефона.
Это да, пока думаю, что с этим делать. Из самых дешевых вариантов (без аренды дополнительного IP/VPS) приделать на выход cloudflare warp, но не знаю, какие у такого варианта подводные камни
Если в правилах роутинга указано, что конкретные домены идут через КВН, а все остальное мимо, то любой новый IP определятор от шпионов на vps в любой стране мира просто покажет домашний IP пользователя
У меня клиент от https://github.com/SaeedDev94/Xray, и тут есть авторизация прокси, но к сожалению никакой защиты tun0
А тут уже писали про путь
/cdn-cgi/traceот всех сайтов на Cloudflare. Даже если все IP-чекеры направлены в директ, выудить IP можно через Cloudflare-сайт из списка исключений для квн, в ответе естьip=xxx.xxx.xxx.xxx:Проверить сайт на связь с Cloudflare можно так, в ответе есть
server: cloudflare:И если
server: cloudflare, то автоматически есть путь/cdn-cgi/trace, и если сайт не режет к нему подключения, то мы попали. Я пыталась в xray сделать такое правило роутинга, но оно не работает (это вроде только для http работает, не для https, но я могла не разобраться):И если к
tun0в итоге может подключиться кто угодно, то вносить в квн-лист такие сайты можно только на компе, где нет ру приложений, а может и на компе нельзя.Для ютуба тоже где-то в комментах на хабре скидывали такой чекер - https://redirector.googlevideo.com/report_mapping.
Подскажите, может ли любое приложение сделать запрос через tun0, или оно может только увидеть наличие tun0? Если никто левый (для кого tun0 не назначен интерфейсом по умолчанию) не может сделать запрос, то должно быть достаточно трёх простых вещей: разделение по приложениям, роутинг с whitelist для квн и прокси с авторизацией. А то что есть квн - ну есть и есть, IP никто не узнает, а по одному включенному системному флагу банить не должны, может у меня адблок или я свои пакеты перехватываю и анализирую, это тоже квн. А вот если через tun0 кто угодно может делать запросы, то всё очень плохо и никакой роутинг не спасет.
У меня оказалась утечка quic, xray его не принимал и он шел мимо. Но странно, запросы и так не проходили из-за dpi, а в итоге сверху ещё и бан давали белыми списками, неожиданно и неприятно
А точно ли провайдер не видит квн? У меня есть пример с местным провайдером в одном городе. Вот на какие конфиги хватило фантазии: 1) ru-blocked на свободу, остальное в директ; 2) то же самое, но YouTube отдельно в прокси от byebyedpi (по сути директ с порчей пакетов); 3) ru-blocked на сервер в России (как тут на схемах) и оттуда на свободу, остальное прямо с устройства в директ. Минуту работает YouTube, после чего интернет накрывает белым списком (да-да, проводной!): не работает даже поиск в гугл, но вк без проблем. После перезагрузки роутера интернет опять работает (серый и белый), но стоит загрузить что-нибудь в YouTube - опять белые списки. Пока не могу разгадать, на моем провайдере все три конфига работают. X-ray+VLESS+Reality
Судя по роутингу, запрос 2ip.io выдает адрес впн, и любой подключенный к роутеру телефон с максом может спокойно слить ip. Лучше роутинг "перевернуть" и geosite:ru-blocked заворачивать в впн, а по умолчанию сделать путь в директ. Хотя лучше не лениться и прописать категории нужных сайтов руками (geosite:youtube, geosite:telegram и т.д.). Вдруг список geosite:ru-blocked просто бесконечно разрастается и старые адреса никто не проверяет, и ушлый ркнщик найдет уже неиспользуемый домен из этого списка и запилит на нем ip чекер? А приложения встроят к себе обращения на него, и поймают всех с простым роутингом geosite:ru-blocked -> vpn. Он конечно может и новый домен создать и заблокировать, но вроде при добавлении в geosite:ru-blocked есть какая-то модерация сообществом? И свежий ноунейм сайт надеюсь не пропустят
Можно настроить список приложений и выбрать mode: exclude / include
Хорошее приложение, сижу на нем 2 месяца, но не подключала аутентификацию прокси, и роутинг по умолчанию вел в впн (был white list для директ). Как в статье и написано, из стороннего приложения через прокси на локалхосте или tun0 можно было спокойно вычислить выходной адрес. Настроила аутентификацию прокси и поменяла принцип роутинга: white list для впн и все остальное по умолчанию в директ. Еще на всякий случай geosite:category-ip-geo-detect тоже в директ. В настройках приложения можно заменить адреса получения geoip и geosite на runetfreedom и заюзать в роутинге geosite:ru-blocked. Красота :)
Учитывая простоту реализации апи и приложения, есть большие сомнения, что там сидят какие-то гении, способные написать нормальную проверку на накрутку, они, кажется, особо и не пытались, либо такой цели и не стояло. Сомнений по поводу листинга по этой причине не меньше) Реализовано слишком просто, зато маркетинг на высоте, скорее всего, вместо обещанного листинга всех юзеров в итоге попытаются под тем или иным соусом "продать" биржам