Бесплатный VPN без какой либо регистрации от известной компании с хорошей репутацией, что? Да !Сегодня CloudFlare запустил бесплатный VPN для быстрого и безопасного доступа к сайтам, CloudFlare отдельно отмечает, что назначение приложения — это безопасность и защита от трекинга (через скрытие трафика от провайдера), однако оно не предназначено для анонимности.
Коротко о CloudFlare:Приложение обладает всего 1 кнопкой для подключения и совершенно не требует регистрации (даже почту вводить не надо), разработчики подчеркивают, что такой тип VPN подходит для любого поколения пользователей, желающих сделать свой сёрфинг в интернете более безопасным.
CloudFlare — известный и один из самых крупных CDN провайдеров, который защищает многие сайты от DDOS атак и скрывает IP адрес сервера, около года назад, CloudFlare решилнести добро в массызапустил приложение для защиты DNS запросов (используя DNS Over HTTPS).
Для соединения с CloudFlare приложение использует протокол WireGuard, что позволяет переносить сессию даже при смене IP адреса клиента (например при переключении между сотовой сетью и Wi-Fi), ради этого, даже была написана своя реализация протокола под название BoringTun.
Разработчики декларируют следующие особенности:
- Идентификаторы пользователя или логи не записываются
- CloudFlare не передает информацию для рекламы и маркетинга
- Регистрация не нужна
- Сервис переодически проходит внешний аудит, для подтверждения своих обещаний
P.S.: Верить сервису или же нет — дело каждого.
Отдельно хочется отметить, что при использовании приложения, вы автоматически получите доступ к IPv6 ресурсам.
Подробнее прочитать о сервисе можно в блоге у CloudFlare:
Приложние доступно на Android и iOS
Комментарии (77)
Scratch
25.09.2019 22:13Молодцы, что wireguard впилили. За NoiseProtocol будущее
okeld
25.09.2019 22:18+2Что в нём хорошего без мимикрии под HTTPS?
Scratch
25.09.2019 22:57В чём в нём? Где вы увидели https?
okeld
25.09.2019 23:25+1В протоколе WireGuard. В том то и дело, что нигде в нём не увидел HTTPS. В современных реалиях без возможности инкапсуляции протокола в HTTPS перспективы протокола сомнительны. Более интересным вариантом с этой точки зрения выглядит SoftetherVPN.
F0iL
25.09.2019 23:31AnyConnect/OpenConnect тоже выглядит со стороны как обычный HTTPS.
И в отличие от Softether для него есть клиенты под Anroidjok40
26.09.2019 08:03Softether поддерживает протокол SSTP — вылитый HTTPS. У андроида есть клиенты SSTP. Я лично пользуюсь.
F0iL
26.09.2019 11:25Я где-то пол года назад смотрел, под Android не было бесплатных SSTP-клиентов в принципе.
Сейчас что-то находится на гитхабе, но судя по всему оно еще сырое.jok40
26.09.2019 12:03Есть такое дело. Использую VPN client pro. Покупал давно — когда у них ещё не было темы с подпиской. Но на просторах интернета попадаются и ломанные клиенты. Я проверял — работают нормально.
Whuthering
25.09.2019 23:36+2В том то и проблема, что в нем не видно HTTPS.
Потому что если контролирующие органы решат бороться с VPN, то в первую очередь будут шейпить или резать все, что похоже на стандартные VPN-протоколы (всякие IPSec, PPTP, и т.д.), а во вторую очередь — все что не похоже на стандартные не-VPN протоколы.Sabubu
26.09.2019 00:35Нет. Сначала они заблокируют номер порта, используемый VPN, а потом сделают паттерны для выделения их пакетов (по заголовкам, магическим числам и тд). Маскировка под HTTPS или под трафик популярного приложения вроде "танков" или "whatsapp" помогла бы затруднить блокировку.
TrueBers
26.09.2019 07:54Китай успешно режет WireGuard ещё с самого момента его появления. Ничего сложного в этом нет. Там простой и легко выделяющийся протокол.
Whuthering
26.09.2019 11:32Так я о том и говорю. А вот когда определение по паттернам перестанет работать, могут начать тупо резать всё, что не получилось опознать. Поэтому «белый шум» будет бесполезным, нужна маскировка под что-то безобидное.
Alexey2005
26.09.2019 12:20Кстати, неплохая бизнес-идея для издателей онлайновых игр: VPN, трафик которого выглядит как игровая сессия. Если подключение идёт по тем же самым адресам, к которым подключаются игровые клиенты, то тут вообще отфильтровать невозможно.
LLE
27.09.2019 14:18Еще в прошлом-позапрошлом году ответственные товарищи задумывались о том, чтобы контролировать внутриигровое общение.
Anrikigai
25.09.2019 22:16Я, конечно, сам почитаю по ссылкам, приведенным внизу статьи.
И даже попробовал. Приятно удивился, что при заходе со смартфона на internet.yandex.ru у меня еще и IPv6 адрес добавился (не то, чтобы я без него страдал, но спасибо!)
При этом хотелось бы, чтобы все это уже из статьи было понятно.
Как минимум, после прочтения у меня не повилось уверенности, что шифруется весь трафик. И даже поначалу подумал, что это только для доступа к серверам, которые хостятся у них.
безопасность и защита от трекинга (через скрытие трафика от провайдера), однако оно не предназначено для анонимности.
Это как?
Шифруются не только DNS запросы, но весь трафик. IP у меня меняется. Выхожу через другую страну. Возможно могу обращаться к запрещенным сайтам и прочим телеграммам.
Какую анонимность в данном случае я не получу, коль скоро CloudFlare тоже мои действия не протоколирует и, полагаю, в разные моменты времени будет выдавать мне разные IP?
shifttstas Автор
25.09.2019 22:22Какую анонимность в данном случае я не получу, коль скоро CloudFlare тоже мои действия не протоколирует и, полагаю, в разные моменты времени будет выдавать мне разные IP?
Технически приватность — есть, однако я решил привести именно позицию разработиков:
What WARP Is Not
From a technical perspective, WARP is a VPN. But it is designed for a very different audience than a traditional VPN. WARP is not designed to allow you to access geo-restricted content when you’re traveling. It will not hide your IP address from the websites you visit. If you’re looking for that kind of high-security protection then a traditional VPN or a service like Tor are likely better choices for you.
Gorthauer87
25.09.2019 22:27Но я так понимаю ип меняется, а значит ркн им обойти можно
jok40
26.09.2019 08:09РКН использует DPI, поэтому они могут достаточно легко заблокировать соединение, просто обнаружив в нём использование определённого протокола — без привязки к IP.
F0iL
25.09.2019 23:09+1Оно в хедеры X-Forwarded-For или что-то подобное с настоящим IP случайно не добавляет?
Судя по «It will not hide your IP address from the websites you visit» и тому, что у них есть свой удостоверяющий центр (и соответственно, возможность выпустить SSL-сертификат для любого домена и провернуть MitM при отсутствии pinning), то теоретически может, хотя маловероятно что будут заниматься подобным.
ProRunner
26.09.2019 08:45Посмотрел, нет, 2ip.ru/privacy всё таки пишет американский IP и «Заголовки HTTP proxy — нет»
Sabubu
26.09.2019 14:27+2Возможно, речь идет о сайтах внутри инфраструктуры cloudflare, для которых запрос будет выглядеть приходящим с реального адреса или для которых реальный IP будет отражаться в логах cloudflare.
kvghabr
25.09.2019 22:34Идентификаторы пользователя или логи не записываются
А это законно в США? Там вроде был закон принят о запрете сообщать пользователю облачных сервисов, что его данные используются спецслужбами. Но не в курсе точно, как там с прецедентами.
alprk
26.09.2019 09:22Может это свидетельство канарейки?
kvghabr
26.09.2019 09:29Посмотрим как работать будет. У эпл так вроде бы получилось потролить юстицию США (хотя толку-то в итоге?).
AEP
25.09.2019 22:47Разработчики декларируют следующие особенности:
Внимательно прочитал особенности. Среди задекларированных особенностей НЕТ безопасных сессионных ключей или какой там у них эквивалент в WireGuard. Т.е. они могут, в теории, при согласовании ключа выбирать свой random предсказуемым образом, способствуя тем самым перехвату траффика, и все еще оставаться в рамках своей декларации и проходить аудит на соответствие ей.shifttstas Автор
25.09.2019 22:55догадываюсь, что отсутствие сессионых ключей им важно для возможности приземлять трафик в любой ДЦ и динамически их менять без пересоздания соединения…
AEP
25.09.2019 23:03Хорошо, перефразирую. Генерация и использование выглядящих сильными, но слабых по факту ключей шифрования (как в свое время было в забагованном OpenSSL из Debian) не противоречат privacy policy. А должны бы.
Serge78rus
26.09.2019 09:10Приношу извинения за оффтоп, но нельзя ли по подробнее про «забагованный OpenSSL из Debian». Ну, или ссылочкой поделитесь.
dartraiden
25.09.2019 22:48+5Два момента:
1) Для обслуживания российских пользователей используется сервер в Москве.
2) CloudFlare не белая и пушистая — она не чурается цензуры:
Сервис DDоS-защиты Cloudfare отказывает в своих услугах сайту 8chan, который, как считается, был площадкой для стрелка из Эль-Пасо и некоторых других экстремистов. Отключение от сервиса фактически означает смерть сайта: Cloudfare в своей области почти что монополист, а без защиты от DDoS-атак ни один крупный сайт работать не в состоянии.
История очень примечательная: 8chan выставляют на мороз не по приговору суда, не по каким-то формальным основаниям, а просто потому, что руководство Cloudfare посчитал своего клиента «омерзительным».
В своем пространном посте основатель компании Метью Принц объясняет, почему они класть хотели на Первую поправку (потому что они частная компания, а не правительство), а также многословно и малоубедительно рассуждает, почему это нельзя считать цензурой (потому что миссия компании — сделать интернет лучше, а в лучшем интернете нет места таким отморозкам).
Мы уже привыкли принимать интернет как данность, как воздух или воду. Воздуха в каких-то ситуациях может не хватать, но обычный нормальный человек вряд ли столкнется с тем, что ему запретят дышать, потому что он кто-то решил, что он плохой.
Между тем, интернет — его системообразующие сервисы —контролируется частным компаниями, и любой возомнивший себя мессией глава любой из таких компаний может послушать голоса в своей голове и отправить вас и ваш создававшийся годами сайт/блог/профиль/канал в телеграме в небытие.
Whuthering
25.09.2019 23:37+3Для обслуживания российских пользователей используется сервер в Москве.
Это провал.
miolini
26.09.2019 08:42Наоборот. Трафик на российские сайты от российских пользователей будет ходить с меньшей задержкой и без РКН блокировок.
wlr398
26.09.2019 08:55Для того чтобы он ходил без блокировок надо чтобы была L2 связность за границу, или L3 без фильтрации. Если сервер VPN подключен для IP транзита к российским операторам, то и фильтрация автоматически будет.
miolini
26.09.2019 08:58+1Это ваши фантазии. Попробуйте на сервере в России wget'ом запросить заблокированный сайт. Сервер должен быть не офисный конечно.
StSav012
26.09.2019 09:23+2Я заинтригован. Что тогда будет?
Prototik
26.09.2019 09:38+1Если кратко — то телеграмы эти ваши блочат домашние ISP, на серверах в датацентрах такой дичи обычно нет.
wlr398
26.09.2019 09:58Магистральные операторы блочат, сотовые, площадки IX. На Ростелекоме что-то очень суровое планируют. РКН не даёт расслабиться.
Датацентры не сами же по себе, к ним и между ними тянутся разнообразные каналы операторов.
Если где-то что-то работает и не блокируется, то это не повод думать, что так будет всегда.mkll
26.09.2019 20:21Справедливости ради — ваш оппонент ничего не говорил насчет «всегда». Он сказал, что сейчас обычно не блокируют.
Только что прогнал blockcheck на VPS'ке, арендованной у reg.ru:
[!] Результат:
[] Ваш провайдер не блокирует сайты.
Whuthering
26.09.2019 11:37Я пробовал у одного большого российского VDS-хостера. Блокировки срабатывали, тот же LinkedIn не открывался.
Так что тут никаких гарантий, сегодня может работать без фильтров, а завтра уже нет.
phillennium
26.09.2019 00:29Отключение от сервиса фактически означает смерть сайта
The Daily Stormer, который в Cloudflare отключили в позапрошлом году, никуда не делся.
Anrikigai
26.09.2019 08:221) Для обслуживания российских пользователей используется сервер в Москве.
Как вы это узнали?
Вот только опять проверил — при активации адрес у меня из Стокгольма становится.
И internet.yandex.ru показывает 8.40.140.*, и SpeedTest начинает тестировать с AltusHist B.V. Stockholm.
achekalin
25.09.2019 22:53+1Насколько я помню общение с ТП CF по поводу использования их сервиса раздачи контента, они говорили, что общаются с РКН, чтобы их не забанили навсегда просто потому, что среди их клиентов могут оказаться такие, которых РКН не возлюбит.
Что мешает РКН предложить детищу CF под названием WARP добровольно и без принуждения встроить фильтрование по спискам РКН, от греха, так сказать? CF есть что терять, у них, в отличии от Гугла, ДНС все же не основной бизнес (аллюзия на известную шутку) — а если серьезно, то потеря рынка CDN для них важнее пиара серверов 1.1.1.1/1.0.0.1.
shifttstas Автор
25.09.2019 22:56а если серьезно, то потеря рынка CDN для них важнее пиара серверов 1.1.1.1/1.0.0.1.
Смотря какой рынок, смотря в какой стране
Anrikigai
26.09.2019 08:48Что мешает РКН предложить детищу CF под названием WARP добровольно и без принуждения встроить фильтрование по спискам РКН, от греха, так сказать?
Это ладно. Сразу станет видно, что какие-то сайты перестали? можно переключиться на другой VPN.
А вот если будут расшифровывать и полноценно СОРМить (сбрасывать нашим доблестным органам дамп трафика) — об этом даже не узнать, пока не клюнет.
Но это паранойя, мне кажется. Скорее списками РКН обойдутсяachekalin
26.09.2019 09:07Им, ввиду их масштаба, и невозможности уйти в глухую оборону, придется хотя бы для вида списки внедрять. Уж как это по факту будет — может, в Warp+ будет галочка в настройках «я не считаю действия РКН соответствующими Конституции РФ», которая отключит для этого «плюсового» клиента списки — но для внешнего наблюдателя (и для этого, как его, комплекса проверки охвата доставки счастья, который «Ревизор») все должно быть в стиле «мышь не проскочит». Опять же, повод пару баксов за плюс заплатить будет.
Хотя, как по мне, VPN от крупной компании именно в силу (в подобной ситуации) уязвимости ее бизнеса выглядит не самым безопасным решением. Но, и правда, VPN от CF — отличный довесок для пиара сервиса 1.1.1.1, why not?
ARad
25.09.2019 23:24+1Только для телефонов или на Windows тоже можно использовать?
achekalin
26.09.2019 00:56Не на всяком телефоне, только смартфоны Android или IOS. Если у вас «просто телефон» — не прокатит, если у вас мобильная винда — тоже никак.
А на десктопе, и правда, пока только обещают, что под Windows, что под Mac, что под Linux.
И лично у меня есть подозрение, что это неспроста: как только первый клиент под какой-нибудь Линукс появится, народ начнет ставить его как шлюз по умолчанию для ЛВС компаний и для дома, а это тот еще трафик, и те еще политическо-РКН-овские риски.
С другой стороны, только анализ всего трафика множества людей — это очень лакомный кусок пирога для любого маркетолога. Так что, разрешив сливать в свой VPN трафик бОльшого числа людей, CF только собственные базы насыщает — и свою капитализацию повышает. За это мжно и трафиком заплатить!LLE
26.09.2019 12:18как только первый клиент под какой-нибудь Линукс появится
Попробуйте собрать github.com/cloudflare/boringtun
LLE
27.09.2019 20:02В Debian Stretch командой 'cargo build --release' собирается исполняемый файл boringtun, который даже запускается и создает новый сетевой интерфейс. Как его использовать, точнее где брать конфиг, пока не понял.
F0iL
25.09.2019 23:29+1Если уж разводить паранойю, то не стоит ещё забывать, что у Cloudflare есть свой удостоверяющий центр, они могут генерировать SSL-сертификаты для любых доменов, и таким образом делать MitM проходящего через них трафика куда угодно, если не используется certificate pinning.
Ресурсов такое дело потребует существенных, да и палевное это дело, но теоретическая возможность есть.shifttstas Автор
25.09.2019 23:35+2И после первого запроса на Certificate Transparency у них отнимают их УЦ, на этом их бизнес можно будет закрывать.
F0iL
25.09.2019 23:40Вот я и говорю, слишком палевное это дело.
Хотя, надо внимательно смотреть, что у них там в EULA написано.
При работе своего CDN-сервиса они, например, генерируют сертификаты для чужих доменов и MitM'ят трафик вполне легально.
xdimquax
26.09.2019 23:04MitM'ят трафик вполне легально.
Вот. Именно. Им незачем заниматься палевными вещами, ведь пользователи и так готовы отдать им хоть весь свой трафик.
ne_kotin
26.09.2019 08:54Ну как бесплатный…
130 рублей в месяц.
А бесплатный, насколько я понял — как и раньше, шифрует только DNS-запросы.
При всем, приложенька пока что существенно кушает батарею.Anrikigai
26.09.2019 09:24А бесплатный, насколько я понял — как и раньше, шифрует только DNS-запросы.
Почему вы так считаете?
Я тоже думал, что только DNS запросы шифруются. Но при заходе на сайты они меня видят с буржуйского IP.
А у вас как?ne_kotin
26.09.2019 12:27Ну в настройках два варианта же:
«1.1.1.1 — make private requests to look up the location of websites using Clouflare's DNS»
«1.1.1.1 with WARP+ — everything from 1.1.1.1 plus access to optimized faster Internet paths»
В общем, заплатил за WARP+ и не сожалею.
ProRunner
26.09.2019 09:28Там в настройках 1.1.1.1 и 1.1.1.1 with WARP, который описывается как
1.1.1.1 with WARP prevents anyone from snooping on you by encrypting more of the traffic leaving your phone.
И при включении пишет «Your internet is now private».
Платный WARP+, о котором говорится
WARP+ extends WARP by sending all of your Internet traffic over the same optimized Internet routes which make thousands of websites 30% faster on average. WARP+ combines millions of Internet route measurements with Cloudflare’s private Internet backbone to deliver a better Internet directly to your phone.
Gurturok
26.09.2019 09:27+1Бесплатный сыр, еще и с фирменным клиентом. Opera вроде спалилась, что трафик vpn пользователей анализировала, вот и с этим сервисом что-то подобное будет.
LLE
26.09.2019 11:25WireGuard — это только UDP? Использование TCP не предусмотрено?
Зайти в этот рекламируемый VPN из TOR-а не получится?
slavius
26.09.2019 12:29Была статья на хабре с анонсом этого сервиса, на тот момент только для DNS, с перспективой полного VPN. Установил. Ждал. Теперь расширили.
Но VPN трафик только по подписке :(
Бесплатно — только DNS осталось.
Может потому что это не Россия а Беларусь…
UPD:
Ups… платно это WARP+, а так VPN работает.
Извиняюсь.
gulin176
27.09.2019 09:35установил приложение на андроид. при включении ни один сайт в браузере не открывается
brrr
Интересно, за чей счёт всё таки банкет?
shifttstas Автор
Я думаю за счет инвесторов и это часть PR кампании, как и бесплатные тарифы для сайтов…
fur_habr
Вот данные по разрешениям wireguard, вот ссылка на F-Droid(а там и ссылка на исходный код).
Из подозрительных разрешений — только доступ к камере, но это только для того, чтобы отсканировать QR код и это разрешение можно ограничить практически на любом совеременном Android смартфоне.
И даже не просят разрешение на чтение данных, только на запись. Выбор файла осуществляется через стандартный файл менеджер(молодцы, я не ожидала даже).
Вот данные по приложению Cloudflare. Помимо того, что они и так узнают про вас(DNS запросы, посещённые сайты), так и доступ к местоположению, доступ к информациии о Wi-Fi, чтение личных данных из памяти. Надо ещё будет последить какие разрешения добавятся через время.
Вот и прикидывайте за чей счёт банкет. Как там говорят? Если что-то бесплатно, то товар — это Вы! И никаких там промоакций, расширения пользовательской базы. Зачем, если можно уже начинать собирать «лишние» данные «прозапас».
loony_dev
Мне кажется им проще проверять клиентов своим приложением, чем тратить ресурсы на анализ\проверку юзеров с инета (которые приходят на их CDN). Они собирают статистику, логи, данные устройства.