Вчера, полностью серьезно и без каких-либо шуток-прибауток, компания Cloudflare анонсировала свой новый продукт — VPN-сервис на базе DNS-приложения 1.1.1.1 для мобильных устройств с использованием собственной технологии шифрования Warp. Основной фишкой нового продукта Cloudflare является простота — целевой аудиторией нового сервиса являются условные «мамы» и «друзья», которые не способны самостоятельно купить и настроить классический VPN или не согласны устанавливать прожорливые в плане энергопотребления сторонние приложения от неизвестных команд.
Напомним, ровно год и один день назад — 1 апреля 2018 года — компания запустила свой публичный DNS 1.1.1.1, аудитория которого за прошедший период выросла на 700%. Сейчас 1.1.1.1 борется за внимание публики с уже ставшим классическим DNS от Google по адресу 8.8.8.8. Позже, 11 ноября 2018 года, CloudFlare запустили мобильное приложение 1.1.1.1 для iOS и Android и вот теперь, на его базе запускается и «VPN по кнопке».
Откровенно говоря, Cloudflare немного лукавит, называя свой апдейт приложения 1.1.1.1 полноценным VPN, потому что в чистом виде таковым он не является. Скорее, речь идет о шифровании трафика с помощью Warp, которое, как и VPN, скрывает то, что происходит внутри нашего условного «туннелирования» до VPN-сервера, то есть до DNS 1.1.1.1 от Cloudflare.
Основным маркетинговым и прикладным обоснованием важности существования нового продукта является то, что провайдеры и прочие структуры, вовлеченные в передачу пользовательских данных, эти самые данные активно собирают и даже торгуют ими. При этом HTTPS нас не спасает: достаточно знать о самом факте обращения к какой-либо странице для того, чтобы составить «портрет» пользователя и потом показывать ему соответствующую рекламу.
Что нужно знать об апдейте приложения 1.1.1.1 и Warp в частности:
Команда уверяет, что отличительной особенностью Warp является то, что разрабатывался он в том числе и для улучшения мобильного соединения. CloudFlare напоминает, что TCP-протокол слабо приспособлен для работы в условиях мобильных сетей, потерю пакетов внутри которых может вызвать условно любая микроволновка. Ситуация повсеместно усугубляется еще и тем, что разверстка того же Wi-Fi в жилых массивах или публичных местах производится хаотично, что влечет за собой какой-то чудовищный уровень шумов на всех каналах частот (конечно, больше всего сейчас страдают каналы на частотах 2,4GHz, но и на 5GHz ситуация начинает ухудшаться). В подобных условиях постоянной потери пакетов не по вине пользователя, а из-а внешних условий, TCP-соединения называются не самым оптимальным вариантом. В записи же говорится, что работа Warp построена вокруг использования UDP-пакетов, которые, как мы помним, не требуют обратного ответа от целевого сервера и которые, по этой причине, активно используются в том же геймдеве для снижения пинга. Также CloudFlare уверяет, что их приложение будет четко контролировать использование батареи через умеренное обращение к антеннам, и не «кочегарить» аппарат до состояния раскаленной сковороды в попытках заставить устройство поймать сеть в местах, где связь не слишком стабильна. Отдельно стоит напомнить, что Warp работает на уже упоминаемом VPN-протоколе WireGuard. С полной технической документацией по WireGuard можно ознакомиться вот тут.
Кроме этого Warp разрабатывался не конкретно под мобильное приложение 1.1.1.1, а является частью технического решения CloudFlare по защите серверов от атак под названием Argo Tunnel, которое использует часть решений Cloudflare Mobile SDK, которое уже в свою очередь базируется на купленном в 2017 году проекте Neumob. То есть, фактически, Cloudflare начала методичную работу по выходу на мобильный рынок еще в 2017 году — за год до запуска публичного DNS 1.1.1.1. Такой комплексный подход вселяет некоторую уверенность в последовательности действий Cloudflare и наличии понятной долгосрочной стратегии, что не может не радовать.
Cloudflare уверяет, что не собирается торговать данными своих пользователей, а будет монетизировать Warp по подписке. Из коробки пользователям будет доступно две версии программы: Basic и Pro. Базовая версия будет бесплатной, но с урезанной скоростью передачи данных, которой, по всей видимости, будет хватать только для ленивого серфинга в сети или переписки. Pro-версия за какую-то ежемесячную плату обещает полный канал до серверов Cloudflare и максимальный комфорт.
Представители компании заранее говорят о том, что для разных регионов будет установлена разная стоимость подписки, чтобы нивелировать различия в доходах в разных частях света. Вполне возможно, CIS-регион вместе с Россией получат более-менее приемлемое предложение на уровне 3-10$ в месяц вместо вполне стандартных 15-30 евро для ЕС или США.
Компания честно признает, что они далеко не Google, но стараются, так что доступ к новым возможностям приложения 1.1.1.1 будет выдаваться порционно, в порядке живой очереди. Для того, чтобы записаться в эту самую очередь, нужно скачать приложение для iOS или Android и заявить о своем желании пользоваться «VPN от Cloudflare».
Если посмотреть на отзывы в маркете, то в основном они положительные, хотя у приложения есть проблемы с неотключаемыми уведомлениями, которые некоторых пользователей серьезно раздражают. Однако многие отмечают, что решение от Cloudflare является отличным вариантом для безопасного использования публичных точек доступа Wi-Fi: последние и так обычно не отличаются высокой скоростью, так что бесплатной версии 1.1.1.1 должно хватать за глаза.
Еще одним важным нюансом прошедшей презентации Cloudflare является то, что компания в скором времени обещает подвезти свой «DNS-VPN» еще и на десктоп, охватив тем самым и этот вполне многочисленный сегмент.
Если разработка Cloudflare окажется на самом деле настолько хороша, как она описывается в официальном блоге компании, то на рынке наконец-то появится условно бесплатное (помним об ограничениях по скорости) и понятное приложение для людей, которые не слишком в теме того, как работает VPN и что такое вообще информационная безопасность. Сейчас же все в руках маркетологов Cloudflare — если они смогут выйти на массовый рынок и внедрить идею, что включение VPN-режима в приложении 1.1.1.1 — это обязательный элемент интернет-гигиены, то для миллионов пользователей всемирная сеть сможет стать намного более дружелюбным и гостеприимным местом, нежели раньше. Также этот продукт будет важен и для стран, где государственные органы блокируют доступ к некоторым ресурсам.
И речь не только о России, но, например, об Иране или даже Франции. Суд Пятой Республики, кстати говоря, тихой сапой принял решение о блокировке доступа к пиратским научным порталам SciHub LibGen, мол, нечего ученым бесплатно читать работы коллег. Но это уже совсем другая история, но ситуация со свободным доступом к ресурсам становится все хуже и хуже по всему миру.
Как бы там ни было, сервис, подобный 1.1.1.1, вполне подходит для молодежи и представителей старшего поколения, которые не готовы или не способны разобраться с тем, как купить, настроить и использовать VPN даже на десктопах, не говоря уже о мобильных устройствах.
Напомним, ровно год и один день назад — 1 апреля 2018 года — компания запустила свой публичный DNS 1.1.1.1, аудитория которого за прошедший период выросла на 700%. Сейчас 1.1.1.1 борется за внимание публики с уже ставшим классическим DNS от Google по адресу 8.8.8.8. Позже, 11 ноября 2018 года, CloudFlare запустили мобильное приложение 1.1.1.1 для iOS и Android и вот теперь, на его базе запускается и «VPN по кнопке».
Откровенно говоря, Cloudflare немного лукавит, называя свой апдейт приложения 1.1.1.1 полноценным VPN, потому что в чистом виде таковым он не является. Скорее, речь идет о шифровании трафика с помощью Warp, которое, как и VPN, скрывает то, что происходит внутри нашего условного «туннелирования» до VPN-сервера, то есть до DNS 1.1.1.1 от Cloudflare.
Основным маркетинговым и прикладным обоснованием важности существования нового продукта является то, что провайдеры и прочие структуры, вовлеченные в передачу пользовательских данных, эти самые данные активно собирают и даже торгуют ими. При этом HTTPS нас не спасает: достаточно знать о самом факте обращения к какой-либо странице для того, чтобы составить «портрет» пользователя и потом показывать ему соответствующую рекламу.
Что нужно знать об апдейте приложения 1.1.1.1 и Warp в частности:
- Сквозное шифрование до серверов Cloudflare и отсутствие каких-либо удостоверяющих сертификатов. То есть CF сами отказываются смотреть ваш трафик.
- Работает на VPN-протоколе WireGuard.
- Шифрование по умолчанию всего незашифрованного трафика при работе через приложения или при просмотре небезопасных HTTP-страниц, например.
- Теоретическая оптимизация трафика на стороне Cloudflare при серфинге и так далее.
Команда уверяет, что отличительной особенностью Warp является то, что разрабатывался он в том числе и для улучшения мобильного соединения. CloudFlare напоминает, что TCP-протокол слабо приспособлен для работы в условиях мобильных сетей, потерю пакетов внутри которых может вызвать условно любая микроволновка. Ситуация повсеместно усугубляется еще и тем, что разверстка того же Wi-Fi в жилых массивах или публичных местах производится хаотично, что влечет за собой какой-то чудовищный уровень шумов на всех каналах частот (конечно, больше всего сейчас страдают каналы на частотах 2,4GHz, но и на 5GHz ситуация начинает ухудшаться). В подобных условиях постоянной потери пакетов не по вине пользователя, а из-а внешних условий, TCP-соединения называются не самым оптимальным вариантом. В записи же говорится, что работа Warp построена вокруг использования UDP-пакетов, которые, как мы помним, не требуют обратного ответа от целевого сервера и которые, по этой причине, активно используются в том же геймдеве для снижения пинга. Также CloudFlare уверяет, что их приложение будет четко контролировать использование батареи через умеренное обращение к антеннам, и не «кочегарить» аппарат до состояния раскаленной сковороды в попытках заставить устройство поймать сеть в местах, где связь не слишком стабильна. Отдельно стоит напомнить, что Warp работает на уже упоминаемом VPN-протоколе WireGuard. С полной технической документацией по WireGuard можно ознакомиться вот тут.
Кроме этого Warp разрабатывался не конкретно под мобильное приложение 1.1.1.1, а является частью технического решения CloudFlare по защите серверов от атак под названием Argo Tunnel, которое использует часть решений Cloudflare Mobile SDK, которое уже в свою очередь базируется на купленном в 2017 году проекте Neumob. То есть, фактически, Cloudflare начала методичную работу по выходу на мобильный рынок еще в 2017 году — за год до запуска публичного DNS 1.1.1.1. Такой комплексный подход вселяет некоторую уверенность в последовательности действий Cloudflare и наличии понятной долгосрочной стратегии, что не может не радовать.
Cloudflare уверяет, что не собирается торговать данными своих пользователей, а будет монетизировать Warp по подписке. Из коробки пользователям будет доступно две версии программы: Basic и Pro. Базовая версия будет бесплатной, но с урезанной скоростью передачи данных, которой, по всей видимости, будет хватать только для ленивого серфинга в сети или переписки. Pro-версия за какую-то ежемесячную плату обещает полный канал до серверов Cloudflare и максимальный комфорт.
Представители компании заранее говорят о том, что для разных регионов будет установлена разная стоимость подписки, чтобы нивелировать различия в доходах в разных частях света. Вполне возможно, CIS-регион вместе с Россией получат более-менее приемлемое предложение на уровне 3-10$ в месяц вместо вполне стандартных 15-30 евро для ЕС или США.
Компания честно признает, что они далеко не Google, но стараются, так что доступ к новым возможностям приложения 1.1.1.1 будет выдаваться порционно, в порядке живой очереди. Для того, чтобы записаться в эту самую очередь, нужно скачать приложение для iOS или Android и заявить о своем желании пользоваться «VPN от Cloudflare».
Если посмотреть на отзывы в маркете, то в основном они положительные, хотя у приложения есть проблемы с неотключаемыми уведомлениями, которые некоторых пользователей серьезно раздражают. Однако многие отмечают, что решение от Cloudflare является отличным вариантом для безопасного использования публичных точек доступа Wi-Fi: последние и так обычно не отличаются высокой скоростью, так что бесплатной версии 1.1.1.1 должно хватать за глаза.
Еще одним важным нюансом прошедшей презентации Cloudflare является то, что компания в скором времени обещает подвезти свой «DNS-VPN» еще и на десктоп, охватив тем самым и этот вполне многочисленный сегмент.
Если разработка Cloudflare окажется на самом деле настолько хороша, как она описывается в официальном блоге компании, то на рынке наконец-то появится условно бесплатное (помним об ограничениях по скорости) и понятное приложение для людей, которые не слишком в теме того, как работает VPN и что такое вообще информационная безопасность. Сейчас же все в руках маркетологов Cloudflare — если они смогут выйти на массовый рынок и внедрить идею, что включение VPN-режима в приложении 1.1.1.1 — это обязательный элемент интернет-гигиены, то для миллионов пользователей всемирная сеть сможет стать намного более дружелюбным и гостеприимным местом, нежели раньше. Также этот продукт будет важен и для стран, где государственные органы блокируют доступ к некоторым ресурсам.
И речь не только о России, но, например, об Иране или даже Франции. Суд Пятой Республики, кстати говоря, тихой сапой принял решение о блокировке доступа к пиратским научным порталам SciHub LibGen, мол, нечего ученым бесплатно читать работы коллег. Но это уже совсем другая история, но ситуация со свободным доступом к ресурсам становится все хуже и хуже по всему миру.
Как бы там ни было, сервис, подобный 1.1.1.1, вполне подходит для молодежи и представителей старшего поколения, которые не готовы или не способны разобраться с тем, как купить, настроить и использовать VPN даже на десктопах, не говоря уже о мобильных устройствах.
Комментарии (19)
pvsur
02.04.2019 13:38Так VPN только для днс или всего трафика будет? Если только днс, то на фиг не надо…
chupasaurus
02.04.2019 14:05Warp — для всего траффика.
pvsur
02.04.2019 15:05Откровенно говоря, Cloudflare немного лукавит, называя свой апдейт приложения 1.1.1.1 полноценным VPN, потому что в чистом виде таковым он не является. Скорее, речь идет о шифровании DNS-трафика с помощью Warp, которое, как и VPN, скрывает то, что происходит внутри нашего условного «туннелирования» до VPN-сервера, то есть до DNS 1.1.1.1 от Cloudflare.
Русским по белому…
ValdikSS
02.04.2019 17:04DNS-трафик и так шифруется, и шифровалось до обновления. Приложение и было сделано для того, чтобы перенаправлять трафик на DNS over TLS-сервер 1.1.1.1 (а не на обычный DNS на 53 порту).
Meklon
03.04.2019 08:33Свободные аналоги не встречал?
chupasaurus
03.04.2019 10:15В Android Pie есть поддержка DNS over TLS. Любое стороннее приложение (что на iOS, что на Android) будет вынуждено работать как VPN, потому что другой возможности выцепить отдельно DNS-трафик нет.
Meklon
03.04.2019 10:26Спасибо. Хотя уже проще вообще все в VPN завернуть
DaemonGloom
03.04.2019 11:25Да, гораздо удобнее завернуть весь трафик до дома в туннель, а там уже в зависимости от нахождения нужного сайта в списке РКН или отправить его в следующий туннель до облака, или выпустить у домашнего провайдера.
Кстати, если у вас всё ещё микротик — можно замечательно поднять образ микротика в облаке гугла и настроить маршрутизацию туда по bgp. Если вдруг интересно — могу написать соответствующую инструкцию.Meklon
04.04.2019 18:00Что-то подобное мелькало уже. BGP я до сих пор не понимаю) Хотя я думаю, что на Хабре порадуются новому мануалу.
У меня сейчас все реализовано через l2tp+IPSec PSK до KVM внешней. Трафик маркируется через mangle, согласно динамическим листам, которые резолвятся самим микротиком. То, что подпадает под лист — уходит в туннель. Первым делом весь трафик на 53 порт.DaemonGloom
05.04.2019 06:35Ну, вся суть BGP в том, что мы получаем не только один маршрут от провайдера, но множество разных маршрутов. И у каждого указано, через какой узел туда нужно попадать. Соответственно, если мы получили список маршрутов с заблокированными адресами — мы просто указываем, что на них нужно идти через туннель. Плюс в том, что маршруты не нужно писать руками — обновили на одном узле и они разошлись по другим узлам.
agranom555
02.04.2019 14:29283 с чем-то тысячи желающих передо мной. Интересно, они пускают массово или по паре тысяч в неделю
muromdx
03.04.2019 09:21Странно, меня пустил без очереди…
agranom555
03.04.2019 09:28Именно в vpn для всего трафика, а не DNS только?
Сам ДНС и у меня работаетmuromdx
03.04.2019 17:43Прошу прощения, рано обрадовался, не разобравшись. Для всего трафика — очередь 373 тыс.
Max_JK
03.04.2019 11:26Если посмотреть на отзывы в маркете, то в основном они положительные, хотя у приложения есть проблемы с неотключаемыми уведомлениями, которые некоторых пользователей серьезно раздражают.
Это косяк гугла и уж точно не может быть проблемой приложения. В андроиде, отображение уведомления — обязательное условие для фоновых сервисов.
ketzal
А проблема тут может заключаться в том, что наш доблестный РКН заблочит и vpn от cloudflare, и в придачу все их CDN. Будем посмотреть
vsb
Думаю, для начала будут банить по порту или по протоколу (UDP). Если Cloudflare будут обходить эти блокировки через какой-нибудь 443 порт на своих CDN, тогда да, могут и всё забанить.
md_pitbul
сейчас они для туннелирования только днс запросов используют два протокола на выбор пользователя.
DNS over HTTPS (по дефолту) 443
DNS over TLS (опционально для пользователя) 853