Спешим к сообществу с радостной новостью - заблокированный WireGuard можно реанимировать с помощью нашего клиента AmneziaVPN!
Многие из вас слышали, что в России и в некоторых других странах блокируются VPN, работающие на протоколе WireGuard. Теперь есть решение, чтобы он снова заработал!
Не так давно мы выпустили свой собственный протокол AmneziaWG на базе WireGuard, и сделали для него нативный одноименный клиент AmneziaWG. Очень скоро мы обнаружили, что можно скрывать от DPI и стандартный трафик WireGuard, если в конфиг c протоколом вручную добавить специальные параметры, об этом можно почитать в недавнем материале.
Благодаря вашим фидбекам, теперь мы точно знаем, что это работает, поэтому добавили автоматическую обфускацию WireGuard в клиент AmneziaVPN. Если поставить галочку сразу после добавления конфига в приложение, Amnezia автоматически подставит нужные значения, чтобы изменить параметры WireGuard и сделать из него AmneziaWG. Это позволит вам не редактировать конфиг вручную. Amnezia сама сделает его обфусцированным.
То есть если ваш купленный или самонастроенный VPN на WireGuard совсем потерял признаки жизни, то он снова заработает через AmneziaVPN!
Мы не можем дать гарантию, что это решение будет работать всегда и везде, так как мы тестировали его в основном на территории России в условиях блокировок с помощью российских DPI, но нам очень интересен опыт в других странах, поэтому делитесь!
Для того, чтобы скачать последнюю версию, вам нужно перейти на сайт или на GitHub и установить приложение для вашей платформы.
Android - Google Play
iOS - App Store
Мы как обычно ждём от вас отзывы о работе наших инструментов в комментах или на почту: support@amnezia.org
Комментарии (61)
LakeOfTears
08.05.2024 13:18+1Странно, у меня вся контора на туннелях wireguard и о блокировке ничего не слышал. Год назад конечно позаботился о альтернативе, но пока работает как работало. Но альтернативы, особенно опенсорсные всячески одобряю.
pokamest_nikak Автор
08.05.2024 13:18+13На мобильных операторах в основном блочат
Gorthauer87
08.05.2024 13:18Там такое ощущение, что просто режут скорость почти до нуля для всякой непонятной фигни, которая постоянно на один и тот же айпи ходит. И то через раз
DachnikGarik
08.05.2024 13:18+3Полосатый оператор давно и упорно блочит протокол. У меня wireguard используется по прямому назначению - объединяет локальные сети квартиры и дома родителей. На локальных проводных операторах (разные провайдеры на сервере и клиенте) все работает. Полосатые блочат. Два раза пару лет назад с ними ругался в чате, после чего блокировка пропадала. Теперь идут в несознанку: "у нас все работает, проверяйте телефон".
Lirix_vladimir
08.05.2024 13:18+1Я бы просто отказался от их услуг в пользу других
ReadOnlySadUser
08.05.2024 13:18МТС и Тинькофф тоже блочат.
MountainGoat
08.05.2024 13:18Я бы просто отказался от их услуг в пользу других
mumamum
08.05.2024 13:18+3Это будет временный отказ.
У остальных операторов просто руки не дошли.
Пока что.
timursergeevich
08.05.2024 13:18+1В разных регионах по разному видимо. У меня МТС работает.
teuchezh
08.05.2024 13:18+1МТС душили WG с августа прошлого года, ближе к декабрю стало совсем плохо, раньше через день-два отпускало (на проводных операторах никаких проблем не было, можно по WiFi установить соединение и продолжить по мобильному), пришлось переехать на VLESS+REALITY
adrozhzhov
08.05.2024 13:18+1Не везде, но зато все сразу. В нижегородской области режут (обкатывают?) на всех 4х операторах, в Московской вроде пока работает
Shaman_RSHU
08.05.2024 13:18+3У нас "они" резали DTLS и полностью WireGuard.
Просто написали письмо на info@cert.gov.ru, что с таких то IP используем для работы (если что мы не госы). Перезвонили, уточнили, что всё так и есть и часа через 4 никаких проблем.
selivanov_pavel
08.05.2024 13:18+19Как показали события в Дагестане, могут начать просто резать или дико замедлять всё, что DPI не определил как легитимный трафик. Опыт китайцев говорит о том же.
Так что любые решения, кроме хорошей маскировки под HTTPS, включая фингерпринт, как у популярных браузеров, в любой момент могут перестать работать.
Из известных мне софтин это умеют Cloak и xray/sing-box.
grishkaa
08.05.2024 13:18А пробовал ли кто-нибудь просто засунуть весь трафик в обычный вебсокет? Выглядит как очевидное решение, которое со стороны провайдеров будет обнаружимо только "аналоговыми" способами вроде сбора статистики по количеству и размерам пакетов, которые обязательно заденут что-нибудь ещё.
selivanov_pavel
08.05.2024 13:18+1x-ray умеет работать через веб-сокеты, возможно и sing-box умеет.
Всё равно для недетектируемого трафика через сокеты надо сначала установить HTTPS соединение, имитируя фингерпринт популярного браузера.
JediPhilosopher
08.05.2024 13:18+1Такие хитрые штуки детектируются установлением собственного соединения (от провайдера на подозрительный адрес) и проверкой того, что он там возвращает.
Если в ответ на запрос вместо ожидаемого (например HTTP ответа от сайта) приходит рукопожатие какого-нибудь VPN протокола - то ресурс блокируется.
Защищаться от такого уже намного сложнее, это надо чтобы запущенный там VPN сервер при неправильном запросе выдавал себя за веб-сервер и отдавал что-то безобидное и достаточно легитимно выглядящее, а при правильном наборе параметров - подключал VPN. Мало какой софт умеет так делать.
grishkaa
08.05.2024 13:18+1Если в ответ на запрос вместо ожидаемого (например HTTP ответа от сайта) приходит рукопожатие какого-нибудь VPN протокола - то ресурс блокируется.
Да вроде нет проблем от такого защититься? VPN-сервер ставим за тот же nginx, по секретному урлу, по которому клиент будет запрашивать вебсокет, а так там просто ну сайт и всё. Или редирект на песню "Never gonna give you up", по вкусу. А секретный урл провайдер не узнает, потому что HTTPS. MTProto-прокси для телеграма работали на похожем принципе, только там вместо секретного урла были какие-то секретные байты в каком-то поле в ClientHello, в котором должны быть случайные данные, что ли.
Но нынешнее российское DPI-оборудование такого не умеет. Судя по тому, что вещи вроде GoodbyeDPI до сих пор неплохо работают, DPI до сих пор оперирует отдельными IP-пакетами, (почти?) никакого состояния между ними не хранит и на спецификацию того же TCP забивает чуть менее, чем полностью.
JediPhilosopher
08.05.2024 13:18+2Китайское такое точно умеет, значит и российское в скором времени наверняка научится. Не сейчас так через год.
Да вроде нет проблем от такого защититься? VPN-сервер ставим за тот же nginx, по секретному урлу, по которому клиент будет запрашивать вебсокет, а так там просто ну сайт и всё. Или редирект на песню "Never gonna give you up", по вкусу. А секретный урл провайдер не узнает, потому что HTTPS.
Ну как минимум это уже заметно сложнее чем просто поставить какой-нибудь популярный VPN-сервер. В общем-то задача всех этих блокировок - не порезать вообще все (всегда найдется хитрец который все обойдет), а порезать достаточно много для большинства.
UranusExplorer
08.05.2024 13:18+1Ну как минимум это уже заметно сложнее чем просто поставить какой-нибудь популярный VPN-сервер.
Wireguard, IPSec и OpenVPN давно уже детектируются, а если ставить что-то более надёжное типа SSTP или OpenConnect, то в сравнении с ними XTLS-Reality ставится и настраивается даже проще - не надо доменов, не надо TLS-сертификатов, и есть куча веб-панелей и скриптов где все легко делается пошагово.
Vindicar
08.05.2024 13:18+2Ну вы изобрели Reality, если я правильно понимаю.
Anyuta1166
08.05.2024 13:18Последние две недели РКН усиляет блокировки. На профильном форуме о блокировках недавно было сообщение о блокировке Reality (вместе с блокировкой Shadowsocks, Shadowsocks-2022 и VMESS) на мобильных операторах. Не знаю, насколько оно соответствует действительности. Говорят, что по размерам и последовательности пакетов детектируют установление HTTPS-соединения внутри туннеля.
UranusExplorer
08.05.2024 13:18Reality (вместе с блокировкой Shadowsocks, Shadowsocks-2022 и VMESS
SS и VMESS уже давно блокируются с использованием белых списков протоколов, правильно настроенный Reality же пока что РКН блокировать не умеет вообще и научится ещё не скоро (пока что с этим иранцы только преуспели, да и у них эффективность довольно низкая, а collateral damage огромный)
UranusExplorer
08.05.2024 13:18+2Да вроде нет проблем от такого защититься?
Этого недостаточно, как уже выше сказали. В некоторых странах цензоры начали банить подключения "к веб-сайтам" от клиентов, у которых TLS fingerprint отличался от популярных браузеров. Граждане, в свою очередь, в ответ придумали uTLS. А в Иране, помнится, забанили даже fingerprint каких-то определенных версий Chrome, под который маскировались прокси-клиенты.
UranusExplorer
08.05.2024 13:18+1только там вместо секретного урла были какие-то секретные байты в каком-то поле в ClientHello, в котором должны быть случайные данные, что ли.
Так работают Cloak и XTLS-Reality.
ogost
08.05.2024 13:18port knocking, не?
nidalee
08.05.2024 13:18+2Блокируется все, что непонятно. Почему гигабайты ходят на HTTP(S) сайт - еще понятно. И если проверяющий сервер подключается и видит там сайт - "все в порядке". А вот если он подключается и видит там ничего - это уже вопросы, а вопросы автоматика не задает обычно.
Ваша задача - не заблокировать этот проверяющий сервер, а дать ему поверить, что вы ничего странного не делаете.
ogost
08.05.2024 13:18Ну например если клиент после хэндшейка на HTTPS отдаёт определённую секретную последовательсность байтов - то он свой и пускаем в секретный впн поверх tls. Если нет, то отдаём ему подложный сайт. Чем не разновидность port knock? Только стучим в не несколько портов в определённом порядке, а один порт секретной последовательностью. Снаружи не отличить от обычного https трафика. Секретная последовательность может генерироваться на основе общего ключа с привязкой по времени, по типу ТОРТ. Интенсивность трафика можно замаскировать под деятельность обычного пользователя на сайте.
UPD кажется я где-то уже читал о подобном методе маскировки ВПН под HTTPS трафик, не помню где.
nidalee
08.05.2024 13:18Зачем такие сложности? "Нужный" клиент просто ходит по секретной /ссылке на домене, https же. Все, кто идут на сайт напрямую, видят ничем не примечательный сайт.
UranusExplorer
08.05.2024 13:18Уже давно попробовали, такая штука есть во многих средствах обхода цензуры.
Более того, таким образом можно проксировать трафик даже через популярные CDN, в том числе с domain fronting'ом.
seniorjoker
08.05.2024 13:18+1Я читал, что РКН пытается блокировать личные VPN пользователей путём статистического анализа. Т.е. что если комп обычного пользователя целый день обращается только к финскому серверу, то это очевидный VPN. Так что не лучше ли маскировать VPN-трафик не под HTTPS, а под торрент? Там долгие соединения с узлами - это норма. Типа качаешь что-то большое
nidalee
08.05.2024 13:18Типа качаешь что-то большое
Месяц? Год? :)
Т.е. что если комп обычного пользователя целый день обращается только к финскому серверу, то это очевидный VPN.
Решение на поверхности - обращаться не с компа обычного пользователя. У меня все подключения до прокси на регру, а дальше что нужно проксируется уже в страну ЕС. Это, правда, не VPN. Но с VPN тоже такое можно провернуть, ЕМНИП.
seniorjoker
08.05.2024 13:18Месяц? Год? :)
Можно обфусцировать так, будто разные штуки постоянно качаешь
loskiq
08.05.2024 13:18как по мне, самое шикарное решение - vmess over websocket over nginx. это даст возможность повесить на виртуалку простенький веб-сайт на nginx и заодно пробрасывать весь трафик по websocket на vmess, а оттуда в инет. клиент под ПК v2ray-core, под Android v2rayNG, под iOS FoXray. во время блокировок в Дагестане это решение работало (живу тут)
adrozhzhov
08.05.2024 13:18Спасибо. Кнопки "сделать работающим" при импорте wg-профиля по QR коду нет. И не сразу понятно, что за S-поля соответствуют именам полей в форме настроек. Но главное заработало.
dimitrii_z
08.05.2024 13:18Проверил. Обычный wg клиент на инете от РТ работает, на мобильном инете (мтс) нет.
Клиент amnezia работает на любом инете, прикольно, спасибо!
dimitrii_z
08.05.2024 13:18UPD: один раз вечером сработало, сегодня уже не работает на МТС.. Видимо таки не прокатило
RavilAsf
08.05.2024 13:18Попробовал реанимировать свой wireguard - не работает ни добавление в конфиг,ни через AmniziaVPN
Ну и вес 250 мб при оригинальном wg == 10 мб это конечно тоже сильно)
pokamest_nikak Автор
08.05.2024 13:18конфиг не добавился? или не удалось подключиться? это точно последняя версия клиента, там при импорте конфига была галочка включить обфускацию?
N-Storm
08.05.2024 13:18У меня тоже не заработал. Точнее работает, но галочки при импорте конфига никак не повлияла - Билайн как блокировал, так и блокирует. Нулевой входящий трафик в статистике. Версия 4.5.3.0 с плэя. Импортировал конфиг WG своего сервера. Через домашний инет от того же Билайна - сабж подключается, как подключается и стандартный клиент. А по мобильной сети - оба не работают.
Впрочем т.к. сервер на моем VPS и мне VPN нужен, чтобы до него ходить - я уже давно для себя сделал модификацию wireguard-go и android клиента официального, немного поменял протокол с обоих сторон и всё работает и через мобильный билайн. Скорость только по UDP жестко режется на уровне 0.5 Мбит/с. Но т.к. мне нужно цепляться к моей VPS для "удаленно что-то сделать" изредка, то меня это устраивает. Тут было интересно есть ли рабочее решение для варианта с ванильным сервером - но увы, Билайн ваша обфускация никак не проходит.
Афаик они смотрят размер пакета и байт, где у WG тип пакета, ожидая код handshake'а. Хотя детально не тестировал, не надо было.
outlingo
08.05.2024 13:18Ну и вес 250 мб при оригинальном wg == 10 мб это конечно тоже сильно)
Ну так трекеры и телеметрии сами себя не соберут, понимать надо
DerRotBaron
08.05.2024 13:18Ну и вес 250 мб при оригинальном wg == 10 мб это конечно тоже сильно)
Вот что случается, если писать мобильные приложения на Qt)
pokamest_nikak Автор
08.05.2024 13:18Может расскаже как ui влияет на работу самого VPN протокола, который написан на go? ))
Bessome
08.05.2024 13:18Не то, чтобы я параноил, но зачем вам рут от моего сервера?
В Краснодарском крае на мобильных МТС, Билайн, Мегафон точно нет wireguard. Обернуть в Amnesia хорошее дело, особенно ради иконки приложения ))))
Пока не разобрался, но постараюсь, как просто перенести туннели wireguard в Amnezia, а за иконку однозначно лайк приложению!
Anyuta1166
08.05.2024 13:18+1Рут от сервера оно просит, чтобы установить на нём docker и развернуть с помощью docker-контейнеров VPN-сервер.
Мне это тоже не очень нравится. Как вариант "для домохозяек" - ок, но хотелось бы иметь также вариант ручной установки и настройки. Причем если сервер теоретически можно поднять, выдернув бинарники из контейнера или собрав из исходников на гитхабе, то что делать с клиентом, который не предполагает ручной настройки - совсем не понятно.
MountainGoat
08.05.2024 13:18Напишите, пожалуйста, инструкцию, как добавить сервер AmnesiaWG в docker-compose.yml. Ситуация простая: есть VPS, на нём уже через compose стоят NextCloud, Fossil, Arr-ы всякие. И сервис, добавленый вручную, немного мешает ковырять конфиги.
psemilanceata
08.05.2024 13:18Купить публичный вг, а потом публичный впн, гениально! Не пробовали поднять вг на недорогом впс сервере, получив по сути приватный вг? Удивитесь, но не понадобится никаких костылей. Просто не используйте общественные помойки.
Кстати, публичные адреса так же известны многим ресурсам и вы моментально попадете под подозрения, зайдя с таких диапазонов, по сути с надписью на лбу: "Я зачем-то пятаюсь скрыть свой реальный ip адрес".
Sap_ru
08.05.2024 13:18+1WG блокируется как протокол . Хоть на своём сервере, хоть на "помойке".
psemilanceata
08.05.2024 13:18Почему-то с моим адресом такого такого не было. Было такое, когда покупал американский конфиг, он частенько отваливался ни с того, ни с сего. В случае смартфона лечится банально любым бесплатным впн из гугл плея, например, норд впн. Включил, посмотрев в 30% случаев 5 секунд рекламы без звука и забыл до перезагрузки устройства.
UranusExplorer
08.05.2024 13:18Не пробовали поднять вг на недорогом впс сервере, получив по сути приватный вг?
Результат будет ровно тот же самый. WG банят не по адресам, а по сигнатурам. Если у вас пока ещё работает, то значит ещё руки до вас не дошли, а так - рубильник давно уже есть.
harbingertm
08.05.2024 13:18не работает. тестил на андроид. показывает подключено, а на деле пустышка)) при чем с рабочими конфигами
gazkom
08.05.2024 13:18При установке amnezia разворачивает на сервере контейнер. А как далее этот контейнер обновлять?
nikitasA1NT
08.05.2024 13:18На Тинькофф Мобайл тоже не работает. Галочку обфускации в приложении при добавлении конфига ставил.
Markscheider
Сначала
потом
P.S.
У меня такая же нога, но не болит © - как работало так и работает
IsNoGood
Как показывает практика зависит от оператора/провайдера.