Комментарии 133
Для начала "написан на go, и вот так-то его легко поймать, отличив от нашего святого nginx" - это если вы застряли в 2020. nginx стремительно проигрывает битву за то, что называется "ingress controller". Это именно то, что роутит трафик на входе в кубер или в чем-то ещё более высоко нагруженом. Схема - на входе контроллер терминирующий tls, за ним уже всякие nginx c проложениями - уже практически стандарт в больших деплойментах, и уж особенно везде где есть кубер. И написаны они... Сюрприз-сюрприз, на golang! Envoy, Traefik,.. вот эта вся братия - уже солидная часть интернета отвечающего на TLS. Так что вот так вот взять и зарубить хендшейк golang - тот же верный способ выстрелить себе сразу в обе ноги, как заблокировать телеграм по айпишникам.
Нормально настроенный Xray не распознав в хендшейке своего клиента запросто передаёт соединение дальше даже не повреждая TLS. Можно поставить спереди Xray, сзади хоть mictrosoft.com и притворяться его CDN без всякой дефолтной страницы Nginx. А "распознаёт" в контексте Xray - это не "ошибочки пишет если что-то не так", - это жёстко чуть ошибся в конфиге клиента, и ничего не работает, потому что трафик уходит на microsoft.com. Там всё так сделано что или ты клиент, или получаешь страницу от fallback. Никаких "ошибочек" там нет.
Конечно это не прям панацея, я просто слегка поверхностно описал почему грамотно настроенный Xray это не то что можно найти с полпинка.
Но тут мы приближаемся к пучинам DPI и вычислительных затрат, которые придётся потратить на каждое соединение чтобы сказать "да вроде это Xray... похоже... может быть". Затраты на прям вот такой DPI будут жечь невероятное количество CPU. К тому же хвалёному китайскому фаерволу пришлось блокировать QUIC полностью, потому что он просто ложился расшифровывая его SNI на не совсем даже катастрофическом количестве трафика.
Так что в целом Xray still going strong.
А уж учитывая сколько там в него добавляют и добавляют, - вполне можно надеяться что всегда будет механизм на шаг впереди DPI.
"Так что вот так вот взять и зарубить хендшейк golang" в Туркменистане так сделали (+ зачем-то хендшейк Firefox) ещё в 2021г, до того как в xray были добавлены fingerprint браузеров, блокировка действовала даже на айпи внутри страны (т.е. firefox не открывал даже местные сайты), и это ещё наверное только 10% от блокировок в стране, там самый жёсткий интернет цензор, ру цензоры в последнее время напоминают блокировки Туркменистана (например работает сайт PlayStation т.к. он в белом списке, но сама консоль не может подключиться)
Fingerprint Firefox... Ах, ну да... Наверное если мы говорим про хендшейк клиента. Xray как клиент конечно наверное где-то в районе 2021-го года выглядел как библиотека на go. И это конечно довольно просто решается на клиенте маскировкой под браузер. Согласен.
Я всё же имел ввиду серверную часть. В статье много внимания уделено тому как golang сервер отличается от nginx на уровне TLS хендшейка. И вот тут не могу не подчеркнуть, что, даже несмотря на то, что Xray и сейчас может выглядеть как сервер написаный на golang - блокировать именно такое на стороне сервера - самоубийство. После стремительного восхода Envoy, который сейчас уже очень широко распространён.
Речь про то, что если запрос (active probing) к подозреваемому сайту дает HTTP ответ с заголовком server: nginx, а TLS пробы показывают что это golang - то это прокси
P.S.: Надеюсь вам не придется видеть, как работают прокси на golang под DDoS, с которым nginx справляется
Надеюсь вам не придется видеть, как работают прокси на golang под DDoS, с которым nginx справляется
Сейчас все чаще и чаще как раз ставят XRay за Nginx (с XHTTP или gRPC)
Там снизу грамотно заметили что можно поставить и наоборот - nginx спереди, Xray сзади. Active probe в этом случае не поможет, поможет только анализ TLS.
Но больше всего мне конечно хотелось бы спросить про DDoS это вы как бы сами испытывали, или просто "все знают" что nginx божественен, а golang это для консольных утилит какая-то приблуда?.. Потому что это вот прям как раз то, что именно вот прям со мной, случается время от времени. И даже тот же самый traefik который мы используем вполне себе выдерживает такую же нагрузку как nginx. А ещё он при этом нативно горизонтально скалируется в кластере, чуть более удобно чем nginx, который про соседей никогда ничего не знает, хоть это и не так важно в горизонтальном скалировании. Но даже это не предел, потому что вдруг внезапно оказывается что если сделать замеры, то nginx при включённом TLS (что как бы подразумевается в нынешнем интернете) это самое тормозное дно в плане RPS которое проигрывает и traefik (хоть и немного), и особенно envoy (уже много). Если не опираться на "я так вижу", а допустим почитать всякие замеры из интернета, то можно найти прямо вот такие вот печальные графики
и у всех трестировавши они будут одинаковые... эпоха nginx проходит, так же как когда-то проходила эпоха apache, и мы все находимся сейчас где-то в том районе где все вокруг все ещё считали nginx какой-то мутной поделкой, а апач стандартом индустрии, только дедушка теперь уже nginx.
DDoS, как несложно предположить, это огромное количество соединений.
Вы при нагрузочном добивались того, чтобы LA от TLS был равен половине числа ядер сервера? А это обычный случай при ddos. Nginх при этом жрет только проц, а traefik еще и RAM гигабайтами, потому что на соединение тратит в 10-20 раз больше памяти. Нисколько не спорю с функциональностью ingress / api gateway, но терминировать TLS/ фильтровать DDoS предпочитаю на отдельных нодах с nginx
у нас отдельные ingress ноды с traefik, и они натурально 4 проца, 8 гигов памяти, как патроны в магазине, маленькие и злые. одной ноды хватает на примерно 30к соединений при примерно 2к rps. при этом они скалируются горизонтально просто по нажатию кнопки. ну то есть потому что traefik нативен для k8s, достаточно просто добавлять ноды (при условии того что трафик приходит на них на все от провайдера) и они сразу начинают отдавать трафик. в прошлый ддос нам хватило 20 нод до того момент как умер входящий канал провайдера. как несложно посчитать это было примерно под полмиллиона соединений при 40к rps.
наверное можно упороться и поставить какие-нибудь страшно толстые сервера с 64 гигами памятипо 64 проца, вот только на них мгновенно возникнут сопутствующие проблемы - всякие настройки ядра, настройки сети, бесконечное переключение контекста, всё вот это вот связанное с сотнями тысяч открытых соединений к одной машине, к одному ядру. k8s, traefik и вот это вот всё оно именно как раз про утилитарность горизонтального масштабирования. когда можно в течение минуты поднять вместимость в небеса.
быстрее сдохнет бэкенд, чем ingress устанет.
и мы собираемся поменять ingress на envoy чтобы хватало 10 нод до того как умрёт входящий канал провайдера (это гипербола, мы очевидно начинаем применять другие меры когда перестаёт справляться чистый входящий канал провайдера). но уж точно не на nginx.
nginx кстати стоит за traefik и принимает соединения уже без tls из traefik, и я бы не сказал что он хорошо справляется... так себе, удовлетворительно.
и это всё, как вы видите, прямо конкретно мой, реальный опыт работы с этими приложениями. так что я бы поостерёгся рассказывать мне как хороши nginx'ы на широких просторах...
терминировать TLS .. предпочитаю на отдельных нодах с nginx
терминировать TLS лучше всего (дешевле в плане CPU consumption) на специальных TLS терминаторах, котрые разбирают TLS (SSL offload как AWS NLB) и передают дальше уже plain HTTP. У меня опыт использования такого терминатора, написанного на Go. И он сильно эффективнее nginx и, главное, может терминировать миллионы сертификатов.
Работа по шифрованию в nginx ведется в библиотеке OpenSSL (и аналогичных), подозревать их в неэффективном коде при исполнении на CPU оснований пока не было. Есть, однако, криптоускорители как отдельные физические устройства: Intel QAT - через модифицированный OpenSSL, или в сетевых картах Mellanox NVidia ConnectX Dx через kTLS (не копирует лишний раз данные между вебсервером и ядром). Последние используют в Netflix (под freebsd)
Нет оснований считать, что реализация на Go будет делать что-то эффективней в разы. Ну по крайней мере до публикаций результатов тестов с понятной методологией
P.S.: TLS с ключами RSA 4096 жрут в полтора раза больше CPU на сервере, чем с RSA 2048
Как раз так и стоит, спереди nginx обычный, за ним Xray на вебсокете, удачи в детекте. Статистический анализ не поможет, в интернете куча систем мониторинга "реального" времени на тех же сокетах, не говоря уже о системах видео управления (аналог rdp, vnc и прочего). Как можно подумать там схема примерно такая же, немного от клиента, и шквал данных к клиенту... Вперед отличать сижу я смотрю данные или ютуб гоняю)
на вебсокете
Конкретно вот это в связке с прокси детектируется до смешного просто, но не будем подсказывать ркн’у
типа там дурачки сидят? РКН это административный орган, все работы выполняют подрядчики ДЦОА на оборудовании RPD.ру. Сходите расскажите им =)
много внимания уделено тому как golang сервер отличается от nginx на уровне TLS хендшейка
В статье написана чушь. В самой простой конфигурации xray с т.з. TLS fingerprint выглядит как go-аппка, вот только эти самые простые конфигурации уже много лет как никто не использует. А при использовании Reality будет виден фингерпринт реального веб-сервера (Nginx и т.д.), как и при нормально настроенных XHTTP/gRPC
После стремительного восхода Envoy, который сейчас уже очень широко распространён.
а еще Caddy и Traefik
Чот у вас такое себе
Давайте начнём с того, что кубер появился не в 2020 году и активно используется он уже более 10 лет
Про стремительно проигрывает - да как-то не особо. Кубер нужен не везде и не всем.
Ну и, опять же - ingress controller это логическая сущность, а что конкретно там - может быть и nginx. Да, не прям тот, но всё же
Это мы уж не говорим об ALB перед ним в облаке, на котором, с большой вероятностью, опять же будет nginx
"может быть nginx" https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement/
ingress nginx != nginx ingress.
первый развивается в рамках k8s, и именно он и умирает.
второй развивается в рамках собственно nginx, и он умирать никуда не собирается.
вот даже мигрировать с одного на другое можно по гайду.
тот же верный способ выстрелить себе сразу в обе ноги, как заблокировать телеграм по айпишникам.
Можно подумать, что принимающих решения о блокировках это пугает
Тут добавлю, что Kubernetes официально прекращает поддержку Nginx в качестве Ingress контроллера в марте 2026. Так что он не просто «проигрывает битву», он уже окончательно списан со счетов. Тем не менее, все еще очень много где используется.
Ну списывают и списывают. То что гугл выкидывает nginx из списка компонентов своего kubernetes, говорит только о том, что он списывается только из состава кубернетис компонент, и только. Сам nginx и его актуальность никуда не денется и свою нишу не потеряет, потому как основан преимещественно на классических базовых технологиях и развертывается и адаптируется почти везде и практически для всего, в отличие от нагроможденных куберов. А вот когда гугл и АНБ решить отрубить неугодную часть клиентов либо разом лишить всех своих технологий-то те тут же побегут искать альтернативу и вернутся все к тому же nginx. Да и значимость куберов не нужно переоценивать, они не панацея уж точно и нужны далеко не вегда и не всегда, а часто даже наоборот-совсем не нужны и вредны. Кубернетис-это вообще нестабильная система и всегда меняет свою архитектуру, лепит баги и еще очень сильно усложнена в целом, что затрудняет ее адекватное обслуживание и использование и в большинстве задач просто неоправдана и даже порой опасна. Это как мода, в свое время мода(чуть меньшее движение по масштабам) была продвигать язык программирования haskell, но мода прошла, и это пройдет, а основы и классика останется или на нее наслоится что-то новое-) Куберы-это своего рода цепь, максимально жестко привязывающая к конкретному вендору, причем к коммерческому, в данном случае к гуглу, а это крайне опасно. Это примерно как винда. Будьте бдительны-)
У меня была песочница в Германии Zabbix, Promiteus, Grafana. Так как машины а EC дешевле чем в РФ. В и тоге. Зарезали всё. Http 1.1-3, ssh. На веб мордах били реальные домены. Работает только xray reality. И курл с resolved на ya.ru проходит. Просто curl 16k.
Во первых AmneziaWG в реале не заблокирован, даже старые версии заводятся правильными параметрами Junk, а новые с фейк пакетами от QUIC работают еще лучше.
Во вторых чистый VLESS сам по себе ничего не маскирует, он как SOCKS5, однако можно добавить http или websocket заголовки или TLS. (А ниже в статье все таки написали что vless все таки ничего не маскирует, после того как уже написали что он маскируется под веб, ну вы читаете что пишете вообще? Нет, не читаете, дальше вообще орфографические ошибки полезли)
Brutal в hysteria2 мне не понравился: ему пофиг на потери пакетов, но он начинает тратить трафик в никуда (снижать скорость внутри тунеля но не вне него) при jitter (даже 10мс сильно влияет) и reordering пакетов. BBR там тоже кривой: на моей сети в 20мбит/с он почему-то передаёт данные на скорости 32мбит/с, все что вне туннеля просто падает при использовании его на макс скорости, это какая-то dos атака получается. BBR и brutal модули для ядра линукс (а не ядра QUIC в hysteria2) работают гораздо лучше
"Если цензор отбрасывает 20% пакетов" - у цензора никогда небыло и не будет такой цели т.к. результаты непредсказуемы.
"Когда ждать блокировку?" - На многие направления трафика (даже в ру) блокируется трафик при обнаружении >10 TLS сессий установленных за короткое время (сибирская блокировка), пока что блокировок из-за описанных вами дыр небыло
Вы правда думаете, что нейрослоп кто-то читает перед публикацией?
Это очередной наброс от Femida Search, она же ООО "Фемида-Инфо" которые тут уже писали статейки "Роскомнадзор прав, а вы нет", потом писали, как они всех обманули, и что это такой маркетинг, а потом всё это удалили.
Чтобы понять что это за контора, достаточно погуглить имена учредителей: Журавлев Дмитрий Алексеевич и Абулов Хакан Гаджиахмед Оглы
И они под каждую статью теперь создают новый аккаунт.
Хотелось бы спросить @Boomburum как администрация ресурса относится к такой практике?
Это вечная борьба, придумают способы. Единственный вариант это сделать чисто рунет, но на это никто не пойдет.
Согласен. Дыры могут быть как и в софте для обхода блокировок, так и в firewall ТСПУ. Плюс существуют неочевидные способы проксирования трафика как например прокси через CDN google (трафик не отличим от запроса к google.com кроме объёма, но есть проблема в цене)
Я бы не был так категоричен
у нас в центре города рунет на мобилке
Нет. Корпорации победят. Потому что у них больше ресурсов.
на это никто не пойдет
Шли и на большее, пойдут и на это, когда поймут, что иначе не выходит.
на это никто не пойдет.
Насчет одной авантюры 23 февраля 2022 года тоже многие так думали. Если в 2025 2026 году кто-то пишет "они ни за что не пойдут на...", то он либо оптимист, либо не очень умный.
AmneziaWG не заблочили работает на мобиле прекрасно! А что vless отрубишь одну голову на её месте вырастут две )
У нас для работы использовался, но стал переставать работать, перешли на vless как раз. И на мобилке моей, например (Билайн), и на стационаре (МГТС). Так что с амнезией не все гладко.
А это все потому что они не рассказывают везде про свой метод обхода и самодельный протокол. Потому и не кусаютъ
Секретность должна быть. Потому что эти тут тоже вполне читают. Каждая такая публикация с разбором протоколов - это подсказка этим.
вы находитесь здесь
OpenVPN, AmneziaWG, WireGuard... заблокировали
WG работает, иначе телегой можно пользоваться только глубоко заполночь. Никаких специальных настроек, только дефолт.
а это очень странно, его блокировка началась еще в 2023г. OpenVPN работает только на домашнем инете и только с tls-crypt.
Нормально работает, что дома, на мобильном инете. Пару раз отваливался на часок максимум) этот коммент сейчас через него пишу
чистый WG на зарубежный сервер?
Да, в Нидерланды. Без каких либо обвесов
Просто некоторые провайдеры не дорабатывают. Со временем к ним за это придут со штрафами. WG давно умеют блокировать и блокируют. Может уже года два.
От провайдера реально не зависит. Работает на разных операторах. Как мобильных, так и проводных.
Тут скорее РКН не блокирует. Умеет, но позволяет.
Просто некоторые провайдеры не дорабатывают
Несколько можно судить по открытой информации, львиная доля блокировок сейчас происходит на ТСПУ, к администрированию которых у провайдеров доступа нет, РКН управляет напрямую
Да, в Нидерланды. Без каких либо обвесов
Если у вас работает, это не значит, что работает у других, что работает до любой подсети, что будет работать у вас завтра. В целом, на зарубеж ни WG, ни OVPN, ни IPSEC, ни L2TP, ни IKEv2 скорее, не ходят, и не только по мобиле, но уже и по проводу тоже.
Я понимаю о чем Вы говорите. В любой момент смогут перекрыть.
РКН использует какие то точечные блокировки. Там работает, тут не работает.
У нас так в городе целый район города был без мобильного интернета несколько месяцев. Эксперименты какие то проводят
Когда отключают моб инет то РКН не при делах, это делают сами операторы по требованию (хз кого если честно, это не эксперимент, это против дронов), но щас чаще всего включают белые списки (где-то постоянно с сентября, где-то только по ночам), хотя есть и города где включено замедление инета до 0.1мбит/с
это не эксперимент, это против дронов
Сомнительно с точки зрения географии с расположенных каких то объектов в зоне отключения. Речь про Красноярск, Октябрьский район
Это с требования губернатора региона делается, да. А ему непонятно кто отправляет статистику и шансы возможных нападений дронов и подобного и он принимает решение стоит ли блочить или ещё нет
Учитывая, что такая «блокировка» легко обходится, это явно не от дронов защита.
Если не секрет, поделитесь как же белые списки обходятся. В Ростове не видел пока ни одного рабочего способа
Так же как и чёрные. Запросы же по SNI фильтруются на стороне провайдера и идут дальше куда угодно.
Уже давно по SNI не проверяют :( Не уверен, как в остальных регионах, но у нас белый список IP-адресов
С чего вы это взяли? Список IP адресов задолбаешься поддерживать.
С того что вижу своими глазами. На билайне никогда это не работало а на других операх через месяц или два перестало. И никаких проблем с поддержкой я не вижу, есть даже автоматические системы, хотя у операторов с этим большие проблемы даже спустя пол года, реально поражает: на меге неск дней назад сузили БС и стали недоступны 2 из 3-х айпи ya.ru, яндекс облако тоже пострадало но точно не смотрел
Ради теста сейчас выполнил
openssl s_client -connect tegos.ru:443 -servername ya.ru
803BD0CA347F0000:error:8000006F:system library:BIO_connect:Connection refused:crypto/bio/bio_sock2.c:178:calling connect()Так что да, не по SNI точно. Но возможно в других регионах это не так
С чего бы этому вашему tegos.ru отвечать на запросы к ya.ru?
С того, что без блокировок он отвечает
openssl s_client -connect tegos.ru:443 -servername ya.ru
Connecting to 2606:4700:3030::ac43:b94c
CONNECTED(00000003)И у вас точно мягкие блокировки
ping fb.com
ping: fb.com: Temporary failure in name resolution
ping 57.144.244.1
PING 57.144.244.1 (57.144.244.1) 56(84) bytes of data.
From 57.144.244.1 icmp_seq=1 Destination Port Unreachable
Арендуется сервер у хостера, у которого хостится ресурс из белого списка. Подбирается IP из диапазона поближе к ресурсу из белого списка. Эти списки же составляются не тютелька в тютельку, они оперируют диапазонами.
Но на днях прошёл слух, что таким хостерам настоятельно порекомендовали не выдавать IP-адреса из "белых диапазонов" кому попало.
Ну в Ижевске как минимум с лета мобильный интернет блокируют, только белые списки работают без всяких обходников.
у меня как раз не работает WG. блочат :( сижу на сокс5
у меня полгода как даже внутри города между двумя подразделениями отрубился.
да, как-то странно. Уже третий год задаюсь вопросом, почему у меня работает wg (на всех операторах), хотя блочить научились еще очень давно
возможно IP вашего хостера ошибочно отмечен в GeoIP-базах как росийский
То есть схема ВГ на русервер и оттуда проброс на зарубежный - ещё жива? До Ру вг будет работать стабильно?
Про «стабильно» гарантий как всегда никаких нет и не было, но в целом да, во многих случаях будет работать.
Не будет. Проброс до зарубежа вы каким протоколом будете делать? Если опять WG, то он на этом шаге и не будет работать. А если не WG, а HTTPS-подобное, то зачем тогда русервер, можно сразу ходить по нему на зарубежный.
У меня так же, чистый WG работает уже больше года. Подключено больше 30 устройств (в основном телефоны). У всех разные операторы и мобильные и домашние. У всех работает. Разве что ютубу такое не нравится, с телефонными приложениями проблемы (задержка перед запуском видео, но потом хоть в 4К смотри), но все остальное летает.
WG работает
Говорите за свою AS: "В моей AS работает".
Если бы они с тем же маниакальным упорством и невероятным усердием, с каким совершенствуют блокировки, занимались бы реальными социальными проблемами, у нас была бы лучшая страна в мире и рай на земле
во это в точку, как же они достали с этими бесполезными блокировками.
Чёрный квадрат Малевича или "Облачные технологии. Неожиданный поворот"
зачем это делать если нет побуждающего фактора?
удалено
Фемида, да балин. Нового юзера зарегали и давай постить. Я теперь просто буду минусовать за сам факт постинга статей вами - всех ваших новозарегистрированных авторов.
Уже не первый раз в этом корпоративном блоге откровенно бредовые статьи с громкими заголовками, автор(ы) которых то ли вообще не разбираются в том что пишут, то ли генерируют откровенный нейроблёв.
Можно кратко по самым тупым абзацам пройтись:
Инструменты типа JARM зондируют сервер, отправляя 10 специально сформированных пакетов ClientHello и анализируя ответы. Хэш JARM для сервера на Go будет кардинально отличаться от хэша сервера Nginx, даже если они используют один и тот же сертификат и порт.
Автору надо разобраться как именно работает Reality, и тогда он поймет, что с активным Reality при зондировании ClientHello не будет виден фингерпринт библиотеки Go, а будет виден фингерпринт реального веб-сервера маскировочного сайта (тот же Nginx или что угодно еще).
А без Reality с XHTTP/gRPC/WS так тем более, потому что там вообще до XRay запрос не дойдет и отвечать будет реальный веб-сервер
Если цензор отправляет на порт сервера защищенный REALITY некорректный запрос к HTTP, то NGINX выдаст стандартную HTML-страницу ошибки 400 Bad Request со стандартными заголовками nginx, а написанный на Go подставной сервер выдаст обычный текст 400 Bad Request или вовсе закроет соединение
Автор, убей себя об стену и разберись как работает Reality. При использовании Reality в случае некорректного запроса цензор получит ровно точно такой же аутентичный ответ, как и при обращении к реальному веб-серверу.
А если не хватает мозгов разобраться - можно было бы поднять за пять минут какую-нибудь панельку типа 3x-ui и проверить как оно сработает. Но вместо этого автор решил кормить читателей откровенной брехней.
Уязвимость Aparecium
Уже давно пофикшена, но автор об этом конечно не сказал, потому что тогда не получится кликбейтного громкого заголовка.
Короче, уже за все это он заслужил то, чтобы не только поставить минус статье, но и поставить минус ему в карму. Как можно так не уважать и держать за баранов читателей - даже представить не могу.
Протокол будущего: Hysteria 2
Не такой уж он и протокол будущего. Он уже довольно старый, имеет как свои достоинства так и недостатки, но ничего прорывного. В плане обхода блокировок каких-либо особо преимуществ перед тем же VLESS+XHTTP/QUIC не имеет. И кстати, XRay тоже поддерживает Hysteria outbounds.
Уже не первый раз в этом корпоративном блоге откровенно бредовые статьи с громкими заголовками, автор(ы) которых то ли вообще не разбираются в том что пишут, то ли генерируют откровенный нейроблёв.
Достаточно погуглить, кто учредители этой компании, а потом поискать в поисковиках по их именам, и всё станет понятно. Они кстати сами писали, что статью генерят силами копирайтеров и будто бы так нагоняют таким образом подписчиков в свою телегу.
После кликбейт-заголовка, что "VPN никогда не заблокируют", угадал компанию - автора статьи с первой попытки.
Если заблокировать могут, почему всё ещё не сделали? Допускаю, что это не очевидно для хабр-жителей, и нужно спрашивать у ркн, но вдруг
Разве сейчас хоть один протокол заблокирован как протокол. У всех впнов вроде тупо подсети гасят. На своей впске по прежнему и вайргуард и опенвпн без проблем работают
Воот, хоть кто-то начал осознавать. VPN - это Virtual PRIVATE Network.
И то, что сервисы-анонимайзеры присвоили себе название VPN, не делает их VPN - даже если они начинают использовать соответствующие технологии.
Ваш кейс как раз показателен - идет борьба с анонимайзерами и публичными проксями, который гордо поименовали себя VPN, то есть имеет место классическое "ученый изнасиловал журналиста". На самом деле, отличить публичный прокси или анонимайзер от честного VPN можно легко и просто - статистика рулит.
Ходит на некоторый сайт пять сотен разных клиентов? Отлично, а какой у них SNI? microsoft.com? Ну ок. А что у нас в A-записях microsoft.com? Нет указанного IP? Ну кто ж виноват, сами напросились. Блок по IP на две-четыре недели.
Анонимайзеры и пабликпрокси будут изображать бурную деятельность, развитие, боротьбу за свободу (на самом деле за клиентскую базу которую можно продать) - а тот самый, изначальный VPN будет спокойно жить и работать.
"а тот самый, изначальный VPN будет спокойно жить и работать." расскажите это всем пострадавшим удалёнщикам
Но банить всё подряд по сигнатурам проще же.
Воот, хоть кто-то начал осознавать.
Это все осознавали с самого начала. Если вам кажется что вы один такой умный и все понимаете, а другие ничего не понимают, спешу расстроить - в этом случае вы не очень умный.
А что у нас в A-записях microsoft.com? Нет указанного IP?
Вы сильно удивитесь, но у больших CDN часто можно встретить что для одного и того же домена при DNS-запросах выдаются разные наборы IP для разных клиентов (в зависимости от их геолокации, для балансировки нагрузки, и т.д.). Простой проверкой A- и AAAA- записей можно отстрелить слишком много легитимных сервисов (хотя РКН это никогда не волновало).
тот самый, изначальный VPN будет спокойно жить и работать
Не будет. Wireguard, OpenVPN и некоторые другие уже блокируются, и цензоров не волнует, используют ли их для обхода блокировок или для доступа в корпоративные сети.
Вы сильно удивитесь, но у больших CDN часто можно встретить что для одного и того же домена при DNS-запросах выдаются разные наборы IP для разных клиентов
Я не сильно удивлюсь (и вообще не удивлюсь), но отмечу, что крайне маловероятно что эти "большие CDN" будут базироваться в подсетях всяких дижиталоушнов, линодов и прочих хецнеров.
Wireguard, OpenVPN и некоторые другие уже блокируются, и цензоров не волнует, используют ли их для обхода блокировок или для доступа в корпоративные сети.
Неа. Их блокируют на трансграничном трафике. Корпорация вполне может (и часто и делает) "точку присутствия" локальную с которой клиенты попадают куда надо. Российские сотрудники - на эндпоинт в РФ, казахские - в казахстане. Да, это почти как с CDN.
Их блокируют на трансграничном трафике.
Их блокируют «на иностранные адреса», но не на трансграничном уровне, а вполне себе на локальных провайдерских ТСПУ (трансграничных ТСПУ пока ещё довольно мало, а где именно идет фильтрация нередко можно определить по трассировке). И ещё нередко это самое определение «адрес назначения иностранный или нет» работают криво, и в итоге или все спокойно бегает куда-то в Нидерланды, или режутся даже подключения в пределах одного региона.
Разве сейчас хоть один протокол заблокирован как протокол.
Да, Wireguard, OpenVPN, L2TP.
На своей впске по прежнему и вайргуард и опенвпн без проблем работают
Это какая-то местная аномалия, вам очень сильно повезло. Либо у вас провайдер наплевательно относится к блокировкам (пока ещё не получил штраф и угрозу отзыва лицензии), либо IP вашего хостера по ошибке считается «российским» на фильтрующем оборудовании. Пользуйтесь пока получается, но будьте готовы что в любой рандомный момент дырку могут прикрыть и вы с этим ничего не сделаете.
Да, Wireguard, OpenVPN, L2TP.
Их блокируют на трансграничном уровне. Внутри они вполне работают. У сожалению, это излюбленные клиент-серверные протоколы активно использовавшиеся анонимайзерами, поэтому и попали под раздачу. Но тот же OpenVPN точка-точка на симметричном ключе нормально работает. Ну, кроме случаев, когда количество псевдоVPNов хостящихся у провайдера не превысит критическую массу и РКН не придет с топором и носилками ампутировать их по подсетям.
Wireguard прекрасно работает. О чем речь, кто его заблокировал?
В 23г ещё заблокировали при подключениях вне рф, ркн естественно, вам просто повезло.
кто его заблокировал
Роскомнадзор на своих «ТСПУ»
Тоже читаю кругом, что его блокируют, но работает норм у любых операторов и в разных регионах. Порт для подстраховки поменять нужно и всё.
но работает норм у любых операторов и в разных регионах
Вы наверное пытаетесь подключаться в пределах страны, а не за бугор
Порт для подстраховки поменять нужно
От этого вообще не зависит
У меня дома 2 провайдера Мегафон и Ростелеком, даже через самый дефолтный wg от амнезии, который одним кликом на впске настраивается, все работает на обоих. Сервер в Германии.
У меня на одном сервере чистый wg нормально работает на трех десятках устройств, у всех разные операторы. А вот АмнезияWG на другом сервере отвалилась через месяц, поменял протокол на XRay через Амнезию же и пока все ок.
WG у меня не работает между ру-ру. Как через мобильный интернет, так и проводной - все зависимости от провайдера. Тут скорее от региона больше зависит, кмк..
Вы ещё больше свистите что и как прекрасно у вас работает. Ну ей богу, все равно что проходить мимо грабителей и кричать им что подумаешь пару косарей забрали, в кармане ещё много
При чем тут свистеж. У меня возник закономерный вопрос о существовании блокировок протоколов, в ситуации в которой у меня (да и у многих в комментах) все продолжает работать. Как так вышло что одни тспу блочат Впны, другие не блочат, или почему магистрали у одних пропускают впны а у других не пропускают.
Не нужно искать глубинные смысли там, где имеет место банальная криворукость, или просто еще не дошли руки. Пример гораздо проще: две симки МТС, оформленные на одного физика с соседними номерами, после отсутствия в РФ 2 недели, у одной блочится интернет и приходит СМС о необходимости пройти капчу, у другой всё работает. Кроме как криворукостью, как это объяснить?
Вставай страна огромная, вставай на смертный бой. Единственное решение, которое реально вернет свободу в интернете. Вы"ать всю власть пора
Автор. Я правильно понимаю, цензор заблокирует потому что на сервере должен работать только за nginx-ом? Ты же понимаешь что огромное количество сервисов кладут с прибором на nginx. Но они не стали менее легитимны из-за этого. Получается заблокируют всех кто не использует nginx? Всех кто сделал ListenAndServe(handler, address), а не поднимал nginx для онлайн калькулятора, заблокировать получается?
Лично у меня на смартфоне великолепно (пока что) работает впн из под Vless reality, обходящий белые списки на всех провайдерах, на ноутбуке стоит настроеный ручками Zapret, это не впн, а запутывание трафика, сами знаете 🙂
Ясно, вся статья сплошной бреинрот...
Прекрасно работает wireguard, при небольших нюансах настройки. Уже года 2 его использую - никаких проблем.
Вместо этого, млки применяют эвристику и пытаются распознать подозрительность трафика по косвенным признакам. Как вы понимаете, они обучаются и чем больше данных и разных трафиков через эти нейронки пройдет, тем точнее и быстрее будет происходить обнаружение.
Как это можно делать в масштабе несколько терабайт в секунду?
Извините, а как так получилось, что у автора статьи @kirill_berill карма скрыта и недоступна для голосования?
Если бы у аккаунта был статус Read-only, то так бы и отображалось. А вообще ничего не отображается.
Вы же в кусре, что QUICK во многих регионах уже год как блокируют? То есть вообще, целиком и полностью.
Специально зарегался тут у вас чтобы написать, что бредовее статьи не читал. С первых абзацев становится понятно что автор в вопросе не разбирается. И делал он эту статью из разных сообщений какого-то форума из-за явных противоречий в статье. Хайпожорщик автор.. Причём в пытающийся запрыгнуть в последний вагон. 🤣🤣🤣🤣🤣🤣
Хэш JARM для сервера на Go будет кардинально отличаться от хэша сервера Nginx, даже если они используют один и тот же сертификат и порт.
Не совсем понятно, в чем проблема хоть на Go, хоть на C, хоть на BrainFuck написать неотличимые друг от друга версии HTTP клиента?
Он не шифрует трафик, а маскирует его под обычный веб-трафик.
Он ничего не маскирует и не шифрует
Так маскирует или не маскирует?
Машинное обучение
Запугивать, конечно, круто, но в реальности, боюсь, что из машинного обучения там только гпт для разработчиков)
Факт в том, что ТСПУ стоят у всех, и что они должны обрабатывать десятки гигабайт трафика. Если они начнут задыхаться, это будет катастрофой. Кем бы РКН не были, они всё же стараются не допускать такого сценария, и ТСПУ остаётся достаточно легковесным. Они даже на пакеты стараются полностью не смотреть (буквально, tcp чексуммы не считают). Там куча эвристик по заголовкам протокола или прыжкам по пакету. А вы говорите про какую-то недетерминированную модель, которая будет анализировать пакет целиком. К тому же, это будет уже не какая-то табличная регрессия, а целая нейросеть со сложной архитектурой. Это требует огромных мощностей и огромных затрат. К тому же вопрос на чём её тренировать? И что будет, если она правильный трафик воспримет за неправильный?
Короче, далее этого заголовка статью читать не имеет смысла, а автора и всех тех, кто пишет про нейронки на мыло. Хотя, это же журналисты, что с них взять)
Почему VLESS скоро заблокируют