Добрый день. Изучаю прокси обхода блокировок (shadowsocks, Xray) и не могу докопаться до того, от какого рода угроз эти прокси не способы защитить, а VPN защитит.

Уже достаточно давно имею свой OpenVPN на VPS. Он начал страдать от того что провайдер периодически рубит соединения. Поднял еще один VPS с Xray. С точки зрения потребителя контента все работает также как с vpn, плюс провайдер не разрывает соединения. Почитал на разных сайтах поставщиков услуг VPN что прокси от каких-то угроз не защищают, но нет конкретики о каких угрозах идет речь.

Со стороны я вижу что на клиентах (iOS, Mac) мой xray-прокси работает как VPN, трафик заворачиваться в tls. Внешние сервисы видят меня также как и при vpn. Трафик в канале зашифрован (на уровне tls).

Хочу понять, что я упускаю. Почему VPN провайдеры говорят что proxy слабее защищает чем vpn. Интересует в первую очередь в повседневно-бытовом ключе (доступ на ограниченные ресурсы, защищенность канала от mitm). Во вторую очередь- гиперболизированный ограничения вроде масштабных банов всех заграничных IP. (Кейсы построения корпоративной защищенной сети на N клиентов предлагаю не рассматривать, объективно так мало кто сегодня использует VPN)

Думаю имются ввиду протоколы прокси без шифрования (socks5). Для себя можно перенастроить openvpn в режиме static key (миус - только один клиент).

прокси и vpn отличаются только способом подключения клиентских программ к себе.
vpn проносит полноценный ip стек на уровне ос. проги видят его как обычное подключение к сети. могут использовать любые протоколы ip.
с прокси проги должны уметь работать сами по спец регламенту, зависящему от типа прокси. уровень ос не затрагивается.
основные типы прокси работают только с tcp .
какая среда и какой протокол будет использоваться для передачи данных дальше это внутреннее дело впн или прокси, они полностью абстрагируют это от клиента

с точки зрения угроз важен лишь внешний протокол, а он не имеет прямого отношения к способу связи с клиентскими прогами.

наверно, имеется в виду отсутствие шифрования в самом банальном случае применения сокс или хттп прокси, когда связь с прокси сервером идет напрямую по внешней сети

возьмите пример i2p. внутренняя адресация сети вообще не завязана на ip , а сеть зашифрована и анонимизирована. тем не менее для доступа используется сокс прокси

VPN создавался прежде всего для объединения удалённых сетей, а прокси — для доступа к хостам за файрволлом. Ни тот, ни другой слой на 100% не отвечают современным требованиям обхода блокировок, а более лучшего решения у нас нет

Если говорить не в ключе обхода блокировок, а в общем, то VPN приносит больше угроз, чем прокси, просто потому, что позволяет маршрутизировать трафик к вам, а не только от вас.
Если вы занимаетесь, скажем, разработкой веб-сайтов и у вас на компьютере запущен веб-сервер, доступный для других компьютеров вашей локальной сети, то при подключении к VPN ваш сайт будет доступен для владельца VPN-сервера и часто для других пользователей этого же VPN-сервера. Могут быть попытки эксплуатации уязвимости тех или иных сетевых сервисов вашего компьютера.
Если вы настраиваете VPN на роутере, на котором правила файрволла не блокируют маршрутизацию из VPN в локальную сеть (типичная ошибка при ручной настройке файрволла на продвинутых роутерах), то владелец VPN-сервера может получить доступ ко всем устройствам вашей локальной сети.

VPN-протоколов и их реализаций великое множество, как примитивных туннелей, так и полноценных комбайнов (VPN suite). Большинство решений поддерживают шифрование в том или ином виде.
Прокси так не повезло — протоколов, поддерживаемых программами, по-сути два: HTTP-прокси и SOCKS-прокси. Оба реализуют туннелирование TCP-трафика и не поддерживают дополнительного шифрования, вследствие чего годятся для обхода блокировок только на провайдерах, не проверяющих трафик на всех портах. Socks5 еще поддерживает UDP, но поддержка на клиентах встречается крайне редко (браузеры не подключаются по QUIC при использовании Socks5, могут быть проблемы с WebRTC).

Протоколы вроде shadowsocks и vmess чаще всего используются с фронт-эндом http или socks-прокси — программы, поддерживающие эти прокси, общаются с локальным сервером, а сам клиент передаёт данные уже через собственный шифрованный протокол.
Прокси проще в программировании, поэтому анти-цензурные программы это преимущественно прокси. Прокси тяжелее настраивать на роутерах: они поддерживают только TCP и UDP, но не другие протоколы (к PPTP-серверу через прокси не подключишься, домены не поping’уешь).
Почти все решения в настройке по умолчанию открывают столько соединений, сколько их делает клиентская программа, что, по моему субъективному мнению, проще для цензора.

Маркетинг, в первую очередь. Слово VPN хорошо известно обывателю, под ним подразумевается обход блокировок и географических ограничений, а не то, чем он является на самом деле. Многие браузерные расширения гордо именуют себя VPN, хоть не являются им.
Также часть программ, по крайней мере раньше, делали DNS-запросы через обычный канал, а уже затем подключались через прокси на IP-адрес.

Любой современный протокол VPN и популярные антицензурные прокси-программы это обеспечивают в достаточной мере.
VPN-серверам и клиентам уделяется больше вопросов по безопасности кода, многие реализации проходили аудиты. Аудиты прокси-программ редки, я знаю только о пентестах Outline, но это не полноценные аудиты.

Антицензурные программы позволяют легко настраивать цепочки прокси или инкапсулицию одного протокола в другой, но в общем случае не защитят от блокировки по IP-адресу, хоть и позволяют настраивать туннелирование через CDN’ы/другие endpoint’ы.

Это однозначно самый распространённый вариант использования VPN в глобальном масштабе.

Вы можете туннелировать VPN через антицензурный прокси, получив таким образом удобство маршрутизации VPN и обфускацию трафика антицензурной программы/протокола.