Около 4 лет назад я сделал небольшую статью на тему невозможного в то время суверенного интернета. С того времени многое изменилось, появились законы и даже реализации этих законов, что ожидаемо вызвало много публикаций на эту тему. Однако, для обычного пользователя все эти движения оставались незаметными. Лично у меня тоже не было возможности и необходимости уделять внимание этим вопросам.
Совсем недавно, буквально "на днях", в новостях проскакивали сообщения о недоступности страницы публичного DNS от Cloudflare ( https://1.1.1.1 ) из сетей российских провайдеров, например, Ростелекома, что навело меня на мысль вернуться к изучению вопроса.
Быстрый поиск по профильным ресурсам связистов показал, что уже много месяцев происходит процесс осуверенивания российского сегмента сети. Например, Роскомнадзор строит свой аналог базы RIPE для российских провайдеров и пользователей интернета. И, внезапно, национальную систему доменных имён. На форуме НАГ попадался даже документ с инструкциями по перенастройке провайдерских DNS на суверенный манер, со страшным названием "Инструкция по подключению операторов связи и владельцев АС к Национальной системе доменных имен (НСДИ)".
Беглое изучение этого документа приводит к следующим выводам: НСДИ уже активно применяется. В документе приводятся несколько вариантов использования НСДИ, в том числе с возможной подменой корневых DNS (см. статью в wikipedia). С большой вероятностью настройки DNS, которые выдает провайдер вашему устройству, уже используют НСДИ. Другой вывод: в настоящее время функционирование НСДИ обеспечивается мощностями MSK-IX , что следует из принадлежности IP адресов в "Инструкции".
На момент написания статьи сервера НСДИ отдают ту же информацию, что есть в файле root.hints в современных ОС (оригинал файла находится по адресу https://www.internic.net/domain/named.root ). У меня не сложилось однозначного понимания, как НСДИ поможет осуверениванию и какие плюсы и минусы этого решения. Прошу прокомментировать тех, кто разобрался в вопросе глубже.
Из каментов:
@romancelover про цели НСДИ
@Ctm5 про dns leak
@romancelover про отечественный HTTPS
@vikarti ещё про отечественный HTTPS
@dartraiden про инструкцию НСДИ и бюджеты
artemlight
Я не пойму — в чем новость?
То, что DNS перехватывают через DPI — так это и до сувенирных днсов делали, просто ради того, чтобы слить инфу о Вашем трафике каким-нибудь «партнёрам».
С появлением реестра запрещенных сайтов процентов 70 операторов связи делают это не только на «своих» днс, но и вообще на всех подряд.
Решений у этой проблемы, традиционно, два. Во-первых — можно переместить точку выхода DNS-трафика из своей сети куда-нибудь в более благополучное место. Копеечная виртуалка на OVH решает эту проблему на 5 баллов из 5 возможных. Ну а во-вторых можно переместить куда-нибудь в более благополучное место себя — что решит большинство проблем с DNS-трафиком и не только.
embden
А куда перемещать-то себя? Вот переместил я себя в Германию, а тут вполне официально собираются позволить спецслужбам незаметно устанавливать троянов подозрительным пользователям, а недавно власти признались, что они могут следить за одной из партий, что как бы незаконно, но ведь партия плохая, поэтому как бы можно. И это не Россия, это Германия.
Stiver
embden
Да, действительно, это так же законно, как и сбор информации по закону Яровой, который, кстати, тоже антитеррористический. Извините, тут я просто неправильно выразился.
Я, к примеру, после приезда в Германию, перестал думать, что в России всё хуже, чем везде. В чем-то в России хуже, в чем-то лучше.
vainkop
Добро пожаловать в реальность. Редко кто осмеливается об этом высказаться.
SergioShpadi
В море встречаются два парохода, один из Одессы в Хайфу, второй обратно. На обоих столпились пассажиры и крутят пальцем у виска
websurfer
Это, как в анекдоте, про того еврея, который, то, эмигрировал в Израиль, то, возвращался в Россию. И, когда его спросили — где лучше? Он ответил — в дороге.
d33
На другом берегу рыба всегда толще.
Поэтому группы рыбаков зимой обычно встречаются посередине.
forever_live
Э нет, он ответил:
… но пересадка — в Париже!
Gugic
Я и раньше так думал, в общем-то, а после переезда удостоверился.
Vig7
Помню была замечательная новость из США (точнее В США, у нас не публиковали) о том, что у них власти официально писали разговоры защитников с доверителями на улице около судов и использовали в своих целях.
Когда народ народ стал возмущаться, ответ был — публичное место, имеем право.
A1054
НО все же разница большая, вы отстали от российских реалий. Слежка с партией это просто детский сад.
0xd34df00d
Выражаю вам своё согласие сначала из Британии, а потом из США.
androude
Члены этой партии на митингах вещают:
«ислам это оккупационная сила», «эта миграция с её убийствами, насилием, террористическими атаками» и т.п.
По мне так подобные организации это объект для слежки здорового государства. В противовес регулярным обыскам у людей публикующих коррупционные расследования.
Storan
Если брать точкой отсчёта границы и переселения людей случишвиеся по итогам 2й мировой, то нынче уже почти четверть населения Германии имеет с той поры имигрантом хотя бы одного прямого предка. ГДР конечно отдельная песня за набором, но сама ФРГ никогда закрытой для приезжих и переселяющихся страной не была. Чего-то при этом процессе постоянной иммиграции, никаких анти-итальянских, анти-балканских, анти-русских и даже анти-турецких партий, да ещё пользующихся массовой поддержкой не возникало.
Так что Ваш пассаж, про обыски у людей публикующих антикоррупционные расследования как раз в точку. Именно, что федеральным ведомствам, не мешало бы властьудерживающих, из ХДС+СДПГ на вшивость проверять и перепроверять, какого хрена они и устроили весь этот шабаш с приёмом исламистов (неужто и впрямь все как один «полезные идиоты», или всё же кто-то в интересах каких иностранных государств за мзду действовал?) — а не гонятся за оппозицией (пусть и популисткой, и во многой маргинальной), но пытающейся указать на последствия этой последней волны миграции, когда напустили в страну орды мутных личностей без малейшей склонности встраиваться в нормальную немецкую жизнь и общество.
P.S. Ну и к слову, почему это вообще не является никакой реинкарнацией нацизма, о чём так любят, даже официальные лица чуть ли не в статусе руководителей остальных партий трепаться. Закон о поздних переселенцах, несколько раз с начала 90х смягчался. Собственно сейчас в его терминах, для признания «немцем» достаточно [конечно всё с предварительным, возможно на несколько лет растянутым, предоставлением кучи подтверждающих документов и заполненных анкет] 1 из 4 среди бабушек/дедушек депортированого советского немца. Национальности остальных предков не важны. И владение языком, шпрах-тест, примерно уровня ~A2. С собой этот «немец/ка» может для воссоединения семьи указать и забрать/вывезти супругу, детей любого возраста(родных и усыновлённых/удочерённых), зятей и снох и внуков. Единственное ограничение — браки должны быть сроком дольше 3 лет. Естественно национальности всей родни-через-брак (свой/детей) тоже не важны. Вот вся эта шобла — типа немцы, и по приезду в ФРГ имеют право сразу же получить гражданство, отказавшись от прежнего (кроме заявителя, он вообще автоматом получает немецкий паспорт, и например от российского может даже не отказываться). А «нацисты» из AfD, естественно сугубо из популиских желаний понравится русской диаспоре, но тем не менее регулярно озвучивают мнение, что требования этого закона желательно бы смягчить. Ну прям один-в-один идеологию третьего рейха пытаются воспроизводить, угу.
androude
Дисклеймер: я только в начале пути неспешного разбирательства в миграционном кризисе Германии.
Приравниваете беженцев к исламистам. Хорошее начало.Если я не ошибаюсь, предоставление убежища прописано в конституции с послевоенных времен. Что значит «устроили шабаш»?
Так а где эти немецкие ФБК с расследованиями которых прессуют властьдержащие? Я бы с удовольствием почитал качественное расследование. Есть у АдГ хорошие работы? Поделитесь ссылкой.
Откуда у вас эта информация?
Kanut79
"Орды мутных личностей" существуют. Ну то есть не прямо чтобы орды, но они вполне себе есть. Например в виде тех же "арабских кланов"(на самом деле они там не только арабские, но название прижилось).
Но это в общем-то всё равно не отменяет того факта что АдГ это просто экстремально правые популисты со всеми прилагающимися. Без реальной программы. С демагогией и передиранием фактов. И с позицией "баба Яга против".
vasiaplaton
Разницы нет. Вы
следим, или ни за кем.либо крестик снимите, либо трусы наденьтеуж решите — за всемиandroude
KivApple
Имхо Германия это худший пример в плане свободы интернета в Европе. Да и вообще любят там ограничения на информацию в стиле РФ. Чего стоит запрет свастики в играх. Разница лишь в более адекватной судебной системе, что всё происходит по закону, а не путем притягивания за уши. За свободным интернетом лучше в какую-то другую страну. Их в Евросоюзе много.
Num
С другой стороны, Data privacy regulations в Германии одни из лучших в Европе (если верить Tutanota):
androude
Если вы про свободу неонацизма, пиратство и т.п., то да, с подобным Германия борется.
Но вот не помню историй про блокировки мессенджеров, запретов шифрования и давление на СМИ.
0xd34df00d
А в чём там неонацизм заключается?
androude
Например, министерство по защите конституции признало дочернюю организацию АдГ — «Крыло» правоэкстремистской.
Это он про память о нацистском периоде. Сейчас политика в том чтобы сохранять память о том какой был пздц, мемориалы, школьникам рассказывать, экскурсии в соответствующие места. Разворот на 180 мне видится вполне однозначным.На основе чего они сделали такой вывод? Например, есть такой Bjorn Hocke — лидер этого Крыла. Его заявление на партийном митинге в 2017г:
Еще он книжку написал в 2018, я мельком поискал по ней, там например такая риторика:
О да, зеленые ликуют по поводу нашей неминуемой гибели в результате миграции.
Т.е. закрытая трансантлантическая элита хочет чтобы как можно больше людей прибывали в Германию и предпочтительно неевропейского происхождения. Ага, поэтому они башляют Турции чтобы та держала беженцов у себя. Чувак гонит теорию заговора замешанную с рассистскими посылами.
Я думаю что потратив больше времени, можно найти еще больше расистской херни у него, но не охота.
0xd34df00d
Можно было бы начать разбирать это (и ваш комментарий) построчно, но, если вкратце, неонацизмом я бы это называть не стал бы, там даже призывов к действию нет. Если это является основаниями для того, чтобы начать там что-то притеснять, или что со словами «хватит
кормить Кпринимать беженцев» надо бороться, то поздравляю, никакой свободы слова у вас там нет.Разве что, несколько моментов:
А мне — нет. Он вроде как нигде не говорит, что то время надо возродить (если бы прямо говорил — это бы давно уже везде раструбили). Просто надо прекратить испытывать вечную вину за действия 80-90-летней давности, совершённые другими людьми, к тому же. Точно так же, как в одной другой стране пора прекратить оправдывать или прикрывать кучу вещей тем, что 80 лет назад деды воевали. Деды-то воевали, но живём мы сегодня.
Из теории заговора там только некие закрытые элиты. Впрочем, конечно, тут он неправ: этого хотят не только элиты (которые этого на самом деле хотят — нередки высказывания людей на довольно высоких политических или управленческих постах о том, что это это хорошо по куче причин, от неких общемировых гуманистических до совершенно банально-палевных вроде понижения стоимости труда), но и обычные люди (не все, конечно, но значимая их часть).
Не знал, что «европеец» — это раса.
Прикольно, как у вас за одно предложение расистские посылы превратились целиком в расистскую херню.
Kanut79
Если бы он выдал призывы к действию, да ещё и в открытом виде на публике, то он бы скорее всего уже как минимум получил судебный процесс, а то бы и сел. И конкретно этот товарищ, хотя на мой взгляд и чудак на букву "М", но дураком совсем не является. Поэтому он очень хорошо фильтрует что говорит и всегда ходит по грани, но практически её не переступает.
И "борется с неонацизмом" и заключается в том что за этим следят и не дают развиться. То есть сейчас это "Крыло" признано официально правоэкстремистким и на основании этого находится под наблюдением. И если смогут доказать что они неонацисты, то тогда их уже полностью прикроют.
П.С. И кстати с левоэкстремистами поступают так же и там тоже есть список групп и партий "под наблюдением".
0xd34df00d
По-моему, тут «под наблюдением» — это какой-то эвфемизм. По-моему, достаточно наблюдать за тем, что руководство этой партии высказывает публично.
В конце концов, между «не одобряет политику по импорту беженцев и
белуюнациональную вину, назвать экстремистом и наблюдать!» и «не одобряет политику по ряду других пунктов и получает финансирование из-за рубежа, назвать иностранным агентом и наблюдать!» разницы не так много, ИМХО.Kanut79
"Под наблюдением" означает что в отношении этой партии/группы разрешены определённые действия со стороны государственных структур. То есть во первых "юридически", например вещи вроде упрощённой процедуры получения ордеров на обыск в случае необходимости. А во вторых "организационно". То есть на наблюдение за ними разрешается тратить бюджетные деньги в несколько больших объёмах.
Ну если уж идти на таком уровне, то всё это дело касается любых "антиконституционных" вещей. То есть если "получать финансирование из-за рубежа" запретят в конституции, то да, будут наблюдать и из-за этого.
П.С. А в США за местными экстремистами никто не наблюдает? Или эта процедура не "формализована" в законах в том или ином виде?
0xd34df00d
Кто и на основе чего решает, за кем наблюдать, а за кем — нет?
Ну это ж вопрос интерпретации. Запретят в конституции нарушать территориальную целостность страны и предавать страну (что бы это ни значило) — будет повод наблюдать и тратить бюджетные средства в несколько общих объёмах.
У нас очень скучный политический ландшафт, поэтому оно у нас на других уровнях. Не уверен, что сравнивать AfD и каких-нибудь Proud Boys корректно.
Впрочем, некоторые члены демпартии вон активно предлагают депрограммировать республиканцев, устраивать переобучающие лагери, не принимать их больше никогда и нигде на работу, а иногда и применять прямую физическую силу, и так далее, и что-то я про какие-то действия в отношении них не слышал. Но это норм, это хорошо, это они против на самом деле плохих людей борются, это можно.
Kanut79
Решает в первой инстанции так называемый "Verfassungsschutz", а далее уже суды, вплоть до верховного.
Ну да, естественно если в Конституции напишут бред, то это будет проблемой. Но во первых это будет проблемой практически в любой стране. А во вторых внести изменения в конституцию Германии не так уж и просто.
И "политической ландшафт" в данном случае не особо важен. Это как бы "процедура" для борьбы с любыми экстремисткими организациями, а не конкретно с партиями.
П.С. И честно, у вас там в политике бардак и обе стороны регулярно выдают какой-то бред. Что демократы, что республиканцы.
0xd34df00d
А это кто такой и на базе чего он свои решения выносит? Кому отчитывается и кто его контролирует?
Так это было с намёком на РФ.
В любые экстремистские организации у вас будет встраиваться ФБР какой-нибудь, или ещё что подобное. Но у нас эти организации не особо претендуют на игру в том же политическом поле, что и основные партии, поэтому они в каком-то смысле не является политическими конкурентами.
С бардаком полностью согласен. Только вот демократы, похоже, куда опаснее для здоровья и благополучия, но это совсем другой разговор.
Kanut79
Verfassungsschutz это что-то вроде Homeland Security. Ну если я правильно понимаю что такое это самое Homeland Security :)
androude
0xd34df00d
androude
0xd34df00d
А, ну ненастоящие шотландцы, понятно.
Оспаривать там вообще никто ничего не хотел, оспаривания в США не так работают.
kspshnik
Google for FARA ;o)
androude
Называть людей террористами на основе их проихождения или вероисповедания — не норм.
Я так это понимаю. Вы же разницу видите?
0xd34df00d
Естественно. Только в вашей цитате я ничего не увидел про террористов.
androude
Давайте так, я не эксперт по нацизму, это мнение обывателя.
Например, памятники жертвам холокоста снести, да? Поставить памятники героям сс? Или ак ещё развернуть на 180?За слова «хватит принимать беженцев» никому ничего не делают. Пожалуйста митингуй с этим лозугном, создавай партию, попадай в парламент. Если избиратели этого хотят — это проиходит.
Я вам ответил инфой про АдГ потому что в соседних комментариях обсуждали её и насколько плохо устраивать слежку за партиями. По моему мнению приведенная риторика — это повод за ними наблюдать.
Может хватит тогда испытывать и вечную годрость за события далёкой давности? Посносить все памятники военным победам. Перестать проводить парады победы. Там где романтизируют образ войны и былых побед, люди с большим энтузиазмом поддерживают военные конфликты и всякое «можем повторить».
Если говорить о неонацизме в Германии вообще то например:
0xd34df00d
Совсем забыл вчера — можно сравнить с отношением ко Второй Мировой других стран Оси — ну там, Италии, или Японии. Япония что-то не стремится беженцев принимать и ставить кучу памятников жертвам на стороне Союзников. Памятники и мемориалы там есть, но там, что интересно, перечислены и имена погибших японских солдат. Это уже, наверное, почти как памятники героям СС. Есть памятник японским морякам. Есть памятник японским школьницам-медсёстрам.
И ничего, второго Гитлера из Японии как-то пока не вылезло.
Раз вы заговорили об этом — почему вы фокусируетесь на холокосте? От холокоста погибло сильно меньше половины тех, кто вообще погиб от рук нацистской Германии.
У меня половина крови, кстати, ашкеназская (о чём я узнал только после ДНК-теста от 23andme и после того, как стал расспрашивать отца — спасибо отношению прекрасной страны советов к евреям), а ещё половина — русская, и мне изрядно надоело, что, обсуждая ужасы Второй Мировой, обсуждают только первую половину. Русских, как и других национальностей, тоже изрядно полегло.
androude
Что значит «стремится» принимать беженцев? Где-то стоят немецкие послы с транспарантами «давайте все к нам» или как?
Мемориалы с именами погибших немецких солдат WW2 в Германии я тоже встречал (интернет подтверждает «many towns and even small villages in Germany have war memorials to their sons who have fallen in battle»). Что тут ещё разворачивать на 180?
Так и Германия тоже ничего со своим отношением к истории. Индекс человеческого развития, экономика, качество жизни, преступность, всё на хорошем или отличном уровне без разворотов на 180.
Именно этот памятник в Берлине Бьерн упоминал в своей речи как нечто плохое. Я не фокусируюсь.
My bad. Я правда пропустил те пару строк.
0xd34df00d
Не приплывают. Уж не знаю, почему. Германия тоже так-то напрямую ни с кем из стран, откуда бегут беженцы, не граничит.
Послы — нет. Жители стран — кстати, да, стоят. Куча соответствующих картинок легко гуглится.
Ну вот и надо спросить у человека на каких-нибудь публичных дебатах, а не наблюдения ставить.
Так мы обсуждаем свободу слова, а она для этого всего совершенно не нужна. По всемирному индексу счастья вон вообще Венесуэла на втором месте, например, а Германия — даже не в десятке.
androude
0xd34df00d
Надо выбирать только те индексы, на которых нравящиеся вам лично страны достаточно высоко, а ненравящиеся — достаточно низко? Спасибо, у меня тогда тоже вопросы кончились.
На всякий уточню свой предыдущий комментарий: по той компоненте HPI, которая считает уровень удовлетворённости жизнью. Там ещё есть всякие индексы влияния на экологию и прочая ерунда, на ощущение счастья каждого конкретного жителя не особо влияющая.
Vilgelm
Германия явно не лучший выбор для свободного интернета. Но вы можете переместиться чуть западнее в Нидерланды, там со свободами гораздо лучше. Или в швейцарские горы куда-нибудь.
Впрочем, Германия пока не замечена в попытках окуклить локальный сегмент интернета, ввести реестр запрещенки, забанить Youtube и все в таком духе, значит по сравнению с Россией в плане интернета они пока еще свободнее.
ToSHiC
Реестр запрещёнки конечно же есть: https://wikileaks.org/wiki/The_Dawning_of_Internet_Censorship_in_Germany.
А вот с окукливанием всё предельно понятно: позволить себе окуклить интернет могу чуть более, чем 3 страны: США, Россия и Китай. Потому что у этих стран есть:
То есть большинство людей сможет почти полноценно пользоваться интернетом, и больше всего страдать, пожалуй, из-за отсутствия ютуба.
uzverkms
А как же ICQ? ))
ToSHiC
Закопайте уже стюардессу! :)
uzverkms
Я за ними вообще не следил, а сейчас глянул и они насыпали кучу современных фич. Там очень тщательно обводят по контуру телегу и иногда вацап. Смущает только скрытая фича под названием «товарищ майор». Причём неиллюзорный:
wiki:
Vilgelm
Конечно же нету, потому что закон на который вы ссылаетесь действительно был принят, а через год отменен, потому что обе партии которые за него голосовали получили потери на выборах. Возможно у вас есть примеры поудачнее, но в Википедии не вижу ни про какие черные списки.
Свой поисковик есть и в ЕС, да и соцсети есть в принципе. Мессенджеров столько, что на каждую страну по одному придется точно. Другое дело что они не очень популярны, но ровно тоже самое можно сказать и про какой-нибудь ТамТам, куда людям придется переходить после окончательной (тут я имею ввиду полное отключение внешки) блокировки Telegram.
Дело тут немного в другом: странам с демократической и условно-демократической моделью управления это попросту не нужно (а если и нужно, то чревато потерей власти на ближайших выборах).
ToSHiC
https://bpjmleak.neocities.org/
https://blog.neocities.org/german-censorship.html
Немецкие провайдеры зачем-то закупают DPI оборудование: https://www.reportlinker.com/p03037272/Global-Deep-Packet-Inspection-DPI-Industry.html?utm_source=GNW
Да и остальные европейцы не отстают: https://www.zdnet.com/article/186-eu-isps-use-deep-packet-inspection-to-shape-traffic-break-net-neutrality/
F0iL
Так там оно не в целях блокировок, а в целях шейпинга (по крайней мере, так заявлено, но разговоры об этом ведутся довольно давно)
… что, конечно, тоже плохо, но это именно тот случай, когда действительно, как говорится, «это другое».anonymous
Я в списке блокировок по первой ссылке ожидал увидеть сайты с критикой действующей власти, разборы их вранья и коррупционных схем, призывы голосовать на выборах за их оппонентов, и подобное,
а там в основном порнография, наркотики и убийства, фи.
А потом ещё оказалось, что ...companies usually implement the blocklist as opt-in – users have to enable it by choice to filter the websites, то есть чтобы сайты блокировались, фильтрацию нужно специально своими руками включить и не выключать обратно.
Скучно как-то.
Vilgelm
DPI и российские провайдеры, особенно сотовые, закупали до всяких блокировок и Яровой. Это инструмент и использовать его по разному можно. В «легальных» целях для приотеризации трафика, например или чтобы торренты порезать, как у Йоты.
Списка там к сожалению нет, но пару доменов упоминается. Например, упоминается страница на сайте bible.org. Сайт этот работает по https, так что его или целиком блокировать, или никак. Я попробовал открыть с немецкого провайдера 1&1 и у меня сайт открылся.
Судя по Википедии это вообще касается продажи игр и купить их можно, но сложно (типа по предъявлению документов). И списки эти опциональные, то есть можно их выключить и цензуры не будет. Не одобряю ни разу, но это не выглядит как блокировка всего и для всех в стиле РКН.
Там кстати еще одна интересная фраза есть:
karabas_b
Ну это явно неправда, декларирующие пригодный/непригодный контент для детей организации есть почти везде. CHVRS в Канаде, ACB в Австралии, BBDC в Великобритании, в Штатах их вообще вагон — MPAA, TVPG, ESRB, RIAA и т.д.
ToSHiC
DPI — это очень дорого, и всё, что можно сделать простыми фильтрами на 4 уровне (адреса, транспортные протоколы, порты) — стараются делать там. И те же сотовые провайдеры стараются направлять через DPI так мало трафика, как возможно. У одного из российских сотовых провайдеров, на сколько я знаю, ферма DPI есть только в Москве. И если пользователь из, к примеру, Новосибирска, сайтики всякие смотрит, а в списки от РКН попадёт айпишник akamai — то у пользователя интернет начинает работать медленнее, потому что перестаёт работать CDN, по сути — весь трафик akamai начинает идти через Москву, а не через местный узел из CDN.
А завернуть какой нибудь youtube через DPI, скорее всего, вообще невозможно.
A1054
так а зачем Маск задумался о колонизации Марса?)
askv
есть версия, что человечество уже было на Марсе, просто так изгадили планету, что пришлось переселяться на Землю
0x131315
С камнями и палками
dragonnur
Молча протягивает коробок
1tuz
Звучит не очень вероятно, особенно с учётом того, как немцы тревожатся за персональные данные. На тот же GDPR хотя бы взглянуть
Zalechi
Дело в том, что Германия не строит запретительные железные завесы, как в Китае и России на зак уровне. Делают в рамках нормальных современных законов по средствам спец служб.
iiwabor
В случае массовых народных волнений власти будут блокировать сотовую связь, мессенджеры, соцсети или интернет целиком со любыми DNS, и прочим блекджеком и плюшками.
Спецслужбы всегда занимаются слежкой за неблагонадежными всеми способами — законными и не очень. И зачастую просто убивают слишком несогласных
Эти пункты, к сожалению, действительны для любого государства мира.
Vilgelm
Во время летних BLM протестов или захвата Капитолия в январе я не слышал о блокировках интернета или сотовой связи в США. Дело конечно не в том, что там все такие хорошие, но что-то заблокировать намного сложнее если:
а) система достаточно распределенная и нет сильных рычагов давления на бизнес,
б) если эти действия негативно скажутся на будущем того, кто принимает такое решение (например, упадет рейтинг и его не изберут).
Поэтому хотя это действительно в той или иной мере действительно для любого государства мира, но где-то это очень крайний случай, где должно произойти что-то реально жесткое, а где-то рядовая практика, и интернет вырубают даже на время экзаменов.
askv
Зато в каком-нибудь твиттере или фейсбуке блокируют. И какая разница, что у тебя есть интернет, если твоей информации ставят препятствия — не в одном месте, так в другом.
Vilgelm
Я несомненно против блокировок в Твиттере, но это все же вещи разного порядка. Если тебя заблокировали в Твиттере, то можно пойти на Gab или другой аналог. Если у тебя заблокировали интернет, то можно пойти на три буквы.
askv
Много кто из пользователей пойдет потом в Gab? У нас интернет полностью не блокируют тоже — можно пойти через VPN и т.п. Везде свои сложности )))
Vilgelm
После всем известных событий у них очень мощный прирост пользовательской базы был.
Что касается VPN — это временная мера. То есть пока можно, суверенный интернет вероятно делается как раз для того чтобы было нельзя. И ветка вообще начиналась с полной блокировки интернета, от этого никакой VPN не спасет.
F0iL
askv
Бороться можно только полной изоляцией, которая невозможна. Когда слишком умных станет много, власть сменится.
sumanai
Ага, так же невозможна, как и веерные блокировки, подмена DNS и список запрещённых сайтов.
F0iL
Без полной изоляции тоже можно придумать очень много вариантов борьбы.
Большинство популярных VPN-протоколов типа L2TP, PPTP, OpenVPN, Wireguard, и т.д., элементарно определяются любым DPI или даже простейшей сверкой сигнатуры.
Те, что по-хитрее и маскируются под HTTPS типа SSTP, AnyConnect/OpenConnect и Softether вкупе с eSNI/ECH — выявятся с помощью active probing'а и обязательного для всех «национального корневого сертификата» (как пытались сделать в Казахстане).
Всякие варианты, выглядящие как мешанина типа shadowsocks или технологии двойного назначения типа SSH — определяем что происходит по анализу паттернов обмена трафиком туда-сюда и режем скорость до черепашьей.
Если у вас юрлицо, которому VPN нужен для работы, или вы предоставляете какие-либо сервисы по протоколам, определяемым false-positive — то получите специальное разрешение, предоставив пакет документов в Роскомнадзор каждый первый вторник каждого месяца с 9 до 12, и ваши диапазоны IP внесут в белый список.
И так далее.
Да, стоить будет это недешево, но деньги на все это, как обычно, отнимут у самого же населения и у мелко-среднего бизнеса.
В итоге останутся только слишком «слишком умные», способные комбинировать разные технологии, зашумлять канал, применять стеганографию. Информацию о таких методах можно признать запрещенной, а бонусом еще принять какую-нибудь новую статью про «использование несертифицированных средств шифрования» или «пособничество нарушению законодательства методом обхода блокировок», показательно оштрафовать по ней несколько человек на шестизначные суммы или влепить им условные сроки, и всё, желающих пользоваться таким, а уж тем более помогать с этим другим, станет гораздо меньше.
askv
Ну так мы в целом откатываемся назад в плане прав и свобод. Интернет — это только следствие. Как и памятник на Лубянке — следствие. Основное — что творится в головах у людей. Понадобится еще одна перестройка, чтобы вернуть хоть что-то.
apevzner
Раньше темой перестройки было «сделаем, как на Западе, и заживем». Теперь Запад превращается в то еще место, чтобы на него равняться. Как бы не пришлось прокручивать все заново: буржуазная революция, социалистическая революция и т.д.
Johnneek
А в обратную сторону прокрутка не работает. Точнее, работает, но как и с куском мяса — из фарша обратно кусок мяса не получится, только снова фарш.
Tsimur_S
Не проще ли уж сразу к расстрельным тройкам перейти?
F0iL
А это вы уже не у меня спрашивайте. Всё может быть, я честно говоря уже ничему не удивлюсь.
0xd34df00d
В этих наших США некоторые категории граждан используют в адрес некоторых других категорий граждан вещи, поразительно похожие на цитаты одной европейской страны начала и середины тридцатых (и другой евроазиатской страны в чуть более обширный период времени).
dragonnur
В последнее время от нескольких знакомых жителей США (как понаехавших за длинным долларом, так и «коренных») слышу дырчание заводимого трактора.
Glebana
А можно просто напросто рубануть электричество
Johnneek
Нельзя, ТВ перестанет работать (во всех смыслах).
0x131315
Так это озвучивали как одну из основных целей: рубить сеть на 100% при любой внешней угрозе.
Возможно, не возможно — никому не интересно. Сделают.
dartraiden
На любом ресурсе вас могут заблокировать. Например, помню украинский сайт, владелец которого заблокировал вход с российских адресов. Но из интернета вас при этом никто не выпиливает.
askv
Я вот тоже к тому, что та или иная цензура есть везде. Так устроен человек, поделен на группы, кланы, нации. И всегда кому-то что-то может не нравитьтся. Даже этот сайт не исключение — вот меня минусуют потихоньку и со временем ограничат в праве высказываться.
anonymous
Вы смешиваете совершенно разные явления.
Отсутствие цензуры означает, возможность донести вашу точку зрения до желающих ее услышать.
Если вас забанят (например, внесут ваши статьи и идеи в список запрещенных) на уровне государства, то желающим услышать вас придется менять свое местоположение на другую страну, а это для многих случаях вообще почти невозможно по разным причинам. А случае если после ваших слов к вам придут люди в погонах и арестуют — вас смогут слышать только соседи по камере, а они навряд ли "все желающие".
Напротив, в случае бана на частном ресурсе типа Хабра, вам и желающим вас слушать никто не запрещает пойти на другой ресурс, на Пикабу, на Фишки, на что угодно, или даже если вас публика не хочет слушать вообще нигде, скинуться желающим по сто рублей, и создать свой сайт или блог, благо это быстро и легко, доносить информацию до своих поклонников там и звать туда единомышленников.
Иными словами, если вы придёте на конференцию ученых-физиков с намерением втирать им про астрологию, вам не обязаны предоставить там сцену и микрофон, и это не является цензурой и нарушением свободы слова.
А вот если вам не дают организовать свою конференцию по вопросам астрологии — тогда это именно оно.
galaxy
Знаете, в свете недавних событий озвученная вами неновая и, в общем, правильная мысль как-то заметно обессмысливается.
Что если вам с вашей конференцией по астрологии отказывают последовательно буквально все площадки? Кому-то не нравится ваша повестка, у кого-то вдруг трубу прорвало. А в ответ на ваше недоумение вам предлагается строить свой конференц-зал.
Kanut79
И это всё ещё абсолютно нормально до тех пор пока вам никто не запрещает его строить.
Альтернатива это когда вы приходите с вашей астрологией куда угодно и везде все вас обязаны выслушать. И любой телеканал вам обязан дать эфир и любое издательство обязано вам выпустить книгу за их счёт :)
anonymous
Все верно. Строите свой зал, если нет денег — зовёте всех желающих в свою квартиру или выезжаете за город, ставите палатки и обсуждаете свои идеи там. Печатаете листовки об этом мероприятии на принтере и распространяете, сочувствующие копируют и тоже распространяют. Желающие получают возможность услышать вашу точку зрения и факты, что вы желаете им сообщить.
В случае с ограничением свободы слова, в ваш зал перед мероприятием приходят контролирующие органы и закрывают его по надуманным предлогам, в квартире выключают электричество и ломают дверь, ваши палатки сносят бульдозерами, вас арестовывают по надуманному предлогу, все распечатанное конфискуют, распространителей штрафуют.
Чувствуете разницу?
galaxy
Теоретически-то могут, да только меня (точнее, лирического героя-астролога, которого придумали вы) уже дискриминировали, лишили современных средств коммуникации/нормальных человеческих условий работы с аудиторией и вынуждают партизанить.
Есть государственное ограничение свободы слова, которое может не стесняться. А есть… ну прям на примерах:
> приходят контролирующие органы и закрывают его по надуманным предлогам
приходит сотрудник Твиттера и под надуманным предлогом банит Трампа
> в квартире выключают электричество и ломают дверь
Amazon выключает хостинг Parler
Ок, арестовывать пока не могут.
Вообще, конечно, аргумент у вас в стиле «ну не убили же, а че такого?».
Пока это происходит не с вами
anonymous
galaxy
Вам, наверное, знакомо понятие «сетевой нейтралитет»?
Следует ли провайдеру отключить мне интернет, если он не согласен с байтами, которые я пересылаю по его проводу?
anonymous
С конкретными байтами он несогласен быть не может потому что ничего о них не знает, в наше время TLS каждая собака использует.
А выборочное ограничение доступа к каким-нибудь ресурсам противоречит закону о связи с последующим нагибанием оператора, за исключением случаев, когда инициатором этого ограничения являются гос.органы (а именно они обычно и являются, о чем и речь).
0xd34df00d
Ну так и из государства выезжаете. Покуда выездные визы не ввели, получается, цензуры нет?
anonymous
Вы всерьез не видите разницы между выехать за город и выехать в другое государство или толсто троллите?
Выехать за город: быстро, дёшево, доступно всем (в принципе даже инвалидам-колясочникам с некоторыми нюансами), нет никаких ограничений.
Выезд в другую страну: зачастую дорого, гораздо дольше, есть куча ограничений: сначала своя страна должна выпустить (есть много людей с долгами или с формой секретности), потом другая должна впустить (требует весомых причин, либо ограничивает срок пребывания и количество въездов, а ещё имеет право не впустить без объяснения причин, нет никаких гарантий).
А по факту, в описанном мною случае даже за город выезжать не обязательно. Достаточно найти в городе любое место, где вы не будете мешать окружающим и собираться там.
А изначально речь была вообще про интернет.
0xd34df00d
Как ездивший в другие государства на конференции — нет, не вижу качественной разницы. Даже цена вопроса может оказаться одного порядка величины.
Если есть транспорт. В этих наших США с общественным транспортом, например, всё чуть хуже, чем в РФ. Да и в РФ вы максимум доберётесь до некоторых окрестностей того, куда электрички ходят.
Непринципиально. Счастливые европейцы говорят, что у них там билеты между странами стоят порядка десятков евро — это, конечно, больше, чем билет на электричку, но не то чтобы принципиально. Я, тащем, из Лондона в Москву летал в своё время евро за 80, кажется, а летом из Нью-Йорка в Остин — вообще за 18 баксов долетел (хоть это и одно государство, но нет никаких фундаментальных причин билетам между достаточно близкими государствами стоить не сильно больше).
Ну вот это и можно обсуждать.
Ну да, может не пустить. Поедете ещё куда-нибудь, в чём вопрос? Так-то и в электричку вас владелец электрички может не впустить.
Чем больше я смотрю на последствия госцензуры и сравниваю их с последствиями частных ограничений, тем больше мне кажется, что моя модель (на самом деле довольно похожая на вашу) неполна. Поэтому я всего лишь пытаюсь понять, как её можно уточнить.
anonymous
В большинстве стран что я знаю, общественный транспорт работает по публичной оферте или аналогичному механизму, и если вы не нарушаете местные правила и законы не пустить просто потому что рожей не понравились вас не имеют права.
А на самом деле, вы почему-то проигнорировали весьма важные мои замечания и вместо этого продолжаете душнить:
(просьба не начинать буквоедство на тему формальных критериев явления «мешать окружающих», это уже слишком толсто будет с вашей стороны)
и в соседнем комментарии
0xd34df00d
Может — не значит, что обязана, ну да ладно.
Впрочем, мне интересно, где эта логика кончается (и я рассуждаю вслух, у меня нет готового мнения). Съездить в другой город на разовую сходочку — это легко. Давайте лучше предположим, что вы ну очень не угодили городу, где живёте — ну там люди религиозные, а вы пропагандируете что-нибудь нетрадиционное, или вообще на хаскеле пишете, мало ли. Можно ли предлагать в качестве решения переехать в другой город и говорить, что всё в порядке?
Всегда можно сказать, что вы одеты в пачкающую одежду или кричите матерные частушки. Судиться потом замучаетесь, да и на поезд в любом случае опоздали.
Я бы начал буквоедство, но не на эту тему: может оказаться, что в городе ровно три коворкинга (ну там, coffeezon anticafe services, workers cloud и microspace luzure), и во всех трёх вас выгнали. Особенно если мы проводим аналогии с интернетом.
Скажите, пожалуйста, вы что-нибудь слышали о Parler?
anonymous
Соберитесь не на чьей нибудь частной территории, а на площади или в парке. Да, не так удобно, но что поделать.
Обратный вопрос: а почему владельцы коворкинга, конференц-зала или кафе в обязательном порядке _обязаны_ предоставить вам место для ваших встреч?
Да, я о нем написал в соседнем комментарии. Когда его выгнал Амазон, они переехали в облако предположительно российской компании, внезапно, да, и вполне себе находится в онлайне.
0xd34df00d
А почему сотрудники должны иметь такую возможность, если я не нарушаю законы? Я бы выкинул эти скобки вообще.
Да, это лучше, а то я уже начал было писать длинную тираду на тему оригинальной версии :]
Правда, тут был такой забавный случай, когда летом чёрнокожий мужик избил в магазине белокожего. Потом сказал, мол, белокожий использовал n-word (которым, кстати, чернокожие пользуются регулярно — послушайте хотя бы рэп). Прокурор отказался преследовать обвинения против этого товарища в избиении на основании «ну мож он действительно что-то такое сказал» (хотя даже если и сказал, это преступлением не является).
Ну фиг знает. Очень тяжело (да и не факт, что нужно) построить законы так, чтобы оскорбления были вне закона, а утверждения «путин — вор, трамп — наци, байден — расист-маразматик» — нет.
Тут уже аналогия совсем рвётся.
Можно я вам таки отвечу вопросом на вопрос: а я где-то говорил, что они это обязаны сделать?
Как успехи с мобильными приложениями? Когда разработчики chrome и safari добавят блек… простите, запрещённые списки в свои браузеры, вас тоже будет всё устраивать?
Balling
Девушка сказала «All Lives Matter», и её убили. Oopsie.
Уже пытались. Gab-овский Dissentor. Не прокатило, всегда можно сделать так, поменяв id extension. github.com/gab-ai-inc/gab-dissenter-extension/releases
0xd34df00d
Да, я знаю про тот случай. Но там вроде даже завели дело и начали искать-преследовать убившего.
Я про списки урлов. Урлы-домены, конечно, можно тоже поменять, но там дальше может быть и специально обученная нейросеть, анализирующая открываемые страницы на предмет «хейтспича».
galaxy
Зря не говорили. Ниже написал, но повторю: неграм коворкинг может отказать по причине того, что они негры?
0xd34df00d
В моём идеальном мире он может отказать кому угодно по какой угодно причине.
galaxy
Публичная оферта? Не слышали? Дискриминация? Не слышали?
Может магазин не пускать негров или геев, скажем, по своему усмотрению?
Удивительно, до чего можно договориться…
askv
Так почему наше государство позволяет себе принимать такие драконовские меры, а другие государства — не совсем? Может быть, дело и в нас (в народе в целом) тоже? Как говорил известный персонаж, разруха в головах. И преодолеть ее непонятно как. Как боролись при советах с тлетворным влиянием запада, так и продолжаем бороться )))
askv
Ну и если банит твиттер или фейсбук это фактически цензура. Популярная платформа не должна брать на себя функции цензора.
iiwabor
Согласен, насчет блокировки всего интернета погорячился.
Но слежкой за неблагонадежными занимаются спецслужбы всего мира.
muove
А как же Parler?
Vilgelm
Я совсем не одобряю то что произошло с Parler, но это скорее выглядит как ошибка проектировки. Это примерно как размещать оппозиционный ресурс на серверах властей. У того же Gab все более продумано.
Но при этом Parler жив и доступен после небольшого перерыва и им можно пользоваться. В случае отключения интернета пользоваться ничем не получится.
sena
Рецепт сродни гильотины от головной боли. Жизнь на чужбине среди людей с другой культурой и менталитетом имеет свои, очень далеко и глубоко идущие последствия, не все из которых дадут о себе знать даже в первые годы. Поверьте, суверенный ДНС того не стоит.
sumanai
А что того стоит? Свободный интернет? Достойное жильё? Жизнь?
sena
Жизнь стоит. Если есть угроза жизни, нечего есть и негде спать, то временно уехать точно стоит, пока угроза не пройдёт. Насчёт всего остального — скорее нет, чем да. И то, негде спать может быть только временным явлением и стоит потерпеть какое-то время.
Свободный Интернет совершенно точно того не стоит, потому что его здесь нет. То есть если Вас интересует свобода в российском Интернете, в плане нарушения российского законодательства, то она с отъездом появится, но только если Вы откажетесь возвращаться в Россию — то есть если не останется родных. Но зачем Вам российский Интернет, если Вы уедете? А в Германии или США Вам придётся соблюдать местное законодательство, которое отнюдь не во всех вопросах предоставляет больше свободы.
С жильём всё не так просто, как кажется. Качественное жильё стоит очень дорого в регионах с высокой зарплатой независимо от страны.
Если жизненные ценности вращаются только вокруг денег, колбасы и шмоток, то ехать в принципе можно. Но учтите, с возрастом Ваши приоритеты могут измениться. Да и финансовый вопрос для айтишника в России или Украине не должен стоять слишком остро.
Подумайте, Набоков был вполне успешен, у него были деньги и шмотки, тем не менее он написал такие стихи через 20 лет после отъезда
К России
Отвяжись, я тебя умоляю!
Вечер страшен, гул жизни затих.
Я беспомощен. Я умираю
от слепых наплываний твоих.
Тот, кто вольно отчизну покинул,
волен выть на вершинах о ней,
но теперь я спустился в долину,
и теперь приближаться не смей.
Навсегда я готов затаиться
и без имени жить. Я готов,
чтоб с тобой и во снах не сходиться,
отказаться от всяческих снов;
обескровить себя, искалечить,
не касаться любимейших книг,
променять на любое наречье
все, что есть у меня,- мой язык.
Но зато, о Россия, сквозь слезы,
сквозь траву двух несмежных могил,
сквозь дрожащие пятна березы,
сквозь все то, чем я смолоду жил,
дорогими слепыми глазами
не смотри на меня, пожалей,
не ищи в этой угольной яме,
не нащупывай жизни моей!
Ибо годы прошли и столетья,
и за горе, за муку, за стыд,-
поздно, поздно! — никто не ответит,
и душа никому не простит.
1939, Париж
Так что не удивляйтесь, если чувствуя себя сейчас «гражданином мира» в России, уехав за границу через 20 лет Вы вдруг обнаружите себя плачущим от русской берёзки. А Ваши дети не будут понимать, что Вы нашли в этой России.
И не заблуждайтесь насчёт «всегда можно вернуться». Нет, это не так просто, когда у Вас семья, дети и т.п.
onlinehead
Менталитета не существует, «чужбина» — это Марс, Земля +- везде одинаковая, а культура не высечена гранитом в личности. Все это исключительно вопрос личного отношения и готовности восприятия нового и отличного от привычного.
anonymous
Как правило, вместе с суверенным ДНСом одновременно имеет место ещё огромный ряд проблем и негативных факторов в других сферах жизни (зачастую с тем же источником), поэтому вопрос "стоит или нет" следует рассматривать комплексно.
zorn-v1
> Я не пойму — в чем новость?
Поддержу. Вот же оказывается как в мире все устроено, не на святом духе все работает, а на деньги каких то людей )
motienko Автор
https://t.me/usher2/1926
motienko Автор
и оттуда же
Инструкция по заполнению форм в едином портале пользователей для представления
информации о средствах связи операторами связи, собственниками или иными владельцами сетей
связи, предусмотренной приказами Роскомнадзора № 221, 222, 223
redneko
То самое чувство, что уже пора перенастраивать bird2 на виртуалке в Hetzner и на домашнем сервере-роутере на отдачу не отРКНенных по самые уши 18k сетей, а на 0/0 и плевать на +40 мс к пингу. Понятно что это всё равно, что занимать очередь в пятницу по мотивам известного анекдота, но всё же.
artemlight
Я жил в таком режиме с полгода — и на удивление не так страшно всё это.
Единственный момент — гугловая капча злая, и Avito не пускает на себя.
Но в целом и в общем это были мелочи.
Ну и очередь на то, чтобы не вставать в очередь тоже немаленькая.
redneko
Гугл отлично работает через IPv6 от HE (главное выбрать сервер в Берлине, у второго в Германии иногда бывают проблемы). Яндекс — да, начинает просить капчу, но его приложения на телефоне при этом работают норм. Хотя поиском от Яндекса лично я не пользуюсь, поскольку запомнилось со времен года 2015, что по любому, даже сугубо техническому запросу вылезала порнуха со второй-третьей страницы. VPN не любят ситилинк, циан и онлайн-трейд, это да. Но, к счастью, если сервис не умеет отличать живого пользователя от бота и занимается такими же ковровыми бомбардировками подсетей, как и гоминиды из РКН — ему всегда можно найти замену.
Catslinger
Если вместо VPN использовать Shadowsocks или проксю в докере, подключенном в VPN, то можно в браузере с помощью дополнений ввести правила, на какие сайты ходить через канал, а на какие — прямо. В паре с DNSSEC решает вопрос.
redneko
Интересно, спасибо, почитаю. Но VPN всё же роднее и привычнее. Пусть гражданка Яровая, которая недавно вызывала в свое логово бродячего шапито представителей сети Интернет, берет кодовую книгу и расшифровывает aes256gcm, бегающий внутри IPSec с аутентицифирующимися при помощи сертификатов пирами. Флаг в руки и барабан на шею.
Catslinger
Вот статья, вроде не очень устарела.
redneko
Спасибо большое!
vikarti
AdGuard VPN умеет как быть нормальным VPN так и через свое расширение в браузере выборочно пробрасывать сайты через себя.
Разумеется он платный.
Проблем пока особых не вижу.
A1054
Zenmate еще, правда только на ПК
vikarti
У AdGuard VPN то расширение — для браузеров умеющих в расширения (хром на мобилках — не умеет).
На мобилках этот же функционал сделан в рамках мобильного приложения.
Если использовать на мобилках совместно с AdGuard(который блокер рекламы, там есть специальная интеграция) то можно очень гибко выбирать что куда — и по сайтам и по приложениям.
rastych
c ipv6 от HE тоже достаточно много проблем — многие сервисы, использующие Cloudflare его отсекают, выдавая ошибку
sumanai
Cloudflare проще у себя забанить, нечего поощрять MitM сервисы.
redneko
Странно, ни разу не видел такого за пять лет. Раз в месяц только тренирую нейросетку, уча находить велосипеды или поезда
rastych
ну вот вам та же Роскомсвобода прямо сейчас. Также всякие picua.org, некоторые новостные сайты. Иногда приходится включать VPN
artemisia_borealis
вот кстати да, таких проблем не видел за 10 лет.
А так да, яндекс периодически на капчу пробивает, а гугл у меня «шведский». Но это всё не сосбо мешает.
Почта (на внутренний почтовый сервер) по IPv6 ходит без проблем (в обе стороны).
Vampik
По поводу IPv6 от HE есть один нюанс. Некоторые провайдеры (в частности, Билайн в Москве — проверено на собственном опыте) уже научились фильтровать и блокировать трафик внутри IPv6-туннеля, т.к. он никаким образом не шифрованный.
redneko
Тьфу-тьфу-тьфу, Ростелеком еще до такого не докатился (странно даже), хотя любят бежать впереди паровоза в вопросе блокировок. В кейсе с VPN ничто не мешает завернуть IP4 эндпоинт туннеля внутрь VPN, и к тому же MTU в IPv6 равен 1280, так что и тут проблем не должно быть.
paxlo
Можно поподробнее?
redneko
Боюсь поподробнее может вылиться в отдельную заметку. Но да, пожалуй стоит написать. В кратце, живет себе виртуалка в Hetzer, самая дешевая за 2+ евро. Связана с домашним сервером ipsec поверх ipip туннеля. На виртуалке раньше крутился BIRD ветки 1.x, которому скриптами подкладывались списки заблокированных ваньками-дурачками из РКН IP-адресов. И списки, благодаря толстолобому трудолюбию ванек, разрослись настолько, что BIRD при реконфиге отжирал всю память и приходил злобный OOM и прибивал процесс. К счастью коллеги из NIC.CZ переписали заново код и выпусили вторую версию BIRD, но конфиг при при этом изменился довольно сильно и пришлось его править почти наугад. Зато теперь реконфиг проходит моментально и все работает стабильно уже долгое время.
paxlo
Понятно, спасибо. Интересует чем был обусловлен выбор именно bird?
redneko
Наличием кучи мануалов в сети по настройке. Ну и удобно выкачать списки с antifilter.download, скриптом их обработать, добавить свои сети (те же gov-nets, по названию, думаю и так понятно во что вляпались + завернуть DNS) и скормить все это демону bird, дёргая его через SIGHUP для обновления маршрутов.
motienko Автор
но может отдельная заметка как раз и будет в тему? впереди 3 выходных, почему бы и да?
redneko
А почему бы и да?) Хорошо, постараюсь в ближайшее время написать
redneko
del
Sultansoy
Нет впечатления, что статья написана тех.диром фбк?
просто шутка, ничего личного, никого не пытался обидеть или задеть. просто подача фбкшная. нагнетание на пустом месте
motienko Автор
Где вы увидели нагнетание и фбк 8(
Baigildin
А если и написана ФБК, то что с этого?
Sultansoy
Ничего с этого. Просто хабр не про политику, вот и все.
Сколько же здесь сторонников фбк, что меня так заминусили :)
sumanai
Пояснили бы, что это вообще такое, это ФБК ))
tvr
Фонд борьбы с коррупцией.
sumanai
Да я то нагуглил. Жаль, что не спонсируется государством.
romancelover
1.1.1.1 имеет зеркало внутри России:
traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 38 byte packets
1 91.77.64.1 (91.77.64.1) 2.814 ms 1.706 ms 1.504 ms
2 212.188.1.106 (212.188.1.106) 3.773 ms 3.843 ms 3.527 ms
3 212.188.1.105 (212.188.1.105) 3.717 ms 4.490 ms 3.913 ms
4 212.188.33.197 (212.188.33.197) 4.543 ms 3.819 ms 3.177 ms
5 1.1.1.1 (1.1.1.1) 3.087 ms 3.986 ms 4.071 ms
Проблемы с доступом к нему не связаны с суверенизацией, скорее всего он anycast'ится неправильно у некоторых провайдеров.
Адреса корневых серверов от НСДИ совпадают с теми, которые получаются от DNS-сервера провайдера, и с теми, которые указаны в файле named.root.
Задумка была в том, что на корневых серверах, принадлежащих зарубежным компаниям, теоретически могут быть заменены записи зоны RU, тогда российские сайты стали бы недоступны. В таком случае сервера НСДИ могли бы выдавать альтернативные адреса корневых DNS серверов, находящихся в России, и указывающих на правильную зону RU, тогда российские сайты оставались бы доступны (хотя бы внутри России). Только подобные санкции не применялись ни к одной стране, и сложно назвать случай, в котором они могли бы быть введены. Мне кажется, что это скорее распил, чем полезное начинание. Можно добиться аналогичного эффекта anycast'ом всех адресов корневых DNS внутри страны (некоторые адреса и так anycast'ятся внутри страны, но не все).
Для блокировок использовать суверенный DNS в принципе возможно (перенаправляя все запросы по 53 порту на суверенный DNS-сервер с блокировками), только обходится это достаточно просто (через DoH, какой-то ещё альтернативный протокол или на худой конец скачиванием hosts-файла с адресами блокируемых сайтов).
Мне интересно, как они собираются решать проблемы с суверенизацией выдачи адресов. IP-адреса выдаются пока очень несуверенным образом, через голландскую компанию RIPE. Мне кажется, что для решения этой проблемы можно было бы форсировать переход на IPv6, получить достаточно большой блок (/20 или /24) — резерв на всю страну, и выдавать из него адреса провайдерам, если вдруг RIPE им откажет из-за санкций.
motienko Автор
А ещё интереснее, как будут решать вопрос с HTTPS?
romancelover
C HTTPS проще должно быть — сертификаты выдаются на заметный срок вперёд, если вдруг иностранные компании откажутся работать с отечественными компаниями, разом он не отвалится.
Тогда власти объявят, что если какой-то сайт по HTTPS не открывается, нужно скачать отечественный браузер с гостом и своим центром сертификации, и зайти через него. На браузеры с открытым кодом появятся патчи для поддержки российской криптографии.
struvv
в Казахстане пробовали год или два это добро сделать, но из-за pinned certs в мобильниках так не удалось внедрить это
romancelover
Там другая задача была — они хотели использовать свой ЦС для того, чтобы обойти защиту, а не для того, чтобы выдавать сертификаты в случае, если иностранные ЦС это не хотят делать. При использовании pinned certs ЦС определяется разработчиком приложения и может быть какой-то свой, при этом проблем в случае суверенизации не возникает (в отличие от MITM).
vikarti
Эти патчи уже есть.
Chromium-GOST от КриптоПРО
www.cryptopro.ru/products/chromium-gost
github.com/deemru/chromium-gost
Разумеется в корневых сертификатах есть и (например) «Минкомсвязь России».
Используется сейчас в основном на сайтах где российская криптография нужна.
motienko Автор
Интересно сравнить цену и простоту получения ГОСТ сертификатов с ценой Let's Encrypt…
vikarti
Про простоту можно судить по тому факту что цену на https-сертификат вот так сразу на сайте — не узнать, в том виде в котором это для любых других https-сертификатов.
конторы кто вроде как могут выдать сертификат:
— cainet.ru/content/ssl (в требованиях — Обязательным условием выдачи SSL-сертификата является подтверждение владения доменом, которое выдаётся регистратором домена и действует в течение трёх дней. — бумагу чтоли хотят какую то а не стандартную для DV схему проверки? а с не-.ru как?)
c КриптоПРО — www.cryptopro.ru/products/csp/tls — смотрим порядок получения на tlsca.cryptopro.ru/tls-dist.htm — цены там же рядом. вроде бы 5к(или 5.7k?) рублей, наверно за серверный сертификат.
Похоже ситуация что кому то потребуется DV(как Let's Encrypt) а не OV(=дайте нам кучу бумажек что это ваш домен) — вообще не предусматривают.
Возможно я ошибаюсь но тогда мне правильный ответ вида — покупать там то, стоит столько то, процедура проверки такая то — тоже интересен.
Sap_ru
.
Busla
У них цели разные.
Вся суть Let's Encrypt в названии. И своей деятельность они в общем-то идею сертификатов дискредитировали.
Сертификат (не только в IT) — это когда третья сторона что-то о тебе подтверждает. Раньше для получения нужно было пройти некоторый квест и запалить (свои) персональные данные (данные банковской карты). Сейчас любой школьник на лестничной площадке выдергивает провод моего провайдера, втыкает в свой ноутбук, запускает на нём web-сервер, получает Let's Encrypt сертификат на мой сервер и становится MITM с валидным сертификатом.
sumanai
Эм, вы точно представляете, как работает Let's Encrypt?
ky0
Похоже, что представляет — но зачем-то приплетает сюда атаку, основанную на физическом доступе к оборудованию. Вопрос, зачем хостить сайт дома, где «любой школьник на лестничной площадке...» остаётся открытым.
sumanai
Далеко не везде можно перехватить трафик, даже имея доступ к кабелю.
Busla
Не к оборудованию, а к коммуникациям.
Все эти идеи про сертификаты и шифрование как раз и происходят из опасения, что коммуникации контролирует третья сторона.
vikarti
Ничего они не дискредитировали.
Они подтверждают что сертификат выдан тому кто контролирует этот вебсервер и/или домен.
Ну так и раньше были DV-сертификаты где примерно тоже самое проверялось только без автоматизации на стороне получателя сертификата.
OV-сертификаты (где проверяется еще и владелец) — это другое.
(как и EV — где душу вытрясут из владельца и будет проверка по всяким реестрам и так далее, правда НЕ все равно возможны инциденты если сделать компанию с тем же названием).
От MITM есть например HSTS (в этом случае при заходе на вебсервер школьника — браузер тупо пошлет, если раньше был заход на этот сайт либо владелец сайта озаботился внесением адреса в HSTS preload. Правда недостаток — если владелец сам напортачил — нормального и быстрого способа это вырубить — нету ).
motienko Автор
разве что изначально HSTS выдавать с минимальным TTL…
Balling
Не поможет для http:// :) HSTS это только для https.
vikarti
Так речь про проблемы с Let's Encrypt для сервера на домашнем интернете + школьника с ноутом который MITM'ит и прочих атак такого уровня. https тут подразумевается.
motienko Автор
ну, кстати, хотя и заминусовали коллегу, он всё-таки реальный кейс описал
достаточно влезть в трафик и послать http 302 на запрос от серверов let's encrypt (список ip адресов которых вполне конечен и известен).
подобное уже давно и успешно делают наши доблестные провайдеры: тот же Ростелеком влезает в трафик без https и в js скрипты докидывает редирект на всякие штуки вроде r.analytic.press/?orig=url-настоящего-скрипта, в котором в обфусцированном коде лежит загрузка оригинального скрипта, показ рекламы и еще что-то.
коллеги говорят, что и большая тройка страдает подобным, но лично не сталкивался.
UPD. И, кстати, ничего не мешает модифицировать DNS запросы на трансграничных линках. Вопрос цены решения.
artemlight
И что дальше?
Закрытый ключ всё равно не покидает пределы локалхоста, а открытый доступен всем желающим сразу после его получения.
Максимум можно сломать продление LE, но для этого никаких митмов не нужно, достаточно просто заблекхолить их подсети.
motienko Автор
можно для своего ключа выписать валидный сертификат на любой домен, указывающий на контролируемые подсети.
motienko Автор
Кстати, а как на эту схему НСДИ ложится DNSSEC?
Sap_ru
Ненужон!
motienko Автор
Будет DNSSEC суверенный?
Sap_ru
У меня, кстати, иностранный регистратор на той неделе не смог включить DNSSEC на домене .RU. Потыркались, извинились, сказали, что сами не совсем понимают, но они у них не получается корректно подписать запись и временно отключили эту функцию для RU-доменов.
Введут DNSDEC только на православном GOST для зоны RU и наслаждайтесь. Муа-ха-ха.
sumanai
После перерезания внешних кабелей ничто не мешает выдавать IP локально, и можно будет сидеть на IPv4 до конца дней.
romancelover
Многим организациям придётся для работы оставить нормальный интернет (например, для поиска и закупки иностранных комплектующих и товаров), и пользоваться двумя подключениями с одинаковыми адресными пространствами неудобно. А внутренних IPv4 адресов для чебурнета на всю страну не хватит.
Хотя возможно запустить чебурнет на внутренних IPv6 адресах из диапазона fc00::/7 — их точно хватит.
sumanai
Никаких проблем, для выхода в обычный интернет будут использоваться отдельные устройства с приставленным к нему товарищем майором.
romancelover
Неудобно, держать придётся свою отдельную инфраструктуру для нормального интернета и чебурнета со своими адресами.
Самый удобный вариант (удобный в реализации, нам, пользователям, этот чебурнет нафиг не сдался) — внутри страны чебурнетовские адреса маршрутизируются так же, как и нормальные, но за границу пакеты с ними не выходят (даже если выходят, роутеры зарубежных провайдеров откажутся принимать маршруты и пакеты на них с внутренними адресами, но лучше всего зарезать их на всех трансграничных линках). Связь между нормальными адресами и чебурнетовскими сохраняется внутри страны. Нормальные адреса выделяются через RIPE, как сейчас, чебурнетовские — через наши госорганы. При этом наши ресурсы хостятся как обычно, на серверах с нормальными адресами, и сохраняется возможность связи с зарубежными пользователями через них, но под контролем наших товарищей, само собой. VPN и прокси с нормальными адресами внутри страны для выхода в нормальный интернет допускаются только для сотрудников компаний, кому это нужно, публичные сервисы такого типа запрещены. Какие-то сервисы, нужные только внутри страны, госуслуги какие-нибудь, хостятся на серверах с чебурнетовскими адресами (внутри страны они доступны всем, извне нет). Кому нужен нормальный инет, подключаются с нормальными адресами (корпоративные пользователи), большинство частных пользователей сидит с чебурнетовскими, и заграничные ресурсы для них напрямую недоступны. Программное обеспечение обновляется с российских зеркал, доступных и с чебурнетовских адресов. Даже сервисы гугла и эпла могут подключаться через какие-то обратные прокси в России, и оставаться доступными с чебурнетовских адресов, как и нужные для работы технические ресурсы, но не ютуб и фейсбук. Хотя при соблюдении всех роскомнадзорных требований даже им могут дать доступ к чебурнетовским адресам, и забрать его при нежелании продолжать сотрудничество.
Чебурнетовские адреса доступны только по IPv6 (может быть и возможно для особых случаев задействовать часть IPv4 адресов от какого-нибудь американского минобороны для создания чебурнетовских IPv4 адресов, но их мало, всем не хватит, большинство пользователей сидит по IPv6). IPv6 адрес однозначно определяет пользователя — удобно для идентификации. Поддержка IPv6 для ресурсов внутри страны обязательна, для каких-то старых устройств без поддержки IPv6 можно использовать прокси-сервер на стороне клиента.
Balling
Не имеет права. Эти ресурсы принадлежат RIR. ООН будет против.
romancelover
Внутренние IP вроде fc00:: объявлены как private, для использования внутри какой-то одной организации, не глобально. Можно представить, что вся страна это одна такая большая организация, для которой её администрация определяет правила использования этих private адресов. Локальных IPv6 адресов на всю страну хватит (IPv4 уже не хватит).
Balling
ULA не для этого как бы.
sumanai
Думаю стране-локалке будет чхать на мнение RIR. Как и самому RIR, пока она не будет мешать работе интернета.
Balling
RIPE это только 1 из 5 RIR.
>IP-адреса выдаются пока очень несуверенным образом
RIRы и NRO владеют Интернетом.
>получить достаточно большой блок
И что? RIR могут отозвать автономную систему и все префиксы, уничтожив моментально оператора. www.lacnic.net/1020/2/lacnic/revocation-of-internet-resources-allocation
>вдруг RIPE им откажет из-за санкций.
Не имеет права. Они подчиняются ООН.
NeoCode
Подскажите кто знает, а какие-то проблемы для Tor'а этот суверенный dns может создать?
Balling
.onion нет в зоне "."
Так что нет. И есть кстати RFC, который говорит, что .onion это часть Интернета.
ky0
Мы не заметили, потому что когда-то давно настроили dnscrypt-proxy и забыли про все «осуверенивания» и прочие телодвижения кого бы то ни было.
dartraiden
DNSCrypt достаточно легко блокируется, при желании.
ky0
Это другой вопрос, тоже, впрочем, решаемый. Ну, и с чего бы кому-то начать блокировать вполне легитимные потоки данных?
Думаю, если дойдёт до такого — у нас в то время появятся гораздо более серьёзные проблемы вроде запрещения VPN и принудительной установки корневых сертификатов.
Vilgelm
Обход блокировок через VPN и так уже 4 года как запрещен. «Разрешенный» VPN должен подключаться к РКНовскому реестру запрещенки и блокировать все оттуда.
Исключение — корпоративные VPN.
edo1h
разве можно верить журналистам? запрещено оказывать услуги vpn, на пользователей же никаких ограничений не накладывают.
более того, явно указано:
так что для себя/семьи можно вполне легально организовывать vpn, обходящий ограничения; пользоваться чужим тоже можно, но при этом он (не вы!!!) будет нарушать законы РФ.
Vilgelm
Меня вот эта часть смущает:
Это явно писалось под компании, как физлицо будет обосновывать свою деятельность в которой нужен VPN?
motienko Автор
как «самозанятый»?
edo1h
Никак. Частных лиц в законе нет, а всё, что не запрещено — разрешено.
Если перевести тест закона на русский, то он про операторов сервисов vpn, им нужно или осуществлять фильтрацию, или не работать с клиентами из рф (но если они не резиденты, то им в общем-то плевать на это требование, максимум, что им за это будет — их самих внесут в список заблокированных ресурсов).
Требования «не пользоваться vpn» и «не организовывать vpn для себя» в законе нет.
Balling
DOT в Android 9.
romancelover
Суверенизация работает в двух направлениях:
1) независимость от иностранной инфраструктуры и возможности блокировок извне — это хорошо, так как способствует развитию IT-отрасли в стране;
2) возможность изоляции от мировой сети, возможность блокировок изнутри — это плохо, так как нарушает свободу обмена информацией и помогает правительству вести пропаганду и ограничивать свободу граждан.
Есть ли какие-то способы суверенизации, решающие только первую, хорошую задачу и не помогающие в решении второй, плохой?
adictive_max
Самый лучший вариант для 1-го направления — «взаимный обмен заложниками», когда пытаясь заблокировать кого-то на стороне, сделаешь больно и себе. Но именно поэтому он и не особо распространён, никому не интересно, чтобы всем было хорошо, всем нужно «чтоб меня заблокировать было нельзя, а мне заблокировать кого-то другого можно».
ToSHiC
Ну если на чистоту, то больше всего для суверинизации интернета сделали мы сами. Мы сами генерируем огромное количество контента на русском (вот хотя бы тот же хабр), сервисы на русском и для россиян, у нас есть аж целых 2 больших соцсети, поисковик, куча онлайн кинотеатров, и даже парочка убогих видеохостингов. У нас реально существуют локальные российские сервисы, которые позволяют полноценно (ну, с учётом отсутствия доступа вовне) пользоваться интернетом, если все кабели рубанут по периметру страны. Не будь их — вообще не имело бы никакого смысла даже думать про "защиту от блокировок".
Китай давно уже идёт по пути развития локального интернета — так у них и всякие функции оплаты давным давно сделаны в QQ, и вообще через мессенджер можно сделать практически всё.
brlumen
Если кабель рубанут, то ничего не произойдёт. Корни в стране имеются. Здесь вопрос именно в том, что если намеренно уничтожат или заменять информацию о ns серверах зоны ru и подобных.
ToSHiC
.ru и.рф откатят ручками, собственно ради чего и весь сыр-бор, описанный в статье.
brlumen
Вот здесь и кроется проблема. Невозможно откатить только ru и рф без переподписания dnssec всего корня. Если сделать такие изменения, то однозначно придётся отказаться от dnssec. Ну либо уже сейчас нужно обязывать внедрять в рекурсеры якоря доверия нового ключа dnssec. И опять же, эта мера поможет только для подконтрольных нам доменах 1го уровня, остальные, по dnssec работать не будут.
sumanai
Думаю никто не заметит.
motienko Автор
просто будет суверенный DNSSEC с ГОСТ подписями?
brlumen
Боюсь, что придётся его вообще отключить. Осилить всю цепочку от конечного домена до внедрения якоря в уст-ва/рекурсеры нереально.
Balling
Корни это всего-то "." и 1584 TLD авторитативные DNS сервера. Не густо.
brlumen
TLD это не корни. Все TLD, возможно кроме ru и рф, никак не защищаются НСДИ.
Balling
TLD и домен "." это корни. Корневая зона.
brlumen
Т.е. по вашему ru это корень?
Balling
Да, это корневая зона, сами смотрите. Корень это точка. Как yandex.ru., вот эта точка в конце.
www.internic.net/domain/root.zone
brlumen
«Корень это точка» — вот теперь вы правы.
Продолжу за вас: «ru это TLD»
DaemonGloom
Продолжу дальше: и этот TLD указан на корневом сервере.
Так что оригинальная фраза верна, корневой сервер будет содержать именно такой набор записей. Копировать куда-то только запись о "." бессмысленно, нужен весь набор.
Balling
На самом деле можно. Просто они не стали.
значит, что это авторитетный сервер, он мог быть и другим.Также обязательно указать ip этого NS (A и AAAA).
brlumen
И как же ваш рекурсивный сервер догадается о её существовании?
Balling
О чьем существовании?
brlumen
о существовании «a.root-servers.net. 518400 IN A 198.41.0.4»
Balling
Из SOA.
brlumen
Прошу прощения, не могли бы Вы описать примерный порядок взаимодействий «клиент->рекурсер->сервера корней» для вашего случая?
brlumen
Кажется я Вас понял)
Вы имели ввиду, что в корневой зоне содержится информация о NS-серверах "." и о NS-серверах отвечающих за зоны TLD.
Я же говорил про то, что сами зоны TLD не обслуживаются корнями.
brlumen
2й пункт соответствующего RFC www.ietf.org/rfc/rfc1591.txt
motienko Автор
https сдохнет (ну или будет аццки тупить)
всякие CDN сдохнут
это навскидку то, что на поверхности
а еще дохрена сайтов все еще на европейском оборудовании, так как даже с учетом нынешнего курса ойро, в европе минимум в 1.5-2 раза дешевле
Balling
Хабр на Кипре как бы.
ToSHiC
А Яндекс голландский, да? Я смотрю, тут прям изобилие статей на греческом и турецком :)
Специально проверил, из дома пинг до хабра (да, я знаю, что там куратор) 5мс, с одного из серверов 15. Но я проверил специально rtt у tcp-соединения, и там rtt всё те же 15мс. Если у кого-то есть под рукой линукс, можете тоже проверить:
в одной консольке запустить curl https://habr.com/ru/ --limit-rate 5k
в соседней консольке ss -tie
То есть физически и сервера куратора, и сервера хабра скорее всего в Москве. Но даже если бы они и не были в Москве, основная масса читателей (да и авторов) живёт на территории России, и если вдруг железный занавес упадёт, то, как минимум с русскоязычной частью контента, хабру было бы полезнее оказаться внутри.
Balling
Имелось в виду, что Хабр Кипрский офшор. Habr Blockchain Publishing Ltd.
romancelover
Возможный вариант — развитие децентрализованных сервисов.
Они помогают решить первую задачу (т.к. не зависят от одной иностранной компании), но не помогают решить вторую (заблокировать сложнее за счёт отсутствия единого центра).
brlumen
К сожалению, не всё так радужно с децентрализацией. В большинстве случаев такие системы для первичной инициализации всё равно используют DNS, а если и не используют, то набор вшитых в софт первичных ip ограничен и вычисляем.
Balling
>независимость от иностранной инфраструктуры и возможности блокировок извне
Это незаконно. Интернет собственность RIRов.
litos
DNS провайдера отвечает на несуществующие адреса своей страничкой
Настроил DNS over TLS в роутере Keenetic на 8.8.8.8 и 1.1.1.1, пока борьба за нормальную работу выполнена
Javian
У меня DNS over HTTPS на 1.1.1.1 вчера отваливался…
Balling
Там не только 1.1.1.1. Есть и другие адреса от APNIC/mozilla.
SVK80
Ничего удивительного. Всем провайдерам и владельцам AS письма с требованиями подключения к НСДИ от РКН уже прилетели. В 126-ФЗ «О связи» это уже давно есть.
Ctm5
Сейчас зашел на www.dnsleaktest.com
В настройках сетевухи прописан днс от Cloudflare, раньше при тестировании на этом сайте у меня показывалось много флагов Германии, США, Франции и других стран, то теперь стабильно один флаг Федерации Российской:
motienko Автор
Как-то мне попадался сервис: резолвиш через своего dns провайдера «одноразовое» доменное имя, а в ответе возвращается IP-адрес, с которого пришел запрос. В принципе, можно даже что-то подобное самостоятельно сделать.
UPD.В вашем случае скорее всего cloudflare в Москве, у них же есть узел.
DaemonGloom
Такое умеет Opendns, например.
"nslookup myip.opendns.com 208.67.222.222" вернёт в качестве ответа ваш же адрес.
motienko Автор
Вот:
dig a whoami.ultradns.net
dig txt o-o.myaddr.l.google.com
dig a whoami.akamai.net
dartraiden
Ростелеком заблокировал (возможно, не во всех регионах) доступ к 1.1.1.1
В Telegram гуляет вот такая паста
Balling
Кто-то реально пользуется именно 1.1.1.1? Реально? Есть же другие адреса. 147.x.x например. Или другие в https сертификате.
muromdx
А мне вот так отписались:
Видимо надо на них напирать, чтобы сознались
Balling
Дак используйте 1.0.0.1
И вообще-то сервера Cloudflare в Москве. Там 4 мс dig. Смотрите АС на bgp.he.net (вбиваете ip адрес), и dnsleaks же пишет Cloudflare.
dartraiden
Добавлю:
— упомянутая инструкция по подключению к ГосDNS
— ГРЧЦ потратит 200 миллионов бюджетных денег на услугу доступа к сервису резервных корневых серверов DNS и сервису кэширующих DNS-резолверов. Напомню: депутаты Клишас, Бокова и Луговой лгали, что «принятие и реализация закона не потребует расходов из федерального бюджета»
— когда ГосDNS ожидаемо упадёт под нагрузкой, мы услышим про кибератаки и происки хакеров
motienko Автор
А там не только DNS, оказывается!
Вот, например «Организация пилотных подключений операторов связи к системе мониторинга»
nickD
Строится сувереный интернет в понимании чиновников. Не важен результат важно отчитаться о проделанной работе и попилить бюджет. Поэтому глубокого смысла в этом искать не надо.
Вообще трудно понять или там не компетентные консультанты или не в состоянии понять что им говорят. Например создание аналога ripe они полностью не ослили какая то жалкая пародия получилась.
Vilgelm
Это если цель сделать аналог RIPE. А если цель сделать аналог Кванмён, то того что сейчас делается должно хватить.
romancelover
Что-то у этого суверенного DNS с маршрутизацией напутано. Вроде бы он должен быть в Москве? или где-то на востоке страны, раз маршрут к нему идёт через Сибирь? Я обращаюсь к нему из Москвы.
$ traceroute6 b.res-nsdi.ru
traceroute to b.res-nsdi.ru (2a0c:a9c7:9::1), 30 hops max, 80 byte packets
…
…
3 2a02:28:1:2::42:2 (2a02:28:1:2::42:2) 7.519 ms 8.373 ms 8.264 ms
4 5 che-cr02-ae1.63.sam.mts-internet.net (2a02:28:1::143:2) 33.129 ms 29.659 ms 29.655 ms
6 psshag-cr01-ae10.63.chel.mts-internet.net (2a02:28:1::143:202) 39.639 ms 34.984 ms 36.411 ms
7 bhm-cr01-ae12.74.nsk.mts-internet.net (2a02:28:1::12e:2) 53.204 ms 53.245 ms 54.514 ms
8
9 stn-cr03-be3.54.nsk.mts-internet.net (2a02:28:1::178:2) 128.931 ms 52.507 ms 125.551 ms
10 2a02:28:1:2::6c:e (2a02:28:1:2::6c:e) 92.421 ms 94.459 ms 92.989 ms
11 12 Moscow-GIN-PE03-ae0-0.v6.orange-ftgroup.ru (2a00:1ec8:77:ff:195:151:234:225) 93.312 ms 92.637 ms 93.549 ms
13
14 2a00:1ec8:61:1::4 (2a00:1ec8:61:1::4) 118.637 ms 117.560 ms 117.676 ms
15 2a00:1ec8:61:1::4 (2a00:1ec8:61:1::4) 118.625 ms !X 118.394 ms !X 118.551 ms !X
motienko Автор
а если по IPv4, лучше маршруты?
romancelover
да, через IPv4 нормально
motienko Автор
где-то не докрутили по всей видимости… а так как ipv6 не сильно популярен, то фидбек от пользователей не пришел.
romancelover
Это где-то в МТС скорее всего напутано.
Интересно, вчера вечером у того же МТС (и мобильного, и проводного) не работали сервисы гугла по IPv4 (по IPv6 работали). ping писал TTL exceeded, как будто пакеты закольцовывались внутри сети МТС.
Это тоже тесты суверенного интернета были или кто-то из админов накосячил в МТС? они где-то писали, что это не от них зависело, но как-то не верится.
q2digger
угу. и МГТС с ними. у меня за прошедшую неделю два пользователя (оба Москва, МГТС, разные районы города) жаловались на одинаковые проблемы с DNS. У обоих не резолвились (ipv4) адреса майкрософтовских серверов, настройка ipv6 — решала проблему…
ModestONE
У меня один из провайдеров РТ, последние недели полторы юзал его как основной канал. Основные днс единицы, уже почитай года 3-4. Проблем не имел в эти полторы недели. Могу скринов скинуть. После прочтения статьи сделал пинг, трасерт на единицы, все норм. Нет ни потерь ни задержек. Хз, может в каких-то регионах такая фигня или учения там какие-то. На тунеле тоже все норм, нет ни дропа ни шейпа. Если кому интересно, то могу скринов скинуть или тесты какие-либо сделать. Предлагайте.
Darkhon
Провайдер «Зелёная точка» — адрес 1.1.1.1 недоступен, однако Cloudflare WARP работает стабильно.
Balling
1.0.0.1
907
Получается, что день рождения начала чебурнета мы уже пропустили. И его день рождения неизвестен… ))
Ну а если серьезно, то мне кажется что жажда распилить бюджеты на создание чебурнета окажется очень сильной… И бюджеты будут успешно попилены. И это хорошо…
В итоге силы добра победят силу зла...
domix32
Ну, как не заметили — немало знакомых жаловались что их интернету пару недель как нездоровится, а кто-то даже терял трафик в районе MSK-IX.
rtkprg2
У меня в файрфоксе последние пару недель бывает (иногда!) так:
щелкаешь на ссылке из яндекс-поиска, ссылка (она ведет на сервера яндекса и уже перенаправлением на целевой сайт) не открывается.
Пробуешь еще раз — иногда открывается, иногда нет.
Копируешь адрес целевого сайта в адресную строку — открывается.
Ощущение, что часть яндекса не работает :)
Не знаю, связано ли это как-то описываемой проблемой…
Balling
Это везде так, если сервер после редиректа не работает, то редирект не резолвится. У меня эти тупые редиректы от google убраны с помощью расширения.
ModestONE
Что за расширение? Поделитесь ссылочкой, спасибо!
ky0
Не уверен, что у предыдущего оратора именно оно, но вот, чем пользуюсь я: addons.mozilla.org/en-US/firefox/addon/google-search-link-fix
Runis
Либо мне кажется, либо привычный нам Всенародный Клирнет перестаёт быть свободным и всенародным (прим. Китай)? Может проще переходить в такие места как Тор, I2P, FreeNet, EmerDNS (этот хороший вариант), IPFS и тд, чем пытаться удержать целостность Клирнета?
sumanai
Их проблема в том, что они работают поверх интернета.
askv
Возродим FIDO )))
Runis
А почему это проблема?
sumanai
Очевидная проблема в том, что они все разом перестанут работать при переводе этого самого интернета в режим местной локалочки.