Так WARP заблокирован из РФ? Или я чего-то не понимаю. Я думал наоборот на exit-ноде, которая заграничный VPS, надо ещё один хоп к WARP поставить, и в интернет уже весь трафик пойдёт через WARP.
С упрощённым роутингом “всё не ру в туннель, всё в ру — в директ” будет примерно так:
wb.ru → роутинг клиента пускает в директ → wb.ruвидит IP провайдера.wb-sniffer.com → роутинг клиента пускает в туннель к VPS → VPS перенаправляет в WARP → wb-sniffer.com видит IP WARP.Пока нет, запретом пробивается
Можно и так
upd Тут подумалось… А что если сделать впс-ку не входной и не выходной нодой, а промежуточной? Клиент → условный варп → впс → условный варп
Из всего тут написанного выглядит так, что купить б/у телефон за 5к для ру апп вполне себе идея. 6 лет хожу с 2 телефонами (две симки) и неудобств нет.
Во всяком случае это неудобство не сравнится с потерей доступа к интернету
Ну а если прям хочется юзать всё на телефоне, ждать, надеяться или проспонсировать подробный гайд по настройке VPSок для минимизации риска. Чтоб человек приобрёл на месяц два сервера (в ру или еу), настроил, протестировал и выложил гайд (а на оставшиеся деньги попил пива с друзьями кофе с барышней).
А ну и после 15 числа уже можно поставить PCAppdroid или как там её и снифать ру приложения на предмет куда лезут. Сыылки анализировать и составлять geosite для чекеров, на которые приложения долбятся.
Сомневаюсь, что разрабы будут постоянно менять сайты-чекеры или искать хитрые способы добычи ip прокси. Скорее всего добавят какой-то модуль, отчитаются и будут предоставлять данные о совсем упоротых юзерах у которых впн настроен по принципу “и так сойдёт”.
Проверил:
v2rayNG, отключаем Hev tunnel, ставим порт 0, включаем Block connections without VPN
Termux, пущенный в обход впн, не может слать запросы ни через 1 интерфейс (wlan0, tun0, tun1), и порт 10808 действительно теперь пуст, там никого нет.
Но какой в этом смысл? У меня приложений шпионов нет и так, но если бы были, у них был бы полностью перекрыт интернет. Каждый раз выключать впн и менять настройки перед тем как их открыть? Потом забуду поменять настройки и включу впн, и досвиданья.
P.S. А ещё в v2rayNG какой-то баг. Если поставить порт 0, их встроенный чекер соединения (тык по статусу нижнему) идёт в обход впн и показывает мне мой российский айпишник.
Смысла особого нет, это просто временное решение. Нужно дождаться решения от разработчика или перейти на другой клиент. Голый sing-box for Android скоро добавит поддержку, а клиенты на базе mihomo уже умеют отфильтровать насильно навязанный трафик:
Тоже заметил.
Интересная идея. Не то чтобы весь трафик через такую схему гонять, но для некоторых сайтов можно в тестовом режиме погонять на ПК, например, посмотреть насколько хорошо будет работать YouTube.
Только опять же, будет пинг и тогда уж проще напрямую с WARP потом. Да и раз остальная схема всё равно используется, то смысла как будто особо и нет.
Всё всё всё через WARP гонять не получится, из-за пинга. Но в качестве прокси к только заблокированным веб-ресурсам – пойдет. Но тогда в режиме прокси, а не VPN.
Если нужны именно телега и ютуб проще и безопасней прокидывать в туннель только IPv6, а маршруты IPv4 оставить провайдерские. Например в случае WG:
AlliwedIPs=2000::/3
Все современные ОС предпочитают соединяться по IPV6 если это доступно. Большинство российских сайтов (вк, сбер, озон, авито) не работают по этому протоколу, а если даже какой-нибудь яндекс спалит ваш адрес это практически ничего не дает - максимум узнают имя хостинга VPS.
Как я помню, телега по IPv6 плохо работает, там какие-то проблемы были на андроиде. Хотя они, насколько я помню, касались подключения через прокси, но могу ошибаться, надо проверять. Возможно, что она будет пытаться подключаться по “замедленным” IPv4-адресам.
Из крупных российских сайтов только яндекс использует IPv6, хотя отдельные части с IPv6 могут встречаться и на других сайтах. Например недавно была история, когда при наличии IPv6 не открывались сайты ria.ru и kommersant.ru (причём они сами не используют IPv6). А там была CDN Мегафона, у которой был IPv6, но он сломался (сейчас уже починили), подключение принималось, но зависало (как будто РКН заблокировал, хотя там скорее всего на стороне Меги проблемы были).
Ещё одна мысль. Не знаю, может из раздела фантастики, расскажите что думаете.
Если на VPS стоит VLESS Reality и маскировка под российский сайт, то боту / краулеру / недоброжелателю достаточно сделать так:
curl https://ozon.ru --connect-to ::<ip адрес>
или даже так:
curl -k <ip адрес>
и, получается, VPS улетит в бан.
Причём это и к первому хопу тоже относится.
На iOS ютуб по IPv6 работает безупречно. В телеграм при старте секунд на 5-10 застревает синхронизация, затем все быстро, ровно.
С ру-сайтами проблем не встречал, сейчас проверил риа, комерсант - ничего необычного.
Закрывай свое реалити так:
https://ntc.party/t/какие-остались-живые-протоколы/23653/61
Для steal oneself это актуально, если на 443 порту висит xray, а на локальном кадди?
Это нужно делать только если вы хотите кроме steal-oneself ещё и REALITY на чужой домен поставить на одном и том же VPS на одном и том же порту.
В таком случае поставьте caddy-l4 на :443 и роутите трафик в зависимости от SNI (с proxy_protocol в caddy и acceptProxyProtocol в Xray при необходимости), всё заработает.
До такого ещё не дошли, пока комфортного решения нет.
Спасибо, разобрался
Во-первых, нужно установить libnginx-mod-stream или целиком nginx-extras
Во-вторых, деды всё-таки завещали nginx.conf не трогать, т.к. этот файл обновляется мейнтейнерами при обновлении до следующей версии дистрибутива, поэтому создал /etc/nginx/modules-enabled/90-stream.conf
stream {
map $ssl_preread_server_name $name {
<ваш SNI> xray;
}
upstream xray {
server 127.0.0.1:10000;
}
server {
listen 443;
proxy_pass $name;
proxy_ssl_server_name on;
ssl_preread on;
}
}
А в /etc/nginx/sites-enabled/default написал для лучшей маскировки:
server {
if ($host = <ваш SNI>) {
return 301 https://$host$request_uri;
}
server_name <ваш SNI>;
listen 80;
return 404;
}
Ну и 80й порт конечно теперь нужно открыть.
А теперь по идее можно ещё и fail2ban донастроить (nginx-botsearch включить) и ботов всяких банить на основании ошибок в логах 
Только не ставьте уведомления о том кто к вам заходит) задолбает быстро, лазить будут по 30 раз в день кому не лень
вариант выпиливания модулей не рассматривается?
несколько десятков приложений в каждом обновлении вырезать, следить за новыми модулями, смены их реализации и т.п.
имхо обновлять имеет смысл только когда старая версия блокируется сервисом, всякие такси и навигаторы работают годами без проблем и рекламы
Сложно. Во многие приложения уже добавлена защита от модификаций, на 4pda выпилиены темы по просьбам правообладателей, а сами приложения, если на телефоне стоят свежие гуглосервисы, могут затребовать принудительного обновления. Последнее парируется либо отключением плейстора, либо xposed модулем, и тогда проще забрать с apkpure старые версии, выпущенные до апреля. Но они тоже однажды сломаются.
З.Ы. Вообще рекомендую поставить Ice Box или его любой аналог. Софтина умеет автоматически дизейблить приложения по списку, чтоб они там в фоне ничего делать не могли. И туда же плеймаркет загнать вместо с русофтом
Соориентируйте пожалуйста, если рассматривать радикальный вариант с использованием отдельного устройства для ру приложений, но раздавать на него интернет с основного телефона через точку доступа вместо покупки отдельной сим карты, остаются ли какие-то уязвимости при использовании данной схемы?