Вчера, полностью серьезно и без каких-либо шуток-прибауток, компания Cloudflare анонсировала свой новый продукт — VPN-сервис на базе DNS-приложения 1.1.1.1 для мобильных устройств с использованием собственной технологии шифрования Warp. Основной фишкой нового продукта Cloudflare является простота — целевой аудиторией нового сервиса являются условные «мамы» и «друзья», которые не способны самостоятельно купить и настроить классический VPN или не согласны устанавливать прожорливые в плане энергопотребления сторонние приложения от неизвестных команд.



Напомним, ровно год и один день назад — 1 апреля 2018 года — компания запустила свой публичный DNS 1.1.1.1, аудитория которого за прошедший период выросла на 700%. Сейчас 1.1.1.1 борется за внимание публики с уже ставшим классическим DNS от Google по адресу 8.8.8.8. Позже, 11 ноября 2018 года, CloudFlare запустили мобильное приложение 1.1.1.1 для iOS и Android и вот теперь, на его базе запускается и «VPN по кнопке».

Откровенно говоря, Cloudflare немного лукавит, называя свой апдейт приложения 1.1.1.1 полноценным VPN, потому что в чистом виде таковым он не является. Скорее, речь идет о шифровании трафика с помощью Warp, которое, как и VPN, скрывает то, что происходит внутри нашего условного «туннелирования» до VPN-сервера, то есть до DNS 1.1.1.1 от Cloudflare.

Основным маркетинговым и прикладным обоснованием важности существования нового продукта является то, что провайдеры и прочие структуры, вовлеченные в передачу пользовательских данных, эти самые данные активно собирают и даже торгуют ими. При этом HTTPS нас не спасает: достаточно знать о самом факте обращения к какой-либо странице для того, чтобы составить «портрет» пользователя и потом показывать ему соответствующую рекламу.

Что нужно знать об апдейте приложения 1.1.1.1 и Warp в частности:

  • Сквозное шифрование до серверов Cloudflare и отсутствие каких-либо удостоверяющих сертификатов. То есть CF сами отказываются смотреть ваш трафик.
  • Работает на VPN-протоколе WireGuard.
  • Шифрование по умолчанию всего незашифрованного трафика при работе через приложения или при просмотре небезопасных HTTP-страниц, например.
  • Теоретическая оптимизация трафика на стороне Cloudflare при серфинге и так далее.

Команда уверяет, что отличительной особенностью Warp является то, что разрабатывался он в том числе и для улучшения мобильного соединения. CloudFlare напоминает, что TCP-протокол слабо приспособлен для работы в условиях мобильных сетей, потерю пакетов внутри которых может вызвать условно любая микроволновка. Ситуация повсеместно усугубляется еще и тем, что разверстка того же Wi-Fi в жилых массивах или публичных местах производится хаотично, что влечет за собой какой-то чудовищный уровень шумов на всех каналах частот (конечно, больше всего сейчас страдают каналы на частотах 2,4GHz, но и на 5GHz ситуация начинает ухудшаться). В подобных условиях постоянной потери пакетов не по вине пользователя, а из-а внешних условий, TCP-соединения называются не самым оптимальным вариантом. В записи же говорится, что работа Warp построена вокруг использования UDP-пакетов, которые, как мы помним, не требуют обратного ответа от целевого сервера и которые, по этой причине, активно используются в том же геймдеве для снижения пинга. Также CloudFlare уверяет, что их приложение будет четко контролировать использование батареи через умеренное обращение к антеннам, и не «кочегарить» аппарат до состояния раскаленной сковороды в попытках заставить устройство поймать сеть в местах, где связь не слишком стабильна. Отдельно стоит напомнить, что Warp работает на уже упоминаемом VPN-протоколе WireGuard. С полной технической документацией по WireGuard можно ознакомиться вот тут.

Кроме этого Warp разрабатывался не конкретно под мобильное приложение 1.1.1.1, а является частью технического решения CloudFlare по защите серверов от атак под названием Argo Tunnel, которое использует часть решений Cloudflare Mobile SDK, которое уже в свою очередь базируется на купленном в 2017 году проекте Neumob. То есть, фактически, Cloudflare начала методичную работу по выходу на мобильный рынок еще в 2017 году — за год до запуска публичного DNS 1.1.1.1. Такой комплексный подход вселяет некоторую уверенность в последовательности действий Cloudflare и наличии понятной долгосрочной стратегии, что не может не радовать.

Cloudflare уверяет, что не собирается торговать данными своих пользователей, а будет монетизировать Warp по подписке. Из коробки пользователям будет доступно две версии программы: Basic и Pro. Базовая версия будет бесплатной, но с урезанной скоростью передачи данных, которой, по всей видимости, будет хватать только для ленивого серфинга в сети или переписки. Pro-версия за какую-то ежемесячную плату обещает полный канал до серверов Cloudflare и максимальный комфорт.

Представители компании заранее говорят о том, что для разных регионов будет установлена разная стоимость подписки, чтобы нивелировать различия в доходах в разных частях света. Вполне возможно, CIS-регион вместе с Россией получат более-менее приемлемое предложение на уровне 3-10$ в месяц вместо вполне стандартных 15-30 евро для ЕС или США.

Компания честно признает, что они далеко не Google, но стараются, так что доступ к новым возможностям приложения 1.1.1.1 будет выдаваться порционно, в порядке живой очереди. Для того, чтобы записаться в эту самую очередь, нужно скачать приложение для iOS или Android и заявить о своем желании пользоваться «VPN от Cloudflare».



Если посмотреть на отзывы в маркете, то в основном они положительные, хотя у приложения есть проблемы с неотключаемыми уведомлениями, которые некоторых пользователей серьезно раздражают. Однако многие отмечают, что решение от Cloudflare является отличным вариантом для безопасного использования публичных точек доступа Wi-Fi: последние и так обычно не отличаются высокой скоростью, так что бесплатной версии 1.1.1.1 должно хватать за глаза.

Еще одним важным нюансом прошедшей презентации Cloudflare является то, что компания в скором времени обещает подвезти свой «DNS-VPN» еще и на десктоп, охватив тем самым и этот вполне многочисленный сегмент.

Если разработка Cloudflare окажется на самом деле настолько хороша, как она описывается в официальном блоге компании, то на рынке наконец-то появится условно бесплатное (помним об ограничениях по скорости) и понятное приложение для людей, которые не слишком в теме того, как работает VPN и что такое вообще информационная безопасность. Сейчас же все в руках маркетологов Cloudflare — если они смогут выйти на массовый рынок и внедрить идею, что включение VPN-режима в приложении 1.1.1.1 — это обязательный элемент интернет-гигиены, то для миллионов пользователей всемирная сеть сможет стать намного более дружелюбным и гостеприимным местом, нежели раньше. Также этот продукт будет важен и для стран, где государственные органы блокируют доступ к некоторым ресурсам.

И речь не только о России, но, например, об Иране или даже Франции. Суд Пятой Республики, кстати говоря, тихой сапой принял решение о блокировке доступа к пиратским научным порталам SciHub LibGen, мол, нечего ученым бесплатно читать работы коллег. Но это уже совсем другая история, но ситуация со свободным доступом к ресурсам становится все хуже и хуже по всему миру.

Как бы там ни было, сервис, подобный 1.1.1.1, вполне подходит для молодежи и представителей старшего поколения, которые не готовы или не способны разобраться с тем, как купить, настроить и использовать VPN даже на десктопах, не говоря уже о мобильных устройствах.

Комментарии (19)


  1. ketzal
    02.04.2019 12:49

    А проблема тут может заключаться в том, что наш доблестный РКН заблочит и vpn от cloudflare, и в придачу все их CDN. Будем посмотреть


    1. vsb
      03.04.2019 10:29

      Думаю, для начала будут банить по порту или по протоколу (UDP). Если Cloudflare будут обходить эти блокировки через какой-нибудь 443 порт на своих CDN, тогда да, могут и всё забанить.


      1. md_pitbul
        04.04.2019 12:55

        сейчас они для туннелирования только днс запросов используют два протокола на выбор пользователя.
        DNS over HTTPS (по дефолту) 443
        DNS over TLS (опционально для пользователя) 853


  1. pvsur
    02.04.2019 13:38

    Так VPN только для днс или всего трафика будет? Если только днс, то на фиг не надо…


    1. chupasaurus
      02.04.2019 14:05

      Warp — для всего траффика.


      1. pvsur
        02.04.2019 15:05

        Откровенно говоря, Cloudflare немного лукавит, называя свой апдейт приложения 1.1.1.1 полноценным VPN, потому что в чистом виде таковым он не является. Скорее, речь идет о шифровании DNS-трафика с помощью Warp, которое, как и VPN, скрывает то, что происходит внутри нашего условного «туннелирования» до VPN-сервера, то есть до DNS 1.1.1.1 от Cloudflare.


        Русским по белому…


        1. ValdikSS
          02.04.2019 17:04

          DNS-трафик и так шифруется, и шифровалось до обновления. Приложение и было сделано для того, чтобы перенаправлять трафик на DNS over TLS-сервер 1.1.1.1 (а не на обычный DNS на 53 порту).


          1. Meklon
            03.04.2019 08:33

            Свободные аналоги не встречал?


            1. chupasaurus
              03.04.2019 10:15

              В Android Pie есть поддержка DNS over TLS. Любое стороннее приложение (что на iOS, что на Android) будет вынуждено работать как VPN, потому что другой возможности выцепить отдельно DNS-трафик нет.


              1. Meklon
                03.04.2019 10:26

                Спасибо. Хотя уже проще вообще все в VPN завернуть


                1. DaemonGloom
                  03.04.2019 11:25

                  Да, гораздо удобнее завернуть весь трафик до дома в туннель, а там уже в зависимости от нахождения нужного сайта в списке РКН или отправить его в следующий туннель до облака, или выпустить у домашнего провайдера.
                  Кстати, если у вас всё ещё микротик — можно замечательно поднять образ микротика в облаке гугла и настроить маршрутизацию туда по bgp. Если вдруг интересно — могу написать соответствующую инструкцию.


                  1. Meklon
                    04.04.2019 18:00

                    Что-то подобное мелькало уже. BGP я до сих пор не понимаю) Хотя я думаю, что на Хабре порадуются новому мануалу.
                    У меня сейчас все реализовано через l2tp+IPSec PSK до KVM внешней. Трафик маркируется через mangle, согласно динамическим листам, которые резолвятся самим микротиком. То, что подпадает под лист — уходит в туннель. Первым делом весь трафик на 53 порт.


                    1. DaemonGloom
                      05.04.2019 06:35

                      Ну, вся суть BGP в том, что мы получаем не только один маршрут от провайдера, но множество разных маршрутов. И у каждого указано, через какой узел туда нужно попадать. Соответственно, если мы получили список маршрутов с заблокированными адресами — мы просто указываем, что на них нужно идти через туннель. Плюс в том, что маршруты не нужно писать руками — обновили на одном узле и они разошлись по другим узлам.


        1. chupasaurus
          02.04.2019 18:16

          Читайте оригинал, параграф «Secure All the Traffic»


  1. agranom555
    02.04.2019 14:29

    283 с чем-то тысячи желающих передо мной. Интересно, они пускают массово или по паре тысяч в неделю


    1. muromdx
      03.04.2019 09:21

      Странно, меня пустил без очереди…


      1. agranom555
        03.04.2019 09:28

        Именно в vpn для всего трафика, а не DNS только?
        Сам ДНС и у меня работает


        1. muromdx
          03.04.2019 17:43

          Прошу прощения, рано обрадовался, не разобравшись. Для всего трафика — очередь 373 тыс.


  1. Max_JK
    03.04.2019 11:26

    Если посмотреть на отзывы в маркете, то в основном они положительные, хотя у приложения есть проблемы с неотключаемыми уведомлениями, которые некоторых пользователей серьезно раздражают.

    Это косяк гугла и уж точно не может быть проблемой приложения. В андроиде, отображение уведомления — обязательное условие для фоновых сервисов.