Осваиваем самый прогрессивный способ обхода блокировок и сокрытия подключения к серверу VPN: Shadowsocks, обернутый в websocks-tls и пропущенный через Cloudflare CDN.
В чем его прогрессивность?
В том, что он скорость не режет.
VPN или прокси без промежуточных серверов будет отзывчивее, быстрее и надёжнее. Использование описанного вами способа оправдано в странах, где выявляют и блокируют VPN, но для частного использования в России это избыточно и задействует сторонний сервис (Cloudflare), который можно бы было не задействовать.
совершенно верно, но все еще впереди)
Note Shadowsocks is not HTTP based and thus cannot be proxied by Cloudflare CDN. It is, however, possible to use Cloudflare Spectrum with Shadowsocks.
A more common approach is to use WebSocket based protocol(e.g, V2Ray) or HTTP-based protocol(anyone recall good ol GoAgent https://en.wikipedia.org/wiki/GoAgent ?) with Cloudflare.
Of course your remark is true. Nevertheless, you need to follow the link and read the article. Also keep in mind that Cloudflare Spectrum for any TCP/UDP traffic is available only for the Enterprise plan, and this is in no way suitable for individual use.
Прошло всего-ничего - полтора года. И как все поменялось.
3 Likes
Прошло ещё полгода. И как всё поменялось 
преимущество shadowsocks+cloudflare в том, что не светится адрес самого прокси-сервера. следовательно, ркн и ребята в черном не смогут вычислить адрес подключения, а будут видеть лишь адреса cloudflare. следовательно, заблокировать такой прокси-сервер не представляется возможным, если конечно не блокнут весь cloudflare
Это преимущество не самого прокси, а данной конкретной его реализации. Сам по себе Shadowsocks не предполагает проксирование через CDN.
под shadowsocks+cloudflare понимается shadowsocks over v2ray over cloudflare
При этом в ClientHello светится домен, на который идут запросы прокси, так что заблокировать труда не составляет. Призванный решить проблему eSNI с фиктивным нешифрованным SNI толком же не поддерживается нигде, как и чистый eSNI, который ещё и отлавливается DPI.
Конечно светится, это же легитимный https-трафик. Он и не должен прятаться.
А раз он не прячется, то ничто не мешает продвинутому DPI пройти по этому самому домену, ни у кого из других пользователей в логах не замеченного, и не обнаружить ничего, что могло бы создать большие объёмы трафика.
Очевидно, вы не знаете, как работают блокировки. Что блокировать определяет не оператор, и даже не “продвинутый DPI”. Блокировки централизованы, что блокировать определяют т. н. “суды”, генпрокуратура, роскомпараша и т. д. Им дела нет до ваших объемов трафика.
Пока что.
Прикрутил AdGuard Home вместо Unbound.
Наконец-то дошли руки попробовать. Делал все по инструкции, работает отлично. Жаль что quic не завернуть в ss.
Можно доработать момент с названием домена. Т.е подбирать название близко к названию сайта на который будем проксировать товарища майора. Понятно что это overkill в текущей ситуации, но теоритически защитит от ручной проверки.
quic нельзя завернуть в связку ss+v2ray-plugin, а в сам ss должно быть можно (не проверял). насчет имени домена - это не панацея от ручной проверки, т. к. первее вас выдаст объем трафика.