Думаю да, пользовательская база ру-софта в мобильном сегменте была признана достаточно большой, чтобы фактически дать отмашку РКН на блок всего забугорного.
Я абсолютно везде продвигаю следующую идею: Любое конечное устройство должно абсолютно прозрачно получать доступ к любым ресурсам и знать об ограничениях / помехах в сети – ни в коем случае не должно. Знания об этом туда утекать не должны. Это базовый принцип энкапсуляции знаний.
Всеми политиками / ограничениями должен заниматься центральный узел маршрутизации.
На единственном смартфоне используются любые сервисы, в том числе шпионы, и в том числе кем-то там “запрещенные”.
Отдельный смартфон покупать – не надо.
Моя схема изначально не делит userspace программы на классы “убожество / не убожество”. Всё что угодно – используется “как есть”, без патчей, без хаков и модов, а “как есть”. Можно пользоваться и наслаждаться российским ПО как раньше, бояться – не нужно.
оффтоп
Просто гипотеза, я могу ошибаться:
Действительно, существует “невидимое большинство”, о котором нам ничего не известно, которые даже интернетом не пользуются. Это средний/ниже-среднего класс людей. Это мы всё говорим “да большинство за это даже не проголосовало, всё сфальсифицировали”, а не видим армию из десятков миллионов пресловутого “невидимого большинства”. Очевидно все разумные люди – на поверхности. Речь не про политику, а вообще за оценку действий РКН, т.к речь идет про РКН.
Пока что хорошим вариантом выглядит переход на веб версии ру сервисов в отдельном браузере.
Какие подводные могут быть?
Если сам браузер исключён из туннели, то веб-приложение не увидит ни состояние VPN, ни наличие сомнительных прокси или интерфейсов. Доступа к localhost тоже не будет.
Вот и я о чем, пока что кажется железобетонным вариантом. Но точно ли не будет доступа к localhost?
Браузер действительно даёт хороший уровень sandbox изоляции – почти как отдельная ОС. Но это не самый лучший вариант из всех известных.
Например, из плюсов, он сильно ограничен к raw доступу к сетевому стеку браузерным API.
Да, это уже упомянули в другом посте. Стучить до иностранных IP тоже не сможет через прокси. Единственное, что может спалить - собственная маршрутизация на роутере сети, к которой подключаетесь.
Главный подводный, с которым я столкнулся, это в PWA версии яндекс карт нет оффлайн режима. Для оффлайн карт нужно приложение. В теории PWA могут работать без сети после первой прогрузки, но видимо не реализовано. Для меня это оказался прямо камень преткновения, потому что все зарубежные карты, вроде гугла или Эппл, в моей локации совершенно неактуальны и неюзабельны, я.карты и 2гис по сути тут безальтернативны. Пришлось оставить нативное приложение карт в дальней папке на крайний случай для навигации без интернета, но по дефолту я перешёл на PWA.
Имхо если и использовать приложения, то лучше бы старую версию, например годичной давности. Там уж точно не должно быть никаких специальных модулей по выявлению впн.
С временем могут заблокировать старые версии. Но в целом всё равно можно их пропатчить.
В связи с этой находкой, кажется тут остались немного вариантов:
- Использовать российские приложения исключительно через веб-приложения/веб-сайты,
- Запуск клиентов VPN в режиме прокси с аутентификацией и использование только отдельных приложений с поддержкой прокси-режима,
- Использовать 2-й телефон,
- Настроить маршрутизацию (это работает на уровне ниже интерфейса по крайней мере на роутерах и на клиентах, но легко палится выходной IP).
Возможно я что-то пропустил или лишнее сказал. Буду рад предложениям.
Уточню:
А именно, full-tunneling / split-tunneling (лучше full, split по белым доверенным спискам) на первый хоп (с разным входным / выходным IPv4) + split-tunneling на второй хоп. Например, как предложено в схеме.
Помещу в эту тему, т.к она больше сюда подходит.
Я так понимаю, что речь идет именно о VPN интерфейсе и что не будет утечек мимо него. То есть маршрутизовать вообще ВСЁ! с устройства без утечек в DIRECT. Кстати, это ровно то, почему и существует эта функция (речь не про ПК с bittorrent → direct, а смартфоны).
На ПК нормально sing-box работает,
route.rule
{
"ip_is_private": true,
"action": "route",
"outbound": "direct"
}
Утечки в Direct могут быть, если в правилах маршрутизации приложения они присутствуют. Условный geosite:category-ru/geoip:private → Direct не будет ломаться, поскольку маршрутизация на уровне routing у Exclave (другие клиенты не проверил) происходит не мимо интерфейса, а через него, поэтому и не блокируются.
Также проверил - на приложения внутри Knox (и предполагаю, другие формы рабочих пространств) правило “Block connections without VPN” не распространяется, но проверить доступность интерфейса tun0, который запущен в основном профиле, не могу, поскольку в других пространствах не работает Termux.
Mir Pay не закинуть в вэб.
Какие-то банковские приложения / MAX Auth – требуют именно мобильных приложений. Если вы не хотите покупать второй телефон (что всё равно будет ненадежным, без педантичного анализа trust-score каждого приложения) – просто настройте маршрутизацию.
Может кому пригодится - удалось ограничить доступ к tun0 интерфейсу на рутованом android. Использовал AFWall+ (с fdroid). В настройках нужно включить галку “VPN control” - появится столбец для доступа к vpn. Ставим галки на wifi+моб.сеть приложениям с инетом, остальное (доступ к vpn/localhost) только для нужного и проверенного.
После этого curl из termux не смог добраться ни до tun0, ни до голого socks (который от v2rayng)
Увы, способ только для тех у кого есть root( и только от приложений, но не сайтов
Кстати отсутствие галки от LinageOS в настройках приложений “Данные vpn” - не спасла от доступа к tun0
Так и знал:
вплодь до рута Android
Прикольно конечно, очередной 101й фикс, на очередную 101ую дыру.
Там гугл на самом деле вроде собирался гайки закручивать, касательно доступа к localhost. Вроде с 16й или 17й версии дополнительные права для этого нужны будут.
А если приложения ещё сканировать на мобиле что-то начнут - кажется это вообще повод для их бана на google play.
Через Terminal Emulator проверял, интерфейс доступен, причём неважно, для VPN рабочего пространства тоже включён режим “Block connections without VPN” или нет.
А маршрутизацию я бы не рекомендовал, т. к. выходной IP палится. Причём если сервис, который нуждается в Direct подключении, сам настроит проверку IP, то тут уже окончательно палится использование VPN/прокси. Допустим, если Госуслуги забанит все нерезидентские адреса и его придется пустить через условный LTE-роутер напрямую, то он сможет проверить наличие обхода путём запроса на условный зарубежный IP-чекер и на свой собственный чекер. Первый вернёт иностранный IP (причем тут уже неважно, резидентский или нерезидентский), а второй вернёт внешний IP роутера, и это несоответствие сразу спалит использование VPN/прокси.