А вы посмотрите на схемы включения ТСПУ у провайдеров (документы с предписаниями РКН есть в открытом доступе). Там в большинстве случаев ТСПУ стоит до NAT’а. А для редких случаев, когда ТСПУ после NAT’а (например, когда он у вышестоящего магистрала), РКН как раз недавно продавил закон о том что провайдеры должны ему сливать данные (нетфлоу или еще что-нибудь), позволяющие однозначно идентифицировать абонентов уже у них.
есть несколько научных работ на эту тему, и там как раз вывод, что мультиплексирование такое детектирование довольно сильно ломает. а если взять XHTTP и разделить потоки на разные адреса - то скорее всего еще сильнее. плюс авторы XRay недавно запилили Vision Seed, который можно использовать и отдельно от классического Vision.
Не знал о том, что мультиплексирование ломает детекцию, спасибо! Надо будет ещё поискать по поводу Vision Seed, в доках его не вижу.
они его зачем-то примотали к VLESS Enc (VLESS encryption), это вот оно самое
В форке реализовано https://ntc.party/t/sing-box-discussions/17422/2
Я не до конца понял следующее:
- Cloudflare сейчас под прицелом;
- Wireguard (на котором работает WARP) сейчас под прицелом;
- Конечный IP-адрес всё равно будет российским, т. е. не преодолевает ТСПУ.
Как это должно работать при таком раскладе? Бонусом — сервер палится из-за использования WG.
Сомнительно. Значительная часть людей использует Android с сервисами Google.
Не контент, а чтобы пробрасывались настоящие сертификаты Яндекса с IP-адресов, ему же принадлежащих. (Хотя мне кажется, что это работать не будет.)
С разными доменами для маскировки?
Подскажите, пожалуйста, насколько это необходимо?
Интересно, я вообще изначально полагал, что это будет полезно в виду сценария передачи данных между серверами, что по житейским соображениям должно отслеживаться менее агрессивно. Или на этом вообще внимания не заостряют? (Тогда как будто и нет преимуществ у цепочки перед 2 адресами.)
Это для меня какое-то чудо, я совершенно не понимаю, почему они ещё это не прикрыли.
Их CDN подсети - да, WARP - тоже блокируется (но не по IP), но не на VPS серверах, а на резидентских.
ТСПУ обычно стоят на резидентских провайдерах. На VPS их смысла нет ставить, это будет мешать нормальной связности с интернетом. Не предполагается что VPS=прокси.
Да, на ТСПУ обычно не стоят на VPS. Главное чтобы VPS имел прямой выход из страны без магистрального апстрима с ТСПУ. А если и стоит ТСПУ (если оно идет через апстримного провайдера), можно настроить и использовать там Zapret (без всяких там банов IP). Максимум там Tor банят, но что-то ещё - обычно нет.
Никто не палит, если заворачивать в WARP то для российских серверов Вы - резидент.
Ну TLS трафик расшифровать не получится без MITM сертификатов которые надо на устройство установить.
А просто контент сайта (от себя) и подразумевается чтобы они видели, в этом суть Reality маскировки.
Не, после РФ VPS вообще не нужен VLESS. Обычный WG пойдет. Это типично для VPS. Для резидентов, увы, не типично, а для VPS - очень.
Но мозги маршрутизации предлагаю в РФ VPS делать: во-первых это меньше пинг до центра принятия решений, сразу WARP в РФ (сервисы думают что Вы - резидент), и широкий потом выбор зарубежных прокси на выбор под любой сервис с геоблоком.
Либо зарубежный VPS, но тогда промежуточный хоп в РФ обычно не нужен. Но как Вы госуслуги будете открывать из-за рубежа? Split-tunneling на клиенте? А на условном айфоне как? OpenWRT Роутер с собой таскать? Я считаю что маршрутизация должна быть прозрачной, а клиенты - тупыми.
Лично я пока не нуждаюсь в этом, тем более ТСПУ на VPS - бред. А VPS где потом ещё апстримный провайдер лучше не брать. Оцениваю необходимость низкой, но могу быть не прав, это субъективное мнение.
На VPS обычно вообще НИКТО ничего не анализирует. Там нормально даже ТСПУ стоять не должно (если рассматривать прям пограничные к выходу из страны VPS). Да, смысла цепочке не вижу, но нужен будет апстримный зарубежный прокси (не обязательно свой сервер) для сервисов с геоблоком.
На магистралях уже поставили как минимум с 2023 года. Одно дело, что у некоторых правила более мягкие, а у других - более строгие.
Wireguard (на котором работает WARP) сейчас под прицелом;
WARP работает в первую очередь на MASQUE. WG уже достаточно давно объявлен deprecated.
Значительная часть людей использует Android с сервисами Google.
Не знаю как у вас, а у меня в регионе уже больше двух лет предпринимаются различные плавающие блокировки и шейпинг трафика к серверам Google и GPlay в частности.
Не контент, а чтобы пробрасывались настоящие сертификаты Яндекса с IP-адресов, ему же принадлежащих. (Хотя мне кажется, что это работать не будет.)
Так ТСПУ не смотрит ни на какие сертификаты. Оно же максимально тупое. Максимум может посмотреть пару IP Назначения и порт назначения, ну и первые несколько пакетов прочитать.
Это нейронка на НТЦ от маера обучается?)
А что, похоже что я нейронка? Таким же стилем как нейронка пишу или что? Я ни грамма нейронки не использую для написания текстов сдесь, максимум какие-то факты/тезисы перепроверяю или информацию ищу по теме.
Я как раз пытаюсь DNS-сплит настроить у себя на клиенте. Хочу, чтобы DNS к доменам, к которым я подключаюсь напрямую, тоже шёл напрямую, а то странно получается - по сайтам я хожу, а к DNS перед этим никаких запросов не шлю, наверное с точки зрения ТСПУ IP этих сайтов мне на ухо нашёптывает голос божий, что довольно странно. Ковыряюсь в настройках DNS, того чего я хочу не получается, все DNS запросы идут через туннель. Что делать? Клиент Throne, правило такое
{
“action”: “route”,
“outbound”: “proxy”,
“rule_set”: [
“geoip-ru-blocked”,
“geosite-ru-blocked”
]
}
Хотелось бы и на Android на nekobox тоже так настроить. Пытался опубликовать новый топик, но низя, аккаунт новый.
"final": "direct"
{
"action": "sniff"
},
{
"type": "logical",
"mode": "or",
"rules": [
{
"protocol": "dns"
},
{
"port": 53
}
],
"action": "hijack-dns"
},
{
"rule_set": ["geoip-ru-blocked", "geosite-ru-blocked"],
"action": "route",
"outbound": "proxy"
}
{
"rule_set": ["geosite-category-ru"],
"server": "local"
}
Так теперь DNS запросы будут идти вне туннеля, а заблокированные host\IP - через прокси.
Если захотите DNS на сервер перенести, добавьте в route.rules сразу после hijack-dns (чтобы оно часть DNS от клиентов форсило в конкретный DNS):
{
"rule_set": ["geosite-category-ru"],
"action": "resolve",
"server": "local"
}
P.S: но мое субъективное мнение, - не сливать провайдеру ничего, но Ваш выбор.
У Яндекса есть зашифрованный DNS (DoH или DoT), который доступен при белых списках. ТСПУ там тоже ничего не видит. Так что лучше уж его указать для прямых доменов, чем всё открыто передавать.
Да нет, наоборот обычно DNS не сливают. В разных браузерах могут быть разные DoH/DoT. Даже сам факт отсутствия DNS… ничего не говорит, ты уже знаешь IP туннеля к SNI которому ты подключаешься (ну для цензоров это, разумеется, просто сайт, которому Reality пародирует), который ты когда-то закэшировал. А, ну если разделять и часть трафика зачем-то пускать напрямую, то всё равно подозрение это вызовет не сразу, а в долгосрочной перспективе (и то, ну это прям фантастический сценарий), потому что браузеры кэшируют DNS запросы и ты не обязан кэш этот сбрасывать.
Ну, даже яндексу стрёмно сливать куда ты подключаешься (помимо “суверенных” сервисов). Тот же YouTube я вроде как слышал убрали из национальных DNS. С Yandex DNS ещё не выдаются IP ко многим прочим заблокированным сервисам.
Только сливать DNS запросы к нему нельзя напрямую если ты 100% трафика гоняешь через один туннель. Только при split-routing для DIRECT запросов.
Спасибо большое! А как бы это на андроид настроить? Ни в v2RayNG, ни в nekobox я возможности вставить кастомные настройки DNS не увидел, может оно запрятано куда-то?
Я тоже хотел просто взять и целиком sing-box конфигурацию на iOS вставить, благо для Android есть официальный графический клиент ссылку на который я нашел в их документации (подразумеваю что там можно кастомные конфиги вставлять).
Всякие прочие клиенты вряд ли дадут так настраивать тонко клиент. Обычно DNS идут прямо в туннеле же.
Именно с Throne я дел не имел, у меня дома на роутере и на ноутбуках все настроено непосредственно в Xray:
- на NanoPi (FrinedlyWrt / OpenWrt) xray+tproxy, DNS forwarding (через dnsmasq, на dokodemo в xray)
- на телефонах - OneXray (по сути это лишь надстройка над голым xray, с возможностью прописывать кастомные конфиги)
Но на любой системе идея одна и та же: словить DNS, перенаправить на xray (dokodemo), а внутри уже простенькие правила типа:
Блок DNS:
{
"dns": {
"servers": [
{
"domains": ["geosite:cn"],
"address": "119.29.29.29",
"queryStrategy": "UseIPv4"
},
{
"domains": ["geosite:category-ru"],
"address": "77.88.8.8"
},
{
"address": "https://1.1.1.1/dns-query"
}
],
"queryStrategy": "UseIPv4v6"
}
}
А в блоке роутинга указать куда должны идти эти запросы - логика точно такая же, как и для “обычного” трафика, т.е. в моем примере 1.1.1.1 - proxy, 77.88.8.8 - direct.
P.S. IPv4 vs IPv6 - тут рекомендация такая: если не можете аккуратно и точно настроить роутинг, лучше все ведите через IPv4. Правда для NTC придется соорудить небольшой костыль)))
отучаемся говорить категорично. вы наврядли пользовались всеми существующими VPS-хостерами на всех их существующих площадках, чтобы такое утверждать. я как минимум с одним хостером столкнулся с блокировкой Warp, это реальнее чем вы думаете.
Роскомнадзор читает это ваше утверждение и громко ржет. “Нормальная связность” их не волнует вообще, неужели вы до сих пор это не поняли? ТСПУ УЖЕ ставится на площадках у некоторых хостеров и/или у магистралов. И таких будет все больше и больше, все именно к этому и идет.
Иногда ситуация вообще смешная - вплоть до того, что оно блокирует входящие подключения “снаружи” (из запрещенных сетей, типа Cloudflare c 16кб блокировкой) в сторону этого самого хостера.
Ну то есть можно уже прорабатывать тот самый вариант с арендой квартиры где-нибудь в той же Финляндии с последующей установкой там своего ПК с целью разворачивания на нем VLESS-сервера?