Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2024)

Еще кстати, на этом же vps/vpn ранее, 5 авг и 26 июл на проводном интернете временно отбрасывались нестандартные порты(кроме 22/80/443), в соседней ветке отписывался подробнее.

Ну что я вам могу сказать, котики. Три дня игр в кошки мышки привели к следующему сетапу - берём у какого-нить российского провайдера самую мелкую VPS’ку, ставим туда любой понравившийся нам протокол. Дальше берём VPS’ку за пределами РФ.

А теперь самое главное - настраиваем между серверами какой-нить не попсовый протокол, благо в открытом доступе их сейчас много больше одного. Ну и дальше всё как по нотам - коннектируемся к эндпоинту в РФ, благо внутри VPN пока не лочат, и по туннелю на свободу с чистой совестью. Пусть и не очень быстро, зато без товарища майора.

Уже несколько дней видно вал жалоб — VPN стали блокировать еще больше и еще лучше, теперь ударили по частным серверам, которые люди поднимают за границей для себя, своих друзей и близких. Блокировка теперь идет «по протоколу» — то есть Роскомнадзор больше не ищет вражеские сервера в интернете, а прямо по характеру подключения понимает, что у вас там внутри нехороший VPN, который надо заблокировать.
В России стали блокировать VPN по протоколам (через DPI). Этот более эффективно, чем блокировка по IP. И тут к слову миллиардер Алишер Усманов хочет с санкций Запада соскочить — а именно он поставлял властям РФ оборудование для DPI-блокировок.

Возможно это был по-прежнему удар по публичным VPN, только более радикальный и эффективный. Ведь количестово пользователей публичных сервисов значительно превышает число владельцев собственных серверов. Количество публичных ВПН наверное измеряется тысячами и появляются все новые. Поэтому выявлять и блокировать каждый непросто, вместо этого эффективнее блокировать сразу протоколы.

Инструкцию - в студию!

Проверяли наличие IKE_AUTH Initiator Request (с полным разбором и проверкой размеров), а блокировали уже после N-следующих датаграмм с любым содержимым. При этом проверяли помимо стандартных портов (которые не меняются через конфиги можно поменять) множество других, но не все.

Похожие проверки, но проверяли еще Message ID. Возможно используют гибрид, разбор после совпадения паттернов.

Tele2 перестал блокировать wireguard

«Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации». Представитель РКН не ответил на повторный вопрос СМИ, связан ли с действиями ведомства сбой на этой неделе в работе в стране VPN-протоколов OpenVPN, IKEv2 и WireGuard.

Теперь проверяют все.

Тупой как пробка. Кто в здравом уме позволяет корпоративным сотрудникам использовать зарубежные серверы, лол. :rofl:

A post was merged into an existing topic: Периодическая блокировка OpenVPN на части операторов (с 31.05.2023)

Представитель РКН ответил в VK на жалобы пользователей которые пишут опять блокировка VPN началась. Скажите, вы издеваетесь над нами в край или как???
Ответ представитель РКН дал таков:Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации.
Рекомендуем российским предприятиям и организациям ускорить перевод информационных систем, протоколов, обеспечивающих работу их внутренних бизнес процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории нашей страны.
По закону средства обхода блокировок противоправного контента признаются угрозой безопасности граждан. При их использовании сохраняется доступ к запрещённой информации и создаются условия для незаконной деятельности, в том числе связанной с распространением наркотиков, детской порнографии, экстремизма, склонением к суициду.

Иностранные владельцы VPN-сервисов имеют доступ ко всей информации, которую российские пользователи передают при использовании таких сервисов анонимизации для посещения заблокированных в России ресурсов. Добровольно переданные личные данные, финансовая информация и пароли от учетных записей становятся предметом изучения для последующего использования в мошеннических целях, шантажа и других противоправных действий, направленных против самих пользователей или их окружения.
Роскомнадзор ведёт постоянный анализ, обновляя перечень VPN, работающих в России, и ограничивает работу сервисов, нарушающих российское законодательство которые отказываются подключаться к ФГИС и отказываются сотрудничать ограничивать блокировать доступ к запрещенным в России сайтам .

Интересно, слышал ли он про https.

Версия 3. Печальная. Бетатестинг силами интернет ЗК не помогает.

Все настолько грубо и непрофессионально, что работать практически невозможно…

Есть один рабочий способ убрать блокировки – демонтировать ТСПУ систему.

Можно долго пинговать, если выхода нет, блокиратор по таймауту перенесет сессию из watch в pass и отстанет. Это edge case, но могли бы удалять или переносить в block. Впрочем, хорошего выбора в такой архитектуре все равно нет.

Не самое редкое правило, досматривать входящие. WARP блочат для входящих, но там сигнатур больше одного WG.

Такое наблюдается на госграничных блокировщиках, блокируют исходящие (направление зависит от правила) не трогая входящие. На провайдерском такое поведение странно. Но это может быть просто асимметричный линк, хотя воспроизводится стабильно.


Что если масштабные (в отдельных местах) блокировки протоколов это баг в дедупликации адресов из правил. Блокировки изначально были расчитаны на приложения со своими адресами, сигнатурами. Сервис может использовать только часть протоколов для части адресов, но после компиляции правила получается единый блок – для всех адресов сервиса блокируют все его сигнатуры. Другое приложение с “чужими” адресами и новой сигнатурой делает ситуацию интересной. Слабые же просто не вывозят и до бага не доходит.

А никто не пробовал “ронять” ТСПУ? Сколько соединений может быть в watch? Если отправить десяток миллионов UDP пакетов на случайные IP/порты (а в watch оно висит до таймаута или N пакетов), там память не кончится?

Его постоянно “роняют”. Когда говорят “бились-бились подключились” это оно. Там есть ограничения, как в любом DPI, на максимальное число сессий.

А чем 3x-ui + Trojan/(shadowsocks/vmess/vless) не устроило конкретно? Хотелось бы знать т.к. я один из контрибьюторов 3x-ui. Просто зачем делать какие-то танцы с бубном через sshuttle не совсем понимаю.

3x-ui сервер очень прост в установке и настройке. Это удобный web ui для настройки серверной части для разных протоколов. С ним проблем у меня не было.

Проблемы лично у меня начинаются при выборе и настройке клиентов (в частности под macOS).

Мне нужен полноценный туннель. Я рассматривал Wireguard внутри Shadowsocks либо Trojan.

Мне нужно в туннель пустить только этот список публичных ipv4 подсей 1.0.0.0/8, 2.0.0.0/8, 3.0.0.0/8, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/6, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4.

Клиенты под macOS:

V2BOX + Trojan - умеет делать tun, но я не нашел как заставить его не вмешиваться в мой DNS трафик. Я его сам локально маршрутизирую домены на разные nameservers через локальный dnsmasq. Поэтому у меня в системе прописан DNS 127.0.0.1. А V2BOX добавляет свой и ломает мне все. Я не смог в macos это победить и в самом клиенте тоже.

FoXray + Trojan - такие же проблемы, что и с V2BOX. Просто не нашел как заставить не вмешиваться в DNS.

Sign-box + Trojan/Shadowsocks - просто не удалось настроить прокси, чтобы пустить через них Wireguard. Документация скудная, тупо описание директив. Examples не работают. Отладочной информации все эти клиенты толком никакой не дают даже в verbose режимах.

ss-server/ss-tunnel - удалось завести и даже пустить через него WG, но потом перестало работать. Пока разбираюсь.

Cloak - для маскировки трафика под HTTP. Пока разбираюсь. Хочу через него Shadowsocks+Wireguard запустить, но тоже пока без результатов.

UPDATE: короче я верю что все эти прокси протоколы Trojan/(shadowsocks/vmess/vless) классные, но пропихнуть через них обычные нормальные VPN протоколы не очень просто. Вот как раз это и есть настоящие танцы с бубнами.