Обсуждение: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2024)

WG от amnezia, GOST в режиме tun, openvpn поверх xtls - тестировал, работает

upd: openvpn поверх cloak - тоже вполне рабочее решение.

И тем не менее - заблокировали.

к сожалению :frowning:

Повтор ситуации от прошлого сообщения 12 марта. Сегодня 29 марта с 9:00 по московскому времени ТСПУ снова выключили на непродолжительное время в сегменте мобильного интернета - вновь подключается к заблокированным VPN сервисам по Wireguard подключению. OpenVPN не проверял.
В тот раз, после того как вновь включили блокировки был заблокирован protonvpn по wireguard соединению на Ростелеком провайдере. Что в этот раз будет подвергнуто блокировке скоро узнаем.

Краткие итоги битвы при гугльплее.

В магазинах гугла ~800 приложений, которыми может интересоваться РКН. Примерно, потому что гугл не даст вам сграбить все приложения, а разработчики не всегда выбирают логичные категории для размещения (может быть коммуникации, продуктивность и прочий шопинг), описание может выдавать ложные совпадения, а ещё все динамично ибо там кипит жизнь. Из них ~100 приложений не доступны россиянам.

С учетом блокировки протоколов, рабочими полностью или частично остаются ~150 приложений. Из них больше половины выглядит как одноразовая поделка. Ограничение по времени, единственный сервер и тот в кванмене, реклама , реклама, реклама, прогрев при отключении и включении, это большинство. По настоящему юзабельных, не напоминающих атаку клонов, пара десятков, не больше.

И эта славная двадцатка чаще мерцает, чем работает. Славные воскрешения или эпичные отстрелы своей ноги РКНом создают иллюзию, но по факту лучшее приложение перестанет работать в самый лучший для вас момент. И это не считая операторов со своей цензурой, как йота, у которых работает и того меньше.

Хм, блокировка, похоже, связана с диапазоном IP моего хостинга VPS.
Жаль, что я это сообщение раньше не обнаружил :confused::

P.S. на йоте тоже стало блокировать через несколько недель. Но она хотя бы дешевле, не зря переходил :laughing:

Подскажите пожалуйста, где можно про openvpn over xtls почитать? Как настроить такое?

Для начала надо запустить работающий канал xtls, вот примеры Xray-examples/VLESS-TCP-XTLS-Vision-REALITY at main · XTLS/Xray-examples · GitHub
Затем на сервере нужно повесить wireguard или openvpn на локальный порт (можно добавить на loopback дополнительный IP или просто на 127.0.0.1)
Затем на клиенте сделать listener и отправлять его в xtls-туннель. Цепляться нужно соответственно на этот listener. Пример на Xray:

{
  "inbounds": [
    {
      "tag":"in_wg",
      "listen": "127.0.0.1","port": "8086",
      "protocol": "dokodemo-door",
      "settings": {
        "address": "127.0.0.1",
        "port": 8085,
        "network": "udp"
      }
    }
  ]
}

Здесь address - это уже точка подключения на сервере. Затем через routing отправляем этот порт на сервер через xtls:

          {
                "inboundTag": ["in_wg"],
                "outboundTag": "vless-vps6"
          }

После этого просто подключаемся к локальному порту клиента и происходит магия:

[Peer]
PublicKey = xxx
AllowedIPs = xxx
Endpoint = 127.0.0.1:8086
PersistentKeepalive = 15 # это чтобы не падал туннель и проходила "обратка"

Кстати удобно на сервере на loopback повесить адрес из диапазона AllowedIPs - тогда он будет сразу маршрутиться корректно и можно достигать сервера и портов на нем без дополнительных плясок. И xray/vpn не будут падать из-за отсутствия адресов, потому что адреса физических и vpn-адаптеров не используются.

Ну и кстати, на openvpn все проще, клиента можно настроить подключаться через socks-inbound, который уже уходит в туннель xtls.

remote 127.0.0.1 1096
proto udp
dev tun
fast-io

topology subnet
ifconfig xxxxx

socks-proxy <socks-ip> 1080

На таттелекоме с сегодняшнего дня режется sstp, похоже в ходе борьбы с дудосерами…
image

OVPN через Surfshark не работает сегодня. Заблочили совсем или временно в честь праздника?
TCP/UDP ничего не коннектит

Фигня какая-то написана. Через 443 порт работает так же обычный HTTPS. Без active probing’а или ещё какого-либо очень нетривиального анализа SSTP от HTTPS со стороны не отличить, одного только факта коннекта на 443 порт явно недостаточно (они таким образом заблокируют буквально весь интернет).

Скорее всего, имеется в виду что они порезали коннекты на 443 на абонентские адреса.


image

Опять же, брехню пишут. Что значит “возможно в исключениях”? SSTP - это и есть HTTPS-трафик. Снаружи неотличим. И тоже 443 порт.

В любом случае, без информации о том, откуда именно и куда именно идёт подключение (какие AS и в каком именно направдении), каким именно клиентом, помогает ли смена порта, ходит ли на тот же порт простой HTTPS например к Nginx/Caddy, и дампов трафика рассуждать по одному шакальному скриншоту и ответам бестолковой техподдержки (SSTP связан с DDoS, охотно верим, ага), нет смысла.

у нескольких провайдеров, которыми пользовался, сегодня тоже surfshark перестал работать через openvpn

написал им в суп, сказали что знают о проблеме, предложили с их китайского сайта скачать файлы коннекта и так же попробовать WG, но у меня все по нулям, так же в их оф дискорде народ активно пишет из РФ, надеюсь на скорое решение

Может быть кто-то подскажет, ставлю WireGuard, заливаю туда SurShark профиль (проверяли люди из г. Киров, провайдер Ростелеком как и у меня, работает Таиланд-Бангкок и Англия-Манчестер), все по инструкции и только я нажимаю activate, как прога коннектится (зеленая галка), а интернет обрубает в ноль, как будто провод выдернули из компа. Как только отключаю - интернет появляется снова. VPN само собой не работает ни так ни сяк.

Чел в оф дискорде шарка сказал что у него (он в Китае) завелся VPN через фирменное приложение SurfShark на телефоне, выставил профиль WG и сервер Хьюстон. Попровал у себя, у меня завелся так же (Москва МТС мобильный, Ростелеком дома), но только на протоколе IKEv2, Хьюстон сервак.

Думаю ок, попробую скачаю фирменную прогу шарка на комп. Поставил, выбрал Хьюстон, профиль WG (IKEv2 отсутствует) и у меня так же произошла обрубка интернета. Такое впечатление что у меня комп не воспринимает WG или что то надо в настройках где то подкрутить, я просто не разбираюсь в этом. Может кто подскажет?

Коннект есть, интернета нет - типичный симптом блокировки wireguard протокола провайдером. wireguard шлюз не отпускает даже в случае таких затыков, чем и хорош. Соответственно интернет пропадает, т.к. протокол блокируется.
Просто провайдер видимо несколько первых пакетов разрешает, соединение (handshake/рукопожатие) успевает установиться, а потом блок.

Принял, спасибо за разъяснение

насколько я понимаю, через openvpn и wireguard одинакого, к surfshark сейчас можно подключиться только по нескольким предоставляемым surfshark’ом айпи.
поэтому есть смысл поставить wireguard (имхо, он для этого удобнее) и проверять все айпи из всех стран, что предоставляет surfshark