VPN становится сегодня не просто актуальным, но часто и жизненно необходимым сервисом для пользователей рунета. Заблокированный LinkedIn, беспорядочная стрельба Роскомнадзора, возможная блокировка Фейсбука, Вайбера и других ежедневных приложений, сотни и тысячи уже заблокированных сайтов в сети, невозможность оставаться анонимным при использовании ВК, ОК, Mail.ru и прочих "подконтрольных" ресурсов, и множество иных причин. Все это заставляет рунетовцев задуматься о своем будущем в этом сегменте мировой сети.


У всех нас есть бабушки, дедушки, родители, а также знакомые гуманитарии, музыканты, домохозяйки и прочие замечательные, но навсегда далекие от "сложных" Интернет технологий люди. Да, конечно, Интернет полон туториалами и видео роликами, объясняющих "простой" процесс установки VPN клиента. Однако все это не решает главной задачи — ЗАСТАВИТЬ этих людей проделать непривычные и пугающие их действия и обзавестись, наконец-то, VPN защитой.


Кроме того, существующие сервисы VPN имеют целый ряд серьезных недостатков, которые не позволяют лично мне рекомендовать их к использованию моим друзьям:


  1. Бесплатные VPN сервисы терроризируют своих пользователей бесконечной рекламой, а иногда и разнообразным малваром. Не говоря уже о скрытых и неприятных ограничениях по скорости соединения и объему трафика.
  2. Платные VPN сервисы, очевидно, отпугивают своей платностью. Но это далеко не самое отрицательное качество популярных и публичных VPN провайдеров.
  3. Самое неприятное — это, конечно же, потенциальная возможность логировать и мониторить ВЕСЬ траффик пользователя без его ведома. Да, разумеется, практически все VPN pровайдеры рекламируют свои услуги под лозунгом "Мы не ведем никаких логов". Но является это заявление правдой или нет — узнать достоверно невозможно.
  4. Масштабные блокировки очень часто включают в себя IP адреса всех известных VPN провайдеров, т.к. все их сервера легко вычисляются и могут быть внесены в черный список сравнительно легко.

Все вышеперечисленное привело меня недавно к одной интересной идее, которой я хотел бы поделиться с сообщетвом: дать возможность технически подкованным людям (админам) создавать удобный VPN для своих друзей и знакомых.


Суть идеи в следующем:


Создается сервис, например, beervpn.com (VPN за пиво :).


Сервис предлагает нашему админу быстро и легко установить VPN на любой VPS-ке. Для этого на сервисе выкладываются детальные инструкции и готовые автоматизированные скрипты под разные операционки. Это позволит даже начинающим админам стать провайдерами VPN сервиса для своих друзей. Очевидно, что любой, даже начинающий админ сможет найти, купить и настроить дешевый VPS с достаточным траффиком для обслуживания нескольких десятков или даже сотен человек.


После того, как VPN запущен, мы предлагаем админу создать приватный канал в Телеграме, в который он будет добавлять своих друзей, знакомых, родственников и прочих, кому необходим VPN.


В этом канале юзеры получат ссылку на мобильную аппу для Android или iOS, которую они должны будут установить на свое мобильное устройство. Аппа будет уникальной для этого админа и, соответственно, для этого канала. Запустив аппу, юзеру необходимо будет авторизоваться через Телеграм. В самой аппе будет только одна кнопка: ON/OFF, которая позволит юзеру включать и выключать VPN на своем устройстве. Настройки VPN соединения будут прописаны в самой аппе. Кроме того, аппа будет постоянно проверять, является ли юзер подписчиком канала и, если нет, то не будет позволять ему использовать VPN. Таким образом, админ сможет управлять своими VPN пользователями через приватный телеграм канал!


В будущем, можно будет дать возможность админу настроить несколько VPN серверов, например, в разных странах, а у юзеров будет возможность выбрать страну подключения в аппе.


Очевидно, что саму аппу админ будет получать на нашем сервисе, который будет создавать ее под конкретный сервер/сервера с конкретными настройками доступа. А админ сможет управлять "созданием" аппы, вводя параметры своих VPN серверов в своем личном кабинете на нашем сервисе.


Кроме красоты, это решение имеет и множество плюсов:


  1. Это бесплатно для пользователя.
  2. Сложно придумать более простой способ подключения к VPN. Даже для самого гуманитарного гуманитария установить аппу и нажать на одну кнопку — вполне посильная задача. Тем более, что предложение установить аппу придет от его друга/родственника, который сможет помочь им справиться с этой задачей.
  3. Заблокировать такой VPN безумно сложно, т.к. необходимо отследить IP адрес VPS сервера (который НИГДЕ не указан) и заблокировать его для каждой созданной аппы. А если сделать автоматическое отслеживание этих блокировок, то можно практически мгновенно переключать IP на сервере и клиенте после блокировки.
  4. Анонимность трафика и отсутствие логов гарантируется самим админом, которому решили довериться его друзья и родственники.
  5. Админ получает взамен регулярную благодарность и пиво.

Со временем, можно генерить и десктоп аппы и вводить более сложное администрирование пользователей и серверов. Но, мне кажется, что даже в описанном виде — это может быть интересный и несложный в реализации проект.


Буду рад услышать ваше мнение и критику.


Ну и все, кто загорелся идеей — пишите, сделаем ее вместе!


P.S. Я готов положить $1к на всю разработку, оплачивать сервера для сервиса и управлять проектом.
P.P.S. Кто хочет помочь с разработкой, тестированием, управлением проектом, дизайном, копирайтом, чем угодно, присоединяйтесь к телеграм группе: https://t.me/beervpn

Комментарии (148)


  1. vconst
    06.05.2018 07:27

    Сайты с информацией по обходу блокировок — будут блокироваться ркпозором. Телега — сейчас не самый надёжный канал связи. Даже начинающему админу не нужны скриншоты для того, чтобы ввести в терминале пару строчек для запуска скрипта с гитхаба. «Аппа» уже придумана — это openvpn. Ничего не помешает ркпозорау заблокировать всю подсеть впс-хостера, до и скалевей к примеру — почти полностью убиты, на той неделе пришел анонс о новом типе впс — не смог им воспользоваться, увы. Админ в итоге сопьется)) Потому лучше деньгами, но это ничем не отличается от уже готовых платных типа протонвпн. За вами уже выехали…


    1. vels Автор
      06.05.2018 12:17
      +1

      Сайты с информацией по обходу блокировок — будут блокироваться ркпозором. Телега — сейчас не самый надёжный канал связи.

      Очевидно же, что у админа VPN уже стоит.
      Даже начинающему админу не нужны скриншоты для того, чтобы ввести в терминале пару строчек для запуска скрипта с гитхаба.

      Под админом имеется в виду ЛЮБОЙ айтишник. И дизайнер и разработчик и т.д.
      Инструкции по настройке VPN на Linux известны далеко не каждому айтишнику.
      «Аппа» уже придумана — это openvpn.

      Нет, OpenVPN требует дополнительных настроек / скачивания и подгрузки профайла и вообще не является user friendly аппой для обычного пользователя.
      Ничего не помешает ркпозорау заблокировать всю подсеть впс-хостера, до и скалевей к примеру — почти полностью убиты, на той неделе пришел анонс о новом типе впс — не смог им воспользоваться, увы.

      Количество подсеток публичных VPN — ограничено. Количество подсеток хостинг провайдеров — это весь Интернет. Замучаются пыль глотать. Или придется чебурнет вводить. А это уже совсем другая история.
      Админ в итоге сопьется)) Потому лучше деньгами, но это ничем не отличается от уже готовых платных типа протонвпн.

      Как админу договариваться с друзьями — его дело. Очевидно, что пиво — это шутка. Я сам, например, пиво не пью.
      За вами уже выехали…

      Устанут ехать…


      1. vconst
        06.05.2018 12:39
        +4

        Разработка нового приложения — это далеко за рамками озвученного бюджета, особенно учитывая что это криптография и надо проводить очень серьёзный аудит безопасности. Openvpn отвечает всем условиям задачи, вообще всем. Вы когда последний раз видели его мобильный клиент? Я — примерно пару минут назад. Ставится из маркета, хорошо проверен и безопасен, бесплатный, управляется одной кнопкой и тд тп. Все что надо — выдать пользователю готовый и индивидуальный файл настроек, который генерится или отключается одной командой из консоли.

        Чем это все отличается от уже готового и платного решения? Тот же протонвпн для простых целей бесплатен, не грузит рекламу и тд тп

        ps. Минус тоже от вас? :) По времени очень совпадает))


        1. vels Автор
          06.05.2018 13:14

          У меня OpenVPN не выключается практически никогда. И вообще на всех устройствах настроен. И L2TP настроен параллельно. И я регулярно помогаю людям настраивать VPN на устройствах и в курсе того, что они понимают, что им удобно, а что нет.

          Про минусы публичных VPN я в посте написал.

          Нет, минус не от меня.


          1. vconst
            06.05.2018 13:20
            +2

            Тогда я правда не понимаю минусов опенвпн. Клиент ставится из маркета, файл настроек индивидуален и его скачать проще, чем возиться с установкой программы не из маркетов. На андроид можно вынести ярлыки для включения и выключения впн. Если дело только в телеге, то прокси на впс настаивается тоже одной командой скрипта с гитхаб, могу дать ссылку на тот, что я использовал.

            Кстати, как быть с айфонами? Туда не так просто поставить программу мимо тунца. На порядок сложнее, чем скачать официальный клиент опенвпн и скормить ему настройки.


            1. entze
              06.05.2018 13:26

              Не сложнее. Подписывается сертификатом разработчика, которому надо установить доверен в настройках. Сейчас так Телеграмм Х распространяется.
              Другое дело, что OpenVPN выдавливается из памяти и дисконнектится. IKEv2 для ios роднее.


              1. vconst
                06.05.2018 13:38
                +2

                Только разработка Телеги на порядки дороже озвученного бюджета.


              1. avelor
                06.05.2018 19:58

                Использую l2tp\ipsec, распространяю через mobile.config (xml). Не нужно сертификатов и прочих файлов настроек.
                Впрочем ЕМНИП через xml можно и опенвпн настраивать и сертификаты раскладывать, этот механизм для корпоративщиков а-ля gpo.


            1. ne_kotin
              06.05.2018 15:07

              Вам же уже написали — OpenVPN сложен как для использования (надо выдать пользователю профайл, объяснить как и куда его воткнуть), так и для поддержки (разверни УЦ, следи за сертификатами). Если говорить про массовое решение для обхода блокировок в один клик — то это никак не OpenVPN, а Outline.
              1. Поставить клиент из маркета
              2. Выдать пользователю «ключ» (base64-кодированные настройки), который он копипастит, а клиент сам обнаруживает в буфере.
              Всё. А телега до сих пор вполне надежна, и ссылочки с настройками прокси распространяются ровно так же в один клик.

              Что касается администрирования — то тут ровно так же рулят различные докеризованные прокси и докеризованный ss-libev. у меня «для своих» даже развернута веб-мордочка с кнопкой «обойти блокировку» и полем ввода мыла. запускается ss-libev в контейнере с случайным ключом расшифровки и детали улетают мылом пользователю.

              А пользователи у меня в массе своей весьма далеки от ИТ.


              1. vels Автор
                06.05.2018 15:56

                Спасибо! Если хотите помочь: https://t.me/beervpn


              1. vconst
                06.05.2018 16:58
                +1

                Ничего не надо втыкать.

                Клиент скачивается из любого маркета, иос или андроид — без разницы. Главное, что он официальный, проверенный, надёжный, и безопасный. Написать свой аналог — задача на много человекочасов квалифицированных и высокооплачиваемых специалистов.

                Файл настроек присылается любым способом и клиент автоматически его открывает — ассоциации по типам файлов рулят. Все. Дальше управление одной кнопкой, со стороны пользователя никаких действий не требуется.

                Установка сервиса — запуск одного скрипта и нажмите одной цифры.
                Менеджмент аккаунтов на сервере — запуск одного скрипта и нажатие одной цифры.


                1. ne_kotin
                  06.05.2018 23:13

                  Я еще раз повторюсь: речь не идет о написании своего клиента. Речь о том, что OpenVPN сложнее в настройке неквалифицированным пользователем, чем Outline. Который ровно так же есть на обе мобильных платформы в маркете. Только копипастить статический конфиг в Base64 куда как проще и быстрее.

                  Ах, да. Написать аналог «на коленке» — задача на день для прототипирования. За одну человеко-неделю вполне реально выкатить на Android only. С модерновой криптографией (ECDH, AES, AEAD), неизвлекаемыми ключами, и вот это всё. Даже код будет на порядок компактнее, чем у того же Outline.

                  OpenVPN хорош в корпоративном окружении, когда есть кому носиться с настройкой и поддержкой, а для решений в один клик типа «запустил и забыл» он не годится.
                  А с SS мне даже с юзерменеджментом голову греть не приходится, он излишен.


                  1. vconst
                    07.05.2018 13:28

                    Это вы говорите о том, что не надо писать свой клиент, а автор — хочет свой клиент и хочет ВПН. Аналог на коленке — не есть хорошо, надо нормальные программы для айфона и андроид.

                    ОпенВПН настраивается немного сложнее Аутлайна, надо запускать консоль и ввести одну команду, но автор хочет ВПН. А так — было бы проще поднять прокси, там проще настраивать трафик разных приложений.

                    Я для себя пробовал разные способы обхода блокировок, долго пользовался возможностями Стрейзанд, но в процессе беготни с одного ВПС на другой, пока роскомпозор истерил с миллионными блокировками — вернулся на ОпенВПН. Поставил скриптом и забыл. Если кому из друзей надо — то файл для клиента генерится одной командой, скачать клиент из маркета — проще простого.

                    Если что — я не админ ни разу.


                    1. ne_kotin
                      07.05.2018 15:47

                      Так Outline (ShadowSocks) в случае Android — таки вполне себе VPN, ибо через VPN API работает.
                      А если заморачиваться поюзерно — я лучше встроенный IPSec/PPTP предпочту.


                      1. vconst
                        07.05.2018 16:00

                        Я же не спорю, сам пользовался Shadowsocks, это ему хочется ВПН и обязательно свое собственное приложение.


              1. vanxant
                06.05.2018 22:24

                А какие там сложности с сертификатами? Разрешить мультилогин в конфиге, всё?


                1. ne_kotin
                  06.05.2018 23:19

                  Создать CA, создать пользовательские, сбандлить их, доставить пользователям.
                  Еще конфиг виртуальной сети написать, и желательно маскарадинг настроить. Докеризация часть этих проблем снимает, конечно.


        1. awesomer
          06.05.2018 19:07

          Разработка нового приложения — это далеко за рамками озвученного бюджета, особенно учитывая что это криптография и надо проводить очень серьёзный аудит безопасности.


          Зачем там вообще криптография, а уж тем более с аудитом?
          Для заявленной задачи-то по обходу?
          В любом случае — все равно внутри тоннеля вы гоняете https


          1. vconst
            06.05.2018 19:16

            Автор хочет впн.


            1. awesomer
              07.05.2018 08:18

              ВПН — это не более, чем виртуальная частная сеть внутри публичной сети. Вы можете сделать тонель хоть с помощью bird/BGP без шифрования.

              Целостность и секретность и аутентификацию вам обеспечит https.
              Ну а от того чтобы этим тунелем смог воспользоваться кто угодно, любой желающий, внедрившийся в тунель где нибудь посередине — для данной задачи совершенно не важно. Тонель то бесплатен.


              1. ne_kotin
                07.05.2018 09:56

                Целостность и секретность и аутентификацию вам обеспечит https.

                Ну а от того чтобы этим тунелем смог воспользоваться кто угодно, любой желающий, внедрившийся в тунель где нибудь посередине — для данной задачи совершенно не важно.

                Вы уж определитесь. Или секретность и аутентификация, или мужик посередине.


                1. awesomer
                  07.05.2018 11:49

                  Жую специально для вас:

                  Мужик посередине может воспользовать тонелем (не жалко), но не может назваться вашим именем или прочитать вашу «переписку» с сервером — https гарантирует это.

                  Для заявленных целей обхода — этого достаточно.

                  То, что кто-то будет делить с вами и так бесплатный канал — значения не имеет.


                  1. ne_kotin
                    07.05.2018 12:24

                    Нет. Если мужик посередине может воспользоваться вашим туннелем — он может и прочитать переписку. Потому что туннель закрыт шифрованием.
                    А если вы имели в виду «воспользоваться тем же VPN-сервером с тем же ключом», то этот мужик не посередине, а сбоку. И прочитать ничего не может.


                    1. awesomer
                      07.05.2018 12:57

                      А как же вы до сих пор жили без тунеля?

                      В наш век, если вы до сих пор пользуетесь голым http, без https — вашу переписку может читать кто угодно.

                      Да, классический VPN c принятым для него шифрованием, дает дополнительные гарантии, в частности, дает возможность пользоваться незащищенным протоколом и жить спокойно.

                      Но — зачем?

                      Когда сейчас сайты массово переходят на https, когда есть LetsEncrypt…

                      Для целей обхода блокировок — шифрование в VPN не нужно.


                      1. ne_kotin
                        07.05.2018 15:50

                        Вы путаете туннелирование и транспортное шифрование. Это разные вещи, но они применяются совместно. Потому что туннелирование без шифрования делает туннель уязвимым к анализу. А так — есть непрозрачный поток трафика от клиента к серверу — поди пойми что там.
                        Но https это не туннель.


      1. GennPen
        06.05.2018 14:30
        +1

        Нет, OpenVPN требует дополнительных настроек / скачивания и подгрузки профайла и вообще не является user friendly аппой для обычного пользователя.
        Зайти например на github.com/Nyr/openvpn-install а затем ввести единственную строку запуска скрипта, который сам все что нужно скачает и установит, даже спросит на какой порт поставить, на какое имя создать сертификаты, и это все без дополнительных ковыряний в конфигах. Я не думаю, что это сложнее, чем установить какую нть программу на свой комп. Командная строка без графического интерфейса не такая уж и страшная.


        1. aik
          06.05.2018 15:43

          Речь про клиентскую часть, а не про серверную.
          Лично я от openvpn на мобильниках отказался из-за того, что надо ставить дополнительный софт и подсовывать в него конфиги и сертификаты.
          А l2tp достаточно пароли ввести.

          Хотя, конечно, openvpn гораздо лучше через всякие кривые natы пролезает.


      1. red75prim
        07.05.2018 08:58

        Или придется чебурнет вводить.

        Реакцию властей на действия РКН (т.е. отсутствие реакции) сложно интерпретировать иначе как "всё идёт по плану". Даже об отдельных перегибах на местах ещё не говорили. Так что не обольщайтесь, самоё весёлое ещё впереди.


    1. TheIseAse
      06.05.2018 12:49
      -1

      Спорно, что никому не нужны нормальные инструкции. Я не админ, но вполне себе смышленый парень, и настроить OpenVPN ни по одному гайду у меня не получилось.


      При этом с другой стороны, благодаря certbot-auto настроить https оказалось даже проще, чем я думал.


      1. vconst
        06.05.2018 13:09
        +1

        Тут ниже несколько ссылок на скрипты установки опенвпн, я не админ, но у меня все получилось.


        1. vels Автор
          06.05.2018 13:14
          +1

          Вы молодец


    1. Areso
      06.05.2018 20:25

      Пиво это отсылки к шуткам про админов в свитерах и с пивом.
      Или к временам фидонета… Там тоже пиво было в ходу)


  1. saag
    06.05.2018 07:33

    На мой взгляд надо брать пример с пиринговых сетей, только вместо раздающих контент хостов — хосты с ВПН


    1. lolhunter
      06.05.2018 11:05
      +8

      Вы изобрели TOR?)


  1. aik
    06.05.2018 08:39
    +1

    Скриптов для поднятия vpn на vps в один клик в сети полно валяется.
    Вбить имя и пароль от vpn на телефоне «клиента» тоже ничем не сложнее, чем поставить там софт.

    И не придется никого на «мобильные мессенджеры» подсаживать.


    1. vels Автор
      06.05.2018 12:39
      +1

      Многим юзерам удобнее использовать просто и понятно сделанную аппу, а не копаться в настройках openvpn. А особенно аппу, сделанную лично для них. Это психология и маркетинг, а вы смотрите на проблему взглядом технаря.


      1. aik
        06.05.2018 13:06

        А причем тут дополнительный софт вообще и openvpn в частности?
        И андроид, и айфон имеют встроенную поддержку vpn.

        Вбиваете там сервер, имя пользователя и пароль — и не надо никаких дополнительных сущностей разводить. Которые в случае айфона вообще не возможны, а в случае андроида дырку в безопасности оставляют.


        1. vels Автор
          06.05.2018 13:18
          +1

          Так уж вышло, что пользователи чаще используют аппы для включения VPN, а не настраивают его через установки сети. Это просто факт.

          А про минусы публичных VPN я уже написал.


          1. aik
            06.05.2018 14:43

            Так уж вышло, что пользователи чаще ставят софт из маркета, а не из левых источников. А если vpn будет настраивать «админа», то какая разница, как там будет выглядеть методика настройки?

            Вариант 1:
            Ввести имя и пароль в настройках телефона, вытащить ярлык на рабочий стол или вообще поставить галку «подключаться автоматом». От телефона зависит слабо.
            Вариант 2:
            Спросить, какая ОС на телефоне, если ios — послать пользователя.
            Если андроид, то поставить телеграм и зарегистрировать там пользователя.
            Сделать пользователю индивидуальный apk и скачать его на телефон.
            Поставить программу из левого источника…


            1. vels Автор
              06.05.2018 14:49

              А в чем проблема для админа выложить выложить аппу в плей и апп сторы? Она абсолютно честная и легальная.


              1. VolCh
                06.05.2018 15:16

                В аппстор уже не нужно деньги платить, любой может выкладывать?


                1. vels Автор
                  06.05.2018 15:40

                  Да, вы правы.
                  $99 в год за app store и $25 за play.
                  Обсудим с первыми админами. Можем на свой акк выкладывать все аппы, можем с их акков принимать.


                  1. Alexsey
                    06.05.2018 17:49

                    Если в гугл плей такое еще и прокатит, то в апп сторе вам быстро скажут что не хотят чтобы вы засоряли магазин приложений одной и той же софтиной.


              1. aik
                06.05.2018 15:39

                Тогда добавляется шаг «выложить софт в маркет» для каждого пользователя.

                По-моему, это всё выходит далеко за рамки «за пиво».


              1. awesomer
                06.05.2018 20:44

                А в чем проблема для админа выложить выложить аппу в плей и апп сторы?


                Даже не учитывая вопрос цены.

                Люди месяцами ждут одобрения своих приложений в этих самых сторах.

                Ну и опять таки — а вопрос доверия к софту, выложенному непонятно кем.
                Ведь это не просто игруха, а будет отвечать за ваш трафик.


                1. ne_kotin
                  06.05.2018 23:21

                  А доверие к софту всяких *VPN коих в ГП миллион уже не стоит?


                  1. awesomer
                    07.05.2018 08:28

                    Если VPN коммерческий — понятен интерес тех, кто делает свой клиент. Это для простоты подключения и привязки тем самым к себе клиента.

                    В чем интерес бесплатных VPN клиентов?

                    Ну да, охотно верю, что есть среди них такие, что созданы ради облагодетельствания человечества. Но три-пять штук…

                    Если же бесплатные VPN-клиенты появляются десятками — простите, что то слабо я верю в альтруистскую мотивацию


                    1. ne_kotin
                      07.05.2018 10:09

                      Ок, VPN-клиент с бесплатным триалом, или бесплатным зарезанным планом вы куда отнесете?
                      А так, да. Их реально штук несколько — OpenVPN, Outline (ShadowSocks), ProtonVPN. Ну еще OperaVPN была.


                      1. awesomer
                        07.05.2018 12:05

                        Вот еще человек высказал такое же подозрение как и я:
                        habr.com/post/354956/#comment_10791450

                        то первое, что я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя.
                        Второй мыслью будет желание поиметь на мне какие-то деньги. В случае бесплатного сервиса такое желание как правило выливается в желание покопаться в моих данных.


                        Вернемся к вам:
                        Ок, VPN-клиент с бесплатным триалом, или бесплатным зарезанным планом вы куда отнесете?


                        Очевидно — коммерческий интерес присутствует.

                        А так, да. Их реально штук несколько — OpenVPN, Outline (ShadowSocks), ProtonVPN. Ну еще OperaVPN была.


                        Про Strongswan сэр не в курсе, конечно же?
                        Ну, кто бы сомневался…


                        1. ne_kotin
                          07.05.2018 12:31

                          Про Strongswan сэр не в курсе, конечно же?

                          а зачем он нужен? StrongSwan — это реализация IPSec, который есть нативно во всех ОС. Ну, в моем Android 6.0 точно есть.
                          Просто порог вхождения по настройке IPSec/L2TP VPN он выше среднего, опять же. Это больше корпоративный сценарий, требующий MDM-а, а не массовый синглклик.

                          я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя

                          Паранойя — это хорошо, но ее лучше использовать вместе с бритвой Оккама. Qui prodest?


                          1. awesomer
                            07.05.2018 13:03

                            а зачем он нужен? StrongSwan — это реализация IPSec, который есть нативно во всех ОС. Ну, в моем Android 6.0 точно есть.


                            Понятно, все же вы не в курсе.
                            IPsec IPsec'у — рознь.

                            Рассказываю:
                            Родной IPsec даже в моем Android 8 (хотя формально он и в Android 5 есть) работает сравнительно корявенько.

                            Strongswan стабильнее намного, намного лучше переживает потери связи и смену IP (что норма при перемещениях со смартфоном с подключением то к Wi-Fi, то к мобильному интернету), лучше проходит сквозь NAT (хотя, казалось бы, почему — ведь формально это тот же IPsec — но практика показывает иное, что клиент Strongswan более «пробивной») и пр.и пр.


                            1. ne_kotin
                              07.05.2018 15:55

                              Ээээ… Ну тут больше вопрос к вендору прошивки: я на своем попередергивал IPSec между вайфаем и 4G и успокоился, когда убедился, что перепрыгивает стабильно. Нашел, кстати, багу: при поднятии IPSec L2TP туннеля девайс уходил в ребут, а IPSec XAuth ему норм.
                              Но на фоне всего этого поднять одной командой sslibev на сервере без юзерменеджмента и маскарадинга, и разбросать строчечку настройки в телеграме чтоб она еще и копипастилась по тапу (а Outline настройку в буфере обнаруживает) — это вообще автомагия.


            1. avelor
              06.05.2018 20:02

              Если ios — не возится с аппами, а скинуть xml, который будучи установлен сам настроит встроенный впн. И никакой суеты и кнопок.

              Скорее всего подобные «групповые политики» есть и под андроид, но тут я хз.


              1. aik
                06.05.2018 20:36

                Ну тут же ботнет хотят делать — «отдать контроль в руки нашему сервису» — потому и нужно приложение. :)


                1. avelor
                  06.05.2018 21:46

                  Можно приложение тоже ставить xml-ем.
                  Втихаря, вместе с vpn :D
                  Никто ж не будет читать, что делает xml, просто нажмет «установить»…


                  1. aik
                    07.05.2018 07:53

                    Что-то не верится, что такая большая дыра есть, позволяющая молча ставить приложения. Даже в андроиде.


                    1. avelor
                      07.05.2018 08:50

                      Через xml — это ios, встроенный mdm.
                      Конечно он спросит, а уверены ли вы, а точно ли хотите установить этот профиль, и всякое такое.


              1. ne_kotin
                06.05.2018 23:22

                AFAIK, под Android нету. В этом и боль встроенного PPTP/L2TP/IPSec


                1. avelor
                  07.05.2018 07:45

                  Значит нужно использовать решения MDM вроде Cisco Meraki :D


                  1. ne_kotin
                    07.05.2018 10:10

                    На толпу в 50 человек использовать MDM? Простите, но нет. синглклик аппа, и хватит.


                    1. avelor
                      07.05.2018 10:19

                      Синглклик аппа, телеграм-бот с проверкой подписки — это по сути колхоз-mdm, при этом нормально колхозится он будет только на андроидах (мы ведь говорим про мобилки).
                      В mdm-решениях уже всё сделано за нас. Ну и, да, яблоки со своими xml-ами позволяют обойтись почти без колхоза (читать про apple configurator). Про блекбери и мобильную винду не скажу.


                      1. ne_kotin
                        07.05.2018 10:52

                        Ну, у меня не стояла задача с подпиской — есть конкретный круг людей, которые в состоянии прочитать инструкцию из двух пунктов, и выполнить эти два пункта. И даже рассказать/показать другу.
                        MDM тут был избыточен, а вот Outline достаточен.


        1. ne_kotin
          06.05.2018 15:11
          +1

          Это надо инструкции писать. А аппа, которая с одной кнопкой «сделать хорошо» понятнее и удобнее.


          1. aik
            06.05.2018 15:46
            +1

            Если vpn будет настраивать «админ», то какая разница, где именно кнопка?
            А для пользователя всё равно придётся писать инструкцию, начиная с установки и регистрации в телеграме, поиске галки «разрешить установку левого софта» и т.п.


            1. ne_kotin
              06.05.2018 23:23

              Зачем галка «разрешить установку левого софта», если есть просто более удобный софт в ГП. И инструкция к нему ровно из двух пунктов:
              1. Установить Outline по ссылке.
              2. Скопировать ключ.


              1. aik
                07.05.2018 06:09

                Чтобы поставить описанный в статье «персональный» сотф.
                Ни про какой outline автор не пишет.


                1. ne_kotin
                  07.05.2018 10:11

                  Автору его уже посоветовали )


        1. Barafu_Albino_Cheetah
          06.05.2018 17:42

          У андроида очень неудобный встроенный VPN. Требует установки пароля на экран, что минимум половине пользователей нафиг не нужно.


          1. aik
            06.05.2018 17:48
            +1

            У другой половины пароль уже стоит.
            Но вообще, даже если нет сканера отпечатков, то графический ключ люди ставят без особых проблем.


      1. tyomitch
        06.05.2018 14:33
        +2

        Это психология и маркетинг, а вы смотрите на проблему взглядом технаря.

        Запостив идею на хабре, странно ожидать какую-то иную реакцию, нежели «взгляд технаря».


        1. aik
          06.05.2018 15:47

          Особенно учитывая то, что предложение именно для технарей. Причем тех, кто любит себе жизнь усложнять.


  1. entze
    06.05.2018 09:22
    -4

    Может хватит советов «азаза, ща нагнём ркн, за бакс впску поднимем в один клик». 3 недели вполне достаточно, чтобы понять что происходит и что будет происходить и перестать давать тупые советы.


  1. planarik
    06.05.2018 10:14
    +2

    Аппа будет уникальной для этого админа и, соответственно, для этого канала. Запустив аппу, юзеру необходимо будет авторизоваться через Телеграм. В самой аппе будет только одна кнопка: ON/OFF, которая позволит юзеру включать и выключать VPN на своем устройстве. Настройки VPN соединения будут прописаны в самой аппе. Кроме того, аппа будет постоянно проверять, является ли юзер подписчиком канала и, если нет, то не будет позволять ему использовать VPN. Таким образом, админ сможет управлять своими VPN пользователями через приватный телеграм канал!

    Краткая инструкция "Как создать свой ботнет" :)
    А если серьезно — для начала надо пользователям объяснить, как устанавливать приложения из других источников, а не с Play Market, далее дать инструкцию, как такую возможность сразу отключить после установки (прощай, обновление!), иначе, в неопытных руках, такой девайс просто находкой станет для мошенников, утягивающих деньги с карт. И самое главное это отсутствие спроса. Те, кто хотели — уже установили и настроили себе VPN, а кому это не надо — так они и никогда надо не будет.


    1. vels Автор
      06.05.2018 12:45

      Не вижу проблем размещать аппу на Play и даже апдейтить ее там при изменении настроек, добавлении серверов и т.п.
      С iOS может быть сложнее, но, с другой стороны, с чего бы Эпплу не пропускать в аппстор обычную VPN аппу?

      Про отсутствие спроса, думаю, вы неправы.
      Ну это уже вопрос к рынку и успешному маркетингу. Примеров перехода идей от «это никому не нужно» до «как же мы раньше до этого не додумались?» на рынке масса.


  1. achekalin
    06.05.2018 10:39
    +10

    В схемах «за пиво» одна фигня мешает: если настроить можно за чай/пиво/улыбку и спасибо, то поддержка уже напрягает. Потому что человек, попросив (и получив) хотя бы помощь по выбору мышки, обязательно считает, что получил безлимитного и бесплатного советчика и ремонтника своих проблем (желательно — по телефону/лично, желательно — круглосуточно).

    Поэтому и видим, как (в общем-то добрые) «компьютерщики» отказывают знакомым сразу.


    1. vels Автор
      06.05.2018 12:51

      Согласен, могут замучать. Именно поэтому и хочется оставить на стороне пользователя минимальный шанс на ошибку и факап и отдать контроль в руки нашему сервису и самому админу.

      Но все-равно, каждый админ должен будет решиться на этот шаг, понимая, что ему придется принять на себя груз пары десяткой пользователей. Если не пары сотен…

      Думаю, телеграм каналу нужен будет бот, который возьмет на себя часть глупых базовых вопросов пользователей.


    1. pinac
      06.05.2018 12:51

      Админ получает взамен регулярныую благодарность и пиво )

      А разве не в этом смысл «Павел Дуров потратит миллионы долларов на VPN», да и канал в Телеграмме.


      1. vels Автор
        06.05.2018 12:52

        Хочется верить, что в этом тоже ;)


  1. lolhunter
    06.05.2018 11:07

    Эмм. Ну если совсем просто и не получается даже скрипт в 1 строчку на гитхабе запустить, то что мешает тупо сделать или образ виртуалки или ставить прям из коробки openvpn-as? Там вообще в 3 клика все ставится.


    1. vels Автор
      06.05.2018 12:53

      Настройка VPS–ки - задача админа, а не сервиса.
      Пусть настраивает как его душе угодно.
      Нам от него нужны только ключи и логины для «генерации» аппы.


      1. yetanotherman
        07.05.2018 18:30

        Ну то есть человек в состоянии настроить vpn-сервер, но почему-то должен клиентскую часть доверить странной апе с привязкой к телеграмму (который привязан к телефону и который у клиента может быть заблочен). При этом передача ключей — такой же открытый вопрос, как и в случае с OpenVPN. Только OpenVPN — продукт, которым пользуются миллионы людей (и который так просто не дропнут из маркета, кстати), а приложение при таких вводных едва ли наберет пару тыщ скачиваний


    1. vconst
      06.05.2018 13:00
      +1

      Openvpn-as дает только две бесплатные лицензии, дальше за деньги и одна лицензия стоит больше, чем VPS.


  1. rananyev
    06.05.2018 11:38

    Чем же вам так www.getoutline.org не угодил?


    1. vconst
      06.05.2018 12:47

      Этот сервис работает на DO, который забанен на пять шестых.


      1. meln1k
        06.05.2018 16:27

        Там же можно без проблем использовать свой VPS.


    1. vels Автор
      06.05.2018 12:54

      Вот вам и ответ.
      Не угодил тем, что слишком публичен и слишком популярен, а значит имеет слишком высокий шанс быть забаненым.


  1. TheIseAse
    06.05.2018 12:51

    Мне нравится.


    Действительно, распространению https очень сильно помог https://letsencrypt.org, а точнее
    https://certbot.eff.org. Поэтому нельзя недооценить важность простой настройки. Сам почувствовал это. https на сервере оказалось проще настроить, чем VPN или SOCK5 прокси.


    Я тоже хотел бы поучаствовать в каком-то формате. Могу сделать iOS приложение, например


    1. vels Автор
      06.05.2018 13:01

      Интересно. Но я не совсем понимаю, как можно сделать VPN через SSH?
      Возможно ли перенаправить ВЕСЬ траффика мобильного устройства через SSH туннель по запросу одной аппы?

      Сделал группу для обсуждения: t.me/beervpn.com


      1. vels Автор
        06.05.2018 15:16

        Блин, сорри, правильная ссылка: https://t.me/beervpn


      1. avelor
        06.05.2018 20:05

        Емнип adguard под андроид может переключать трафик на локальный прокси (будь то ssh или даже тор)


      1. Aelliari
        07.05.2018 01:27

        Под андроид — точно можно в произвольный ssh туннель завернуть весь трафик, ki4a, ssh tunnel. Хотя второй возможно уже мёртв. Это если одна приложуха, если 2 — много вариантов умеющих запускать сокс прокси для ssh (вполть до запуска бинарников в shell), а дальше нужно найти того кто завернёт весь трафик в туннель


  1. spuf
    06.05.2018 12:55
    +1

    1. vels Автор
      06.05.2018 13:21

      Про getoutline написали выше.
      За Streisand спасибо, не знал. Можно его предлагать в инструкциях для админа.
      Большие молодцы ребята.


  1. printercu
    06.05.2018 12:58

    Посмотрите https://github.com/trailofbits/algo. Может быть, все что нужно будет — перевести ридми.


  1. CrazyHackGUT
    06.05.2018 13:02

    github.com/Nyr/openvpn-install
    Хороший скрипт по установке и быстрой настройке OpenVPN-сервера. Так же способен генерировать клиентские конфиги и сертификаты, и даже отзывать их.
    Сам использую уже 3 года.


    1. vels Автор
      06.05.2018 13:02

      Спасибо, использовал тоже, да


  1. bravehomer
    06.05.2018 13:02
    -1

    Встроеный VPN в Opera уже не работает?


    1. vels Автор
      06.05.2018 13:02

      Я описал проблемы публичных VPN в посте.


      1. zelenin
        06.05.2018 14:24

        к тому же он и не vpn вовсе, а логгируемая прокси.


        1. tyomitch
          06.05.2018 14:35

          В контексте «способы доступа к заблокированным ресурсам» — разницы нет.


          1. VolCh
            06.05.2018 15:20

            Опера поддерживает роутинг на ван на уровне системы? Тот же клиент телеграма сможет использовать?


  1. bano-notit
    06.05.2018 13:38

    Вообще как-то слишком много левых приложений. Тот же телеграм работает далеко не стабильно, как "аппа" будет обращаться к заблокированному api для получения данных о наличии человека в телеге, что делать если сам beervpn заблокируют. Зачем вообще нужна отдельная "аппа"? Установка "аппы" не из гоголь стора — потенциальная опасность, поскольку нужно убрать галочку в настройках, которые пользователь хрен сам найдёт.


    Было бы намного проще и безопаснее — сделать одно приложение для дроида и запустить его в гоголь сторе, это приложение может использовать хоть i2p, хоть tor для хранения своего api. Лучше наверное tor. Сам beervpn хранить в tor, хотя бы чтобы ркн проблем небольших добавить, лучше конечно же i2p. Вообще избавиться от телеграмма как лишнего посредника. Использовать реферальные ссылки аля beervpn://ref?id=XXXXX-XXX-XXXXX&key=YYYY-YYYY=YYYY-yyyy, эта ссылка и будет авторизацией, и админ на том же beervpn.{i2p,tor} может эти все ссылки сам администрировать.


    Но что делать, коли api будет заблокирован? Можно использовать авторизацию самого VPN сервера, ведь у него есть возможность управлять сертификатами и довольно безопасная!


  1. vels Автор
    06.05.2018 15:44

    Мы вообще говорим об одном и том же. Не вижу предмета для спора. Мне нравится идея раздавать аппы, а не инструкции. Вам — инструкции, а не аппы. Суть от этого не меняется.
    Про "выгоду за пиво", вы просто не поняли смысл шутки. Почитайте тут: https://en.m.wikipedia.org/wiki/Beerware?wprov=sfla1


  1. VMichael
    06.05.2018 17:23

    Однако все это не решает главной задачи — ЗАСТАВИТЬ этих людей проделать непривычные и пугающие их действия и обзавестись, наконец-то, VPN защитой.

    Автор уверен, что для всех перечисленных людей, это ГЛАВНАЯ задача?
    Вполне может быть, они, например, считают свой главной задачей — заставить внучка обзавестить наконец потомством?
    И что вообще кого то заставлять, это нехорошо? Это навязывание вашей воли кому то.


    1. geher
      06.05.2018 17:57
      +1

      Отож. Полностью согласен.
      Большевики пришли: ЗАСТАВИТЬ! (Причем именно заставить, именно кэпсом и именно с восклицательным знаком).
      Капиталисты пришли: ЗАСТАВИТЬ!!!
      Убеждать надо, а не заставлять.


      1. VolCh
        06.05.2018 18:28

        Капиталисты всё же больше убеждают — реклама, маркетинг, вот это всё.


        1. geher
          06.05.2018 21:23

          Реклама — очень редко убеждение и информирование. Чаще именно агрессивное принуждение, попытка предотвратить любые попытки обдумать свой выбор.
          Маркетинг — чаще попытка скрыть реальное положение дел.
          Да и вне продаж чего-то населению принуждения выше крыши, как экономического с информационным, так и силового.
          Если что, в России сейчас в основном именно капитализм (экономикой рулят большие капиталы). Со своими особенностями, но капитализм.


    1. Farxial2
      06.05.2018 19:01

      Режим заставляет, значит и борцы с режимом должны заставлять. Это просто борьба за ресурсы, каковыми являются люди, находящиеся в данном конкретном домене реалий.
      Просто заставлять нужно максимально мягко и выгодным для пользователя образом, чтобы не уподобляться тем, по чьей вине этот вопрос актуален.


      1. VMichael
        06.05.2018 19:17
        +1

        Ну да, ну да.
        Сначала лозунги о свободе, а потом скатываемся к тому, что народ, это стадо и быдло и его нужно заставлять быть счастливым.
        А на самом деле навязывать другим людям свою точку зрения, с какого бы полюса она не находилась.


        1. Farxial2
          06.05.2018 19:42

          OK, тогда просто представьте, что людям никаким образом не навязывается обход блокировок. Как думаете, не будет ли такими темпами сами-знаете-чья власть усилена, а потом усилена ещё и ещё?
          Люди — не стадо и быдло. Но, простите, своим беспрекословным подчинением сами-знаете-кому они уже сами говорят, что они стадо и быдло — выставляют себя таковыми, хотя не факт, что заслуженно. С такими людьми можно обращаться как со стадом и быдлом, ведь они сами не против. В случае же с теми, кто не выставляет себя таковыми, это может вообще не потребоваться, т.к. у них есть своя воля и они действуют в соответствии с ней. Грань, однако, в случае с последними достаточно тонкая в современном Интернете (например, даже если чья-то бабушка не пользуется каким-то заблокированным сайтом, это не значит, что она сама захочет, чтобы оттуда даже не грузились картинки-вложения или виджеты или что она даже не должна иметь возможность перейти на главную страницу этого сайта).
          Я против навязывания людям своей точки зрения. Но я и против того, чтобы враг навязывал им свою точку зрения. Почему враждебная точка зрения должна навязываться, а совместимая — нет?


          1. VMichael
            06.05.2018 20:01

            То, что супер важно вам лично, вовсе не важно кому то другому.
            И этого вы принять не можете:

            Но, простите, своим беспрекословным подчинением сами-знаете-кому они уже сами говорят, что они стадо и быдло — выставляют себя таковыми, хотя не факт, что заслуженно.


            1. Farxial2
              06.05.2018 20:11

              Ну, не только я этим грешу =) Я был бы рад вообще не иметь дела со всей этой фигнёй.


          1. geher
            06.05.2018 21:00

            Почему враждебная точка зрения должна навязываться, а совместимая — нет?

            На то есть масса причин.
            Озвучу несколько.


            1. Вы хотите уподобиться вашему врагу? А чем вы после этого вообще лучше?
            2. Навязанная точка зрения так же легко может быть заменена на другую навязанную, ибо навязанное преходяще, и только осознанные убеждения в некоторой степени стойки.
            3. Результат определяется не качеством точки зрения, а тем, у кого "навязывалка" больше.
            4. А как же свобода?


            1. Farxial2
              06.05.2018 21:21

              1. Не хочу. Вот поэтому —

              Просто заставлять нужно максимально мягко и выгодным для пользователя образом, чтобы не уподобляться тем, по чьей вине этот вопрос актуален.
              2. Но с моей навязанной точкой зрения пользователь может делать и осознанный выбор, а с противоположной навязанной — нет.
              3. Поэтому нужно, чтобы у носителей более качественной точки зрения была «навязывалка» больше.
              4. Плохо ли навязывание свободы тем, кто, имея свободу, выбирает быть несвободным?


              1. geher
                06.05.2018 21:33

                1. Заставлять мягко невозможно. Получите сопротивление только потому, что заставляете. Выгодным для пользователя образом? А не проще ли сразу показать пользователю его выгоду (путем сравнения цены вопроса всех вариантов, причем полной, без всяких "мелким шрифтом") и тем самым убедить его? Кроме того, кто вам сказал, что вы правильно просчитали выгоду конкретного пользователя?
                2. С навязанной точкой зрения пользователь не может сделать осознанный выбор, поскольку точка зрения, определяющая выбор, ему уже навязана.
                3. "Всегда есть рыба покрупнее" (с) Квай-Гон Джинн.
                4. Плохо. Да еще и бесполезно, поскольку очевидно, как этот "тот, кто" воспользуется обретенной свободой.


                1. Farxial2
                  06.05.2018 21:55

                  1. Ну, источник этого обсуждения — формулировка из поста:

                  Однако все это не решает главной задачи — ЗАСТАВИТЬ этих людей проделать непривычные и пугающие их действия и обзавестись, наконец-то, VPN защитой.
                  Вы уверены, что имелось ввиду то «заставить», которое принуждение? Конечно, лучше сделать всё максимально корректно, чтобы принуждения было как можно меньше.
                  Кроме того, кто вам сказал, что вы правильно просчитали выгоду конкретного пользователя?
                  Я считаю, что правильно её может посчитать только сам пользователь ;) Вот только проблема в том, что многие пользователи не хотят сами считать. Но мои расчёты уж явно будут поточнее, чем расчёты РКН.
                  2. Тут речь о тех пользователях, которые итак не делают осознанного выбора сами по себе. Так что ткнуть носом в возможность осознанного выбора — единственное, что в данной ситуации можно сделать полезного.
                  3. Значит хорошая новость в том, что относительно текущей крупной рыбы тоже есть рыба покрупнее.
                  4. Но разве не правильно дать человеку шанс, чтобы эта свобода у него хотя бы появилась и он смог воспользоваться ею рационально? Рационально ли использование его текущей свободы? Вообще, это сводится к вопросу, нужны ли блокировки или нужно их отсутствие. Но если блокировки не нужны, то свобода, с котороый пользователь выбирает блокировки, не нужна (а мой вариант свободы нужен), а если нужны, то нужна (а мой вариант свободы не нужен).


                  1. geher
                    07.05.2018 09:02

                    Возвращаясь к теме с VPN.
                    Если кто-то будет меня ЗАСТАВЛЯТЬ (прошу заметить, что слово в статье идет именно кэпсом, что поинято использовать для усиления, а потому никак не намекает на скоытые за этим "мягкие" альтернативы) им пользоваться (особенно если это какое-то конкретное решение), то первое, что я подумаю, заставляющие готовят какую-то провокацию и пытаются подставить меня под удар вместо себя.
                    Второй мыслью будет желание поиметь на мне какие-то деньги. В случае бесплатного сервиса такое желание как правило выливается в желание покопаться в моих данных. Даже если через VPN пойдет только закрытый по HTPS трафик, многое расскажут одни IP адреса.
                    Еще придет в голову вариант декабристов, которые подставили вместе с собой под расстрел ничего не понимающих, введенных в заблуждение подчиненных.
                    Про "добрую волю" заставляющего я подумаю в последнюю очередь и отнесу к маловероятным вариантам.


                    1. Farxial2
                      07.05.2018 13:09

                      Я думаю, тут бы лучше подошло какое-то другое слово вместо «заставить», и уже его, если нужно, можно было бы выделить капсом.
                      Заставить без мягких решений всё равно не получится, и даже сам РКН в глазах пользователя так выглядел бы более лояльно, чем заставляющие пользоваться VPN))
                      Но я не подумал о плохом смысле «заставить», т.к. не могло иметься ввиду ничего плохого. (Хотя у меня под вопросом благонадёжность репозитория VPN, но это уже другой вопрос.) Очевидно же, что это делается для блага (не только чтобы у пользователя был полноценный Интернет, но и потому что от этого зависит благосостояние системы в целом, а пользователю в этой системе тоже жить). А идея VPN для друзей вообще беспроблемная: если ты можешь доверять владельцу VPN-сервиса, какие подозрения тут могут быть уместны? Но, к сожалению, не все подумают о том, что и почему, и подозрения возникнуть всё равно могут. Вот поэтому —

                      Просто заставлять нужно максимально мягко и выгодным для пользователя образом, чтобы не уподобляться тем, по чьей вине этот вопрос актуален.


  1. FirsofMaxim
    06.05.2018 17:47
    +1

    Пользуюсь вот таким простым рецептом — medium.com/meduza-how-it-works/хочу-свой-vpn-за-5-минут-что-делать-5581e536650a
    Цена вопроса — 5$/month/500Gb. Очень удобно шарить ключи, клиенты по все популярные os.


    1. ne_kotin
      06.05.2018 23:26

      5$/mo за 20 Tb, если использовать свой сервер на Hetzner, не благодарите.


  1. erondondon
    06.05.2018 19:57

    От Линкедина на почту был один спам, на Пейсбук нормальным людям монописуально.


  1. vsb
    06.05.2018 20:05

    Идея для размышлений. У многих VPS-провайдеров есть API и почасовая оплата. Можно написать клиент, который будет работать с произвольным VPS-провайдером и по запросу поднимать новый VPN-сервер, а после использования удалять его. Это очень дёшево и заблокировать это можно только полностью заблокировав провайдера.


    1. avelor
      06.05.2018 20:12

      Не так давно один мой друг брал себе очередной дроплет на do. Только с четвертой или пятой попытки ему удалось найти незаблокированный IP.
      И нет никаких гарантий что этот IP не будет заблокирован.
      Связываться в тему хостерами у которых есть API — чревато (даже хетцнер попал под раздачу).
      Связываться с хотсерами без API и вообще не пойми какими — тоже так себе затея (риски).

      Даешь пиление провайдеров и опсосов на включение ipv6 :) пока по слухам только мтс умеет из опсосов, остальные провели тестирование и свернули…


      1. Farxial2
        06.05.2018 20:23

        А что IPv6? Он так же резво блокируется.
        А вот IPv6-туннели… (Хотя если интернет-провайдеры начнут и туда соваться, будет фейл.) Только проблема в том, что далеко не все сайты поддерживают IPv6.


        1. GennPen
          06.05.2018 20:56

          А что IPv6? Он так же резво блокируется.
          IPv6 не блокируется, ни одним оператором. Пока не блокируется.


          1. RiseOfDeath
            07.05.2018 00:40

            А много-ли операторов предоставляют IPv6?


            1. ivan386
              07.05.2018 03:05

              Провайдеры с IPv6: 34 штуки.
              Среди них крупные: МТС, Дом.ru, Ростелеком, ТТК.
              Конечно ipv6 доступен далеко не во всех регионах но провайдеры потихоньку осваивают его. А если ваш провайдер всё ешё не предоставляет ipv6 то вы можете воспользоваться 6to4.


              1. avelor
                07.05.2018 07:30

                Провайдеры как-то странно осваивают — тот же билайн потестил на проводе и на мобилках, убедился что всё работает и свернул.


          1. awesomer
            07.05.2018 08:34

            IPv6 не блокируется, ни одним оператором. Пока не блокируется.


            Просто руки не дошли пока что.
            По факту это не является принципиально неосуществимым.


        1. avelor
          06.05.2018 21:42

          Пока система контроля ревизор не умеет в ipv6.
          А так никто не мешает поднимать дальше впн на ipv6 и заворачивать туда ipv4 :D

          А вот если как раз использовать туннели для включения ipv6 — то можно нарваться на блок ipv4 адреса брокера…


        1. ne_kotin
          06.05.2018 23:28

          Не так резво. И в силу разрядности адреса — до гораздо меньшего объема. АФАИК циске до сих пор больно блэклистить v6, примерно на порядок больнее, чем v4


  1. prijutme4ty
    07.05.2018 12:27

    Мобильное приложение openvpn работает так: устанавливается в один клик из аппстора, затем в тот же телеграм присылается профайл, делается два клика по файлу: скачать-запустить, опенвпн сам подхватывает файл. Ещё один клик по кнопке «подключить». Более юзерфрендли сложно себе представить. Разве что написать бота, который будет отправлять профайл без лишних просьб.


    1. ne_kotin
      07.05.2018 12:33

      вы забыли несколько существенных моментов. настроить подсеть на сервере и маскарадинг. и напугать пользователя ворнингом «Сеть может отслеживаться» при импорте сертификата. Чем, кстати, приятно отличаются решения на pre-shared ключах.


      1. prijutme4ty
        07.05.2018 12:41

        Я недавно настраивал VPN для домашних и не заметил никаких таких ворнингов (даже если они были). Думаю, обычные пользователи вполне умеют следовать инструкции «кликните ОК».
        Я не настоящий сварщик и, к сожалению, понятия не имею ни о настройке подсети, ни о маскарадинге. Я просто нашёл инструкцию о том, как поднять OpenVPN на VPS и теперь по просьбе знакомых в пару действий завожу ключи. Самое сложное действие, которое требуется от пользователя — найти нужное приложение на сайте openVPN (и то, потому что мне было лень отправлять на него ссылку).


        1. ne_kotin
          07.05.2018 12:45

          Ну, я его настраивал еще когда этих ваших докеров даже не было, ручками. Самое бесявое всегда было — юзерменеджмент. Сгенери, раздай… И не забудь проверить что трафик заворачивается и ходит как надо — к слову о маскарадинге.


          1. prijutme4ty
            07.05.2018 12:52

            В моей инструкции не было никакого докера. Я озаботился VPNом незадолго до того, как это стало модным. Всё работает из коробки, ничего проверять мне не пришлось. Единственная нерешенная проблема — невозможность подключиться к стандартному порту из многих внутренних сеток.
            Сгенерить десяток ключей — не проблема вообще. Была бы сотня — ну ёлки, неужели это проблема написать веб-страничку/бота для друзей, который будет генерить и отдавать ключи?


          1. avelor
            07.05.2018 23:27

            Можно и без ключей, никто не мешает по логину-паролю авторизовывать, хоть это и не труъ


            1. ne_kotin
              07.05.2018 23:44

              а можно и без логинов-паролей )


              1. avelor
                07.05.2018 23:47

                Вот это труъ :) если конечно речь не про без сертификатов, логинов-паролей и вообще без всего)
                Микротику вот как клиенту было вообще плевать на сертификаты сервера и CA (может уже поправили в свежих прошивках, не скажу — всё равно ovpn не лучшее решение на микротиках)


                1. ne_kotin
                  08.05.2018 11:14

                  pre-shared key


  1. denis_from_oks
    07.05.2018 18:37

    господа, а озадачивался ли кто-то ответственностью админа за трафик, идущий с его vps-ки? найти его возможно хотя-бы по кредитке, которой он оплачивает vps. потеряет кто-нибудь из знакомых мобилу с vpn возле террористов и не сочтет нужным оповестить админа. пример утрированный, но у нас все возможно. я вот поэтому гостевой wi-fi не оставляю без пароля. вроде, физ лица не должны идентифицировать своих клиентов, но вычислить владельца все равно можно.


    1. ne_kotin
      07.05.2018 20:25

      Есть юрисдикции в которых владелец сетевого ресурса не отвечает за транзитный трафик. Германия, ЕМНИП, Швейцария. Можно погуглить TOR Exit-friendly хостинги — это будет ровно то, что вы ищете.


      1. VolCh
        08.05.2018 10:30

        Если уехать в эти юрисдикции, то особо и обходить ничего не нужно. А находясь в наших юридикциях можно вдобавок получить какую-нибудь «незаконную трансграничную передачу данных».


        1. ne_kotin
          08.05.2018 11:15

          Ну, законодательной базы пока под это нету, живите спокойно. Но уехать можно, да.


    1. vconst
      07.05.2018 21:30

      Мне от DO пару раз прилетало за то, что забывал выключить все и трансмишн прорывался качать кины через впс. Без последствий, однако.


    1. VolCh
      08.05.2018 10:32

      Если предоставление vpn будет носить характер предоставления услуги, то могут пришить и незаконную предпринимательскую деятельность, особенно если «за пиво», то есть доход в натуральной форме.


  1. ral
    08.05.2018 10:17
    +1

    так есть же Outline getoutline.org/en/home


  1. shifttstas
    08.05.2018 15:44

    Все что описал автор в посте — уже сделал Google — Outline