Как скрыть от провайдера использование VPN?

Censorship circumvention methods & software
1

Сейчас к домашнему провайдеру компутер подключен напрямую.

Если сделать так: сначала провод воткнуть в роутер,
и через роутер подключать компьютер к интернету, или через wi-fi ,
и уже на компьютере запускать VPN , то это это поможет скрыть факт использования VPN?

2

нет. роутер никак не изменяет трафик, кроме процедуры NAT. NAT - это лишь манипуляция с заголовками L4 пакетов, на данные никак не влияет

3

никак. лучше всего использовать VLESS + TCP + REALITY + VISION, который маскирует все под https трафик.

4

сам протокол VPN можно попытаться скрыть, если использовать нестандартные протоколы, обфускации или даже zapret, чтобы DPI не мог понять, что это VPN протокол
но от косвенных способов обнаружение не спасет
в Туркменистане работают как сигнатурные методы, так и косвенные
Например, если у вас почти весь трафик идет на 1 IP, и таких юзеров несколько, то это наверняка VPN сервер. Их там банят по IP.
Могут быть и различные маяки на подконтрольных сайтах
Преимущество косвенных методов в том, что им глубоко наплевать на технологию проноса трафика. Они от нее не зависят.
Периодически заходите на ВК то через VPN, то без. Один IP российский, другой нидерланды.
ВК вас опознает по кукам.
Есть разные трюки с выявлением VPN или прокси через веб сайты. Скажем, часовой пояс геолокации вашего IP не совпадает с часовым поясом, получаемым через javascript

5

В РФ нет никаких официальных запрещений на использование VPN. Что-то там приняли, что с 1 сентября реклама VPN будет штрафоваться. Но не использование. В конце концов, VPN это технология, придуманная для корпоративного рынка, чтобы сотрудники вне офиса могли подключаться к офисной сети и работать в ней. А что провайдеру виден ip-адрес назначения у исходящих пакетов, и он часто повторяется, так это и для DNS так. Факт обращения к не провайдерскому DNS-серверу не кажется еще подозрительным? А к Гуглу каждый второй запрос?
Самая подходящая концепция отношения современной власти к населению - запугивание.

6

Скрытие
Техническое 1: любой протокол, работающий внутри SSL/TLS, сервер которого будет хостится вместе с сайтом
Техническое 2 если https будет заблочен как в Беларуси во время попытки Ревлоюции: протокол, имитирующий обычные html+обсфуцированный JavaScript
Заблочить яндекс, вк, одноклассники по IP/подсетям на VPN сервере, чтобы ихние виджиты не сработали где-то на чужом сайте.
Организационные:

  1. Сайт должен быть заполнен чем-то тяжеловесным, например видеозаписями с рецептами приготовления еды и возможностью комментирования, чтобы если цензор зайдет глянуть, а что там, что трафика многовато, а там рецепты, которые пересматривают
  2. Нужна прога, имитирующая активность, ее сделать не сложно, нужно просто чтобы она посещала десяток сайтов, не мешая пользователю, например Википедию, ядекс без исполнения JS конечно, VK, пару ссылок на видеофайлы или iso-образы, что-бы постоянно скачивала, чтобы автоматизировать погружение VPN внутри мусорного трафика
  3. Не посещать через VPN ничего, хостящегося в Рашке либо делать через Тор или другой ВПН сквозь основной ВПН.
7
  1. Достаточно пустить современный смартфон в сеть. Он живёт своей жизнью и не мало качает чего-то.
8

Тогда использовать 2й VPN с заблоченного хостинга внутри VPN тунеля замаскированного, а в настройках сервера или клиента разрешить доступ ТОЛЬКО к внутреннему.

9

Есть, статья КоАП РФ 13.52. Формулировка там довольно нечеткая, владельца/администратора VPN по ней притянуть можно прям вообще легко, а при большом желании и пользователя тоже.

Поэтому уже давно юрлицам РКН предлагает и дает возможность endpoint’ы их серверов внести в белые списки, чтобы они не блокировались и не триггерили детектирование.

Вопрос в объемах трафика, и в том что цензоры накопают на адресе посредством active probing. Каждый второй запрос к Гуглу - это нормально, каждый второй запрос и гигабайты трафика к какому-то сайтику на дешевом VPS, к которому еще к тому же не обращается никто другой кроме трех с половиной анонимусов - уже очень подозрительно.

10

Вы уже спалились. “Любой” протокол не подойдет, ровно как и “любой клиент” - проколетесь с некорректным TLS-fingerprint’ом, отличающимся от обычного браузера, проколетесь по размерам пакетов (TLS-indisde-TLS и вот это вот все), и еще довольно много нюансов.

11

Есть ли уже примеры подобных техник, применяемых РКН или это пока размышления о “светлом” будущем?

12

Размышления.
Пока что РКН действует гораздо проще - просто режет практически любой TLS- и даже не-TLS трафик в сторону популярных хостеров без разбору (соединение просто умирает после 16кб данных).

13

Давно есть желание написать вот такое, но не хватает времени:

Техническое 2 если https будет заблочен как в Беларуси во время попытки Ревлоюции: протокол, имитирующий обычные html+обсфуцированный JavaScript

. То есть тегами кодировать байты. Видео через такой протокол гонять не стоит, а вот почитать-написать, скачать небольшой файл - самое то. Сейчас домашняя страничка того же Твитера весит 15 МБ скриптов и пары фоток.

14

Уже есть такое решение fteproxy. Правда, старое, медленное и уявзимое к active probing.
Psiphon может маскироваться под HTTP POST. Вроде бы vless тоже.

15

в XRay есть два варианта:

  1. просто фейковый GET/POST заголовок перед началом установления соединения
  2. полноценный XHTTP где обмен данными производится реальными GET/POST-запросами

Первый вариант, понятное дело, рано ил ипоздно легко научатся определять, второй выглядит гораздо более безобидно и похоже на обычный серфинг и даже может пролезать через всякие левые прокси и CDN’ы.
Но в обоих случаях лучше не использовать VLESS для этого, т.к. он без шифрования и при небольшом желании цензор сможет выцеплять домены из потока если вы не используете TLS, старый добрый VMess тут подойдет гораздо лучше.