Сеть GlobalCheck для изучения блокировок

Всем привет.
Хочу сделать тут обсуждение нашего проекта globalcheck.net для изучения и помощи в обходе блокировок.
Это сеть сенсоров, которые установлены на домашних подключениях у волонтёров.

Как это устроено:

· Сенсоры на базе Mikrotik и TP-Link MR3020 v3, которые VPN-туннелям подключаются к бекенду.
Бекенд ходит проверять ресурсы через туннели.
Микротики мы заменяем на MR3020 по нескольким причинам: нельзя поднять туннель с TLS-обфускацией; нельзя запустить свой софт и т.д.

· Мы рассылаем сенсоры различными способами абсолютно бесплатно.

Наши планы:

· Расширение сети сенсоров, в том числе в Казахстане, РБ и Крыму. Мы собрали (и продолжаем) достаточно заявок, чтобы выжать из них около 130 работающих сенсоров на крупных операторах в разных регионах.

· Отказаться от туннелей из-за очевидных минусов (нельзя чекать реальную задержку, сложно чекать ответы от локальных DNS и т.п.) в пользу агента, запускаемого на сенсоре.

· Предоставлять API известным исследователям блокировок и организациям, которые изучают или обходят блокировки в СНГ.

· Увеличить разнообразие типов проверок.

· Выйти на самоокупаемость пожертвованиями.

FAQ:

Почему не софт?

По нескольким причинам:

1. Его будут запускать на хостингах, а нам это совершено не нужно: там нет блокировок и ТСПУ;
2. Его будут запускать на оборудовании с непредсказуемой производительностью;
3. Получение железного сенсора - это некий порог вхождения, в результате которого мы несколько снижаем риск появления шпиона или вредителя.

Но я не исключаю появление софтовой версии в будущем, особенно если / когда появятся ресурсы модерировать агентов.

А что, если РКН заблокирует сеть?

Мы реализовали в сенсорах некоторые механизмы обхода блокировок.

Товарищ майор зайдёт на сайт, подёргает сайты с ЦП через форму проверки и всех волонтёров посадят.

Публичная форма проверки чекает только через наши собственные сенсоры. Проверка через волонтёрские сенсоры доступна только через API и непубличную форму.
Доступ к API и непубличной форме имеют и будут иметь только известные журналисты, исследователи блокировок и компании вроде Telegram и CloudFlare.
Мы логируем все запросы через эти способы, обещаем следить за ними и не позволять злоупотреблять.

Мы считаем такой подход достаточно безопасным для волонтёров.

Что ещё:

Мы с удовольствием и абсолютно бесплатно готовы предоставить API или доступ к безлимитной форме для уважаемых и известных исследователей блокировок - ValdikSS, bol-van, Леониду Евдокимову. Если, конечно, им это будет интересно.

Я был уверен, что ЭкоDPI, который ставится в качестве ТСПУ (и многие операторы - добровольно, за свой счёт), не пропускает TLS-трафик без SNI. Закон ведь даже специальный есть.
Поднял тестовый сервер https://45.86.188.150/ - при обращении к нему, конечно, никакой SNI не передаётся.
И к своему большому удивлению, увидел полную доступность.
Что, в целом, логично - доступность всяких 1.1.1.1 по https была бы гораздо печальнее.

Предлагайте идеи по развитию проекта.

К сожалению, для меня ценность такого сервиса не слишком высока: подобные тесты я могу делать и через Free site availability checks all over the world: Ping-Admin.Com - web site and server monitoring. Site availability checks, у них есть несколько точек с блокировками.
Ценен был бы прямой пакетный доступ (VPN), чтобы детально анализировать технологии блокировки. Планируется ли такое?

А вы обратили внимание на 1300мс через Вымпелком? Я это вот к чему. У меня VPS с SoftEther. Неделю назад я обпаружил, что туннель (на родном протоколе SE) через LTE Билайна стал периодически отваливаться, а пинг через туннель гуляет аж до 4000мс и запустить tcp траффик в туннель практически не получается. При этом по внешнему адресу средний пинг < 100мс и не поднимается выше 150. Браузером открывается, но тут я глубоко пока не копал, руки не дошли.
После переключения туннеля с tcp/443 на tcp/5228 (пробовал также tcp/992, tcp/5555) проблема исчезает. И первое, что мне пришло в голову - DPI хочет SNI.

Вы написали о фиксации «первой блокировки через ТСПУ»:

Имеется в виду первая вообще, или первая, зафиксированная вами? Внереестровые блокировки через ТСПУ осуществляются год, по меньшей мере.

В июне 2020 года я обнаружил внереестровую блокировку NS-серверов почтового сервиса mailfence.com
Ping-Admin.Com - web site and server monitoring. Site availability checks
Там, где не отвечает — МТС и Ростелеком.

Может кто-нибудь подробнее рассказать об этом? Если трафик с российских хостингов не проходит через ТСПУ, значит, для обхода блокировок достаточно поднять VPN на арендованном VPS у российского хостера? Или речь идёт про иностранные хостинги?

Пробегала не так давно их идея обязать устанавливать средства противодействия угрозам в том числе и на “технологических сетях”. Насколько помню, щас с ходу не найти эту тему
Проще говоря, они понимают, что через датацентры все просто обходится, и хотят их тоже оградить от тлетворного влияния
Пока в основном там открыто, однако датацентры каналы берут не из воздуха. Некоторые провайдеры спускают в датацентры уже фильтрованный инет

Проект исчез бесследно?

Тот же вопрос. Бобик сдох ? Краем глаза видел этот сайт проверки блокировок, а сейчас ни ответа, ни привета.

ping-admin альтернатива

Дело даже не в альтернативах. (Понятно, что найдутся).
Дело в том, что они в свое время раздавали пробы желающим. И вот что теперь с ними (с хостами, то есть, с хозяевами тех проб). Много ли их было?
Одно время тоже хотела им заявку на такую пробу дать. (Не факт, что прислали бы, у них там тоже свой отбор). А теперь думаю: хорошо, что не стала связываться с ними.

Поэтому молчание авторов проекта немного настораживает. Могли бы уж какое-то заявление сделать. Ну, закрыли проект по требованию и закрыли, так и скажите, мы поймем, время такое.
А молчание на нехорошие мысли наводит.

По той же причине не хочу связываться ни с кем ни через Твиттер, ни вообще никак. Надо будет - сами скажут.

Сервис перестал быть публичным по причине отсутствия какого-либо профита при наличии расходов.
Никаких других причин нет.
Любые предложения по изменению этого не интересны.

А теперь думаю: хорошо, что не стала связываться с ними.

Частный проект перед анонимным нонеймом не отчитался, обосраться теперь!
Да как они посмели!
А ещё наверняка они деньги голодающим детям африки не раздают! Хорошо что не стала связываться!
Мне так интересно, что же случилось, но я сама спрашивать у них не буду, пусть сами отчитываются!

Вы посмотрите на себя со стороны.
Вместо того чтобы сказать “спасибо, жаль что больше не работает”, вы ведёте себя как будто вам все обязаны.
Какие оказывается охреневшие персонажи использовали то что работало за мой счёт, хорошо что я принял решение это прекратить.
Адекватным людям рекомендую учиться на моих ошибках и ничего не делать “для общества” без профита.
Когда по каким-то причинам вы прекратите благотворительность, вместо “спасибо”, общество будет плевать вам в лицо.

Спасибо Вам за ответ. По крайней мере, хоть что-то известно.
Настораживает только то, что это случилось после шумихи вокруг проекта (когда через него проверяли работоспособность Ютуб). Тогда даже РКН упоминал об этом на своем сайте. Может, эта шумиха и привлекла излишнее внимание к проекту.

На форуме есть еще одна такая же тема, может, их объединить?

Прикольная штука была, банальная, зато идейная, пару раз тестировал всякое, хотя я сам бы побоялся из паблика пускать неконтролируемые тесты на резидентских каких то провайдеров)
Очень удивился, когда в новостях пролетело название. Пользовали неправильно, но какой пиар))
Из альтернатив кроме ping-admin есть ещё https://globalping.io/ там только хостеры сейчас кажется, но по идее любой может ноду раскатать

К сожалению это реалии.
Стоит посмотреть на проект VPN Generator, которые раздают VPN Server бесплатно, прося взамен только лишь использовать этот подаренный ими VPN Server по максимому. В их сторону летит куча обвинений, подозрений и т.д.
Но когда эти же ключи перекупы продают на Авито, ситуация кардинально меняется)

не понимаю откуда столько агрессии? Люди ожидали 2 слова: проект закрыт. Ну и вопрос то был 10 дней назад… Бесследное исчезание проекта наталкивало на плохие мысли (фсб изъяли сервер и т.п.), хорошо что ничего не случилось и вам просто надоело.

Ну, конкретного пользователя никто за язык не тянул про “а теперь рад, что не стал связываться”. Я не знаю, чего именно он ожидал, но это выглядит обидненько, в духе “я от тебя ждал столько, а ты взял и закрыл бесплатный сервис, какой ты растакой, хорошо, что не стал с тобой иметь дел”

Проблема в том, что люди, как попугаи, запомнили и твердят “бесплатный сыр бывает только в мышеловке”, не принимая в расчёт, что бесплатный сыр бывает и в благотворительных целях. Когда человек жертвует, скажем, 1000 рублей в условный “фонд Хабенского”, он разве хочет кого-то обмануть, кинуть? Нет же, он просто бесплатно отдаёт часть своего имущества (деньги) нуждающимся.

Хз, мне показалось что она имела ввиду “хорошо что не связалась, а то могла тоже пропасть как и автор”

Спасибо, что напомнили. Помните, был еще такой “ФБК”? Который потом объявили терр.организацией. Туда тоже люди жертвовали в благих целях и немало, масса людей. А потом некоторых стали преследовать за это.

Так и тут. Был хороший проект. А потом инициатор пропал, и ни слуху, ни духу. После истории с Ютубом. Что думать? Что, если все это уже в “хороших руках”? Что там, что с ними? Влад А4 только про Ютуб заикнулся - и уже административное дело завели (за налоги, правда).

У нас все, что так или иначе связано с блокировками и с обходом, сейчас постепенно становится незаконным. (Будет только ужесточаться).

Неужели нельзя было публично сказать, что проект закрылся? Что в этом плохого, это куда лучше, чем гадать, что случилось и строить разные догадки.

В эту игру можно играть вдвоём: неужели нельзя было спросить у Владислава? Он активен в Твиттере: здесь на форуме предлагали “спросите у него в твиттере, если хотите, вот его аккаунт”. Я на Хабре и в TG тоже пару раз так отвечал. Хоть кто-то спрашивал из тех, кого интересовало, куда пропал проект? (меня не интересовало). Если все интересующиеся сидели на попе ровно и ждали, пока спросит кто-то другой, ну, значит, не так уж им интересно.

Вот я и спросила, только публично, через форум. А он ответил. Спасибо ему за ответ.