Сеть GlobalCheck для изучения блокировок

Всем привет.
Хочу сделать тут обсуждение нашего проекта globalcheck.net для изучения и помощи в обходе блокировок.
Это сеть сенсоров, которые установлены на домашних подключениях у волонтёров.

Как это устроено:

· Сенсоры на базе Mikrotik и TP-Link MR3020 v3, которые VPN-туннелям подключаются к бекенду.
Бекенд ходит проверять ресурсы через туннели.
Микротики мы заменяем на MR3020 по нескольким причинам: нельзя поднять туннель с TLS-обфускацией; нельзя запустить свой софт и т.д.

· Мы рассылаем сенсоры различными способами абсолютно бесплатно.

Наши планы:

· Расширение сети сенсоров, в том числе в Казахстане, РБ и Крыму. Мы собрали (и продолжаем) достаточно заявок, чтобы выжать из них около 130 работающих сенсоров на крупных операторах в разных регионах.

· Отказаться от туннелей из-за очевидных минусов (нельзя чекать реальную задержку, сложно чекать ответы от локальных DNS и т.п.) в пользу агента, запускаемого на сенсоре.

· Предоставлять API известным исследователям блокировок и организациям, которые изучают или обходят блокировки в СНГ.

· Увеличить разнообразие типов проверок.

· Выйти на самоокупаемость пожертвованиями.

FAQ:

Почему не софт?

По нескольким причинам:

  1. Его будут запускать на хостингах, а нам это совершено не нужно: там нет блокировок и ТСПУ;
  2. Его будут запускать на оборудовании с непредсказуемой производительностью;
  3. Получение железного сенсора - это некий порог вхождения, в результате которого мы несколько снижаем риск появления шпиона или вредителя.

Но я не исключаю появление софтовой версии в будущем, особенно если / когда появятся ресурсы модерировать агентов.

А что, если РКН заблокирует сеть?

Мы реализовали в сенсорах некоторые механизмы обхода блокировок.

Товарищ майор зайдёт на сайт, подёргает сайты с ЦП через форму проверки и всех волонтёров посадят.

Публичная форма проверки чекает только через наши собственные сенсоры. Проверка через волонтёрские сенсоры доступна только через API и непубличную форму.
Доступ к API и непубличной форме имеют и будут иметь только известные журналисты, исследователи блокировок и компании вроде Telegram и CloudFlare.
Мы логируем все запросы через эти способы, обещаем следить за ними и не позволять злоупотреблять.

Мы считаем такой подход достаточно безопасным для волонтёров.

Что ещё:

Мы с удовольствием и абсолютно бесплатно готовы предоставить API или доступ к безлимитной форме для уважаемых и известных исследователей блокировок - ValdikSS, bol-van, Леониду Евдокимову. Если, конечно, им это будет интересно.

Я был уверен, что ЭкоDPI, который ставится в качестве ТСПУ (и многие операторы - добровольно, за свой счёт), не пропускает TLS-трафик без SNI. Закон ведь даже специальный есть.
Поднял тестовый сервер https://45.86.188.150/ - при обращении к нему, конечно, никакой SNI не передаётся.
И к своему большому удивлению, увидел полную доступность.
Что, в целом, логично - доступность всяких 1.1.1.1 по https была бы гораздо печальнее.

Предлагайте идеи по развитию проекта.

К сожалению, для меня ценность такого сервиса не слишком высока: подобные тесты я могу делать и через Бесплатная проверка доступности сайта из различных частей мира: Ping-Admin.Ru — мониторинг сайтов и серверов. Проверка работы сайта, у них есть несколько точек с блокировками.
Ценен был бы прямой пакетный доступ (VPN), чтобы детально анализировать технологии блокировки. Планируется ли такое?

А вы обратили внимание на 1300мс через Вымпелком? Я это вот к чему. У меня VPS с SoftEther. Неделю назад я обпаружил, что туннель (на родном протоколе SE) через LTE Билайна стал периодически отваливаться, а пинг через туннель гуляет аж до 4000мс и запустить tcp траффик в туннель практически не получается. При этом по внешнему адресу средний пинг < 100мс и не поднимается выше 150. Браузером открывается, но тут я глубоко пока не копал, руки не дошли.
После переключения туннеля с tcp/443 на tcp/5228 (пробовал также tcp/992, tcp/5555) проблема исчезает. И первое, что мне пришло в голову - DPI хочет SNI.

Вы написали о фиксации «первой блокировки через ТСПУ»:

Имеется в виду первая вообще, или первая, зафиксированная вами? Внереестровые блокировки через ТСПУ осуществляются год, по меньшей мере.

В июне 2020 года я обнаружил внереестровую блокировку NS-серверов почтового сервиса mailfence.com
Ping-Admin.Ru — мониторинг сайтов и серверов. Проверка работы сайта
Там, где не отвечает — МТС и Ростелеком.