Каждый раз, когда в Иране возникают массовые протесты, мы наблюдаем уже привычную картину: информационный поток замирает. Связь с интернетом сильно замедляется или пропадает полностью.
Но как современная страна переживает такое отключение от интернета? Разве это не должно рушить все налаженные процессы?
Не совсем, ведь Исламская Республика последние десять лет занималась разработкой интернета внутри интернета.
Прим. пер.
Этот материал представляет собой перевод англоязычной статьи и публикуется с целью ознакомления с техническими особенностями функционирования сетей и информационных систем в условиях ограниченного доступа к интернету. Описание технологий и методов приведено исключительно в информационных целях. Публикация не содержит призывов к использованию описанных решений и не является руководством к действию.
Национальная информационная сеть: изоляция как основа
Национальная информационная сеть Ирана (National Information Network, NIN) — это контролируемый государством интернет, созданный с целью поддержания работоспособности внутренних сервисов даже в периоды отключения международной связи. Можно представить это как песочницу национального масштаба: сайты, банковские порталы, мессенджеры и электронные правительственные сервисы, работающие исключительно на территории Ирана.
Такая система служит двум основным целям:
Позволяет выборочно отключать ресурсы: государство может блокировать международные платформы (например, WhatsApp, Instagram* или новые сайты), сохраняя полноценную работоспособность местных сервисов (государственные СМИ, банковские приложения).
Вынуждает провайдеров интернета пересылать весь трафик через контролируемые государством шлюзы, что упрощает его мониторинг и фильтрацию, а также отключение отдельных сегментов сети при необходимости.
Поверх этой системы реализован IRGFW — Iranian Great Firewall. Созданный по подобию китайского Great Firewall (GFW), но с более строгим принуждением и централизованным контролем, этот экран фильтрует, блокирует и отслеживает трафик по всей стране. На бумаге эта система выглядит надёжной и неприступной.
Но всегда есть дыра, всегда.
Что можно сделать в такой ситуации?
Эта блокада иранского интернета весьма агрессивна, но не идеальна. Как и любая масштабная система фильтрации, она опирается на устаревшие метаданные и статические списки блокировок. Здесь-то и формируются первые трещины.
Известная слабость: IP-адреса арендуются, а не являются собственными
Количество адресов IPv4 ограничено, и они постоянно перераспределяются. В основном это арендуемые адреса, которые передаются между провайдерами хостинга, перепродаются одними дата-центрами другим или перемещаются между разными регионами. Решение о том, какие IP считать надёжными, а какие блокировать, иранская система фильтрации принимает на основе баз данных GeoIP и информации протокола внешней маршрутизации (BGP). Но эти ресурсы не поспевают за актуальными изменениями.
IP, когда-то принадлежавший местному иранскому провайдеру, теперь может быть присвоен серверу в Амстердаме. Но поскольку IRGFW не обновляет свои фильтры в реальном времени, этот IP ещё какое-то время будет продолжать числиться в белых списках.
И это открывает скромную, но реальную возможность для сканирования пространства IP-адресов на предмет доступных прокси, VPN или ретрансляторов, ещё не внесённых в списки блокировок.
Да, это подразумевает банальный перебор адресов, но в условиях, когда все двери заперты, даже единственный рабочий IP может стать драгоценным окном в мир.
Pingtunnel: лучше медленно, чем ничего
Для противодействия сканированию или обходу создатели IRGFW пытались блокировать большинство протоколов исходящих соединений. Но при этом полностью ещё (пока) не заблокирован ICMP, протокол, стоящий за функциональностью ping.
Пакеты ICMP обычно используются для диагностики (проверки активности сервера), и их тотальная блокировка нарушит значительную часть легитимной сетевой функциональности. Так что эти пакеты до сих пор разрешены, даже в условиях жёстких отключений.
Вот здесь и приходят на выручку инструменты вроде Pingtunnel.
Pingtunnel позволяет скрытно передавать данные в пакетах ICMP, по сути, туннелируя TCP-трафик через поток запросов ping. Это очень медленный способ, к тому же подверженный потере пакетов. Но он работает, особенно в целях текстовой коммуникации, доступа к командной строке или отправки небольших файлов.
Он не защищён от DPI или временного анализа. Тем не менее в сценариях полного отключения «медленно, но работает» лучше, чем ничего. Даже сеанс оболочки или простейший инструмент обмена сообщениями может стать ценной ниточкой, ведущей во внешний мир.
Доступ к Starlink через NAT: иранцы обходят цензуру, рискуя уголовным наказанием
Несмотря на очень агрессивную криминализацию комплексов Starlink, многие иранцы всё равно умудряются их заполучить. Подключение Starlink можно безопасно раздавать другим, пересылая трафик через локальные маршрутизаторы с поддержкой NAT по зашифрованным туннелям вроде WireGuard.
Что конкретно значит «Доступ к Starlink через NAT»?
Starlink предоставляет независимое интернет-соединение через спутниковую сеть, полностью обходя локальную инфраструктуру провайдеров. Тем не менее, поскольку устройства Starlink получают динамические, зачастую частные адреса IPv4/IPv6 и работают вне традиционной инфраструктуры ISP, при подключении к локальным иранским сетям или устройствам пользователей они обычно находятся «по ту сторону NAT» (Network Address Translation, преобразование сетевых адресов).
Как это выглядит:
Терминал Starlink (терминал пользователя и роутер) из глобальной сети Starlink подключается к спутниковой сети.
Тем временем устройства пользователя в Иране подключаются к сети местного провайдера, в которой используется собственная обработка IP-адресов и свои системы NAT.
Пользователь настраивает локальный роутер, или шлюз, который соединяет эти две сети, перенаправляя локальный трафик через соединение Starlink.
Как это позволяет обойти цензуру
Суть в том, что иранские провайдеры и файрволы не могут эффективно блокировать трафик Starlink без непосредственной конфискации или отключения терминалов, так как спутники взаимодействуют с этими терминалами через зашифрованные проприетарные протоколы.
Чтобы поделиться этим соединением Starlink с друзьями и родственниками в Иране, пользователи настраивают VPN-туннели WireGuard:
-
Настройка WireGuard Server:
Сервер WireGuard настраивается на локальном роутере в Иране, который выступает в качестве шлюза. У этого роутера есть два интерфейса:Интерфейс WAN, подключённый к сети иранского провайдера.
Интерфейс LAN, подключённый к терминалу Starlink (в зависимости от конфигурации может быть наоборот).
Маршрутизация трафика:
Доверенные друзья или родственники посредством VPN-соединений подключаются к серверу WireGuard на роутере иранского провайдера (по локальной сети). Затем роутер расшифровывает и перенаправляет этот трафик через интерфейс Starlink, по сути, используя его в качестве точки выхода в интернет.NAT и преобразование IP-адресов:
Поскольку роутер иранского провайдера находится по ту сторону NAT и файрвола провайдера, он преобразует адреса входящего трафика WireGuard и направляет этот трафик через сеть Starlink, в которой используется собственная схема адресации.Совместное использование конфигурации WireGuard:
Файлы конфигурации WireGuard, содержащие публичные ключи, адреса конечных точек, разрешённые IP-адреса и порты, безопасно распространяются между доверенными пользователями. Это позволяет им установить на своих устройствах в Иране зашифрованные туннели связи с роутером, подключённым к Starlink.
Почему такой сетап надёжен
Трафик Starlink зашифрован и передаётся через спутники. Это сильно затрудняет для IRGFW его инспектирование и блокировку без физического вмешательства.
WireGuard использует UDP и минимизирует обмен данными при квитировании, затрудняя обнаружение и блокирование соединения посредством DPI.
NAT скрывает внутреннюю структуру IP, поэтому иранские файрволы видят только стандартный зашифрованный трафик, идущий к локальному роутеру — они не могут с лёгкостью определить, что этот трафик затем отправляется в Starlink.
Это также позволяет нескольким пользователям совместно использовать один терминал Starlink, по максимуму задействуя возможности редкого и дорогостоящего оборудования.
Как выживать внутри NIN?
Иногда Национальная информационная сеть (NIN) работает, но доступ из Ирана к глобальному интернету полностью отсутствует. В таких случаях вы банально не можете связаться с друзьями и родственниками за пределами страны. Да что говорить, даже коммуникация внутри Ирана становится проблематичной.
Какие тут есть варианты?
SMS?
SMS в Иране не шифруются. Правительственные службы могут перехватывать, читать и сохранять ваши сообщения, чем они нисколько не брезгуют. Кроме того, SMS работает медленно и гарантирует надёжность передачи, разве что, для коротких текстов.Телефонные вызовы?
Для вызовов используются GSM-сети, которые полностью контролируются государством. Голосовые вызовы можно перехватывать, записывать и отслеживать без согласия пользователя. Понятие тайны частной жизни здесь отсутствует в принципе.
Средства локальной сети: собственные зашифрованные сервисы
Но здесь есть подвох: NIN не запрещает обмен трафиком внутри локальных сетей. То есть вы можете запускать сервисы внутри Ирана, без доступа к цензурируемому глобальному интернету, но сохранять при этом возможность общения.
Одно из реально рабочих решений — это настройка собственного сервиса обмена сообщениями со сквозным шифрованием, например, сервера Matrix Synapse, который можно полностью разместить на VPS иранского провайдера.
Почему Matrix?
Matrix — это опенсорсный протокол, позволяющий реализовать безопасный канал со сквозным шифрованием для обмена сообщениями, а также совершения голосовых и видеовызовов. Он децентрализован, так что запустить свой сервер может любой желающий. Если ваш сервер находится в Иране, и ваши контакты подключаются локально, вы избежите международной цензуры и жёсткой фильтрации.
Что для этого нужно?
VPS, выделенный иранским провайдером, чтобы к нему был доступ внутри NIN.
Доменное имя, указывающее на этот VPS, в идеале зарегистрированное иранским регистратором или настроенное на разрешение внутри DNS-системы NIN.
Установленное и настроенное на VPS программное обеспечение Matrix Synapse.
Как это поможет?
Поскольку трафик никогда не покидает внутреннюю сеть страны, госслужбам становится сложнее блокировать его без полного отключения NIN. А так как Matrix использует мощное шифрование, то содержимое пакетов останется скрытым даже в случае их инспектирования регулятором.
Выживание внутри NIN требует адаптирования к её ограничениям и эксплуатации слабых мест её архитектуры. Запуск собственного зашифрованного сервиса для локальных коммуникаций позволяет жителям Ирана поддерживать защищённую связь даже в условиях потери доступа к глобальному интернету.
Да, это решение не идеально, здесь есть свои риски, и настройка таких сервисов требует технических навыков. Но оно становится буквально спасательным кругом в условиях цифровой среды, ориентированной на изоляцию и тотальную слежку.
*Деятельность Meta — соцсети Facebook и Instagram — запрещена в России как экстремистская.
Комментарии (55)
Aelliari
18.07.2025 13:06Суть в том, что иранские провайдеры и файрволы не могут эффективно блокировать трафик Starlink без непосредственной конфискации или отключения терминалов, так как спутники взаимодействуют с этими терминалами через зашифрованные проприетарные протоколы.
Эмм, и какая связь у шифрования спутник-терминал с невозможностью заблокировать без конфискации?
Канал старлинка провайдеру не подконтролен, даже для чтения, так что даже будь там plaintext для регулятора бы ничего не изменилось
Чет в этой переводной статье есть некоторая каша
RalphMirebs
18.07.2025 13:06Угу, немного непонятно
Как я понял, NIN у них работает всегда, но часто режут каналы наружу. Далее предлагается Матрикс, но есть же рабочие NIN-каналы? Ладно бы Матрикс давал связь наружу, но толку от него внутри страны? Разве что тайно осуждать правительство или содержать какой-нить сайтик с настоящими новостями?
vikarti
18.07.2025 13:06Правительству не вмешаться быстро в общение. И не послушать. (И нет - ТСПУ перед сервером не спасет и MITM тоже)
Toneeq
18.07.2025 13:06Я так понимаю, основная мысль, принимать траффик от Старлинка, я потом делиться им со своими через матрикс, не пересекаясь с Иранским Файрволом
CorruptotronicPervulator
18.07.2025 13:06туннелируя TCP-трафик через поток запросов
ping. Это очень медленный способЭто вполне нормальный способ, даже Youtube в HD позволяет смотреть. При недавних полных блокировках зарубежных ресурсов единственное, что работало — icmp-туннели.
MrKirushko
18.07.2025 13:06Ну, не единственное... OpenVPN на своей VPS-ке уже года 3 как безотказно выручает нас в плане доступа до YouTube-чика. По крайней мере в Москве и МО.
Semy
18.07.2025 13:06Ростелеком - не соединяется openvpn. То же с WireGuard. Пытается, но сразу рвется. На мобильных операторах вообще наглухо. Москва.
ColorPrint
18.07.2025 13:06С серверами в российских дц пробовали?
egribanov
18.07.2025 13:06Как это поможет?
Uporoty
18.07.2025 13:06к адресам внутри страны фильтрация обычно гораздо более слабая.
как и в дата-центрах.
ColorPrint
18.07.2025 13:06Со значительной частью ДЦ должно работать... на ntc даже табличка большая была про датацентры....
Krypt
18.07.2025 13:06В Калининградской области всё, что заблокировано - действительно заблокировано. У нас тут всего 4 линка с внешним миром, если я не ошибаюсь, и все они управляются Ростелекомом.
AlexDerkachev
18.07.2025 13:06Ограничения управляются ТСПУ, на которые провайдер повлиять не может, все вопросы в РКН.
Andy_U
18.07.2025 13:06В Калининградской области всё, что заблокировано - действительно заблокировано
У вас Польша и Литва рядом, вместе с их мобильными сетями. Неужели не дотянуться?
nehrung
18.07.2025 13:06Дотянуться вполне возможно. Прошлым летом отдыхали на берегу Немана (граница с Литвой). Там нам постоянно приходили оповещения типа "Вы находитесь в зоне действия [условного] Лит-телекома, при желании можете подключиться". Естественно, мы всегда сбрасывали это предложение - зачем нам переплачивать за роуминг? Однажды не уследили, переключение каким-то образом произошло автоматически (возможно, из-за того, что мы вышли из зоны покрытия нашего опсоса - там с этим делом весьма нестабильно), и за один сеанс лесного интернета с телефонного счёта утекла 1000 рублей.
Как там на эту тему сейчас, можно ли подключиться, и допускают ли литовцы такое подключение - не знаю. Много дополнительных санкций было введено с тех пор. По идее, они должны нам помогать преодолеть тоталитарные барьеры - в качестве положительного примера вспомним КВ-вещание в брежневские времена (и его глушение). Однако на эту тему у них (впрочем, как и у украинцев) своеобразные представления на сей счёт, иногда идущие поперёк обычной логики.
Andy_U
18.07.2025 13:06Ну зачем роуминг? Наверняка можно достать ихнюю SIM карту и договориться об оплате. Финны, например, полноценные карты в ларьках (R-киоски) продают.
Krypt
18.07.2025 13:06Только у границы, да и не стоит оно того. Симку в том числе оплачивать надо, что не тривиально в нынешних условиях.
У нас возможность подключения к мобильной сети Польши или Литвы скорее как проблема рассматривается, когда телефон в международный роуминг сам уходит. в 2010х обычной практикой было отключать автоматический поиск и выбор сети.Andy_U
18.07.2025 13:06Симку в том числе оплачивать надо, что не тривиально в нынешних условиях.
В Иван-городе с этим точно нет проблем. Там столько местного народа из Нарвы регулярно шастает туда-сюда со всяким барахлом...
the_vitas
18.07.2025 13:06Это если у Вас мелкий местечковый оператор, если оператор с крупной сетью, то ни wg ни ovpn не работают за пределы страны.
Ни у ростелеги, ни у экотелекома, ни у местного кварца эти два протокола не работают.
holydel
18.07.2025 13:06Я так понимаю, с 1 сентября за свой ВПН сервер на своей ВПСке будет положен штраф.
ColorPrint
18.07.2025 13:06Вроде состав не сам впн а поиск запрещённой информации...
Uporoty
18.07.2025 13:06нет, там есть отдельная новая статья КоАП за эксплуатацию всяких программно-аппаратных средств позволяющих получать доступ к запрещенной информации, и VPN туда полностью подпадает
oldzoomer
18.07.2025 13:06А как же SSH-туннели? Как по мне, это один из самых безопасных, и при этом примитивных методов проброски трафика на забугорные сервера.
CorruptotronicPervulator
18.07.2025 13:06Во время указанных событий (9 мая и 12 июня) в наших палестинах не работало за бугор вообще ничего, кроме icmp.
Uporoty
18.07.2025 13:06В некоторых странах их шейпят после превышения определенного объема трафика по соединению. В консольке работать еще хоть как-то можно будет, а серфить веб уже нет.
AiR_WiZArD
18.07.2025 13:06Ну так есть браузеры по типу Lynx, для поиска информации вполне подойдёт. Если канал хоть десяток киллобит позволяет, то можно и голос (подкасты/YT в консоли) передать. Не удобно, но бесконечно лучше, чем ничего
LexD1
18.07.2025 13:06Связь с интернетом сильно замедляется или пропадает полностью.
Сталкивался с подобным в РФ. В этом месяце (июль, 2025). Не единожды.
MrKirushko
18.07.2025 13:06Что касается ICMP - вы самого главного не казали: того что ICMP - это не только PING. Этот протокол не только и не столько "используются для диагностики", его главная задача - контроль доступности узлов и межсетевых ограничений для обычных соединений. И если в UDP этот функционал используется только в рамках "Path MTU Discovery" и то опционально, то для TCP это гораздо более важно. Тут это нужно для контроля загрузки канала а некоторые реализации протокола TCP (congestion control алгоритмы но и не только) без этой информации являются неустойчивыми и через какое-то время при работе через такую "черную дыру" (когда узел просто кидает пакет в сеть и ждет от нее ответного сообщения ответного узла и надеется на лучшее, потому как никаких сведений о встретивших этот пакет на пути затруднениях и вообще о его маршруте у узла-отправителя нет) гарантированно происходит разрыв соединения (перед этим ваша система, разумеется, накидает в сеть как следует мусора, который в ней собственно в итоге и застрянет). И если полная блокировка ICMP в небольшой локальной сети просто приведет к повышению времени установления соединений, увеличению загрузки сети служебными пакетами, и как итог - к снижению эффективной пропускной способности сети, то полная блокировка же этого протокола в сети масштабов национального сегмента Интернета просто в течение нескольких минут наглухо положит весь этот сегмент и все.
Так что, если бы могли - не сомневайтесь, отрубили бы, может даже разок попробовали уже. Не от большой щедрости, заботы о ближнем и доброты у них эта дыра существует. Даже при полной и тотальной изоляции сети как минимум до IP-адресов из "белого списка" пропускать ICMP все равно прийдется (а уж на них то каким-нибудь админам по тихому развернуть несколько VPN "для своих" как раз и будет самое милое дело). Просто заткнуть эту дыру без радикального изменения архитектуры сети и перехода на альтернативные протоколы передачи данных при сохранении емкости сети практически невозможно. А с учетом того что мы даже на IPv6 уже сколько лет перейти никак не можем, не то что какие-то новые протоколы сетевого уровня разрабатывать и внедрять, ожидать тут каких-то изменений в ближайшем будущем не стоит. Поэтому дыры всегда были, есть, и будут. Как говорится, ищущий да обрящет :).
Semy
18.07.2025 13:06А какие именно реализации TCP используют ICMP для congestion control? Это будут какие-то совсем странные реализации, не совместимые ни с чем другим.
rabitagorgor
18.07.2025 13:06А насколько просто местному радиоконтролю засечь работающий терминал старлинка? Он же не только на приём работает, как спутниковая тв-тарелка, но и на передачу тоже. Понятное дело, что исходящий луч весьма узкий - но тем не менее у властей, когда им это действительно надо, вполне найдутся и оборудование нужное, и персонал квалифицированный.
Vilos
18.07.2025 13:06Термин "узкий луч" очень и очень абстрактный и приблизительный...я как человек в далеком прошлом немного связан с радиолокацией могу смело заявлять что луч в виде узкой иглы не бывает в природе, и даже в виде бейсбольной биты (как часто его схематически рисуют) тоже не бывает.
Во первых форма диаграммы излучения эта штука очень абстрактная поскольку излучение всегда светит во все стороны, просто условно кудато лучше, кудато хуже, а поэтому см пункт 2
-
Всегда у всех антенн есть так называемые боковые липестки, у некоторых они широкие, у некоторых узкие но при этом "яркие", но они есть всегда и светят во все стороны.
Поэтому - да, найти радиопередающее устройство специалистам как два пальца об асфальт (даже если оно "светит" вверх...азимут, пеленг в течении нескольких минут. Главное иметь хороший приемник с высоким сигнал/шум.
rabitagorgor
18.07.2025 13:06Спасибо за ответ. Думаю, главное, что нужно иметь в таком случае - это желание найти "радиохулигана". Будет у властей желание - всё остальное найдётся за наносекунды. ;)
bak
18.07.2025 13:06Можно брать переносной терминал, ехать в лес, качать что-то по быстрому и уезжать. По заветам прадедов!
StjarnornasFred
18.07.2025 13:06Так-то да, но для начала надо вообще понять, что радиохулиган существует. Это можно определить либо по косвенным признакам (помехам в эфире), либо напрямую, если оборудование для сканирования эфира стоит повсюду и работает непрерывно - что, разумеется, возможно лишь местами, например, рядом со стратегическими объектами.
fivlabor
18.07.2025 13:06А там луч даже шире, чем у обычной тарелки. ФАР - на всю полусферу излучает.
funca
18.07.2025 13:06В статье пропущен момент как эти иранские борцы с цензурой платят за Starlink.
BlackMokona
18.07.2025 13:06В теории можно платить майнингом крипты например. Майнишь крипту, ей оплачиваешь.
Neuron_n
18.07.2025 13:06По поводу SMS - шифрования SMS в сети SS7 и конкретно в стеке SIGTRAN, не существует в принципе. Как раз одна из главных проблем протоколов SS7 - полное отсутствие шифрования. (Речь о протоколах SCCP, TCAP, MAP, GSM SMS)
А по поводу надежности доставки - для SMS-центра нет никакой разницы, короткий текст у SMS или нет, длинная смс будет разбита на определннье количество частей в зависимости от кодировки и каждая часть будет доставлена получателю по отдельности. А повторные сценарии доставки SMS тем более гарантируют доставку SMS-сообщений
NekitGeek
18.07.2025 13:06В старлинке есть GPS и умельцы давно придумали как его обойти чиповкой. Так что на границах территорий где старлинка нет, его в теории можно использовать.
Aelliari
18.07.2025 13:06Интересно, можно ссылку? GNSS в терминале используется не для применения ограничений напрямую, он используется для определения местоположения. И уже в соответствии с местоположением терминал получает свою карту/расписание спутников, для своей ячейки (около 15 миль). Спуфить gnss не особо сложно и для этого не нужно внедряться в железо терминала, но получив «неправильную карту» терминал все равно не сможет подключиться к спутникам
А на границе оно и так работает, если ты попадаешь в «ячейку», общую для тебя и соседней страны, где оно разрешено
Т.е. нужно чтобы тарелка передавала координаты страны где старлинк разрешён, но работала с «ячейкой» для фактического местоположения
DjUmnik