Что значит монорежим? Multiplex? Насколько оно будет резаться - покажет только практика. Если сервер расположен далеко от вас - естественно скорости будут ниже, особенно в однопотоке. А вы уверены, что вам необходимо заворачивать WG в SS? Если задача обойти цензуру - SS без мультиплекса будет достаточно. https://xyproblem.info/ (?)
Foxray и Shadowrocket - они поддерживают почти всё из серии v2ray.
Вам чуть выше 3X-UI советовали. Там можно и SS-2022 настроить, и VLESS-XTLS-Reality, который пролезет через любой фаервол. Аутлайн-сервер имеет не самую приятную особенность - жор батареи с любого клиента, он не даст заснуть вашему смарту.
Перед его установкой надо сперва удалить Outline с сервера?
Под монорежим имел ввиду чисто SS использование. Мне это важно, тк сижу через мобильный интернет постоянно, тк живу в доме, и рано или поздно раздачу начнут блочить, и тут без простого шифрования трафика не обойтись, выручает модуль WG в кинетеке. А SS по умолчанию отсутствует, и требует установки через костыли.
Скорее да, чем нет. Зачем вам тогда Outline, если будет панелька 3X-UI, где в т.ч. можно настроить Shadowsocks как в аутлайне?
Если у VPS местоположение близкое к вам и нет узких мест вроде проца - скорость должна быть нормальная. И в конце концов SS - это прокси, где можно настроить выборочный роутинг, а WG - полноценный VPN.
Блочить раздачу чего? Не понял.
Цензоры делают всё для того, чтобы человек смирился и не смог обойти цензуру. Эпоха удобных и простых VPN в виде WG и OpenVPN, которые поддерживает почти каждый калькулятор, уходит.
А что из VPN/туннелей, поддерживаемых Mikrotik RouterOS 7, сейчас точно (пока) не блокируется? Есть пара мест, где сейчас настроен на микротиках Wireguard. Строго внутри России, пока работает, но новости не радуют и надо подготовиться. Никаких серверов там нет физически, только микротики, а переносить задачу установления VPN-соединения с роутера на конечные устройства тоже не вариант - на условный принтер я ничего поставить не смогу, а удалённый доступ к нему тоже нужен.
По SSTP в соседней теме есть упоминания о блокировках.
ZeroTier - интересная идея, удобная штука и достаточно экзотическая, чтобы не попасть под раздачу просто по приниципу “руки не дошли”. Гляну, спасибо.
Ещё интересовали такие штуки как IPSec + IPIP, IPsec + GRE, VPLS. Отчёты о блокировках видел только о IPSec + L2TP и IPSec в туннельном режиме. Понятно, что всё это распознаётся на раз-два, но, опять же, возможно, т.к. для обхода блокировок такие протоколы используются примерно никогда, то их и не замечают…
И правда, спасибо. В других местах, где читал подобные обсуждения, тоже про SSTP тишина. Только упоминания, что детектируется он совсем до смешного просто, но никаких отчётов о том, что это реально делали. Видимо, невнимательно читал. Буду иметь в виду и его.
Хотя пока ZeroTier выглядит предпочтительнее для связи между роутерами и серверами, ибо mesh-сеть построить так же просто и удобно, как в WG, да и падение скорости должно быть поменьше. А вот SSTP можно попробовать рассмотреть как простую замену OpenVPN для пользовательских устройств, - ибо научить моих сугубо гуманитарных и при этом удалённых сотрудников устанавливать и настраивать клиенты под Cloack/XRay/SS etc. - та ещё задачка
Я знаю про то, что есть, у юзера MiraclePtr на Хабре были монументальные обзоры, читал
Но, во-первых, оно всё заточено именно на обход блокировок. А мне в первую очередь нужен доступ к корпоративным ресурсам, с авторизацией в LDAP, 2FA, маршрутизацией своей и пр… Обход блокировок пользователям тоже достаётся в комплекте, но это дополнительный бонус, а не основная цель.
Во-вторых, у пользователей полный зоопарк (Win, Mac, Android, iOS), и вот найти под какой-то из новомодных протоколов полный набор бесплатных (карточек платить в Play/App Store у них тоже нет) и юзер-френдли программ, - уже задачка посложнее.
Тогда - да, вариантов вообще почти нет. Можно поднять сервер Cloak в РФ и пускать туда тот же OpenVPN. То есть на устройствах клиентов будет простой OpenVPN, а сервер Cloak будет выступать в роли прокси.
Так сейчас простой OpenVPN до российского сервера и работает, тьфу-тьфу-тьфу, именно так уже давно настроено. Но пытаюсь подготовиться к ситуации, если соединения внутри РФ тоже массово (а не в единичных случаях, как сейчас) будут блокировать и пользователи со своим простым OpenVPN до моего российского же сервера не смогут достучаться. Но это уже другой вопрос, на самом деле… сначала с серверами/роутерами разберусь, чтобы не было сюрпризов, а потом до пользовательского VPN руки дойдут.
Главным оружием РКН по прежнему будут сканеры, DPI отсеивает массы обычного трафика и детектируемого, но остаются значимые группы пользователей запрещенных инструкций для ЭВМ. Вот их и будут отсекать, для отчетности или медийных заявлений если потребуется при аппаратном усилении/удержании. При этом в отличии от времен тг есть обширная сеть сенсоров которая посчитает точное число пользователей и объемы трафика на конкретный адрес и выдаст предположительно используемые протоколы. Например, при наличии большого объем TLS трафика, сканер, сверившись с реестром разрешенных технологических процессов, выяснит, а точно ли там есть заявленный сайт, проверит известные SSL-VPN протоколы, выдаст вердикт.
SSTP можно определить по реализации, статистически, но в общем случае это TLS трафик.
Вообще мне хотелось бы узнать, как РКН (или кто для него формирует ТЗ) в их прекрасном будущем, когда они всё-всё реализуют, просканируют и поймают, - представляет себе судьбу десятков, если не сотен тысяч корпоративных серверов, к которым удалённые (и не только, многие давно отказались от серверов в офисах в пользу аренды VPS/dedicated/colocation) пользователи подключаются через тот или иной VPN для работы. Помнится, в начале всего этого цирка пробегали слухи о регистрации корпоративных VPN для попадания в белый список, но так и сошли на нет…
P.S. ZeroTier в Микротиках, увы, для избежания блокировки совершенно бесполезен, т.к. в него не завезли присутствующую в полноценных клиентах ZT опцию указать собственные root-сервера (moon). Т.е. он всегда стучится к root-серверам ZeroTier, Inc., и не работает, если не может до них достучаться. Ну а те блочатся тупо по IP без всякого изучения протокола, что весьма вероятно и произойдёт в ближайшее время, если ещё не.
Так что попробую SSTP.
Мне вот интересно, кто эти люди, и как им живется, которые этими блокировками занимаются. Они же сами себя ограничивают в использовании интернета.
Неужели у нас опередят Китай в блокировке SS?
Нет, но можно их догнать. Только не факт, что все ТСПУ потянут статистический анализ, практика показывает обратное. С другой стороны блокировка адреса Outline сервера создаст тот же эффект, что и блокировка протокола. Можно блокировать после нескольких tcp сегментов, так уже блокируют некоторые впн сервисы, иногда число пакетов/сегментов рандомное. Можно запутать даже бывалых, если при этом разрешить трафик для службы управления. Вопрос только в вычислении адреса. Применят гибрид?
На вдсине-рф с ходу нашлось около 200 инсталяций похожих на аутлайн (например: 88.218.62.198:11538, 195.2.78.70:46030). У РКН совсем не будет проблем, ведь она наблюдает за всем трафиком, могут поднять все обращения к адресу и узнать порты. И тесты для сканера довольно простые, кроме того все сомнения трактуются в пользу блокировок. Допустим есть инсталляции с похожими характеристиками, но не аутлайн, тем хуже для них (см. кейс WebRTC на pion). Сразу возник совет от неофита – ограничить доступ для API порта аутлайна, конфигурировать через ssh туннель. Но надо перепроверять.
