Так вот почему тот же Т-Банк очень лояльно относится к желанию собственных сотрудников преподавать в Центральном Университете (проект Т-Банка) и довольно лояльно к аналогичной деятельности в других ВУЗ'ах...
А можно попросить добавить поддержку ByeByeDPI для избранных приложений? :) Появится удобная возможность в режиме split tunnel добавить youtube в один список (bye bye), другие приложения в другой (vless).
Достаточно иметь 3 хоста - один в России, два в другой стране (или там один хост, но с двумя IP адресами).
На хосте в России стоит проброс трафика на внешний хост1 (хоть через iptables, хоть через прокси типа haproxy). На внешнем хосте1 стоит аналогичный проброс трафика на внешний хост2. На внешнем хосте2 стоит VPN сервер. Самая простая и надёжная конфигурация.
Если хочется посложнее и выпускать часть трафика в России - нужен второй хост в России, т.к. IP адрес хоста1 РФ будет уже засвечен и для трансграничной передачи его использовать нельзя. Итоговая схема будет клиент => [хост 1 в России, он же выпускает часть трафика в России] => хост2 в России => хост1 вне РФ => хост2 вне РФ => выход в интернет
По поводу граничных условий сразу вспоминается множество рассказов с всемогущим джинном, который выполнит любое твоё желание, но во вред тебе. Иногда детальное описание условий потребует больше ресурсов, чем самостоятельная реализация.
Поиграл с дипсиком, попросил описать его самый безопасный вариант для желания "хочу выпить воды". Представьте количество граничных условий для какого-то совсем небольшого приложения?
«Я желаю, чтобы прямо сейчас, в моём текущем неизменном здоровом теле и сознании, без какого-либо внешнего или внутреннего принуждения, по моей свободной воле, абсолютно безопасным для меня способом (без боли, травм, удушья, ожогов, интоксикации, инфекции, изменения ДНК или физиологии) я выпил ровно 300 мл чистой питьевой воды, которая:
является H₂O без любых примесей, изотопов, растворённых газов, солей, микроорганизмов, токсинов, наркотиков, ядов, аллергенов, микро- и нанопластика;
имеет температуру ровно +23°C;
существует в жидкой фазе при нормальном атмосферном давлении;
появляется в обычном чистом прозрачном стеклянном стакане, который оказывается в моей правой руке в нормальном положении для питья;
при этом стакан не может разбиться, лопнуть, обжечь, порезать или иным способом навредить мне или кому-либо ещё.
Процесс питья должен быть обычным глотанием ртом, без попадания воды в лёгкие, трахею или нос. Вода должна попасть исключительно в желудок и далее пройти нормальный физиологический путь без вреда.
После этого желания:
я не испытываю ни жажды, ни отвращения к воде, ни зависимости;
моя способность пить в будущем остается полностью сохранной;
никакие предметы, люди, живые существа, воспоминания, законы физики, социальные связи и события в прошлом, настоящем или будущем не изменяются в результате исполнения этого желания, кроме самого факта того, что я выпил эти 300 мл воды;
джинн не получает права интерпретировать “отсутствие вреда” в каком-либо ином смысле, кроме полного сохранения моего здоровья, психики, свободы воли, социального статуса и целостности реальности до, во время и после питья;
данное желание считается исполненным именно в тот момент, когда вода безопасно проглочена и оказалась в моём желудке, и после этого джинн не может добавить, удалить или изменить что-либо, связанное с этим действием.
Любое отклонение от перечисленных условий означает, что желание не исполнено, и джинн обязан воздержаться от любых действий, пока я не подтвержу новую формулировку».
У меня проводной провайдер поступает значительно проще - поставил request rate на запросы к одному и тому же IP адресу и это убивает работу XRay.
Догадался я далеко не сразу - у меня начала очень нестабильно работать WEB UI от живущего в интернете proxmox'а - панелька генерит по 5-20 запросов в минуту, долгое время пытался починить сам proxmox. Обнаружил после того, как уже отчаялся, загнал трафик через локальный прокси (для улучшения диагностики), а на стороне proxmox'а смотрел трафик wireshark'ом. Во время срабатывания request rate'а до хоста даже SYN пакеты не доходят.
Решается ли как-то эта проблема в XRay / Sign-Box'е? К примеру, можно балансировать сессии между 5-10-XX IP адресами, но имея единую exit node'у.
И тут на сцену выходит билайн с его бесплатными симками на гигабайт трафика.
На рыло сейчас разрешено по 20 сисок, вот можно взять в ротацию 15 симок (поставить второй симкой в телефон и менять) и иметь 15 гигабайт бесплатного зарубежного трафика ;))))
Причём они включили stealth блокировку - мой платёж с иностранной карты на продление мариновался неделю и отклонялся (с возвратом денег), поддержка молчала как партизан и вообще ни на что не реагировала. Учётка привязана к почте на gmail.com. Заявка на токен для переноса к другому регистратору не отрабатывала.
Но стоило приложить "подтверждение" принадлежности к другой стране, как очередной висящий около 5 дней платёж в статусе "на проверке" внезапно прошёл и также внезапно удалось получить токен на перенос домена.
Можно предположить, что это просто совпадение, но уж очень это подозрительное совпадение.
Зарегил я в 2021 году свой домен не в RU зоне для почты,... а потом в 2022 едва смог унести ноги от зарубежного регистратора, кое-как доказав ему, что я не в России. Спас Удалить и поддельный скан аспорта гражданина Казахстана.
И это у меня был ещё лайтовый вариант, регистратор особо не докапывался и позволил забрать домен
Может это наоборот хорошо? Чем больше блокировки нанесут вреда экономике блокируя легитимное, тем больше шансов, что эту тему прикроют и оставят лайт вариант.
Цель ведь не в том, чтобы обойти - всегда можно рубануть зарубежные аплинки и будет это бесплатно. Цель это сделать экономически невыгодным.
Есть версии андроида, в которой это уже починили? И сразу вопрос вдогонку - на Linux можно определить PID процесса, открывшего сокет, но с рутовыми привилегиями. На андроиде без рута это тоже не решается?
Понятненько... а в обратную сторону блокировка работает? Если завалить IP адрес условного озона запросами со SNI = www.youtube.com, то прилетит ли блокировка на этот IP адрес? :)
Кстати, наткнулся на интересный прикол с этими 16kb - есть совершенно легитимный сервер вне РФ, там много лет висит мини домашняя страничка. Обнаружил, что объекты размером больше где-то 15k не пролезают, причём RST никаких нет в трейсе, просто пакеты блочатся.
Получается, ТСПУ трекает конкретные сессии? Интересно, что будет если таких сессий станет 30к - начнёт пропускать, заблокирует весь IP или что-то ещё?
Он поучаствовал и забыл/удалил этот чат/мессенджер.
А нафига тогда оказывать ему бесплатные услуги?
Вспоминаем классическое - "если какой-то товар вам дают бесплатно, то помните, что в этом случае товаром являетесь вы сами". А это значит, что с каждого бесплатного участника нужно собрать побольше контактной информации и согласий, чтобы в будущем можно было начать ему продавать свои услуги или товары.
Если это персональный VPN мимикрирующий под какой-то сервис и имеющий другой exit адрес, то по принципу "неуловимого Джо" (из анекдота) его никто не найдёт.
А если это коммерческий VPN сервис, то да, отловят очень быстро.
Не во всех регионах включены белые списки, в Москве их включали кратковременно и не по всему городу (на окраине так точно, а вот ближе к центру может быть полная жопа).
А ещё ходят слухи (сам не проверял), что белые списки делаются по блокам адресов и нашлись умельцы, арендующие адреса из таких блоков, у таких всё работает и при включенных белых списках.
Причём в метро как всегда - почти все сидячие пялятся в мобилы, у кого подсмотрел на экран - рбни ютьюб смотрят, вторые в телеге что-то пишут. На днях две девушки рядом обсуждали, что они за мобильную связь платят, а теперь ещё по 150 рублей в месяц приходится платить за то, чтобы эта мобильная связь работала.
Чудны дела наши... одни вваливают миллиарды на блокировки, другие - сотни миллионов (если взять по всей стране) на средства восстановления работоспособности.
Вы на домашнем интернете открываете сайт который на селектеле?
Да, https://my-proxmox-panel.my-site-name.ru:8006/
Проверьте через wireshark что проблема именно в блокировке на тспу, фильтр tls.handshake.type == 1, должен показывать одну или всего несколько строчек с вашим доменом
Показывает порядка 20 строчек в минуту. А если на самом сервере запустить: root@slx:~# tshark -n -i vmbr0 -f '(port 8006) and (tls.handshake.type == 1)'
то строчек будет в десяток раз меньше
Или же переключитесь на сеть без блокировок и проверьте ещё раз
Я про это сразу и написал - даже для работы легитимных сайтов в России нужно городить обходы блокировок. С обходом всё работает.
Схема блокировки при этом привычная - TCP handshake проходит, уходит TLS Client Hello и тишина. Операционная система пытается сделать перепосылки пакетов, но безуспешно.
Единственное отличие - работает не полная блокировка, а "механизм замедления", блокируется условно 80-90% новых TLS хендшейков на этот адрес. Если UI сайта успела загрузиться, то дальше живущий там код на JS начинает постоянно долбиться и с какой-то периодичностью успешно получает данные.
Так вот почему тот же Т-Банк очень лояльно относится к желанию собственных сотрудников преподавать в Центральном Университете (проект Т-Банка) и довольно лояльно к аналогичной деятельности в других ВУЗ'ах...
А можно попросить добавить поддержку ByeByeDPI для избранных приложений? :)
Появится удобная возможность в режиме split tunnel добавить youtube в один список (bye bye), другие приложения в другой (vless).
Достаточно иметь 3 хоста - один в России, два в другой стране (или там один хост, но с двумя IP адресами).
На хосте в России стоит проброс трафика на внешний хост1 (хоть через iptables, хоть через прокси типа haproxy).
На внешнем хосте1 стоит аналогичный проброс трафика на внешний хост2.
На внешнем хосте2 стоит VPN сервер.
Самая простая и надёжная конфигурация.
Если хочется посложнее и выпускать часть трафика в России - нужен второй хост в России, т.к. IP адрес хоста1 РФ будет уже засвечен и для трансграничной передачи его использовать нельзя.
Итоговая схема будет клиент => [хост 1 в России, он же выпускает часть трафика в России] => хост2 в России => хост1 вне РФ => хост2 вне РФ => выход в интернет
По поводу граничных условий сразу вспоминается множество рассказов с всемогущим джинном, который выполнит любое твоё желание, но во вред тебе. Иногда детальное описание условий потребует больше ресурсов, чем самостоятельная реализация.
Поиграл с дипсиком, попросил описать его самый безопасный вариант для желания "хочу выпить воды". Представьте количество граничных условий для какого-то совсем небольшого приложения?
«Я желаю, чтобы прямо сейчас, в моём текущем неизменном здоровом теле и сознании, без какого-либо внешнего или внутреннего принуждения, по моей свободной воле, абсолютно безопасным для меня способом (без боли, травм, удушья, ожогов, интоксикации, инфекции, изменения ДНК или физиологии) я выпил ровно 300 мл чистой питьевой воды, которая:
является H₂O без любых примесей, изотопов, растворённых газов, солей, микроорганизмов, токсинов, наркотиков, ядов, аллергенов, микро- и нанопластика;
имеет температуру ровно +23°C;
существует в жидкой фазе при нормальном атмосферном давлении;
появляется в обычном чистом прозрачном стеклянном стакане, который оказывается в моей правой руке в нормальном положении для питья;
при этом стакан не может разбиться, лопнуть, обжечь, порезать или иным способом навредить мне или кому-либо ещё.
Процесс питья должен быть обычным глотанием ртом, без попадания воды в лёгкие, трахею или нос. Вода должна попасть исключительно в желудок и далее пройти нормальный физиологический путь без вреда.
После этого желания:
я не испытываю ни жажды, ни отвращения к воде, ни зависимости;
моя способность пить в будущем остается полностью сохранной;
никакие предметы, люди, живые существа, воспоминания, законы физики, социальные связи и события в прошлом, настоящем или будущем не изменяются в результате исполнения этого желания, кроме самого факта того, что я выпил эти 300 мл воды;
джинн не получает права интерпретировать “отсутствие вреда” в каком-либо ином смысле, кроме полного сохранения моего здоровья, психики, свободы воли, социального статуса и целостности реальности до, во время и после питья;
данное желание считается исполненным именно в тот момент, когда вода безопасно проглочена и оказалась в моём желудке, и после этого джинн не может добавить, удалить или изменить что-либо, связанное с этим действием.
Любое отклонение от перечисленных условий означает, что желание не исполнено, и джинн обязан воздержаться от любых действий, пока я не подтвержу новую формулировку».
У меня проводной провайдер поступает значительно проще - поставил request rate на запросы к одному и тому же IP адресу и это убивает работу XRay.
Догадался я далеко не сразу - у меня начала очень нестабильно работать WEB UI от живущего в интернете proxmox'а - панелька генерит по 5-20 запросов в минуту, долгое время пытался починить сам proxmox. Обнаружил после того, как уже отчаялся, загнал трафик через локальный прокси (для улучшения диагностики), а на стороне proxmox'а смотрел трафик wireshark'ом. Во время срабатывания request rate'а до хоста даже SYN пакеты не доходят.
Решается ли как-то эта проблема в XRay / Sign-Box'е? К примеру, можно балансировать сессии между 5-10-XX IP адресами, но имея единую exit node'у.
Писец доменной зоне .ru ;(((
И тут на сцену выходит билайн с его бесплатными симками на гигабайт трафика.
На рыло сейчас разрешено по 20 сисок, вот можно взять в ротацию 15 симок (поставить второй симкой в телефон и менять) и иметь 15 гигабайт бесплатного зарубежного трафика ;))))
Gandi.net
Причём они включили stealth блокировку - мой платёж с иностранной карты на продление мариновался неделю и отклонялся (с возвратом денег), поддержка молчала как партизан и вообще ни на что не реагировала. Учётка привязана к почте на gmail.com. Заявка на токен для переноса к другому регистратору не отрабатывала.
Но стоило приложить "подтверждение" принадлежности к другой стране, как очередной висящий около 5 дней платёж в статусе "на проверке" внезапно прошёл и также внезапно удалось получить токен на перенос домена.
Можно предположить, что это просто совпадение, но уж очень это подозрительное совпадение.
А дайте ссылочку на гит.
Я последний раз писал что-то под андроид больше 10 лет назад, но тут тоже начал активно исследовать и копаться.
Зарегил я в 2021 году свой домен не в RU зоне для почты,... а потом в 2022 едва смог унести ноги от зарубежного регистратора, кое-как доказав ему, что я не в России. Спас Удалить и поддельный скан аспорта гражданина Казахстана.
И это у меня был ещё лайтовый вариант, регистратор особо не докапывался и позволил забрать домен
Может это наоборот хорошо? Чем больше блокировки нанесут вреда экономике блокируя легитимное, тем больше шансов, что эту тему прикроют и оставят лайт вариант.
Цель ведь не в том, чтобы обойти - всегда можно рубануть зарубежные аплинки и будет это бесплатно. Цель это сделать экономически невыгодным.
Есть версии андроида, в которой это уже починили? И сразу вопрос вдогонку - на Linux можно определить PID процесса, открывшего сокет, но с рутовыми привилегиями. На андроиде без рута это тоже не решается?
Понятненько... а в обратную сторону блокировка работает?
Если завалить IP адрес условного озона запросами со SNI = www.youtube.com, то прилетит ли блокировка на этот IP адрес? :)
Кстати, наткнулся на интересный прикол с этими 16kb - есть совершенно легитимный сервер вне РФ, там много лет висит мини домашняя страничка. Обнаружил, что объекты размером больше где-то 15k не пролезают, причём RST никаких нет в трейсе, просто пакеты блочатся.
Получается, ТСПУ трекает конкретные сессии? Интересно, что будет если таких сессий станет 30к - начнёт пропускать, заблокирует весь IP или что-то ещё?
Он поучаствовал и забыл/удалил этот чат/мессенджер.А нафига тогда оказывать ему бесплатные услуги?
Вспоминаем классическое - "если какой-то товар вам дают бесплатно, то помните, что в этом случае товаром являетесь вы сами". А это значит, что с каждого бесплатного участника нужно собрать побольше контактной информации и согласий, чтобы в будущем можно было начать ему продавать свои услуги или товары.
Дальше всё зависит от распространённости.
Если это персональный VPN мимикрирующий под какой-то сервис и имеющий другой exit адрес, то по принципу "неуловимого Джо" (из анекдота) его никто не найдёт.
А если это коммерческий VPN сервис, то да, отловят очень быстро.
Не во всех регионах включены белые списки, в Москве их включали кратковременно и не по всему городу (на окраине так точно, а вот ближе к центру может быть полная жопа).
А ещё ходят слухи (сам не проверял), что белые списки делаются по блокам адресов и нашлись умельцы, арендующие адреса из таких блоков, у таких всё работает и при включенных белых списках.
Причём в метро как всегда - почти все сидячие пялятся в мобилы, у кого подсмотрел на экран - рбни ютьюб смотрят, вторые в телеге что-то пишут. На днях две девушки рядом обсуждали, что они за мобильную связь платят, а теперь ещё по 150 рублей в месяц приходится платить за то, чтобы эта мобильная связь работала.
Чудны дела наши... одни вваливают миллиарды на блокировки, другие - сотни миллионов (если взять по всей стране) на средства восстановления работоспособности.
Это отрицательная деградация уменьшения падения рисков потери спада инверсионного снижения сбоев в телеграмм. Всë же очевидно.
Вы на домашнем интернете открываете сайт который на селектеле?Да,
https://my-proxmox-panel.my-site-name.ru:8006/Проверьте через wireshark что проблема именно в блокировке на тспу, фильтр tls.handshake.type == 1, должен показывать одну или всего несколько строчек с вашим доменомПоказывает порядка 20 строчек в минуту.
А если на самом сервере запустить:
root@slx:~# tshark -n -i vmbr0 -f '(port 8006) and (tls.handshake.type == 1)'то строчек будет в десяток раз меньше
Или же переключитесь на сеть без блокировок и проверьте ещё разЯ про это сразу и написал - даже для работы легитимных сайтов в России нужно городить обходы блокировок. С обходом всё работает.
Схема блокировки при этом привычная - TCP handshake проходит, уходит TLS Client Hello и тишина. Операционная система пытается сделать перепосылки пакетов, но безуспешно.
Единственное отличие - работает не полная блокировка, а "механизм замедления", блокируется условно 80-90% новых TLS хендшейков на этот адрес. Если UI сайта успела загрузиться, то дальше живущий там код на JS начинает постоянно долбиться и с какой-то периодичностью успешно получает данные.