История о том, как сисадмин борется с конторой с бюджетом в 60 млрд.
В продолжение комментария.
Введение
Есть грандиозный проект, и для его существования нужны 3 вещи:
сервера
люди
vpn
Компания зарубежная, и мы с удовольствием используем AWS.
Требования регуляторов привели нас к OpenVPN.
А компания любит дешёвую рабочую силу, поэтому часть сотрудников живёт в РФ.
Получилась простая схема, на которой хотелось бы жить вечно.
client -> openvpn://bastion.example.com:1194
Казалось бы, что может пойти не так? Именно тут появляется наш великолепный цензор в виде РКН и ставит палки в колёса.
Глава 1. Первые блокировки, obfs4proxy
В какой-то момент, клиенты в РФ начали отваливаться. Анализ быстро привёл нас к пониманию, что происходит обрыв tcp соединения на этапе подключения. Но только для OpenVPN, остальной траффик ходил как положено.
Значит нам нужно замаскировать траффик, и сделать это:
максимально удобно для сотрудников, далеко не все кулхацкеры
безопасно для инфры, лишных дырок появиться не должно
Так у нас появился obfs4proxy c связке с Viscosity
client -> obfs://127.0.0.1:1080 -> obfs://bastion.example.com:1195 -> openvpn://bastion.example.com:1194Конечно же никто не мог тогда предвидеть, на какую интересную дорожку мы встали.
Глава 2. Вынос части инфры из AWS.
Недолго мы испытывали счастье, и в какой-то момент траффик до AWS начал ходить с перебоями. На благоприятную рабочую обстановку это похоже не было, поэтому обфускацию решили вынести.
client -> obfs://127.0.0.1:1080 -> obfs://tunnel.example.com:1195 -> openvpn://bastion.example.com:1194Логика была банальна:
поставщики виртуалок не обязаны ставить ТСПУ
у хороших вендоров есть свой канал
серваки светятся как отечественные в россии, но имеют зарубежный IP
Такое должно прожить долго и лавочку не прикроют, верно ведь?
Глава 3. Попытка попасть в белые списки.
Играть в кошки-мышки с государством интересно, но хотелось иногда просто поработать.
Поэтому следующим этапом была попытка попасть в белые списки. Мы легальные, аудионаркотики не продаём, неужели не мы можем работать как белые люди?
Спустя несколько месяцев ответ был получен, но результата это не дало.
Глава 4. Появление cloak/trojan/hysteria/vless
В какой-то момент часть сотрудников начала жаловаться на недоступность. Снова.
Ещё одна пачка анализов и приходим к пониманию, что траффик режется. Симптомы идентичны обычному использованию OpenVPN, всё намекает на то, что протокол не столь надёжен, как хотелось бы.
Начинаем искать альтернативы. Так в течении пологода у нас заводятся shadowsocks/amnezia/ipsec/cloak/trojan/hysteria/vless/vkturnproxy.
client -> ck-client://127.0.0.1:1080 -> ck-server://tunnel.example.com:443 -> openvpn://bastion.example.com:1194Решения которые прекрасно работали для меня одного, начинают отваливаться в разных регионах страны, на разных провайдерах, в разных случаях. И в этом чёрном ящике абсолютно не понятно:
то ли накатывают белые списки
то ли РКН сломал часть интернета
то ли их DPI научился детектить протокол
то ли мы провинились
то ли кривые руки сотрудников
Всё приходит к тому, что у нас поднята пачка методов обхода блокировок (уже 10 в документации), а на сотрудниках я тестирую.
Глава 5. Белые списки, поднятие серверов в РФ
Научились обходить блокировки? Вот вам задачка со звёздочкой.
Видимо так решило моё любимое министерство цифрового отрицательного развития.
Появилась нужда резко найти IP из белых списков и использовать их. Решение пришло также быстро - обратный король мидас отечественного IT. cloud.vk.com позвляет быстро поднять VPS, а на их серваках внезапно доступны instagram/youtube/etc.
client -> ck-client://127.0.0.1:1080 -> ck-server://subway.example.com:443 -> openvpn://bastion.example.com:1194Появилось ложное ощущение, что вот он конец, решение всех проблем, один сервер чтобы обходить их все. Сотрудники получили отличную скорость, я получил спокойствие.
Глава 6. Отрыв IP, резервирование
В какой-то момент работа остановилась, и пришлось вспоминать основы high availability - наличие запасного сервера.
Сложно сказать, что послужило причиной блокровки:
кто-то из сотрудников сидел в max с рабочего VPN'a
DPI действительно научился палить vless
мои кривые руки в конфигурации сервера
активные пробы прошлись по всем портам и нашли лишнее
Причины были уже не важны, главное стало понимание, что нужно что-то делать. И самым простым оказалось поднять ещё чуть-чуть виртуалок.
client -> ck-client://127.0.0.1:1080 -> ck-server://{subway|underground}.example.com:443 -> openvpn://bastion.example.com:1194Я в своем познании настолько преисполнился, что я как будто бы уже сто триллионов миллиардов лет обхожу блокировки.
Глава 7. Multi-hop
Появление вестей о шпионском ПО, которое будет сливать данные IP выходного сервера дало ясно понять, что входной и выходной адреса должны различаться. Так в арсенале появился gost.
client -> ck-client://127.0.0.1:1080 -> gost://subway.example.com:443 -> ck-server://tunnel.example.com:443 -> openvpn://bastion.example.com:1194Latency слегка подрос, зато наши сотрудники живут в стабильных условиях (надолго ли?).
Конфиги
Для настройки всего этого счастья в любом случае придётся прильнуть к официальной документации, но небольшую шпарглку оставлю.
Скрытый текст
gost.yaml
services: - name: cloak-tcp addr: :443 handler: type: tcp listener: type: tcp forwarder: nodes: - name: cloak-tcp addr: {{ gost_target }}:443
obfs4proxy.conf
TOR_PT_MANAGED_TRANSPORT_VER=1 TOR_PT_STATE_LOCATION=/var/lib/obfs4 TOR_PT_SERVER_TRANSPORTS=obfs4 TOR_PT_SERVER_BINDADDR=obfs4-0.0.0.0:{{ obfs4_port }} TOR_PT_ORPORT={{ obfs4_target }}
ck-server.json
{ "ProxyBook": { "openvpn": [ "tcp", "{{ cloak_remote }}" ] }, "BindAddr": [ ":443" ], "BypassUID": [ {{ cloak_uid }} ], "RedirAddr": "www.example.com", "PrivateKey": "{{ cloak_private }}" }
ck-client.json
{ "RemoteHost": "subway.example.com", "Transport": "direct", "ProxyMethod": "openvpn", "EncryptionMethod": "plain", "UID": "{{ cloak_uid }}", "PublicKey": "{{ cloak_public }}", "ServerName": "www.example.com", "NumConn": 4, "BrowserSig": "chrome", "StreamTimeout": 300 }
xray-server.json
{ "log": { "loglevel": "info" }, "routing": { "rules": [], "domainStrategy": "AsIs" }, "inbounds": [ { "listen": "0.0.0.0", "port": {{ xray_port }}, "protocol": "vless", "tag": "vless_tls", "settings": { "clients": [ { "id": "{{ xray_client }}", "email": "{{ xray_email }}", "flow": "xtls-rprx-vision" } ], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "show": false, "dest": "www.example.com:443", "xver": 0, "serverNames": [ "www.example.com", "example.com" ], "mldsa65Seed": "", "privateKey": "{{ xray_private }}", "minClientVer": "", "maxClientVer": "", "maxTimeDiff": 0, "shortIds": [ {{ xray_short }} ] } }, "sniffing": { "enabled": true, "destOverride": [ "http", "tls" ] } } ], "outbounds": [ { "protocol": "freedom", "tag": "direct" }, { "protocol": "blackhole", "tag": "block" } ] }
xray-client.json
{ "log": { "level": "info" }, "inbounds": [ { "listen": "127.0.0.1", "port": 1080, "protocol": "socks", "settings": { "udp": true }, "sniffing": { "enabled": true, "destOverride": [ "http", "tls" ] } } ], "outbounds": [ { "domain_strategy": "ipv4_only", "flow": "xtls-rprx-vision", "packet_encoding": "xudp", "server": "subway.example.com", "server_port": 8443, "tag": "proxy", "tls": { "alpn": [ "h2" ], "enabled": true, "insecure": true, "reality": { "enabled": true, "public_key": "{{ xray_public }}", "short_id": "{{ xray_short }}" }, "server_name": "www.example.com", "utls": { "enabled": true, "fingerprint": "chrome" } }, "type": "vless", "uuid": "{{ xray_uuid }}" }, { "tag": "direct", "protocol": "freedom" }, { "tag": "block", "protocol": "blackhole" } ] }
ss-server.json
{ "server": "0.0.0.0", "server_port": {{ ss_port }}, "password": "{{ ss_pass }}", "method": "aes-256-gcm", "mode":"tcp_and_udp", "fast_open":false }
ss-client.json
{ "server": "tunnel.example.com", "server_port": {{ ss_port }}, "password": "{{ ss_pass }}", "method": "aes-256-gcm", "local_address": "127.0.0.1", "local_port": 1080 }
hysteria-server.yaml
listen: :{{ hysteria_port }} tls: cert: /etc/ssl/wildcard.crt key: /etc/ssl/wildcard.key auth: type: userpass userpass: {{ hysteria_client }}: {{ hysteria_pass }} masquerade: type: proxy proxy: url: https://www.example.com rewriteHost: true obfs: type: salamander salamander: password: {{ hysteria_obfs }} resolver: type: udp tcp: addr: 8.8.8.8:53 timeout: 4s udp: addr: 8.8.4.4:53 timeout: 4s tls: addr: 1.1.1.1:853 timeout: 10s sni: cloudflare-dns.com insecure: false https: addr: 1.1.1.1:443 timeout: 10s sni: cloudflare-dns.com insecure: false
hysteria-client.yaml
server: tunnel.example.com:1984 auth: {{ hysteria_client }}: {{ hysteria_pass }} obfs: type: salamander salamander: password: {{ hysteria_obfs }} http: listen: 127.0.0.1:8080 socks5: listen: 127.0.0.1:1080
trojan-server.json
{ "run_type": "server", "local_addr": "0.0.0.0", "local_port": {{ trojan_port }}, "remote_addr": "{{ trojan_remote }}", "remote_port": 443, "password": ["{{ trojan_password }}"], "ssl": { "cert": "/etc/ssl/wildcard.crt", "key": "/etc/ssl/wildcard.key", "cipher": "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384", "cipher_tls13": "TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384", "prefer_server_cipher": true, "alpn": [ "http/1.1" ], "alpn_port_override": { "h2": 81 }, "reuse_session": true, "session_ticket": false, "session_timeout": 600, "plain_http_response": "", "curves": "", "dhparam": "" }, "tcp": { "prefer_ipv4": false, "no_delay": true, "keep_alive": true, "reuse_port": false, "fast_open": false, "fast_open_qlen": 20 }, "mysql": { "enabled": false, "server_addr": "127.0.0.1", "server_port": 3306, "database": "trojan", "username": "trojan", "password": "", "key": "", "cert": "", "ca": "" } }
trojan-client.json
{ "run_type": "client", "local_addr": "127.0.0.1", "local_port": 1080, "remote_addr": "{{ trojan_remote }}", "remote_port": {{ trojan_port }}, "password": [ "{{ trojan_password }}" ], "log_level": 1, "ssl": { "verify": true, "verify_hostname": true, "cert": "", "cipher": "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA", "cipher_tls13": "TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384", "sni": "www.example.com", "alpn": [ "h2", "http/1.1" ], "reuse_session": true, "session_ticket": false, "curves": "" }, "tcp": { "no_delay": true, "keep_alive": true, "reuse_port": false, "fast_open": false, "fast_open_qlen": 20 } }
Вывод
Я рассказал последний год своего весёлого приключения. В этом простом рассказе я хотел бы акцентировать внимание, что вопрос выбора технологии не менее важен, чем вопрос архитектуры, выбора поставщика, и обучения персонала. Сложно гарантировать аптайм, когда ошибка на любом из этапов может внести тебя в бан.
Особое внимание:
ТСПУ начали поставлять на сети межрегиональных провайдеров, желательно настраивать multihop, чтобы траффик из РФ выходил и шифрованным, и обфусцированным
client -> vps rf -> vps eu -> vpnжелательно не использовать обход блокировок на мобилках одновременно с небезопасными приложениями (макс/яндекс/банки), активно сливают, можно поймать бан на следующий день
не забываем настраивать split-tunnel, чтобы траффик для отечественных сервисов шёл внутри страны
РКН чувствителен к портам, для белых списков только 80/443, для обхода блокировок не использовать 1337/1984/3128/8080
РКН быстро добавляет IP в блэклист сервера за рубежом, и рубит машину в РФ, если спалит
На данный момент самой живой являтся схема, когда:
есть защита от активных проб
есть валидные tls сертификаты и настоящий веб-сервер, который отвечает
траффик шифруется лишь 1 раз
траффик обфусцируется и очень похож на https
входной и выходной адреса отличаются
есть резервирование на несколько машин внутри страны
Комментарии (100)
edik-petrof
26.04.2026 01:05не использовать ... 1984
Почему? За данным портом не закреплено никакой широко используемой сетевой службы или программы. Или просто само сочетание цифр выглядит сомнительно?) По такой логике и порт 1917 можно запретить тогда.
lex899
26.04.2026 01:05Почему?
Как раз потому что:
За данным портом не закреплено никакой широко используемой сетевой службы или программы.
Любой непонятный трафик на непонятных портах рискует попасть в блокировку "на всякий случай".
Kenya-West
26.04.2026 01:05У России три союзника: порты 22, 80 и 443. Все остальные для РКН рано или поздно станут как красный флаг для быка. Я давно уже свыкся с этой мыслёй...
Okeu
26.04.2026 01:0553 еще, если сервер "правильный"
lex899
26.04.2026 01:05Блокировки dns я уже видел. В зависимости от агрессивности фильтров трафик не ходит до 8.8.8.8 либо вообще на все зарубежные dns либо вообще не выходит за пределы сети провайдера. К тому же большой объем dns трафика сам по себе подозрителен.
Порт 22 частенько блокируют либо максимально замедляют.
На 80 порту очевидно можно глушить все что "необычный" http.
Остаётся только 443.
JBFW
26.04.2026 01:0522? Не смешите мои тапки: с удовольствием блокируют, КОНКРЕТНО 22 (оставляя остальные). Тут, кроме "а вот нефиг!" другого обьяснения не вижу.
(пришлось решать эту проблему, и успешно, но не знаю стоит ли об этом писать, учить этих)
Blacksavior
26.04.2026 01:05они исходят наверное из того, а нечего 22 порт наружу своей сетки светить!)
ITDiver77
26.04.2026 01:05Да нифига 22 не панацея. Есть у меня один сервер, ссш рвутся секунд за 5. Чсх, vless из той же локации на тот сервер работает)) чтобы зайти в его консоль без КВН, приходится эсэсашиться через другой сервак...
Зы. Даже не порт, а выявляют ssh трафик, смена порта не помогает.
FSA
26.04.2026 01:05Ну, 22 порт могут и оставить. Только скорость скачивания там ниже плинтуса опустить. Я так бекапы с сервера сливал. Небольшое число файлов, небольшой дамп БД. Всё заскриптовано. От силы работает под минуты… А хрен там плавал - 20 минут. Заливаешь скрипт на сервер и всё происходит ещё быстрее. А дома вообще еле шевелится.
microtheft
26.04.2026 01:05Ко́микс (от англ. comic — «смешной») — рисованная история, рассказ в картинках.
aleksandr55575
26.04.2026 01:05Мне теперь надо оплачивать 2 впс, чтоб обойти тспу, купленную на мои налоги. Как то не правильно это работает...
rombell
26.04.2026 01:05Я бы платил и за три, если бы просто нажать кнопку, и оно работает. Но именно что надо обучаться, поддерживать весь зоопарк, тратить на это время и когнитивные усилия. Не только лишь все это могут себе позволить, даже ИТшники.
Jorell
26.04.2026 01:05"А Вы пробовали вход на завод сделать платным?"...
microtheft
26.04.2026 01:05Это у Вас что-то с памятью, конечно пробовали - чтобы устроится, надо было заплатить...
RulenBagdasis
26.04.2026 01:05А ещё на хабре раньше на главной была куча статей как создать что-то, а теперь вот так:
из 5 статей “Читают сейчас” 4 про борьбу с запретами.
Miller777
26.04.2026 01:05Угу. К сожалению, мы пытаемся решить изначально не техническую проблему техническими средствами, то есть, это заведомо паллиативы и позиция догоняющего. А нетехнические рабочие средства решения проблемы (и даже их упоминание) тянут на несколько статей УК сразу. Да и поздно уже, ИМХО.
Вечно так лавировать и искать лазейки невозможно.
rombell
26.04.2026 01:05Ничто так не бесит (после самих блокировок), как формулировка "зайти не получится". Сюсюканье и (зумерское?) смягчение формулировок. Я взрослый человек, запрещено - напишите, что запрещено, что за хрень с "не получится"?!
Некоторые сайты, megamarket например, вообще перестал меня пускать из-под XP. Независимо от браузера, даже с форка Chrome 132.0.6834.226
Уж не знаю, что они там детектят, но в поддержке предлагают перезагрузить/почистить куки/отключить ВПН (которого в принципе нет под XP, к сожалению) и так далее, а потом просто морозятся.
daggert
26.04.2026 01:05Ну уж простите, но ХР это 25 лет назад. Это уже совсем дое*ка что те кто делают сайты - не думают об этой системе.
Mr_Boshi
26.04.2026 01:05Дое*ка не про то, что сайт на ХР не открывается, а про то, что при этом никто не пишет "Наш сайт не поддерживает ХР", как не пишут и любую другую причину ошибок (ведь это может отпугнуть пользователя и он никогда не вернется. А если сказать "попробуйте позже", то может и вернется...).
V1tol
26.04.2026 01:05TLS 1.2 в системе включён? Мегамаркет не поддерживает 1.1, просто соединение не установится. Ну или причина может быть ещё банальнее - они используют какое-то браузерное апи, не поддерживаемое в 132 хромоноге.
JBFW
26.04.2026 01:05Вот скорее второе, какая-нибудь свистоп....лка, которая в старых браузерах тупо не работает, а должна (но нне вам: отслеживание уникального ID пользователя для ya-сервисов, что-нибудь такое).
rombell
26.04.2026 01:05Включён, конечно. Штук пять сайтов не работают из всех сотен, что я посещаю. В том числе полумёртвый мегамаркет, который нужен был, только чтобы сберспасибо слить, и вК, который работает, но залогиниться нельзя - тоже какая-то долбаная защита.
V1tol
26.04.2026 01:05Можно глянуть в консоли, что там падает. Я на 99% уверен, что это никакая не блокировка (никому не интересны пользователи высохшего на умершем), а просто unhandled exception (или что там в JS) сыпется из-за отсутствующего API.
rombell
26.04.2026 01:05Ну я с этого начал, разумеется.
rombell
26.04.2026 01:05И, как я писал, вот это "нам жаль" бесит даже сильнее, чем собственно недоступность. Это лицемерие. Похер им абсолютно, а не жаль!
8го апреля прислали список шаблонный "подуйте в трубу, похлопайте дверцами", и
Если сайт всё ещё не работает, пожалуйста, пришлите информацию о вашем устройстве:
Прислал. 19 дней прошло. Им жаль, ага.
rombell
26.04.2026 01:05Наша переписка сподвигла меня посмотреть обновления, и таки да, вышла версия 144, в которой этот маркет открывается-таки. И даже в вК смог залогиниться.
Спасибо за волшебный пендаль!
Wesha
26.04.2026 01:05Тут веселее дое*ки про то, что «наш сайт не поддерживает ваш браузер», но стоит лишь подменить
User-Agent:, как тут же всё начинает поддерживаться (я смотрю на вас, slack.com и chase.com!)
LeVoN_CCCP
26.04.2026 01:05В какой-то момент (лет 10 назад) таких мамкиных администраторов появилось очень много в РФ и сайты стали поголовно закрываться на жёсткие последняя+предпоследняя версии, примерно в то же время фаерфокс начал галопом скакать по мажорным версиям. Поставил в юзерагент “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:100500.0) Gecko/20100101 Firefox/100500.0” и обновляю браузер только когда уже порядочно сайтов “ломается” (статистически раз в пару-тройку лет). С носкриптом, ублоком и грисманкой всё открывается прекрасно и не поломанно.
nidalee
26.04.2026 01:05Некоторые сайты, megamarket например, вообще перестал меня пускать из-под XP.
Матерь Божья!
Wesha
26.04.2026 01:05Неееее, Матерь Божья — это Windows 95!
astromc
26.04.2026 01:05Только DOS, только хардкор.
Так дойдём до коммутаторного соединения: "Девушка, соедините с aif.ru"
JBFW
26.04.2026 01:05Вот вы ёрничаете, а была как-то ситуация, что пришлось использовать именно DOS + драйвера TCP/IP к ней (были такие, оказывается).
Сейчас не помню - то ли FTP, то ли telnet был нужен.Кстати, вполне нормально работало, в смысле без ошибок
qvvah
26.04.2026 01:05Не ёрничаем, а любим. DOS до сих пор жива в старом (и не очень старом) оборудовании вроде ЧПУ или лабораторных анализаторов. Кроме того, сдаётся мне, что DOS - единственная ОС, которая заведётся на 100% отечественном "железе" в условиях абсолютной технологической блокады.
И какие можно ждать ошибки от протоколов, которые старше DOSки и до сих пор являются "базой"?
id_potassium_chloride
26.04.2026 01:05Перестал пользоваться Мегамаркетом довольно давно. Ругался с их техподдержкой, менял свой IP (год назад я сам себе провайдер был и мог это сделать за 5 минут) -- бес толку. По каким фильтрам я выгляжу как пользователь под VPN -- так и не понял (предположительно, им не нравится браузер Firefox на Linux). Решил, что компания не нуждается в клиентах и закрыл для себя этот магазин навсегда.
arinartqi777
26.04.2026 01:05После WinXP можете переходить на Windows 7 - уже настоялся!
Если подумаете об Win11, то лучше ставить Windows 11 23H2, с отключением обновления в групповой политике до 2(3,4,5)H2:
Скрытый текст
Win + R → gpedit.msc. Путь: Конф. компьютера > Админ. шаблоны > Компоненты Windows > Центр обновления Windows > Управление обновлениями… (или Windows для бизнеса). Параметр: Выберите целевую версию обновления компонентов. Состояние: Включено. Поля: Windows 11 и 23H2.
К сожалению, запланированное устаревание только набирает обороты.
santjagocorkez
26.04.2026 01:05Целевая версия в групповой политике — просто текстовое поле. Если вбить там абракадабру, то это отключает обновления совсем.
Добавляйте в васянский пак сопротивленца.
RulenBagdasis
26.04.2026 01:05Win + R → gpedit.msc. Путь: Конф. компьютера > Админ. шаблоны > Компоненты Windows > Центр обновления Windows > Управление обновлениями… (или Windows для бизнеса). Параметр: Выберите целевую версию обновления компонентов. Состояние: Включено. Поля: Windows 11 и 23H2.
Дружественный графический интерфейс (с)
werter_l
26.04.2026 01:05LTSC-версию тогда уж
arinartqi777
26.04.2026 01:05Если брать 24H2 LTSC, то стоит учитывать, что Microsoft ужесточила требования к оборудованию, по сравнению с 23H2, на котором замечательно запускает игры для Windows 7.
Версия 24H2 тоже имеет свои преимущества - не спорю.
rombell
26.04.2026 01:05Спасибо. Я второй год с тоской смотрю на комп, купленный под *NIX, руки не доходят. Старый стал, ленивый, когда-то по три раза в неделю разные системы устанавливал знакомым и в семье.
Win7 стоял в дуалбууте, но как-то залочился хвалёный SSD Kingston, всего-то годичный, и дуалбуут я не смог восстановить из бэкапа. То есть либо XP (основная моя), либо 7ка (для всяких извратов) - а вместе никак. Я месяц потыкался, плюнул, купил комп - и вот смотрю на него с тоской вечерами...
А ХР не брошу, потому что он хороший! Будет в виртуалке жить. Когда-нибудь.
egranty
26.04.2026 01:05WinXP не поддерживает TLS-SNI. Chrome использует системный WinHTTP, поэтому SNI в нём не работает. Юзайте Firefox, он использует собственную SSL-библиотеку и свои SSL-сертификаты, поэтому будет работать везде (почти).
Многие SSL-сертификаты в WinXP устарели. Надо обновлять. Для The Bat я подсовывал root.RCA от новой версии Бата. Firefox решит проблему с сертификатами.
Для поддержки SHA-256 в XP надо ставить KB3055973-v3
Если нужна поддержка TLS 1.1 и TLS 1.2 под XP - надо накатить обновления от Windows Embedded POSReady 2009, см https://habr.com/ru/articles/200260/
Ставьте форк Firefox (https://habr.com/ru/articles/789120/). И поставьте в него аддон TamperMonkey - сможете добавлять UserScriprs и с помощью полифилов эмулировать новые API JavaScript, если сайты их используют. Так я эмулировал поддержку window.URL и window.URLSearchParamsURL в старом FF.
PS: На май 2023, WinXP отлично работала на домашнем ПК (сейчас - не знаю, я не дома).
rombell
26.04.2026 01:05Форк хрома под названием Supermium работает отлично, всё в нём есть, и только самые упоротые его блокируют. Вот сходу только два более-менее нужных вспомнил - этот самый мегамаркет и невозможность залогиниться в вК.
Ну вот у меня отлично работает. Приседать иногда требуется, но не часто и не фатально.
Я уж не помню, что я делал, сколько лет уже системе, но The Bat 9.1.18 прекрасно работает,
Разные *Monkey - mast have, конечно, сам писал и чужие использовал.
По ссылке не нашёл форк Firefox для XP, в обсуждении версия только для 7+. Последний раз, когда я смотрел, для XP был только форк MyPal, но он, кажись, тоже сдался.
forc3meat Автор
26.04.2026 01:05Самое обидное, что не пишут саму причину
"МинЦифры нам запретило вас пускать, все вопросы в государству"
Получается абсолютно тупое, но рабочее отвлечение внимание. Не цензор виноват, а площадки злые. Всё по методичке "Царь хороший, бояре плохие".
Juggernaut
26.04.2026 01:05Вот не надо приплетать методичку. Да, некоторые площадки демонстрируют особенное рвение в выполнении и перевыполнении запретительных мер. Можно было удовлетвориться формальным выполнением, но нет, это не их путь. И вот против таких площадок можно и нужно голосовать ногами и рублем. А что касается главного цензора и источника зла - ну, покажите нам как нужно забарывать зло (не покажете, это понятно). Так что делаем как возможно, караем своим тощим кошельком.
Tottenham321
26.04.2026 01:05Мегамаркет даже с вин11 или андроида часто не пускает - ругается на впн даже когда он выкл
werter_l
26.04.2026 01:05У вас какой-то софт, к-ый заточен только под xp?
Если нет, то попробуйте linux mint xfce - всяко лучше xp.
rombell
26.04.2026 01:05Я там выше писал, что у меня полтора года комп, купленный для *NIX, стоит - постоянно есть отмазки, чтобы не заниматься им.
Нет, ничего специфического, просто хорошо отлаженная система, где всё настроено так, как нужно мне, а не кому-то ещё, кто знает лучше. И программы все те, что меня устраивают.
Перестраиваться на другой стек - всегда время- и мозгозатратно. И есть куда эти усилия потратить с бОльшей пользой, конечно. Как минимум по мнению жены...
GlazOtca
26.04.2026 01:05Заголовок нужно другой сделать: "Терпели, терпим и будем терпеть!!! Терпилам - слава!"
AVikont
26.04.2026 01:05Платное образование конечно хорошо, но так мы производительность труда в стране не поднимем.
MountainGoat
26.04.2026 01:05Смотря какого труда. Для некоторой деятельности ум у исполнителей вреден.
RuSPanzer
26.04.2026 01:05а зачем gost, можно же второй ip на выходной ноде приобрести и ходить в нее по основному ip, а трафик в интернеты со второго гнать. xray так из коробки умеет
Raleose
26.04.2026 01:05Можно, гипотетически, сделать так:
1) Скрыть все порты, кроме 22 и 443. Таким образом проверки портов не выдадут ничего подозрительного.
2) Маскироваться под зарубежный сайт, на котором много медиа-контента. Главное, чтоб сайт не был в черных списках. Гипотетически, известный зарубежный сайт по бронированию жилья отлично подходит, ведь на нем и фото, и видео. Таким образом, подозрения по количеству использованного трафика могут уменьшиться.
3) Настроить политики маршрутизации. Например, шпионское ПО проверяет geo ip, делая запросы к многим таким сайтам. В базе geosite есть такая категория, я бы ее отправил в block, гипотетически.
4) Если рабочий прокси не подразумевает взаимодействие с площадками, на которых много медиа контента (youtube, нельзяграм и прочие), то я бы и их добавил в block.
5) На стороне клиента я бы навязал обязательно настроить политики маршрутизации. Гипотетически, geoip:ru можно было бы отправить в direct.
abubaca4
26.04.2026 01:053) Настроить политики маршрутизации. Например, шпионское ПО проверяет geo ip, делая запросы к многим таким сайтам. В базе geosite есть такая категория, я бы ее отправил в block, гипотетически.
Абсолютно бесполезное занятие, практически любой сайт за cloudflare отдаст ваш ip по специальному запросу пример https://rutracker.org/cdn-cgi/trace. Надо просто всё отправлять на выход через другой ip тем или иным способом (второй vps, warp и тд) при желании делая исключения для отдельных сайтов которые точно не вызовут проблем. И нет, гугл нельзя добавлять в исключения https://redirector.googlevideo.com/report_mapping
forc3meat Автор
26.04.2026 01:05Чтобы обходить белые списки, нужен IP у доверенного отечественного провайдера.
Чтобы машину не банили, нужно не палить провайдеру что обходишь блокировки.
Значит нужно из России выводить и шифрованный, и обфусцированный траффик.
StrongerProgrammer7
26.04.2026 01:051) не очень понял с впс ВК и затем впс Яндекс . Яндекс же очень быстро блокает
2) а имеет ли это все смысл ? Просто за все время, блочат айпи пачками именно хостеров. Например is hosting так в 2025 блокнули(сейчас мб работает хз) . И получается что вся цепочка не будет иметь смысла .
3) разве каждый впс РФ не идёт к провайдеру, через тспу до впс иностранной ?
П.с. мои знания в сетках равны знаниям универа несколько лет назад, которые я очень не любил и похоже дьявол услышал и кинул идею РКН. Так что сорян если глупые вопросы .
forc3meat Автор
26.04.2026 01:05Если есть защита от активных проб, а траффик похож на https, то крупный вендор нам отлично подходит.
Я б удовольствием опустил лапки, но работа должна работаться, сотруднкам нужен доступ, компании прибыль. Я безвольный раб капиталистической системы, в которую сам себя вогнал.
Чтобы стать интернет-провайдером, нужно поставить ТСПУ. А вот для продажи VPS это не нужно, этим и пользуемся
client -> provider -> ТСПУ !->internetclient -> provider -> ТСПУ -> VPS -> internet
robert_ayrapetyan
26.04.2026 01:05А как обстоят дела с блокировками входящих соединений с зарубежных ресурсов? Выглядит как поле для реализации интересных схем.
Horse4Horse
26.04.2026 01:05Недавно попала в бан зарубежная VPS.
Налицо все признаки блокировки ТСПУ: проходят первые syn, syn-ack, а как только идёт первый пуш - он до второй стороны уже не доходит.
Блокируются все типы пакетов, от https до ssh и iperf. Про udp вообще молчу
Но вот когда захожу на VNC и подключаюсь к серверу в рф - через раз соединение устанавливается и больше не рвётся.
Чтобы не терять оплаченную на полгода вперёд VPS - поставил autossh с поднятием ssh туннеля (в который заворачивается shadowsocks) до сервера в рф, а на нём wireguard хаб.
Пробовал пускать vpn\proxy в чистую - соединение так и не получается установить.
egranty
26.04.2026 01:05На свой хостинг в РФ из-за рубежа:
входящие VPN-соединения РКН стал резать с 6 января 2026.
по SSH(22) / FTP(21) доступ открыт, по порту 3306(MySQL) - тоже. Как начнут блокировать - свалю на заубежный хостинг. А пока - лень.
robert_ayrapetyan
26.04.2026 01:05А если без всяких впн на стандартном 443 порту поднять сервис, к которому коннектяться извне, получают задания, и доставляют контент к примеру, без исходящих соединений, такое прокатит?
lz961
26.04.2026 01:05Интересно было бы знать, что думает о ситуации головниник/инозаказчик, но понимаю, что скорее всего это не будет озвучиваться вслух, только решения.
fzhm77
26.04.2026 01:05Бог им судья, а за остановку прогресса сами знаете что с ними надо сделать. Хотя, мы же русские и на основе этой статьи делаю вывод, мы крепчаем. Хорошая статья в нынешних реалиях. Актуальная.
pvsur
26.04.2026 01:05Попробовать чтоль какой нить OpenVPN over Yggdrasil, у которого в настройках tls-пиров можно указать фейековый SNI = rzd.ru. теоретически будет пропускаться всеми ТСПУ...
MiracleUsr
26.04.2026 01:05Это давно уже проверили безо всякого Yggdrasil, а с Reality/Cloak/любым-tls-based-протоколом-с-самоподписанным-сертом - нет, не будет пропускаться, оно там гораздо сложнее работает.
pvsur
26.04.2026 01:05https://habr.com/ru/articles/1027746/
Что нового в Yggdrasil-ng
...И главное - CKR.
CKR: VPN через Yggdrasil
Уже все придумано :))
Markscheider
26.04.2026 01:05обратный король мидас отечественного IT
Аааа, бро, ты сделал мой день! Такого тонкого троллинга не слышал давно.
pvlbgtrv
26.04.2026 01:05Уже года 3 юзаю AmneziaWG и XRay на разных устройствах, в разных частях страны, хз что за проблемы у вас
forc3meat Автор
26.04.2026 01:05У меня уже лет 5 wireguard обычный поднят. И для меня одного тоже работает. Наверное автор дурак.
ivan_zhuck
26.04.2026 01:05Блокировки работают избирательным образом, есть реальный пример, где на одном сервере прекрасно работает ikev2/ipsec туннель. А на другом сервере, находящемся в том же ЦОД, что и первый, ровно в такой же конфигурации, пакеты не приходят по такому же туннелю, их ловит DPI. И ничего ты с этим не сделаешь.
battlemixerpilot
26.04.2026 01:05Не очень понял из статьи - вы роутите вообще весь трафик заграницу? Иначе как бы за доступ к Максу забанили сервер…
Просто я в похожем положении: полкомпании в РФ, вся инфра в ЕС. Пока обхожусь схемой
client --OpenVPN--> VPS RU --openconnect--> Hetzner, тьфу-тьфу, работает. Но у меня при помощи линукс-магии (nftables + ip route) в туннель на ЕС летит только часть трафика, остальное по основному каналу VPS RU.MiracleUsr
26.04.2026 01:05Split tunneling по GeoIP как раз тут не работает, Макс именно что стучится на иностранные сервисы чтобы сравнит адреса. Более того, даже если выводить через забугор условно только гугл/ютуб, все равно есть возможность спалиться.
Lukerman
26.04.2026 01:05К офер паку попросил к расходам на ДМС добавить расходы на VPS...
Предложили релокацию.
MiracleUsr
26.04.2026 01:05Не зря говорят, что самый лучший выход из сложившейся ситуации - аэропорт Шереметьево.
GlazOtca
26.04.2026 01:05Так говорят только крысы бегущие с тонущего корабля. Нормальные люди объединяются и дают бой тем мразям, которые перестали считать их людьми.
MiracleUsr
26.04.2026 01:05Крысы бегут с корабля когда становится очевидно, что корабль обречен и его уже не спасти.
Двадцать лет объединяются и объединяются, и все никак не объединятся, а старательно терпят на кухнях. А противник вообще на бой не явился. Наверное, как в анекдоте про АвтоВАЗ, просто место проклятое.
bovops
26.04.2026 01:05Недавно открыл для себя trusttunnel, до этого тоже были разные связки с wireguard поверх cloak. Сейчас в РФ арендована VPS, на нем haproxy, опредленный sni перенаправляет траффик дальше на EU VPS.
atwok
Странно, что у одних изымают IP адреса в VK Cloud, а у других там всё работает и они публично распространяют ссылки MTproxy для подключения к Телеграм с обходом белых списков. Или Телеграм это другое и не считается обходом блокировок?
achekalin
Не могу понять, а разве протоколы уже являются предметом запрещения? Вот в этом чудесном ответе, что "запрещенных протоколов vless " и далее по тексту.
Я понимаю, что РКН как ютуб не запрещает (что это кривда, никого юридически же не смущает), так и vless может (даже не совсем чтобы по букве закона) не любить, но облако бы могло и юридически верно писать.
stekov27
это ж подумать надо
andrey_snegovik
Считается тоже обходом, РКН старается банить такие сайты