Мой провайдер помимо замедления (читай полная блокировка) YouTube так же стал блокировать соединения с моими рабочими VPN. Работодатель не очень любит, когда на встречах на вопрос о прогрессе, я неделю отвечаю, что у меня не работает VPN! Своими действиями, мой провайдер сам меня подтолкнул к поиску обходных путей.
Сразу скажу, обходной путь придумал не сам, мне его подсказал автор проекта zapret, а точнее его комментарий, более того, я использую его проект, чтоб смотреть нормально YouTube. Спасибо огромное!
Добавлю, я использую nftables и nfqws, если этот вариант работает у меня — это не значит, что заработает и у вас! Возможно, вам придётся изменить некоторые параметры.
Первое, очень внимательно читаем комментарий по ссылке выше и штудируем, как портировать правила iptables в nftables.
$ iptables-translate -A OUTPUT -t mangle -o wlan0 -p udp --dport 443 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 220 --queue-bypassполучилось:
$ nft 'add rule ip mangle OUTPUT oifname "wlan0" udp dport 443 mark and 0x40000000 != 0x40000000 counter queue num 220 bypass'wlan0 — интерфейс, через который мы ходим в сеть
443 — порт подключения к VPN сервису
меняем OUTPUT на output
итоговая строка получается:
$ nft 'add rule ip mangle output oifname "wlan0" udp dport { 443, 18189 } mark and 0x40000000 != 0x40000000 counter queue num 220 bypass'у меня два VPN коннекта, отсюда и два порта!
Перед запуском, проверим, что у нас есть таблица ip mangle:
$ nft list tablesесли нет, создаём её и цепочку output
$ nft add table ip mangle
$ nft 'add chain ip mangle output { type filter hook output priority 0 ; }'Смотрим, что всё создалось:
$ nft -a list table ip mangleтеперь запускаем строку с добавлением нового правила и снова проверяем, что внутри таблицы.
и последнее, запускаем демон, который маскирует пакеты отправленные на требуемые порты
$ /opt/zapret/nfq/nfqws --uid 2 --qnum=220 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-ttl=5 --daemonобратите внимание, значение ttl у вас может отличаться. Своё я подглядел через ps aux | grep nfqws, которое стоит в демоне от zapret.
Понятно, что всё можно автоматизировать и не запускать всё руками, но мне надо было срочно. Самое главное, работает!
Комментарии (78)
jonic
06.09.2024 19:33+1А мне нравится заворачивать трафик через ssh, а там уже что хочешь подрубай. Правда скорость так себе, но для работы много не надо
nitro80
06.09.2024 19:33+3Читал, SSH могут замедлить крайне, что работать будет, но тот же YouTube уже не посмотришь
rPman
06.09.2024 19:33+5Замедление ssh будет сродни его отключения, через него проходит огромный объем трафика, или у вас это только к консоли терминала подключение? Любое копирование файлов уже давно через ssh
UranusExplorer
06.09.2024 19:33+7Замедление ssh будет сродни его отключения
В Китае уже давно так делают, и ничего.
Проблемы индейцев шерифа не волнуют.
crawlingroof
06.09.2024 19:33Во-во у меня мобильный интернет от мтс, как появляется трафика больше чем консольный мин на пять - сессия просто рвется. Я не стал париться с обфурскацией думал хватит тоннеля, но с той стороны хитрее.
IZh
06.09.2024 19:33+2Я на домашнем билайне уже сталкивался с попыткой контролировать ssh. 18 апреля связь по ssh часто рвалась. Заходишь — нормально. Что-то медленно печатаешь в консоли — нормально. Запускаешь
ls -alв большом каталоге — на середине вывода соединение рвётся.Через день прошло. Такое чувство, что тестировали rate limit, выясняя, сколько админам надо для комфортного сидения в терминалах, но чтоб никакие тоннели не работали.
PocketSam
06.09.2024 19:33+1А ещё не замедляют? У меня почему-то при копировании файлов по SSH из России в Германию в первые несколько секунд скорость достигает 10 МБ, а потом сразу стремительно падает до 500КБ приблизительно.
SyncThing тоже ограничена по ощущениям от 500КБ до 1МБ.
lea
06.09.2024 19:33+4Я в прошлом хостил 5 узлов сети Tor. В 2021 году, когда РКН серьезно взялся за блокировки Tor, рвали не только подключения по IP+OrPort/DirPort, но и ssh до этих узлов.
yarushka
06.09.2024 19:33+14В статье несколько сумбурно все описано, предполагается что читатель сам должен догадаться как у автора устроена архитектура его сети.
Непонятно, на роутере настройка происходит или на рабочей станции с Linux.
romastra
06.09.2024 19:33+1Ну видимо это применимо и к роутеру, и к станции (если ознакомиться с комментом на гитхабе). Другой вопрос, что без детального понимания эффекта от таких манипуляций, мои шансы получить положительный результат стремятся к нулю. ))
vova_sam
06.09.2024 19:33+1эта тема больше для тех, кто понимает в чем суть обхода и как работает NFQUEUE, NFT, ужасно мутный zapret (вы пытались понять, что делает инсталлятор ?), но его нужно было подтолкнуть все таки настроить zapret для vpn
lexx59
06.09.2024 19:33пишем на почту в статье. звоним по телефону.
https://digital.gov.ru/ru/events/47846/
Naps
06.09.2024 19:33+6"Роскомнадзор проверит информацию и внесёт IP-адреса компании в «белый список», разблокировав для них доступ к VPN. Однако если компания обращалась в Роскомнадзор самостоятельно, данные о ней в течение месяца всё равно должно подтвердить профильное ведомство."
Интересно, какое у нас профильное ведомство, если мы небольшая компания, которая сдаёт в аренду коммерческую недвижимость, и эта самая недвижимость по VPN связана в одну сеть.
Maxim_Q
06.09.2024 19:33+2Наверное вы и есть профильное ведомство, сами и подтвердите что используете VPN для себя. Попробуйте написать в Роскомнадзор и потом расскажите нам тут на хабре о результате, думаю будет интересно почитать.
behemoth23
Работодатель какой-то странный, если сидит на openvpn до сих пор.
Или он снаружи РФ?
yarushka
А что не так с OpenVPN внутри РФ?
Если персональные данные не обрабатываются, не КИИ, не банк, не госучреждение и не медицина, почему нельзя использовать OpenVPN?
behemoth23
>А что не так с OpenVPN
РКН не любит openvpn и wg, это уже повод его поменять. Не, будем жрать кактус с какими-то васян-приблудами для обфускации. Хорошо если сами эти приблуды без троянов.
ntoskernel
А существует хоть один VPN-протокол, который любит РКН? Проблема же не в протоколах, а в самой сущности туннелирования трафика, которую нельзя контролировать.
Ну, завтра властная группировка поймет, что им в целом надоел современный TLS (уже есть проблемы с eSNI и т.д.) — РКН, разумеется, возьмёт под козырёк — тогда что будем делать? Это будет "поводом" перейти на HTTP?
Туда же многочисленные истории про блокировки просто не понятного цензору трафика. Это всё кончится очень плохо.
behemoth23
>завтра властная группировка поймет, что им в целом надоел современный TLS
проснись нео, у тебя в яндекс-фсбраузере уже ЦА чекистов давно прописался )
>Это всё кончится очень плохо
кто сказал, что чебурнет это плохо? 15 лет за такое или это уже гoсизмeна )
leninxxx
Зачем так краски сгущаете?
Пару месяцев назад на РТ тоже перестали работать VPN. Преимущественно зарубежные.
После звонка в РТ с вопросом "какого хрена?" и устных обьяснений что это мои точки входа в сеть управления серверами пообещали исправить. Через неделю на самом деле адреса серверов добавили в белый лист.
Итого - не обязательно быть юрлицом, не обязательно никуда писать. Простой звонок в ТП, пара минут общения со второй линией, несколько дней ожидания и сервера доступны. Провайдер сам решает этот вопрос с РКН.
Если конечно это ваш личный сервер с небольшим количеством пользователей.
aegoroff
Мы (Positive Technologies) сидим на OpenVPN - все работает нормально, проблем с юлокировками не испытываем. Не знаю используется ли обфускация но с клиентской стороны никаких приседаний не было и проблем тоже.
UranusExplorer
Возможно у вас организация зарепортила адреса своих VPN-серверов в РКН, чтобы не них не распространялась фильтрация?Договорились по-хорошему, так сказать. Помнится, РКН пару лет назад специально рассылали запросы крупняку именно для этого...
aegoroff
да, вполне возможно
Sad_Bro
У нас точно организация репортила. Но у некоторых людей на разных провайдерах периодически возникают проблемы с openvpn.
DaemonGloom
Ну, мы свои адреса не репортили - и wg, и ovpn работают нормально в пределах страны, за исключением одного дня, когда wg блокировали массово.
Sap_ru
В большинстве регионов не работают. Даже в Москве уже мало где работают.
vova_sam
не хочется палить оператора, но на одном крупнейшем (здоровья им) еще работает в мск
ростелек не работает, мтс не работает
Tim_L
У нас тоже openvpn, полет нормальный, ничего никто не блочит
siberianlaika
Простите, а поменять на что? Какие есть альтернативы в опенсорсе? Чтобы были кроссплатформенными?
behemoth23
>в опенсорсе
Ну, openconnect . Citrix и Cisco anyconnect вроде пашут без проблем, значит РКН целенаправленно мочит только васянов и шараги.
Psychosynthesis
У меня летом были проблемы с openconnect. Работодатель в сети Ростелекома.
UranusExplorer
Возможно у вас был включен DTLS в конфигурации.
Psychosynthesis
Я пробовал его отключать, разницы никакой.
lea
Это повод написать свою приблуду для обфускации. Или две.
the_d_kid
Присоединяюсь к вопросу: А какой vpn любит ркн? Очень интересно как по вашему мнению, и как по мнению правительства мне обеспечивать доступ из вне (но в пределах России!!!!) в мою локальную сеть?? Как??? Я так охренел, когда столкнулся с блокировкой wg из России в Россию! Этож такая тупость.
А по поводу приблуд от васяна, вы статью то читали? У нас iptables и их аналоги это теперь приблуды от Васяна?
behemoth23
>приблуд от васяна, вы статью то читали
угу, причём глазами, в отличие от тебя. зато ты, конечно, аудит этого софта с гитхаба сделал. который небось из под рута запускаешь )
кто там его писал? добрый дядя bol-van ну всё, точно не злодей и не тов.маёр
ещё конечно после каждого коммита всё перепроверяешь. и это конечно проще, чем openconnect влепить
krylov_sn
купил белый ip у провайдера - wireguard сервер в россии стал работать