В предыдущей статье мы обсуждали некоторые меры, которые пользователь может предпринять против spyware, детектирующего факт использования VPN и сливающего полученные данные “Большому брату”.
Если судить по комментариям (и автор в целом согласен с их логикой), то в условиях тотального стукачества иных выходов, кроме как иметь два смартфона (а, возможно, и два десктопа!), действительно почти не остаётся. На первый взгляд это и правда так.
Однако если немного подумать, то окажется, что техническое решение всё-таки есть. Да, оно относительно дорогое (минимальные расходы около 1000-1500 рублей в месяц), но оно существует!
Если интересна архитектура VPN-сервиса, устойчивая к наличию spyware на клиенте, то эта статья для вас!
Введение
Интернет гудит от того, что большой брат постоянно меняет стратегию и тактику борьбы со свободой распространения информации. В последние дни в дело пошли стукачи. Пусть они и цифровые, но именно поэтому работу свою они будут исполнять исправно – ведь договориться с ними нельзя.
А раз так, то придётся искать вариант, как жить в среде, где электронное стукачество искоренить невозможно.
Да, можно попробовать переселить вредоносные программы в электронный отстойник (как предлагалось в предыдущей статье), однако это не панацея. Рано или поздно стукач поднимет свою техническую грамотность, а после – преодолеет и этот барьер.
Может показаться, что иного решения, кроме как держать два смартфона (для себя и для большого брата), и нет. И в комментариях к предыдущей статье многие пришли именно к такому выводу.
Однако унывать не стоит! Решение есть. По крайней мере на сегодня и, может быть, на несколько ближайших лет оно существует. Прочитав данную статью, читатель сможет построить свой сервис VPN так, чтобы блокировки как можно дольше обходили его стороной.
Ну что же. Пора заканчивать с рекламой и переходить к архитектуре. Но чтобы разобраться в предлагаемой стратегии построения такого технического сервиса, я хочу сперва донести до читателя обоснование: почему и откуда следуют те или иные логические допущения, на которых эта архитектура строится.
Итак, начнём с того, что определим:
Что мы знаем о противнике?
Раз противник перешёл к использованию spyware на клиенте, то сразу возникает вопрос: “Почему это произошло?”
Первое и очевидное объяснение состоит в том, что:
Прочие методы борьбы в значительной степени себя исчерпали. Надёжного результата не дают.
Почему так? Потому что современные VPN-решения вроде xray умеют довольно хорошо маскировать свой трафик под безобидный, изображая обычные вебсайты. Кроме того, сегодня практически все соединения шифруются, а потому массово и надёжно вычислять VPN, просто наблюдая трафик у провайдера, крайне трудно.
Предположить наличие VPN у клиента? – Да.
Предположить высокую вероятность VPN у клиента? – Снова да.
Точно ответить на вопрос: “Использует ли клиент VPN?” – Нет.
Таким образом, механизм со стукачами, пожалуй, является одним из последних действительно рабочих технических методов.
Если и он не сработает, то позднее, вероятно, начнутся какие-нибудь административные и уголовные репрессии. Но пока (пока ещё!) мы живём в технологическом мире, мы можем собрать архитектуру, которая будет максимально устойчива к текущей модели давления – к наличию стукачей.
Итак, что мы знаем о противнике?
массово и надёжно вычислять VPN только по трафику он не может;
зато он может получать информацию от программ-стукачей на клиентском телефоне;
мало того, своё оборудование сейчас он сосредоточил именно здесь – у операторов мобильной связи.
Из этого следует простой вывод: если бы не spyware, то эту войну граждане, пожалуй, уже выигрывали бы.
Таким образом мы можем сформулировать:
Требования к устойчивому VPN
Чтобы VPN был устойчив к стукачеству:
Его работоспособность должна перестать зависеть от компроментации точки выхода.
Ну знает большой брат выходной IP – на работу это влиять не должно!Он должен быть устойчив к мониторингу трафика сотовыми операторами. Ведь именно здесь и осуществляется выявление множества VPN-узлов. Здесь, как было показано выше, большой брат этот раунд уже проиграл.
Если посмотреть на этот список, то сразу становятся видны и слагаемые решения. Некоторые из них уже появлялись в разных статьях на Хабре, но обычно не все вместе.
Давайте попробуем устранить этот недостаток.
Первое, что нам потребуется, – это стационарный VPN-узел внутри суверенного государства.
Зачем он нужен?
чтобы местный трафик маршрутизировался внутри суверенного государства и не терял в скорости;
чтобы у нас был полный контроль над программным обеспечением на этом узле (без стукачей);
чтобы предложения тарифицировать иностранный трафик, наказывая пользователя VPN рублём, отсекались уже на этом этапе.
Но я несколько забегаю вперёд, а потому давайте сперва рассмотрим:
Самый плохой вариант
Смысл его прост: клиент напрямую ходит через границу страны на один единственный внешний VPN-узел, а уже оттуда попадает в интернет.
Это дешёво, это просто, это удобно.
Но такая схема плоха, и плоха она сразу по двум причинам.
Во-первых, внешняя точка выхода в такой схеме доступна для анализа буквально на уровне сотовых операторов (повторюсь: именно здесь большой брат и собрал максимум наблюдающего оборудования).
Во-вторых, такая схема очевидным образом неустойчива и к spyware на клиенте, но об этом мы подробнее поговорим чуть ниже.
Конец игры. Но сообщество ответило на это усложнением архитектуры, придумав то, что будет:
Устойчиво к анализу трафика, но не к spyware
Чтобы частично выполнить второе требование, нам нужна промежуточная точка внутри государства. Цель здесь проста: сбить с толку анализаторы мобильного трафика и оставить внутренний трафик внутри.
В ней есть:
телефон клиента;
VPN-сервер в суверенном государстве:
MY.VPN;VPN-сервер за пределами суверенного государства:
FREEDOM.VPN;интернет, в который мы пытаемся попасть.
В такой схеме MY.VPN принимает на себя две роли.
Первая: маршрутизация трафика к местным ресурсам (например, госуслуги) прямо внутри суверенного государства.
Вторая: передача всего внешнего трафика через
FREEDOM.VPNв сторонуclaude.com,chatgpt.com,youtubeи прочих ресурсов, живущих по ту сторону границы.
С точки зрения централизованного анализа трафика это уже заметно более устойчивая схема. Для оператора всё выглядит так, словно вы в основном работаете с одним и тем же узлом внутри суверенного государства.
Но есть проблема. Эта схема по-прежнему неустойчива к spyware на клиенте.
Ведь что делает стукач? Очень просто. Вместо того чтобы заниматься той деятельностью, для которой предназначен (например, обеспечением доступа к банковскому счёту), он делает запрос к своему агенту за пределами суверенного государства.
Этот агент видит, что запрос к нему пришёл от FREEDOM.VPN, и таким образом узнаёт адрес вашей внешней точки выхода. После этого стукач сдаёт этот адрес наверх по иерархии.
Далее приходит большой брат и закрывает доступ к FREEDOM.VPN для всех граждан суверенного государства без исключения.
Проблема в том, что нашей системе VPN требуется доступ к FREEDOM.VPN, и этот адрес легко обнаружим.
Важно: стукачу даже не обязательно иметь агента за рубежом. Он может выполнять запросы к общедоступным сайтам, вроде ifconfig.me.
Попробуем доработать наш VPN, чтобы получилась:
Система, устойчивая к spyware на клиенте
Чтобы помешать стукачу выполнить его чёрную работу, мы добавим ещё один узел, разместив его за пределами суверенного государства.
Итого, схема получится трёхкаскадной:
телефон клиента, на котором мы заранее допускаем наличие spyware;
VPN-сервер в суверенном государстве:
MY.VPN;первый внешний VPN-сервер:
FREEDOM.VPN1;второй внешний VPN-сервер:
FREEDOM.VPN2;целевые сайты в интернете.
Особенности:
MY.VPN, как и прежде, маршрутизирует местный трафик внутри суверенного государства, а внешний – перенаправляет наружу.
Но теперь есть важная разница.
Точка выхода в мир – это
FREEDOM.VPN2. Поскольку связь с ней осуществляется не напрямую, то не требуется, чтобы эта точка была доступна из суверенного государства.Переход данных через границу осуществляется при помощи узла
FREEDOM.VPN1, и информация о нём известна немногим: вам, узлуMY.VPNи больше никому.
Итого.
MY.VPNнам нужен для того, чтобы мобильный оператор видел, что дел вне суверенного государства у вас нет.FREEDOM.VPN1– секретный узел, о котором не проведает ни один стукач. А потому связь с ним условно защищена от взгляда большого брата.FREEDOM.VPN2– выходная точка, доступ к которой большой брат может запрещать, получая от этого моральное или иное удовольствие.
Итого: Такая схема устойчива к компрометации точки выхода.
Недостатки
Высокая стоимость. Приходится оплачивать три узла VDS.
Большой брат может прийти во все датацентры суверенного государства. Но здесь всё сложно: для этого ему придётся всерьёз анализировать трафик датацентров суверенного государства. А это уже задача другого масштаба, которая затронет работу множества больших сайтов, служб и порталов.
Поэтому я думаю, что подобная схема, будучи установлена сегодня, сможет прослужить несколько лет подряд. Ибо главный враг этой архитектуры всего один – белые списки. Чебурнет.
Дополнительно в недостатки можно записать следующее:
Иногда большой брат банит различные части интернета подсетями. Обнаружили, что адрес 1.2.3.4 содержит нечто подозрительное, и вместо того, чтобы добавить в блок адрес 1.2.3.4, добавили подсеть 1.2.0.0/16. Такое бывает. Но вряд ли это баг предложенной архитектуры.
Стоимость
Посчитаем цену вопроса.
сервер
MY.VPNвнутри суверенного государства: 400 – 500 рублей в месяц;серверы
FREEDOM.VPN1иFREEDOM.VPN2за пределами суверенного государства: по 2 – 7 долларов в месяц каждый.Итого, в среднем около: 1500 рублей в месяц.
Дорого это или дёшево? – Неприятно. Но за доступ к современным мировым наработкам в области ИИ, к базе мировых знаний – YouTube, к нормальному человеческому интернету и к возможности жить без постоянной оглядки на электронных стукачей это, на мой взгляд, вполне приемлемо.
Снижаем стоимость
Снизить стоимость можно отказавшись от третьего VPN-сервера, заменив его дополнительным IP адресом на FREEDOM.VPN1:
Итого, схема остаётся трёхкаскадной, но содержит два узла:
телефон клиента, на котором мы заранее допускаем наличие spyware;
VPN-сервер в суверенном государстве:
MY.VPN;-
Внешний VPN-сервер с двумя IP-адресами:
FREEDOM.VPN1;FREEDOM.VPN2;
целевые сайты в интернете.
Соединение из суверенного государства приходит на "секретный" адрес FREEDOM.VPN1, а в мир уходит с другого адреса FREEDOM.VPN2.
Достоинством этой схемы будет то, что лишний переход трафика исключается, а следовательно она может выдавать контент чуточку быстрее.
Вот мои измерения:
время ответа
MY.VPN- 20мс;время ответа
FREEDOM.VPN1(цепочка) - 82мс;-
время ответа
FREEDOM.VPN2:выделенный узел - 84мс;
второй адрес - 82мс.
Но у более низкой цены решения есть и недостатки:
Не все провайдеры готовы будут предоставить вам два адреса в разных подсетях
/8. Чаще всего это будут адреса в сети/24;Следствием из пункта 1 может быть большая вероятность попадания под ковровые блокировки;
Нужно правильно настроить исходящий трафик через
FREEDOM.VPN2. Здесь требуется больше квалификации (инструкций на эту тему в интернете меньше).
Но как бы то ни было - на этом можно сэкономить где-то 300-500 рублей в месяц, и это здорово!
Заключение
Серебряной пули, увы, нет. Это решение работает в условиях сегодняшней ситуации. А что будет завтра – покажет только сама война.
Ибо борьба – это процесс. Как известно, у самурая нет цели, есть только путь. Поскольку большой брат своей конечной цели не формулирует, то он в каком-то смысле – тоже самурай.
Что ж, пусть так.
Но ведь раз он нам брат, то всё-таки родственник? А значит, мы можем и мы должны ему соответствовать. Уж в упорстве – точно.
Комментарии (181)
nanoChip
12.04.2026 18:21Насколько я понял, им важно наличие VPN как такового, не важно в РФ он или нет.
Т.е. если spyware видит, что включён ВПН, оно определят его IP и блокирует MY.VPN, остальные два ему и не нужны.
linux-over Автор
12.04.2026 18:21внутри суверенного государства ресурсы пока (пока!) блокируются только посредством суда, для которого нужна докбаза
блокировка freedom.vpn2 предложенному решению не опасна
а о freedom.vpn1 РКН информации получить негде. Он конечно может начать давить на датацентры. Но это займёт не один месяц. (думаю, годы).
Skatilsya
12.04.2026 18:21Получается, что в идеале нужно чтобы vpn1 и vpn2 были у разных хостингов, чтобы диапазоны ip-шников максимально различались?
Или в этот раз они планируют точечно блокировать.
linux-over Автор
12.04.2026 18:21ну коврово они тоже блокируют, бывает. Но в среднем таки блокировки идут точечные. То есть в идеале да - лучше два айпи иметь в разных подсетях, но желательно недалеко друг от друга (суммарный ping чтобы не был большим)
edo1h
12.04.2026 18:21внутри суверенного государства ресурсы пока (пока!) блокируются только посредством суда, для которого нужна докбаза
Вы многое пропустили. Министерство «порекомендовало» всем кто в белых списках отказать в обслуживании клиентам с впн
6yHTapb78RUS
12.04.2026 18:21Позволю себе не согласиться. У меня уже почти месяц подобная схема реализована в тестовом режиме на нескольких устройствах. Даже если на MY.VPN завернуть трафик к определенным доменам\зонам напрямую с MY.VPN, т.е. оставить внутри страны, некоторые приложения\страницы отказываются работать совсем. Предположительно, у них есть чекер на какие-то свои домены ВНЕ границ, что вполне вероятно, т.к. страница на ПК не может знать что у меня в системе включено или на роутере завернуто. На телефоне же им достаточно самого факта включения vpn. Речь идет о гос ресурсах. Так же приложение такси (не яндекс) реагирует на этот факт. Хочу поиграться с wireshark, чтобы определить этот момент, но пока руки не дошли. Прочие помои типа яндекса и сбера не реагируют на vpn. Полагаю, что им достаточно того, что к ним приходят с внутреннего IP, а сам факт включенного vpn их не интересует. Хотя и не мешает стучать.
VADemon
12.04.2026 18:21для dns достаточно pihole, там раскрасивая админка со статистикой запросов. Или на Android всякие снифферы, но оно работает по API VPNа, в этом случае точка доступа должна сама в VPN-соединение оборачивать.
Skipy
12.04.2026 18:21Увы, РКН уже давно имеет право внесудебной блокировки внутри суверенного государства. Детей же надо от порнографии защищать, а пока суды расчехлятся... Это, кстати, было официальной мотивацией, когда внесудебные блокировки пробивали. Ну и на личном опыте знаю сайт, который вынужден доменные имена и хостинг менять регулярно, ибо банят его без всякого суда.
d3d14
12.04.2026 18:21внутри суверенного государства ресурсы пока (пока!) блокируются только посредством суда
???
hrusha
12.04.2026 18:21о freedom.vpn1 РКН информации получить негде
Простите за, возможно, глупый вопрос, а команда tracert разве не показывает все промежуточные узлы через проходит пакет ? Таким способом шпионское ПО не может посмотреть и вычислить первый узел за границей суверенного государства ?
linux-over Автор
12.04.2026 18:21если vpn строится на общепринятых в настоящее время технологиях (xray), то для того, чтобы показать маршрут tracert надо приложить усилия
(усилия не к тому чтоб собрать, а к тому чтоб организовать такую возможность)
а по умолчанию никакой роут не собрать
Daiichi
12.04.2026 18:21если vpn строится на общепринятых в настоящее время технологиях (xray), то для того, чтобы показать маршрут tracert надо приложить усилия
Что, тот же LanDroid не сможет выполнить трассировку до хоста, доступного через VPN, при работе VPN через tun?
linux-over Автор
12.04.2026 18:21не сможет
xray не моделирует IP протокол, а потому роут простроить не на чем
можно в каждом узле приделать tun и переход xray-xray делать через ip, а не inbound-outbound но так извращаться не станет никто
JerleShannara
12.04.2026 18:211 192.168.0.11 0.4ms 0.4ms 0.5ms
2 192.168.1.11 5ms 5ms 5ms
3 192.168.2.11 50ms 50ms 50ms
4 149.28.42.42 200ms 200ms 200msУпс, отстрелили сами себе пятую точку, надо срочно заблокировать 192.168.2.0/24, а лучше сразу 192.168.0.0/16 ну и последний, таааак, стопэ, мы же его уже заблокировали
RTFM13
12.04.2026 18:21трейс передаётся через туннель и соответственно показывает адреса внутри туннеля. а это обычно только вход (адрес интерфейса tun на клиенте, он вообще как правило из локальных диапазонов) и выход (выходной адрес на том конце туннеля).
кроме того трейс можно блокнуть кучей способов. а именно запретить отвечать ттл экспайред, подкрутить ттл и т.п.
можно даже заспуфить адресами тындекса. если они начнут его использовать это будет бесконечное поле для глумления над ними.
LF69ssop
12.04.2026 18:21Внутри суверенного государства уже (уже!) блокируется все что не в белых списках безо всяких судов. Речь про мобильную связь и возможно про отдельные регионы.
artemiux
12.04.2026 18:21freedom.vpn1 будет жить рядом с VDS других пользователей, которые не будут строить анти-spyware цепи. Просто попробуйте запустить RealiTLScanner в подсети своего хостера, и вы увидите много гуглов и майкрософтов. Сначала РКН будет блокировать точечно, а потом и всю подсеть (вместе с freedom.vpn1, который нигде не светился).
Схема на текущий момент рабочая, но вот "на года" - слишком оптимистично.
aGGre55or
12.04.2026 18:21VLESS строго говоря это не VPN, здесь не надо мешать в кучу. Обращение к транзитному узлу находящемуся в РФ (помечен у автора как gosuslugi, но всем понятно что это) абсолютно легетимно и понять что это не взаимодействие с "госуслугами" или "мессенджером скам" (в зависимости от того, какой сайт указан камуфляжным) практически нереально, особенно на больших площадях. Тесты типа nDPI, what-vpn и пр. не могут обнаружить, тестировал это.
Раскрытие происходит через IP exit-точки за рубежом. В предложенном варианте IP зарубежной точки выхода не совпадёт с IP зарубежного dest-сервера, а по IP dest-сервера ТСПУ получит камуфляжный зарубежный сайт, например, kernel.org. Ну, т.е. мы выяснили что VDS на условных gosuslugi очень любит посещать условный kernel.org. Наш трафик зашифрован TLS 1.3 (Reality) и неотличим от обычного посещения сайта kernel.org, что там внутри на самом деле котики с ютуба неизвестно.IP dest-сервера не фигурирует ни в каких списках, а IP exit-сервера знает только dest-сервер. Деньги на дне бидона. Это может работать.
danielstealth
12.04.2026 18:21На телефоне (андроид) стоит блокировщик рекламы и трекеров adguard. Это приложение поднимает локальный VPN на телефоне и гонит весь трафик через себя, чтобы отсекать рекламу и в браузерах, и в других приложениях. Даже на это местами возбуждаются другие приложения, хотя тут обходом блокировок даже и не пахнет. Решается отключением фильтрации траффика этих приложений в самом adguard.
Apokalepsis
12.04.2026 18:21Берется просто сим-карта с роумингом и не нужен не какой VPN.
Andy_U
12.04.2026 18:21У моей финской карты в России - 6 евроцентов за мегабайт. Дорого.
Apokalepsis
12.04.2026 18:21Есть виртуальные операторы только с интернетом - до 2-х тысяч за 10 гигов. Есть чуть более сложные , но интересные кейсы - типо французского оператора за 30 евро с анлимом в роуминге.
Andy_U
12.04.2026 18:21А, ну да. У меня же SIM-карта Drimsim есть. Там, в РФ, судя по приложению, 0.01 евроцента за мегабайт. Итого 10 евро за гигабайт. Лучше, конечно, но не сильно. И, помню, в РФ она не всегда работала. Летом в Лен.области проверю.
iZevs
12.04.2026 18:21как вы собираетесь разделять трафик на my.vpn?
*.ru внутрь остальное наружу?6yHTapb78RUS
12.04.2026 18:21Да. Это делается средствами sing-box. Хотя, не в курсе как это делает ТС.
linux-over Автор
12.04.2026 18:21ну вы сами привели пример - ru внутрь
можно ещё подписаться на один из списков заблокированных/гарантированно российских ресурсов и получать таблиц роутинга в json
Raegdan
12.04.2026 18:21Можно всё так же обойтись двумя VPSками. Есть хостеры, у которых пул IP состоит из множества мелких диапазончиков, вероятно скупленных на вторичке, и при докупке адресов на VPSку выдаются адреса, не похожие даже в первом октете. В таком случае этот сервер спокойно имитирует оба - вход условно на 26.x.x.x, а выход на 175.x.x.x.
Второй вариант - I2P-рой между my и freedom2. Создается много-много инстансов клиента (my) и сервера (freedom2) с параметрами: quantity 16/16, length 0/1 (или 1/0 - равноценно, это как левостороннее или правостороннее движение). Оба i2pd включаются на флудфил, чтобы иметь хорошую репутацию и максимально полную netDb, крайне желательно также собрать их в семью. Все инстансы на клиенте агрегирует haproxy с постоянным тестированием и отбраковкой неудачных, на сервере - они просто все смотрят на один сокет. То есть, на место freedom1 встает распределенный рой запараллеленных пиров.
Хотите верьте, хотите нет, но на практике такая система с хорошим размером роя обеспечивает сотни Мбит/с с пингом 300-500 мс. Пруфов не будет (господин жандарм, подите прочь делать сами свою сыскную работу, с вас тошно-с), но проверить мои слова может каждый собственным экспериментом.
linux-over Автор
12.04.2026 18:21Да если до одного сервера дотянуть два айпи и выходной трафик пускать через тот, который не жалко, то можно сэкономить один VPN
RarogCmex
12.04.2026 18:21Ещё можно использовать тот факт, что ipv4 и ipv6 - разные протоколы. Требуется два сервера с поддержкой ipv6:
1. К MY.VPN клиенты цепляются по ipv4
2. MY.VPN соединен с FREEDOM.VPN по ipv6
3. FREEDOM.VPN раздает интернет по ipv4.
При попытке прощупать FREEDOM.VPN отдаст ipv4 адрес. Но при блокировке этого ipv4 адреса ipv6 продолжает работу штатно, поскольку это другой протокол, который не фильтруется.
Проверено лично, ipv4 адрес моего сервера в Германии попадал под блок (этот сервер, кстати, как раз брался для экспериментов с ipv6); но ipv6 адрес на том же сервере продолжал работать и быть доступным из России.
marus_space
12.04.2026 18:21А точно ли провайдер не видит квн? У меня есть пример с местным провайдером в одном городе. Вот на какие конфиги хватило фантазии: 1) ru-blocked на свободу, остальное в директ; 2) то же самое, но YouTube отдельно в прокси от byebyedpi (по сути директ с порчей пакетов); 3) ru-blocked на сервер в России (как тут на схемах) и оттуда на свободу, остальное прямо с устройства в директ. Минуту работает YouTube, после чего интернет накрывает белым списком (да-да, проводной!): не работает даже поиск в гугл, но вк без проблем. После перезагрузки роутера интернет опять работает (серый и белый), но стоит загрузить что-нибудь в YouTube - опять белые списки. Пока не могу разгадать, на моем провайдере все три конфига работают. X-ray+VLESS+Reality
Spyman
12.04.2026 18:21Похоже поведение наблюдал - оказалось, что у этого провайдера ip моего зарубежного ДЦ в черном списке. Т.е. что там в трафике он не видел, но вот что трафик идёт туда, куда нельзя - да. Решилось сменой хостера.
marus_space
12.04.2026 18:21У меня оказалась утечка quic, xray его не принимал и он шел мимо. Но странно, запросы и так не проходили из-за dpi, а в итоге сверху ещё и бан давали белыми списками, неожиданно и неприятно
Maxim_Q
12.04.2026 18:21Объясните мне зачем городить такой огород? Есть более простыре решения, а именно: раздельное туннелирование на Android - приложения кто не в списке просто не смогут попасть внутрь тунеля (но будут занать что у вас есть VPN). Если у вас iPhone тогда сложней можно например использовать sing-box и разделять трафик (RU и не RU локация) прямо на самом телефоне.
Далее нам нужно иметь максимум два VPS, один на России для входа трафика, второй в Европе для выхода трафика. MY.VPN в вашей логике это сам телефон кто делит трафик, не вижу смылка делать его как VPS в России. а вот FREEDOM.VPN1 должен быть в России т.к. рано или поздно трафик с телефона перестанет идти зарубеж напрямую.
KYuri
12.04.2026 18:21а вот FREEDOM.VPN1 должен быть в России
Если сделать так, то при попадании FREEDOM.VPN2 в список блокировки FREEDOM.VPN1 из России не сможет до него достучаться.
Maxim_Q
12.04.2026 18:21Если VPN1 в России у хостинг провайдеров, а не просто дома на роутере с белым IP тогда достучится, у хостинг провайдеров кажется более щадящие режимы блокировки, ну во всяком случаи у тех что мне покападались подруку. Более того 95% всех зарубежных провайдеров уже в черном списке искать то что не заблочено сложно, а если найдешь то есть вероятность что заблочат через время.
acsent1
12.04.2026 18:21Как выяснилось раздельное туннелирование - это дырка на дырке
https://habr.com/ru/articles/1020080/
Viacheslav01
12.04.2026 18:21Я не пойму одного, столько всего городить, а все будет проще, "шпиен" -> "андройд у тебя сетевой интерфейс квн" -> "Да сэр" -> "квн детектед".
Spyman
12.04.2026 18:21Это все конечно позволит нашему брату меньше пользоваться отечественными ресурсами, т.к. придется передёргивать впн, но такой подход не палит ip хостера - а ркн по методичке четко хочет не только выявить но и получить списки для бара
rombell
12.04.2026 18:21Потому что куча легальных ВПН используется в ИТ для корпдоступа. А какой конкретно ВПН сейчас активирован, белосписочный или нет, так не определить.
Daiichi
12.04.2026 18:21Уважаемые коллеги! Вам не приходило в голову, что все эти ваши трёхзвенные схемы легко вскрываются, стоит только заняться анализом статистики соединений? Вы же, наверно, в курсе, что есть такая замечательная вещь, как NetFlow различных версий, и что среди провайдеров принято вынимать c его помощью сведения о сеансах связи с граничных маршрутизаторов? И, наверное, понимаете, что совершенно ничего не мешает накапливать эти сведения, а затем сгруппировать сеансы связи по парам «адрес источника» — «адрес назначения» и таким образом выявить устойчивую связь между вашими MY.VPN и FREEDOM.VPN1?
Вы ж через этот самый MY.VPN непрерывно долбитесь во FREEDOM.VPN1, и он, само собой, отвечает вам через него взаимностью? Ведь долбитесь же, да? Ага, я так и думал. Так что адрес этого самого FREEDOM.VPN1 вы спалите просто самим фактом постоянного трансграничного трафика между ним и MY.VPN.
Ну а если провайдер по какой-то странной причине не выгружает сведения о соединениях со своих граничных маршрутизаторов сам, всегда есть ТСПУ, через которые проходит весь трафик и на которых можно накапливать нужную статистику соединений по парам адресов источника и назначения, или оборудование СОРМ, которое вообще обязано хранить весь трафик с этими самыми адресами за три последних месяца. Сиди, да считай не спеша нужную статистику, а затем блокируй выявленные адреса FREEDOM.VPN1 квадрадно-гнездовым методом, поблочно.
Spyman
12.04.2026 18:21Мой ПК 24/7 долбиться к microsoft сливая телеметрию, а ещё у Гуглу и куче других сервисов. Иногда объем трафика большей (качаем обновления/гугл карты/etc), иногда маленький. Объем трафика через тоннель с разеделем у меня когда я ещё мониторил это - был около 10-15гб, что в общем потоке 350гб идущих даже не особо заметно. Иногда он был большой (смотрим Ютуб), иногда маленький (служебный трафик для поддержки соединения или чисто веб).
Так что все не так очевидно, как кажется. Хотя есть некие признаки, но о них умолчим и точных данных они все равно не дадут)
Daiichi
12.04.2026 18:21Мой ПК 24/7 долбиться к microsoft сливая телеметрию, а ещё у Гуглу и куче других сервисов. Иногда объем трафика большей (качаем обновления/гугл карты/etc), иногда маленький.
Во первых, туда долбится не только Ваш ПК. Туда долбятся миллиарды, а из нашей страны —миллионы. Вот по этому признаку их очень быстро можно исключить из списков VPN.
А ещё можно составить список DNS имён широко известных сервисов в сети интернет, поднять у себя на ТСПУ кэширующий сервер DNS и постоянно ресолвить имена из этого списка впрямую на самих ТСПУ, а затем пробивать адреса из статистики NetFlow из кэша своего сервера DNS на предмет того, что же это за имя. И так можно будет гарантированно исключить соединения с широко известными сервисами.
Во-вторых, вы же не пускаете трафик к серверам Microsoft и Гуглу непосредственно c MY.VPN? Правильно, не пускаете. Он ведь у Вас либо идёт через туннель MY.VPN <—> FREEDOM.VPN1, либо, если эти сервера не заблокированы, вообще даже не доходит до MY.VPN, а уходит в интернет непосредственно с Вашей машины, ведь трафик MY.VPN надо экономить, правильно? Поэтому, если исключить обновления ПО, то единственный трансграничный трафик вашего MY.VPN — это трафик VPN-туннеля MY.VPN <—> FREEDOM.VPN1.
Объем трафика через тоннель с разеделем у меня когда я ещё мониторил это - был около 10-15гб, что в общем потоке 350гб идущих даже не особо заметно. Иногда он был большой (смотрим Ютуб), иногда маленький (служебный трафик для поддержки соединения или чисто веб).
Вот как только из статистики NetFlow будут исключены соединения с общеизвестными сервисами, так сразу на верхнюю строчку трансграничного трафика вылезет длительно висящее соединение MY.VPN <—> FREEDOM.VPN1, и ничего Вы с этим сделать не сможете.
Spyman
12.04.2026 18:21Вот как только из статистики NetFlow будут исключены соединения с общеизвестными сервисами, так сразу на верхнюю строчку трансграничного трафика вылезет длительно висящее соединение MY.VPN <—> FREEDOM.VPN1, и ничего Вы с этим сделать не сможете.
Если исключить обновления - то трансграничный трафик из моей сети - это может быть куча всего, даже включенный торрент генерирует трансграничный трафик по рандомным ip адресам, игры генерируют трансграничный трафик и их не так просто включить в "общеизвестные", они вполне предоставляют выделенные сервера для узкой группы лиц, webrtc стримы с вебкамер, экзотическая аппаратарура коей немало (всякие 3д принтерны, которые могут быть вообще в штучном количестве в стране).
Ну тоесть бахнуть то конечно можно всё и сразу - можно и белыми списками всё накрыть, но вот сказать - что так легко и просто все вычислится - нелегко, не просто, и с большими сопуствующими потерями. и это при том, что на многих vps - сменить ip - дело дешевое и быстрое, а после этого нужно опять несколько месяцев собирать статистику, чтобы снова бахнуть.
Daiichi
12.04.2026 18:21Если исключить обновления - то трансграничный трафик из моей сети - это может быть куча всего, даже включенный торрент генерирует трансграничный трафик по рандомным ip адресам, игры генерируют трансграничный трафик и их не так просто включить в "общеизвестные", они вполне предоставляют выделенные сервера для узкой группы лиц, webrtc стримы с вебкамер, экзотическая аппаратарура коей немало (всякие 3д принтерны, которые могут быть вообще в штучном количестве в стране).
Так в том-то и дело, что торрентокачалка — это короткие соединения с огромным количеством разных адресов, а VPN-туннель — это устойчивый трафик между двумя адресами, который не прерывается в течение суток. Особенно если в туннеле включить keepalive. Про стримы с вебкамер ничего определённого не скажу, не щупал, про 3D принтеры — не понимаю, зачем им нужно устойчивое соединение с одним и тем же адресом, висящее сутки напролёт.
P.S. Если Вы решили, что я предлагал сортировать статистику по суммарному объёму трафика между парами адресов и искать наибольший, то это не всё. Есть ещё вариант брать соединения за сутки и смотреть, когда в эти сутки трафик между конкретной парой адресов начался, а когда — закончился, а затем сортировать по наибольшей длине интервала между этими двумя событиями. Так можно выявлять пары адресов, между которыми существует устойчивый круглосуточный трафик, а на что это больше всего похоже? На VPN-туннель это похоже.
linux-over Автор
12.04.2026 18:21Ведь долбитесь же, да? Ага, я так и думал. Так что адрес этого самого FREEDOM.VPN1 вы спалите просто самим фактом постоянного трансграничного трафика между ним и MY.VPN.
Здесь Вы правы и не правы одновременно.
Да факт соединения - спалится. Но что это за соединение? Обычная часть микросервисной архитектуры, где микросервси стучится в другой? Или это VPN?
Было бы можно такое отличить методом анализа трафика, разве стали бы они городить огород со стукачами?
(об этом и в статье написано)
Daiichi
12.04.2026 18:21Да факт соединения - спалится. Но что это за соединение? Обычная часть микросервисной архитектуры, где микросервси стучится в другой? Или это VPN?
Было бы можно такое отличить методом анализа трафика, разве стали бы они городить огород со стукачами?
Зачем отличать? Блокируем, а затем внимательно слушаем эфир: если снизу начинают раздаваться действительно массовые злобные истеричные выкрики, слышно, как кто0то швыряет в стену телефонный аппарат, кто-то в сердцах хлопает дверью, а потом нам звонят сверху и вежливым матом объясняют, что мы наступили ногой на горло бизнесу уважаемых людей, и эти уважаемые люди уже вот прям щаз теряют кучу бабок в минуту — значит, мы заблокировали что-то не то. Тут важно, чтобы низы и верхи взбунтовались одновременно. Если бунтуют только низы и в микроскопических объёмах — значит, мы нащупали и пристрелили чей-то микроскопический бизнес по продаже услуг того самого трёхзвенного VPN.
Всё нормально, это древний и весьма уважаемый способ составления правил межсетевого экрана в информационных системах, когда никто из сотрудников уже не в состоянии внятно объяснить, кто и куда должен иметь доступ и по каким протоколам, потому что никто не знает, как и что устроено ввиду того, что критически важные элементы инфраструктуры разрабатывались и внедрялись лет десять тому назад, на коленке и без надлежащего документирования, а кто знает, тот уже не помнит, а кто ещё помнит — те давно релоцировались: редкие счастливчики — в верхние эшелоны мегакорпораций, и теперь им нельзя просто так взять и позвонить, кто на удивительное Бали, кто в психушку (ночные смены и работа по двенадцать часов в сутки, ага), а кто и вообще на кладбище.
Шучу. А может, и не шучу ;)
poige
12.04.2026 18:21Да, до некоторых хомячков начала доходить банальность, что вход и выход могут использовать разные IP-адреса (тут самое время задуматься, кстати, почему кое-кому поддерживать IPv6 становится противоестественно — что прямо даёт ответ на вопрос о перспективах развития этого протокола в РФ). По этому поводу пишется мега-портянка с пафосом официального пресс-релиза испанского двора. И да, как справедливо указано выше, корреляцию между трафиком это не решает. Пульс детектируется на выходе из смартфона, даже если он летит не туда, откуда потом прилетает. Усложняет ли это блокировку входного узла — несомненно. Но если система наблюдает, что ваш смартфон долбится в одну дверь, а при этом такой же стук раздаётся на другой, то сопоставление технически реализуемо. Апп-стукач может даже постукивать по шаблону, чтобы повысить шансы на верный детект, без false positives.
akuli
12.04.2026 18:21Скорее всего РКН даже не будет анализировать весь NetFlow, просто ТСПУ будет настроен на детект подозрительно долгих TLS-сессий с нетипичным распределением длин пакетов
Dimon41
12.04.2026 18:21Ресурсы. Они не безграничны. Иначе придётся полстраны до майоров повысить.
Daiichi
12.04.2026 18:21Ресурсы. Они не безграничны. Иначе придётся полстраны до майоров повысить.
Для описанного мною случая много ресурсов не надо. ТСПУ со своим онлайн DPI потребляет существенно больше.
Dimon41
12.04.2026 18:21Не согласен. Здесь нужен анализ большого объёма данных в одном месте.
Daiichi
12.04.2026 18:21Не согласен. Здесь нужен анализ большого объёма данных в одном месте.
У меня был опыт решения подобной задачи с помощью SiLK CERT NSA tools. Особо больших объёмов данных это, вроде бы, и не требовало. По сравнению с объёмами самого трафика объёмы обрабатываемых мною данных о сеансах передачи данных были, скажем прямо, микроскопическими, потому что первичную обработку трафика для экспорта этих сведений по протоколу NetFlow выполняли сами граничные маршрутизаторы своими SoC'ами. Вместо всего трафика они отдавали только записи о том откуда, куда, по какому протоколу, с какого порта на какой порт, время начала и время окончания передачи, а также флаги TCP/ICMP. Нагрузка на маршрутизаторы после включения экспорта NetFlow если и возросла, то это было совершенно незаметно.
Ну и надо сказать спасибо дизайнерам этих самих SiLK CERT NSA tools: благодаря грамотной упаковке данных NetFlow поиск и генерация отчётов по формируемой базе данных происходили практически моментально, особенно если брать окно размером всего в сутки, как я выше предлагал.
kvd264
12.04.2026 18:21Во всех статьях на эту тему не вижу простой мысли. Троян не сможет слить выходной адрес, если split _routing_ настроен на обход исключительно конкретных заблокированных ресурсов, вместо bypass только RU сегмента. Whitelist доступной поверхности атаки для трояна, куда не впихнуть левый чекер IP. Сам факт он узнает, попинговав ютуб, но не сможет узнать точку выхода, так как не может пропинговать чекер. Ошибаюсь ли я?
PopovPS
12.04.2026 18:21Есть еще нюансы с попаданием заблокированных сайтов на одни ip адреса с сервисами выявления ip (где-то на хабре же товарищ описывал такой кейс). Но вообще одно из лучших решений, на мой взгляд:
1) не ходить на VPN через сотовые сети
2) На компьютере полностью отказываемся от Российских решений в виде ПО.
3) Весь трафик через split-routing с точечным перенаправлением трафика посредством внешней к компьютеру коробочки на openwrt
vkGrove
12.04.2026 18:213) Весь трафик через split-routing с точечным перенаправлением трафика посредством внешней к компьютеру коробочки на openwrt
Я не совсем понимаю такого решения (не сарказм). Если не сложно, можете объяснить чуть подробнее?
Допустим у нас есть телефон -> коробочка -> VPN сервер (или напрямую). Коробочка принимает решение о маршрутизации трафика по доменному имени/адресу назначения.Любой запрос с телефона, например к api.telegram.com, будет в итоге перенаправлен через VPN сервер. Коробочка же не знает, кто отправитель. Легитимное ПО или шпион.
Учитывая, что на телефоне у нас сетевой интерфейс доступен любому приложению, не смотря на настройки раздельного туннелирования (как на днях выяснилось), то шпион спокойной сможет отправить запрос через обнаруженный туннель.
Либо я неверно понимаю схему?
Почему то сейчас все пытаются в первую очередь защитить от компрометации выходной адрес (да, это важно для сохранения работоспособности), но все предлагаемые схемы (в т.ч. в статье) сохраняют возможность детекции факта обхода блокировки заблокированного ресурса.
Пока меры принимаются только технического характера, это конечно не особо критично...
NeedMoreData
12.04.2026 18:21Тоже активно ковыряюсь в этой теме последнюю неделю. Как понял, суть в том, что детекторы VPN ориентируются на совокупность признаков, чтобы выявить использование VPN наверняка, иначе это грозит false-positive срабатываниями и блокировками всего и вся (что, правда, кажется, периодически и происходит).
Схема с OpenWRT позволяет добиться того, чтобы VPN и его производные туннели на мобильном устройстве, в принципе, были выключены, то есть часть проверок на этом этапе действительно будет отваливаться.
Но вот достучаться приложению-шпиону до заблокированных ресурсов это никак не помешает, это верно.
PopovPS
12.04.2026 18:21Ну и тут вопрос что именно вы хотите. У меня, например, большинство кейсов сводится к тому что мне нужно обходить не наши блокировки, а зарубежные. Например зайти на документацию к FastAPI. Причем сделать это так чтобы мне мой рабочий VPN не заблокировали.
Тут весь юмор ситуации в том что мне не нужно обходить Российские блокировки, но РКН очень сильно мешает мне обходить западные...
MrBotikkk
12.04.2026 18:21Если это про fastapi.tiangolo.com - нет блокировок по GeoIP. Есть блокировка TLS ECH Cloudflare в РФ.
В Firefox(Encrypted Client Hello): about:config network.dns.echconfig.enabled false network.dns.http3_echconfig.enabled false Все отлично. https://fastapi.tiangolo.com
watteverbrennen
12.04.2026 18:21детекторы VPN ориентируются на совокупность признаков, чтобы выявить использование VPN наверняка, иначе это грозит false-positive срабатываниями
Хорошая идея для саботажа этой схемы: фейковые аккаунты могли бы сливать обычные адреса как задетекченные входные точки квн и так рандомно разрушать связность
PopovPS
12.04.2026 18:21Я не верно выразился в части 1) не ходить на VPN через сотовые сети
Правильно будет сказать не ходить через VPN с телефона на котором есть установленное шпионское ПО.
Я сейчас просто не хожу с телефона на котором установлено Российское ПО через VPN. А на рабочем ноутбуке, где мне необходим доступ к зарубежному интернету я снес все что имеет отношение к Российскому ПО.
Раздельный роутинг в рамках такого сценария защищает от кейсов типа "нечаянно по ошибке набрал в браузере яндекс"..
VGhost
12.04.2026 18:21А если в туннель разрешить ходить только приложению? Например говорим что телега может пользоваться туннелем, а остальное нет? Тогда запрос на api.telegram.org пойдет мимо туннеля? Или я что-то не так понимаю?
vkGrove
12.04.2026 18:21https://habr.com/ru/articles/1020080/comments/#comment_29790062
Фактически, любое приложение имеет доступ к сетевому интерфейсу, если найдет его (плюс остальные вещи, типа открытого SOCKS5).
linux-over Автор
12.04.2026 18:21Сам факт он узнает, попинговав ютуб, но не сможет узнать точку выхода, так как не может пропинговать чекер. Ошибаюсь ли я?
спай на телефоне может узнать:
да здесь VPN
да ютуб достигается через IP1.2.3.4
Далее РКН может даже забанить IP1.2.3.4
Но от этого VPN работать не перестанет
kvd264
12.04.2026 18:21Это в описанной вами реализации. Но что, если сделать точечный роутинг, например, только до ютуба, а все остальное слать напрямую?
Тогда троян сможет определить только
"Да, здесь VPN" - и то, если перебирает все, что заблокировано
А "ютуб достигается через IP1.2.3.4" он определить не сможет, так как все возможные чекеры будут определять настоящий ip устройства пользователя, а не ip выхода VPN
Не ошибаюсь ли я?
linux-over Автор
12.04.2026 18:21но это банально не удобно.
во-первых, понятие "ютуб" или понятие "яндекс" включает в себя не один, а десятки доменов.во-вторых, ну вот Вы настроили ютуб. А Ваша мама/бабушка/жена/ребёнок просит chatgpt. Что делаете? снова точечно настраиваете?
я пробовал этот подход. на третьем сервисе надоедает.
мало того, постоянно случаются выплески "ютуб перестал работать с сегодняшнего дня". Почему? потому что в ютубе добавили узел с ещё одним dns.
В итоге вы подписываетесь на список забаненных ресурсов, которые кто-то майнтенит. И строите таблицу на них. Но этот список запаздывает итп (челфактор) и в моменты запозданий из-за "ютуб нужен сейчас, а не завтра" вы переключаете роутинг на режим полной, а не точечной доставки контента.
VADemon
12.04.2026 18:21в ютубе добавили узел с ещё одним dns.
Потому что надо перенаправлять в общем ASN целиком, а не по-доменно. Сразу 5000 префиксов одним махом: https://bgp.he.net/AS15169 и для этого развивать инструментарий, чтобы было не сложнее добавления следующей строчки домена.
akuli
12.04.2026 18:21Я думаю троян будет умнее, он просто запросит резолв какого-нибудь сгенерированного домена, который гарантированно пойдет через DNS-туннеля, и спалит выходной адрес через этот DNS-запрос
linux-over Автор
12.04.2026 18:21DNS делает или первая точка или последняя (настройка есть у xray). Промежуточная - тупо редиректит трафик.
Aelliari
12.04.2026 18:21Нет, это как раз хорошая логика, точечно в туннель, все остальное напрямую. Если сервер твой, то можно ещё на сервере точечно в интернет, все остально заблокировать. Чтобы если кто-то обойдет правила маршрутизации на устройстве все равно имел затруднения в эксплуатации корявого роутинга.
Только есть ещё нюанс, домены за cf имеют технический эндпоинт, вот такой, на примере chatgpt. Но ты можешь его «примерить» и к другим доменам
https://chatgpt.com/cdn-cgi/trace
И такие технические домены и эндпоинты могут все же попадать в список разрешенного
linux-over Автор
12.04.2026 18:21Нет, это как раз хорошая логика, точечно в туннель, все остальное напрямую.
Вы пробовали так делать? Я пробовал и счёл это крайне трудоёмким.
Например, чтобы сделать себе доступ к grok пришлось писать скрипт, который на тот грок зайдёт и вычленит полный список доменов, которые надо пропустить через vpn. Это было около 10 штук.
Так вот, настроил я себе грок. Он недельку поработал и отвалился. Почему? а они добавили какую-то хрень и её надо было тоже добавлять в список роутов.
И так всё: ютуб - несколько десятков адресов, гугл, грок, чатгпт, итп итд
Snooper
12.04.2026 18:21Для этого есть geosite.dat / geoip.dat
"geosite:youtube", "geosite:openai", "geosite:telegram", "geosite:anthropic", "geosite:google-gemini", "geosite:x", "geosite:xaiИ не важно какие там домены у ютюба и чатгпт. Списки обновляются и поддерживаются сообществом. xai — это grok
linux-over Автор
12.04.2026 18:21Для этого есть geosite.dat / geoip.dat
да. я с этого начал. с geosite:openai. а потом я нахожусь не дома, а спросить у чатика что-то хочется. А он не работает. А переключил VPN на полный вариант - заработал.
И такая фигня постоянно.
Aelliari
12.04.2026 18:21Например, чтобы сделать себе доступ к grok
Который тоже за cf и может стучать?)
В любом случае это лучший из возможных вариантов логики маршрутизации. Сопровождать только для себя реально только для небольшого набора ресурсов ввиду вышеупомянутой трудоемкости
Snooper
12.04.2026 18:21Он может просто дёрнуть страницу ютюба, где явно указан ip клиента https://redirector.googlevideo.com/report_mapping У chatgpt тоже такая страница есть, выше в комментариях указана. https://chatgpt.com/cdn-cgi/trace
Так что этот способ не панацея.
Aelliari
12.04.2026 18:21У chatgpt тоже такая страница
У всех доменов за cf, возможно кроме тех кто использует spectrum без расшифровки TLS на стороне cf. Хотя может быть можно и фаерволом "срезать" доступ к этому эндпоинту, не знаю, но это всё равно должен делать владелец сайта
Скрытый текст
https://www.cloudflare.com/cdn-cgi/trace
https://onlyfans.com/cdn-cgi/trace
https://www.fiverr.com/cdn-cgi/trace
https://www.zoom.com/cdn-cgi/trace
https://www.canva.com/cdn-cgi/trace
https://www.uber.com/cdn-cgi/trace
https://chess.com/cdn-cgi/trace
https://www.shopify.com/cdn-cgi/trace
https://www.quora.com/cdn-cgi/trace
https://example.com/cdn-cgi/trace
Список можно продолжать долго, в конце концов CF очень крупный CDN
А вот https://discord.com/cdn-cgi/trace меня не пустил, сообщил "Forbidden"
RulenBagdasis
12.04.2026 18:21Но ведь в этой схеме всё равно придётся настраивать, какие приложения идут через впн, а какие нет, что уже слишком сложно для родителей-пенсионеров. А если так, то зачем 3 звена? Достаточно 2 и не пускать spyware в тоннель. Оно будет детектить наличие впн, но не сможет спалить выходной узел. Или я что-то не так понял?
Driver86
12.04.2026 18:21Всё верно. Достаточно двух ip, входной и выходной. Дешевле, проще, и понятнее.
Skif47
12.04.2026 18:21Можно вместо второго внешнего vps пустить трафик через cloudflare warp.
BEERsk
12.04.2026 18:21Более рабочая схема - вместо 3-го внешнего VPS настроить на втором Cloudflare WARP. Весь смысл в том чтобы спрятать точку выхода трафика. Если на втором серваке установлен 3xui, всё очень просто настраивается.
ЗЫ Проверено, работает.
RuslanRa
12.04.2026 18:21Эта схема будет закрыта если закроют доступ к freedom.vpn1 просто потому что.
linux-over Автор
12.04.2026 18:21но тогда придется закрыть доступ ко всем микросервисам и сервисам граждан
Anarchon
12.04.2026 18:21И что? Жалко что ли?
linux-over Автор
12.04.2026 18:21думаю, не жалко
но непросто
Driver86
12.04.2026 18:21Жить без Visa и Mastercard тоже непросто. Но пришлось. И вроде живём дальше. Тяжело, но живём же.
BEERsk
12.04.2026 18:21Если всё правильно настроить и весь исходящий трафик из myvpn направлять в freedom.vpn1, а из freedom.vpn1 в freedom.vpn2, то myvpn и freedom.vpn1 будут "невидимыми", а светится будет только freedom.vpn2 и его заблокируют конечно, но смысла в этом не будет так как на него трафик идет из невидимого freedom.vpn1.
aax
12.04.2026 18:21Схема дорогая и бесполезная стукач просто фиксирует факт использования VPN не заморачиваясь деталями.
При таком бюджете костыль ввиде двух девайсов "скрепного" и "обычного" более предпочтителен.
BEERsk
12.04.2026 18:21На данном этапе пока еще не бесполезная и не совсем дорогая, но при сохранении текущей тенденции к дальнейшему закручиванию гаек, возможно что помимо технических мер начнут применять и юридические. Тогда да, кроме как физически разделять приложения на два разных девайса, другого варианта не останется.
Rubiorif
12.04.2026 18:21Если стукач триггерится просто на поднятый интерфейс
tun0, то действительно никакая многослойность не поможет
D_T
12.04.2026 18:21Если на пользовательском устройстве трафик шпиена маршрутизируется в впн, то он может сначала определить что есть выход в зону .com, т.е. факт наличия впн к запрещенке, а затем через своего агента в зоне .ru получить адрес MY.VPN и дальше его банить.
linux-over Автор
12.04.2026 18:21но использование VPN пока (пока!) не является преступлением
а даже в нацистской Германии делали вид, изображали законность
D_T
12.04.2026 18:21Ютуб и телеграм официально не запрещены, но замедлять их это не мешает. Что помешает тоже самое проделать с MY.VPN ?
linux-over Автор
12.04.2026 18:21my.vpn - частный сервер. не принадлежит ООО/ИП.
и не доказывается, что имеет отношение к Телеграм.
D_T
12.04.2026 18:21Допустим вычислили и замедлили, да, незаконнно это, а дальше какие действия? Хостинг скажет у нас все норм, проблемы в где-то в магистральных каналах с которыми у владельца MY.VPN никаких договоров, т.е. ему там ничем не обязаны, кому претензии направлять? На кого в суд подавать?
linux-over Автор
12.04.2026 18:21ну во-первых без ведома хостинга не заблокируют
во-вторых у хостинга с вами договор
в-третьих хостинг находится в одной с вами правовой юрисдикции
я не говорю, что это непреодолимые преграды, я говорю что сложность с этим работать для большого брата куда выше, а потому год-несколько такая схема поживёт
D_T
12.04.2026 18:21Не факт что хостинг займет сторону клиента. Раньше практически у всех хостингов был в правилах пункт "нельзя использовать для проксирования трафика", т.е. поднимая ВПН этот пункт нарушается и хостинг ничего не обязан, даже наоборот имеет право выключить виртуалку такому клиенту. Как с этим сегодня дела обстоят выяснить не удалось, те хостинги которыми пользуюсь спрятали эти документы, только общие фразы про рассылку спама и нарушении авторских прав.
DoctorCat92
12.04.2026 18:21Поясните а в чём проблема раздельного тунелирования? На смартфоне можно же указать какие приложения будут иметь доступ к vpn а какие будут ходить напрямую. Получается что приложения типа wb или ozon будут видеть белый ip провайдера, а телега и другие будут ходить через vpn.
С точки зрения разрешений на андроиде, вроде как стороннее проиложение может у системы только спросить используется ли в целом vpn, но не его ip или доступ к нему.
linux-over Автор
12.04.2026 18:21Поясните а в чём проблема раздельного тунелирования? На смартфоне можно же указать какие приложения будут иметь доступ к vpn а какие будут ходить напрямую.
в трудоёмкости администрирования.
Вот допустим Вы сделали VPN-сервер и раздаёте его своей семье:
ребёнку-подростку: "настрой вот так" и заглянете через плечо, чтоб убедиться, что сделал правильно
жене: "настрой вот так, потому что это важно", и заглядывать не будете
и так далее.
И всегда найдутся те, кто сам настроить маршрутизацию не сможет, а вам к нему приехать не получается.
Например, пожилые родители, что живут в другом городе.
И вот в вашем VPN-сегменте уже есть узел (а то и не один) со spyware.
DoctorCat92
12.04.2026 18:21так в конфиг v2ray можно заложить правила трафика по geosite, по домену geoip и т.д. И всё это добро на гитхабах выложено и даже актуализируется. На сколько я понимаю, приложение на уровне клиента уже понимает куда маршрутизировать трафик. И эту историю можно распространять в конфиге.
Плюсом ко всему, там можно "подписать" клиента на конфиги, где он отдельным портом с vps будет получать "обновлённую" версию конфига.
Есть уже правила даже от сообщества, прям в приложенииlinux-over Автор
12.04.2026 18:21не знаю, как у вас, а у меня сложности с людьми возникают на уровне "скачай v2rayXXX и вставь в него эту ссылку"
Если у Вас получается, то Вам достаточно двукаскадной версии VPN (каскад в России нужен в любом случае, без него ОПСОСы вычисляют VPN и блочат)
DoctorCat92
12.04.2026 18:21Жена, друзья, родственники справляются, даже дети сами. Я сделал небольшую инструкцию со скриншотами, которую рассылаю в сообщениях в месседжерах. По сути им нужно скачать v2ray и отсканить qr-код. В инструкции для каждого клиента другой qr код меняется и всё.
В любом случае же какой-то клиент на "телефон качать", либо выходить из под домашнего wifi только.
Я не считаю ваш способ плохим, чем больше инструкций на хабре тем лучше. Я спрашивал, потому что думал может вы мой способ уже знаете, или его изьяны, и поэтому не используете.linux-over Автор
12.04.2026 18:21Для меня ваш способ кажется уязвимым именно перед человеческим фактором.
Как быть с неподготовленными пользователями Вы решили.
Но у меня есть ещё и наоборот: чересчур умные. Те, кто держит на своём телефоне 23 VPN (включая мой), переключает между ними, копирует вставляет между ними ссылки и так далее.
DoctorCat92
12.04.2026 18:21Я даже знаю для каких целей ваш способ хорошь. Когда мобильный трафик за рубеж будут тарифицировать отдельно, можно будет ходить через ру сервер, подключённый проводом к проводному интернету.
Т.е. трафик мобильного интернета будет как бы внутри россии, но ходить до домашнего роутера, который будет будет уже с впн и давать доступ к нужным ресурсам.
Нужен микротик или linux сервер дома и один vps.linux-over Автор
12.04.2026 18:21Нужен микротик или linux сервер дома и один vps.
ещё дома нужен выделенный IP адрес
ну да, именно так
В минимуме трехкаскадная схема может быть сделана на домашнем роутере и заграничном vpn о двух IP адресах
D_T
12.04.2026 18:21ещё дома нужен выделенный IP адрес
Это не проблема, у всех провайдеров есть доп.услуга "Постоянный IP", стоит 75-150 р. в месяц.
HomeMan
12.04.2026 18:21С сентября домены ru только через госуслуги.
А там тут же вопрос к Вам - зачем Вам белый ИП?
Ответить сможете?
D_T
12.04.2026 18:21Белый IP чтобы не только из дома в инет лазить, но и из инета домой к файлохранилищу домашнему, к компу. Что в этом криминального?
А домены вообще другая тема, с какого перепугу при подтверждении владения доменом кому-то потребуется знание какой IP у меня дома?
grumbler66rus
12.04.2026 18:21Вот у меня дома постоянно включенный компьютер с Linux и в нём несколько сайтов.
А ещё я ИП, офиса у меня нет, и мне нужен доступ на домашний компьютер, когда я у клиента. Или не ИП, а даже самозанятый.
Такой ответ устроит или "ты, гражданин начальник, липовое дело шьёшь"
D_T
12.04.2026 18:21Поясните а в чём проблема раздельного тунелирования?
Там другая дыра есть: впн клиенты еще и как прокси работают, куда любое приложение может зайти независимо от того включена для него маршрутизация или нет.
DoctorCat92
12.04.2026 18:21я эту статью тоже читал на хабре, и там же в конце указано что v2rayTun разраб обещал это поправить в ближайшее время. Этот клиент я и использую т.к. он самый удобный.
Плюс мне кажется компании площадки, пока без особого энтузиазма будут выполнять требования минцифры, т.к. для пользователей наличие этих приложений становится проблемой.HomeMan
12.04.2026 18:21Объясняли 100500 раз, это фишка андроида. Любое приложение может запросить наличие tun0. Всё, большего не надо. Неважно куда ведет этот тоннель. Важно его наличие.
grumbler66rus
12.04.2026 18:21И тут внезапно tun0 нет, а есть даже не wg0, а amnwg0 или любое другое имя интерфейса по желанию разработчиков.
И в целом вы ошибаетесь. В свежей методичке РКН предписал разработчикам приложений выяснять точки выхода имеющихся туннелей. Найдите, прочитайте и прослезитесь.
ReneSv
12.04.2026 18:21Вот тут ошибаетесь. Как минимум часть компаний очень даже активно старается строить забор вокруг своего же лагеря. За примерами далеко ходить не надо, Билайн вон от проактивности разве что из штанов не выпрыгивает.
klotze
12.04.2026 18:21Вообще, пока на VPS в РФ нет анализа трафика датацентров, то все заблок. ресурсы и так отлично работают. А если накатить определенный DNS, то еще и западные сервисы заблоченные для РФ открываются.
edo1h
12.04.2026 18:21а миллиарды на тспу случайно не для затыкания этой дыры выделили?
klotze
12.04.2026 18:21Вроде нет) Но могу ошибаться. Так ТСПУ следят за сотовыми и домашними провайдерами, но за ЦОДы и за хостингами не следят, там все прямо и открыто. Поэтому и известный сайт с видео работает идеально без средств обхода.
edo1h
12.04.2026 18:21насколько я понимаю, пока не следили. потому что дорого. теперь деньги выделили
microtheft
12.04.2026 18:21Меняем одного Большого брата на три маленьких мужика (тыща руб.) !
Rubiorif
12.04.2026 18:21Зато эти три мужика между собой не знакомы, в этом и вся прелесть децентрализации
Terentyeff
12.04.2026 18:21Специально зарегистрировался, чтобы прокомментировать.
Я для себя решаю данную проблему на уровне системы Android. Сперва скрыл информацию на уровне bionic libc, теперь разбираюсь с frameworks, хочу ещё дополнительно на уровне системы скрыть vpn. А далее уже можно любой впн использовать с разделением трафика на ру и остальные сегменты.
Похоже, настала пора доставать вновь кастомные прошивки под Android.
HomeMan
12.04.2026 18:21Так и пишите, имею root доступ к своему телефону (модель, марка, цвет:)
Заодно как живут банковские и прочие налоговые приложения напишите.
Можно статью даже. Заголовок - "Как я удаленно сделал root на Бабушкином телефоне" Не благодарите.
Belkogoth
12.04.2026 18:21Борьба со шпионами работает (частично) с инструментами app-based-routing:
на смартфонах и прочих Linux при указании, какому приложению дозволено гулять в интерфейс VPN, а какому нет.
в Windows сложнее, ибо там нет нативного механизма app-based-riuting, но есть костыли (например, через QoS назначение DSCP-метки для траффика приложений с заданным именем исполняемого файла, а затем на роутере отлавливание этой метки и дальнейшие операции с траффиком согласно правилам.
Первый пункт спорен, ибо недавно публиковались статьи про то, что в Андроиде (да и на афонах) можно-таки простучать VPN-интерфейс в обход указания утилите, кого пускать а кого нет. И без root-прав нельзя прямо запретить приложениям стучать, ибо доступ к iptables без рута закрыт (АFWall в пролете) - только костыли в виде локального VPN. А рут нонче вообще роскошь, многие конторы не дают разблокировать загрузчик. Как минимум, многие ВВК и Huawei смартфоны в пролёте, увы.
rullwull
12.04.2026 18:21Реализую похожую схему, но на своём железе вместо аренды MY.VPN.
Роутер — GL-MT6000 Flint 2 на OpenWrt, стоит в офисе со статическим IP. К нему прицеплен Raspberry Pi как минисервер: крутит VLESS+Reality как точку входа для мобильников, плюс ноды SimpleX Chat (SMP + XFTP) и coturn для WebRTC звонков. Трафик с RPi идёт напрямую на мой VPS на той стороне через VLESS+Reality.
Для SimpleX отдельная история: ноды подняты с доменами на .ru DNS, так что SimpleX с этими серверами работает без VPN — с любой мобильной сети напрямую. При этом через VPS ноды работают глобально, можно переписываться с кем угодно. Но звонки через coturn идут через российский IP — медиатрафик между теми, у кого подключены эти ноды, за границу не выходит. Используем как корпоративный мессенджер — всё своё, никакой зависимости от сторонних серверов.
Sunvas
12.04.2026 18:21Не проще ли через обычный роутинг реализовать схему, когда запросы на все российские подсети идут напрямую, а остальное - через VPS?
linux-over Автор
12.04.2026 18:21Если посмотрите, на схемах роутинг упомянут.
Но что если стукач сделает запрос к https://ifconfig.me?Sunvas
12.04.2026 18:21Ну сделает и получит адрес вашего VPS. Что дальше будет делать с этой информацией?
linux-over Автор
12.04.2026 18:21пойдёт стучать, чтобы этот VPS забанили? и здесь в том и вопрос: как продолжить работу после бана.
Sunvas
12.04.2026 18:21Мне кажется, это решается дополнительным IP адресом: на один адрес VPS принимает подключение VPN, а с другого ходит в Интернет.
linux-over Автор
12.04.2026 18:21Мне кажется, это решается дополнительным IP адресом
https://habr.com/ru/articles/1022586/
вот статья как раз на эту тему :)
Sunvas
12.04.2026 18:21Почти. В той статье предполагается использование 3 серверов (MY.VPN, FREEDOM.VPN1, FREEDOM.VPN2) - это ж огромная задержка будет. Я же предлагаю обойтись одним, просто докупив дополнительный IP.
linux-over Автор
12.04.2026 18:21Да это оптимизация предложенного варианта. Но при условии того что РКН любит банить подсетями, а то что не каждый провайдер даст два ip из разных подсетей - способ перестраховочный.
Я сперва думал о том, что стоит написать об этом, но когда мне самому провайдер выдал второй ip-адрес в подсети /24 с первым - я решил, что это плохая идея. Хотя, возможно, в статье стоило об этом упомянуть.Sunvas
12.04.2026 18:21Ещё вариант: подключаться к VPN по IPv6.
linux-over Автор
12.04.2026 18:21меня в привате многие просят написать инструкцию. Но я не потяну по времени. А так-то да. Начинать стоит с самых дешёвых способов.
Rubiorif
12.04.2026 18:21Если большой брат начнет банить по DPI сам протокол (например, детектить характерный "почерк" xray), то никакие каскады не помогут, пока не начнется обфускация под обычный HTTPS
akuli
12.04.2026 18:21Как усложнить себе жизнь за свои же деньги))
Трехкаскадный впн крут на бумаге, но на практике у тебя просто в три раза больше точек отказа, а скорость падает из-за постоянной перешифрации трафика
VADemon
12.04.2026 18:21Падает не скорость, а задержка ухудшается. Throughput != latency. До первого сервера -10% на оверхед, а дальше каналы толстые, что все равно.
linux-over Автор
12.04.2026 18:21У меня сейчас ping до Российского узла 2мс, пинг до европейского - 50. Пинг между двумя европейскими - 1мс.
И вот не вижу я проблемы в последнем раундтрипе
Frohman
12.04.2026 18:21Поделюсь своим вариантом. Не использую режим KVN, только режим proхи. Клиент v2rayng с патчем на настройку авторизации для сокс5. Телега умеет ходить через прокси, для части остального использую web-версии приложений по-максимуму: музыка, банки работают. Для чего-то запрещённограмного использую firefox с foxyproxy. На сервере также стоит геоблок.
Fwild
12.04.2026 18:21Самый надёжный способ скрыть ВПН - не иметь ВПН. А иметь браузер нестандартный/ или с хитрым плугином, например(веб версией телеграмма реально на телефоне пользоваться?).
Или вообще виртуальную машину, а уже внутри неё всё необходимое.
linux-over Автор
12.04.2026 18:21в плагине браузера VPN?
или как браузер достучится до забаненного youtube?Fwild
12.04.2026 18:21>в плагине браузера VPN?
"VPN"/"прокси"/"сервис сжатия контента" - это вопрос терминологии. главное что никакого tun0, да и для физической проверки не так очевидно
linux-over Автор
12.04.2026 18:21если Вы пользуетесь прокси, размещённом вне Вашего localhost, то это приводит к тому, что такой прокси банится роскомнадзором много, много быстрее, чем рассматриваемые в статье случаи. Ибо Вы предлагаете схему 1, что описана в статье.
Fwild
12.04.2026 18:21Ну, условный Firefox может общаться по зашифрованному каналу с внутрироссийским сервером, который общается с казахским, который выходит в интернет через коммерческий VPN (чтоб не палить его адрес(если случайно перепутаешь и зайдёшь на госуслуги)). В firefox 2 профиля - для всего без ничего, и только для youtube с плагином и с темой другого цвета.
Смысл в том, что умение смотреть youtube спрятано в Firefox и никакому условному Максу его никак не видно.
ЗЫ А вот не связана ли активность по перерезанию каналов с появлением у Антропиков универсального кряка к интернету?
grumbler66rus
12.04.2026 18:21На компьютере можно запретить любой программе обращаться одному к сетевому интерфейсу и разрешить - к другому, но в нерутованном смартфоне такой возможности нет.
Ваше предложение хорошо работает, если альтернативный канал сделан на другом устройстве - например, на сервере или даже на маршрутизаторе. Если вам нужно "ходить на ютуб" со смартфона вне дома, ваше решение не работает.
Dimon41
12.04.2026 18:21Может проще иметь программку, которая будет разрешать определённым приложениям ходить только по своим адресам?
grumbler66rus
12.04.2026 18:21Такая программа называются firewall и она есть в ядре каждой современной ОС. Но она не поможет, если шпионская программа подключится к сокету устройства tun*.
TldrWiki
12.04.2026 18:21Почему бы не настроить vless на клиенте так чтобы он проксировал только на выбранные сайты?
linux-over Автор
12.04.2026 18:21Потому что человек - существо странное. Сегодня он хочет ютуб. И вроде достаточно этого ему. А завтра взбредёт ему в голову сходить на chatgpt. А послезавтра посмотреть что там у geminy. И так далее.
grumbler66rus
12.04.2026 18:21Шпионская программа подключится к сокету устройства tun* и узнает выходной узел.
Маршрутизировать трафик можно не только по адресам, но и просто на устройство. Защититься от этого можно, но в андроиде штатной защиты нет.TldrWiki
12.04.2026 18:21У меня на компе сокс прокси создает vless. Неужели на Андроиде только через tun работает?
linux-over Автор
12.04.2026 18:21если на андроиде раздавать через сокс, то нужно научить все приложения через него ходить, а они по-дефолту этого не умеют.
потому tun - самый популярный вариант
artemiux
12.04.2026 18:21Не совсем понял важность третьего сервера. В случае блокировки придется также арендовать новый "freedom" VDS, как и в схеме с двумя серверами. Единственный плюс - нельзя понять кто использовал этот сервер внутри суверенного государства. Но разве сейчас блокируют отправителей?
linux-over Автор
12.04.2026 18:21блокировка третьего узла не повлияет на работоспособность, поскольку доступ к нему осуществляется через второй — незаблокированный
а не заблокирован второй потому, что о нём никто ничего не знает
artemiux
12.04.2026 18:21Теперь понятно. Совсем вылетело, что второй узел живет вне правил цензора, потому что за контуром.
grumbler66rus
12.04.2026 18:21Тут уже написали про ipv6. Его использование между двумя VDS даёт большую экономию.
Схема:
Клиент---VPNoverIPv4---VDS1---VPNoverIPv6---VDS2---Интернет
Внутри VPN ходит IPv4
Единственный недостаток - среди российский хостеров мало кто даёт IPv6, да и среди зарубежных далеко не все его дают на минимальных тарифах. Зато у зарубежных хостеров есть такие, кто даёт VDS с IPv6 дешевле, чем с IPv4
str0z
12.04.2026 18:21
Решил погоду посмотреть. КВН на роутере настроен, не для всего подряд, только для адресов ТГ и Вотсап. Т.е. смотрят тупо на доступность адресов. Как в таком случае помогут все эти каскады серверов?
linux-over Автор
12.04.2026 18:21если приложение отказывается работать только из-за детектирования самого факта использования VPN - придётся с этим жить (выключать VPN когда нужно смотреть погоду)
иначе - можно настраивать роутинг на первом узле каскада
str0z
12.04.2026 18:21Т.е.? Если адрес назначения ТГ, то... то куда надо отправить? Что-то я не очень понимаю логику. Если тупо проверяется доступность серверов телеги, то какая разница каким маршрутом пройдёт этот запрос?
linux-over Автор
12.04.2026 18:21Если тупо проверяется доступность серверов телеги, то какая разница каким маршрутом пройдёт этот запрос?
ну я так и ответил: если spyware проверяет факт наличия vpn именно по доступности телеги, то она будет считать что vpn включён даже если он выключен, но Вы попали в зону доступности Телеграм (например провайдер такой попался или за бугор выехали). В таком случае у вас нет другого выхода, кроме как выключать временно (пока вам нужна эта программа) VPN (и временно же из-за бугра возвращаться)
первый пункт в моём ответе
ebobob
12.04.2026 18:21это прям как с уровнями абстракций - чтоб "решить" любую проблему нужно лишь добавить ещё один слой) (гораздо проще и дешевле не пользоваться ру аппами), пока что у меня работает самый плохой первый вариант (из статьи) буквально недавно строили каскад первая точка внутри цода в рф потом заграницу и вот уже теперь нужно три их иметь, доколе?!)
Am6er
12.04.2026 18:21Что-то я не понимаю проблемы со Spyware :) Да, описанная схема хороша. Но можно сделать несколько проще.
Ставим sing-box на андроид.
Ставим shizuku на андроид. Активируем его по внутренней инструкции.
В sing-box идём в настройки - перезапись профиля.
Включаем там shizuku.
Идём в управление. Выбираем режим прокси - "Включить" (т.е. белый список)
Выбираем приложения, например: ChatGPT, Firefox (не является браузером по умолчанию), Telegram, Youtube. Больше мне ничего не надо.
Настройка самого конфига sing-box: inbound tun, outbound vless + sniff префиксов .ru и прочих наших сайтов + днс-ы для ру + днс для внешки.. ну тут уже была статья по такой настройке на хабре, можно найти, если надо.
Всё.
Проверяем:
В Termux tun0 виден - да и пофиг. curl на запрещёнку не работает - проверял (что очевидно, в принципе)
Приложения шпионы знают про включённый VPN, но в него забраться не могут, и что-то там дёрнуть - тоже. Им sing-box через shizuku запретил. Поэтому все мои банки, пятёрочки, озоны, вб - спокойно загружаются. Единственный кто орет - это Дикси. Но, как выяснилось, он орёт на сам факт VPN, даже если там единственный маршрут 192.168.4.0/24 без выхода наружу через эту подсеть :))
Попытаться дёрнуть браузер - но нужно знать, какой. Браузер по умолчанию - Yandex browser :)
Дёрнуть линки по curl с googlevideo/chatgpt - а толку? Они же не через приложение ChatGPT их дёргают, и не через Firefox.
Вот и как бы всё...
linux-over Автор
12.04.2026 18:21Напишите статью - будет полезно кому-то.
Смысл моей схемы в следующем. Я пользуюсь VPN не один. Сперва подключил к нему жену и детей. Потом пара друзей. Потом родители - теща с тестем. Потом...
Сейчас там сидит 30+ человек самой разной квалификации. Кто-то может по инструкции в своём андроиде что-то сделать, а кто-то может только вкл/выкл VPN.
И вот я искал решение, которое будет работать вне зависимости от действий клиента и наполненности его телефона скамом.
как-то так
Am6er
12.04.2026 18:21Писать статью - это же надо потом на кучу вопросов отвечать... Может кто другой напишет? В принципе, текст выше уже готов.
Я понимаю Ваш подход: минимум телодвижений на клиенте. Как обходной вариант двухкаскадной схемы еще стоит отметить просто смену адреса виртуалки в консоли провайдера, если именно он попал под блок :)
Vabkab
Вероятно, из-за наличия заблокированных иностранных ресурсов всегда можно будет вшить в сайт/приложение ББ запрос к ним, который они вернут к ББ, что раскроет наличие ВПН. Думаю, такие сайты будут устраняться аналогично рекламе, но в режиме "второго шага".
linux-over Автор
если ваш промежуточный узел будет отвечать нормальным сайтом на запрос
curl -khttps://1.2.3.4(где 1.2.3.4 - ip-адрес сайта), то доказательств наличия там vpn не будет. Только предположения. Я понимаю, что банят и без доказательств. Но всё-таки.xata6
Не совсем понятно, зачем пользоваться услугами обсосов, которые работают через задний проход, не хотят работать - пускай разоряются
А то очень выгодно получатся, тарифы растут, условия предоставления "хз" ниче не зависит от них, услуги подключаются сами, цены меняются сами, "лох крутится - лавеха мутится"
JBFW
В некоторых локациях это единственный способ добыть чуточку интернета.
Ну, кроме двухстороннего спутникового канала - но это небюджетно.