В статье Интернет-цензура и обход блокировок: не время расслабляться есть пункт 4 про то, что нужно использовать 2 IP адреса, один на вход, другой на выход. Я все эти года отмахивался от него, ведь у меня уже настроен умный роутинг и на мобильных клиентах тоже, то есть российским сайтам я свой драгоценный IP не показываю и должно быть все ок. Да? Нет.
Раскрыло мне глаза вся эта возня Минцифры, что российские приложения должны стать шпионами и сдавать куда надо все ваши данные, там в том числе была методика, что нужно обращаться к зарубежным сайтам, которые показывают IP и есть шанс, что там вскроется ваш IP. Ок, я ж подготовился, просмотрел свой список доменов для роутинга и вычистил подобные сайты, раза 2 проверил. Теперь то все ок? Да? Нет.
На днях попалась статья про то, что энтузиаст сделал приложение для проверки по методичке Минцифры своего устройства Android. Я скачал, с полной уверенностью, что я пройду легко этот тест. Жму кнопку проверки и ... ALARM! Свистать всех наверх! Мой драгоценный IP выдал ipify. КАК?!
Я еще раз проверил список на роутинг, нет там никакого ipify. Как его IP адрес попал в роутинг? Прошерстил всю файловую систему OpenWRT - никаких следов ipify. Хм. Очистил таблицу роутинга и "пошел" на работу, включив рабочий ноутбук с легальным рабочим КВНом.
На рабочем компьютере иногда использую ChatGPT, и с этим есть проблема - он не пускает людей из РФ. То что я на основном компьютере вызывал сайт ChatGPT и его IP уже попал в роутинг - ничего не значит, т.к. рабочий КВН использует свои DNS адреса и для ChatGPT выдает другой IP. Я как всегда делаю ping chatgpt.com, получаю IP адрес и иду в OpenWRT добавлять вручную в таблицу маршрутизацию этот IP адрес...
СТОП, где то я этот IPшник видел!
Как?
Я довольно продвинутый пользователь ЭВМ, но для меня стало откровением что на одном IP адресе могут сидеть несколько сервисов. Это был IP адрес Cloudfare и как выяснил это типичная ситуация.
Таким образом никакой гарантии защиты от такой ситуации нет. Добавляя безобидный IP в роутинг, можно добавить и зарубежный сайт проверки IP, который будет использовать шпион и от этого не защититься.
Банить IP Cloudfare - не вариант.
Банить по доменному имени все сервисы проверок IP - это будет работать, если шпионское ПО честно использует DNS сервер твоего роутера, а он может использовать DNS сервер какой ему вздумается и запретить это нельзя.
Была мысля поднять свой ТСПУ на openwrt и рвать сессию шпиона на этапе рукопожатия для всех сайтов проверок IP. :) Но это уже перебор. Да и шпион может свой сайт поднять за Cloudfare и смотреть твой IP и ты про существование этого сайта даже не узнаешь.
Самое простое - иметь два IP адреса, для входа и выхода. Это закроет данный вектор атаки.
Осведомлен - значит вооружен.
Комментарии (22)
Belkogoth
10.04.2026 19:10Насчет нескольких сервисов на 1 IP - дык давно изобрели реверс прокси и SNI)
В плане зашиты от простукивания шпирнов доступа наружу и палева впн - тут разве что подход нужен комплексный.
Во-первых, приложения - видимо, пришла пора весь чебурнетный хлам выносить на отдельный смартфон, желательно с LineageOS, с отдельной сим-картой и наглухо вырубленными видами связи (блюпуп, навигация, nfc, wifi). Госуслуги, яндексы, озоны с вб, максы и прочее - все пусть катится в задницу)))) Тогда этот вектор атаки точно отсекается.
Браузеры - сложнее, в наше время почти обязателен DoH/DoT, благо многие браузеры его умеют из коробки, и блокировать WbRTC траффик, трекеры и т.п.чтобы те же яндексы-госуслуги не шпионили, не собирали доскональный цифровой отпечаток, и вообще. Но последнее время РКН стал бодать DoH. У меня куплена подписка на Adguard DNS - все роутеры у меня стучатся на него. Последние пару дней до адгарда стучатся с затыками, постоянно сыпя в логах ошибки подключения. Пришлось на роутерах прописать маршрут до doh через собсно туннели) Теперь работает.
С ПК сложнее следить за приложениями, ибо app-based-tunneling/routing в винде не представлен. Приходится костылить: в групповых политиках QoS: траффику от исполняемого файла с определенным именем присваивается DSCP-метка, а роутер по ней вылавливает траффик и сует уже как душе угодно)
Ну и плюс никто не отменял socks5/http прокси через туннель. Удобно, когда хочется задавать не доскональные правила, а толкать в туннель избранные приложения не средствами роутера.
Krypt
10.04.2026 19:10Не проще ли на ПК запихнуть всё сомнительное в виртуалку, дать её доступ только к прямому подключению, а дальше оно там пусть хоть обзапрашивается?
Belkogoth
10.04.2026 19:10виртуалка это не всегда удобно, виртуалка жрет памяти много, и так далее. Кому-то зайдет, но большинство скорее всего забьют болт на нее через какое-то время.
Но в целом да, тоже раьочий вариант, ибо виртуалку можно прикрутить мостом к основной сетевухе, dhcp на роутере даст адрес, а ему можно запретить лезть в туннель.
riv9231
10.04.2026 19:10Чтобы вручную не копировать ip каждый раз используйте для dns-ресолвинга свой dnsmasq, он пожет запихивать ip-адреса укаханных в конфигурации сайтов после их ресолвинга в ipset. А дальше перенаправляете не отдельные ip, а целый ipset.
abrwalk
10.04.2026 19:10Можно использовать (бесплатный) IPv6 на вход, основной IPv4 на выход, тогда не придется докупать второй IPv4.
Quqas
10.04.2026 19:10да там каких только теорий и "советов" как избежать, вместо явственной идеи не ставить себе эрэфийский скам, никуда и ни за что (на крайний случай откатится на древнии версии с запретом апдейта)
ибо в припадках паранойи всегда можно предположить что вскоре с того же рустора будут ставить откровенный вирусняк ищущий на fs конфиги vpn прям с ключами и ip
и т.п. сташилки
wepp
10.04.2026 19:10Запрет апдейта может не помочь. Почему-то куча приложений в последнее время отказывается работать без обновлений. Просто не запускается и всё. В основном, банковские.
Quqas
10.04.2026 19:10на нет и суда нет - я ж говорю это крайний вариант
а штатный удалить и забыть
либо в погоней за "удобством" утереться и терпеть - и приложухи тут лишь вершина айсберга
inkvizitor68sl
10.04.2026 19:10Т-банк разлогинил старое приложение и не давал в нём залогиниться.
Парам-пам-пам-фьюить.
(ну понятно, что сейчас т-банк поедет на отдельный телефон, а до тех пор попользуюсь веб-мордой).
CitizenOfDreams
10.04.2026 19:10Скоро придется писать статьи "почему вам нужен второй паспорт"...
Goron_Dekar
10.04.2026 19:10Да все эти статьи на самом деле именно "почему вам нужен второй паспорт".
HorekRediskovich
10.04.2026 19:10Под двумя ip, для входа и выхода имеется ввиду, что по одному ip мы подключаемся к нашему серверу и обшаемся с ним, а в сеть с самого сервера выходим под вторым ip?
lsz
10.04.2026 19:10шпионское ПО честно использует DNS сервер твоего роутера, а он может использовать DNS сервер какой ему вздумается и запретить это нельзя.
Вполне себе можно
kma21
10.04.2026 19:10Я что-то не могу в кучу собрать мысли зачем нужны два адреса. Я понимаю концепцию - вход с одной стороны, выход с другой стороны. Но дальше не понимаю. Если банится выходная нода, мы вынуждены её переразворачивать. Если она для нас ценности не представляет (у нас IaC в ходу, CI/CD и т.д.), то что нам мешает разворачивать и входную ноду так же безболезненно?
Роутить трафик можно на клиенте. Внутренний трафик клиент шлёт напрямую, внешний шлёт на Марс. А на Марсе мы внутренний трафик вообще в блекхол отправляем. Если это клиенту не нравится, пусть он у себя роутинг настроит корректный.
Если говорить, что входная нода в РФ, а выходная на Марсе, то что это меняет? И виртуалка, и домашнее оборудование рано или поздно приходят к одним и тем же магистральным провайдерам (через которых идёт трафик на Марс), у которых тоже стоит ТСПУ. Ведь если бы было иначе, то достаточно было бы прст вируатлки в РФ.
Отдельный случай с вайт листами, но то особенные входные ноды. Их не много, они есть не у всех и т.д. Там смысл понятен.
KivApple
Вроде некоторые VPN позволяют задавать роутинг не по IP, а по приложениям. Соответственно, российские приложения всегда пускать напрямую, а браузер и иностранные приложения - через VPN. Но это может поддерживаться не на всех ОС.
Slimer Автор
Да, моя жена с iPhone спалит всю контору, поэтому нужно надежное решение
VenbergV
Пока почти надежно может быть только заворачивание приложения в свой подконтрольный прокси. А уже на стороне прокси сервера отправлять трафик приложения в свой подконтрольный "приватный канал".
Главное что бы трафик вообще никогда не пересекался в приложении, а лучше на устройстве. И упаси вас от автоматического выбора маршрутов, по доменам, или гео. Там всегда есть вероятность ошибки и где-то ваш трафик спалится.
Vindicar
Если я верно понимаю, роутинг по приложениям определяет маршрут по умолчанию, если само приложение не дало никаких уточнений. Приложение, узнавшее, как звать сетевой интерфейс VPN (а это вроде несложно), может принудительно отправить свой запрос через него.
Belkogoth
Если впн свой, selfhosted - тут гибче получается. Я б вот как сделал.
В файрволе можно запретить forward- траффик со входящих туннельных интерфейсов наружу. К примеру, тех устройств, где стоят такие оборзевшие приложения. Затем поднять прокси с логином/паролем, и для прокси разрешить форвард траффик наружу. Ну а прокси указывать для приложений, которые надо на телефоне пускать в туннель, адрес, ессно, указать туннельный - через общий интернет траффик на прокси может блокироваться ТСПУ.
Тогда изолируем шпиёна. Хотя у шпиёнов политика, увы, сейчас дубовая: некоторые могут стучать в РКН на наличие любого вида ВПН, даже если это локальный, к примеру, для приложения-фаервола. Ибо гугл молодец, в андроиде он давно запретил прямое управление iptables без рута, а рутовать сейчас ой как немного смартфонов можно. Поэтому все доступные фаерволы работабт через локальный впн. Что, кстати фигово, ибо поднять одновременно два впн (фаервол и впн наружу) нельзя.
В случае винды - в комментарии ниже я описал, как метить траффик выбранных приложений и ловить его на роутерах, и для таковых на VPN сервере можно создать разрешительное forward- правило. Если впн поднят исключительныц (который в системе блокирует весь трафыик мимо себя) - dscp метка не должна сниматься по приходу на интерфейс впн сервера, то есть сервер увидит метку.
xXXSishkAXXx
Вот только это тоже не поможет