В конце февраля многие российские пользователи VPN начали жаловаться на то, что их сервисы перестали работать. В первую очередь, на проблему жаловались юзеры ExpressVPN — как оказалось, этим сервисом пользуются многие иностранные журналисты, работающие в России, и проблема начала активно обсуждаться в «Твиттере». Списавшись с техподдержкой ExpressVPN, я узнал, что сервис борется с ужесточением блокировки VPN в России, и трудности, вызванные этим — «беспрецедентные».
В настоящее время российское правительство активно блокирует VPN-соединения. Трудности, вызванные последними мерами по блокировке, являются беспрецедентными.
ExpressVPN входит в список заблокированных VPN (куда входят так же Hola!VPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN) c сентября 2022 г.
Тогда решить проблему удалось обращением в техподдержку, которая посоветовала список серверов (стран) для подключения, парочка из которых сработала и VPN на неделю с лишним заработал как раньше — пусть для этого и пришлось подключаться через Сингапур и видеть рекламу с иероглифами при выходе в интернет. В начале марта проблема повторилась, и снова пришлось спрашивать техподдержку, как восстановить подключение. К счастью, они были наготове с новым списком серверов, который с четвёртой-пятой попытки сработал и ExpressVPN снова заработал.
К слову, это и есть рекомендуемый способ действий в этой ситуации: по мере новых проблем, ExpressVPN обновляет списки альтернативных серверов, но не публикует их из соображений безопасности, а предоставляет по запросу в чате на сайте или через сообщения в соцсетях сервиса.
Понятно, что проблема более глобальная, чем разовые сбои. Речь идёт о системной попытке запретить любой независимый от государства (то есть, непрозрачный для спецслужб) VPN в России. И в эти кошки-мышки с блокировками можно будет играть только так долго, как VPN-провайдеры готовы будут вести борьбу с этими «беспрецедентными препятствиями».
Как показывает опыт блокировки «Телеграма», отбиться в этой ситуации сервис вполне способен — если для него это будет достаточно принципиальным вопросом.
Со своей стороны, я могу представить себе одинаково убедительные бизнес-кейсы за и против борьбы с блокировками в России.
Против: бороться с блокировками выходит сложно и дорого, и придётся, возможно, бесконечно. Мощности российской цифровой цензуры нарастают с каждым годом, технологии блокировок становятся всё сложнее: от банальной блокировки IP‑адреса серверов, куда обращается VPN‑сервис до блокировки протоколов (IKEv2, OpenVPN, WireGuard). Многие западные компании и организации покинули Россию при первых же санкциях в 2022 году, некоторые — впереди паровоза. Многие — несмотря на то, что единственными, кто от их действий получит ущерб, будут обычные граждане. И представить, что ExpressVPN пополнит ряды иностранных бизнесов, бросивших россиян наедине вместе со своими проблемами, очень несложно.
За: 1) российский рынок достаточно большой, а спрос на VPN практически гарантирован на всё время блокировок популярных сервисов и сайтов (а также для обхода запретов западных сервисов). 2) ужесточение интернет-цензуры — глобальный процесс, и методы, отработанные в России, пригодятся и на других рынках. Если же с цензурой не бороться — то со всех этих рынков придётся уходить. 3) готовность бороться с цензурой — это хороший пиар для VPN-сервиса, основным юзкейсом которого иначе становится обход страновых ограничений в каталоге Netflix для сытых граждан «золотого миллиарда».
Поэтому, чтобы не гадать, что в голове у лошади, я решил лошадь спросить и написал запрос в коммуникации ExpressVPN. Я написал ряд вопросов о характере происходящего, но главное, что меня волновало — не технические особенности конкретных блокировок и пути их обхода инженерами ExpressVPN, а их готовность в принципе вести такую борьбу за пользователя и доступ к VPN в России.
После недельного раздумья, ExpressVPN ответили на мой и все остальные аналогичные запросы (в том числе из западных медиа, включая газету Guardian) заявлением, которое я приведу полностью.
Судя по всему, усилились усилия, направленные на то, чтобы запретить пользователям VPN в России свободный доступ в Интернет. Мы наблюдаем увеличение частоты блокировок и масштабов их воздействия на российских пользователей VPN за последний месяц.
По сути, мы считаем, что каждый человек в мире имеет право на свободу в Интернете, поэтому мы стремимся поддерживать доступ к VPN для наших российских пользователей. За последний год мы столкнулись с множеством блокировок, и наша операционная команда неустанно работает над поддержанием качества обслуживания наших российских пользователей. Раньше мы могли быстро восстанавливаться после обнаружения каждой блокировки, и после каждой блокировки наши пользователи могли подключаться так же хорошо или даже лучше, чем на уровнях до блокировки. Мы смогли увидеть это в наших показателях успешности соединения.
В феврале 2023 года количество подключений из России резко возросло, увеличившись в десять раз по сравнению с предыдущим месяцем. Всплески, подобные этому, часто возникают из-за того, что клиенты повторно подключаются, а не подключаются один раз и остаются на связи. Это может указывать на то, что пользователи, подключающиеся к VPN, сталкиваются с проблемами при просмотре или доступе к нужным сайтам или службам, вероятно, в результате усилий по борьбе с цензурой VPN. За одни 24 часа в марте 2023 года мы наблюдали десятикратный всплеск запросов в службу поддержки от пользователей из России, которые не смогли установить подключение к Интернету через VPN.
Мы привержены борьбе за свободу Интернета, и наша команда инженеров прилагает все усилия, чтобы пользователи могли оставаться на связи. Всем, у кого возникли проблемы с подключением к VPN, мы настоятельно рекомендуем обратиться в службу поддержки ExpressVPN.
Оригинал заявления
There appears to have been an escalation of efforts to stop VPN users in Russia from accessing the internet freely. We’ve seen the frequency of blocks and scale of impact on Russian VPN users increase over the past month.
Fundamentally, we believe everyone around the world has a right to internet freedom, so we’re committed to maintaining VPN access for our Russian users. We have faced a variety of blocks over the past year and our operations team has been working tirelessly to maintain service quality for our Russian users. Previously, we were able to recover quickly after detecting each block, and after each block, our users were able to connect just as well or better than pre-block levels. We were able to see this reflected in our connection success metrics.
In February 2023, connections from Russia spiked, increasing tenfold compared to the month before. Spikes like this often result from customers repeatedly reconnecting, rather than connecting once and staying connected. This may indicate that users who connect to the VPN face issues browsing or reaching their desired sites or services, likely as a result of anti-VPN censorship efforts. In one 24-hour period in March 2023, we saw a ten-fold spike in support requests from Russia-based users who were unable to establish a connection to the internet via VPN.
We are committed to fighting for internet freedom and our engineering team is working hard to ensure users can stay connected. For anyone experiencing VPN connectivity issues, we strongly advise contacting the ExpressVPN support team.
Что это значит?
Заявление написано осторожным и нейтральным языком корпоративного пиара, без подробностей о технической стороне проблем и решений, которые находят их инженеры. Но главное в нём отражено: ExpressVPN публично сделали выбор в дилемме по-тихому слиться и оставить российского юзера наедине с его проблемами или же уделять внимание его проблемам на равных правах с остальными пользователями сервиса.
В текущей политической обстановке, пользователям из России надо сперва выяснять, не что сервис может делать в принципе, а к какому сорту пользователей сервис их относит. Потому что с сервисов, которые ушли с российского рынка, бросив своих пользователей, партнёров и сотрудников, спрос маленький и общаться с ними смысла нет.
ExpressVPN, судя по этому заявлению, общению с их техподдержкой и представителями руководства, в эту категорию входить не собираются, что уже немало. "We are committed to fighting for internet freedom and our engineering team is working hard to ensure users can stay connected." Насколько успешной будет эта борьба — предсказать нельзя, от них тут зависит далеко не всё. Вполне возможно, что они в какой-то момент достигнут предела своих возможностей, и не смогут больше обслуживать российских пользователей. Но, по крайней мере, это будет предел технический, а не политический — до которого ещё далеко. Пока ExpressVPN в России работает.
В случае, если вам необходим VPN и вы хотите забыть про возможные блокировки со стороны РКН крупных VPN-провайдеров, заказывайте личные VPS-сервера для использования VPN в личных целях. Это не запрещено законом.
AdminVPS — виртуальные серверы VPS/VDS в Нидерландах и Беларуси.
P.S. Insider: «Как создать свой VPN, обойти глубокую фильтрацию трафика и подготовиться к полному закрытию интернета в России».
Комментарии (32)
dimitrii_z
00.00.0000 00:00+5По факту пока вполне работает такая история:
Покупаем самый дешёвый VPS у провайдера, который имеет серверы в Европе (в России есть такие, можно с мира оплатить). Мощности с головой хватит. Есть за 1 бакс в месяц
Выбираем по классике Германию или Нидерланды
Настраиваем на сервере Wireguard
Profit
Итого тратится времени и денег с учётом покупки на год немного. Вот когда начнут такое блокировать, можно будет дальше думать
vis_inet
00.00.0000 00:00+1Можете рассказать подробнее по пунктам 1 и 3 ?
FatalStrike
00.00.0000 00:00+1Я использую https://friendhosting.net/ оплата в евро с киви. Там же, при создании сервера, есть готовые сборки с установленной OpenVPN либо WireGuard.
Я же использовал чистую Ubuntu плюс скрипт https://github.com/angristan/openvpn-install. Так же есть https://github.com/angristan/wireguard-install
dimitrii_z
00.00.0000 00:00По 3 много инструкций, там по сути одна команда поставить сам Wireguard, вторая создать пару ключей (для сервера и клиента), третий шаг заполнить корректно конфиг-файлы. Например https://www.digitalocean.com/community/tutorials/how-to-set-up-wireguard-on-debian-11
По 1 например https://justhost.ru/en/services/vps/tariffs/13
RangerRU
00.00.0000 00:00+1
Heggi
00.00.0000 00:00+1По п1. ruvds, vdsina, pq.hosting, rustelekom - это из тех, кем я пользовался. Думаю их много больше и даже с более вкусными тарифами думаю можно будет найти.
MiraclePtr
00.00.0000 00:00+3Настраиваем на сервере Wireguard
Не стоит. Учитывая его популярность и элементарную детектируемость на DPI, он окажется самым первым в банлисте, когда РКН созреет до блокировки по протоколам.
nuanse
00.00.0000 00:00+1да, вот только нюанс в том что у некоторых таких хостеров (которые за рубли покупаеш) ip-адреса палятся как российские даже несмотря на то что они якобы в нигерландах например, сам обжигался сколько раз
MiraclePtr
00.00.0000 00:00+1Обычно это связано с тем, что компания купила блок адресов, а некоторые тормознутые справочники не могу у себя обновить информацию в течении многих месяцев.
selivanov_pavel
00.00.0000 00:00+3Личный VPS вроде ещё спасает российских пользователей, но это просто ещё не взялись за блокировки как следует. DPI + шаблоны трафика(https сессия сильно отличается от vpn сессии, даже если вторая делает хендшейк как у первой) - и до свидания. А если ещё введут наказание за VPN, то рисковать ну очень мало кто решится. Собственно, я слабо понимаю, почему всё перечисленное ещё не произошло.
0x1A4
00.00.0000 00:00+1Не VPNом единым. Есть еще Tor с мостами в роли прокси сервера, благодаря которому забыл, когда последний раз VPN включал. А в сочетании с браузерным дополнением, запоминающим куда через прокси ходить, получается старый добрый интернет без блокировок. Из минусов раз в пару месяцев мост менять приходится, но то дело одной минуты.
alexander222
00.00.0000 00:00+3Основной минус тора- скорость, как-то не хочется возвращаться во воремена adsl с безлимитом на 512килобит. Хотя конечно лучше чем ничего в ситуации если все остальное не работает
0x1A4
00.00.0000 00:00Ваши данные по скорости в торе устарели не меньше, чем тот adsl. Последние лет 5 скорости в районе нескольких мегабит. Для серфигна хватает, как и для телеграма, когда их местные CDN ложатся. А для ютуба оно никогда и не предназначалось.
alexander222
00.00.0000 00:00+4Не замерял скорость, но по ощущениям медленно- картинки грузятся частями, за 5-10 секунд. Через обычный браузер такого эффекта давно не видел.
xanto
00.00.0000 00:00+4imho, основной минус тора - известные выходные ноды. Не все готовы пускать пользователей Тора.
MountainGoat
00.00.0000 00:00+2А почему вообще народ использует VPN вместо SSH или Shadowsocks? VPN все соединения в один тоннель. При простой установке - с одним выходом. Что сильно упрощает отслеживание по адресу. При падении VPN все соединения моментально становятся нешифрованными. Чтобы поделиться соединением с другими устройствами в сети - надо звать админа, пути настраивать. Из WSL или Windows Sandbox тоже не работает.
А теперь смотрите на SSH, Shadowsocks или другое решение на базе локальной прокси (видел Privoxy в докере, где контейнер подключен к VPN). Вы сами решаете, какому приложению туда ходить, а какому нет. В случае браузера есть расширения, которые позволят выбрать на какие сайты ходить через тоннель, а на какие - нет. При падении прокси, идущие через неё соединения должны просто отключаться, а не идти нешифрованными. Чтобы поделиться соединением в локалке, надо лишь включить эту возможность и ввести IPшник.
Tarakanator
00.00.0000 00:00+1VPN все соединения в один тоннель.
не правда как хочешь фильтруй, хоть по соурс, хоть по дестинейшн(fqdn как вариант), хоть по порту
Чтобы поделиться соединением с другими устройствами в сети - надо звать админа, пути настраивать. Из WSL или Windows Sandbox тоже не работает.
Чего настраивать? vpn на роутере стоит
Вы сами решаете, какому приложению туда ходить, а какому нет.
А как он определяет приложение?
В случае браузера есть расширения, которые позволят выбрать на какие сайты ходить через тоннель, а на какие - нет.
А если это не браузер?
Чтобы поделиться соединением в локалке, надо лишь включить эту возможность и ввести IPшник.
Куда вводить IPшник на webos? или oculus quest?
MountainGoat
00.00.0000 00:00+1хоть по соурс, хоть по дестинейшн
Юзеру привычнее всего фильтровать по доменному имени и/или по приложению. Подскажите пожалуйста, как это делать с VPN.
А как он определяет приложение?
Он никак - в приложении вводится настройка прокси, в которую вбиваешь что-то типа 127.0.0.1:8888. Если в приложении нет - значит использует общесистемную настройку, таковые есть и в винде, и в линуксе.
А если это не браузер?
Тогда при чём тут сайты?
Куда вводить IPшник на webos?
Вот для всякой корявой экзотики можно поднять VPN. Но если очень не хочется иметь 2 разных тоннеля - то на машине с прокси поднимаем tun2socks и прописываем её шлюзом для кривой экзотики.
Tarakanator
00.00.0000 00:00Юзеру привычнее всего фильтровать по доменному имени и/или по приложению. Подскажите пожалуйста, как это делать с VPN.
В моём случае это выглядит так
1)Пишу боту в телеграмм /adddomain example.com
2)mikrotik читает это, добавляет example.com в адрес лист over amsterdam
3)ищет в DNS поддомены и тоже добавляет в адрес лист over amsterdam
4)весь трафик что идёт на IP, соответствующие адрес листу over amsterdam идут в VPN.
У схемы есть 3 недостатка, но она мне нравится т.к. с такой системой работает всё.
1)чтобы получить поддомены нужно ткнуться в эти заблокированные поддомены. т.е. добавил сайт в разрешённые, а потом первая попытка зайти будет неудачная т.к. DNS микрота на тот момент про поддомены не знал.
2)если сайт обращается на другие доменты, то приходится смотреть их через F12
3)некоторые(парочка в моём случае) сайтов глючит если для их работы нужны другие домены и ты идёшь на них через другой шлюз. Но это тоже решается см. п2.Тогда при чём тут сайты?
Так надо рассматривать ситуацию в общем. В интернете не только сайты есть.
MountainGoat
00.00.0000 00:00Вот это круто и хорошо. Роутер Microtic, правда, на ноутбук себе не скачаешь, но всё равно правильно.
А у меня в браузере на каждой вкладке есть менюшка со списком доменов: какие открылись, а какие - нет. и можно в два клика перевести домен на другое соединение. Или по Wildcard.
Tarakanator
00.00.0000 00:00ноутбука у меня нет. На смартфоне поднимаю VPN до микрота, весь трафик туда, а он уже делит что куда.
А у меня в браузере на каждой вкладке есть менюшка со списком доменов: какие открылись
А вот такое мне возможно пригодиться. какое расширение?
MountainGoat
00.00.0000 00:00SwitchyProxy
Домены, которые не загрузились, прямо в меню аддона. А которые загрузились - надо включить настройку "Inspect proxy used for page element" и тыкнуть правой кнопкой по интересующему объекту.
Чтобы получить все домены на странице, расширение не нужно. Жмём F12, в списке сверху за кавычкой есть вкладка Network. Там таблица. Правой кнопкой по её заголовку, и можно включить колонку "домены". Затем жмём F5 чтобы перезагрузить страницу.
Tarakanator
00.00.0000 00:00в списке сверху за кавычкой
так там домены повторяются т.к. это не список доменов и указаны поддомены. Я подумал расширение может выдать список из 1-5 доменов вместо списка из десятков элементов.
DaemonGloom
00.00.0000 00:00Ну, если очень надо — то Mikrotik CHR можно поднять в виртуалке где угодно.
Но здесь как раз разница подходов — кому-то удобнее настраивать на каждом устройстве отдельно, кому-то — на роутере для всей сети сразу.
Didimus
00.00.0000 00:00-4Как всегда, одни заявления. Как только запахнет санкциями, тут же предадут, побегут сдавать тех, кто им заплатил, выпрыгивая из штанов.
EgorKotkin Автор
00.00.0000 00:00+4Какими санкциями, от кого? В России они уже запрещены, чем ещё им можно угрожать? «Новичком»?
zlo1
https://habr.com/ru/post/704600/comments/#comment_25291784
MiraclePtr
Альтернатива откровенно плохая, ибо простейшим active probing'ом при желании блокируется на раз-два.
vvviperrr
Опера впн (который на самом деле и есть прокси) как работал так и работает. То что убрали галочку в настройках для рф - не страшно