Информационная безопасность
Сетевые технологии
Комментарии 57
+4

Имхо, при блокировке вопрос ставится не "что быстрее", а "что заработает в принципе", а из этого списка уже выбирать "что быстрее".

0

Совершенно необязательно рассматривать блокировки РКН. Доступ к VPN из рабочей или публичной сети со своими ограничениями — тоже частая проблема.

+3

за несанкционированный VPN из рабочей сети вам вообще могут по голове настучать.

+1
Спасибо за статью!

> Хотите быть уверены, что ваш интернет будет работать, пока работает интернет вообще? Выбирайте проксирование трафика через важные CDN, блокировка которых приведет к отвалу половины интернета в стране.
Где найти перечень таких CDN и как выбрать что-то одно из такого перечня? Я думаю ответ на этот вопрос был бы интересен многим прочитавшим.
0
Где найти перечень таких CDN

заходишь на сайт Госуслуг и смотришь откуда он грузит свой хлам :)

-2
Извиняюсь, но название звучит как «выбираем лопату с самым гладким черенком».
0
Спасибо за статью, полезно. А есть данные по сравнению пинга до конечного ресурса? Желательно несколько мест с разным гео.
0

Лаг плюс-минус одинаковый, в пределах статпогрешности.
Чтобы отслеживать разницу в лаге для разных инструментов, надо брать очень разнесенные между собой серверы, т.е. условные США и западную часть РФ.


Разница есть, только если добавлять CDN к всему этому, но тут такое дело, в некоторых случаях если пускать трафик через CF (я пускаю через них) — лаг становится ниже. Как мне кажется, работа через CF помогает или если трафик идет через много разных стран\хопов, или когда маршруты построены неоптимально. Т.е. при работе через CF из СПб до сервера в стокгольме, наличие CF добавляет 3мс лага, а при работе через CF до сервера во франкфурте, CF уменьшает лаг на ~3-4мс


Обязательно учитывайте, какие ресурсы вы будете посещать. Например, если серверы этих ресурсов стоят где-то в Европе (в той же германии) — ваша работа через прокси вообще никак не добавит вам лага, потому что трафик будет идти по тому же маршруту условно, и туда к общему пути добавится небольшое расстояние.

0

Думаю он, скорее всего, спрашивал до каких стран обычно пинг меньше всего.

0
Кстати про лаг. Очень хотел увидеть в статье сравнение задержки которую привносит сам инструмент. Например по моим наблюдениям Shadowsocks вносит заметно большую задержку по сравнению с тем же OpenVPN. Хотя и с OVPN все не так однозначно (зависит от настроек и трафика).
-7

Из-за пресловутого АНБ стрёмно держать выход VPN на Западе (который фактически сразу деанонимизирован платой карточкой). За ПТН ПНХ там конечно не посадят, а вот штраф за торренты/варез скачанные в период с 2005-2015 год реально я думаю получить при пересечении границы году так в 2025 м. отсюда была идея закупить безлимитный хостинг в какой либо стране не очень технически продвинутой и богатой на всякие СОРМ / PRISM.
Что скажите на счёт Белоруссии, есть там безлимитные хостинги за 5$?
В Белоруссии по моему интернет не блокируют ?

0
По моему проще сделать себе для оплаты карточку на имя Васи Пупкина. хотя за это можно присесть уже у нас тут без пересечения границ))
+1

Если уж выбирать, то лучше присесть там, где-нибудь в скандинавских странах. :-)

0
А есть же карты без имени на них, которые выдаются сразу.
0
можно присесть уже у нас тут

Купить подарочную карту какого-нибудь Русского Стандарта?
И приседать не понадобится.
0
При оформлении карты в отделении банка вам всего лишь понадобиться предоставить паспорт.
0

Возьмите qiwi. Виртуальная карта без паспорта. Номер покупается без паспорта. Присаживаться не обязательно…

-1
В Беларуси все очень плохо с хостингом, и спец службы дружественны РФ. Если хотите параноить, то смотрите на Украину, Азию или Лат Америку, но копеечный хостинг будет только в Украине из этого списка…
А вообще была уже куча комментов на хабре, что не сильно-то у буржуев и следят за торрентами, можете не параноить так сильно :)
+2
спец службы дружественны РФ. Если хотите параноить, то смотрите на Украину

И в Украине есть заблокированые русскоязычные сайты, просто другие, т.е. это шило на мыло менять.

0

Если говорить о VPS-провайдерах, то и в России они есть. Пока есть.

+1

АНБ совсем делать нечего? Спецслужбы создавались не ради борьбы с рядовоми нарушителями авторских прав. Заинтересовать их вы сможете только если что-то совсем незаконное будете делать, например, распространять детское порно.


С торрентами же борются копирасты собственными силами без помощи АНБ. Просто заходят на трекер, смотрят IP качающих и репортят их провайдерам. При этом качающих из-за рубежа не трогают — возни слишком много, а выхлопа мало.

0
только если что-то совсем незаконное будете делать

например, распространять детское порно.

Смешно смотрится рядом.

0
Действительно, качать торренты через свою недорогую виртуалочку у популярного хостера чревато как минимум абузами и возможностью отключения при непрекращающемся злоупотреблении. В остальном каких-то весомых проблем нет.

Можно качать торренты через серверы Cloudflare, используя Firefox Private Network. Изначально бесплатная версия этого продукта — просто расширение для браузера, включающее прокси с авторизацией, завязанной на аккаунт Firefox. Однако, есть набор инструментов и сетевой враппер, позволяющий использовать его как обычный прокси для всех приложений. Скорость довольно неплохая, у меня получается весь физический канал (100Мб/с) использовать.
НЛО прилетело и опубликовало эту надпись здесь
+1
Насколько я слышал от своих знакомых из РБ — весь трафик там идёт через Белтелеком, который в свою очередь пользуется аплинками Ростелекома. Слышал я это в контексте «Вы там у себя в России сайтов назапрещали, и мы теперь тут тоже никуда зайти без VPN не можем». Если это так, то особой разницы между хостингом в РБ и в РФ нет.
0
При текущих размера списка блокировок вопрос скорее ставится как «что бы такое придумать, чтобы не тащить всю таблицу блокировок в iptables?», потому что весь трафик гонять через VPN тоже большого смысла не имеет.

У ValdikSS есть решение в его antizapret VPN, но оно, ЕМНИП, представляет собой кастомный DNS-сервер. А показывать его он не особо хочет, потому что код, скорее всего, немножко совсем не production-ready.
+1
потому что весь трафик гонять через VPN тоже большого смысла не имеет.


потому я и выбираю шэдоусокс
0
что бы такое придумать, чтобы не тащить всю таблицу блокировок в iptables?

Ipset и не с таким количеством способен справиться. Проблема скорее в том, как обходить блокировки по доменам.

0
дык не в iptables же а в локальную таблицу маршрутов. я когда тестил, весь список залетал в память где-то около 600МБ.
0
OpenVZ не подойдёт, с выделенным IPv4-адресом, минимум 384 МБ оперативной памяти и 700 МБ свободного места

Офигеть. Не устаю удивляться — на что только не идут люди, лишь бы не использовать SS.

+1
Ну заблокируете вы блокировку по DNS. А толку, если ниже ещё лежит и блокировка по IP?
+1
Там ещё есть Cloudflare Warp, который по сути является туннелем Wireguard. Учитывая, что это бесплатно и есть скрипты для использования со стандартным клиентом Wireguard с компьютера, то почему бы и нет.
+4
Отличная статья. Какой из данных методов наименее обнаруживаемый в плане DPI и вообще со стороны выглядит как обычный трафик даже при ручном просмотре? Идеальное решение должно использовать 443 порт и соответствовать 3 критериям:
1. Противодействие всем видам DPI и особенно Active probing
2. Должно включать мультиплексор, т.е. противодействие ручному заходу через браузер
3. Иметь приемлемую скорость и удобство использования
0

Идеального решения не существует — оно зависит от конкретной задачи. Плюс в любом случае это будут вечные кошки-мышки.


При желании HTTPS-трафик от VPN можно различить по паттерну пакетов. Для VPN характерен интенсивный двунаправленных обмен, для HTTPS — нет (кроме WebSocket). Совсем-совсем скрыть VPN можно, например, реализовав что-то вроде видеохостинга, когда сервер в непрерывном режиме шлёт клиенту мусор с постоянной скоростью, при необходимости меняя мусор на полезную нагрузку.

+1

По протоколу "идеально" под HTTPS маскируется только openconnect (хотя не всегда и не во всем, например обертка nm-openconnect делает кое-что очень неправильно), однако там можно зайти по HTTPS и увидеть характерные признаки нетипичного HTTP сервера.
С некоторыми DPI (китайским по комментам sashz) наоборот лучше маскироваться под HTTP.


По паттернам обмена все это нещадно светится, разве что только не маскироваться под крупнве сервисы с использованием "придворных" облачных платформ, только после истории с Telegram у многих это против правил сервиса.

0
Я думаю, что почти всем критериям, которые Вы привели, соответствует Pooling TLS Wrapper. Разве что по удобству развёртывания можно поспорить.

Вкратце, это SOCKS5 и Transparent proxy (то есть может быть установлен на роутере и заворачивать все коннекты), который форвардит каждое соединение в серверную часть отдельным TLS-коннектом, имея при этом пул подготовленных соединений для оборачивания новых коннектов. Серверная часть представляет из себя связку haproxy и danted (последний нужен только для SOCKS). Для авторизации клиента и сервера используются штатные механизмы TLS. Посторонние получают HTTP-заглушку.

Я использую это в качестве основного решения для сёрфинга из браузера.
0

Сокращение "shadowsocks" в "сс" в итоговой таблице порвало мой мозг..


Так же с апреля 2019 (когда автор проводил тесты) могло уже что-то поменяться :)


В целом интересно, результаты местами несколько удивляют.

0
мало что поменялось, радикально код переработан только в обфускаторе клоак (вышла версия клоак-2, которая работает по иному принципу)
0
Проделанная автором статьи работа вызывает уважение. Удивило, что по всей статье вместо прямого слеша используется обратный (мне надоело нажимать Ctrl+Enter).
0

Как пользователь оригинального v2ray со стажем могу сказать следующее:
1) Не обязательно завтавлять v2ray работать в tls режиме, достаточно настроить вебсокет и проксировать nginx'ом, в котором уже настроен https.
2) Лучше пользоваться оригинальным v2ray на слабых дедиках, меньше ресов жрать будет.
3) TCP BBR вроде бы помогает на мобильных сетях, чуточку.
4) У чистого v2ray ниже пинг, на 2-3 мс

0
1) так и делаю, nginx замечательно работает как терминатор tls, в комменте к в2рей написал про это
2) не соглашусь, в2рей-кор это совершенно другая штука, с совершенно другой логикой работы, китайский комбайн просто
3) TCP BBR был предварительно включен везде, да, я прост не уточнил этого в методологии
4) Ниже чем у чего? Разница в лаге между SSH, шэдоусокс, в2рей, клоак, ваергардом и опенвпн в пределах статпогрешности. На лаг влияет наличие\отсутствие CDN
0
Лучше пользоваться оригинальным v2ray на слабых дедиках, меньше ресов жрать будет.

Судя по моему опыту, напротив, ресурсов он жрёт больше. Но и фич у него больше.

0
Вот я лично не осилил настройку v2ray под SS, использую устаревший obfs. Где бы почитать, как настроить? Ubuntu.
+2

Не единожды арендовал различные впс и как правило много виртуалок подключены в итоге к одному физ порту. Как правило это коммутатор 1/10G. К чему это я. Результаты в таких тестах будут очень близки к тычку пальцем в небо, т.к. помимо вас на этом проводе сидит еще куча клиентов и ваш канал негарантированный. Соответственно от теста к тесту, какие-то из «соседей» могли иметь пиковые нагрузки или не иметь их, и это очень сильно влияло на результаты вашего тестирования.


И еще касаемо спидтеста и айперфа. Это совершенно 2 разных способа и проверяют они разное. Айперф показывает скорость между двумя конкретными точками, а спидтест до ближайшего сервера спидтеста, который может оказаться в соседней стойке от измеряемого сервера. Трафик в данном тесте от айперфа проходил большой путь между странами, а спидтест, с очень большой вероятностью, проделывал путь в десятки раз меньше, и результаты от этого тоже могут отличаться очень сильно.

0
многократные тесты через iperf, как приватный так и публичный (с 10гиговыми портами), дают 2 гига

спидтест-cli делался в один и тот же публичный сервер, и результаты всегда разные с огромными разбросами, было перепробованно несколько публичных серверов в одной и той же стране. Ни одно из измерений в браузере не давало скорости выше 2 гигов, что породило предположение, что со спидтестом-cli есть какие-то проблемы

на картинке со спидтестом-cli видно, что выбирался сервер в той же стране, где стоял сервер iperf (оно вам даже примерное расстояние показывает)
-2

Статья интересная. Но мне, как старому сисадмину, работающему одновременно в нескольких конторах, не совсем понятен смысл практической реализации данной схемы в том смысле, что неясно где это всё городить? В некой конторе, чтобы дать возможность сотрудникам ходить на заблокированные ресурсы? Ни один директор на это не пойдёт чтобы покупать хостинг где-то там за рубежом, чтобы через него гонять трафик, ибо за обход блокировок это однозначно статья с какими-то конскими штрафами для юр. лица. Поднимать себе срок с пола (я утрирую), чтобы облагодетельствовать сотрудников фирмы доступом на запрещенные в РФ ресурсы, ни директор ни сисадмин не будет, это я вам как сисадмин с 25 летним стажем заявляю ответственно, особенно если эта контора какая-нибудь там полугосударственная или муниципальная. В такие конторы уже сейчас усиленно согласно фз-187 Госсопки ставят. Представьте себя на месте директора или сисадмина в этой конторе. К вам ФСБ приходит и намекает насчёт госсопки, а вы сидите и выбираете буржуйский хостинг и думаете как на маршрутизаторе конторы туда завернуть трафик? Ну-ну :)


Для дома? Это из пушки по воробьям. На данный момент для доступа на 2-3 запрещенных сайта, типа торрента там или книжки почитать прекрасно спасает ВПН в опере или соответствующий плагин в других браузерах.

+2
А я Вам объясню, как бывший сисадмин сисадмину.

Я использую дома нечто похожее для всех соединений из браузера и firefox private network для проксирования соединений торрент-клиента. Как раз благодаря производительности названных здесь решений для меня не является проблемой что весь мой трафик идёт через зарубежный сервер. Для меня это решает массу проблем: часть из них связана с блокировками, часть потенциально-призрачных проблем связана с авторскими правами и торрентами, часть опасений связана информационной гигиеной и возможной непорядочностью сотрудников местного провайдера). Мне так комфортно, для меня из дома интернет выглядит как в 2009ом.

Что касается использования туннелей и прокси на предприятиях — я с 2014го года не работал ни в одной конторе, которая этим бы не пользовалась, причём даже в странах, где на тот момент не было блокировок. Причины разные — кому-то нужно в WiFi нарисовать VLAN с IP-адресами из другой страны для того, чтобы банеры посмотреть, кому-то не нравится, когда GitHub или какая-то другая критичная инфраструктура отваливается по мановению чьей-то руки, кто-то просто никому не хочет свой трафик показывать. И да, действительно дело кончается тем, что один из маршрутизаторов офисной или продакшн сети в итоге подключен к забугорному серверу, именно так.
0

По поводу outline и Китая, уже полтора месяца пользуюсь без каких-либо проблем, не знаю у кого и какие с ним были проблемы, но меня они обошли стороной.

0

Статья написана отвратным стилем, бэкслэши, сокращения и "транслит" английских слов русскими буквами — режут глаза.

Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.