Comments 103
This publication could cause conflicting feelings. Be critical of any posted information. Remember the Community Guidelines before posting your comment.
How to write and what to do?
- Don`t write offensive comments or get personal.
- Refrain from obscene language and toxic behavior, even in a veiled form.
- o report comments that violate the rules of the site, click the "Complain" button or fill out the feedback form.
What to do if: karma goes down, the account is blocked.
Что там по факту, не очень понятно. Так как в регионе, про который все подумали, все работает и телеграм тоже.
в регионе, про который все подумали
Расшифрую, что это Дагестан.
Ну с утра еще проблемы были, писали знакомые местные.
Ростов на Дону, ни у кого не работает Телеграмм, так же нет доступа к онлайн игре Call of Duty
Насчет "ни у кого" это не верно, у меня РТ и при этом Телеграмм десктопный только вчера утром потупил минутку и потом отлично работал, зато онлайн игра PathOfExile не работает из за блокировок.
У меня работает телега в дектопном приложении (и родном, и 64Gram), но не работает в мобильном (родное в Андроид). Помогает MTProtoProxy.
А MTProtoProxy - где берёте, если не секрет?
Свой, или из каких-то чатов?
Я беру из https://t.me/ProxyMTProto но бывает что даже с нормальным пингом прекращает соединяться через час :-(
Проводной и комп работают, а остальное нет.
А зачем?
Наверное что-то случилось.
Но прошло же уже - всех дебоширов поймали. Но почему тогда не всю связь гражданским обрезать если там идет операция какая до сих пор?
Традиция в тех регионах такая - приходить на разборки после того, как все уже закончилось
Российская бюрократическая система по сути представляет из себя механизм генерации отчётов. Чиновнику или силовику очень важно написать отчёт о принятых мерах, эффективность мер никому не интересна, важен сам факт.
Вот сейчас все они усердно генерируют это отчёты о своём значимом вкладе. Там и учителей обяжут провести какой-нибудь дополнительный урок разговоров о главном, и ДПС-ники сходят в нафиг ненужное дополнительное дежурство даже не близко к месту событий, и ещё куча людей выполнит много работы и заполнит ещё больше бумаг. Таков путь.
Проверить, как всё работает на случай проблем с выборами
Могу подтвердить, Ростовская область. Два разных vpn-а по протоколу shadowsocks оба одновременно, толи утром, толи ночью сдохли и не оживают.
Тут важно уточнить, просто ShadowSocks или ShadowSocks-2022? Они сильно отличаются
Точно не скажу, скорее всего первый. Это два довольно популярных бесплатных впн из телеграмма. Который, в свою очередь, так же не работает, так что уточнить не могу :)
Скорее важно уточнить - это приватный ShadowSocks на своём VPS или просто какой-то публичный из интернета. Все публичные SS (и не SS) рано или поздно перебанят тупо по IP, вне зависимости от того 2022 или 2049.
В точности такая же история
А что продолжило работать?
Подтверждаю проблемы. Краснодарский край
Нахожусь сейчас в Пятигорске. Никакой vpn не работает. Телега еле-еле, почти не работает :(
Блокируют веерно, но https + websocket-транспорт пока спасают.
У кого-нибудь из попавших под эту раздачу Cloak используется? Как он там - живой?
Хочу понять для себя, надо ли с ним заморачиваться (тут я пока в процессе), или сразу смотреть на что-то другое...
Коллеги, римляне, сограждане!(с)
Пишите, pls, какие варианты работают, а какие - нет? Нам всем это в будущем грозит - хотелось бы сразу отбросить то, что не будет работать.
Всё, что похоже на HTTPS, скорее всего будет работать. Поэтому самые обычные HTTPS-прокси хорошо работают (и быстро). Посмотрите в эту ветку.
Выглядит (извините за очевидность) - как proxy для браузера.
А если я хочу туда завернуть весь трафик, где и UDP тоже?
Вот поэтому и интересует Cloak (спрашивал выше), что в него можно завернуть WG / OpenVPN...
Ну, как минимум openvpn через прокси тоже рабочий вариант, причём в смысле оверхеда не хуже простого openvpn через tcp. UDP плохо заворачивается в TCP или TLS по известным причинам. Но можете попробовать позаворачивать UDP в DTLS: https://github.com/Snawoot/dtlspipe
Хотя, положа руку на сердце, особых причин форвардить UDP через прокси или VPN нету.
Ну и плюс никто не мешает завернуть весь траф в прозрачный прокси у которого апстримом будет стоять прокси через HTTPS.
Хотя, положа руку на сердце, особых причин форвардить UDP через прокси или VPN нету.
Вы мыслите только в рамках сценария "доступ к заблокированным сайтам", а тут многие (включая меня) пытаются тупо спасти внутренние VPN для связи дом-офис-серверы-удалёнщики, которым тоже за компанию достаётся. И тут нужны и все протоколы, и скорость какая-никакая.
Хорошо, тогда заворачивайте Wireguard в DTLS.
Это вариант, но я уже начал возиться с Cloak, который плюс-минус то же делает. У него явный плюс - вроде как, можно завести под iOS через клиент Амнезии (мышисотрудники плачут, колются, но продолжают покупать айфоны :) Так что для удалённых пользователей пока OpenVPN/UDP (который сейчас есть) + Cloak как рабочий вариант рассматриваю.
А вот между серверами / роутерами надо пробовать всё и оставлять то, что работает быстрее. А остальное тоже оставлять рядом в состоянии повышенной готовности за полчаса поднять в случае, если выбранный вариант отвалится. Где б ещё времени на все эти тесты взять, эх...
Как бы не начали блокировать по ip, если увидят, что туда (за границей) поднят какой-то VPN.
Я поэтому я хочу оставить какой-то чистый IP, с заготовленным софтом, потому что рискую получить бан на используемые текущие IP и потом судорожно изнутри РФ пытаться что-то поднять, а работа не ждет..
Ну это как раз меньшая проблема. Глянул сейчас, у моего российского провайдера хостинга можно купить /28 за 1,4 т.₽ в месяц и менять IP из этого диапазона по кругу, по исчерпании - докупать новую подсеть :) Ну или сделать канал за границу через промежуточную виртуалку, которую при любой проблеме убивать и поднимать новую. Понятно, что если бан за VPN будет прилетать автоматом через полчаса - ничего не поможет, но это уже совсем другой уровень, про который сейчас говорить как минимум бессмысленно, сильно не факт, что в такой ситуации вообще работоспособность хоть какого-то бизнеса всё ещё будет актуальной проблемой.
Что по работе нужно?
через клиент Амнезии
В клиенте shadowrocket есть как плагин для обфускации. Но это все же не впн клиент, а клиент для прокси типа shadwosocks
Вот, кстати, сейчас как раз попробовал с этим разобраться для Vless, и один вопрос остался непонятным.
Клиент, действительно, может создать tun-интерфейс, ну и далее я в него маршрутизирую что надо, как в обычный VPN, прекрасно. Но это с одной стороны! С другой у меня сервер, который мне такой возможности не даёт вообще никак. Но у меня за каждым из концов туннеля свои внутренние сети и хосты в них, которые должны через этот туннель друг с другом коммуницировать... Более того, непохоже ни что клиент позволяет как-то анонсировать сети, доступные через него, ни что два сервера могут соединяться друг с другом без клиента (ну а даже если могут - с серверной-то стороны нет tun).
С Cloak понятно, в него заворачивается весь из себя симметричный WG и работаем через него. Но меня соблазнили утверждениями, что Vless быстрее :) И Хочется для межсерверных связей ещё один достаточно быстрый запасной вариант настроить на случай, если Amnezia-WG (скорость - моё почтение) окажется не таким уж неблокируемым. Не подскажете, как вот это всё вышеописанное в концепции Vless должно выглядеть?..
Спасибо (плюсы закончились). Ох, блин, по ходу оно если и настраивается, то в процессе суммарная потеря скорости убьёт все преимущества. И ещё я умом тронусь... :) У меня хоть и микробизнес пополам с хобби, но 6 площадок в 3 странах, плюс мобильные клиенты со своим VPNом, и все должны видеть всех. Это с WG, где все в большой mesh-сети, было просто, а когда надо городить индивидуальные туннели на каждый линк, да ещё и по две штуки для резерва... Наверное, пока обойдусь для связей между серверами комплектом Amnezia-WG + WG over Cloak в надежде, что второй не понадобится. VLESS оставлю на потом.
Я остановился на варианте wireguard до сервера в РФ (DPI он ж на бордерах, внутренний траффик пока не снифают), там просто поднят GRE туннель до не-РФ + чисто форвард порта wg во внутреннюю сеть, а вот уже на том конце настоящий WG. Ни единого разрыва.
Насколько я понимаю, утверждение, что DPI на границах и внутренний трафик не блокируется, уже давно опровергнуто практикой. Увы. Так что я сейчас ищу решения именно для защиты внутренних VPN-туннелей, за границу никак не выходящих.
Не могу ни подтвердить, ни опровергнуть, однако когда месяц назад wg/ovpn во внешку отваливались напрочь - wg внутри по этой схеме работал.
А вообще если трафф за границу не уходит - то, видимо, если это подключения типа офис-офис-сервер - не на vpn городить, а туннелями типа gre как раз - за счет того, что они не массовые - в фокус РКН врят-ли будут попадать, особенно именно внутри. А вот что делать с конечными пользователями - тут да, вопрос(
Ну у меня есть и WG, и OpenVPN во внешку, которые (тьфу-тьфу-тьфу) не отваливались вообще никогда. И есть WG в другую внешку с того же российского сервера, который при этом отваливался. Учения - что с них взять, и сильно выборочные. А сейчас вот на Юге не учения, а другая разновидность цирка, и совершенно нет гарантии, что при определённых новостях этот опыт не перенесут в другие регионы.
Так что если что-то работало - это ничего не значит, а вот если что-то отваливалось хотя бы у кого-то и где-то, - значит, есть неслабый риск, что завтра оно отвалится у всех и везде. А отчёты по блокировке внутренних VPN я и тут в комментах, и на ntc.party видел неоднократно. Даже если это побочные последствия неправильной настройки ТСПУ - мне от этого легче не будет, когда у меня весь офис от почты и файлового облака отвалится...
Во время "учений" openvpn и wireguard отлично блокировались внутри отдельно взятого города при попытке подключиться из дома в офис.
Вот самое смешное что у меня пока спокойно работает Wireguard (обычный, никак не модифицированный), на приватную впску за пределами России (но на той VPS'ке далеко не только сервер Wireguard живет).
Но я не в Дагестане а намного восточнее в РФ.
И статьи про альтернативные решения - сохранены.
У меня смешнее, я тут выше уже писал, по-моему. Wireguard, тоже обычный, с сервера в Питере. У него два зарубежных пира - один в Амстердаме, другой в Стамбуле. И на нём же OpenVPN для мобильных клиентов. Сейчас всё работает (три раза тьфу), а месяц назад была картинка: WG до Амстердама работает как часы, WG до Стамбула отвалился и не поднимается, но из того же Стамбула (с того же IP) OpenVPN до этого питерского сервера работает как часы.
В общем, блокировки падали с дивной избирательностью... (с) :)
Ну в Стамбуле интернет тоже не самый свободный :)
И что там в Турции блокируют тоже не совсем понятно, у них там ряд сайтов заблочен, но реестра с информацией никакого нет.
В 99% случаев порнографию, в 1% какие-то курдские и т.п. неугодные ресурсы. Во время политических пертурбаций бывают обострения и блокировка соцсетей, давно не было. Реестра нет, но есть страничка с очень простой капчей, где можно проверять, заблокирован ли сайт. Скрипт проверки я написал, автоматизировать (прогонять через скрипт все запросы в локальному DNS и пополнять список) так и не дошли руки ввиду отсутствия особой потребности :)
Да, я находил сайт для проверки блокировки, но видимо некоторые сайты то ли блокировал только мой провайдер, то ли еще какие-то проблемы. На сайте проверки показывает, что сайт работает, а по факту нет 😅 ну я за два месяца успел пожить 5 разных районах Стамбулах, хороший интернет редкость, зачастую более менее нормальный был в старбаксе, а в бургер кингах и макдональдсах ничего не работало нормально, ну еще в аэропорту стамбула был нормальный вайфай.
Это вряд ли точечная блокировка ss, как тут написали уже, скорее всего, он просто попал под раздачу.
Единственный вопрос: есть кто с настроенным cloak? Спас ли он?
Что касается будущего, то там уже поглядим. Точечные блокировки wireguard и openvpn мы уже видели, ss пока что нет, так что рано паниковать.
В Краснодарском вторые сутки проблемы у Telegram.
Насчёт shadowsocks могу попробовать получше. Nekobox радует стандартным пингом, а другие клиенты работают через пень-колоду.
Насчёт телеги - иногда ощущение, что у неё сильно замелдена скорость. Однг текстовое сообщение раз в 0,5 часа может и проскочить.
Я думаю что большая беда GNU GPL проектов в том что кошка сразу видит всю внутрянку, мы ей сами рассказываем где мышка.
А использование огромным коммьюнити протоколов SS XRAY VLESS AMNEZIAWG Влечет что dpi сотрудники работают не поочередно над каждым новым обходным протоколом а одновременно думают как заблокировать все - и мы своими руками заставляем их ввести вайт листы
Я думаю, Вы сильно идеализируете работу РКН.
В части степени закручивания гаек (белые списки или нет, насколько допустим побочный ущерб бизнесу, должны пострадать 99% массовых пользователей или 1% технически грамотных тоже и т.п.) ТЗ формируют люди, которые ни одного протокола VPN назвать не смогут и вообще компьютер у них на столе если и есть, то для декорации.
В части практической реализации все порывы ограничиваются и растягиваются во времени процедурами обоснования, согласования, планирования, бюджетирования и закупок, а их итоговая эффективность кратно снижается коррупционным фактором. Кроме того, подозреваю, что мощности оборудования ТСПУ ограниченны, а возможности их нарастить в условиях санкций - невелики.
И вот все эти нюансы влияют на то, что будет завтра заблокировано, а что нет, куда сильнее, чем знание / незнание нюансов реализации того или иного протокола.
Так были публикации, что используется китайский опыт.
В мощностях ТСПУ можно было сомневаться года 4 назад при Первой Блокировке Телеграм, но с тех пор много воды утекло.
Китайский опыт, насколько я понимаю, использовать в части можно, а вот воспроизвести целиком почти нереально, у них изначально строилась централизованная система. Насчёт ТСПУ - свечку не держал, сколько его есть и когда появилось, не знаю, - но первая блокировка Телеги, насколько я помню, была не через ТСПУ, а ковровыми блокировками подсетей (до 1,2 млн. префиксов доходило) А ТСПУ начали массово использоваться уже в подсанкционные времена. Но тут обладающие инсайдами товарищи пусть меня поправят и дополнят.
а возможности их нарастить в условиях санкций - невелики.
Вы очень переоцениваете санкции. Просто такое оборудование стало дороже, и скрывается под шильдиками импортозаместителей.
А мне интересно, кто-то делает "vpn/proxy" поверх технологий "анонимного интернета"? Какой-нибудь freenet proxy, хах?
Если подключаться к Telegram с использованием какого-нибудь mtproto-прокси, то все прекрасно работает. Поэтому не нужно писать, что 'заблокировали какие-то протоколы, в т.ч. mtproto...'. А еще заметил, что не работает Telegram только с телефона. С ПК работает без каких-либо проблем (даже без прокси)
Если mtproto у вас работает - это совсем не значит что так у всех.
Есть свидетельства, что под блокировку попал именно mtproto.
Wireguard был заблокирован самым первым ещё много лет назад.
В копилку бесполезных фактов -- у меня в Краснодарском крае Мегафон вдобавок ко всему на проводных каналах режет HTTPS. Наши сайты через мегафоновский канал или вообще не открываются, или ожидание до нескольких минут. Через альтернативного провайдера те же сайты открываются прекрасно.
Задали пока вопрос техподдержке, ждём ответа.
(Краснодарский край)
Блокировали полностью и избирательно мою старую (3+ года) установку shadowsocks на личном VPS за рубежом - ещё без всяких "защит".
Прокси mtproto там же - работал (он у меня с fake TLS) и работает.
HTTPS (сайтик), почтовый релей и прочее на этом же IP - всё работало без проблем.
Вечером поднял быстро новейшую связку со всякими наворотами типа VLESS и прочее (по мануалу из закладок на хабре, давно как раз собирался), потратил пару часов на метод тыка - взлетело, работает пока.
Причём блокировал только проводной провайдер, при подключении через 4G трафк проходил без проблем.
В общем прогресс налицо, технологические возможности по блокировке совершенствуются. С другой стороны - читая новости про события в аэропорту, ловишь себя на мысли что "надо было немного раньше это делать", а не когда уже поздно было.
С другой стороны - читая новости про события в аэропорту, ловишь себя на мысли что "надо было немного раньше это делать", а не когда уже поздно было.
Вопросы к контрразведке оставим. Чтение же трафика - "Закручивание гаек под видом борьбы с терроризмом и защиты детей" же по мнению местного большинства. А как придёт зверёк...
У Outline не так давно возможность прописать префиксы (добавляются прямо в ключ) для маскировки под http response/request. Реализовали после того, как Иран стал блокировать все протоколы, которые цензура не может распознать. Кто-нибудь проверял, может с префиксом блокировка обходится?
Перевожу с языка автора: "Кто-то сказал. Я ничего не чекал. Вот вам пост. Закидывайте."
>> Update:
Вечером 31.11.23 появились сообщения о прекращении блокировок.
Чутка в будущее топикстартер заглянул)
И в альтернативную реальность, где в ноябре на день больше.
А если серьезно, то где посмотреть сообщения о прекращении?
Сегодня 1 ноября были замечены проблемы, outline клиент не мог подключиться к удаленному серверу, было замечено на ios андроид и мак
У меня и в Москве сегодня интернет работает кое как причем и проводные и мобильные и с ВПН и без ВПН интернет откровенно лагает на ровном месте.
На юге РФ блокируют Shadowsocks