RKN will try to block the following VPN services

Первые два идеально совпадают с анонсом Роскомнадзор - ВНИМАНИЮ КОМПАНИЙ, ИСПОЛЬЗУЮЩИХ В РАБОТЕ VPN-СЕРВИСЫ

А вот и почалось:

https://rkn.gov.ru/news/rsoc/news73700.htm

Ставлю сотку, что следующая жертва - Hola VPN

Ну, в списке выше он и так следующий :smiley:

1 Like

В листе блокировки ничего касательно Opera VPN нет (по крайней мере, на первый взгляд). Предполагаю, что подобные заявления отныне будут сопровождаться включением сервисов в ТСПУ, без включения в публичный лист.

$ host api.sec-tunnel.com
api.sec-tunnel.com has address 77.111.247.18
api.sec-tunnel.com has address 77.111.247.17

{'return_code': {'0': 'OK'}, 'data': {'ips': [{'ip': '77.111.245.11', 'geo': {'country_code': 'AS'}, 'ports': [443]}, {'ip': '77.111.245.14', 'geo': {'country_code': 'AS'}, 'ports': [443]}, {'ip': '77.111.245.12', 'geo': {'country_code': 'AS'}, 'ports': [443]}, {'ip': '77.111.245.13', 'geo': {'country_code': 'AS'}, 'ports': [443]}]}}

{'return_code': {'0': 'OK'}, 'data': {'ips': [{'ip': '77.111.246.38', 'geo': {'country_code': 'AM'}, 'ports': [443]}, {'ip': '77.111.246.41', 'geo': {'country_code': 'AM'}, 'ports': [443]}, {'ip': '77.111.246.45', 'geo': {'country_code': 'AM'}, 'ports': [443]}, {'ip': '77.111.246.31', 'geo': {'country_code': 'AM'}, 'ports': [443]}]}}

Ни один из этих доменов и IP-адресов ни включён в лист.

Более того, сервисы все еще доступны и нормально работают. Походу они там ручками настраивают все эти блокировки на черных ящиках. В ближайшее время, возможно, могут быть отвалы инета, как были при начале замедления twitter, если они с первого раза нормально сделать не смогут

https://rkn.gov.ru/news/rsoc/news73700.htm

О принятии мер в отношении сервисов обхода ограничения доступа к противоправному контенту

17 июня 2021 года

В соответствии с регламентом реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещённому контенту с 17 июня 2021 года вводятся ограничения на использование VPN-сервисов VyprVPN и Opera VPN.

Данные VPN-сервисы отнесены к угрозам в соответствии с Постановлением Правительства РФ от 12 февраля №127.

Ограничения не затронут российские компании, использующие VPN-сервисы в непрерывных технологических процессах.

В “белые списки” включены более 200 технологических процессов 130 российских компаний.

В соответствии с регламентом компании были проинформированы о возможности включения в “белые списки” 14 мая 2021 года.

В случае поступления новых запросов, после проведения проверки, “белые списки” могут быть оперативно дополнены.

On taking action against services circumventing restrictions on access to illegal content

June 17, 2021

In accordance with the regulations on responding to threats to circumvent restrictions on access to child pornography, suicidal, pro-drug and other illicit content, restrictions on the use of VPN services VyprVPN and Opera VPN are introduced from June 17, 2021.

These VPN services are classified as threats in accordance with the Decree of the Government of the Russian Federation №127 of February 12.

The restrictions will not affect Russian companies that use VPN-services in continuous technological processes.

The “white lists” include more than 200 technological processes of 130 Russian companies.

In accordance with the regulations, the companies were informed about the possibility of inclusion in the “white lists” on May 14, 2021.

In the event of new requests, the “white lists” may be promptly supplemented after the audit.

I searched “Постановление Правительства РФ 127” (“Government Decree of the Russian Federation 127”) and found “Об утверждении Правил централизованного управления сетью связи общего пользования” (“On Approval of the Rules for Centralized Management of Public Telecommunications Network”) at publication.pravo.gov.ru, dated 2020-02-12. Does that look like the right one? What does the decree say?

4 posts were split to a new topic: Обсуждение блокировки VPN-сервисов

Руководителям подведомственных
Минобрнауки России организаций

15.06.2021 № MH-19/394
На № ____ от ____
Об использовании протоколов VPN
и VPN сервисов

Уважаемые коллеги!

Во исполнение письма Роскомнадзора № 07ТО-558-ДСП от 23.04.2021 г. об использовании протоколов VPN и VPN сервисов, а так же в целях противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования, Центр мониторинга и управления сетью связи общего пользования Роскомнадзора планирует осуществить комплекс мер по ограничению использования сервисов VyprVPN, Opera VPN работающих по протоколам openvpn и Wireguard.

С целью исключения VPN соединений, работающих по протоколам openvpn и Wireguard из политик ограничения доступа Роскомнадзора, Минобрнауки России просит в срок до 30.06.2021 г. заполнить отчетную форму, размещенную в информационной системе «Система формирования сводной отчетности Минобрнауки России», расположенную в сети Интернет по адресу https://svod.minobrnauki.gov.ru/WebSVOD/parusjs/.

Руководство пользователя по заполнению отчетной формы дополнительно размещено в сети Интернет по адресу https://svod.minobrnauki.gov.ru/index.php?do=cat&category=novosti-po-vedomstvennoy-otchetnosti.

Приложение: Руководство пользователя по заполнению формы «Роскомнадзор_21» в информационной системе «Система формирования сводной отчетности Минобрнауки России» на 11 л. в 1 экз.

To the heads of organizations subordinated to the
Ministry of Education and Science of Russia

15.06.2021 № MH-19/394
At № ____ from ____
On the use of VPN protocols
and VPN services

Dear colleagues!

Pursuant to Roskomnadzor letter № 07ТО-558-ДСП from 23.04.2021 on the use of VPN protocols and VPN services, and in order to counter threats to the stability, security and integrity of the Russian Federation information and telecommunications network Internet and public communication network, the Monitoring and Control Center of public communication network Roskomnadzor plans to implement a set of measures to restrict the use of services VyprVPN, Opera VPN working on protocols openvpn and Wireguard.

In order to exclude VPN connections working via openvpn and Wireguard protocols from the access restriction policy of Roskomnadzor, the Ministry of Education and Science of Russia requests filling in the reporting form posted in the information system “System of consolidated reporting of the Ministry of Education and Science of Russia” located on the Internet at https://svod.minobrnauki.gov.ru/WebSVOD/parusjs/ (archive) until June 30, 2021.

The User’s Guide for completing the reporting form is additionally available on the Internet at https://svod.minobrnauki.gov.ru/index.php?do=cat&category=novosti-po-vedomstvennoy-otchetnosti (archive).

Appendix: User’s Guide for filling in the form “Roskomnadzor_21” in the information system “System of consolidated reporting of the Ministry of Education and Science of Russia” on 11 pages, 1 copy.

I understand from this that Roskomnadzor plans next to block OpenVPN and WireGuard protocols, and the Ministry of Education and Science is asking organizations under its purview that might be affected by the blocks to submit a form by 2021-06-30.

С недавних пор, используется DPI, МТС. Помогает goodbyedpi. В последней версии Оперы 77.0.4054.146 уже сами разработчики Оперы отключают свой псевдо VPN для российских IP.

На текущий момент Роскомнадзор уже ведёт поэтапную процедуру блокировки VPN-сервисов. В первую очередь были введены ограничения работы сервисов Opera VPN и VyprVPN. Представители Роскомнадзора заявили, что VPN представляют собой угрозу для безопасности и стабильности российского сегмента интернета. Сейчас в список кандидатов на блокировку входят более двухсот техпроцессов российских компаний.
В июне 2021 года Роскомнадзор разместил на своём официальном сайте релиз о мерах, которые планируется предпринять в отношении упомянутых сервисов.
В релизе VPN упомянуты как «сервисы, используемые для обхода ограничений доступа пользователей к противоправному контенту».
В релизе указывается, что основанием для блокировки является регламент реагирования на подобные угрозы. Под «угрозой» подразумеваются алгоритмы, которые позволяют обходить ограничения на доступ к запрещенному контенту (призывы к суициду, детская порнография, реклама наркотиков и прочие противоправные материалы). Процедура блокировки сервисов Opera VPN и VyprVPN начиналась 17 июня 2021 года. Роскомнадзор обосновал свои действия Постановлением Правительства Российской Федерации от 12 февраля №127.
В релизе также было отмечено, что введенные ограничительные меры не коснутся тех российских компаний, которые применяют VPN в непрерывных техпроцессах.

https://rkn.gov.ru/news/rsoc/news73720.htm
Следующие VPN (Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN). Блокировка (фильтрация) видимо также будет идти через DPI ТСПУ.

It’s strange to me that RKN lists the names of VPN services. @libneko made the same observation earlier. I had the impression that at least some of these VPN services are multi-modal: they are not built on only a single protocol, but may use many protocols (possibly obfuscated) in different situations. The VPN service’s name is just a “brand” for a combination of protocols. To me, it doesn’t make much sense to say simply “block ExpressVPN”. From a technical point of view, it would be more like: “block ExpressVPN in configuration A”, “block ExpressVPN in configuration B”, etc.

These observations make me think that the VPN plans are not so much about protocol detection and DPI. (Maybe in simple cases they are.) Rather, I see two more likely possibilities:

  1. IP address enumeration. It may be that a VPN service has a relatively small number of server IP addresses. If the VPN uses that pool of IP addresses for all its connections, even obfuscated ones, you can block the VPN service entirely by blocking some IP address ranges.

  2. Out-of-band pressure. The authorities could approach the VPN companies in real life, and say, “we want you to stop giving service to users in Russia” with threats of what will happen if they don’t. As far as I can tell, Opera VPN was not directly blocked by RKN/TSPU; rather Opera themselves made the VPN stop working in Russia. The proof is "blacklisted_locations":["cn","ru"] in a configuration file. You can also see posts to that effect by moderators on the Opera forums:

    https://forums.opera.com/post/254959

    Only in Russia. The VPN was always “where allowed by law”, so if the legal authority tells them to turn it off it is gone.

    https://forums.opera.com/post/254957

    Opera’s VPN was always “where allowed by law”, so if the Russian government tells them to disable it in Russia that is what happens. :disappointed:

At ExpressVPN, they will not cooperate with RKN, they are full of nonsense, since they are representatives of Roskomnadzor, they were threatened with blocking me three years ago, I liked their VPN, I also use VPN Unlimited. But they also said that we are working fine in China and we will cope with Roskomnadzor and they will fight for our digital rights.

An acquaintance of mine lives in China and has been working there for over a year. He calmly uses VPN Unlimited and ExpressVPN using special protocols, and for ExpressVPN servers, only special ones can be selected that are given by technical support bypassing the Great Firewall helps, although it happens sometimes that ip servers are jammed only later, developers fix problems after updating DPI locks. Some prohibitions all around. Soon we will have a second North Korea, but understand one thing - those who do this want to control everything! And in order to punish and fine, prohibit, there is no logic in the actions, it will be worse further, they will come home and allow you to watch a movie, allow you to love your wife, allow you to eat and feed your children. And everything else will be banned. We bury ourselves … by introducing total censorship over our citizens.

Yes, this RKN release also looks strange to me. While for blocking “VPN Opera” is just a proxy, the provider’s DPI is used for the api.sec-tunnel.com authorization addresses and the pool of their proxy addresses. By using goodbyeDPI, blocking these addresses is bypassed.
As far as disabling the VPN setting from the Opera side, yes, it was bypassed by editing the config files. Problems appeared in the last two versions of the normal Opera installation (not portable). Now it is also possible to enable the Opera VPN setting from Russian IP addresses, but it is a little more complicated. I think that in this particular topic it is offtopic.