Доброе утро! Остановился на трёх программах для создания сетей с протоколом Shadowsocks/V2Ray: Amnezia VPN, Outline VPN, SoftEther VPN, но остались вопросы:
При использовании вышеперечисленных программ Skype, WhatsApp, TeamViewer, Torrent могут вообще не работать?
Amnezia VPN новый проект, можно ли ему доверять?
В случае шатдауна (если будут работать только госуслуги и т. п.), каким способом вероятнее всего можно будет соединиться с внешним миром (пусть и на маленькой скорости)?
Ещё хотел бы уточнить нюансы настройки, чтобы потом не перенастраивать ничего (беру с небольшим запасом «прочности»):
4. Достаточно установить нокер Labean или необходимо приобретение домена с выпуском SSL сертификата?
5. При выполнении п. 4. следующие действия надо будет выполнять?:
— Установить на VPN-сервере какое-нибудь стандартное значение MTU, например 1400;
— Назначьте вашему VPN-серверу 2 IP-адреса. На один он будет принимать подключения к VPN/прокси, а с другого будет уходить исходящий трафик;
— Для «выходного» IP-адреса закройте все порты, отключите ответ на ICMP ping;
— Пропишите для вашего сервера какое-нибудь безобидное reverse DNS имя, похожее на пул доступа интернет-провайдера, например, gateway-001.somehomeisp.net;
Эти программы должны работать.
При определённых конфигурациях shadowsocks/v2ray могут быть проблемы с UDP, но со стандартными настройками указанных вами проектов проблем быть не должно.
Amnezia VPN делает с OpenVPN примерно то же, что Outline делает с shadowsocks — удобная настройка с дополнительными функциями. Проект открыт, но не проходил аудит безопасности.
Из перечисленных вами проектов больше всего шансов подключиться при таких условиях у SoftEther: его собственный протокол может работать как на любом TCP-порту, так и через ICMP и эмуляцию DNS-запросов.
Обращаю ваше внимание, что SoftEther не использует ни shadowsocks, ни v2ray.
Вопрос непонятен. Достаточно для чего?
SSL-сертификат можно выпустить и на IP-адрес, домен для этого не обязателен. Такие сертификаты бесплатно выпускает, например, ZeroSSL. Также можно воспользоваться доменами-прослойками, перенаправляющими трафик на определённый IP-адрес: nip.io, sslip.io. С ними работает и Let’s Encrypt.
Это всё дополнительные действия, без которых можно обойтись.
Можете посоветовать альтернативу SoftEther на MacOS? Под ту же задачу, на случай шатдауна
Просто для установки SoftEther нужно скачивать инструменты разрабочика которые весят крайне много, а чистить ноутбук немного неудобно и самой памяти мало
Да, вроде есть сборка SoftEther для MacOS.
Но, наверное, не под новый процессор, придется использовать эмулятор. Без vpngate плагина, только command line, маршрутизацию надо настраивать вручную (по примеру линукса), плохая документация.
Смотря, какие функции SoftEther вам нужны.
По умолчанию там маскировка под HTTPS, значит аналогом будет Trojan, V2Ray.
Если нужны VPN over DNS/ICMP (который можно поднять только на своем сервере), то аналог dnstt.
Шатдаун обычно длится недолго. Писали, что при отключениях в Казахстане работал RetroShare, правда это это не VPN, а внутренние блоги/форумы, файлохранилище. Там тоже может быть обсуждение ситуации. Но добавлять друзей (из своей страны, без Tor) хлопотно.
Еще можно попробовать I2P Outproxy, Yggdrasil Outproxy. Какую-нибудь другую экзотику, типа Tox, Briar.
Что ж, только сейчас начал разбираться с виртуальным сервером
Пока настраивал SoftEther, наткнулся на статью о том что он легко палится: SoftetherVPN в ответ на GET-запрос с путем /vpnsvc/connect.cgi, типом application/octet-stream и пэйлоадом ‘VPNCONNECT’ выдаст в ответ 200 код и предсказуемый бинарный блоб с рассказом о том, кто он такой.
Странно, что никто не знал об этом раньше Тем не менее, эту уязвимость можно как-нибудь прикрыть? И все ли это уязвимости?
И ещё, о каких протоколах идёт речь в статье КоАП РФ 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям?
Вот, например, SSH подключение к серверу или https соединение с сайтом это всё не подтверждённый протокол?
Речь о таких системах, которые подлежат обязательной сертификации, перечень есть в Постановлении правительства от 4 февраля 2022 г. № 113. Там есть разные маршрутизаторы и АТС.
О протоколах отдельно в КОАПе речи не идет. Речь именно о железках, коробках и том, что внутри них, которые, причем о тех, которые функционируют на узлах связи. Ваш домашний комп не относится к сетям связи.
Вопросик, правильно ли я понимаю, что даже без доступа к моему VPS серверу (drop пакетов с любых ip адресов кроме моего) у ТСПУ есть возможно получить TLS fingerprint клиента из-за уязвимости в TLS 1.2? TLS 1.3 (⊙_⊙)?
ТСПУ может получить доступ к фингерпринту, потому что трафик проходит через него, а не из-за каких-то уязвимостей. Это не уязвимость, это протокол, а фингерпринт - допустимая в рамках протокола вариация запроса клиента.
Да, еcть протоколы, скрывающие любые сигнатуры. Телеграм mtproto, например. Но TLS не создавался с целью сокрыть, что он TLS. Можно ли назвать это уязвимостью ? Вряд ли, скорее это особенность. Большинство протоколов себя не скрывают
Тем не менее, эту уязвимость можно как-нибудь прикрыть? И все ли это уязвимости?
спасибо вам!