В статье описывается настройка бесплатного сервиса Zaborona.Help для обхода блокировок сайтов в Украине.
Особенность конфигурации в том, что через VPN маршрутизируется трафик только к заблокированным сетям, остальные сайты работают напрямую. Работает на всех основных платформах: Windows, Linux, iOS, MacOS, Android.
VPN не влияет на скорость интернета, не подменяет IP для остальных сайтов и не мешает работе онлайн-игр, голосового трафика и т.д.
Проблемы популярных средств обхода блокировок
- Браузерные плагины — не работают для мобильных приложений, проксируют через свои сервера весь трафик. Имеют доступ к содержимому страницы и угрожают безопасности.
- Обычные VPN — маршрутизируют через свои сервера весь трафик. Влияет на скорость интернета, увеличивают задержки, подменяет IP для всех сайтов.
- Браузеры с прокси — не позволяют обойти блокировку мобильных приложений.
Процесс настройки описан на примере OpenVPN и может быть легко повторен за несколько минут.
Настройки на стороне клиента выполняются с помощью одного файла конфигурации и не требуют ручного ввода адресов и паролей.
Выбор сервера
Сервер для VPN должен иметь хорошую связность на сетевом уровне с вашим провайдером, чтобы задержки были минимальными, а также с ресурсами, которые планируется посещать через этот VPN. Датацентры в США, Китае, Японии — не лучший выбор.
Приведу несколько вариантов, которые я выбрал для сервиса Zaborona.help:
Linode.com — крутой и надежный хостинг с хорошими каналами.
Плюсы:
- Гигабитный канал, хорошая связность в Европе
- Маршрутизируемый блок /64 IPv6-адресов. Можно выдавать клиентам VPN реальные IP напрямую.
Минусы:
- Минимальная стоимость $5
- 1TB исходящего трафика на минимальном тарифе
- $20 за каждый терабайт превышения лимита
Scaleway.com — дешевый хостинг с безлимитным трафиком.
Плюсы:
- Минимальная цена за сервер €3
- Безлимитный трафик, 200Mbit/s
- Датацентр в Польше (близко к Украине)
Минусы:
- Один IPv6 адрес на сервер (какая глупость!)
- Не лучшая связность с заблокированными ресурсами
Для надежности используются сразу несколько серверов у обоих провайдеров. Балансировка выполняется примитивно, на уровне DNS.
Служебный домен, к которому подключаются клиенты vpn.zaborona.help, имеет несколько А-записей, направленных на все сервера сразу. Это позволяет равномерно размазать клиентов по серверам. Минимальный TTL записей позволяет быстро убрать проблемный сервер из общего списка и перенаправить клиентов.
Список заблокированных сервисов
Из указа президента Украины №133/2017 известен список компаний, подпадающих под блокировки. Зная этот список, можно составить список всех диапазонов IP, принадлежащих этим компаниям
Для этого можно использовать сервис bgp.he.net
Вот как выглядят BGP-анонсы Яндекса bgp.he.net/AS13238#_prefixes
Собираем все нужные диапазоны. Соседние сети объединяем в один диапазон, чтобы уменьшить общее число маршрутов на клиенте.
На выходе получаем такой список без учета IPv6-диапазонов:
— 87.240.128.0/18
93.186.224.0/20
95.142.192.0/20
95.213.0.0/18
185.29.130.0/24
185.32.248.0/22
2a00:bdc0::/36
2a00:bdc0:e003::/48
2a00:bdc0:e004::/46
2a00:bdc0:e008::/48
2a00:bdc0:f000::/36
# Yandex
— 5.45.192.0/18
5.255.192.0/18
37.9.64.0/18
37.140.128.0/18
77.75.152.0/22
77.75.159.0/24
77.88.0.0/18
84.201.128.0/18
87.250.224.0/19
93.158.128.0/18
95.108.128.0/17
100.43.64.0/19
109.235.160.0/21
130.193.32.0/19
141.8.128.0/18
178.154.128.0/17
185.32.185.0/24
185.32.186.0/24
185.71.76.0/22
199.21.96.0/22
199.36.240.0/22
213.180.192.0/19
2001:678:384::/48
2620:10f:d000::/44
2a02:6b8::/32
2a02:5180::/32
# Mail.ru
— 5.61.16.0/21
5.61.232.0/21
79.137.157.0/24
79.137.183.0/24
94.100.176.0/20
95.163.32.0/19
95.163.248.0/21
128.140.168.0/21
178.22.88.0/21
178.237.16.0/20
185.5.136.0/22
185.16.148.0/22
185.16.244.0/22
188.93.56.0/21
194.186.63.0/24
195.211.20.0/22
195.218.168.0/24
217.20.144.0/20
217.69.128.0/20
178.22.91.0/24
178.22.92.0/23
185.16.244.0/23
195.211.128.0/22
208.87.94.0/24
2a00:1148::/32
2a00:b4c0::/32
# Kaspersky Lab
— 77.74.176.0/22
77.74.181.0/24
77.74.183.0/24
93.159.228.0/22
185.54.220.0/23
185.85.12.0/24
185.85.14.0/23
77.74.176.0/21
91.103.64.0/21
93.159.224.0/21
2a03:2480::/33
Этот список меняется крайне редко, поэтому не составит труда его обновить при необходимости.
Настройка OpenVPN
На сервере будет использован OpenVPN 2.4. Рекомендуется использовать именно эту версию. В репозиториях Ubuntu LTS версия OpenVPN 2.3, поэтому нужную версию можно установить подключив официальный репозиторий openvpn.
Выпуск сертификатов
Для генерации сертификатов проще всего использовать утилиту easy-rsa. Данный форк от ValdikSS позволяет генерировать сертификаты, одновременно подходящие и для OpenVPN, и для Ipsec.
$ git clone https://github.com/ValdikSS/easy-rsa-ipsec.git
$ cd easy-rsa-ipsec/easyrsa3
$ ./easyrsa init-pki
init-pki complete; you may now create a CA or requests.
$ ./easyrsa build-ca nopass
Generating a 2048 bit RSA private key
…
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:Cool VPN Server
…
$ ./easyrsa build-server-full zaborona.help nopass
Generating a 2048 bit RSA private key
…
Write out database with 1 new entries
Data Base Updated
# В данном случае public это имя клиента. Оно может быть любым.
$ ./easyrsa build-client-full public nopass
Generating a 2048 bit RSA private key
…
Write out database with 1 new entries
Data Base Updated
После генерации сертификатов имеем такой список необходимых файлов:
Для сервера:
easyrsa3/pki/ca.crt — корневой сертификат
easyrsa3/pki/issued/zaborona.help.crt — серверный сертификат
easyrsa3/pki/private/zaborona.help.key — ключ от сертификата сервера
Для клиента:
easyrsa3/pki/ca.crt — корневой сертификат
easyrsa3/pki/issued/public.crt — клиентский сертификат
easyrsa3/pki/private/public.key — клиентский ключ
Серверный конфиг
Полученный на предыдущем шаге список сетей добавляем в конфиг сервера. Таким образом при подключении клиенту будут устанавливаться маршруты к заблокированным сетям через VPN сервер. Маршрут по-умолчанию 0.0.0.0 при этом не будет изменен.
Так как многие провайдеры в Украине блокирует DNS запросы к запрещенным сайтам, важно установить клиенту наши резолверы, и сделать так, чтобы доступ к ним был через VPN.
mode server
proto tcp
dev-type tun # Тип драйвера tun, так как нам не нужен L2 уровен
dev zaborona # Имя tun интерфейса на сервере
topology subnet
server 192.168.224.0 255.255.252.0 # Диапазон IP выдаваемых клиентам. Выбираем маску побольше, так как клиентов планируется много
server-ipv6 2a01:7e01:e001:77:8000::/65 # Диапазон IPv6 адресов. Удалите, если у вас нет отдельной маршрутизируемой ipv6 сети на сервере
push "dhcp-option DNS 8.8.8.8" #Устанавливаем DNS резолверы
push "route 8.8.8.8" # Маршрут до этого адреса через VPN
push "dhcp-option DNS 74.82.42.42" # HE.net DNS в качестве вторичных
push "route 74.82.42.42" # Route to HE.net DNS
txqueuelen 250
keepalive 300 900
persist-tun
persist-key
cipher AES-128-CBC
ncp-ciphers AES-128-GCM
user nobody
duplicate-cn
# log logs/openvpn.log
#status logs/status.log 30
ca ca.crt
cert zaborona.help.crt
key zaborona.help.key
dh dh2048.pem
# Routes
# Yandex network
push "route 5.45.192.0 255.255.192.0"
push "route 5.255.192.0 255.255.192.0"
push "route 37.9.64.0 255.255.192.0"
push "route 37.140.128.0 255.255.192.0"
push "route 77.88.0.0 255.255.192.0"
push "route 84.201.128.0 255.255.192.0"
push "route 87.250.224.0 255.255.224.0"
push "route 93.158.128.0 255.255.192.0"
push "route 95.108.128.0 255.255.128.0"
push "route 100.43.64.0 255.255.224.0"
push "route 130.193.32.0 255.255.224.0"
push "route 141.8.128.0 255.255.192.0"
push "route 178.154.128.0 255.255.128.0"
push "route 199.21.96.0 255.255.252.0"
push "route 199.36.240.0 255.255.252.0"
push "route 213.180.192.0 255.255.224.0"
push "route-ipv6 2620:10f:d000::/44"
push "route-ipv6 2a02:6b8::/32"
# Mail.ru network
push "route 5.61.16.0 255.255.248.0"
push "route 5.61.232.0 255.255.248.0"
push "route 79.137.157.0 255.255.255.0"
push "route 79.137.183.0 255.255.255.0"
push "route 94.100.176.0 255.255.240.0"
push "route 95.163.32.0 255.255.224.0"
push "route 95.163.248.0 255.255.248.0"
push "route 128.140.168.0 255.255.248.0"
push "route 178.22.88.0 255.255.248.0"
push "route 178.237.16.0 255.255.240.0"
push "route 185.5.136.0 255.255.252.0"
push "route 185.16.148.0 255.255.252.0"
push "route 185.16.244.0 255.255.252.0"
push "route 188.93.56.0 255.255.248.0"
push "route 194.186.63.0 255.255.255.0"
push "route 195.211.20.0 255.255.252.0"
push "route 195.218.168.0 255.255.255.0"
push "route 217.20.144.0 255.255.240.0"
push "route 217.69.128.0 255.255.240.0"
push "route-ipv6 2a00:1148::/32"
push "route-ipv6 2a00:a300::/32"
push "route-ipv6 2a00:b4c0::/32"
# VK.com network
push "route 87.240.128.0 255.255.192.0"
push "route 93.186.224.0 255.255.240.0"
push "route 95.142.192.0 255.255.240.0"
push "route 95.213.0.0 255.255.192.0"
push "route 185.32.248.0 255.255.252.0"
push "route-ipv6 2a00:bdc0::/36"
push "route-ipv6 2a00:bdc0:e006::/48"
# Kaspersky network
push "route 77.74.176.0 255.255.252.0"
push "route 77.74.181.0 255.255.255.0"
push "route 77.74.183.0 255.255.255.0"
push "route 93.159.228.0 255.255.252.0"
push "route 185.54.220.0 255.255.254.0"
push "route 185.85.12.0 255.255.255.0"
push "route 185.85.14.0 255.255.254.0"
Складываем все файлы на сервере в в папку /etc/openvpn
zaborona.conf — конфиг сервер
ca.crt — корневой сертификат
zaborona.help.crt — сертификат сервера
zaborona.help.key — ключ сервера
Клиентский конфиг
Для настройки подключения на стороне клиента, нужно сгенерировать конфигурационный файл, в котором будут вписаны настройки и ключи аутентификации.
nobind
client
# Адрес сервера. Используем имя домена для балансировки через DNS.
remote vpn.zaborona.help
remote-cert-tls server
cipher AES-128-CBC
setenv opt ncp-ciphers AES-128-GCM
setenv opt block-outside-dns
dev tun
proto tcp
<ca>
содержимое файла easyrsa3/pki/ca.crt
</ca>
<cert>
Содержимое файла easyrsa3/pki/issued/public.crt
</cert>
<key>
содержимое файла easyrsa3/pki/private/public.key
</key>
Подключение
Процесс настройки подключения на клиенте состоит из двух шагов: установить OpenVPN клиент и импортировать файл с настройками.
Мы написали инструкции c картинками для всех популярных операционных систем:
Windows
MacOS
iOS
Android
Исходники всего проекта, в том числе сайта, доступны на Github. Если какая-то информация на сайте отсутствует, буду признателен за pull request-ы.
Тем, кто хочет настроить собственный VPN сервер для обхода блокировок, с удовольствием помогу. Можете задавать любые вопросы здесь, либо в комментариях на сайте.
Комментарии (237)
SirEdvin
23.05.2017 15:43-2Многие провайдеры просто подменяют dns записи и все.
Google DNS — наше все.
zhovner
23.05.2017 15:47+1Киевстар (и вроде Vodafone), блокирует DNS ответы с заблокированными доменами от любых резолверов. Так что этот способ бесполезен. Кроме того, не так просто установить DNS сервера для мобильного интернета.
FeNUMe
23.05.2017 15:47+1Многие, но не все. С киевстаром замена днс не работает например, а это сотни тысяч клиентов.
madroot
23.05.2017 16:07если впн настроен корректно, нормально выдает клиентам все адреса, то пофиг на подмену днс, клиент юзает днс сервака, на котором можно указать любой днс. я поднимал фермы на опенвпн, немного в другой конфигурации, но в целом решение абсолютно живое и боевое.
FeNUMe
23.05.2017 15:48Спасибо за список заблокированных сетей, все никак руки не доходили самому их собрать и перенаправить через свой впн.
EasyX
24.05.2017 15:04Да-да, спасибо! Руки не доходили у себя на роутере заблокировать эти сети
FeNUMe
24.05.2017 15:14Вы только блокируйте с умом, иначе потом задолбетесь смотреть на тормозящие сайты на которых используется контент с заблоченых сетей(картинки, видео, скрипты я.метрики и просто js-либы с яндексовского CDN)
frees2
23.05.2017 15:54+3Яндекс ведь вчера выпустил свой браузер с VPN. Неизвестны данные. На десктопном только себя любимого разблокировал…
Против политических блокировок нужна, как это банально не звучит, международная солидарность и международная поддержка друг друга. Будь то LinkedIn или Яндекс.
В этом контексте гораздо проще всё решается.
eealexaa
24.05.2017 11:11Кое-что известно. Обход обеспечивается расширением Yandex Access версии 1.7.3. Его можно скачать и под любой хром-совместимый настольный браузер. Принцип работы такой же, как и «Забороны».
frees2
24.05.2017 15:59https://chrome.google.com/webstore/detail/yandex-access/idbedjafhibameiaanmbpjhcbhikpfbl
Дополнительная информация
Версия: 1.7.3
Обновлено: 22 мая 2017 г.
Расширение помогает открыть ряд веб-ресурсов, доступ к которым ограничили на территории Украины.
Пять звёздочек это конечно круто.
Как то они сами стесняются рассказать подробности. Хотя бы скорости…
zhovner
23.05.2017 16:01Пишут про проблемы с Android 4.4. Вроде бы при подключении к VPN доступны только заблокированные сайты, а остальной интернет нет. Прошу помочь тех у кого есть устройство с этой системой.
RoyalFoxy
23.05.2017 19:04у меня такая же ситуация, андроид 4.4.2, грузит вк, а Telegram, к примеру, не работает
EminH
23.05.2017 16:27Есть одна проблема, обычный пользователь даже если и сможет настроить VPN клиент, в большинстве случаев оставит whitelist/blacklist пустым, что приведет к ситуации когда весь трафик будет идти через удаленный сервер.
Не лучше ли воспользоваться решением на основе proxy.pac? Тогда сам VPN провайдер (или точнее получается Proxy провайдер) будет определять что пойдет через него а что напрямую.
правда для Windows это не только настройка браузера, например Skype тоже можно через прокси пускать.zhovner
23.05.2017 16:43+1Про какой whitelist/blacklist вы говорите? Клиенту ничего настраивать не нужно, нужные маршруты ему прилетают с сервера.
По поводу .pac файла вам расскажет ValdikSS У него на сервисе https://antizapret.prostovpn.org/ больше всего трафика расходуется на отдачу самого файла, а не на пользовательский трафик. Потому что кривой windows скачивает этот файл на каждый запрос.EminH
23.05.2017 16:49может я не понял вот эту часть
Cписок сетей маршрутизируемый через сервера Zaborona VPN
Как клиент будет знать «все нужные диапазоны»?
Собираем все нужные диапазоны. Соседние сети объединяем в один диапазон, чтобы уменьшить общее число маршрутов на клиенте.zhovner
23.05.2017 16:53Посмотрите спойлер «Конфиг сервера OpenVPN». Там все маршруты из этого списка устанавливаются клиенту.
EminH
23.05.2017 17:04Это конфиг сервера, как клиент будет знать маршрут? Список будет скачиваться периодически?
FeNUMe
23.05.2017 17:05При подключении к серверу, клиент автоматически устанавливает в системе эти маршруты, пользователю вообще ничего не нужно делать и знать. Установил openvpn, закинул конфиг сервиса, подключился и пользуешься.
EminH
23.05.2017 17:17понятно, спасибо.
можно ли как либо указывать прямо FQDN? например mail.yandex.ru, он определит список ip адресов автоматически?zhovner
23.05.2017 17:22Можно узнать название компании, по названию найти все AS (автономные системы) которые принадлежат этой компании. Потом узнать все сети которые находятся в этих автономных системах.
EminH
23.05.2017 17:27я думаю еще можно периодически делать запрос типа nslookup yandex.ru и записывать IP адреса
zhovner
23.05.2017 17:28Долго будет записывать, может даже несколько месяцев. Сервисы вроде yandex и google имеют огромное число серверов для балансировки нагрузки.
ValdikSS
23.05.2017 17:31Некоторые провайдеры Украины заблокировали AS компаний полностью, и доступ пропал не только к самим сайтам mail.ru, yandex, но и к другим сайтам, использующим их инфраструктуру.
zhovner
23.05.2017 17:06При подключении клиенту с сервера приходит список маршрутов которые нужно установить. Они устанавливаются автоматически в момент подключения. Я не знаю как еще объяснить.
Вот эти строчки буквально значат «впихнуть клиенту такой маршрут»
push "route 87.250.224.0 255.255.224.0" push "route 93.158.128.0 255.255.192.0"
Dogata
24.05.2017 20:11почему в конфиге пути с «keys/», тогда как ключи и сертификаты у вас лежат в «pki/»?
EminH
23.05.2017 16:58больше всего трафика расходуется на отдачу самого файла, а не на пользовательский трафик
здесь можно придумать workaround в форма простейшего веб сервера который будет хостить Pac файл локально, и только периодически скачивать master pac file с сервера в интернете (раз в неделю)zhovner
23.05.2017 17:00простейшего веб сервера который будет хостить Pac файл локально
То есть Вы предлагаете устанавливать клиенту на компьютер веб-сервер который будет отдавать .pac файл? Как-то это неоправданно сложно. И как быть с мобильными устройствами? В них .pac прокси работает только для WiFi подключений и не работает для мобильного интернета.EminH
23.05.2017 17:06-2для мобильных устройсв это не подойдет конечно. идеально было бы вшить это все в рутер
nikitasius
23.05.2017 16:31+2OVH — 3 евро за безлимитную виртуалку (100 Мбит). Прямо ставь дебиан и дерзай по sock5 через putty.
Redaicd
23.05.2017 16:55-1Я конечно все понимаю, но таким образом можно и личные данные собирать
zhovner
23.05.2017 16:56Расскажите как именно и какие личные данные можно собрать. Как работает HTTPS и HSTS-заголовок вы, надеюсь, знаете?
На этот вопрос есть ответ в разделе Помощь на сайте https://zaborona.help/faq.htmlRedaicd
23.05.2017 17:07-5Знаем, поэтому и пишем, весь обмен ключами происходит через ваш узел, ничего не мешает расшифровывать данные
Для простого примера, попробуйте fiddler который выступает как прокси между браузером и сайтом. Замечательно расшифровывает httpsFeNUMe
23.05.2017 17:08+1Без установки сертификата в доверенные на клиенте, вы ничего не перехватите и не расшифруете.
ValdikSS
23.05.2017 17:09Замечательно расшифровывает https
Для этого сначала потребуется установить сертификат Fiddler в браузер или ключницу ОС.
zhovner
23.05.2017 17:12+1Для того чтобы расшифровать HTTPS, нужно его сперва зашифровать своим ключом. Если пытаться подменить ключ своим, пользователь увидит сообщение о том, что сертификат не прошел проверку подлинности. И чтобы продолжить пользоваться таким соединением, пользователю нужно добавить сайт в исключения вручную
Fiddler во время установки ставит вам в систему также свой корневой сертификат, поэтому соединения перехваченные с его помощью работают без предупреждений о битом сертификате.
crea7or
23.05.2017 21:13Давеча API одного сайта изучал, так пустил трафик с мобилки через PC с фидлером, трафик ясно дело https — так вот мобилка даже не ругнулась.
TIgorA
23.05.2017 17:02+16попадают как-то немец, голландец и русский на необитаемый остров. русский говорит:
– как по-немецки «шлюпка»? а по-голландски?
немец и голландец отвечают:
– звідки нам знати. ми через vpn сидимо
NorthDakota
23.05.2017 17:54А почему же не взять vds в Украине?
Магистральщики ведь не будут блочитьfrees2
23.05.2017 18:16-1Тогда уж в Луганске (VDS/VPS), по крайней мере тамошние админы спать будут спокойно.
roman901
23.05.2017 19:02Внезапно — есть сервер в МираХосте, который использую как vpn для обхода блокировок РКН. Тоже блокируют о.о
zhovner
23.05.2017 19:03Не понял. Мирохост блокирует сайты Mail.ru или сервера Мирохост блокируют в России?
NorthDakota
23.05.2017 19:04У меня ВПН на ukraine com ua все норм
Никто ничего не блокируетfrees2
23.05.2017 20:13Сервер физический где, на Украине, в Германии, в США, во Франции?!
Честно удивляюсь, зачем заказывать сервер через посредника на 20% дороже.NorthDakota
23.05.2017 20:27Физически в Украине, у них свой дц
frees2
23.05.2017 20:40Таки да, должен работать, но последствия могут быть.
https://habrahabr.ru/post/329248/#comment_10230702
roman901
23.05.2017 19:06traceroute to vk.com (95.213.11.180), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
И всё в таком духе.
Mirahost блокирует сайты РФ.
UPD: нет, яндекс не блокируется, блокируется mail.ru и vk.com
salabon
24.05.2017 20:22Взял, для интереса vds в Украине, физически машинка находится в Харькове.
vk.com пингуется, DNS резолвится, но зайти на него не получается.
Таймаут соединения.
Через wget тоже не скачивается индексная страница. Тоже таймаут соединения.
throttle
23.05.2017 18:1115 минут. 15 минут, как я закончил собирать все эти маршруты — и вот статья. Эх. :)
На самом деле, спасибо, статья была ожидаемая, и решение лежит на поверхности. Появление сервиса — дело времени.
Еще бы сделать так, чтоб через впн разрешались не все имена, а только заблокированные, но это со стороны клиента нужно что-то поумнее, чем впн-клиент.zhovner
23.05.2017 18:16Apple так умеет через профиль .mobileconfig. Но нужно заранее прописать все домены, которые необходимо резолвить через свой DNS в конфиг. Я решил, чтобы собрать все домены невозможно. Нужно учитывать контент-сервера, сотни поддоменов контент серверов vk.com вроде blabla.vk.me, *.userapi.com и так далее. Поэтому я решил что эта задача невыполнима.
https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html
SupplementalMatchDomains
A list of domain strings used to determine which DNS queries will use the DNS resolver settings contained in ServerAddresses. This key is used to create a split DNS configuration where only hosts in certain domains are resolved using the tunnel’s DNS resolver. Hosts not in one of the domains in this list are resolved using the system’s default resolver.
throttle
23.05.2017 18:29собрать все домены невозможно
Ну, задача, в целом, конечна, но мороки много, да. И изменений может быть куда больше, чем с адресами.
Мне это интересно реализовать скорее с эстетической точки зрения.
Pilat
23.05.2017 18:20Зачем так извращаться, если есть Tor Browser?
zhovner
23.05.2017 18:21Tor не поможет обойти блокировки для мобильных приложений вроде Яндекс.Такси, Вконтакте и других. К тому же это очень медленно.
MedicineMan
23.05.2017 20:00Для мобильных приложений есть Orbot на основе Tor. В нем есть функция VPN Mode, где можна указать какие приложения через него должны ходить
MedicineMan
23.05.2017 19:55Скорость страдает прилично, а с VPN разницы не заметишь.
Pilat
23.05.2017 22:09А кто гарантирует, что VPN сервис запустил не хакер/СБУ/ИГИЛ ?
trnc
24.05.2017 02:45+1Ну во-первых даже если так, то большинство заблокированных работают по HTTPS (если не все). Следовательно вопрос — что именно хакер/СБУ/ИГИЛ сможет сниффать? Мусор? Узнают они разве что, что вы ходили на ВК через их сервер и это почти все, что им станет известно.
Во-вторых, если хотите гарантий — платите 3 евро в месяц за аренду своего сервера, поднимайте на нем свой OpenVPN сервер и наслаждаетесь.
Ну и третье — Tor Browser с OpenVPN не сравнится как минимум по скорости работы.Pilat
24.05.2017 05:23-1По первому пункту — "Узнают они разве что, что вы ходили на ВК" это всё что надо "им" знать.
Второе — это для гиков. Собственно любые VPN сервера для гиков.
Ну а третье — скорее всего Вы просто не пробовали. Насчёт скорости — это легенды. Недостаточно для торрентов по скорости, для игр по латентности. Для соцсетей — вполне достаточно.trnc
26.05.2017 16:51+1Это все что им надо знать? В смысле? Они не получат ваших данных, как им поможет в принципе информация о том, что вы обращались к серверу вк? Они даже не узнают зарегистрированы вы там или нет, они узнают что вы просто обменивались некоторой информацией с этим сервером. Так поясните свою фразу «это всё что надо „им“ знать». И, кстати, раз вы советуете Tor browser, разве вы не знаете что владелец exit-ноды точно также может видеть куда через его ноду ходят пользователи? Пусть даже IP источника во втором случае отследить тяжелей.
Второй пункт — не согласен. С увеличением количества блокировок и развитием VPN число пользователей умеющих настраивать и пользоваться VPN растер ежедневно. Поднять свой сервер — не такая сложная задача.
Третье — я пробовал. Мой рабочий ноут и домашний ПК объединены в VPN с помощью OpenVPN уже несколько лет как. Юзал я и L2TP/Ipsec настроенный на микротике в своей время, да и не только. Насчет скорости легенды? Две моих машины находятся в одном городе и через OpenVPN в пределах города 100 Мбит я получаю. Что касается этого случая — тут дело в том, где находится сервер. Я проверил как работает VPN автора. Сначала у него было 2 сервера, уже 4 и вполне себе прилично работает. Да, возможно пинг высоковат — но это обусловлено географией и маршрутизацией, но по скорости все в порядке. Подключался и к серверу в Нидерландах и во Франции. Все хорошо работает. Соц сети, сервисы яндекса, сервисы mail.ru и т.д. А именно это и есть цель — обход блокировок соц. сетей и универсальность использования на любом устройстве. Поставил раз — и забыл.
А теперь предложите альтернативу, только пожалуйста давайте обойдемся без глупых советов по поводу Tor browser и прежде чем давать такие советы и говорить о скорости работы — вы как минимум эту скорость сравните.Pilat
27.05.2017 01:37По первому пункту. Всё зависит о целей. Естественно, конечные ноды кто-то контролирует. И HTTPS запрос, который уйдёт на vk, они увидят. От кого и кому — уже не увидят. То есть никакой информации о пользователе раскрыто не будет до того момента, когда этим вопросом займутся всерьёз, как занялись с распространителями наркотиков в США. Использование же левых OpenVPN серверов раскрывает использование гражданином Украины сервера vk.com, то есть как нарушитель закона он уже засвечен и может быть включён в список.
Второй пункт. На Украине 20 миллионов пользователей VK. Сколько из них способны поставить OpenVPN клиент и им пользоваться? Назовите конкретную цифру, обоснуйте её, а не пользуйтесь выражениями типа "постоянно растёт" — это можно в политических спорах на митингах использовать, но не при решении технических проблем. Я даже не прошу написать сколько людей способны сами поставить себе OpenVPN сервер — процент явно исчезающе мал. Tor Browser же способны поставить столько же людей, сколько способны поставить оперу, firefox, яндекс бразер и любой не-дефолтный браузер. Число заходов на vk с firefox — 2 процента — это пол миллиона человек, это примерно нижняя граница оценки способных поставить тор. А теперь приведите обоснование какой-нибудь цифре способных поставить OpenVPN.
Третий пункт. Tor обеспечивает просмотр vk.com и видео с него 480p, видео с ютуба 1080p. Только что проверил самостоятельно на десктопе с линуксом. Так что если у Вас нет возможности скачать и запустить TorBrowser, то не стоит насчёт него высказываться.
Теперь объясните, сколько человек пользуется сейчас VPN и сколько вообще способны это сделать из тех 20-ти миллионов пользователей на Украине (ну на самом деле в России наверняка процент будет таким же). Это к вопросу о глупых советах.
Jogger
28.05.2017 15:49>то есть как нарушитель закона он уже засвечен
Даже если опустить тот факт, что закон неконституционен — в нём ничего не говориться о пользователях, он обязывает провайдеров блокировать ресурсы, но не запрещает пользователям посещать их. Так что пользователь ни в коей мере не «нарушитель закона».
>На Украине 20 миллионов пользователей VK. Сколько из них способны поставить OpenVPN клиент и им пользоваться?
Абсолютно все. Обосную — те, кто сам себе ставил и настраивал систему — несомненно справятся и с OpenVPN. Те же, кто на это не способен — несомненно, воспользовались чьей-то помощью — либо бесплатной, от родственников/друзей, либо платной — от наёмных работников. Не вижу причины, почему они не смогут сделать то же самое в части установки OpenVPN.
Я, если что, не считаю что tor в данном случае будет чем-то хуже vpn. Просто именно ваши доводы — в данном случае несостоятельны.
saboteur_kiev
28.05.2017 22:17VPN это чей-то ресурс. Если все 20 млн поднимут себе опенвпн, кто будет платить за трафик и сервера, которые этот впн поддерживает? Скорее всего просто тихонько отрубят всю украину.
Pilat
28.05.2017 23:45Мой главный довод — VPN технически сложней чем Тор Браузер, и при этом не решает реальных проблем. Простой пример. Сейчас заблокирован вк. Заблокирует правительство сайт вк2. Что делать в случае с впн? Два варианта — на впн прописать пуши с новыми подсетями, или клиенту самому это сделать в своих настройках. Если кто-то думает что это реально — и тот и другой вариант — то уж я не знаю какой смысл спорить с теми, кто никогда не занимался поддержкой конечных пользователей.
Jogger
29.05.2017 08:41В таком случае вы сравниваете тёплое с мягким. Те проблемы, о которых вы сейчас сказали, возникают из-за того, что в данной статье описывается VPN, через который пускают трафик только для некоторых сайтов. Скажите, как вы думаете, сколько людей смогут настроить tor-браузер чтобы через tor шёл трафик только на вк и яндекс, а всё остальное открывалось напрямую? А сколько людей смогут настроить почтовый клиент на пк, который работает на пк, чтобы он работал через tor? А если в этом почтовом клиенте несколько почтовых ящиков, и нужно чтобы через tor шёл только запрос на яндекс, а остальное шло напрямую? И наконец, что делать
страннымлюдям, которые предпочитают хром, тоже переходить на тор-браузер, который по сути лиса? Легко видеть, что при решении того же набора задач — преимущество tor уже не так очевидно…
И ещё раз подчеркну — я не против использования тор. Но не надо считать его панацеей, с ним тоже не всё так гладко. Возможно для кого-то тор окажется более подходящим под его задачи.trnc
29.05.2017 14:47На 100% согласен. Настроить сеть так, чтобы только пакеты на заблокированные ресурсы бегали через TOR будет в разы проблематичнее чем поставить OpenVPN и скачать файл конфигурации, а маршруты push-нет сервер что весьма удобно. А если не настраивать маршрутизацию через сеть TOR, то что, придется держать два браузера? Один для заблокированных ресурсов, второй для обычной работы в сети? К тому же нередко у соображающих людей есть возможность настроить OpenVPN клиент уже на самом домашнем роутере и избавить сразу всех пользователей домашней сети от проблем с доступом, не настраивая дополнительно клиент на каждом. Преимуществ данного решения перед TOR браузером целая уйма.
Pilat, кстати, проверил я скорость. Я подключился к одному из VPN серверов автора поста, но к тому до которого у меня наименьший пинг, далее проверил скорость на примере закачки файлов с яндекс диска и mail.ru облака. То же самое сделал через TOR. Угадайте в каком случае скорость была выше примерно в 7 раз? К тому же пинг до того же vk у меня вырос всего-то в два раза. С 22 мс из сети провайдера, стал 46 через VPN, все весьма шустро открывалось, музыка в вк загружалась быстро, видео то же, чего о Tor не скажешь.Jogger
29.05.2017 15:41Ну, на счёт скорости он прав в том смысле, что скорости тор вполне достаточно для работы, поэтому это не решающий аргумент в выборе «тор или vpn». Другой вопрос, что пускать абсолютно весь трафик через тор (и соответственно замедлять его) ради пары сайтов — не оправдано.
Pilat
29.05.2017 23:12Я пишу о том, что OpenVPN решением для 20-ти миллионов пользователей не является, а не о том, что нельзя в принципе пользоваться OpenVPN. Любой метод обхода блокировок будет иметь недостатки и неудобства, но среди них есть критические и терпимые. Всё что Вы пишете — это терпимые неудобства, я же пишу о критических — технической несостоятельности большинства пользователей. Не говоря уже о том, что 20 миллионов пользователей OpenVPN сложно представить на практике уже в силу масштаба проблемы на стороне серверов openvpn.
Для запрещённых сайтов один браузер, для остальных другой — вот и всё решение проблемы. А через хром или лису лазить — 99% разницы в соцсетях не заметят, разве что удивятся, что в браузер можно поставить кучу дополнений.Jogger
29.05.2017 23:29> OpenVPN решением для 20-ти миллионов пользователей не является
Это ваши домыслы, вы так и не смогли это утверждение ничем подтвердить.
>я же пишу о критических — технической несостоятельности большинства пользователей
Ещё раз вам повторяю — если бы вы были правы, эти люди в принципе не пользовались бы интернетом. Все люди в интернете либо достаточно технически грамотны, либо пользуются помощью тех, кто технически грамотен, без исключений. Единственный, кто не сможет воспользоваться таким решением — тот, кто не хочет им воспользоваться.
>на стороне серверов openvpn.
Любой технически грамотный пользователь может поднять сервер openvpn за копейки (см. статью выше, блин!). Такой сервер может обслуживать более одного клиента. Ваше утверждение настолько же обоснованно, насколько и утверждение «exit-ноды тора не выдержат 20 миллионов пользователей».
>вот и всё решение проблемы.
Для тех самых «технически неграмотных» пользователей, о которых вы так печётесь, это замена одной проблемы на другую, а не решение.
Я в принципе не понимаю вашего упрямства. Зачем вам надо, чтобы все пользовались тором, а не vpn? Надеетесь что каждый из них будет нодой? Напрасно имхо. Тогда зачем? Что за религиозный фанатизм?
saboteur_kiev
29.05.2017 15:52А каким образом Тор гарантировано решает проблем доступа?
Вот поставил я себе тор. Какой-то пользователь заходит в свой ТОР браузер и через какое-то количество хопов выходит в интернет через меня. И что, он обошел блокировки? нет. Как гарантировано заставить в ТОР браузере ходить на определенные ресурсы через тех, у кого они открыты?Pilat
29.05.2017 21:31Никак. Пользователь вообще не знает через кого он пойдёт. Но можно нажать Control-Shift-L и поменять цепочку, добившись работающего выхода.
Ещё один способ — в torrc прописать через кого нельзя выходить:
ExcludeExitNodes {ua}
или через кого можно:
ExitNodes {us}
Интересно, что ExitNodes {ua} всё равно открывает и яндекс, и вконтактик, хотя и трафик идёт через украинский сегмент. Не получилось у меня почувствовать себя украинцем. (судя по отчётам vk, он вообще не заметил потери клиентов в 20 миллионов, может блокировки и нет?)
К вопросу как пускать трафик через тор.
Никак не пускать. Открываете TorBrouser и заходите через него во вконтактик. Больше ничего не надо делать. Ну придётся запомнить что для одноклассников и соцсетей один браузер, для другого — другой. Для 99.9999% пользователей понятние "другой сайт" не существует :) тем более что через тор всё будет работать, хотя и несколько странно в некоторых случаях.
Dmitry_4
23.05.2017 19:09-16На украине.
easty
24.05.2017 18:03Думал на хабре таких нет)
LESHIY_ODESSA
24.05.2017 19:32Сначала я был очень зол, что карму сложно получить и вообще печалька. Но потом я увидел с какой скоростью с помощью кармы выпиливают неадекватов, которые в/на. Или которые не верят что есть ВИЧ и, что страшнее, пытаются за это пропагандировать. Или которые верят в гомеопатию и так далее. Как только я увидел скорость выпиливания неадекватов. то я сразу полюбил и принял карму.
easty
24.05.2017 19:39Просто здесь я думал люди с мозгами и могут сложить дважды два и понимать, кто пожинает плоды срача. Ну и собственно для подобных разговоров есть другие ресурсы.
Vittman
23.05.2017 19:14+1Я так понимаю — можно заюзать client.ovpn конфиг и на роутере, если он поддерживает OpenVPN?
Cобирался сделать тоже самое на арендованной VPS (с пропусканием через туннель только заблокированного трафика), а конфиг повесить на роутере, предварительно пошив его прошивкой от Padavan.
Подскажите, если сервис бесплатен — то чем оплачивается аренда серверов?
zhovner
23.05.2017 19:22+1Я так понимаю — можно заюзать client.ovpn конфиг и на роутере, если он поддерживает OpenVPN?
Можно. Но полагаю маршруты придется настраивать вручную.
Подскажите, если сервис бесплатен — то чем оплачивается аренда серверов?
Один VPS сервер стоит примерно 3 Евро в месяц. Буду экономить на завтраках.
Но если хотите закинуть денег, вот мой Bitcoin-кошелек:
17HArdWAUkSvfLXTQQ8bmQHrAtK827Qmeq
Vittman
23.05.2017 19:27Тогда ясно.
Я думал — что это много серверов и у вас там каким-то образом балансировка =)
enamchuk
23.05.2017 19:56+1Специально брал VPS-сервер самый дешёвый в Украине для обхода сайтов, заблокированных Роскомнадзором (установил прокси и VPN). Через него теперь не открываются ВК и другие запрещённые в Украине сайты. Так что хостинг в этой же стране — не вариант. Нужно брать в Голландии.
frees2
23.05.2017 20:26-1Уже говорил, спрашивал знакомых, Киев.
Нет никаких проблем, работать VPS будет в любом случае, или вы знаете где блокируют и назовёте где этот сервер стоит?! И как это работает?!
Другое дело, могут люлей получить от наци, а полиция будет весело смотреть как провода рубят.enamchuk
24.05.2017 16:50Не рекламы ради, сервис https://takewyn.com/, хостинг от 1$, но у них блокируются сайты, запрещённые в Украине (если выбрать украинский IP).
frees2
25.05.2017 18:26Узел VPN на Украине, как они его блокируют по IP?!
Вы же по VPN его смотрите!enamchuk
25.05.2017 18:34Мой vps в Украине с украинским же IP, соответственно, к нему применяются все ограничения, предписанные законодательством Украины, и, соответственно, запрещённые в Украине сайты ВК и Однокласники через этот мой VPN на украинском vps не работают. Но сайты, не запрещённые в Украине, но запрещённые в России — открываются без проблем (например, rutracker.org).
silverjoe
25.05.2017 19:55У меня виртуалка в одном облачном хостинге, сервер вроде бы в Питере. Через нее тот же трекер спокойно открывается.
devalone
24.05.2017 16:30Тоже самое, брал у gmhost, вообще никаких проблем с ними за год не случилось
maxwww
23.05.2017 20:55Спасибо автору за пост!
В статье есть небольшие неточности:
1. Копировать файлы нужно в папку /etc/openvpn/keys, ну или в конфиге указывать без папки keys
2. Клиентский конфигурационный файл должен иметь расширение не .opvn а .ovpn
Мелочь, но 5 мин времени сэкономит :)
Спасибо!zhovner
23.05.2017 20:57Копировать файлы нужно в папку /etc/openvpn/keys, ну или в конфиге указывать без папки keys
У меня в конфиге так и указано. Дело в том что в родном пакете deb-пакете openvpn есть только папка /etc/openvpn, остальные предполагается создавать на свой вкус.
Клиентский конфигурационный файл должен иметь расширение не .opvn а .ovpn
Опечатка. Спасибо.
ProRunner
23.05.2017 22:50Пользуюсь бесплатным расширением friGate — также проксирует только заблокированные сайты (из списка Роскомнадзора, плюс можно добавлять/удалять). Как бонус, открываются .onion сайты из тор. Покупать отдельно впн не надо.
antonksa
24.05.2017 00:04-10Настоящий украинский патриот не пользуется проклятыми комуняцкими москальскими сервисами.
И вообще, куда смотрит СБУ? Отправьте этих хакиров в АТО или в диванную сотню хотя бы.
alexoron
24.05.2017 00:32+1А что это у вас там за какой-то вконтактик для школоты переживают?
Уже как сколько лет там неинтересно в основном.
Ну перебегут в ФБ, делов-то.
Осталась парочка груп, которую пару раз в неделю просматриваю.
А просматриваю спокойно через AWS EC2.
Еще иногда что-то закачать с яндексдиска нужно.
Сегодня смотрел выход IP — Hermiston, Oregon, United States
mammuthus
24.05.2017 03:04Спасибо, ваше мнение важно
До введения санкций ежедневная посещаемость ВКонтакте в Украине составляла в среднем 10,1 млн визитов.
16 мая были зарегистрированы 18 миллионов уникальных посетителей — на два миллиона больше предыдущего рекорда.
tangro
24.05.2017 10:17Люди ломанулись скачивать фотоархивы и контакты. Сегодня посещаемость упала уже на 50% от тех первоначальных 10 лямов.
kartvladek
24.05.2017 11:14+1Статистика не верная. Количество не изменилось, просто теперь посещения не из Украины напрямую, а через прокси по всему миру
tangro
24.05.2017 19:18-1С чего бы количество не изменилось, если в фейсбуке появилась целая куча новых активных аккаунтов, которые перенесли свои фотки и прямо написали, что вк больше не пользуются.
kartvladek
24.05.2017 20:09Я не смогу вам аргументированно (с цифрами и графиками) ответить но позвольте не верить тому, что кто-то что-то написал в ФБ да и вообще в интернетах. Количество пользователей примерно такое-же как и до блокировки, а спустя совсем малое время будет увеличиваться. Нам вообще побоку эти блокировки. Я живу в Киеве. Стыдно -да, трудно — нет.
Vlad_fox
24.05.2017 10:54у меня пару знакомых после шумихи тоже ломанулись посмотреть контакт и однокласники (кто постарше) — просто по приколу, чтоб при случае — а это ныне модная тема поговорить о блокировке, что у меня вон удалось (не удалось — неважно в сущности) войти в соцсеть.
просто на слуху и чтоб быть в теме.
проверили и забиыли. как до того не юзали так и после не особо будут.
разве что болезненно с вконтакта будут искать замену — где так же удобно нелицензионную музычку подворовать
saboteur_kiev
24.05.2017 13:33+1Вы мало себе представляете размер украинского бизнеса в вк.
1. Очень дешевые рекламные компании с целевой русскоязычной аудиторией, да и хостинг недорогой (понятно что это, если есть какой-то доход в голосах, без вывода их в наличность)
2. Игровая платформа, с документацией на русском, где любой школьник может написать свое приложение и сразу выйти на большую аудиторию. Да, это будет еще одно говноприложение. Но у большинства в детстве платформа была спектрум или поиск, с возможностью распространить свою поделку пешком. Вход в андроид или стим — сложнее и дороже. Я уж не говорю про MS и Apple.
3. OpenID — огромное количество ресурсов, где регистрация была по VK ID. Теперь все это переделывать, переписывать, заводить новые аккаунты или забивать совсем.
4. Огромное количество ссылок на фотки, видео и так далее на разных ресурсах — это проблема. Ты можешь сделать интересный форум, а какой-то юзер вставит там фотку из ВК. А блокировка выполнена криво, и https трафик просто выдает таймаут. Вот и грузится страничка с твоего ресурса с таймаутами. Опять нужно все перепроверять.
Понятно, что все вышеприведенное рано или поздно исправится. Но почему приказ ни с кем не обсуждет, просто подписан и завтра уже применить — почему не предупредить, не проконсультироваться, не выяснить варианты, не дать хотя бы месяц-два времени чтобы люди заранее подготовились?tangro
24.05.2017 19:22-1Я, наверное, в каком-то не том украинском бизнесе работаю, но в упор не могу вспомнить какого-нибудь популярного приложения или сайта, завязанного исключительно на ВК авторизацией, апишкой или чем-то ещё. Поддержка ВК всегда делалась «ну, за компанию» параллельно с использованием мировых платформ. Рекламу — да, покупали. Но это перестать делать (в виду отсутствия аудитории) легче всего. Вырезать ссылки на фоточки тоже очень легко. Вот что действительно многим трудно — отказаться от пиратской музыки. Но тоже уже люди ищут варианты, кто на эпл спрыгивает, кто на гугл.
kartvladek
24.05.2017 20:15+1Немного не в тему, но вот добавлю: есть огромное количество предприятий как в госсекторе, так и в малом бизнесе, имеющих почты и диски на мейлру и яндексе. И вдруг в один из дней это все стало недоступно. Не все такие умные, не все могут в пару кликов поставить расширение для браузера, а деловую переписку надо вести вот прямо сейчас. Я этот пример из реалий беру. У нашего завода таким образом «столбняк» произошел по связям с поставщиками и прочим. Такие дела.
rvt
25.05.2017 13:25Да, корпоративная почта. Ящики, зарегистрированные в 1990-х, когда Гуглом и не пахло. И переписку нужно вести здесь и сейчас. Огромное количество писем… Абсолютно наплевательское отношение! Могли бы, действительно, предупредить, дать времени хотя бы неделю.
toxi_roman
24.05.2017 02:52+1Спасибо за удобный сервис. На ПК и на Андроиде работает без проблем.
Сам искал сделать что-то подобное, но не мог понять, как отправлять только заблокированный трафик на ВПН, а все остальное пропускать по-стандартному. Благодаря этой статье уже понял, как это сделать.
frees2
24.05.2017 08:10Это простая информация от двух-трёх источников в Киеве, которые где то услышали…
Готовятся большие списки «вражеских сайтов» и снова списки «русских цодов».
В 2008-2009 годах произошел ряд неприятных инцидентов, связанных с конфискацией государственными органами серверов из коммерческих дата-центров. По официальной версии, эти серверы хранили незаконный контент. Серия подобных происшествий отпугнула многих заказчиков от украинских ЦОД, и они начали размещать свои серверы за границей.kartvladek
24.05.2017 11:18Да, есть такое дело. В нашей стране это возможно. Поправка — упомянутые ЦОДы и до этого имели сервера за пределами Незалёжной.
redfenix
24.05.2017 10:09Я рад, что Украина заблокировала сайты… теперь хотя бы этот закон не примут
https://www.vedomosti.ru/technology/articles/2017/04/19/686399-zapretit-obhodit-blokirovkidimm_ddr
24.05.2017 13:43+1А что им помешает? Те же люди, которые раньше рассказывали зачем блокировки нужны, сейчас рассказывают как их обходить будут рассказывать что обходить блокировки плохо. Я не удивлюсь даже если они следующим же предложением осудят украинские блокировки. Противоречивость даже соседних предложений в тексте наших депутатов уже давно не смущает.
saboteur_kiev
24.05.2017 14:02Фраза радует:
«Важной ставкой для власти был перенос иностранными компаниями серверов в Россию в рамках закона о персональных данных, говорит эксперт по безопасности Андрей Солдатов. Но предписанные сроки прошли, а компании не спешат это делать и способов воздействия на них нет.»
tangro
24.05.2017 10:19Эту бы энергию да в конструктивных целях. Митинги против запрета ВК в Украине прошли примерно так: 2 людей в Одессе, 0 людей в Запорожье, 6 человек в Харькове, 50 человек в Киеве, больше митингов не было. Вот она, аудитория пользователей подобных сервисов. Конечно, ещё какое-то время люди будут вытягивать из ВК свои старые фотки, переписку, контакты — но это закончится через месяц.
throttle
24.05.2017 15:21Люди еще и на работу ходят, вообще-то. Эти 50 человек — это те, кому вообще нечего делать было в это время. Не тот это повод, чтоб вместо работы идти на митинг, который заведомо ни к чему не приведет. Особенно учитывая то, что блокировки эти обойти можно элементарно.
devalone
24.05.2017 16:25Особенно учитывая то, что блокировки эти обойти можно элементарно.
Всё конечно так, но печалит сам факт блокировок, что это становится нормальным, а когда это становится нормальным, открывается путь для новых ограничений свободы.
Заголовок спойлерапора заводить трактор…throttle
24.05.2017 16:35+1Схема, отработанная годами, и поэтому работает как часы:
— создать врага (бабая), внутреннего или внешнего;
— напустить страху на народ (бабай обижает детей);
— вызваться этот самый народ защитить от бабая;
— … (тут любые ограничения свобод — заблокируем все странички «бабая» в интернете);
— PROFIT.tangro
24.05.2017 19:26-1Всё так часто и бывает. Но не в этом случае — на Украину физически напали. Во многих семьях есть погибшие, аннексирована территория. «Создавать врага» не пришлось, он сам создался. Приходится идти на ограничение свобод ради защиты.
frees2
25.05.2017 07:38+1Люди хотят нормально жить, у них право где жить, с кем жить и как жить, государство строится для людей, а не люди строятся для государства.
Классический фашист Парубий и банкир-президент Порошенко не есть Украина.
Тоже самое относится к любому государству.
Можно как угодно извращаться в политике, придумывать лженаучные контенты про народность и нацию в духе национальной романтики, выдавать межкультурные и экономические проблемы за этнические, паровоз уже ушел в 21 век.
Экономика не пустит обратно.
Пропаганда традиционности в культуре, неразрывности власти, имеет конкретную цель: чтобы к нынешним политикам относились как к вечной ценности.
Lailore
25.05.2017 08:16Создался? Есть погибшие? Вы это людям из Донецка и Луганска скажите. И про пенсионеров оставшихся без своих денег тоже.
И мне кажется это ограничение свободы не для защиты, а для того что бы легче было вешать лапшу на уши своему населению.throttle
25.05.2017 09:01ограничение свободы не для защиты, а для того что бы легче было вешать лапшу на уши
Мне почему-то это представляется самоочевидным настолько, что не требует пояснения.
ForSokolov
24.05.2017 11:01Ещё обиднее то, что под раздачу попала также любимая игрушка Perfect World (в своё время Mail выкупил её у Нивала). Для оперативного решения проблемы был развёрнут сначала SOCKS proxy, а потом и L2TP сервер с возможностью захода только на определённые IP. Преимущества — не нужен допсофт, клиент встроен в винду. Недостатки — не все провайдеры разрешат подключения на UDP 1701. Кто хочет потестить — инструкция тут.
amarao
24.05.2017 11:31+4Предлагаю правительству России поднять государственный прокси-сервер для жителей Украины для обхода блокировок на Украине, а правительству Украины — госдарственный прокси-сервер для жителей России для обхода блокировок в России.
На выходе будем иметь во-первых возможность насолить соседу (бесценно!), а во-вторых очевидные плюсы для населения, которое сможет пользоваться нормальным интернетом всюду.xmonoid
25.05.2017 15:23Имхо, достаточно одного в Беларуси. В конце концов, авиасообщение через Минск уже наладили, ж/д в процессе. Оборот денежных средств там же. Чому бы и интернет не пустить?
amarao
25.05.2017 19:19А если белорусы начнут банить что-нибудь? Не, лучше всего diversity. Чем больше политическая конкуренция за предоставление качественного прокси-сервера соседу, тем лучше пользователям.
Basokl
24.05.2017 11:41Я сделал намного проще. Был по умолчанию DNS провайдера поставил DNS Google, yandex.
selenite
24.05.2017 16:16А что, решать проблему за счет федерации трафика уже расхотелось?
Я так смотрю, проекты типа Diaspora, энтузиазм вокруг XMPP и прочего открытого «сам-себе-хостинг» совсем вздулись, и господа «мы-знаем-толк-в-безопасности» подпольщики решили, что OpenVPN + существующие социалки — это единственный расклад?
Украина могла бы дать те 18 млн пользователей в новую, свободную от запретов социалку. Но, кажется, мы просто решили сдаться, поднять жалкую тысчонку серверов с опенвпном и угоститься одновременно и сладким блюдом от правительства, и от коммерции.
P.S. Алсо, почему в комментах нет всего того миллиона украинских фронтэнд-разработчиков, у которых нет-нет, да есть ssh-доступ наружу — про ssh -D хоть кто-то вспомнил, или все пошли хайпово обсуждать, как поднять впн? :)throttle
24.05.2017 16:40Вспомнил, вспомнил. Только это если для себя и по-быстрому.
А если надо для нескольких устройств, и чтоб удобно — лучше впн. На роутере поднял, и забыл.
ValdikSS
24.05.2017 18:03Я так смотрю, проекты типа Diaspora, энтузиазм вокруг XMPP и прочего открытого «сам-себе-хостинг» совсем вздулись
Это почему это? Херы пишутся, prosody доделывается, антиспам разрабатывается, нормальное шифрование в XMPP-клиентах реализовывается.
Из социалок есть новый крутой Mastodon. Надеюсь, скоро сделают интеграцию с Diaspora. Ну и всякие полностью распределенные сайты и форумы в ZeroNet. На удивление, там все очень активно, есть даже сайты с фильмами и музыкой с дизайном вроде Popcorn Time, которые сами находятся в ZeroNet, а контент тянут либо из ipfs, либо из интернета.
devalone
24.05.2017 16:22Год назад для обхода российских блокировок выбрал украинский VPS со своим OpenVPN, ping небольшой и работает отлично. Но такого поворота событий я, честно говоря, не ожидал, придётся всё таки искать «за бугром»…
rakhinskiy
24.05.2017 16:34Тоже начинал с openvpn (так как проживаю в Крыму и к Росскомнадзору добавляются еще блокировки)
В итоге надоело постоянно ходить на bgp.he.net и собирать подсети с AS-ок
Сделал проще, поставил несколько squid серверов доступных из вне + по впн. DNS спрятал в впн.
На Django сделал не большую веб морду, где добавляешь домен и выбираешь для него прокси (можно ещё указать для какого клиента) а он генерит wpad файлы
В некоторых случаях конечно не помогает, там где не только http/https трафик.
Но зато google play например работает без проблем и не влияет например на работу youtube.
Ну и если например провайдер вскрывает трафик, то просто выбираю прокси через впн для нужного домена.
matrixzp
24.05.2017 16:34Хочется свой личный ВПНчик сделать, но процесс не так уж прост для человека с ограниченными знаниями :) Зарегистрировался на scaleway.com, что дальше тут клацать непонятно пока совсем :)
Andrii_Z
24.05.2017 18:13Подскажите, как преобразовать IP с маской (типа 23.32.0.0/11) в правило
push «route 185.85.14.0 255.255.254.0»
?
Хочу подобавлять некоторые другие сайты (hulu, spotify etc)zhovner
24.05.2017 18:18Вот еще очень удобный скрипт collapse.py для объединения нескольких соседних диапазонов в один большой. Нужно расскоментировать строку для поддержки ipv6. И расскоментировать другой print для преобразования масок из /24 в 255.255.255.0. Невероятно облегчает задачу добавления сетей в конфиг openvpn.
throttle
24.05.2017 18:44Осталось его научить bgp.he.net парсить по крону, и конфиг впн корректировать.
zhovner
24.05.2017 18:46Сомневаюсь что за несколько месяцев что-либо поменяется в этих сетях. Так что проще один раз настроить а потом допиливать если вдруг что-то сломается. Хотя вполне вероятно, что за все время этих санкций, список сетей ни разу не изменится.
throttle
24.05.2017 19:03Я тоже сомневаюсь, просто у меня понимание «проще» в другую сторону настроено. :) По мне проще автоматизировать максимально, что компьютер делал эту работу вместо меня, и не думать больше об этом. Проще скормить три номера AS. Но парсер этот нашкарябать — у меня займет больше времени, чем вручную собрать эти префиксы, это да. Т.е. с точки зрения потраченного времени — врукопашную эффективнее.
ValdikSS
26.05.2017 14:42Принцип таков:
1. Получаем IP с домена
$ dig +short yandex.ru 5.255.255.88 77.88.55.77 77.88.55.88 5.255.255.77
2. По IP получаем номер AS
$ whois 5.255.255.77 | awk '/origin:/ {print $2}' AS13238
3. Получаем анонсируемые маршруты этой AS
$ whois -h whois.radb.net -- '-i origin AS13238' | grep route route: 213.180.192.0/19 route: 213.180.204.0/24 route: 213.180.206.0/23 route: 87.250.224.0/19 route: 87.250.230.0/23 …alexdon
29.05.2017 11:31Таким образом скрипт может добавить половину интернета если какой-то из сервисов разместится на amazon/CloudFlare. Прецеденты уже есть — yandex.fr
Считаю что нужно добавить еще проверку, если AS возвращает более 20 (±) сетей — то добавить только один маршрут/IP адресс.
MobileLord
25.05.2017 15:45Подскажите, как сделать так чтобы open vpn стартовал с уже запущенным конфигом?
Я закинул ярлык в папку автозагрузка, прописал в объекте «C:\Program Files\OpenVPN\bin\openvpn-gui.exe» --connect «zaborona-help.ovpn», поставил галку запускать от имени админа. Галку стартовать при запуске в самой программе не ставил. В итоге программа не запускается при запуске win, но если запускать через ярлык — сразу конектит с выбранному конфигу. У меня win 10.trnc
26.05.2017 00:34Не совсем понимаю зачем ставить в автозагрузку запуск программы, когда есть готовая служба. Настройте просто запуск этой службы (если он еще не настроен), далее конфигурационный файл кладете в папку config и все.
Melchiorn
27.05.2017 01:55Если настраивать службой, тогда не работает gui, и не понятно подключен впн или нет, ну кроме как смотреть в параметрах адаптера или на сайтах проверки ip. А с автозагрузкой ты сразу видишь что впн подключается и в случае чего его можно отключить, если не нужен.
trnc
29.05.2017 23:45Я лично привык проверять подключение не с помощью gui, значка в трее, а по выводу нескольких команд в консоли или терминале, что и вам советую. К тому же у службы есть ряд преимуществ перед автозапуском. Главное лично для меня — это поднятие туннеля без логина в систему. Зачастую на работе мне надо получить доступ к домашнему компу. Дома никого, включаю его удаленно с помощью WoL, запускается система и уже без логина я могу подключиться по RDP через OpenVPN туннель. Удобно ведь? А без службы, только с автозапуском такое бы не прошло, как минимум в том случае если у вас пароль для входа в систему или просто несколько учетных записей.
Dogata
25.05.2017 16:29server-ipv6 2a01:7e01:e001:77:8000::/65
откуда конкретно вы взяли ipv6? у этого сервера именно такой ipv6? или там этот адрес как-то модифировали для конфига? например, откуда взялось 65?zhovner
25.05.2017 16:33Это сеть которую выдал хостинг провайдер. Linode дает отдельную /64 сеть на VPS, эти адреса можно раздавать напрямую клиентам. К сожалению с ipv6 много проблем на windows, так что скорее всего отключим скоро. Например антивирус ESET NOD32 ломает ipv6 на интерфейсе. Нужно в свойствах адаптера убирать этот плагин.
EnVaultBoy
25.05.2017 20:21Интересует следующий вопрос у моего провайдера доступ к интернету происходит через PPPOE, так вот что бы войти в интернет настройки забиты в роутер, со всеми этими действиями у меня все равно заблокирован вк, как можно поставить VPN в(на) роутер?
zhovner
25.05.2017 20:40со всеми этими действиями у меня все равно заблокирован вк
Что вы имеете в виду? После подключения к openvpn у вас не открывается вконтакт? Вы точно уверены, что подключились к VPN?
Melchiorn
25.05.2017 22:07Написал небольшую пошаговую инструкцию по настройке впн для пользователей роутеров с прошивкой Padavan
zhovner
25.05.2017 23:14Melchiorn
25.05.2017 23:47У меня просто прописаны днс от гугла в настройках wan'a, вот и не заметил подвоха.
Но в инструкции есть ремарка насчет этого
* Если вдруг VPN подключается и сразу отключается, тогда в строчке «Получать адреса DNS от VPN-сервера» ставите «Заменить весь список DNS» и нажимаете «Применить»
eMk1LL
26.05.2017 01:36Я извиняюсь, а можно инструкцию или объяснить — при выборе в настройках VPN клиента на прошивке падавана режима OpenVPN пишет «SSL/TLS сертификат(ы) не найдены!». Как это вылечить? :)
spacewalk
26.05.2017 11:03после добавления всех маршрутов через push, где клиентом выступает mikrotik 951, падает основное соединение почему-то, пока не отключишь впн и не перезагрузишь роутер. он не может проглотить столько маршрутов?
throttle
26.05.2017 15:20На вкладке «Dial Out» есть чекбокс «Add Default Route» — эта галка должна быть снята.
zhovner
26.05.2017 18:33Нас DDoS-ят. Хостер сразу nullroute-нул IP адрес. Не работает веб-морда, VPN сервера продолжают работать.
Chpock
27.05.2017 04:38Не знаю, хорошая это новость для вас или плохая, но никто не воспользовался вашим мануалом, в том числе комментаторы. Уже прошло 4-о суток, а никто так и не заметил, что отсутствует упоминание запуска команды «easyrsa gen-dh» и копирования результата в /etc/openvpn/ под именем «dh2048.pem». Без этого инструкция не полна.
Chpock
27.05.2017 05:20Да и настройка NAT упущена. Но в любом случае — спасибо, с вашей инструкцией от покупки VDS до создания рабочего VPN ушло всего 2 часа. В основном на разборки с systemd (тут много нецензурных слов) и немного на рецепты dh.pem + включение NAT. Без этой инструкции понадобилось бы по-больше времени.
AA_Ustas
28.05.2017 21:51Вы не думали описать последовательность шагов процесса создания такого VPN? Мог бы получится отличный пост.
silverjoe
27.05.2017 10:25Пара советов.
1. Настроить fail2ban для OpenVPN, если вы еще этого не сделали. Если что — могу дать конфиг.
2. Возьмите пару серверов в России для OpenVPN — vscale или SimpleCloud (200 и 150 руб/мес), может кто подскажет еще дешевле, хотя куда уже? :)
AA_Ustas
28.05.2017 21:53Было бы здорово иметь подробную инструкцию по самостоятельному созданию подобного VPN.
saboteur_kiev
28.05.2017 22:14Технологии просты, и понятны:
Покупаете где-то зарубежом VPS, чтобы с IP адреса этого VPS не блокировались нужные вам ресурсы.
Поднимаете на VPN.
Локально настраиваете маршрутизацию, чтобы к определенным ресурсам ходило через VPN, к остальным напрямую.
В статье и комментариях про это описано. А дальше нужно уметь что-то делать. Например программировать, чтобы написать удобную и дружелюбную к пользователю оболочку, чтобы всем этим рулить. Тут подробная инструкция будет готовый код программы
frees2
29.05.2017 12:39Вопрос для хабрахабра, как Яндекс автоматом перекидывает блокированных на https://yandex.fr
Сервер ресурса: ................eu-central-1.compute.amazonaws.com
frees2
29.05.2017 17:5117:33 Украинский «Яндекс» подозревают в передаче данных российским спецслужбам — СБУ (видео)
Организация VPN и сбор данных.
«За дополнительную плату покупателям предлагали „перепрошить“ телевизор, чтобы получить возможность свободно просматривать телевизионные пропагандистские каналы страны-агрессора, запрещенные Национальным Советом по вопросам телевидения и радиовещания Украины за угрозу национальной безопасности. Стоимость такой услуги составляла 1900 гривен», — сообщили в СБУ.
Уголовное производство осуществляется по ст. 110 Уголовного кодекса Украины (посягательство на территориальную целостность и неприкосновенность Украины).
17:23, 29 мая 2017
OnoVano
01.06.2017 11:22Сразу прошу прощения за, возможно, глупый вопрос. Но насколько это безопасно? Все те расширения из плей маркета и из магазина гугла, например, они дорожат своими местами там, потому менее вероятнее что навредят. А что мешает автору забороны как-то навредить пользователям? Если это конечно возможно. Еще раз говорю, я не хочу никого обидеть, просто я не нашел ни одной статьи вменяемой об этих VPN которые могли бы рассказать о рисках. Спасибо.
throttle
01.06.2017 12:47У автора забороны ровно столько же возможностей (теоретически) навредить, как и у твоего провайдера.
zhovner
01.06.2017 12:50Ответ на этот вопрос дан здесь https://zaborona.help/faq.html
Для того, чтобы говорить о безопасности, нужно понимать модель угроз.
Давайте представим самый худший для вас сценарий, если я решил максимально навредить, как это будет выглядеть с вашей стороны?OnoVano
01.06.2017 15:08Для меня худший сценарий это получение доступа к моим файлам на ПК и к тем же файлам но на облачных хранилищах.
Я прочитал материал по ссылке, там показано как шифруются сайты и тд. Все убедительно, а что делать с программами? У меня на смарте стоит Маил Ру диск. Там соединение шифруется как-то? И другие программы использующие интернет.zhovner
01.06.2017 15:12По пути между вами и серверами mail.ru стоят десятки компаний-провайдеров которые могут перехватывать и модифицировать трафик.
Чисто статистически, в этих компаниях наверняка нашлись бы нехорошие люди которые стали бы массово перехватывать данные пользователей. Например кредитных карт, чтобы воровать деньги.
Хотя ушлые компании иногда так делают с http сайтами https://habrahabr.ru/post/262631/
Все это прекрасно понимают, поэтому используют протоколы которы не позволяют просматривать или модифицировать данные.
zhovner
01.06.2017 15:20Все программы вроде mail.ru диск тоже используют https.
Разумеется не все так идеально, и существуют атаки и на https. Например можно перехватить момент редиректа с HTTP на HTTPS и послать поддельный редирект. От этого защищаются с помощью заголовков HSTS и т.д.
Для меня худший сценарий это получение доступа к моим файлам на ПК и к тем же файлам но на облачных хранилищах.
Если вы не устанавливаете автоматическое обновления windows, то ваш компьютер наверняка уязвим для целой кучи экслойтов, в том числе и удаленных. И любой у кого, кто находится с вами в одной сети (например по wifi) может получить полный доступ к вашему компьютеру. Мы в том числе.
Недавняя эпидемия с вирусом WannaCry была вызвана именно такой халатностью. Не смотря на то, что micorosft исправила проблему за несколько месяцев до массового распространения вируса, он заразил миллионы компьютеров.
OnoVano
01.06.2017 16:06Прошу прощения конечно, но слишком много воды. Кто-то там может, все эти организации типа маил.ру и провайдеры — это понятно. Но пример это не удачный. Они официальные, с адресом и поддержкой, с ними и судится можно если что. Да и есть лимит доверия к ним. За 9 лет использования сервисов маил.ру проблем не было у меня. У меня вопрос конкретно про стронние ВПН, про вас например.
И любой у кого, кто находится с вами в одной сети (например по wifi) может получить полный доступ к вашему компьютеру. Мы в том числе.
Будьте добры, скажите прямо, что да, вы при определенных условиях можете залезть юзерам в ПК, если захотите.
simplix
01.06.2017 19:44Если так поставить вопрос, то при определённых условиях можно к любому залезть в ПК, например целенаправленной атакой или физическим воздействием :) А чтобы этого не случилось, нужно как минимум вовремя ставить обновления для системы, следить чтобы не было вредоносного ПО и хоть немного разбираться в том, что вы делаете, чтобы другие не смогли вас обмануть методами социальной инженерии.
Jogger
01.06.2017 21:45Кстати, о безопасности. Возможно я неправильно понимаю принцип работы впн, но ведь выходит что все клиенты подключенные к одному впн в результате находятся в одной (виртуальной) локальной сети. И соответственно есть прямой доступ ко всем портам компьютера, что позволяет производить атаки аналогичные «wannacry»? Разумеется атакующему придётся перенастроить маршрутизацию для этого, чтобы его запросы шли через впн не только на заданные адреса. И соответственно такое подключение будет менее безопасным, чем скажем нахождение за NAT роутера. Я правильно понимаю?
trnc
01.06.2017 21:58В OpenVPN есть директива «client-to-client» которая позволяет клиентам «видеть» друг друга. В данном случае клиенты друг друга не видят. Однако с сервера видно каждого клиента и при желании с сервера можно получить доступ к расшаренным открытым папкам, например, возможно что и другие порты у вас открыты. Некоторые службы или демоны могут привязываться ко всем интерфейсам, так что по IP адресу в сети VPN эти службы или демоны будут отвечать на запросы. Чтобы этого не произошло — настраивайте firewall да и конкретные службы и демоны тоже.
trnc
01.06.2017 22:20Дополню свой ответ: настройка firewall на стороне сервера тоже важна, поскольку даже отключив client-to-client директиву на стороне сервера, если default policy цепочки FORWARD является ACCEPT, то пакеты от клиента к клиенту все также будут проходить уже с помощью маршрутизации в системе. Поэтому нужно также дропать пакеты в цепочке FORWARD. Тогда клиенты точно друг друга не «увидят».
novapromotions
Какая средняя нагрузка на канал? Ведь все пользователи соц. сетей потребляют огромное количество медиа видео/музыка?
zhovner
Вот график нагрузки с одного сервера, на нем примерно 100 человек:
Возможно, если пользователей будет больше, придется докупить еще пару серверов. Впрочем за 3€ это не так накладно.
trnc
Объясните, пожалуйста, как именно работает DNS балансировка? Я проверил из нескольких географически разных мест — в результате резолва мне всегда возвращается IP адрес одного и того же сервера (тот, что вы арендовали и у Linode).
zhovner
Балансировка никак не привязана к географии. Попробуйте этот сервис https://www.host-tracker.com/InstantCheck/ResultComplete/f4fce39f-0d40-e711-850b-0003ff73517a
trnc
Да, спасибо, уже разобрался, я подумал что у вас работает что-то типо Dynamic DNS и IP сервера для домена меняется в зависимости от загрузки того или иного сервера (да, да я тот еще генератор идей :D) Но на деле все проще, просто для домена внесено несколько A записей и всего-то. А проверял из разных мест… даже не знаю почему. Так приучен. Спасибо вам за сервис!