Из белосписочной виртуалки в облаке яндекса/вк можно трафик перегонять на российский VPS который вне БС, а уж с него перекидывать дальше зарубеж. Наверно, палева будет меньше. Но мне кажется, что эти облака вскоре тотально пофиксят, а удачливым людям IP заменят на другие, вне диапазонов БС.
Я вот жду когда уже сделают КВН мимикрирующий под Макс, передавая через их сервера данные в виде аудио/видеозвонка. Конечно, придется иметь целых два аккаунта, с которого звонишь (для клиента на телефоне), и кому звонишь (серверная часть). Да и сходу видится возможность детектирования таких звонков по длительности, необычному содержимому, от чего аккаунты вмиг забанят. Но как мысленный эксперимент забавно.
Я вас прекрасно понимаю, но от меня что требуется? Самостоятельно обойти белые списки, за вменяемые деньги, уже почти невозможно. В моём регионе пока их почти не вводят, и я просто поделился своим опытом. Естественно всё рухнет, если их введут на постоянку.
Ну и обфускацию внутри РФ - оно тут совсем ненужно, это дикий оверхед
Я чуть выше писал, у меня WireGuard туннель отвалился внутри России (Москва -> Владимирская обл.). Пришлось маскировать трафик, чтобы камеры на даче смотреть. Так что даже внутри РФ надо морочиться, увы.
Билайн, Москва. Подозреваю, что у вас нет маскировки трафика до роутера и его шейпят как подозрительный. Сам был озадачен, когда у меня в начале года отвалился простой WireGuard тонель с дачи до дома. Пришлось ставить амнезию и маскироваться под QUIC, и это просто чтобы блин смотреть камеры дачные.
Если едешь в метро пару часов не используя его вайфай, легко и 100Гб будет в месяц. Там и думскроллинг тиктока/шортсов/рилсов, и мультики китайские через браузер, и видосы с новостных пабликов телеграмма...
Это может сделать за вас лицо, имеющее технический доступ к вашему VPS (админка гипервизора у майора), на котором крутится КВН, а вы даже и не заметите, особенно если раз настроили и забыли на долгие месяцы. Шучу, я не настолько параноик.
Если честно, без понятия. Но в любом случае лучше покупать свой роутер, т.к. даже простая прошивка для обновления, по идее, запрещена на арендованном провайдерском оборудовании. Да и железо в них не самое лучшее. В идеале брать за 8-10к что-то поддерживающее OpenWRT, и по сути получаешь мини-пк с пассивным охлаждением и linux на борту.
Согласен, хранить любую чувствительную информацию (ключи доступа к впн, логи посещаемых сайтов и т.д.) на российских серверах, мне кажется довольно абсурдно. В любой момент в дата-центр придут сливовики, и у них всё будет как на ладони. Лучше просто взять самый дешевый тариф ради белого ру IP, и через него перекидывать трафик на сервер в другой юрисдикции.
Пример конфигурации редиректа на RU VPS.
#Разрешаем перенаправление трафика
sysctl -w net.ipv4.ip_forward=1
sysctl -p
#Устанавливаем iptables
apt install iptables iptables-persistent
#Вместо 77.77.77.77 надо ввести IP российского VPS, на котором выполняются эти команды.
#Вместо 55.55.55.55 надо ввести IP зарубежного VPS и заменить 4500 порт в обеих строчках на ваш бывший vpn-новский что-то там.
#Название интерфейса eth0 можно глянуть через ip addr или ifconfig, т.к. может отличаться.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 55.55.55.55:4500
iptables -t nat -A POSTROUTING -p tcp --dport 4500 -j SNAT --to-source 77.77.77.77
#Сохраняем правила, даже после перезагрузки.
netfilter-persistent save
#Теперь пакеты, отправляемые на [RU_VPS] 77.77.77.77:433 уходят на [EN_VPS] 55.55.55.55:4500
По идее, если дома серый IP, вам в любом случае нужен какой-то внешний промежуточный сервер с белым IP, чтобы пробить NAT и сформировать две сессии вида: Случайный_Мобильный_IP:[случайный порт] -> Известный_Серверный_IP:[известный порт] Случайный_Домашний_IP:[случайный порт] -> Известный_Серверный_IP:[известный порт]
И уже тогда можно из мобильной сети попасть в домашнюю, с помощью маршрутизации. Но учитывая, что за связь (мобильную и домашнюю) ценник уже давно перевалил за 1000р/мес, лишние пару сотен, за услугу статического IP, погоды не сделают.
Наверно им мешает нежелание РУ-провайдеров участвовать в этой схеме? К ним же первыми придут, когда произведут контрольную закупку популярного ВПН, а там точкой входа окажется дата-центр в Питере.
Лично у меня так: - На телефонах стоят клиенты AmneziaWG (iOS/Android) которые подключаются к домашнему роутеру на OpenWRT с белым IP. - На роутере настроена раздельная маршрутизация, частично по этой статье, которая гонит заблокированный трафик на подкроватный сервер. - На сервере, в podman контейнерах, настроены несколько vpn (warp, зарубежный VPS, ssh-socks5 из https://huggingface.co/spaces). Для удобства маршрутизации, каждый контейнер имеет свой IP через macvlan и отвечает за разные CIDR, т.к. ютуб лучше смотреть через WARP, ибо тогда нет рекламы, нейросети лучше через huggingface гнать, а остальное через свой VPS зарубежный уходит.
В итоге, дома просто через Wi-Fi доступны ютуб/телеграм и т.д. А на улице, подключаешься к домашней сети через AWG туннель, и это не агрит ТСПУ, т.к. для него всё в рамкой ру-региона видится.
Конечно, сам так сделал довольно давно, но ради доступа к домашнему серверу и внутренним сервисам. Однако, стоимость статического IP у домашних провайдеров, уже давно дороже промо-тарифов на VPS-ки. Но зато полный контроль и безопасность, т.к. все ключи/конфиги лежат на собственном оборудовании.
Отдайте скрипт в любой толковый AI, он вам его пошагово распишет.
Так вот, такой статьи на самом деле и не хватает на хабре. Причем чтобы это был именно самый распространенный кейс: купил VPS, выбрал в настройках предустановленную debian/ubuntu, залогинился и начал ручками настраивать awg 2.0.
Просто лично для меня, знакомство с амнезией началось с инструкции по настройке её на роутер. Естественно на роутере она мне не была нужна, но первая часть про настройку на VPS мне очень пригодилась. Потом я уже стал ковыряться конечно в других статьях, и даже ваш скрипт смотрел, но всегда мне казалось, что что-то я упускаю, какие-то важные детали. По сути, нужно ведь просто взять условный мануал https://wiki.debian.org/WireGuard и переработать под амнезию 2.0, с вот этими вот тонкостями, типа ловли QUIC заголовков в wireshark для создания маскировки.
Бааалин. Так надеялся, что эта статья будет пошаговое руководство, повторяющее внутрянку amneziawg-install.sh только с разбором тонкостей и ручным вводом команд... А тут снова curl script.sh | sudo bash
И кстати, а чем под Аднроид не угодило дефолтное приложение AmneziaWG?
Нет, к сожалению это просто схожие термины. Получая белый IP у домашнего провайдера, он не будет в белых списках, при введении ограничений.
Как я понял, ВК усложняет капчу на звонки не по дням, а по часам: https://github.com/MYSOREZ/vk-turn-proxy-android/issues/26#issuecomment-4199792629
Боюсь, к концу месяца эта лавочка будет прикрыта окончательно, как в своё время с телемостом произошло.
Блин, немного ошибся в примере. Вместо
sysctl -pнадоecho "net.ipv4.ip_forward = 1" >> /etc/sysctl.confИз белосписочной виртуалки в облаке яндекса/вк можно трафик перегонять на российский VPS который вне БС, а уж с него перекидывать дальше зарубеж. Наверно, палева будет меньше. Но мне кажется, что эти облака вскоре тотально пофиксят, а удачливым людям IP заменят на другие, вне диапазонов БС.
Я вот жду когда уже сделают КВН мимикрирующий под Макс, передавая через их сервера данные в виде аудио/видеозвонка. Конечно, придется иметь целых два аккаунта, с которого звонишь (для клиента на телефоне), и кому звонишь (серверная часть). Да и сходу видится возможность детектирования таких звонков по длительности, необычному содержимому, от чего аккаунты вмиг забанят. Но как мысленный эксперимент забавно.
Я вас прекрасно понимаю, но от меня что требуется? Самостоятельно обойти белые списки, за вменяемые деньги, уже почти невозможно. В моём регионе пока их почти не вводят, и я просто поделился своим опытом. Естественно всё рухнет, если их введут на постоянку.
Я чуть выше писал, у меня WireGuard туннель отвалился внутри России (Москва -> Владимирская обл.). Пришлось маскировать трафик, чтобы камеры на даче смотреть. Так что даже внутри РФ надо морочиться, увы.
В этой ветке мы обсуждаем как будут выкручиваться пользователи платных готовых решений, если введут этот лимит на трафик.
Контрольная закупка же. Или вы думаете РКН не покупает популярные КВН решения, чтобы изучать их методы маскировки?
Билайн, Москва. Подозреваю, что у вас нет маскировки трафика до роутера и его шейпят как подозрительный. Сам был озадачен, когда у меня в начале года отвалился простой WireGuard тонель с дачи до дома. Пришлось ставить амнезию и маскироваться под QUIC, и это просто чтобы блин смотреть камеры дачные.
Если едешь в метро пару часов не используя его вайфай, легко и 100Гб будет в месяц. Там и думскроллинг тиктока/шортсов/рилсов, и мультики китайские через браузер, и видосы с новостных пабликов телеграмма...
Это может сделать за вас лицо, имеющее технический доступ к вашему VPS (админка гипервизора у майора), на котором крутится КВН, а вы даже и не заметите, особенно если раз настроили и забыли на долгие месяцы. Шучу, я не настолько параноик.
Если честно, без понятия. Но в любом случае лучше покупать свой роутер, т.к. даже простая прошивка для обновления, по идее, запрещена на арендованном провайдерском оборудовании. Да и железо в них не самое лучшее. В идеале брать за 8-10к что-то поддерживающее OpenWRT, и по сути получаешь мини-пк с пассивным охлаждением и linux на борту.
Согласен, хранить любую чувствительную информацию (ключи доступа к впн, логи посещаемых сайтов и т.д.) на российских серверах, мне кажется довольно абсурдно. В любой момент в дата-центр придут сливовики, и у них всё будет как на ладони. Лучше просто взять самый дешевый тариф ради белого ру IP, и через него перекидывать трафик на сервер в другой юрисдикции.
Пример конфигурации редиректа на RU VPS.
Да, если повезло и домашний провайдер не использует двойной nat, то конечно можно воспользоваться dyndns.
По идее, если дома серый IP, вам в любом случае нужен какой-то внешний промежуточный сервер с белым IP, чтобы пробить NAT и сформировать две сессии вида:
Случайный_Мобильный_IP:[случайный порт] -> Известный_Серверный_IP:[известный порт]
Случайный_Домашний_IP:[случайный порт] -> Известный_Серверный_IP:[известный порт]
И уже тогда можно из мобильной сети попасть в домашнюю, с помощью маршрутизации. Но учитывая, что за связь (мобильную и домашнюю) ценник уже давно перевалил за 1000р/мес, лишние пару сотен, за услугу статического IP, погоды не сделают.
Наверно им мешает нежелание РУ-провайдеров участвовать в этой схеме? К ним же первыми придут, когда произведут контрольную закупку популярного ВПН, а там точкой входа окажется дата-центр в Питере.
Лично у меня так:
- На телефонах стоят клиенты AmneziaWG (iOS/Android) которые подключаются к домашнему роутеру на OpenWRT с белым IP.
- На роутере настроена раздельная маршрутизация, частично по этой статье, которая гонит заблокированный трафик на подкроватный сервер.
- На сервере, в podman контейнерах, настроены несколько vpn (warp, зарубежный VPS, ssh-socks5 из https://huggingface.co/spaces). Для удобства маршрутизации, каждый контейнер имеет свой IP через macvlan и отвечает за разные CIDR, т.к. ютуб лучше смотреть через WARP, ибо тогда нет рекламы, нейросети лучше через huggingface гнать, а остальное через свой VPS зарубежный уходит.
В итоге, дома просто через Wi-Fi доступны ютуб/телеграм и т.д. А на улице, подключаешься к домашней сети через AWG туннель, и это не агрит ТСПУ, т.к. для него всё в рамкой ру-региона видится.
Конечно, сам так сделал довольно давно, но ради доступа к домашнему серверу и внутренним сервисам. Однако, стоимость статического IP у домашних провайдеров, уже давно дороже промо-тарифов на VPS-ки. Но зато полный контроль и безопасность, т.к. все ключи/конфиги лежат на собственном оборудовании.
Так вот, такой статьи на самом деле и не хватает на хабре. Причем чтобы это был именно самый распространенный кейс: купил VPS, выбрал в настройках предустановленную debian/ubuntu, залогинился и начал ручками настраивать awg 2.0.
Просто лично для меня, знакомство с амнезией началось с инструкции по настройке её на роутер. Естественно на роутере она мне не была нужна, но первая часть про настройку на VPS мне очень пригодилась. Потом я уже стал ковыряться конечно в других статьях, и даже ваш скрипт смотрел, но всегда мне казалось, что что-то я упускаю, какие-то важные детали. По сути, нужно ведь просто взять условный мануал https://wiki.debian.org/WireGuard и переработать под амнезию 2.0, с вот этими вот тонкостями, типа ловли QUIC заголовков в wireshark для создания маскировки.
Бааалин. Так надеялся, что эта статья будет пошаговое руководство, повторяющее внутрянку amneziawg-install.sh только с разбором тонкостей и ручным вводом команд... А тут снова
curl script.sh | sudo bashИ кстати, а чем под Аднроид не угодило дефолтное приложение AmneziaWG?