я не удивлюсь, если в какой-нибудь момент они будут блокировать/фильтровать соединения к IP-адресам, которые доступны из остального интернета, но недоступны из подсетей из таких “списков” - это же прямо редфлаг, что на сервере что-то интересное крутится и его владелец пытается спрятать это 
Пока не видел никакого скана “из остального интернета”, для этого им надо соорудить нормальный аналог Shodan, а так денег не своруешь.
Да и смысла нет. Гораздо проще палить такие узлы по маячкам vk/yandex. Если изучить всякие “отечественные” сайты, можно найти много интересного. Например и vk и яндекс (и кабинет мегафона) часть ресурсов хостят не на ру-адресах, например
“domain:yastatic.net”,
“domain:yandex.net”,
“domain:userapi.com”,
“domain:maxcdn.com”,
“domain:static-storage.net”
Если вы или ваш браузер пролазит по таким ресурсам (поиск картинки через яндекс как пример), то вы попались по метрикам и ваш сервер довольно легко вычислить.
Нужен грамотно настроенный сплит и нормальный браузер, в котором можно полностью зарезать выход в домены, которые не должны посещаться, ну и защита от dns leak тоже не будет лишней.
Опять же, я излагаю свое видение, как бы я ловил и как бы защищался. Не более того.
конкретно прямо сейчас я вижу, что из двух серверов у одного и того же хостера (рядышком) на одном зарезана скорость
1
reality
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-5.00 sec 216 MBytes 363 Mbits/sec 11 sender
[ 5] 0.00-5.06 sec 207 MBytes 343 Mbits/sec receiver
ss
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-5.00 sec 248 MBytes 415 Mbits/sec 3 sender
[ 5] 0.00-5.06 sec 238 MBytes 394 Mbits/sec receiver
ss random
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-5.00 sec 245 MBytes 411 Mbits/sec 6 sender
[ 5] 0.00-5.06 sec 234 MBytes 388 Mbits/sec receiver
2
reality
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-5.00 sec 46.2 MBytes 77.6 Mbits/sec 7 sender
[ 5] 0.00-5.05 sec 35.2 MBytes 58.4 Mbits/sec receiver
ss
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-5.00 sec 53.4 MBytes 89.5 Mbits/sec 6 sender
[ 5] 0.00-5.04 sec 40.1 MBytes 66.8 Mbits/sec receiver
ss random
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-5.00 sec 41.2 MBytes 69.2 Mbits/sec 3 sender
[ 5] 0.00-5.04 sec 28.2 MBytes 47.0 Mbits/sec receiver
Но на серфинге это не заметно
Надо разделить входные и выходные айпишники впна (коммерческие впны так делают) и можно лазить по ру сайтам.
Об этом и речь, нужен узел ru, который будет выводить в direct то, что не должно светиться через vps. Как реализован сплит в коммерческих vpn - не знаю, если там просто выведен в direct domain: ru или geoip: ru, то это не поможет. Как я уже сказал, часть вполне себе ru-ресурсов имеет потроха и трекеры на иностранных адресах…
Не совсем. Айпишники впна (входные и выходные) могут быть и не русскими, главное чтобы они отличались. Обычно такое бывает, если впн сервер передаёт трафик (подключается) к другому узлу и уже другой выходит в мир. Это не split, а double vpn, получается. Вражьи сервера узнают только выходной айпишик впна (даже могут его заблокировать на тспу, но в этом нет особого смысла, да и блок скорее всего будет по исходящим, а айпишники работают для сайтов на входящие). А входной айпи впна трекеры узнать не смогут. Входной айпи впна знает провайдер интернета, но это совсем другой уровень.
А вот split как раз чреват для другой уязвимости, риска спалить свой IP, если вы его прячете. Т.к. запрос к ru ресурсу вас сдаст. Но это если вы заинтересованы в анонимности больше, чем в обходе блокировок и живучести впн сервера.
Меня совершенно не волнует, если ru-трекеры увидят мой ru-ip на виртуалке, взятой в ru-датацентре в Москве у хостера, официально сертифицированного по ФСТЭК, пусть любуются.
P.S. Я не делаю ничего криминального, мне просто надо смотреть доку по redis/cisco и смотреть на ютубе видео по QoS на mikrotik, условно говоря )
Если совсем неохота сдавать нигде свои адреса, то выход только один - i2p. i2p кстати полезен, даже если им не пользоваться, он создает огромное количество сессий, которые каждые 10 минут перестраиваются, найти в этой котовасии ваш коннект через amneziawg куда-то в Йоханесбург будет непросто…
Ну, так он вас и сдаст.
split не нужен. Всё можно пускать через vpn, но только через double vpn (почти как у тора).
Тут суть в том (для анонимности и сокрытия впна) вы подключаетесь и гоняете весь трафик через зарубежный vpn1 (который заявляет, что не ведёт логи, хотя это трудно проверить, но скорее всего так), а vpn1 подключается к другому зарубежному vpn2 и уже ip vpn2 видят сайты. vpn1 и vpn2 неподконтрольны РФ и часто даже могут быть на одной AS. Факт в том, что без сплита у вас будет один айпи на все сайты (и на chatgpt и на VK), но IP выходной, принадлежащий vpn2. Ру сервера и трекеры увидят, что кто-то из-за рубежа идёт на VK (пусть даже с подсети датацентров) и что? Это основание для блока IP (напомню выходного, vpn2) на ТСПУ? Нет, никто не спалит. Ведь он не равен vpn1. Я успешно юзаю это и никто не банит, ни входные, ни выходные ip. Только естественно сам я не заморачиваюсь этой цепочкой, это такая инфраструктура у провайдера впн.
Я говорю, что double vpn это более простая и более надёжная замена сплиту. Прирост анонимности просто ещё один плюс.
Если у вас оба vps за рубежом то вы получаете как клиент сразу бан и по мобилке и по проводу в случае учений, регионального чебурнета, блокировки AS зарубежного хостера.
Если у вас свой сплит и первый узел в ru, то он будет живехонек, а выходы в зарубеж из ДЦ гораздо меньше ограничены. У меня есть виртуалки в серьезных ДЦ в РФ, на которых даже ютуб не замедлен. Озвучивать не буду, конечно.
Это да, уже другое дело. Хотя, можно сделать и triple vpn, чтобы не прибегать к сплиту. Как-то не лежит у меня к нему душа. Всё время утечки мерещатся. Пускать так всё через один канал, имхо. Ну, я так делаю. Канал, как я уже сказал, может быть многоцепочный. Да, это может быть хлопотно настроить самому. Я пока свои впны на впсках не поднимал.
Так может проще тогда один браузер выделить под ru сайты, а другой (с double vpn) под остальные?
Достаточно portable firefox + containers в нем + ublock с баном всего 3rd-party
Я в качестве vpn2 раньше использовал Warp, всё работало ok, но сейчас думаю переделать, тк Warp слишком известная штука, могут и на вход в РФ заблокировать.
Да ничего им там создавать особо не надо. Сканилка судя по всему у них уже есть, достаточно просто запустить ее еще раз не из ведомственной сети, а из сети обычного провайдера или даже из облака какого-нибудь яндекса, и сделать diff на результаты этих двух запусков.
Практически все приличные клиенты при выборе пресетов по стране ставят не только условие по .ru-доменам, но и по GeoIP. Для параноиков есть еще отдельные списки geosite со всеми доменами (включая CDN) яндекса, мейл/вк, разной российской госухи, и т.д., которые элементарно прописываются в конфиге xray routing двумя строчками.
А вообще, проблема “маячков”, как уже сказали выше, решается разными IP-адресами на вход и на выход. Это или IPv6 для прокси и IPv4 на выход (если провайдер умеет в IPv6), или два IPv4 на сервере (на lowendtalks некоторые хостеры второй адрес по акции на черную пятницу раздавали бесплатно), или самый простой бесплатный вариант - заворачивание выхода с прокси на Warp.