home.social
Sign in Create account

#ru_vpn — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #ru_vpn, aggregated by home.social.

  1. Из-под белых списков @[email protected] ·
    CW: Любопытный обзор про новости на ТСПУ в феврале. Если кратко - метят по сигнатурам VPN на HTTP/2

    Утащу любопытный текст у rsshub.top/telegram/channel/no
    ___

    Мы продолжаем разбирать инцидент последней недели и копать глубже.

    Что произошло? В ночных тестах мы наткнулись на странную аномалию: подняли сервер и обманку Reality — то, что должно работать стабильно, оказалось полностью мёртвым. Но стоило переключиться на WebSocket с определёнными настройками — всё внезапно ожило.

    Спойлер для тех, кто поднимает свои VPN: не используйте WebSocket. Он «голый» и сам по себе плохое решение проблемы.

    Дальше мы полезли в логи тестового сервера — и вывод оказался тревожным: это уже не старые блокировки, когда РКН просто ломал хендшейк. Теперь первые пакеты проходят нормально. Система слушает трафик, анализирует структуру соединения (TLS, XTLS, Reality), и если паттерн кажется подозрительным — соединение рубят сразу.

    Теория двух этапов

    Судя по поведению блокировок, Роскомнадзор внедрил (или тестирует) двухуровневую систему фильтрации. Это невероятно дорого, поэтому работает выборочно:

    Этап первый: “фейсконтроль”
    Система смотрит на IP, хост и SNI. Если адрес «чистый», не светился в VPN и не вызывает подозрений — его пропускают без лишних затрат.

    Этап второй: глубокая инспекция (DPI + ML)
    Если возникают сомнения, трафик отправляют на детальный анализ. И здесь включается Machine Learning — по сути, нейросеть, которая ищет сигнатуры конкретных протоколов.

    Почему мы уверены?

    Во время тестов мы заметили, что #XTLS перестал работать на современном HTTP/2. Мы сделали даунгрейд — принудительно переключились на HTTP/1.1 — и всё заработало.

    Объяснение простое: ML-модель цензора, скорее всего, натренирована на паттерны современного трафика (TLS 1.3, HTTP/2). Она «выучила», как выглядит технологичный интернет, а старые стандарты воспринимает как обычный безопасный веб-сёрфинг.

    Именно поэтому сейчас деградирует качество связи вообще везде, а не только у сервисов обхода. VPN просто попадает под раздачу как самый технологичный сегмент.

    История повторяется

    Помните замедление YouTube, когда параллельно на две недели лёг #shadowsocks? Сейчас происходит то же самое.

    YouTube и WhatsApp уже вывели из сложных цепочек DNS и DPI, чтобы просто отключить напрямую. Зачем? Чтобы освободить мощности #ТСПУ и бросить их на нынешнюю волну блокировок.

    Что это значит?

    #РКН учится. Мы зафиксировали сигнатурный анализ и первое применение нейросетей для атаки на интернет-трафик — чтобы блокировать VPN и Telegram.

    Проблема в том, что задевает вообще всех по пути: Apple, обычные сайты, инфраструктуру.

    Но у этой системы есть слабое место: Роскомнадзор уже начал частично откатывать фильтрацию. Причина банальна — они не тянут.

    Нейросеть, которая в реальном времени анализирует весь HTTP/2-трафик страны, — это невозможно поддерживать долго. Ни по железу, ни по финансам.
    ___
    #ru_vpn

    #xtls #shadowsocks #тспу #ркн #ru_vpn
  2. Из-под белых списков @[email protected] ·

    Вычитал на NTC про любопытную затею
    github.com/KillTheCensorship/T
    #ru_vpn

    #ru_vpn
  3. Из-под белых списков @[email protected] ·

    Пока самый простой вариант получить собственный VLess, Socks5 и bridge от ruVPS на зарубежный - это скрипт github.com/xVRVx/autoXRAY
    Его критикуют, но с ним реально легко выполнить инструкцию и получить работающую subscribtion и отдельные ключи.
    #ru_vpn

    #ru_vpn
  4. Limping @[email protected] ·

    На новую VPS поставил github.com/WhatsApp/proxy
    На третьи сутки IP влетел в блок на ТСПУ.
    SSH не соединяется, метрика - не открывается.
    Через #ru_vpn всё соединяется и открывается.

    Юзеров там было полтора землекопа, графики загрузки = плато.
    #роскомпозор

    #ru_vpn #роскомпозор
  5. Limping @[email protected] ·

    А кто в курсе насчёт обновления файлов роутинга .dat в #HAPP:
    если они не из подписки, а просто я сам добавлял по ссылке - то автоматическое обновление не настраивается? Только вручную ходить в меню?
    #ru_vpn

    #happ #ru_vpn
  6. Limping @[email protected] ·

    А кто в курсе насчёт обновления файлов роутинга .dat в #HAPP:
    если они не из подписки, а просто я сам добавлял по ссылке - то автоматическое обновление не настраивается? Только вручную ходить в меню?
    #ru_vpn

    #happ #ru_vpn
  7. Limping @[email protected] ·

    А кто в курсе насчёт обновления файлов роутинга .dat в #HAPP:
    если они не из подписки, а просто я сам добавлял по ссылке - то автоматическое обновление не настраивается? Только вручную ходить в меню?
    #ru_vpn

    #happ #ru_vpn
  8. Limping @[email protected] ·

    А кто в курсе насчёт обновления файлов роутинга .dat в #HAPP:
    если они не из подписки, а просто я сам добавлял по ссылке - то автоматическое обновление не настраивается? Только вручную ходить в меню?
    #ru_vpn

    #ru_vpn #happ
  9. Limping @[email protected] ·

    А кто в курсе насчёт обновления файлов роутинга .dat в #HAPP:
    если они не из подписки, а просто я сам добавлял по ссылке - то автоматическое обновление не настраивается? Только вручную ходить в меню?
    #ru_vpn

    #happ #ru_vpn
  10. Limping @[email protected] ·
    CW: Ёмкий и короткий обзор блокировок VLess и "сибирской язвы"

    "...Flow не совместим с mux в текущей реализации.

    Сейчас блокировки поотпустили, и в целом без flow и без mux всё прекрасно работает.

    Но детектирование трафика без-mux на dpi уже продемонстрировано, детектирование трафика с пустым flow: "" - вопрос времени, и те, кто не перейдёт на xhttp или другую альтернативу, рискуют остаться не у дел."

    Источник: boosty.to/exsh/posts/1e12edd5-
    #ru_vpn

    #ru_vpn
  11. Limping @[email protected] ·

    @admin читайте #ru_vpn

    #ru_vpn
  12. Limping @[email protected] ·
    CW: Ключевое про Vless из ntc.party

    на кабельном мтс новосиб немного потестил vless+tls: (проверял в throne, хостинги avoro, selectel и еще 2 других)

    1. блок не мгновенный, срабатывает после нескольких запросов
    2. порт 443 блочится жестко, порт 47000 пропускает 80% запросов без блока
    3. с vision/без vision - разницы нет
    4. sni фейк/реальный/белый - разницы нет, зато пустой sni снимает блок 100%
    5. когда sni прописан (на любой), то помогает удаление fingerprint (пустое значение, т.е. fingerprint go)
    6. удаление TLS снимает блок
    UPD: блокируется реальный HTTPS трафик (до вебсервера на ру впс selectel) в браузерах (edge, firefox) если до сервера много соединений, короче мне кажется это не блок vless+tls а тупо кривые руки РКН

    upd: добавил инфу про то что в том числе блочится внутренний трафик РФ, в том числе обычный HTTPS на .ru домены через популярные браузеры
    ______
    ntc.party/t/%D0%B1%D0%BB%D0%BE

    Подписывайтесь на #ru_vpn

    #ru_vpn
  13. Limping @[email protected] ·

    Третий день пишут о том, что перестаёт работать #VLess в регионах от Урала, Сибири.
    Кстати, про ЮФО вообще ничего не слышно - там небось вообще кранты.

    Обсуждают, что это всё-таки не полная блокировка как такового, а всё-таки атака на какие-то тонкие места, которые поддаются блокировке. Напомню, что настроек у VLess вагон и маленькая тележка, и недавний обход белых списков как раз был благодаря хитрым настройкам.
    #ru_vpn

    #vless #ru_vpn
  14. Limping @[email protected] ·

    @gusev вот тут стараются именно для обхода б/с:
    t.me/astracatvpnX_bot
    #ru_vpn

    #ru_vpn
  15. Limping @[email protected] ·

    Для настоящих бородатых:
    "Балансировка на стороне клиента - для распределения нагрузки через разные сервера, или для автоматического перебора sni при обходе белых списков"

    "Вообще балансировка в xray очень удобная штука оказалась. Я уже забыл, когда вручную переключал ключ в приложении."
    boosty.to/exsh/posts/a1b608e2-
    Подписывайтесь на тег #ru_vpn

    #ru_vpn
  16. Limping @[email protected] ·

    Как думаете, реально ли сделать #Socks5 ну или хотя бы #MTProto для телеграм, которые будут работать в белых списках?
    (допустим, не самый жёсткий вариант по CIDR, а от как на Мегафоне-Билайне описано выше).
    #чебурнет #ru_vpn

    #socks5 #mtproto #чебурнет #ru_vpn
  17. Limping @[email protected] ·

    @burbilog
    OpenVPN научились блокировать года 2 назад.
    Новый OpenConnect VPN не помогает.
    Остальные сейчас не пробовал. Могу предложить попробовать тем, кто остался.

    Но речь именно про белые списки, когда даже ping вообще перестаёт проходить — ещё до соединения VLess/VMess.
    #ru_vpn

    #ru_vpn
  18. Limping @[email protected] ·

    А в Ростове как будто всё наоборот.
    На Мегафоне глухо. Зато на МТС открываются обходы, которые не работали всю неделю до этого.
    #чебурнет #ru_vpn

    #чебурнет #ru_vpn
  19. Limping @[email protected] ·

    Когда крепко сидишь в белых списках, то проблемой является даже прогрузить subscription в клиенте VPN.
    Помогает как ни странно byeDPI. Он на обход не работает, но с кой-каковским SNI всё-таки прогружает пресловутые 16 Кб и этого хватает.
    А так ведь невероятно сложно выйти из-под блокировок, даже имея наводку на работающий обход.
    #чебурнет #ru_vpn

    #чебурнет #ru_vpn