Представляю вашему вниманию короткий обзор что же произошло в России и в мире в области цензуры интернета и того, как этому противостоят энтузиасты. На всякий случай напоминаю, что статья "Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному" заблокирована на Хабре для пользователей из РФ, но по-прежнему без проблем открывается через прокси/VPN с иностранных адресов. Ну а мы сейчас разберем, что же изменилось с тех пор.

Сегодня в программе: Замедление YouTube - проблемы с Google Cache или намеренное вредительство? Можно ли заблокировать Shadowsocks и как РКН смог это сделать? Новые транспорты в XRay: HTTPUpgrade и SplitTunnel. Новости из мира Tor, и многое другое.

В очередной раз про Youtube

Начнем с того, что случилось буквально вот вчера: ограничение скорости доступа к Youtube в России. Официальная позиция некоторых операторов связи звучит как "Раньше было много серверов Google Global Cache, они устаревают, поэтому все начинает тормозить". С одной стороны, звучит довольно правдоподобно, а с другой стороны - как-то довольно странно, что сразу у многих операторов в пятницу буквально за одну ночь резко взяли и устарели сервера GGC, которые еще за день до этого работали нормально.

Слышали про запланированное устаревание? Вот кое-кто его кажется и запланировал. На одном известном в узких кругах форуме люди проверяют разные гипотезы, и знаете что? В большинстве случаев "замедление" Youtube пропадает при использовании средств обхода ТСПУ типа GoodbyDPI и Zapret, осуществляющих фрагментирование поля SNI из хендшейка (которое содержит домен сервера назначения). То есть когда оборудование DPI Роскомнадзора не может определить, что пользователь подключается к домену *.googlevideo.com, то все работает нормально, а когда может, то начинаются дропы пакетов, что вызывает резкое понижение скорости передачи данных, при том что и в том и в том случае подключение выполняется к одним и тем же IP-адресам.

Вывод очевиден.

Блокировка Shadowsocks, VMess, Outline

В конце апреля - начале мая, Роскомнадзор начал развлекаться с блокировками полностью шифрованных протоколов - таких как VMess и Shadowsocks (и следовательно использующего его Outline). Они попадали под блокировку и раньше, когда РКН, пытаясь заблокировать Телеграм-прокси во время некоторых событий, резал все "неопознанные" протоколы, но, понятное дело, такой подход имел огромный побочный ущерб (грубо говоря, переставало работать все, что не могли опознать ТСПУ, например, у людей отвалились клиенты Radmin). Теперь же все стало гораздо тоньше.

Суть блокировки можно проиллюстрировать вот такой картинкой:

На картинке мы не видим, что находится внутри удава, но по его внешней форме мы можем догадаться, что это.

Примерно так же реализовал блокировки РКН. В протоколах VMess и Shadowsocks отсутствуют какие-либо характерные признаки, а передаваемые данные полностью зашированы. Но при этом внутри них бегает самый обычный HTTPS с TLS, поэтому размеры передаваемых пакетов и их последовательности при TLS-хендшейке напрямую влияют на размеры передаваемых пакетов и их последовательности для транспортного проктокола типа Shadowsocks. Например, как минимум один шаблон блокировки на цензурирующем оборудовании для всех неопознанных протоколов выглядит так:

  1. Клиент отсылает три пакета, каждый из которых содержит 411+ случайных байт

  2. Сервер отсылает произвольное количество любых байт чаще, чем клиент отправляет свои пакеты

    При выполнении этих условий подключение блокируется. Либо возможно блокируют по размеру пакетов, возможно, не по абсолютным цифрам, а по соотношению размера отправляемого к принимаемому.

Таблицу тестов на разных операторах можно найти здесь: Analysis of blocking in Russia. All entries in one table. (github.com)

Полностью восстановленный граф логики работы блокировок выглядит как-то так (версия в высоком разрешении):

Интересующихся отправляю в пост на том же форуме, где люди детально проанализировали поведение блокировок на разных провайдерах (Ростелеком, Эр-Телеком, Уфанет, МТС, Мегафон, Билайн), собрали дампы и выявили закономерности. Также существует тред на известной борде Net4People: Blocking of fully encrypted protocols (Shadowsocks, VMess) in Russia, targeting HTTPS traffic fingerprints · Issue #363 · net4people/bbs (github.com)

Удаление VPN-приложений из AppStore

В начале июля Apple по запросу от Роскомнадзора удалила из магазина AppStore несколько приложений сервисов VPN, которые используются для обхода блокировок. Известно о как минимум четырех - Proton VPN, Red Shield VPN, NordVPN и Le VPN. Как относиться к Apple после такого и стоит ли им доверять - каждый решает сам для себя.

HTTPUpgrade

Теперь о том, что же нового появилось в XRay и компании. Первая штука это транспорт "HTTPUpgrade". По сути дела, те же вебсокеты, но с небольшим упрощением. Websockets - это расширение протокола HTTP, когда клиент и веб-сервер с помощью специального заголовка "Upgrade" договариваются "давай мы теперь будем слать данные не как запрос-ответ, а просто как захочется", и подключение переключается в режим "трубы для данных". Кроме этого, при обмене данных через вебсокеты каждый посланный пакет данных заворачивается в так называемый "вебсокет-фрейм". Сделано это потому, что протокол TCP (поверх которого и работают HTTP/HTTPS) - потоковый, то есть он не разделяет границы передаваемых данных. Например, вы шлете в TCP-поток сообщение длиной 50 байт, а спустя некоторое время еще одно сообщение длиной 50 байт. Нет никаких гарантий, что на другом конце данные будут получены точно так же в виде двух сообщений по 50 байт. Возможно сразу придет 100 байт одним куском, а может вообще прийти сначала 20 байт, потом 30 байт, потом ещё 40 байт и потом еще оставшиеся 10 байт. Поэтому в вебсокетах и добавляются специальные заголовки фреймов, чтобы контролировать эти границы и разработчики софта могли не ломать голову обо всем этом, а просто посылать сообщения и получать их на другой стороне ровно так же, как их и отправили.

Авторы XRay сообразили, что для целей проксирования это все не нужно. В случае с проксированием TCP все это делается на уровне самих протоколов и приложений, трафик которых вы проксируете, а в случае с UDP - на уровне прокси-протокола. Поэтому они создали транспорт под названием HTTPUpgrade, который устанавливает соединение точно так же, как и обычные веб-сокеты (заголовком "Upgrade"), но шлет информацию без дополнительного оборачивания в вебсокетные фреймы. В итоге передача данных получается более эффективной (меньше оверхеда на заголовки), такой трафик сложнее детектировать, и он по-прежнему позволяет пролезать через веб-серверы и популярные CDN (которых совершенно не волнует наличие или отсутствие заголовков вебсокет-фреймов, они просто передают данные как есть).

В XRay HTTPUpgrade появился еще несколько месяцев назад, и его поддержка уже появилась во многих популярных клиентах.

SplitTunnel

Дальше интереснее. Что если мы хотим проксировать трафик через CDN или корпоративные шлюзы, но они не пропускают веб-сокеты? Например, поддерживают веб-сокеты Cloudflare, Amazon Cloudfront и Gcore, а вот Fastly просит за них отдельных денег, а MS Azure и CDN77 вообще не умеют работать с веб-сокетами. И это очень обидно, потому что именно такие "не умеющие" CDN до сих пор разрешают domain fronting (статья о нем тут, запрещена в России, но доступна через прокси/VPN). Помните про XTLS-Reality, который позволяет маскироваться под настоящий чужой домен с настоящим TLS-сертификатом? Вот domain fronting позволяет делать примерно то же самое, но через CDN.

Проблема в том, что если мы не используем веб-сокеты, то мы ограничены только обычными HTTP-запросами. И взаимодействие в этом случае может быть только вида "запрос-ответ", то есть не получив ответ, мы не можем послать следующий запрос. Долгое время единственным вариантом работать в таком режиме и позволяющим пролезать через подобные CDN был транспорт Meek от разработчиков Tor. Работает он до неприличного просто: устанавливаем соединение, и в бесконечном цикле посылаем GET/POST запросы и ждем ответы. Если нам есть что отправить на прокси-сервер, оно будет послано в запросе, если есть какие-то данные, которые сервер хочет послать нам, мы их получим в ответе. Работало это все довольно медленно, и создавало существенную нагрузку и на удаленный сервер, и на CDN, даже в те моменты, когда никаких данных не передавалось.

И вот тут разработчики XRay родили неплохую идею под названием SplitTunnel. Они разделили подключение к прокси на две части - одну для отправки данных, другую для приема данных, а внутри соединения использовали механизм по типу long polling. В итоге получилось круто - уже нет нужды каждую секунды гонять туда-сюда запросы и ответы, можно ограничиться только несколькими подключениями, а заодно трафик "туда" и трафик "обратно" идут разными путями, что существенно затрудняет его анализ и блокировку.

Одно но необходимо чтобы CDN и веб-сервер не буферизовали данные в запросах и уважали заголовок `X-Accel-Buffering: no`. Я тестировал, Gcore CDN работает с таким транспортом без проблем, CF и Amazon еще не проверял, кто пробовал - расскажите, как оно там. Из веб-серверов точно работает Nginx и Apache, а вот через Caddy происходит затык, возможно нужно что-то докрутить в конфиге.

Как и HTTPUpgrade, SplitTunnel - это только лишь транспорт для других протоколов. А в качестве прокси-протокола внутри SplitTunnel можно использовать известные всем VLESS или Trojan.

Поддержка SplitTunnel появилась в версии XRay 1.16, а буквально вчера вышла версия 1.17 с исправлениями и улучшениями. В клиентах пока еще новый транспорт не появился, как обычно нужно подождать месяц-два.

Tor и WebTunnel

Tor тоже не стоит на месте. Если вы следите за тем, что происходит, то наверное знаете, что большинство публичных нод Tor в России и подобных странах заблокированы, поскольку их адреса доступны в открытых списках. Для решения этой проблемы уже давно был придуман механизм "бриджей" (мостов), адреса которых выдаются точечно пользователям их запросившим. Долгое время стандартным транспортом для таких бриджей был obfs4, по принципу похожий на упомянутые выше Shadowsocks и VMess со всеми вытекающими недостатками (см. How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic | USENIX). Разработчики Tor, в соответствии с веяниями времени, ищут новые варианты транспортов, и недавно в экспериментальном режиме запилили новый транспорт для бриджей под названием WebTunnel. Да, это те же самые веб-сокеты, которые со стороны видны как обычный HTTPS :)

Пока что запросить адрес бриджа типа WebTunnel можно только через сайт: https://bridges.torproject.org/options. Бриджи этого типа поддерживаются уже во всех официальных клиентах. В мобильном Tor Browser отдельного пункта при выборе типа бриджа нету, но при вставке строки подключения с WebTunnel-бриджом он ее правильно подхватывает и подключается как надо.

Выглядит строка подключения примерно так:

webtunnel [2001:db8:f9e3:eb5a:eeee:3d:1da5:166e]:443 13EA8F4B49276D43ABCDED91C5B3976F599C url=https://someserver.com/ThJwaIl5uOzrpQnZPJBEKsA2 ver=0.0.1

Не пугайтесь, что в строке вы видите что-то похожее на IPv6-адрес, а у вас нет IPv6. Для WebTunnel точкой входа является доменное имя. А то что вы видите 2001:db8::/32 - это, скажем так, особенность архитектуры бриджей Tor, у которых всегда обязательно должен быть IP-адрес, а поскольку для webtunnel-бриджей IP-адрес явно предоставлять нет смысла, то они придумали такой костыль и генерируют виртуальные IP-адреса из "несуществующего" диапазона (этот диапазон зарезервирован в стандарте для документации и примеров).

Call for bridges!

И вот тут важно сказать одну вещь. WebTunnel-бриджей пока еще мало, но вы можете помочь сделать так, чтобы их стало много.

Если у вас есть свой VPS с каким-нибудь сайтом и доменом - установите на сервер Tor с режиме бриджа с WebTunnel-транспортом!
Ручная установка не проста, но вот с использованием Docker это можно сделать очень легко. Потребуется только отредактировать .env-файл, задав там свой домен и придумав какой-нибудь "секретный URL", запустить Docker-контейнер, и прописать в конфиг вашего веб-сервера (точно работает с Nginx и Caddy) правило (location) чтобы запросы на "секретный URL" передавались в Tor.

Ресурсов оно потребляет немного, вполне себе без проблем работает VPS с 512 мегабайтами ОЗУ, а на машинку с гигабайтом памяти можно водрузить даже сразу два Tor-бриджа (вы можете поднимать до двух бриджей на одном IP-адресе). Трафика оно генерирует тоже немного, в зависимости от того, скольким пользователям достался ваш бридж, первое время совсем мало, а когда ваш бридж попадет в раздачу - обычно не более десятка мегабит в секунду.

Что делать, если вы хотите помочь, у вас нет сайта и домена, но есть сервер? Поднимите Snowflake-бридж! Snowflake - еще один вариант pluggable transports для Tor, в нем используется WebRTC (примерно как видеозвонки в месседжерах). Установка такого бриджа его очень простая, буквально в два шага: можно использовать Docker, а можно скачать и собрать бинарник самому. Каждый час он пишет в логи статистику, сколько пользователей к вам было подключено за это время и сколько данных было передано. Snowflake-proxy написан на Go, не требует никаких зависимостей. Важно, чтобы на фаерволе были открыты UDP порты 30000-60000. Трафик будет также в среднем от 5 до 10 мегабит в секунду.

Что делать, если вы хотите помочь, но у вас нет ни сайта, ни домена, ни сервера, вы вообще далеки от всего этого, но живете в стране, где Tor не забанен, и хотите сделать доброе дело? Установите расширение для браузера Snowflake. Оно работает в Firefox, Chrome, Edge. Когда вы его активируете в браузере, ваш компьютер начнет работать как Snowflake-прокси. Разработчики Tor прекрасно понимают, что важно не создавать неудобств пользователям-волонтерам, поэтому число одновременно подключенных к вам клиентов будет ограничено двумя. Вам может показаться, что это очень мало, но на самом деле именно такие "домашние" snowflake-бриджи и имеют максимальную ценность - потому что во многих странах с сильной интернет-цензурой фильтруются подключения к IP-диапазонам крупных хостинг-провайдеров, а вы с вашим Residential IP можете оказаться той самой палочкой-выручалочкой.

И да, тут нужно рассказать про один миф, связанный с Tor. Когда люди слышат "поднимите у себя Tor-бридж", то сразу же начинают думать, что в этом случае с их адреса кто-то сможет выходить в интернет и сделать от их имени какие-то нехорошие вещи. Нет, нет и еще раз нет. Не нужно путать бриджи (bridges), и выходные ноды (exit nodes), с которыми действительно такое может произойти. Если вы поднимаете у себя bridge, то ваш адрес будет использоваться только для соединения клиентов из стран с интернет-цензурой с другими нодами Tor. Tor-цепочки обычно состоят из трех хостов, и когда у вас работает bridge, вы можете быть только первым узлом этой цепочки, но уж никак не последним. Абсолютно никакого риска это не несет, зато вы делаете доброе дело и помогаете людям во всем мире с борьбой с государственной интернет-цензурой.

AmneziaVPN

AmneziaVPN тоже не стоит на месте. За последние месяцы у них много нового. Добавили killswitch, добавили split tunneling для Windows и Android, а ещё они уже давно экспериментируют с XRay и недавно добавили поддержку XRay для iOS и Android.

Changelog можно найти здесь: Releases · amnezia-vpn/amnezia-client (github.com), ну и заглядывайте в их блог Amnezia VPN

Meanwhile in Telegram...

И в конце лирическое отступление. Некоторое время назад я набрел на Telegram-группы и telegram-ботов, продающих "подписки" (или "ключи", это то же самое) для прокси-серверов с VLESS, XTLS-Reality и т.д. Ради интереса я даже потратил немного денег и время, чтобы изучить, то это такое и как оно работает... И мама миа!

Бизнес-идея, посетившая явно не одного человека (подозреваю, что чаще всего это школьники старших класов или студенты) очень проста:

  1. Покупаем парочку самых дешевых VPS-виртуалок за 200-300 рублей в месяц

  2. Ставим туда XRay-сервер (нередко даже сразу панелью X-UI или Marzban)

  3. Прикручиваем к этому всему Telegram-бота для приема платежей и продажи "подписок"

  4. Продаем эти "подписки" каждую за 200-300-500 рублей десяткам или даже сотням пользователей

  5. ????

  6. PROFIT!

О качестве подобных "сервисов", вы уже, наверное, догадались. Из того, что обнаружил я практически у всех из них что я проверял:

1. Скорость и стабильность так себе, лагает;
2. Выходные IP-адреса часто отравленные (гугл требует капчу на каждый чих, Instagram просто периодически перестает пускать);
3. Никаких гарантий, сервис может сломаться и перестать работать в любой момент. Заплатили деньги за месяц вперед или даже больше? Кому должен - всем прощаю! Техподдержки тоже либо вообще никакой, либо "попробуйте выключить и включить" с последующим игнором;
4. В плане устойчивости к блокировкам настроено нередко все довольно криво и с детскими ошибками. MiraclePtr, автор легендарных статей про правильную настройку XRay, наверное бы совершил сепукку, если бы узнал, как люди следуют его инструкциям и внемлют его предупреждениям;
5. Самое смешное, что сервисы за 400-500 рублей работают ничуть не лучше сервисов за 100-200. Более того, чем громче владельцы подобных сервисов кричат в чатах о том, что "уж у них-то все нормально, поэтому и стоит дороже", тем больше риск обнаружить, что у них все сделано еще более через задницу и работает соответствующе.
Впрочем, встретилась мне пара товарисчей, у которых все сделано более-менее по уму и работает неплохо, но учитывая, так сказать, их взгляды и риторику в чатах, я не удивлюсь, если рано или поздно окажется, что все логи доступа всех своих пользователей они сливают куда-нибудь в органы, так сказать, проявляют гражданскую бдительность.

Мораль какая? Не пользуйтесь услугами мутных сервисов от всяких анонимусов, если не хотите потерять деньги и получить фигню. Самый лучший прокси-сервер - который вы подняли сами, благо что сделать это можно очень просто (см. инструкцию от MiraclePtr, она недоступна из России, но можно открыть ее через прокси/vpn).

Если для вас это все равно сложно - то используйте AmneziaVPN, которых я уже упоминал выше, там все устанавливается в два клика через простое графическое приложение.

Если и это слишком сложно - есть публичные сервисы AmneziaFree и VPN Generator (см. также их тг-канал). Оба проекта бесплатные (некоммерческие, так что не реклама) и устойчивые к блокировкам.

Ещё есть Psiphon, который упомянули в комментариях - он тоже обладает солидным арсеналом для противостояния блокировкам протоколов и бесплатный (со скоростью до 2 мегабит, чего более чем достаточно для обычного серфинга).

А если уж вам так хочется отдать кому-нибудь деньги - то лучше предпочтите известные проекты, за которыми стоят известные сетевые активисты. Благо, многие из них тоже серьезно озаботились обходом блокировок и предлагают в том числе протоколы семейства VLESS и XTLS.

Комментарии (78)


  1. 0mogol0
    13.07.2024 14:34
    +2

    Вот кстати вопрос про Xray сервер. А есть ли к нему какая-нибудь панель для мониторинга, в идеале для Grafana. А то работать-то он работает, но отслеживать его стабильность можно только по общему сетевому трафику и строкам в логах.

    Если что, интересует не куда ходят пользователи, а запущен ли сервер, сколько подключений, объем трафика и тп.


    1. Kenya-West
      13.07.2024 14:34
      +3

      X-UI и подобные есть, но они для графического представления. Зато умеют слать показатели в ТГ и алерты с заданной периодичностью.

      Я сам хочу подружить такие панели с Grafana, Prometheus и подобными сервисами для метрик. Кто подскажет, тому плюс в карму.


    1. HomeMan
      13.07.2024 14:34
      +1

      3X-Ui почему не нравится? Но там есть один момент с общим объемом трафика.

      Допустим клиент1 скачал 100Мб, клиент2 скачал 50Мб, а вы сами по ssh обновили ядро, это 500Мб.

      Общий трафик в панели будет - 650Мб. Хотя через XRay прошло всего 150Мб.


    1. UranusExplorer Автор
      13.07.2024 14:34
      +7

      XRay умеет отдавать метрики в json-формате

      https://xtls.github.io/en/config/metrics.html


  1. nine13
    13.07.2024 14:34
    +15

    Я считаю Apple надо было ничего не удалять и ещё послать РКН, чтобы айфоны вообще заблокировали в РФ и люди не смогли ими пользоваться. Вот это по мнению многих, было бы правильно, это было бы замечательно.


    1. OldManES
      13.07.2024 14:34
      +16

      Это сарказм ? Или iphone/ipad вам так омерзительны?

      Еще смущает «по мнению многих» . Раскроете тему?


    1. UranusExplorer Автор
      13.07.2024 14:34
      +12

      считаю Apple надо было ничего не удалять и ещё послать РКН,

      Google именно так и сделали, кстати

      чтобы айфоны вообще заблокировали в РФ и люди не смогли ими пользоваться

      Работники РКН будут ходить по улицам и конфисковывать у людей айфоны?


      1. vyatkh1
        13.07.2024 14:34
        +9

        Представляю диалог Димона и работника РКН))). Хотя, там с бутылкой, похоже можно разобраться.


      1. Popadanec
        13.07.2024 14:34
        +2

        Проверять "правильные" ли установлены приложения. Уже было, вроде бы.


  1. MainEditor0
    13.07.2024 14:34
    +7

    Ну что, все уже скачали статью перед прочтением?


    1. Jirabus
      13.07.2024 14:34
      +1

      Ессно


    1. Chusiksmirnov
      13.07.2024 14:34
      +4

      Я человек простой. Вижу интересную статью - в первую очередь отправляю в readeck, а уж потом читать.


      1. aldekotan
        13.07.2024 14:34
        +2

        Или в SingleFile. Быстро и удобно, только комменты сначала дозагрузить нужно


        1. Chusiksmirnov
          13.07.2024 14:34
          +2

          Тут уже дело вкуса. Я ленивый, поэтому мне надо чтобы был не просто файл, а целый api. Чтобы, например, отдельный python скрипт просматривал содержимое readeck'а на предмет новых статей с тегом summarize и автоматически прогонял их через суммаризатор на базе Claude 3.5. Результат потом в телегу приходит.


    1. aboba488
      13.07.2024 14:34
      +6

      Дожили. Впн чтоб прочитать про впн.


      1. Konstantinus
        13.07.2024 14:34
        +11

        Начиналось все как защита детей от правила 34.


    1. vikarti
      13.07.2024 14:34
      +1

      Зачем отдельно качать?

      ПКМ->ArchiveBox Exporter->Archive current page

      Потом можно и поделится с желающими


  1. TokOm
    13.07.2024 14:34
    +9

    А есть свободный хабр ?)

    Возможно пару сек и мой коммент украдёт НЛО


    1. selivanov_pavel
      13.07.2024 14:34
      +10

      Да по-моему уже ничего свободного нету, но пока есть выбор, цензуру какой марки вы предпочитаете.


    1. Nasreddin_Hodja
      13.07.2024 14:34

      А есть свободный хабр ?)

      Есть.


  1. MedicusAmicus
    13.07.2024 14:34
    +2

    А статья-то изначальная - доступна.
    Администрация, думаю, по моему ip сможет вычислить промашку.


  1. akibkalo
    13.07.2024 14:34
    +3

    Спасибо, интересно!

    Я с позиции пользователя обычно использую плагин в Edge (или Chrome, или Yandex Browser) - GitHub - anticensority/runet-censorship-bypass: Web-extension for bypassing censorship in Russia
    Его фишка в том, что автоматом обнволяет список анонимных прокси и ходит через них лишь на те сайты, которые блокирует РосКомПозор.
    В целом вполне утраивает, но есть нюанс.
    Мне часто приходится использовать UWP приложения (сенсорный экран, это удобно), и некоторые из них - в первую очередь LinkedIn из России в сеть не ходят.
    Вариант, настроить System Proxy, тогда пойдут, - но хочется чтобы через прокси (впн или что угодно еще) шли лишь те приложения что нужно, - в идеале, как с вышеупомянутым аддоном у браузеру, чтобы не я рулил кому куда идти, а оно само, - раз настроил и забыл.
    Не подскажете, есть ли такая возможность под винду для UWP? Они как я понимаю используют WebView2.


    1. SerpentFly
      13.07.2024 14:34
      +3

      1. akibkalo
        13.07.2024 14:34

        Как я понимаю, тут нужен свой прокси сервер?
        Можно ли использовать динамический список, который генерит тот же runet-censorship-bypass? В Моем случае для LinkedIn он точно должен бы запросы пропускать, но я не разработчик и не пойму как скрестить его с proxyfire.
        Не подскажите?


        1. SerpentFly
          13.07.2024 14:34
          +1

          Подойдет любой SOCKS прокси (для UDP необходим SOCKS5), как локальный (динамический порт форвардинг SSH, Shadowsocks c SOCKS интерфейсом и т.п.) так и удаленный. С последним правда есть риск, что DPI сумеет его вскрыть, так как никакого шифрования не будет использоваться.

          Динамический список в принципе можно прикрутить, никаких ограничений я тут не вижу. Но честно говоря времени этим заниматься особенно нет. Для своих нужд я обычно настраиваю один браузер ходить через VPN (или прокси), другой напрямую. Если какие-то приложения не хотят работать из РФ, вроде HP Omen Gaming Hub, то их тоже прибиваю к туннелю.


    1. Append
      13.07.2024 14:34

      Tunnlto, единственное что для меня минус что все днс запросы идут через впн, а так под конкретное приложение можно настроить впн


      1. SerpentFly
        13.07.2024 14:34

        В Windows все запросы к DNS идут в контексте процесса DNSCACHE и выяснить какой конкретно процесс инициировал этот запрос невозможно. Поэтому все DNS запросы уходят либо через впн либо на системный DNS (если в конфигурации не указаны DNS сервера).


  1. Vlad210
    13.07.2024 14:34
    +1

    Пользуюсь пол года VLESS REALITY (3X-UI) и всё спокойно. Правда бывают редкие траблы, по типу 5 минут не отвечает и потом всё работает (такая ерунда бывает раз в 2 недели). Скорее этот момент со стороны хоста, они бывают какие-то работы делают

    Для более приятного серфинга интернета использую Эстонию, близко к РФ, минимум блокировок в мире и быстро работает

    Я буду признателен, если подскажите, что есть ещё круче него, чтобы повысить стабильность


    1. Dick_from_mountain
      13.07.2024 14:34

      Ну пока и обычный shadowsocks норм работает, также обычные OpenVPN растут как грибы. У меня почему-то есть подозрение, что особенно гонятся за желающими посмотреть из-за забора они не будут. Им главное отрапортовать и иммитация.


      1. Gorthauer87
        13.07.2024 14:34
        +2

        У меня вот древнючий openVPN работает, причём даже на Йоте.


      1. UranusExplorer Автор
        13.07.2024 14:34
        +2

        Ну пока и обычный shadowsocks норм работает, также обычные OpenVPN растут как грибы

        Либо вам сильно повезло с провайдером (у него ещё нет ТСПУ, и у магистралов по пути тоже не попадается), либо с регионом - РКН свои блокировки накатывает и тестирует не везде и всегда, а периодически и выборочно по регионам. Но в этом случае расслабляться явно не стоит, суть в том, что инструмент у них есть, и как только возникнет нужда (как например недавно время массовых волнений в Дагестане и в Башкортостане) они его применят.