Леонид Каганов: дневник

Крепчает охват интернета,
грядёт орбитальный сигнал.
Россия в порядке ответа
желает, чтоб враг понимал:
его технологии жалки,
в России растут как грибы
глушилки, давилки, сбивалки,
лучи электронной борьбы.
Мы в плане вредительства — боги!
Мы в сфере помех — короли!
И нету таких технологий,
чтоб мы их сломать не могли!

2018

Несознательные граждане, пользующиеся VPN, уже заметили, что некоторые VPN перестали работать вообще, а некоторые перестали работать с мобильных операторов. Вызвано это тем, что Россия успешно импортирует китайскую модель и оборудование. Если раньше VPN класса shadowsocks (например, Outline) работал, потому что шифровал трафик неизвестным Китаю способом, то теперь проводятся эксперименты по отключению любых непонятных способов шифрования путем потери выборочных пакетов. А этого shadowsocks не переносит.

Разумеется, мы все очень рады, что наконец-то усилились меры борьбы с VPN! Однако, как объяснил мне мудрый Chuk, есть в этой борьбе некоторые недоработки. Связаны они с тем, что вслед за оборудованием по взлому частного трафика из того же дружественного Китая подъехали и новые технологии его обхода. Нынешние VPN-протоколы давно забили болт на свои чисто транспортные задачи (изначально VPN был изобретен вовсе не для обхода цензуры), а занялись активным противодействием. В частности — научились шифровать трафик, подделывая его под обычный ws https. Мерзавцы пользуются тем, что заблокировать ws и https пока не получается — встанут все банки, заводы, билетные кассы, у молодых родителей отключатся вебкамеры для наблюдения за детской кроваткой, а у пожилых генералов — камеры на заборах военных объектов... А отличать обычный https от необычного мы пока не умеем, потому что и там и там просто шифрованный поток. Китайские ученые давно бьются над задачей, но пока тоже безуспешно.

Чтобы проверить, умеет ли ваш домашний провайдер или мобильный оператор блокировать новые вредоносные китайские VPN, сделаем самопроверку.

1. Очень хорошо, если у вас уже есть свой сайт на зарубежном хостинге с линуксом. Иначе придется купить хостинг. Можно даже уговорить зарубежного друга поставить Raspberry в углу на свою домашнюю сеть, если там внешний IP, и пробросить на роутере порт 80 (ну или 443, если не дружите с CloudFlare). В любом случае очень неплохо, если DNS заведен через cloudflare.com и не придется морочиться с собственными сертификатами ssl для https.

2. Скачиваем китайский инсталлятор https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/refs/heads/master/install-release.sh и запускаем от root.

3. Правим конфигурацию, я рекомендую для тестов создать сразу три протокола: shadowsocks, Vmess и VLESS (самый новый). Если у вас был раньше установлен shadowsocks-libev, убейте его навсегда. Пример: /usr/local/etc/v2ray/config.json (ключ ID придумайте сами). Мы подняли 3 протокола: VLESS на внутреннем порту 2025, shadowsocks (открытый) на порту 1984 и Vmess на внутреннем порту 2024.

4. В конфигурации nginx для своего сайта добавляем два эндпоинта: /vless с портом 2025 и /vmess с портом 2024. Пример: /etc/nginx/sites-enabled/mysite.conf Имеется в виду, что соединение идет на ваш сайт murzilka.com и попадает на DNS CloudFlare, тот устанавливает tls-соединение как https, а сам общается с вашим сайтом по 80 порту, и никто снаружи не знает, где ваш сайт находится, и на какой конечный адрес (murzilka.com/vless) идут данные.

5. Настраиваем клиент под мобильник. Удобный, бесплатный и не глючный называется v2rayNG (Андроид) или FoXray (iOS). Поля вводим в настройках такие:

Название: Проверка VPN
Адрес: murzilka.com
Порт: 443
ID: 111111-aaaa-bbbb-cccc-222222222
Шифрование: none
Транспорт (Сеть): ws
Узел ws: murzilka.com
Путь ws: /vless
TLS: tls
Разрешать небезопасные: false

А вот красивого клиента под Linux с одной кнопочкой я не нашел, поставил Nekoray (sudo apt install nekoray) Он страшненький, непонятный и малость глючный, но работает.

Вот и вся настройка. Теперь вы даже сможете прочесть на Хабре забаненную статью про все эти технологии: https://habr.com/ru/articles/727868/ Там, кстати, написан один важный момент: разные технофрики вам будут говорить, что надо сверху накрутить еще для пущей крутизны дополнительно то, пятое и десятое, однако не следует бежать быстрее медведя, это его только расстраивает: достаточно бежать быстрее самых медленных бегунов.

Ну и конечно не забудьте снести всё это, как только протестируете. Ведь наша цель — всего лишь выяснить, умеет ли ваш провайдер уже бороться с новыми китайскими VPN. Если не умеет пока — напишите ему, пусть исправляется. Я вижу, что домашние операторы в Питере и Чертаново пока не умеют блокировать ни shadowsocks, ни vless, ни vmess. А вот мобильный оператор Тинькофф уже научился блокировать shadowsocks, хотя против новых китайских vless/vmess по-прежнему бессилен. Скорей бы уже все VPN запретили! Я категорически против любых нелегальных VPN, от них бездуховность, мошенники и вирусы.

PS: Кстати, забавно, что мне бы пригодился VPN вовсе не по причине обхода российских блокировок, а по причине обхода западных: без VPN для российских IP запрещен вход на chatgpt.com А я как-то уже совсем разучился без него программировать.