Tele2 перестал блокировать wireguard
«Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации». Представитель РКН не ответил на повторный вопрос СМИ, связан ли с действиями ведомства сбой на этой неделе в работе в стране VPN-протоколов OpenVPN, IKEv2 и WireGuard.
Теперь проверяют все.
Тупой как пробка. Кто в здравом уме позволяет корпоративным сотрудникам использовать зарубежные серверы, лол. 
A post was merged into an existing topic: Периодическая блокировка OpenVPN на части операторов (с 31.05.2023)
Представитель РКН ответил в VK на жалобы пользователей которые пишут опять блокировка VPN началась. Скажите, вы издеваетесь над нами в край или как???
Ответ представитель РКН дал таков:Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации.
Рекомендуем российским предприятиям и организациям ускорить перевод информационных систем, протоколов, обеспечивающих работу их внутренних бизнес процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории нашей страны.
По закону средства обхода блокировок противоправного контента признаются угрозой безопасности граждан. При их использовании сохраняется доступ к запрещённой информации и создаются условия для незаконной деятельности, в том числе связанной с распространением наркотиков, детской порнографии, экстремизма, склонением к суициду.
Иностранные владельцы VPN-сервисов имеют доступ ко всей информации, которую российские пользователи передают при использовании таких сервисов анонимизации для посещения заблокированных в России ресурсов. Добровольно переданные личные данные, финансовая информация и пароли от учетных записей становятся предметом изучения для последующего использования в мошеннических целях, шантажа и других противоправных действий, направленных против самих пользователей или их окружения.
Роскомнадзор ведёт постоянный анализ, обновляя перечень VPN, работающих в России, и ограничивает работу сервисов, нарушающих российское законодательство которые отказываются подключаться к ФГИС и отказываются сотрудничать ограничивать блокировать доступ к запрещенным в России сайтам .
Интересно, слышал ли он про https.
Версия 3. Печальная. Бетатестинг силами интернет ЗК не помогает.
Все настолько грубо и непрофессионально, что работать практически невозможно…
Есть один рабочий способ убрать блокировки – демонтировать ТСПУ систему.
Можно долго пинговать, если выхода нет, блокиратор по таймауту перенесет сессию из watch в pass и отстанет. Это edge case, но могли бы удалять или переносить в block. Впрочем, хорошего выбора в такой архитектуре все равно нет.
Не самое редкое правило, досматривать входящие. WARP блочат для входящих, но там сигнатур больше одного WG.
Такое наблюдается на госграничных блокировщиках, блокируют исходящие (направление зависит от правила) не трогая входящие. На провайдерском такое поведение странно. Но это может быть просто асимметричный линк, хотя воспроизводится стабильно.
Что если масштабные (в отдельных местах) блокировки протоколов это баг в дедупликации адресов из правил. Блокировки изначально были расчитаны на приложения со своими адресами, сигнатурами. Сервис может использовать только часть протоколов для части адресов, но после компиляции правила получается единый блок – для всех адресов сервиса блокируют все его сигнатуры. Другое приложение с “чужими” адресами и новой сигнатурой делает ситуацию интересной. Слабые же просто не вывозят и до бага не доходит.
А никто не пробовал “ронять” ТСПУ? Сколько соединений может быть в watch? Если отправить десяток миллионов UDP пакетов на случайные IP/порты (а в watch оно висит до таймаута или N пакетов), там память не кончится?
Его постоянно “роняют”. Когда говорят “бились-бились подключились” это оно. Там есть ограничения, как в любом DPI, на максимальное число сессий.
А чем 3x-ui + Trojan/(shadowsocks/vmess/vless) не устроило конкретно? Хотелось бы знать т.к. я один из контрибьюторов 3x-ui. Просто зачем делать какие-то танцы с бубном через sshuttle не совсем понимаю.
3x-ui сервер очень прост в установке и настройке. Это удобный web ui для настройки серверной части для разных протоколов. С ним проблем у меня не было.
Проблемы лично у меня начинаются при выборе и настройке клиентов (в частности под macOS).
Мне нужен полноценный туннель. Я рассматривал Wireguard внутри Shadowsocks либо Trojan.
Мне нужно в туннель пустить только этот список публичных ipv4 подсей 1.0.0.0/8, 2.0.0.0/8, 3.0.0.0/8, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/6, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4.
Клиенты под macOS:
V2BOX + Trojan - умеет делать tun, но я не нашел как заставить его не вмешиваться в мой DNS трафик. Я его сам локально маршрутизирую домены на разные nameservers через локальный dnsmasq. Поэтому у меня в системе прописан DNS 127.0.0.1. А V2BOX добавляет свой и ломает мне все. Я не смог в macos это победить и в самом клиенте тоже.
FoXray + Trojan - такие же проблемы, что и с V2BOX. Просто не нашел как заставить не вмешиваться в DNS.
Sign-box + Trojan/Shadowsocks - просто не удалось настроить прокси, чтобы пустить через них Wireguard. Документация скудная, тупо описание директив. Examples не работают. Отладочной информации все эти клиенты толком никакой не дают даже в verbose режимах.
ss-server/ss-tunnel - удалось завести и даже пустить через него WG, но потом перестало работать. Пока разбираюсь.
Cloak - для маскировки трафика под HTTP. Пока разбираюсь. Хочу через него Shadowsocks+Wireguard запустить, но тоже пока без результатов.
UPDATE: короче я верю что все эти прокси протоколы Trojan/(shadowsocks/vmess/vless) классные, но пропихнуть через них обычные нормальные VPN протоколы не очень просто. Вот как раз это и есть настоящие танцы с бубнами.
Попробуйте простой советский DTLS для туннелирования UDP, может быть вам зайдёт: GitHub - SenseUnit/dtlspipe: Generic DTLS wrapper for UDP sessions
Спасибо за dtlspipe! 
С ним без проблем все завелось. Работает! В итоге я проверил несколько конфигураций и все пока работают.
- dtlspipe + wireguard
- cloak + dtlspipe + wireguard
- cloak + wireguard
понимаю что не мне было адресовано, однако вставлю свои 5 копеек:
Как началась чехарда с протоколами VPN, SS и вариации вцелом функционально решили проблему, однако для моего ОпСоСа(Мотив) каким то особым откровением не стало и ему были побоку любые попытки маскировки, которые предлагали мне протоколы. Чтобы обозначить четче: доступ был, но провайдер четко знал что я использую тот или иной тип контента, и резал скорость. Установка Vless+TLS тоже не решила проблему, однако как только вместо TCP я перешел на http как вид транспортного протокола все ограничения сразу исчезли. В силу того что я знаю все эти штуки скорее по необходимости, чем из интереса каких то конкретных данных предоставить самостоятельно не смогу.
А обычные HTTPS сайты тормозят?
Вцелом, любая попытка соединить мобильный интернет и SS и подобные не самая лучшая из затей, и мной откладывалась до последнего, в силу высоких пингов и невозможностью комфортно пользоваться многими функциями(любая онлайн игра к примеру), а http метод его еще усугубил тем, что интернет стал…так скажем “однозадачным”, т.е. обращаясь к адресу А, я не имею связи с адресом Б. Малейшая попытка допустим попробовать открыть страницу другого сайта полностью глушит меня в дискорде, а попытка открыть несколько страниц разом, превращается в долгую историю на пол минуты.
ответь в лс если пришло сообщение