Многие государства пытаются в той или иной степени контролировать информацию в национальном сегменте интернета: вводить цензуру, фильтровать трафик. Например, в США действует 11 федеральных законов для интернет-цензуры. Аналогичная ситуация в других странах. Но всё это бесполезно. Потому что информация хочет быть свободной. Как речной поток, она обойдёт любые барьеры на своём пути, говорили классики шифропанка.
Свой личный VPN — полностью легальный инструмент для безопасной работы в интернете. Вопрос в том, как долго продлится такая ситуация. И что делать, если использование этого инструмента ограничат? Некоторые уже начали готовиться к худшему сценарию.
Недавно на Хабре была опубликована статья «Интернет-цензура и обход блокировок: не время расслабляться» с обзором типов VPN по устойчивости к потенциальным блокировкам и деанонимизации пользователей. Статья набрала +262 и наверняка войдёт в список лучших статей на Хабре за 2023 год.
Итак, автор выделил семь типов подключения по степени обфускации (маскировки) трафика:
- VPS в личном облаке, собственный VPN-сервер на известных протоколах без всякой обфускации, таким как IPSec, L2TP, OpenVPN, WireGuard. Их можно элементарно заблокировать и отфильтровать на уровне всех интернет-провайдеров.
- Технология TLS-VPN, когда трафик VPN «оборачивается» в TLS. Примеры протоколов: SSTP, AnyConnect/OpenConnect, SoftEther.
- Реверс-прокси перед TLS-VPN для защиты VPN от обнаружения. К сожалению, все такие соединения можно заблокировать.
- Специальные инструменты для маскировки TLS-VPN, чтобы он был неотличим от обычного TLS — V2Ray/XRay с плагином VMess и VLess поверх Websockets или gRPC, либо Trojan-GFW. К сожалению, факт использования этих библиотек можно обнаружить.
- Специальная или кастомная TLS-библиотека вроде uTLS, маскировка под другие протоколы. К сожалению, по паттернам трафика всё равно можно выявить, что пользователь делает нечто нестандартное и подозрительное.
- Rule-based access: прокси, который включает VPN только в нужный момент. К сожалению, такое специфическое использование SSH-туннеля тоже заметно по паттернам трафика, так же как TLS-внутри-TLS.
- Всё вышеперечисленное, с рандомной набивкой пакетов мусорными данными (random padding), разбивкой пакетов и другими техниками избежания паттернов. В этом случае увеличивается процент ложных срабатываний, что обычно не останавливает «цензора», который блокирует всё более-менее подозрительное (разумеется, речь про Китай и Иран).
Какие выводы можно сделать из этого технического обзора? Вывод такой, что по мере продвижения от первого к последнему пункту наш сервер всё лучше защищён от обнаружения, но никогда не защищён полностью. При этом сервер становится всё сложнее в обслуживании.
Грубо говоря, первый вариант — самый простой удобный, но и самый беззащитный для гипотетической угрозы. Последний вариант со всеми защитными мерами означает то, что трафик всё равно заблокируют, но вместе с кучей ни в чём не повинных посторонних сервисов.
▍ VPN по разрешениям
Некоторые особо параноидальные эксперты допускают введение в России «белых списков» и разрешений на использование VPN. По некоторым признакам, подобные планы действительно существуют. Ещё в 2017 году Роскомнадзор начал составлять «белые списки» сервисов, которые запрещено блокировать. В том же году вступил в силу закон о запрете обхода блокировок через VPN и анонимайзеры.
В отношении VPN введение белых списков допускает два варианта регулирования:
- белый список организаций, которые имеют право использовать услуги VPN;
- белый список VPN-провайдеров, соблюдающих меры государственного регулирования (например, запись всего трафика и расшифровка по запросу компетентных органов)
… или сочетание этих методов.
Подготовка не означает 100% вероятность введения «белых списков», это лишь запасные меры на случай, если поступит экстренное распоряжение. А оно может и не поступить, этого никто не знает. Такие вещи в последнее время в РФ происходят непредсказуемо и без предварительных анонсов (как говорится, «без раскачки»).
Напомним, что в настоящее время вместо «белых списков» (VPN запрещён всем, кроме организаций из списка) действует противоположная модель «чёрных списков» (разрешено всё, кроме некоторых сервисов).
Если вернуться к типам VPN из вышеупомянутой статьи, то использование VPN само по себе полностью легально (1-й пункт из списка). А вот «обход блокировок» уже является нарушением закона со стороны владельца сервера. И если кто-то начинает обфусцировать трафик (пункты 2–7), это выглядит подозрительно.
Ну и тотальной фильтрации трафика по протоколам сейчас не наблюдается. Хотя она может начаться в будущем. Но пока такое будущее не наступило. И будем надеяться, не наступит. Следовательно, можно использовать удобные и легальные сервисы из пункта 1.
На RUVDS есть два шаблона для этих целей, так что настройка сервиса займёт буквально пару щелчков мышки. Первый называется StrongSwan (под Linux), а второй — VPN L2TP (Windows Server 2019).
▍ Образ StrongSwan IKEv2/IPSec
Шаблон указан предпоследним в Маркетплейсе. Он добавлен несколько месяцев назад в связи с возросшим спросом.
Как вариант, шаблон можно выбрать из выпадающего списка на этапе заказа сервера:
IKEv2/IPSec — стандартный протокол для построения частных сетей. В качестве транспорта использует UDP. Обладает свойством PFS (perfect forward secrecy, совершенная прямая секретность) во всех режимах использования.
PFS — крайне важное свойство системы шифрования. Оно практически устраняет риски от потери долговременного закрытого ключа. Например, если злоумышленник получил закрытый ключ сервера, он всё равно не сможет расшифровать сессии IKEv2/IPSec ни в прошлом (сохранённые ранее), ни в будущем, потому что для их шифрования используются сессионные или уникальные эфемерные (одноразовые) ключи.
IPsec IKEv2 — современный протокол VPN, разработанный Microsoft и Cisco. В архитектурном плане оказался достаточно удачным, обгоняя по производительности OpenVPN. Большое преимущество — возможность добавлять новые функции. За 17 лет с момента публикации стандарта протокола появилось около десятка различных расширений, и процесс продолжается. Сейчас ведутся работы по адаптации IKEv2 для квантовых компьютеров и квантовой криптографии.
StrongSwan — открытая и быстрая реализация IPsec. Проект расширяемый, с хорошо масштабируемым многопоточным дизайном. Ориентирован прежде всего на IKEv2 и строгую аутентификацию.
В образе из маркетплейса — предустановленный strongSwan, все необходимые зависимости и плагины, а также небольшое веб-приложение для настройки системы и получения учётки без захода по SSH. Через -интерфейс можно взять файлы sswan и mobileconfig для импорта в приложение strongSwan VPN Client под Android и iOS/MacOS, соответственно.
После этого мы свободно подключаемся к своему VPN по адресу
https://vps_ip_address:5000 под теми же учётными данными, которые получили для SSH. Эту информацию вводим в мобильный клиент — и вот уже можно выходить в интернет под надёжной криптографической защитой.
strongSwan VPN Client для Android
Как видим, шаблон крайне прост в установке. Кроме того, образ работает под Linux. Это означает дешевизну решения, потому что под Linux есть линейка тарифов «Старт» и возможность выбрать более слабую и дешёвую конфигурацию, чем под Windows.
Как мы уже упоминали, этот удобный Linux-образ появился в маркетплейсе буквально пару месяцев назад, а до этого моменту пользователям приходилось довольствоваться более дорогим шаблоном VPN L2TP под Windows.
▍ Образ с VPN L2TP
VPN L2TP — альтернативный шаблон для своего VPN-сервера. Включает в себя Windows Server 2019 с предустановленными ролям RRAS и NPS.
Как и предыдущий, этот шаблон тоже устанавливается довольно быстро, а сразу после установки позволяет подключаться к серверу по VPN. Управление сервером доступно не только по SSH, но и по RDP, как в других стандартных шаблонах WindowsServer. Подключение осуществляется через стандартный функционал Windows с помощью L2TP с предварительным ключом. Перед подключением ввести общий ключ. Подробное руководство по подключению см. в справочнике.
Разумеется, на собственный сервер можно ставить любые операционные системы и софт по желанию. Без всяких шаблонов и дополнительной оплаты, то есть бесплатно.
▍ Вывод
В настоящее время VPN на своём сервере находятся в легальном поле. Ими можно совершенно спокойно пользоваться,
Есть вероятность, что власти постараются избежать введения жёстких ограничений на частные сети, поскольку это настоящий кошмар для цифровой инфраструктуры тысяч коммерческих и государственных организаций. Кому нужен кошмар? Никому. Все министерства выступят против, от минцифры до минэкономики.
Играй в нашу новую игру прямо в Telegram!
Комментарии (107)
Flux
23.01.2023 14:34+42VPN по белым спискам! КИБЕРГУЛАГ! Ну, некоторые иксперды допускают.
Но пока ещё нет, покупайте у нас инстансы и ставьте туда VPN!Вам вообще не стыдно такую кликбейтную рекламу постить? Это примерно уровень попап-банеров с заголовками "ШОК, сегодня сообщили что..." из середины нулевых.
ntsaplin
23.01.2023 17:31+25А первые 10 пользователей, оформивших заказ, получат легендарную финку НКВД в подарок
MaFrance351
23.01.2023 17:45+4И на КДПВ мигающая пачка соды…
Flux
23.01.2023 19:25+11Чтобы обеспечить 100% аптайма достаточно простого советского...
MikUrrey
23.01.2023 19:43+7Это очень тяжело, когда надо писать, но не о чем. Но очень надо. И желательно на животрепещущие темы. Тогда спасает рерайт и кликбейт.
MAXH0
23.01.2023 19:55+9Ну да Все обомлели, когда узнали, что их ждет в 2023 году…
Так и хочется добавить: Ванга в 2023 году предсказала удачу следующим знакам...
ED-209
24.01.2023 02:14+4Заголовок жесть, правда.
"Эксперт назвал способы сохранить анонимность в 2023 году".
MiraclePtr
23.01.2023 14:43+19Если вернуться к типам VPN из вышеупомянутой статьи, то использование VPN само по себе полностью легально (1-й пункт из списка).
Ну и тотальной фильтрации трафика по протоколам сейчас не наблюдается. Хотя она может начаться в будущем. Но пока такое будущее не наступило.
Почти что наступило.
В комментариях к упомянутой статье есть свидетельства о том, что некоторые операторы уже блокировали у себя WireGuard протокол для физлиц. Другие провайдеры блокировали TLS без SNI. Оборудование ТСПУ управляемое Роскомнадзором режет подключения по протоколу QUIC (потому что они не умеют его разбирать), причем с белыми списками - для vk.com было сделано исключение. Еще массово блокировали подключения от популярной библиотеки реализующей протокол WebRTC. При этом ни WireGuard, ни QUIC, ни TLS без SNI, ни WebRTC по российским законам не запрещены, но это никого не волновало.
Просыпайтесь, будущее уже здесь.
поскольку это настоящий кошмар для цифровой инфраструктуры тысяч коммерческих и государственных организаций. ... Все министерства выступят против, от минцифры до минэкономики.
Когда РКН, пытаясь заблокировать Telegram, массово банил подсети облачных хостеров и под раздачу попала куча ни в чем неповинных сервисов и сайтов, устроив настоящий кошмар, в том числе юрлиц и банков, их это мало волновало, и им за это потом ничего не было.
Да и как показывают события прошедшего года, на мнение "министерств" (кроме одного) лицам, принимающим решения, откровенно наплевать.
Chiyoda
24.01.2023 09:34У крупных провайдеров уже давно проблемы, но на мелких местечковых пока все нормально. Я даже думаю может пробрасывать всемь трафик через домашний роутер с интернетом от «рога и копыта»…
xenon
24.01.2023 12:02+1Думаю, что в "ничего за это не было" - вы правы. А вот "их это мало волновало" - нет. Государство - не единый мозг с общими знаниями и компетенциями, а множество бюрократов, некоторые из которых могут быть в целом достаточно компетентны в своей области.
Я представляю так: Некто наверху хочет свои хотелочки и для этого говорит - "а заблокируйте-ка мне это и это". А какой-то техэксперт, хиппи недорезаный говорит "ой, а так нельзя, у нас много что поляжет в стране....". И тут возникает дилемма - а кто главный, у кого власть? Полковник в будет во всем про IT полагаться на мнение этого хиппи? А до чего мы так дальше дойдем - в вопросах экономики прогибаться под мнение экономистов и бизнесменов? :-). А вдруг вообще этот тех.эксперт преувеличивает немного? Поэтому принимается решение "дернуть рубильник".
Окей, рубильник дернули. В первую секунду все нормально. Потом прибегает кто-то из ЦБ - у нас банки поломались! Потом нефтяник звонит - "заправки не работают". Потом выясняется, что в рознице кассы товары не пробивают. И вот когда есть такие мнения этих уважаемых людей - принимается решение перестать блокировать.
Если бы было прямо пофиг - то все равно блокировали бы. Не пофиг. Но и идти на поводу у айтишников всяких там не хотят. Нужно на каждую граблю наступить, чтобы собственный лоб дал сигнал, что так делать в самом деле не надо -).
Serge78rus
24.01.2023 13:58+1Грабли прилетают им не в собственный лоб, а в лоб тех же айтишников, на мнение которых положили.
Singrana
23.01.2023 15:13+11Вот только в контексте того, что автор данной публикации российский хостер, и неплохо бы в статье указать, что для того, чтобы пользовать его услуги, для данной темы, необходимо выбрать размещение в ДЦ за пределами России, иначе все это может не иметь смысла
maeris
23.01.2023 16:14Полагаете, судам и службистам будет важно, где у российского хостера находится ДЦ, к которому они хотят получить доступ? Довольно оптимистично.
Singrana
23.01.2023 16:24+6В этом контексте вопросов нет, придут и все получат. Но это в случае интереса к вам. А мой изначальный посыл в том, что vpn внутри страны не имеет смысла, т.к. контроль внешнего канала сведет ценность vpn в ноль
vanxant
23.01.2023 16:46+1нет, речь о том, что на выходе дц хостера должен стоять точно такой же фаервол, который блочит метаэкстремистов (
тпрутспу или как там его)
vconst
23.01.2023 20:47+14А это самая мякотка
Призывает размещать у них свои серверы для ВПН тот хостер, который первый возьмет под козырек и сдаст всех сразу и оптом, как только ему строго нахмурится товарищ майор. Просто потому что он русское юрлицо и обязан
mvv-rus
23.01.2023 22:27А откуда у вас такая уверенность? Если я правильно понимаю (тут, вообще-то, в тред реквистируются юристы), технически это совсем не обязательно: датацентр за бугром может быть зарегистрирован на другого (ну совсем) юрика, а российский юрик может продавать тамошние услуги по агентскому договору.
Однако, если это рекламируется как киллерфича, то об этом должно быть написано. Хотя бы - между строк. Я - советский, по происхождению, человек и между строк читать меня учили, но даже между строк я этого тут не вижу.
PS Ну и минус статье за кликбейтный заголовок: ну, не люблю я рекламщиков, ориентирующихся на целевую аудиторию, в которую я не вхожу.
xenon
24.01.2023 12:05Действительно, если по закону не обязан, то фиг какая спецслужба что стребует! Это Россия, а не какая-то там Америка, страна произвола и беззакония! Недаром даже английские олигархи судиться предпочитают в судах города Москвы.
vconst
24.01.2023 15:36+2Россия — это не правовое государство, здесь авторитарная диктатура. Потому, где серверы юридически, товарищей в погонах вообще не интересует. Если не выложит все, что просят — владелец бизнеса будет иметь совершенно не юридические проблемы
Тут никаких эзоповских междустрочий не надо, достаточно просто оглянуться
SergeyDeryabin
23.01.2023 19:16+4Как-то не справедливо получается, похожая статья С 7-го января в России полностью запретят VPN имеет рейтинг -193 и автора в рид онли.
vedenin1980
23.01.2023 19:20+1Ну, очень рекламная статья своего сервиса из каждого абзаца и явная неправда в заголовке (про запрет с 7 января). Люди пугались, заходили и ставили закономерные минусы за обман.
P.S. Автор, кстати, не в рид онли сейчас.
Wesha
23.01.2023 20:18Автор, кстати, не в рид онли сейчас.
Как говорил М. Задорнов (покойный),
— Почему Мавроди посадили?
— Не поделился!
— А почему выпустили?
— Поделился...
alexdesyatnik
23.01.2023 21:19-2"Реклама" бесплатного опенсорс инструмента - (1) это оксюморон и (2) маркер людей, которые не очень умеют в чтение. Извините, если обидел.
vedenin1980
23.01.2023 22:27+2«Реклама» бесплатного опенсорс инструмента — (1) это оксюморон
Есть такой миф, что бесплатный опенсорс не может приносить денег. Но это совсем не так, Red Hat стоит 34 млд.$, MongoDB 37 млд, производитель Elasticsearch — 11 млд.
То что компания выпускает бесплатный опенсорс это еще не значит, что она не сможет его монетизировать (сейчас или в будущем). Например, на github'e этого проекта есть ссылки как задонатить. В будущем они легко могут добавить платный support или коммерческую версию с дополнительными функциями (тем более что GPL лицензия ограничивает создание конкурентов).
P.S. Тем более скорее всего большинство прочитав, что это обман с точной датой блокировки VPN, поставив минус не разбираясь, бесплатный или нет там инструмент.alexdesyatnik
24.01.2023 01:38"Обман", который раскрывается первым же предложением статьи - это называется кликбейт. Ровно то же самое, что в этой статье, только вот здесь мы имеем именно что рекламу платного сервиса, да ещё и с изрядной долей лукавства: как верно подметили другие комментаторы, компания-юрлицо РФ в принципе не может быть безопасной с точки зрения хостинга VPN. Тем не менее, у этой статьи 28 (на данный момент) плюсов, статью Амнезии заминусовали в дно. Почему же здесь нет "минусов не разбираясь" за "обман" про VPN по разрешениям?..
vedenin1980
24.01.2023 01:57+3Вам кажется, что разницы нет, а пользователям хабра — что есть. О чем тут спорить? Отвечать за всю аудиторию хабра никто не может.
vedenin1980
24.01.2023 11:04+2Почему же здесь нет минусов
Ну так та статья это просто набор антипатернов «как не нужно писать для хабра» (в этой они тоже есть, но значительно в меньшем количестве). Можно взять прямо часть до ката той статьи и разобрать, если интересно:Антипатерны той статьиС 7-го января в России полностью запретят VPN
Явная ложь и черезмерно агресивный кликбейтКак вам заголовок, а? Как вам такой подарочек на Рождество? Нет, это неправда, это шутка такая. Не с 7-го января запретят. С другого числа запретят.
Признание в обмане, панибратский тон, негатив, политика, попытка несмешно шутить на злободневную тему, попытка играть в предсказателя (не имея реальной информации о будущем) — то есть попытка обмана читателя еще раз.Добро пожаловать под кат, будем вместе учиться обходить блокировки VPN у наших коллег из дружественных стран – Китая, Ирана, Туркменистана и конечно же Северной Кореи.
Политика, негатив, сарказмAmneziaVPN снова на связи!
Сообщение, что этот пост только рекламная джинса (причем, без упоминания бесплатности и opensource'ности данного продукта)Картинка — Полный песец
Подпись — Правильно писать песец сейчас неправильно
Негатив, Политика, Завуалированный мат, картинка никак не описывающая содержимое статьи.
ИМХО, где-то тут и отваливалось 80%-90% читателей, ставя минус публикации. Дальше могла быть суперинтересная статья, но после такого вступления шансов у нее не было. Все выше глубоко ИМХО (по моему личному субъективному мнению, которое сформировалось при подготовки десятка статей для хабра).
vconst
24.01.2023 15:38Красная шляпа — бесплатна, качай, работай, делай что хочешь. И частному лицу это нормально
А если контора хочет поставить себе шляпу и получать техподдержку — это уже за отдельные деньги. Потому что — ынтерпрайзvedenin1980
24.01.2023 15:43Конечно, речь именно о том что open source (даже бесплатный) это не всегда благотворительность, а иногда вполне реальные деньги.
venanen
23.01.2023 22:26+5Тот же самый кликбейт, та же самая реклама. Притом тут статья вообще не несет какого-то смысла, кроме как объяснение как поднять VPN на их сайте. Ну и сверху - это вообще мне кажется даже забавно, когда российское юрлицо предлагает прятать через него трафик - это же почти как туннель через компьютер товарища майора прокинуть.
А по плюсам - однажды я доосилю статейку с статистикой по публикациям (благо, они через api доступны). Интересного там много...
art1fact
23.01.2023 20:04+3Всё же откровенная ложь в заголовке и кликбейт - это немного разное. За дураков никого держать не собирались.
nronnie
23.01.2023 21:17+2И почему-то нет традиционного баннера, хотя материал вызвал противоречивые чувства. У меня, по крайней мере.
AlexanderS
23.01.2023 19:59+6Если читать эту статью в контексте статьи недельной давности, то всё оказывается не так радужно и совсем не просто.
Chupaka
24.01.2023 09:43Вы сейчас дали ссылку из третьего абзаца, или её туда положили уже после вашего сообщения?..
xenon
24.01.2023 12:32+4VPN на своем сервере - это плохо. С ним можно обойти блокировки (если вы пользуетесь интернетом read-only), но если что-то пишете, отправляете почту, с кем-то общаетесь - вы, практически, паспорт показываете. А даже в комментах к этой статье, некоторые комментарии могут на какую-то статью потянуть. По крайней мере в них явно можно увидеть иностранное влияние и дать титул иноагента. Есть вы с вашего VPN где-то что-то сделали "анонимно", а потом с этого же VPNа где-то "засветились" (заказали товар на озоне на дом. адрес или просто сверканули кукой) - поздравляю, теперь у вашего IP появился и город и улица и номер квартиры. Если использовать свой сервер для VPN - то надо сервер без IP, с общим. Когда с этого IP тысяча человек работает и не разобраться, кто из них кто.
Кстати, теория, что плохие VPN (например, бесплатные или российские) могу сливать - имеет какие-то практические подтверждения? Заказы какого-то оборудования, разработка какого-то ПО, судебные дела где через VPN кого-то нашли, хотя бы просто новости какие-то может есть? Или только "не исключено?". Теоретически, я тоже не исключаю. Но технически, я не представляю, как я бы сделал "плохой VPN".... Все равно же через него идет шифрованный трафик, видны только IP. К тому же, как это все логировать, если VPNом пользуются тысячи человек? Неужели каждый коннект записывать? А не дорого ли это? Мне кажется "дискредитацией бесплатных VPN" занимаются планые VPN. Зато, у бесплатного VPNа гораздо выше анонимность, вы хотя бы не светите свои платежные данные.
Полная блокировка VPN, мое мнение, очень маловероятна. Любая частичная будет такой, что те, кто сидят на хабре - найдут дырочку. Она, полная и не нужна "заказчику". Заказчику нужно чтобы 80-90% пользователей не получили доступ к "плохим" ресурсам. А на оставшихся 10% - пофиг. Все будет по правилу Парето.
Белые списки. Это была бы проблема. Я надеюсь, что их не будет. Во-первых, потому что клиенты (какой-нибудь газпром) относительно динамичны. Открываются новые филиалы, переезжаются с одного здания в другое. Вчера использовали Debian сервера для чего-то и нужен был доступ к репозиториям дебиана, а сегодня - перешли на RedHat. А во-вторых, внешний интернет уж тем более живой и динамичный. Никто в мире особо и не парится насчет смены IP адреса. Переехали на другого хостера, поменяли DNS и в продакшн. То, что в какой-то стране генералу удобно видеть Интернет как что-то забетонированное - они и не думают. Поэтому реальный геморрой при реализации белых списков просто огромен и вряд ли за этой задачей стоят энтузиасты, которые готовы ночами самоотверженно работать, нервничать, перепроверять свою работу (чтоб ни дай бог ошибок не было).
sim31r
24.01.2023 13:14реальный геморрой при реализации белых списков просто огромен
Вот из этого следует, что постепенно в белые списки попадут все VPN пользователей, кому это сколь-нибудь нужно. Белые списки будут постепенно замусориваться и станут уже не такими белыми. Вряд ли их будут чистить тщательно. Условно так будет происходить, компания дает запрос на утверждение 10 000 белых IP и туда админ может дописать сотню своих IP.
vconst
24.01.2023 15:39+1но если что-то пишете, отправляете почту, с кем-то общаетесь — вы, практически, паспорт показываете
Надо понимать разницу между анонимностью и обходом блокировок. Анонимность никто не обещал, мы все вообще в инет по паспорту ходим, если кто не зналxenon
24.01.2023 15:43Не знаю, какой смысл вы вкладываете в "никто не обещал", но вот до начала блокировок, вся суть VPN именно в анонимности и была. Никому почти не требовалось обходить блокировки (так как их не было).
Areso
24.01.2023 15:55+2Вы уверены? VPN это не про анонимность. Так, вы можете любой технологией сделать несколько hop'ов, и обеспечить примерно тот же уровень сокрытия следов, но в целом - VPN это совсем не про анонимность.
VPN это про организацию сетей (подчеркну, что именно сетей), ресурсы которых физически разнесены между собой, а логически их ресурсы должны быть рядом. Так, VPN соединение филиала или отдельного сотрудника и головного офиса делает незаметным то, что между ними десятки, сотни или даже тысячи километров (и это было основновное примение долгие годы).
xenon
24.01.2023 17:18То что вы описали, это тот же стек технологий, но применен для решения другой проблемы. И это то, что в компании "делают сами" (покупают для этого оборудование, но создают VPN сами).
А то, что продают персональным пользователям по 5 баксов в месяц, использует тот же стек технологий, тоже называется VPN'ом, но его цель, предназначение, другие. (Как раз чтобы на порносайты ходить или торренты качать и никто не знал, что это Иван Михайловыч, примерный семьянин).
По сути это две разных задачи, хоть и на тех же технологиях, причем первую даже не особо-то удобно отдельно продавать.
vconst
24.01.2023 17:33+1Технология одна, назначение ее — формирование частных сетей «внутри инета». То, что эта технология обходит блокировки и дает условную анонимность — это побочный эффект, который успешно монетизируется в современных условиях
vconst
24.01.2023 16:15+1Никогда ВПН не обещала никакой анонимности. Надо просто понимать, как это работает
Анонимность, это ТОР, к примеру. И то, при соблюдении определенных условий
MAXH0
Например ко мне при использовании VPN пришло письмо счастья от Мегафон с приблизительно следующим содержанием - "Мы заметили, что вы используете VPN. Ваш трафик может быть замедлен"... А это подразумевает, что пункт 1. не защищает от проблем...
+
ИМХО простые и законопослушные пользователи должны пользоваться разнообразным зоопарком решений, чтобы товарищу майору служба медом не казалась. Это такой "злой гололёд". Причем пользоваться в совершенно легальных целях. А то когда только для нелегальных ты включаешь VPN, TOR или шифрование = ты палишься.
MentalBlood
Диверсификация, одним словом
IvanPetrof
Фразу из письма можно понять двояко:
Как угрозу - вы что-то нарушаете, мы вам урежем скорость.
Как заботливое предупреждение - наша прекрасная сеть может работать быстрее, но вы из-за использования vpn можете этого не замечать..
Ps. Хотя, эти два прекрасных пункта не противоречат друг другу даже одновременно.
akuli
Да, это просто разные формулировки.
ifap
Странная угроза: вы что-то нарушаете, и за это мы вам немного помешаем нарушать. Не передадим информацию в органы, не разорвем договор на оказание услуг связи, а так - нассым в лифте. Интересно было бы попытать Мегафон, что именно нарушает абонент по их мнению своим VPNом.
HappyGroundhog
На многих тарифах есть ограничения как минимум на торренты, а часто и на другой трафик. А под VPN можно всё это спрятать.
Мне так однажды MTS прислал "смс счастья", мол мы вам закрутим вентиль, если будете раздавать торренты через телефон, а я всего лишь обновил винду через мобильную связь...
ifap
А еще по телефону можно ложно сообщить о минировании школы, распространять спам и позвонить в общественную приемную государя-императора и красноречиво помолчать в трубку. Но телефоны же
покане отбирают за то, что с их помощью только можно сделать. Вот и в данном случае либо должна быть ссылка на конкретный НПА, порицающий использование VPN, либо кому-то стоитзавалитьпомолчать, вместо того чтоб пугатьежаабонента голой жопой.ganzmavag
Там все проще: они выставляют разный приоритет разным видам трафика из-за ограниченной пропускной способности сети. Чтобы один качающий торрент не забил канал и не усложнил жизнь сотням сидящих в мессенджере на этой же базовой станции. Вот и предупреждают, что VPN у них не в приоритете.
Смысл не в каком-то запрете. А в том, что типа показываешь нам, что это у тебя мессенджер - мы тебе дадим приоритет. Не показываешь, что там у тебя - твое право, но приоритета не будет, оператор не знает, что у тебя там.
Другой вопрос - они же и так борются с перегрузкой за счет ограничения объема трафика на тарифах. Если человек купил 10 гигов - какая разница как он их использует. Хотя наверное тут тоже логика есть - для них идеальный абонент тот, кто свой пакет использует постепенно, не создавая одномоментной нагрузки.
ifap
Думаю, если человек захочет выкачать все свои 10Гб за полчаса, это может огорчить оператора, и, небезосновательно. В общем, приходим к тому, что тут важна точная формулировка сообщения.
georgevp
Ну что Вы, право, ну как маленький. Потом же будет докупать ещё гигабайты за феерические деньги. Так что прямая выгода для оператора.
ifap
Это еще хуже: он один докупает, а все остальные, кто висит в одной соте с ним, орут на первую линию поддержки, что у них даже обычная голосовая булькает.
Rinsewind
Идеальный абонент тот, кто платит, но не подключается к сети.
Alexey2005
Потому что идея безлимита, когда все платят поровну вне зависимости от того, насколько сильно нагружают сеть, сама по себе порочна.
При такой схеме те, кто качает мало, по сути и оплачивают ресурсы за любителей торрентов и 8к видео.
И, как всегда бывает в подобных случаях, когда капиталистическая модель распределения ресурсов (больше платишь - больше получаешь) заменяется социалистической уравниловкой, в системе возникает дефицит ресурсов, с которым вместо экономических методов приходится бороться методами техническими - без особого впрочем успеха.
vconst
Да там все проще.
Начинали они как все — злостным оверселлингом. А когда пришла пора расширяться — пожмотились.
sim31r
Так и соотношение цена/качество все равно на высшем уровне, за 5-10$ абонплаты такие условие вряд ли где-то найти.
karabas_b
Нда. А all inclusive в гостинице это тоже социализм? А all you can eat в ресторане?
Wesha
Там есть естественные ограничения. Вы никогда не задумывались, почему "all you can eat", а не "all you want"?
Да потому, что объём желудка — порядка одного литра.
karabas_b
На трафик тоже есть естественные ограничения даже у безлимита, например, ширина канала. Но кто-то скачает больше, кто-то меньше, а заплатят одинаково. С all you can eat то же самое - кто-то съест больше, кто-то меньше, а заплатят одинаково. Люди довольно сильно различаются по размерам, и объем их желудка тоже, да и ситуации бывают разные. Двухметровый качок весом килограмм 150, который не ел три дня, и девушка ростом 155 см и весом 45 кило, которая сытно поела несколько часов назад, наверняка съедят очень разное количество пищи.
Acidter
Да, качок быстрее и больше съест, но он не может есть бесконечно как и девушка.
IronKaput
Расскажите это рекордсмену по поеданию бургеров
Wesha
И сколько рекордсменов ходят в данный конкретный ресторан каждый день?
Если слишком много — ресторан поднимет цены, делов-то. Капитализм же!
nronnie
Это как сказать, что городские автобусы порочны, потому что все платят поровну вне зависимости от того сколько остановок едут. Если кто-то качает мало и считает что другие его обдирают, то пускай просто возьмет себе тариф с оплатой за траффик.
Dmitry27
Ну в сравнении с Сингапуром, Японией да. Там стоимость проезда зависит от количества остановок (дальности) в автобусе или метро.
sim31r
В России такое в пригороде, при удалении от черты города стоимость проезда растет примерно на 3 рубля за километр.
dmbarsukov
Таких уже практически нет у домашних операторов, только у мобильных.
The_Kf
не знаю: я плачу в зависимости от кол-ва остановок, времени и пр.
IronKaput
А при капиталистической модели дефицит ресурсов возникает у потребителей. Вывод: ни социалистическая уравниловка, ни капиталистическая модель не решают проблемы дефицита ресурсов.
kruglikov94
Почему порочна? Я, в рамках безлимита, оплачиваю себе канал шириной Х Мбит/с. Использую я его на 5% или на 100% - это моё личное дело.
Порочна практика выделения меньшего канала на нескольких абонентов, чем они оплатили. То есть если 20 абонентов оплатили каждый себе по 100 Мбит/с, то на них выделяется не канал в 2000 Мбит/с, а 1000 Мбит/с. И приписка в договоре, что 100 Мбит/с - это их максимально возможная скорость, а там как звезды сойдутся (в зависимости сколько абонентов вот прям ща будут пользоваться каналом). А качать с интернета режиссерскую версию фильма с помощью торрентов или сидеть в мессенджере - это мое личное дело.
MiraclePtr
Это не порочная, а вполне естественная практика. Вы готовы платить не 500 рублей, а 15000 рублей за гигабитный канал без оверселлинга? Нет? Ну значит придется жить с оверселлингом.
А по-другому и нельзя. В пределах сети провайдера до ее границ у приличных операторов проблем с полосой обычно вообще не бывает. А вот то что дальше - уже не в их власти. Даже если они обложатся десятками дорогих и широких аплинков, гарантировать что-либо за пределами своей сети они не смогут в принципе - так уж устроен интернет. Для юрлиц существуют есть варианты с действительно гарантированной полосой - но не для доступа в обычный интернет, а для "объединения локальных сетей", то есть в строго очерченных границах и тоже в пределах сети провайдера. По-другому никак.
xenon
Любитель торрентов тоже вряд ли смотрит больше двух фильмов за вечер. Поэтому, какая разница?
Кстати, еще пара вещей из моего опыта:
У меня 4К телевизор. Я раньше волновался, что качать 4К фильмы будет долго. Но оказалось, что я их не качаю. Мне "обычные" фильмы в HD формате на глаз кажутся такими. И их можно хранить на диске долго, хоть сотнями. Интернет мне позволяет качать 4k, это бесплатно, но мне просто не нужно.
У меня 100мбит подключение. Провайдер сам назойливо спамит рекламой подключить 500. А я вот не знаю... С одной стороны, 500 - конечно, заметно больше. Стоить будет - совсем чууть-чуть дороже. Но мне лениво суетиться, и я не вижу реальной потребности "зачем". А пров втюхивает услугу. Я думаю, провайдер знает, что если он мне втюхает 500мегабит, то мой (от балды говорю) суточный трафик в 20 гигов, превратится (если мне дали в 5 раз шире канал) в 21-22.
Аналогично и с сотовым оператором. Когда мне предложили сверх-выгодный спецтариф с безлимитом, я думал - "нихрена себе они щедрые!". А сейчас смотрю по факту - мое потребление мобильного интернета выросло едва едва. (Может даже в 5 раз - было 100 мегов в день, стало 500. велика ли разница?)
Зато клиент всегда платит не за товар, а за "ощущение счастья". Хорошей сделки. И платить за безлимит гораздо приятнее, чем платить за мегабайты и тщательно их высчитывать, и переживать, отключил ли интернет на телефоне.
Dolios
Потому что разрешающая способность глаза ограничена. С расстояния в пару метров среднестатистический человек не увидит разницы между 2к, 4к и 8к (на эту тему полно статей в интернете с расчетами). Глаз просто не в состоянии различить слишком мелкие точки изображения. Если подойти на пол метра к телевизору (как в магазине люди делают), то, да, разница будет заметна, но так никто кино не смотрит.
sim31r
Тем более, что в видео картинка не распадается до пикселей, которые можно различить. Кодек равномерно смазывает мелкие детали и без наличия картинки оригинала рядом не различить снижение качества изображения. И это не на любом кадре заметно будет, смазанные детали могут быть авторским замыслом, тогда 2к и 8к не дадут разницы.
vconst
Под этим соусов Йота выступила несколько лет назад — вы можете торренты качать через впн по безлимиту, потому мы ограничиваем скорость шифрованных соединений. После чего от йоты моментально свалили все сисадмины и те, кто обязан работать через ВПН, согласно условиям работодателя
Они быстро опомнились и переобулись в прыжке — но фарш обдратно не провернулся
zartarn
Впн резали не пару лет назад, а сильно больше (года с 15 не замечал зарезаный впн, да и когда говорили что режут - это было выборочно). Лимитированные тарифы уже лет 5 можно раздавать. Ограничивают только торрент трафик. Безлимиты раздавать - отдельной опцией.
Ну и йота по прежнему единственные кто не подключает гудки и прочий шлак, а платишь только за то что выбрал.
nitro80
Йота скатилась. За 2000 рублей даёт 50Гб.
vconst
Да все они скатились, ибо оверселлинг уже не работает, а мобильный трафик вырос на порядки
zartarn
Даже в мск 50гб — 400р (в регионах поменьше)
наверно ниже еще галки на безлимит для всевозможных приложений?
santjagocorkez
Зато йота, вероятно, единственная, кто подсовывает договор на простую электронную подпись в качестве юридически значимого действия и одновременно в качестве условия для заключения договора на оказание услуг связи.
Как мне объяснили, эту самую ПЭП пользователь даже не видит. Она выпускается центром, доставляется на йотакоробку, ей же обрабатывается и отсылается обратно. Работает, как швейцарские часы. Особенно, если задача -- приписать пользователю какие-либо обязательства, но так, чтоб пользователь не смог отказаться от их принятия и, тем более, исполнения.
Ну и бонусом, кажется, согласие на передачу ПД всем, кому попало, но это уже смутно помню.
delvin-fil
Насчет Еле2:
В позапрошлом(уже) году тщательно резали TOR. Спасло только использование obfs.
Сейчас днем торренты качаются отвратительно. Но это, вероятно, из-за большей загрузки сетей в дневное время.
Areso
Формально, мешает работе QoS (Quality of Service).
Но там должно быть несколько факторов: VPN + большие объемы трафика.
xenon
А QoS мешает (полностью противоречит) https://en.wikipedia.org/wiki/Net_neutrality .
Не каждый трехбуквенный акроним обязательно нужно соблюдать.
Areso
Лично присутствовал на встрече, где техдир МегаФона, Фредерик Ваносчуйзе, говорил, что Net neutrality это какая-то фигня для недалёких идеалистов.
И поверьте, его слово имело вес, и конкретно в этом вопросе было даже не частным мнением, а вполне себе политикой партии.
xenon
Что дает это знание? Подтверждает, что мегафону наплевать на N.N.? ну так это и выше по комментарию было тоже видно.
Утверждение, про что-то "какая-то фигня для дураков" - это такое же обманывающее упрощение, как и новость, что глава всемирного банка засветился в рваных носках (действительно было) и коммент под ним "Это все, что вам нужно знать, про всемирный банк" (нет, конечно же не все. Если мы будем считатать, что мы знаем про носки и поэтому достаточно знаем - мы очень сильно ошибемся).
У QoS есть свои плюсы-минусы. У NN свои плюсы-минусы. Причем то, что плюс для одного, вполне может быть минусом для другого. А утверждение "фигня для идеалистов" делает из сложного многофакторного явление простое булевое.
makovke
есть vpn, который умеют скрывать факт своего существования, напр., я пользуюсь snowd,com
MiraclePtr
Все встают и смеются.
Dolios
https://habr.com/ru/post/710980/
makovke
очень круто, благодарю
Stanislavvv
Особенно по-издевательски Мегафон с такими письмами выглядит в моём случае - сайт в моём городе (местные трамвайчики), в том же дц у меня вдс.
При попытке открыть сайт напрямую - чаще всего таймаут, причём и повторно тоже, т.е. не днс.
При открытии впн на вдс - мгновенно.