3) Весь трафик через split-routing с точечным перенаправлением трафика посредством внешней к компьютеру коробочки на openwrt
Я не совсем понимаю такого решения (не сарказм). Если не сложно, можете объяснить чуть подробнее?
Допустим у нас есть телефон -> коробочка -> VPN сервер (или напрямую). Коробочка принимает решение о маршрутизации трафика по доменному имени/адресу назначения.
Любой запрос с телефона, например к api.telegram.com, будет в итоге перенаправлен через VPN сервер. Коробочка же не знает, кто отправитель. Легитимное ПО или шпион.
Учитывая, что на телефоне у нас сетевой интерфейс доступен любому приложению, не смотря на настройки раздельного туннелирования (как на днях выяснилось), то шпион спокойной сможет отправить запрос через обнаруженный туннель.
Либо я неверно понимаю схему?
Почему то сейчас все пытаются в первую очередь защитить от компрометации выходной адрес (да, это важно для сохранения работоспособности), но все предлагаемые схемы (в т.ч. в статье) сохраняют возможность детекции факта обхода блокировки заблокированного ресурса.
Пока меры принимаются только технического характера, это конечно не особо критично...
https://habr.com/ru/articles/1020080/comments/#comment_29790062
Фактически, любое приложение имеет доступ к сетевому интерфейсу, если найдет его (плюс остальные вещи, типа открытого SOCKS5).
Я не совсем понимаю такого решения (не сарказм). Если не сложно, можете объяснить чуть подробнее?
Допустим у нас есть телефон -> коробочка -> VPN сервер (или напрямую). Коробочка принимает решение о маршрутизации трафика по доменному имени/адресу назначения.
Любой запрос с телефона, например к api.telegram.com, будет в итоге перенаправлен через VPN сервер. Коробочка же не знает, кто отправитель. Легитимное ПО или шпион.
Учитывая, что на телефоне у нас сетевой интерфейс доступен любому приложению, не смотря на настройки раздельного туннелирования (как на днях выяснилось), то шпион спокойной сможет отправить запрос через обнаруженный туннель.
Либо я неверно понимаю схему?
Почему то сейчас все пытаются в первую очередь защитить от компрометации выходной адрес (да, это важно для сохранения работоспособности), но все предлагаемые схемы (в т.ч. в статье) сохраняют возможность детекции факта обхода блокировки заблокированного ресурса.
Пока меры принимаются только технического характера, это конечно не особо критично...
Рабочий способ есть, в той же теме https://habr.com/ru/articles/1020080/#comment_29797336
Ждем пока в остальных клиентах реализуют. В клиенте Амнезии уже PR с фиксом висит.
Такой профиль не поможет, если приложение/сайт начнет активно определять доступные адреса. Нужно туннелирование именно по приложениям.
Почитайте про Vertical Slice Architecture (VSA).
Почему то в ру сегменте подход, и информация о нем, слабо распространены.