Правительство КНР хочет обязать национальных интернет-провайдеров блокировать доступ частных лиц к VPN с 1 февраля 2018 года, сообщает анонимный источник, знакомый с ситуацией.

По его словам, указания уже получили государственные China Mobile, China Unicom и China Telecom — крупнейшие коммуникационные компании страны.

Новые ограничения могут полностью закрыть единственный способ доступа к множеству сайтов, заблокированных в стране. Интернет в Китае является одним из самых зарегулированных в мире. Иностранные сайты блокируются под предлогом сохранения «социальной стабильности и общественной безопасности». Генеральный секретарь Си Цзинпин проводит политику «цифрового суверенитета». Блокировка путей в обход «Великого китайского файервола» полностью вписывается в эту программу.

VPN-сервисы в Китае популярны не только у иностранцев, но и среди бизнесменов, работающих с заграничной аудиторией и клиентами. Однако компании, предоставляющие подобные услуги, с юридической точки зрения работают в серой зоне. Министерство связи в январе этого года уже заявляло, что компаниям следует прекратить оказывать услуги по обходу ограничений для частных лиц, и использовать VPN только для рабочих нужд. Некоторые VPN-провайдеры уже вынуждены закрыться. Так, GreenVPN сообщил клиентам, что они приостанавливают работу с 1 июля «после письма из регулирующих органов».

Компании, работающие на территории КНР, могут подключиться к нецензурируемому интернету, но для этого они обязаны зарегистрироваться у оператора, собирать сведения об использовании канала и передавать властям.

UPD 2017.07.13:
Китайские власти прокомментировали статью Bloomberg:
«Легальный доступ в интернет нарушен не будет.
… Торговые и иностранные компании, которым необходим доступ к мировому интернету, могут официально обратиться к телекоммуникационным компаниям и запросить выделенные каналы или другие инструменты».

Другими словами, у компаний останется доступ к мировому интернету, а частным лицам никто ничего не обещает.
Заблокируют ли частный VPN в Китае?

Проголосовал 1121 человек. Воздержалось 259 человек.

Заблокируют ли частный VPN в России?

Проголосовало 1110 человек. Воздержалось 252 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (70)


  1. wtigga
    11.07.2017 05:11
    +6

    От себя добавлю:
    Не смотря на то, что это Блумберг и анонимный источник, я таки склонен доверять ему. Техническая возможность блокировать протоколы VPN у Китая уже есть, вот тут интересная статья на тему предполагаемого машинного обучения великого файервола.

    Осталось сделать ещё пару шажков: 1. Заставить юридических лиц подключаться к Большому Интернету официально через провайдера, а не покупкой всяких частных VPN-сервисов, 2. Заблокировать все крупные VPN-сервисы и включить распознавание vpn-трафика на полную катушку.

    Простым китайцам будет пофиг, китайским компаниям придётся повозиться, иностранным компаниям в Китае будет тяжко, иностранцам в Китае (тем, кто поддерживает связь с заграницей) будет очень плохо. Но китайцам пофиг.


    1. zuborg
      11.07.2017 19:15
      +2

      возможность блокировать протоколы VPN
      — возможность заблокировать конкретные протоколы да, есть. Но для того чтобы заблокировать VPN полностью, надо заблокировать вообще все, кроме некоторых протоколов, и за теми следить от и до. Например, вполне можно гонять трафик через SSH-тунель — так что, Китай закроет SSH для частных лиц? Или поднять openvpn или другой тунель на 443-м порту (хотя тут Китай как раз использует MiTM, не https трафик заблокировать можно). Есть IP-over-DNS. Да, в конце концов, можно запустить IP-over-HTTP — будет как в том анектоте про dialup модем на IP-телефонии, но если это не публичный сервис, а приватный сайт, то найти и заблокировать его будет непросто.


      1. Uirandir
        11.07.2017 21:11

        > все, кроме некоторых протоколов

        Дык фишка-то в том, что надо блокировать IP. Без этого никак. Без этого дырки останутся. Как я уже писал есть те же грешные туннели, которые просто неотъмлемая часть IP.


      1. petropavel
        11.07.2017 22:28
        +2

        ну, если там «предполагаемое машинное обучение великого файервола», то IP-over-HTTP все-таки сильно от обычного серфинга отличается, отловить можно. Там же не просто порты закроют.


      1. Vilgelm
        12.07.2017 07:51
        +3

        OpenVPN можно отследить по хендшейку. SoftEther SSL VPN нельзя, но можно по большому количеству трафика на определенный хост. По идее тут нужно решение на основе SoftEther, которое будет рандомно подключаться к различным хостам.


        1. 9uvwyuwo6pqt
          14.07.2017 18:23

          -tls-crypt


  1. Mako_357
    11.07.2017 06:19
    -14

    У нас, когда будут блокировать, то это будет спустя рукава.


  1. 9uvwyuwo6pqt
    11.07.2017 06:37
    -1

    >закрыть единственный способ доступа к множеству
    Конечно я зануда, но ведь VPN не единственный и не самый удобный способ обойти блокировку.


    1. wtigga
      11.07.2017 06:40
      +4

      Расскажите, какие ещё есть способы, пожалуйста.

      (FIY, тор фактически заблокирован, детские способы типа подмены DNS давно не действуют.)


      1. 9uvwyuwo6pqt
        11.07.2017 07:12
        +3

        Прокси которые маскируются под неопределимые DPI протоколы или сетевой мусор, они позволяют пускать трафик до сервера только на заблокированные сайты. В VPN это можно сделать по адресам, но это не удобно так все учесть будет сложно, а прокси дает возможность легко проксировать определенные вкладки браузера, отдельные программы. Shadowsocks, fteproxy, скорей всего есть что-то более известное только самим китайцам.


        1. wtigga
          11.07.2017 07:45

          Не видел пока ни одного около-VPN провайдера, которые тут предоставляют доступ по shadowsocks/fteproxy. Думаю, по одной из двух причин:
          1. Они никогда не слышали про shadowsocks/fteproxy
          2. Это не помогает против GFW.


          1. 9uvwyuwo6pqt
            11.07.2017 07:59

            или проще было изменить конфигурацию OpenVPN.


            1. wtigga
              11.07.2017 08:36
              +2

              VPN-провайдеры типа Astrill и ExpressVPN пользуются своими модификациями OpenVPN, потому что обычный не работает.
              Впрочем, во время больших политических событий многие VPN просто лежат.

              Моя теория в том, что известных провайдеров уже всех пересчитали и не блокируют постоянно, чтобы клиенты не убежали к неизвестным провайдерам. Тогда, при большой нужде, удобно заблокировать бОльшую часть юзеров разом. Ну либо провайдеры продались и уже сотрудничают с КГБ.


          1. ValdikSS
            11.07.2017 13:00

            Это не помогает против GFW.
            Помогает, но это не панацея.


        1. Tufed
          11.07.2017 13:00
          +4

          А вот теперь самая ответственная часть марлезонского балета: то что шифрованное и распознается — оно легальное. Распознаём, и решаем блокировать или нет. И можно блокнуть всё, что не распознаётся/не расшифровывается. Типа оно не легальное. Или выходи на свет, получай VPN у провайдера и т.д. Или ты опасен, за тобой уже выехали. По-моему так проще. Останется только стенография и подобное.


          1. SolarW
            12.07.2017 09:06

            Кстати о стеганографии.
            Чисто теоретически, насколько реально засунуть VPN внутрь скажем какого-то онлайн видео?
            Для не посвящённого идёт вроде как трансляция красивого пейзажа с веб-камеры а на самом деле внутри полноценный VPN.


      1. vconst
        11.07.2017 08:50
        -3

        SSH


        1. wtigga
          11.07.2017 08:54

          А мужики-то не знали…


          1. vconst
            11.07.2017 08:59
            +1

            Вы спросили, я ответил.
            Проскроллил эксперименты на VPS, по моему человек не все способы исчерпал, но у них фаер рубит все шифрованные соединения, плюс есть connection probe и ещё куча живых китайцев, которые руками смотрят айпишники. Золотой щит все прочнее.


            1. ValdikSS
              11.07.2017 13:01
              +6

              Если вы будете гонять большое количество трафика через SSH, GFW снизит скорость соединения до нескольких десятков килобит на этот IP.


      1. Vilgelm
        12.07.2017 07:52

        Зайти по RDP на сервер в Гон-Конге или Сингапуре?


  1. Mako_357
    11.07.2017 06:46

    А что будет с openconnect или softether? Их трафики вроде не выглядит подозрительным, потому что выглядит, как обычный https.


    1. wtigga
      11.07.2017 06:52

      Но IP сервера ведь заблокировать не сложно


      1. LifeIsDarkness
        11.07.2017 07:39

        А если на своем VPS?


        1. wtigga
          11.07.2017 07:41
          +1

          Вот эксперименты человека со своей VPSкой.

          Впрочем, даже если и будет она работать какое-то время, «своя VPS-ка» на порядок сложнее, чем покупка готового VPN, и работает по принципу неуловимого Джо.


  1. sirocco
    11.07.2017 08:21
    +3

    Сейчас наши узнают новость и начнётся соревнование, кто скорее у себя всё заблочит.


    1. rozowik
      11.07.2017 08:48
      +1

      Догоним и перегоним


      1. servermen
        11.07.2017 16:35

        Да лучше бы они экономику сделали как у Китая, а не занимались блокировки в интернете всего и вся.


    1. wych-elm
      11.07.2017 16:58
      +2

      Что значит, узнают? Они же открыто уже приезжали «опытом делится», и вся движуха в РФ идет по Китайской схеме — «цифровой суверенитет», вот это все.


  1. sirocco
    11.07.2017 08:26

    Кстати, как там сейчас обстоят дела с «купить спутниковый интернет с входящим\исходящим каналом»? Не отечественный, естественно.


    1. wtigga
      11.07.2017 08:37

      Что-то мне подсказывает, что за такое пальчиком погрозят.


      1. BaLaMuTt
        11.07.2017 12:15

        Не пальчиком, а кое чем другим и не погрозят, а покарают)))


    1. UJIb9I4AnJIbIrUH
      11.07.2017 08:46

      Может там надо в обязательный реестр приёмников/передатчиков спутникового интернете своё устройство вносить? Я не в теме китайских дел, просто идея та же, что и с VPN по разрешению властей.


    1. TheDeadOne
      11.07.2017 08:52
      +1

      Легко решается административно: Получаешь разрешение на покупку, покупаешь, регистрируешь. Без разрешения тебе его просто не продадут, а если у тебя обнаружат незарегистрированное телекоммуникационное оборудование, отправляешься за решётку.


      1. iSergios
        11.07.2017 09:10

        Мда? И по какой статье? Или Вы про Китай?
        Ну и спутниковый приемник-передатчик, если Вы его как-то смогли ввезти в страну, у Вас найти будет очень сложно (если Вы сами не разболтаете). Это надо на вертолете летать над городом и пеленговать направленные спутниковые передатчики. Сдается мне, на такое даже китайцы махнут.


        1. vanyas
          11.07.2017 10:24

          Достаточно будет показательно засадить пару человек, чтобы вам уже не захотелось так делать


          1. sHaggY_caT
            11.07.2017 15:38

            Я думаю, можно огранизовать цифровое подполье. Оборудовать точки аплинков в интернет в каких-нибудь сараях, в которых не оставлять никаких отпечатков пальцев и пр. Один раз там устанавливать что-то вроде LTE модемов, и далее членам цифрового подполья выдавать доступ к аплинку по очереди (на сколько хватит канала).
            Как только сарай власти находят, оборудуется новый.
            Доступ до сарая или через существующие сети(как обойти DPI?) или через wifi mesh


            1. ptica_filin
              11.07.2017 22:11

              и так продолжать, пока модемы не кончатся?


              1. herr_kaizer
                11.07.2017 22:38
                +1

                В Китае не закончатся.


        1. Alexmaru
          11.07.2017 13:53

          если о россии, то статью у вас написать (или воспользоваться любой сова-на-глобус) — дело пары дней.


        1. TheDeadOne
          12.07.2017 10:29

          Я про любую страну озадаченную блокировкой интернета. Но не про сегодняшний день, а про завтрашний. Статья будет, когда понадобится. Конкретно в нашей стране не надо далеко ходить за примерами, ещё не так давно действовали постановления «О мерах активного противодействия враждебной радиопропаганде» и «Об ответственности за незаконное изготовление и использование радиопередающих устройств». Летать на вертолёте необязательно, достаточно периодически устраивать обыски у подозрительных и неугодных. А ещё могут доложить бдительные соседи.


      1. sirocco
        11.07.2017 10:36

        Я про Россию. Или Вы тоже? Сейчас есть относительно хорошие предложения, тот же триколор… Неужели нет провайдеров за бугром, которые не хотят предоставлять свой интернет канал абсолютно любому клиенту в мире? Это технически сложно? Или юридически? Хотя, некоторым странам и компаниям глубоко пофиг на юридические дела в России. Оборудование можно было бы унифицировать и продавать на том же али кому угодно, а подключаться чисто через интернет кабинет.
        Видимо не пришло ещё время…


        1. oleg0xff
          11.07.2017 12:51

          Достаточно заблокировать любые платежи за границу, не будет у вас не собственного vpn сервера ни тарелок спутниковых


          1. amarao
            11.07.2017 14:13
            +1

            биткоины?


            1. Ugrum
              11.07.2017 14:38
              +1

              Расстрелять!


          1. Vilgelm
            12.07.2017 07:54

            Есть же сервисы, которые выдают карточки зарубежных (оффшорных) банков.


      1. Antoha-spb
        11.07.2017 16:07
        +1

        в России спутниковая связь для частников уже много лет работает, и все необходимые НПА для работы СОРМа и т.д. давно написаны. Вкратце — выходить на связь с космосом можно из любого сарая от Калининграда до Владивостока, но точка приземления Вашего трафика должна быть в России, и на эту точку распространяются все те же правила, что на ОПСоСов и проводных операторов и провайдеров.

        Это касается и глобальных систем типа Иридиума, Глобалстара и Турайи, для которых лишняя точка сопряжения наземной и космической инфраструктуры — это огромный и дорогущий геморрой. Но таковы правила: хочешь легально работать — соответствуй.


        1. Alexey2005
          11.07.2017 18:08

          У спутников есть любопытная недокументированная возможность: спутниковая рыбалка (граббинг), когда пользовательское оборудование работает только на приём. Отследить такое в принципе невозможно, разве только ходить по домам с обыском, изымая аппаратуру.
          Да, отписываться на форумах и в комментариях через эту фичу нельзя. Но вот читать иностранную прессу, запрещённые ресурсы, качать терабайтами порнуху и вообще слушать «голос загнивающего буржуя» можно без проблем, а ведь именно этого власть и не хочет.


          1. Yngvie
            11.07.2017 18:17
            +4

            Я так понимаю, что с распространением https граббинг все менее и менее юзабелен.


          1. mimoprobegal
            14.07.2017 05:06

            При условии, что кто-то по соседству качает всю эту запрещенную иностранную литературу, а не смотрит Первый канал через спутник.


        1. CreFroD
          12.07.2017 09:55
          +2

          А что же у Иридиума есть наземная станция в юрисдикции РФ?


          1. a5b
            13.07.2017 02:18

            http://www.cnews.ru/news/line/2016-11-18_iridium_zapustil_rossijskuyu_stantsiyu_sopryazheniya Iridium запустил российскую станцию сопряжения наземного и космического сегментов в Ижевске — 18.11.2016


            «С сегодняшнего дня весь трафик, который мы получаем с территории России, как местными абонентами Iridium, так и роумерами, проходит через станцию сопряжения в Ижевске», — отметил Виктор Глушко, генеральный директор «Иридиум Коммьюникешенс».… «Наши инвестиции в создание ижевской станции сопряжения составляют десятки миллионов долларов — отметил Мэтт Деш, генеральный директор Iridium Communications Inc. — Это важный стратегический шаг для развития бизнеса Iridium. В планах — усиление позиций компании на российском рынке».

            https://www.vedomosti.ru/technology/articles/2016/11/18/666124-iridium-v-rossii Iridium полностью легализовался в России. Компания подключилась к СОРМ, будет продвигать спутниковый интернет для госструктур и крупных компаний — 18 ноября 2016


            Станция, в частности, позволит оператору соблюдать российское законодательство об оперативно-розыскных мероприятиях (СОРМ), отмечает гендиректор «Иридиум комьюникейшенс» (продает услуги оператора в России) Виктор Глушко.… В 2012 г. по временной схеме оборудование Iridium было подключено к узлу связи ФГУП «Морсвязьспутник», рассказывает Глушко.

            https://en.wikipedia.org/wiki/Iridium_Communications#Earth_base-stations


            The pre-bankruptcy corporate incarnation of Iridium built eleven gateways, most of which have since been closed.[61] Gateways were also built in Pune (India), Beijing (People's Republic of China), Moscow (Russia), Nagano (Japan), Seoul (South Korea), Taipei (Taiwan), Jeddah (Saudi Arabia) and Rio de Janeiro (Brazil). The company is seeking to reactivate gateways in several countries to comply with national laws in those countries.

            http://www.spaceref.com/news/viewpr.html?pid=22230 "China Space Mobile Satellite Telecommunications Co. Ltd. (China Spacecom) has announced that it is planning to open an Iridium gateway earth station in 2007."


  1. Goddamn_lb
    11.07.2017 09:10

    еще в январе была новость, что Китай намерен всерьез взяться за VPN


  1. Stillgray
    11.07.2017 10:23
    -1

    Что будет делать Китай, если его начнёт блокировать весь остальной мир?


    1. geher
      11.07.2017 10:40
      +3

      Это будет проблемой не только для Китая, но и для всего остального мира. По крайней мере до тех пор, пока именно В Китае сосредоточена значительная часть мирового высокотехнологичного производства.
      А если это производство (точнее его отображение в сети) блокировать не будут, то Китаю оно будет по барабану, даже спасибо скажут, если заблокируют доступ к внешней относительно Китая сети всяких диссидентов.


    1. jamakasi666
      11.07.2017 16:07

      Недавно читал новость о том что многие европейские и американские организации тупо полностью блочат все подсети Китая\России и многих стран азии. Так что это уже есть.


  1. konchok
    11.07.2017 10:47

    Взялись за VPN, потому что в Китае им пользуются не только «иностранцы и бизнесмены» а вообще каждый второй, особенно среди молодежи.


    1. engine9
      14.07.2017 04:43

      А чем власть промотивирована? Боится тлетворного влияния запада? Хочет тотального контроля над мыслями и действиями народа?


  1. swelf
    11.07.2017 11:10

    Последний абзац мне не совсем понятен, по аналогии с нами «СОРМируйте нас, но откройте пожалуйста доступ везде»? как то слишком хорошо звучит.


    1. wtigga
      11.07.2017 11:14

      Много компаний работает на заграницу. Например, разработчики игр, или тот же AliExpress. Им по работе нужен доступ к иностранным сайтам, а не шифрование. Поэтому слежка никак не противоречит полноценному доступу.


      1. swelf
        11.07.2017 12:25

        Китайский фаервол это уже имя нарицательное, а тут из последнего абзаца вроде как следует, что можно просто заявление написать и тебе доступ откроют.
        У нас же и слежка полноценная и реестр который никак не отключить законно.


  1. wtigga
    11.07.2017 12:41

    Так в России и не заблокировано столько сайтов ещё, вполне можно работать.
    И я говорю, что слежка не отменяется. Наверное, она ещё более интенсивная. Просто это позволяет китайским комапаниям, к примеру, разрабатывать мобильные игрушки для Гугл плея и приносить деньги в казну в виде налогов.

    Блокировки в Китае это не только идеология, но и протекционизм.


  1. cyber_ua
    11.07.2017 13:39

    Мне интересно как с технической стороны можно блокировать vpn? Как Vpn трафик можно отличить от обычного трафика? Или они в тупую будут банить vpn сервисы? Т.е я по сути могу поднять свой vpn сервер и спокойно им пользоваться?


    1. Alexmaru
      11.07.2017 14:00
      +2

      99% трафика трафика идёт на один адрес, больше часа, зашифрованный, с одинаковыми заголовками. Некоторые «пульсы» трафика объёмом выглядят, как загрузки популярных сайтов (типа google.com). Если таких пульсов-совпадений много, то это 100% VPN.


      1. cyber_ua
        11.07.2017 14:29

        Т.е если я подниму 6 серверов в 6 разных странах (например) и буду подключатся рандомно к этим серверам, то скорее всего фильтр не заметит что это vpn?
        P.s Какие есть способы обойти подобные фильтры кроме vpn? Tor ноды тоже можно перекрыть поидее…


        1. Alexmaru
          11.07.2017 14:33
          +1

          Я просто предположил самый простой фильтр, если б не заморачивался с ресурсами, и использовал бы машинное обучение.

          Ну а тор там глушится.


        1. kogemrka
          12.07.2017 09:10
          +1

          Т.е если я подниму 6 серверов в 6 разных странах (например) и буду подключатся рандомно к этим серверам, то скорее всего фильтр не заметит что это vpn?


          Для того, чтобы достоверно ответить на этот вопрос, нужно знать, как конкретно устроен GFW. А это не очень понятно.
          Допустим там внутри хитрая машинка с хорошим anomaly detection'ом.
          Может быть заметят.
          Может быть не заметят.
          Может быть заметят, но не заблокируют, а обратят на вас пристальное внимание.


  1. old_bear
    11.07.2017 13:46

    Русский с китайцем — братья навек! (с)


  1. Uirandir
    11.07.2017 14:44

    Для того, что бы заблокировать VPN им придется просто отрубить страну от инета. В противном случае есть SoftEther, который неотличим от https, есть SoftEther работающий через icmp, да есть greшные туннели, которые вы только с отрубанием IP заблокируете, в конце концов. Я уж молчу про ssh и прочее.
    Нельзя заблокировать выход не перекрыв совсем выход наружу.


    1. wtigga
      11.07.2017 14:51

      99% не заметят, что им «отрубили интернет»: в отличие от России, Китай на иностранные сервисы не завязан. Под удар попадёт тот самый 1%, которому иностранный интернет нужен. А они все пользуются VPN даже сейчас. Потому что без VPN каждый первый сайт, где есть кнопка «поделиться в Facebook» или аналитика от гугла будет тормозить безбожно.