Всем привет.
Хочу сделать тут обсуждение нашего проекта globalcheck.net для изучения и помощи в обходе блокировок.
Это сеть сенсоров, которые установлены на домашних подключениях у волонтёров.
Как это устроено:
· Сенсоры на базе Mikrotik и TP-Link MR3020 v3, которые VPN-туннелям подключаются к бекенду.
Бекенд ходит проверять ресурсы через туннели.
Микротики мы заменяем на MR3020 по нескольким причинам: нельзя поднять туннель с TLS-обфускацией; нельзя запустить свой софт и т.д.
· Мы рассылаем сенсоры различными способами абсолютно бесплатно.
Наши планы:
· Расширение сети сенсоров, в том числе в Казахстане, РБ и Крыму. Мы собрали (и продолжаем) достаточно заявок, чтобы выжать из них около 130 работающих сенсоров на крупных операторах в разных регионах.
· Отказаться от туннелей из-за очевидных минусов (нельзя чекать реальную задержку, сложно чекать ответы от локальных DNS и т.п.) в пользу агента, запускаемого на сенсоре.
· Предоставлять API известным исследователям блокировок и организациям, которые изучают или обходят блокировки в СНГ.
· Увеличить разнообразие типов проверок.
· Выйти на самоокупаемость пожертвованиями.
FAQ:
Почему не софт?
По нескольким причинам:
- Его будут запускать на хостингах, а нам это совершено не нужно: там нет блокировок и ТСПУ;
- Его будут запускать на оборудовании с непредсказуемой производительностью;
- Получение железного сенсора - это некий порог вхождения, в результате которого мы несколько снижаем риск появления шпиона или вредителя.
Но я не исключаю появление софтовой версии в будущем, особенно если / когда появятся ресурсы модерировать агентов.
А что, если РКН заблокирует сеть?
Мы реализовали в сенсорах некоторые механизмы обхода блокировок.
Товарищ майор зайдёт на сайт, подёргает сайты с ЦП через форму проверки и всех волонтёров посадят.
Публичная форма проверки чекает только через наши собственные сенсоры. Проверка через волонтёрские сенсоры доступна только через API и непубличную форму.
Доступ к API и непубличной форме имеют и будут иметь только известные журналисты, исследователи блокировок и компании вроде Telegram и CloudFlare.
Мы логируем все запросы через эти способы, обещаем следить за ними и не позволять злоупотреблять.
Мы считаем такой подход достаточно безопасным для волонтёров.
Что ещё:
Мы с удовольствием и абсолютно бесплатно готовы предоставить API или доступ к безлимитной форме для уважаемых и известных исследователей блокировок - ValdikSS, bol-van, Леониду Евдокимову. Если, конечно, им это будет интересно.
Я был уверен, что ЭкоDPI, который ставится в качестве ТСПУ (и многие операторы - добровольно, за свой счёт), не пропускает TLS-трафик без SNI. Закон ведь даже специальный есть.
Поднял тестовый сервер https://45.86.188.150/ - при обращении к нему, конечно, никакой SNI не передаётся.
И к своему большому удивлению, увидел полную доступность.
Что, в целом, логично - доступность всяких 1.1.1.1 по https была бы гораздо печальнее.
Предлагайте идеи по развитию проекта.