Каждый раз, когда в Иране возникают массовые протесты, мы наблюдаем уже привычную картину: информационный поток замирает. Связь с интернетом сильно замедляется или пропадает полностью.

Но как современная страна переживает такое отключение от интернета? Разве это не должно рушить все налаженные процессы?

Не совсем, ведь Исламская Республика последние десять лет занималась разработкой интернета внутри интернета.

Национальная информационная сеть: изоляция как основа

Национальная информационная сеть Ирана (National Information Network, NIN) — это контролируемый государством интернет, созданный с целью поддержания работоспособности внутренних сервисов даже в периоды отключения международной связи. Можно представить это как песочницу национального масштаба: сайты, банковские порталы, мессенджеры и электронные правительственные сервисы, работающие исключительно на территории Ирана.

Такая система служит двум основным целям:

• Позволяет выборочно отключать ресурсы: государство может блокировать международные платформы (например, WhatsApp, Instagram* или новые сайты), сохраняя полноценную работоспособность местных сервисов (государственные СМИ, банковские приложения).

• Вынуждает провайдеров интернета пересылать весь трафик через контролируемые государством шлюзы, что упрощает его мониторинг и фильтрацию, а также отключение отдельных сегментов сети при необходимости.

Поверх этой системы реализован IRGFW — Iranian Great Firewall. Созданный по подобию китайского Great Firewall (GFW), но с более строгим принуждением и централизованным контролем, этот экран фильтрует, блокирует и отслеживает трафик по всей стране. На бумаге эта система выглядит надёжной и неприступной.

Но всегда есть дыра, всегда.

Что можно сделать в такой ситуации?

Эта блокада иранского интернета весьма агрессивна, но не идеальна. Как и любая масштабная система фильтрации, она опирается на устаревшие метаданные и статические списки блокировок. Здесь-то и формируются первые трещины.

Известная слабость: IP-адреса арендуются, а не являются собственными

Количество адресов IPv4 ограничено, и они постоянно перераспределяются. В основном это арендуемые адреса, которые передаются между провайдерами хостинга, перепродаются одними дата-центрами другим или перемещаются между разными регионами. Решение о том, какие IP считать надёжными, а какие блокировать, иранская система фильтрации принимает на основе баз данных GeoIP и информации протокола внешней маршрутизации (BGP). Но эти ресурсы не поспевают за актуальными изменениями.

IP, когда-то принадлежавший местному иранскому провайдеру, теперь может быть присвоен серверу в Амстердаме. Но поскольку IRGFW не обновляет свои фильтры в реальном времени, этот IP ещё какое-то время будет продолжать числиться в белых списках.

И это открывает скромную, но реальную возможность для сканирования пространства IP-адресов на предмет доступных прокси, VPN или ретрансляторов, ещё не внесённых в списки блокировок.

Да, это подразумевает банальный перебор адресов, но в условиях, когда все двери заперты, даже единственный рабочий IP может стать драгоценным окном в мир.

Pingtunnel: лучше медленно, чем ничего

Для противодействия сканированию или обходу создатели IRGFW пытались блокировать большинство протоколов исходящих соединений. Но при этом полностью ещё (пока) не заблокирован ICMP, протокол, стоящий за функциональностью ping.

Пакеты ICMP обычно используются для диагностики (проверки активности сервера), и их тотальная блокировка нарушит значительную часть легитимной сетевой функциональности. Так что эти пакеты до сих пор разрешены, даже в условиях жёстких отключений.

Вот здесь и приходят на выручку инструменты вроде Pingtunnel.

Pingtunnel позволяет скрытно передавать данные в пакетах ICMP, по сути, туннелируя TCP-трафик через поток запросов ping. Это очень медленный способ, к тому же подверженный потере пакетов. Но он работает, особенно в целях текстовой коммуникации, доступа к командной строке или отправки небольших файлов.

Он не защищён от DPI или временного анализа. Тем не менее в сценариях полного отключения «медленно, но работает» лучше, чем ничего. Даже сеанс оболочки или простейший инструмент обмена сообщениями может стать ценной ниточкой, ведущей во внешний мир.

Доступ к Starlink через NAT: иранцы обходят цензуру, рискуя уголовным наказанием

Несмотря на очень агрессивную криминализацию комплексов Starlink, многие иранцы всё равно умудряются их заполучить. Подключение Starlink можно безопасно раздавать другим, пересылая трафик через локальные маршрутизаторы с поддержкой NAT по зашифрованным туннелям вроде WireGuard.

Что конкретно значит «Доступ к Starlink через NAT»?

Starlink предоставляет независимое интернет-соединение через спутниковую сеть, полностью обходя локальную инфраструктуру провайдеров. Тем не менее, поскольку устройства Starlink получают динамические, зачастую частные адреса IPv4/IPv6 и работают вне традиционной инфраструктуры ISP, при подключении к локальным иранским сетям или устройствам пользователей они обычно находятся «по ту сторону NAT» (Network Address Translation, преобразование сетевых адресов).

Как это выглядит:

• Терминал Starlink (терминал пользователя и роутер) из глобальной сети Starlink подключается к спутниковой сети.

• Тем временем устройства пользователя в Иране подключаются к сети местного провайдера, в которой используется собственная обработка IP-адресов и свои системы NAT.

• Пользователь настраивает локальный роутер, или шлюз, который соединяет эти две сети, перенаправляя локальный трафик через соединение Starlink.

Как это позволяет обойти цензуру

Суть в том, что иранские провайдеры и файрволы не могут эффективно блокировать трафик Starlink без непосредственной конфискации или отключения терминалов, так как спутники взаимодействуют с этими терминалами через зашифрованные проприетарные протоколы.

Чтобы поделиться этим соединением Starlink с друзьями и родственниками в Иране, пользователи настраивают VPN-туннели WireGuard:

• Настройка WireGuard Server:
  Сервер WireGuard настраивается на локальном роутере в Иране, который выступает в качестве шлюза. У этого роутера есть два интерфейса:

  • Интерфейс WAN, подключённый к сети иранского провайдера.

  • Интерфейс LAN, подключённый к терминалу Starlink (в зависимости от конфигурации может быть наоборот).

• Маршрутизация трафика:
  Доверенные друзья или родственники посредством VPN-соединений подключаются к серверу WireGuard на роутере иранского провайдера (по локальной сети). Затем роутер расшифровывает и перенаправляет этот трафик через интерфейс Starlink, по сути, используя его в качестве точки выхода в интернет.

• NAT и преобразование IP-адресов:
  Поскольку роутер иранского провайдера находится по ту сторону NAT и файрвола провайдера, он преобразует адреса входящего трафика WireGuard и направляет этот трафик через сеть Starlink, в которой используется собственная схема адресации.

• Совместное использование конфигурации WireGuard:
  Файлы конфигурации WireGuard, содержащие публичные ключи, адреса конечных точек, разрешённые IP-адреса и порты, безопасно распространяются между доверенными пользователями. Это позволяет им установить на своих устройствах в Иране зашифрованные туннели связи с роутером, подключённым к Starlink.

Почему такой сетап надёжен

• Трафик Starlink зашифрован и передаётся через спутники. Это сильно затрудняет для IRGFW его инспектирование и блокировку без физического вмешательства.

• WireGuard использует UDP и минимизирует обмен данными при квитировании, затрудняя обнаружение и блокирование соединения посредством DPI.

• NAT скрывает внутреннюю структуру IP, поэтому иранские файрволы видят только стандартный зашифрованный трафик, идущий к локальному роутеру — они не могут с лёгкостью определить, что этот трафик затем отправляется в Starlink.

• Это также позволяет нескольким пользователям совместно использовать один терминал Starlink, по максимуму задействуя возможности редкого и дорогостоящего оборудования.

Как выживать внутри NIN?

Иногда Национальная информационная сеть (NIN) работает, но доступ из Ирана к глобальному интернету полностью отсутствует. В таких случаях вы банально не можете связаться с друзьями и родственниками за пределами страны. Да что говорить, даже коммуникация внутри Ирана становится проблематичной.

Какие тут есть варианты?

• SMS?
  
  SMS в Иране не шифруются. Правительственные службы могут перехватывать, читать и сохранять ваши сообщения, чем они нисколько не брезгуют. Кроме того, SMS работает медленно и гарантирует надёжность передачи, разве что, для коротких текстов.

• Телефонные вызовы?
  
  Для вызовов используются GSM-сети, которые полностью контролируются государством. Голосовые вызовы можно перехватывать, записывать и отслеживать без согласия пользователя. Понятие тайны частной жизни здесь отсутствует в принципе.

Средства локальной сети: собственные зашифрованные сервисы

Но здесь есть подвох: NIN не запрещает обмен трафиком внутри локальных сетей. То есть вы можете запускать сервисы внутри Ирана, без доступа к цензурируемому глобальному интернету, но сохранять при этом возможность общения.

Одно из реально рабочих решений — это настройка собственного сервиса обмена сообщениями со сквозным шифрованием, например, сервера Matrix Synapse, который можно полностью разместить на VPS иранского провайдера.

Почему Matrix?

Matrix — это опенсорсный протокол, позволяющий реализовать безопасный канал со сквозным шифрованием для обмена сообщениями, а также совершения голосовых и видеовызовов. Он децентрализован, так что запустить свой сервер может любой желающий. Если ваш сервер находится в Иране, и ваши контакты подключаются локально, вы избежите международной цензуры и жёсткой фильтрации.

Что для этого нужно?

• VPS, выделенный иранским провайдером, чтобы к нему был доступ внутри NIN.

• Доменное имя, указывающее на этот VPS, в идеале зарегистрированное иранским регистратором или настроенное на разрешение внутри DNS-системы NIN.

• Установленное и настроенное на VPS программное обеспечение Matrix Synapse.

Как это поможет?

Поскольку трафик никогда не покидает внутреннюю сеть страны, госслужбам становится сложнее блокировать его без полного отключения NIN. А так как Matrix использует мощное шифрование, то содержимое пакетов останется скрытым даже в случае их инспектирования регулятором.

Выживание внутри NIN требует адаптирования к её ограничениям и эксплуатации слабых мест её архитектуры. Запуск собственного зашифрованного сервиса для локальных коммуникаций позволяет жителям Ирана поддерживать защищённую связь даже в условиях потери доступа к глобальному интернету.

Да, это решение не идеально, здесь есть свои риски, и настройка таких сервисов требует технических навыков. Но оно становится буквально спасательным кругом в условиях цифровой среды, ориентированной на изоляцию и тотальную слежку.

*Деятельность Meta — соцсети Facebook и Instagram — запрещена в России как экстремистская.