чтобы телега работала и ютуб
Ещё хочу добавить - надо менять стандартный порт в xray/sing-box на андроид клиентах. Чтобы не стандартный по типу 2080, а рандомный, в который так просто не достучаться.
А много приложений вообще умеют им пользоваться? Я в пункте 5 про это написал (просто выключить его).
На Андроиде есть какой-нибудь детский режим, где всё запрещено? Купить им такую трубку, настроить, дать в руки, сказать ничего не трогать. Без браузера, без новых приложений.
общаться с ними надо. сделать им самому
А что скажете про такую простую схему без впн?
На андроиде:
Нет ру приложений кроме яндекс.такси
Для банков, госуслуг и пр. используется веб-версия
byebyedpi в режиме прокси с рабочей стратегией
В firefox прописан локальный прокси byebyedpi, открываются все сайты без ip-блока/гео-блока
В opera-mini включена экономия трафика, открываются все сайты с ip-блоком/гео-блоком
В 15ГБ укладываюсь стабильно
На windows:
Запущены byedpi и прокси с зарубежным ip (условный протон)
В firefox расширение SmartProxy в режиме “умный прокси”. Там свой небольшой список проксирования только для нужных заблокированных сайтов (никаких ip-чекеров). Стоит галка «Использовать прокси для вкладки/источника»: “вся страница, включая все соединения с разных доменов и источников, использует один и тот же прокси, который применяется к исходной вкладке. Также этот параметр устраняет необходимость иметь отдельное правило для каждого домена”. Плюс возможность запомнить для каждого сайта свой прокси
Сайты из списка проксирования без ip-блока/гео-блока идут через byedpi, с ip-блоком/гео-блоком - через прокси. Все ру сайты видят мой реальный ip, остальные - ip зарубежного прокси
ТГ идет через зарубеж. прокси
Если введут ограничения на зарубеж. трафик на проводе, можно будет сделать цепочку ру прокси (условный варп) - зарубеж. прокси
Есть уязвимые места в такой схеме?
Про это не знаю, но и согласия пользователя на это не требуется, то есть можно незаметно проверить известные порты даже из второго пространства. В V2rayNG и nekobox, например, нельзя отключить локальный socks, можно только явно задать другой порт
Нет российских приложений?
Куда уходят DNS запросы из Firefox, когда открывается зарубежный сайт через зарубежный прокси?
Что будет если российский сайт попробует постучаться в 127.0.0.1 на порт 1080 или 2080, что он там увидит?
Да? Я только что в nekobox отключил, просто стёр порт. Проверю, сработало ли.
P.S. И правда, остался 2080 
Когда то давно по дури установлен яндекс-браузер (но он не обновляется - его сервера заблочены в файерволле, и не запускается, все его сертификаты, выпилены из системы)
В зарубежный doh
Ничего, у меня порты не стандартные) Но можно и авторизацию добавить
У меня nekobox все равно биндится на 2080, если явно не указать другой
Уточню: доверенные (все полностью безопасные) устройства.
Причем браузер без VPN должен быть дефолтным в системе.
Если правильно настроить маршрутизацию, как написано в статье – можно и даже нужно.
Это полезно для второго хопа (например geoip Telegram / geoip Apple), но не первого.
На втором хопе, после full-tunneling до первого хопа. Полезно, для настройки маршрутизации исходя из политик сервисов.
Сам факт доступа к запрещенным ресурсам защищать – не требуется. А вот входной IP туннеля – да. Для этого туннелируется всё с минимальными исключениями на клиенте (например подсети Apple можно доверять). Затем на самом сервере по дефолту делается апстрим в WARP с минимальными исключениями для DIRECT, причем на VPS используется два белых IP на вход и выход.
Нет, намного проще – туннелировать всё (с минимальными исключениями), и выбирать маршрутизацию на ноде. Так даже iOS и прочие устройства – будут счастливы, на них настраивать кроме полной маршрутизации ничего не надо.
Для этого используем разные IP на вход и выход.
Это хрупкое подразумевание, что вы “100%” никаких шпионов не оставили и их в будущем не появится (в неожиданном месте).
На самом деле вывод такой – не доверять клиентам вообще. А значит доверять только своей ноде.
Не доверять им. Не доверять их дырявым устройствам. Не доверять их гигиене вообще. Доверять только своей ноде. И у всех вас появится одинаковый свободный доступ ко всем ресурсам без всякой там гигиене и костылям на устройствах.
Предполагаете что не осталось шпионов? Хрупко.
Всякие прокси шмокси в конкретных userspace программах, при условии что шпион не сможет через них узнать IP (то есть вы это гарантируете) – это минимизирует риск, да. Полностью исправит все проблемы (панацея) – нет, остаётся синхронизация шпионского модуля с ТСПУ и обнаружение проксей через логи в том же временном окне.
Вот вы уже какие-то уязвимости находите. А авторы костылей – даже про них могут и не знать. Узнают только когда РКН их туннель за жопу возьмет, а там тоже не дураки сидят, будут во все дыры бить и найдут (цензоры на этом собаку съели, а вы всё думаете что умнее их).
Давай-те ещё 100500 костылей придумаем, это как затыкать утечки в корабле изолентой, соплями, коричневыми массами, вместо того чтобы не тонуть вообще.
TL;DR: Если вы ищете на 100% свободный интернет на любом айфоне и тостере, с 0% шансом утечек, и без необходимости быть экспертом в безопасности ОС и разбираться; А также элегантный и архитектурно правильный подход – предлагаю следующую схему маршрутизации.
Если коротко: все девайсы туннелируются (полностью или почти) и маршрутизация дальше в апстрим выбирается на единственной ноде. Причем входной и выходной IP на сервере – разный, это ограничивает ущерб. Шпионы не страшны.
Спасибо, очень важное уточнение, добавляю в пост.
Да, читал, работа проделана очень серьёзная. Смущает только то, что бесплатный сыр не бывает вечным, либо CF нас пошлёт каким-то образом, либо введёт плату за WARP (зарубежной картой, конечно же). Поэтому хочется создать сейчас безопасную схему на своём единственном VPS, в крайнем случае - на парочке.
Остальное прокомментирую по мере осознания, если будут вопросы)
Я пока просто обхожусь тем, что не делюсь сервером и не захожу с него на русские сервисы (для коих не ставлю приложения), а на случай ошибок побанены geoip, TLD на уровне xray и DNS + все завернуто в WARP. Интересно увидеть их методы на практике или чей-нибудь слив методички, сомневаюсь, что там что-то переплюнет китайский GFW, с которым по сей день практически все делят трафик обычными наборами правил (иногда докидывая известные айпи-чекеры) и не заморачиваются.
А может пока не так страшно? ну спалит РКН выходной адрес VPN, но у нормальных сервисов он как правило отличается от входного. Российские ресурсы могут стать недоступны с него, но это не так важно, до российских ресурсов можно подключиться напрямую.
Страшно будет тогда, если РКН научится по данным netflow от операторов сопоставлять выходные адреса со входными и блокировать входные адреса.
Например, сервис видит, что пользователь Иванов скачал с выходного адреса VPN X видео на N Мб, и оператор видит, что в то же время пользователь Иванов скачал с входного адреса Y N Мб трафика, можно сопоставить адреса X и Y и заблокировать входной адрес. Это сложно, хотя и технически реализуемо.
Обойти такое будет сложно, разделением трафика на несколько адресов, добавлением мусорного трафика, снижением скорости для зашумления и т.п. Не для обычного пользователя точно, тогда VPN перестанет быть доступен массам.
Предлагаю не делить шпион / не-шпион по публичным спискам. Цензоры не дураки.
Если вы сделаете то как в схеме – пользуйтесь всеми благами ру-сервисов / любых других на здоровье, пусть хоть обшпионятся. И про гигиену на тупых устройствах можно забыть.
Это ровно то в чём я и был уверен, то что они уже делают на крупнейших сервисах. А сейчас и вовсе будут распространять шпионские модули дальше по сервисам с IT аккредитацией.
На самом деле много вычислительных ресурсов на синхронизацию шпионских-модулей с ТСПУ не надо.
Это уязвимость split-tunneling маршрутизации на первом хопе.
Починить: full-tunneling на первый хоп + split-tunneling на второй хоп.
И всё, что тут думать?
Лично я сделал рабочий профиль через shelter и закинул туда все российские приложения которыми пользуюсь. Все остальное на личном профиле. Туда же закинул копию хрома , потому как некоторые приложения, например пятерочка авторизуется через браузер по x5id., соответственно без браузера мы просто не авторизуемся, будет вылетать ошибка. Это спасает меня от засвета приложения впн при получении списка установленных приложений, исключает попадание в туннель, засвет входных и выходных ip впн. Приложения видят только флаг включённого vpn. Идеальная картинка для ркн это если все приложения ходят серез резидентные ip. Они это получают.Тайминг пинга реальный , потому сразу долбятся на их сервера. Мне проще поставить 10-15 приложений в рабочий профиль или knox
Т.е. это не проблема, если условный шпион через дыры в сплите вылавливает помимо домашнего IP какой-то другой при условии, что этот другой IP отличается от входного IP прокси? Или я не так понимаю второй хоп?
Идея в том, что шпион домашний IP не вылавливает вообще. Если он это будет делать – синхронизируя шпиона с ТСПУ можно будет обнаружить туннель. Вы сами адрес ТСПУ им передаете.
Да, без разницы, у шпиона будет доступ к любым ресурсам, свободный.
Входной IP туннеля он всё равно не узнает, даже ваш адрес ТСПУ – тоже нет.
А вам – удобство + отсутствие костылей на каждом устройстве + контроль в одном месте на ноде.
99999 тоже не помог, он молча запускает на 2080 прокси. Режима “только впн“ нет.
Поставил рандомный очень высокий