Кто-нибудь может проверить текущие блокировки ProtonVPN?

twitter.com/Siz_Off/status/1532160320009129989

Сеанс блокируют по адресу и протоколу.
(Протоколом может быть просто паттерн)

Я не в курсе просто, там один протокол используется? Не OpenVPN же?

Роскомнадзор ответил на сообщения о блокировке VPN-сервиса Proton, передает РБК: средства обхода блокировок признаны угрозой, заявили в ведомстве.

«Согласно закону «О связи», средства обхода блокировок противоправного контента признаются угрозой. Центр мониторинга и управления сетью связи общего пользования принимает меры по ограничению работы на территории России VPN-сервисов, нарушающих российское законодательство».

Что за бредятина и при чем здесь закон “О связи”? Проще говоря: блокируем, потому что можем.

OpenVPN, IKEv2, WireGuard
Вот эти протоколы по адресам сервиса, которые собрал РКН, не будут работать. Может быть что-то еще, но условный HTTP, если бы он там был, работать будет.

Привет.
Я так понял, что это никак не обойти ? Протон и норд не конектят.
goodbyedpi для сайтов работает только ?

Только, если сами Proton начнут противодействовать этим блокировкам. Для этого нужно желание и деньги.

Блокируют:

1. API-хост api.protonvpn.ch, из-за чего программа не может скачать список серверов;
2. VPN-серверы (по крайней мере, их часть). UDP-запросы остаются без ответа, TCP-соединение устанавливается, но «зависает» после первого отправленного клиентом пакета.
3. Серверы API ProtonVPN, как и ProtonMail, отправляют уменьшенный TCP Window Size в попытке обойти блокировку на серверной стороне. Иногда это эффективно, иногда — нет.

Это как бы блокировка по IP-адресу, но средствами ТСПУ.

protonvpn-api-rostelecom-block1.pcapng (2.5 KB)
protonvpn-api-rostelecom-block2.pcapng (12.2 KB)
protonvpn-rostelecom-block4.pcapng (3.8 KB)

Сервер JP-FREE#9, упомянутый в сообщении Блокировка ProtonVPN (2 июля 2022) - #2 by anonymous35, действительно работает, т.е. до него доходят пакеты, он отвечает, в отличие от других, что говорит о блокировке IP-адресов сервиса, а не характерных особенностей протоколов.

Зависит от содержимого запроса. Случайные байты не морозят сеанс.
Правило с паттерном действует только на адреса и порты, которые анонсировал сервис.

Сервер JP-FREE#9 доступен потому что…

Внезапно спокойно начало подключаться в Нидерланды через WireGuard. Er-Telecom (dom.ru), Екатеринбург.
upd. Работают 5 рандомно выбранных серверов из списка бесплатных.

Как минимум, на Ростелекоме Санкт-Петербург содержимое не имеет значения. Любой ответ сервера приводит к зависанию сессии, а на данные с неправильной подписью OpenVPN просто не ответит и закроет соединение.

Возможно, ProtonVPN сменил IP-адреса в конфигрурационных файлах. У них домены серверов, которые отображаются в личном кабинете, не совпадают с IP-адресами в конфигурационных файлах. Не знаю, насколько такая ситуация обычна, до этого никогда сервисом не пользовался.

Значит разные правила на разных ТСПУ. Тогда способ блокировки не имеет смысла изучать и публиковать – сервис работает или не работает.

Это скорее всего новые сервера, добавленные либо недавно, либо сегодня на фоне жалоб. У них ни в одной стране нет столько пустых бесплатный серваков. Старые полюбившееся платные висят на “ожидании доступной сети”.

Протестировал на еще 3 разных каналах — везде заблокировано одинаково. Важен факт ответа сервера, после чего сессия «забывается». Пакеты без данных, если сервер не ответил, не подвергаются фильтрации.

Никаких ответов не наблюдаю. Нет даже ack в случае с tcp. Тесты показывают что пакет с запросом (паттерн важен) дропается на ТСПУ не долетая до сервера. Возможно применяют разные правила для разных ip адресов.

Читатели пишут:

Протон частично работает - через Secure Core (через 2 страны), и только после 5-6 попытки подключиться, и не ко всем странам. НО, он работает идеально и как раньше, если использовать не клиент протона, а скачать open vpn и конфиг open vpn с сайта протона, и поменять там порты у айпишников серверов на 51820. С теми портами, что прописаны по умолчанию - не коннектит.

Юзер Proton и их почтового сервиса с декабря 2021. Сейчас есть активный проплаченный акк. Технически не так подкован, как остальные, но попытаюсь объяснить по-колхозному.

Конфиги не совпадают с адресами

Недавно произошел merge, было три разных тира подписок, теперь они выпилили Basic сервера и пересобачили часть из них в Plus. И стоит оно уже не 48 евро, а 70+, т.е. весь базовый тир убрали по деньгам тоже. Случилось как раз в ночное МСК время 02.06.2022, в 7:30 уже не существовали старые туннели и все работало через раз. Сейчас постепенно приводят в порядок, но есть шанс скачать кривой конфиг и уткнуться в несуществующее место.

Блокируют VPN-серверы (по крайней мере, их часть)

Вот тут непонятно, потому что я пытался вытащить конфиги и банально вбить их через OpenVPN/Wireguard, TCP/UDP OVPN почти всегда без проблем, а вот Wireguard затыкается очень часто, соединение устанавливается, пакеты не идут.
Внутри интерфеса ProtonVPN часто очень долго прогружается именно логин в аккаунт, и потом при прыжках по серверам проблемы с подключением через Wireguard. OVPN UDP полноценно не тестировал, не могу сказать ничего кроме как на тот же сервер (например, Oslo #20) я не могу зайти через Wireguard, а через OVPN UDP могу.

Серверы API ProtonVPN, как и ProtonMail, отправляют уменьшенный TCP Window Size в попытке обойти блокировку на серверной стороне.

Замечал и раньше, что периодически в простое пропадает IP, должен рисоваться родной Билайновский, а вместо него Unknown. В таком положении зачастую можно подключиться куда угодно по какому угодно протоколу.

По ощущениям, все-таки адреса, слишком уж Proton мозолил глаза. Если у кого есть аккаунт в известном VPN сервисе с кротом в шлеме - отпишитесь, хотел на них переходить, но похоже проще деньги отложить и поднять свой.

Во второй половине мая 2022 умер VPN Windscribe.
1 июня 2022 умерло браузерное расширение Browsec VPN.
В смысле, оказались заблокированы описанным выше способом. Er-Telecom (dom.ru),

По имени сервера у протона ориентироваться сложно. Там как минимум 4 разных ip адреса на одном fqdn, на которых крутится впн сервер с другим именем в сертификате (для опенвпн). И эти адреса могут меняться.

Вы отправляете пакеты с определённым содержанием на собственный сервер, а они не доходят? Пришлите pcap’ы и назовите провайдера.

Если вы просто не видите ответа от сервера ProtonVPN, то так и должно быть: он фильтруется ТСПУ. Сервер посылает ответ, но до клиента он не доходит, и именно в этот момент, по крайней мере, на моих подключениях, начинается «зависание» сессии, включая блокировку пакетов без данных (ack).
Попытка воспроизвести сессию запроса-ответа с моим собственным сервером не приводит к блокировке.

Нет, на сервера протона, модифицируя ttl, наблюдаю хоп.

9 posts were split to a new topic: Оффтоп из «Блокировка ProtonVPN»

Список рабочих адресов на вчера (06/06). Доступно примерно 1/10
Бесплатных нет.

крот в шлеме работает без проблем. питер домру, мтс мобильный, йота

Зря Вы здесь постите все айпишки.
РКН-у остаётся просто скопипастить их в свои чёрные списки и на этом всё.

Крот работает просто потому что до него не добрались пока. Протон впн тоже прекрасно работал многие годы… пока не добрались. РКН-овская гидра пожирает постепенно… и до крота доберётся тоже. И это ещё не тотальная война (сужу по некоторым инсайдерским источникам). Страшно представить, что будет когда они займутся той самой тотальной войной. Останемся с ТОР-ом у которого два с половины входных моста будет работать. Да и те с перебоями

Кто этим будет заниматься, если там нет неучтенной ручной работы? Адреса нужно перепроверять, ибо изменения делает лицо ответственное. И на каждое действие бумажка. Это не значит, что им есть дело до “ложноположительных” случаев или они собираются исправлять ошибки, но и просто так адрес копипастить не будут. У них есть готовые инструменты для сервисов.

Доступные пользователям приложения имена серверов.

Теперь добились полной блокировки?

Добили Proton, да. Заблокировали последние остатки (openvpn и wireguard). Вчера еще работали некоторые серверы.

А обойти через GDPI как-нибудь можно?

Адреса собирают быстрей, чем их обновляют, 1:0 в пользу цензора.
Для OpenVPN есть рабочие порты, например 1224
Для Wireguard тоже есть, но сам протокол непрактичен при цензуре.

Как это можно применить к Протону?

Да, принципиально для OpenVPN TCP можно, блокировка осуществляется на DPI. Сделаю позже.

Техподдержка рекомендует перейти на OpenVPN TCP в настройках приложения.
Возможно фрагментируют запросы удаленно через tcp window. Будем надеяться, что забанят только фрагменты.

У меня наоборот, только udp заработал. Впрочем, не пользуюсь особо этим vpn.

На 1.08, судя по всему, заблокировали оф приложуху и по OpenVPN TCP.

Противоречивые сведения о доступности сервиса, но задумка у авторов хорошая. Разработчики внедрили, по сути, систему проксей, с привязкой к аккаунту и geoip. Не изменив код на стороне клиента и не манипулируя пакетами. Технически все готово к минимизации утечек от bad аккаунтов, возможно именно этим они сейчас занимаются.

Речь об их собственном приложении, не о конфигурационных файлах OpenVPN/WireGuard с сайта?

Да.

Не проверял, что будет в конфигурационных файлах с сайта если зайти с адресов где сервис отдает прокси. Но должно быть стабильно и указывать на сервера, а прокси ими не являются.

У меня через wireguard ни к одному из бесплатных серверов (сша,нидерланды,япония), все перепробовал, не хочет подключаться. Ростелеком. Москвачкала.

WireGuard explicitly does not support tunneling over TCP, due to the classically terrible network performance of tunneling TCP-over-TCP.

Не знаю есть ли у них udp прокси, но сейчас точно работают tcp. Их проще диагностировать и исправлять, как итог есть больше вариантов для прокси. В дампе трафика признаки блокировки для tcp могут быть более очевидны.

Есть информацию о том, когда это чудо инженерии будет доступно для всех пользователей? Ну или хотя бы платных? =) Со своей стороны изменений не вижу, подключится к привычным серверам получается только с GDPI.

Больше 100 серверов за проксями, не считая бесплатных.
Может не работать:

1. Цензор уже нашел (все) адреса
2. Сервис не отдает для вашего адреса прокси

Возможно никакого чуда инженерии нет и адреса у всех одинаковые.
Тестировать лучше в ручном режиме.

Частичный список серверов, где обнаружен прокси. (Список может быть с ошибками из-за метода проверки)

Заблоченные прокси: BG, NY

Потыкал ваш список как со Смартом, так и TCP. На некоторых серверах поведение разнится, но исход один - не соединяет.

Попросите у тех.поддержки переместить ваш аккаунт в другую корзину.

Обнаружил группу проксей в которой 15% отцензурено. Тот процент который выдали цензору и другим пользователям из этой же корзины.

У Протона без изменений.
Цензор не увеличивает адресов в блокировке. Но, возможно, другие адреса продолжают собирать. Ожидаем выгрузку 1 числа по камчатке.
Сервис держит прокси на заблокированных адресах активными. Похоже они не учли в своей схеме пользователей без ТСПУ.

Попросил. Ничего про это не знают.

Значит нет опции починить доступность для аккаунта, что странно. Получившим эти адреса просто не повезло. ¯\(ツ)/¯

Сейчас должно быть ~10% неработающих платных акков, или того меньше. Бизнес, ничего личного.
(____/)
( ͡ ͡° ͜ ʖ ͡ ͡°)
\╭☞ \╭☞

У Протона “сломалась” часть проксей, запросы принимает, а ответов нет. Это не новые блокировки, сбой воспроизводится вне цензурируемых сетей.

Выдача адресов проксей зависит от значения системной локали, которая имеет приоритет перед адресом клиента (например, у вас мало шансов подключиться через протон если вы в россии, но интерфейс приложения не российский). Интересное ограничение.

Интересно
Но попробовал, не помогло.

Есть сообщения, что помогает изменение адресов DNS в настройках гаджета. Но непонятно, что эти изменения исправляют. DNS используется только для получения адреса API сервера или адреса DoH сервера, чтобы подключиться к API серверу в обход блокировки. Возможно, в мобильном приложении ошибка определения блокировки, но без доступа к API серверу не будет никаких актуальных списков с VPN серверами (с прокси или без). Как диагностировать 1.5 фазы приложения, если даже поддержка ориентируется по скриншотам от пользователей.

У РКН походу выделенный сотрудник с проплаченным протоном. Последние (а так же новая страна у них) серваки в Эквадоре прикрыли.

Список блокируемых адресов проксей пополнился. Случилось это не 8/31, а 9/4, т.е в воскресенье, как в прошлое обновление 7/31. Теперь блокируют 19% (или меньше, данных от протона о числе проксей и их существования нет).

У них, очевидно, есть бюджет для покупок, существуют сугубо платные сервисы которые тоже блокируются. Поскольку сервисов много, сервис-центричный инструмент применим только как исключение. В случае с протоном адреса и сигнатуры, скорей всего, берут из трафика оригинальных приложений, задача сотрудников, в таком случае, создать окружение в котором шаги по активации и съему трафика можно заскриптовать или придется делать всё вручную. Но ручная работа может закончиться блокировкой локалхоста.

Короткая инструкция как разблокировать protonvpn (возможно и другие vpn) если у вас уже настроен zapret от bol-van на роутере:
TCP 443:
В /opt/zapret/config добавляем к параметру NFQWS_OPT_DESYNC: --dpi-desync-any-protocol=1
UDP:
В opt/zapret/init.d/openwrt
Копируем custom-nfqws-quic4all в custom и меняем

f=“udp dport 443”
на
f=“udp dport {80,1194,51820,443}”
В /opt/zapret/config:

NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_short_header.bin --dpi-desync-fake-unknown-udp=/opt/zapret/files/fake/quic_short_header.bin  --dpi-desync-any-protocol=1"
MODE=custom

А можно подробную инструкцию? Добавил, что вы написали, но это не только не разблокировало протон, оно и сломало сам “запрет” =)
Запрет настроен по этому гайду Обход блокировок на роутере! - Page 19 - Вопросы по сборке и настройке Opkg - Keenetic Community

но не идеально. К примеру не открывает твиттер и инстаграм.

Протон выпустил версию с поддержкой нового Stealth протокола, который по задумке авторов избежит блокировки. Исходного кода нет, пока (или совсем?). Анализ бинарников выдает Stealth как Wireguard через TCP/TLS с uTLS маскировкой.

404 - Page not found
Sorry; The page requested can’t be found.

Ни на странице блога ProtonVPN, ни по вашей ссылке - нет никакой информации/страницы

Ссылка из описания к Android версии 4.3.17.0 доступной широкому кругу лиц в рамках Beta testing.

Инсайдеры, есть информация по поводу этого чудесного протокола? или может бы сроках ввода wstunnel?

Отвечаю на свой вопрос. Stealth наконец-то завезли на ios и андроид. Остальные терпим.

Новость про новый протокол и его особенности на сайте ProtonVPN.

На macOS тоже завезли

К сожалению, иррелевантно для меня.

Не успел стелс добраться до Виндоус как ркн и его победили. А слов-то было.

И небольшой оффтоп: виндскрайб тоже по всем протоколам тихо.

Подскажите, есть рабочие способы для возобновления работоспособности всех серверов?
Купил, с дуру, Plus аккаунт на 2 года, а потом только узнал, что он полноценно и не работает. Причём, что интересно, в первый день работало абсолютно всё, и в обычном режиме и в режиме Secure Core. А вот на следующий день уже умерло подключение к большей части серверов. Сейчас в обычном режиме работают где-то 5 стран (некоторые из них с переменным успехом), в режиме Secure Core стабильно всегда работает только одна страна, иногда удаётся подключиться к паре других. (На всякий случай не пишу какие именно страны, чтоб ркновцы и до них не добрались)

Если укладываетесь в период возврата - оформляйте.

Не хочется так легко сдаваться. Всё же думаю, что есть способы вернуть полноценную работоспособность. Тем более, что на iPhone у меня нет никаких проблем и там работает абсолютно всё (но в ios-клиенте есть протокол подключения, которого нет на ПК-версии).

У меня тоже айфон и работает там далеко не всё. TCPшный Wireguard не известно когда будет в приложении под Windows. И не факт, что РКН не прикроют раньше, как это было со Stealth в конце октября.

Что на айфоне не работает? Я проверю у себя.

Чтобы не оставить свой же сообщение выше без комментария: действительно, парк перезапуском приложение смогло оживить TCPшный Wireguard.

Все что пишет и читает приложение в контролируемом окружении цензора будет использовано при создании сигнатуры протона. Сейчас этой сигнатурой является пара: наблюдаемые адреса и паттерны. Приложение само перебирает адреса и протоколы, поэтому автоматизация минимальна – включай и собирай.

По умолчанию в протоновском приложении используется Smart метапротокол, который донастраивается конфигом с сервера для всех пользователей. Текущий конфиг включает Stealth и не включает WG-TCP.

Похоже и WireGuard (TCP) прикрыли. Плюс блоканули те немногие страны, что ещё работали. Теперь что на ПК-клиенте, что на iOS картина одинаковая.

У блокировщика оптимизация, заблокировали Stealth порт для известных адресов. Stealth и WireGuard-TCP подключаются к 443.

Создал аккаунт для тестов.
Выдали адреса (платных и бесплатных серверов): 500 из них 50 прокси
Заблокировано: 480 из них 30 прокси

При этом у Протона более 400 прокси, из них заблокировано 25%. Блокируемых адресов в январе стало (как минимум) вдвое больше, но и число прокси (общее/выдача) увеличилось. Несколько месяцев ранее изменений не наблюдалось.

У меня Stealth и раньше не работал.

Я уж грешным делом подумал, что РКН охладел к блокированию ВПНов, а тут вот оно что…

Возможно все добавления идут на автомате, а оптимизация шире.

Stealth блокировали по содержимому, но на этом же порту блокировали содержимое OpenVPN-TCP. Возможно после третьего (WireGuard-TCP) сработала оптимизация, или вне связи.

WireGuard-TCP по содержимому тоже блокируют. С портами интереснее, они в состоянии неопределённости. Напоминает охоту на Lantern: блокировки зависят от конкретной DPI коробки, где можно самозаблокировать себе и другим всё — достаточно начать подключение с известного цензору адреса и по цепочке засветить неизвестные. Схема размещения серверов Proton’а к этому располагает.

У РКН основным информатором c адресами сервиса стало не приложение, а инструмент по запросу адресов у самого сервиса. Под блок пошли даже технические адреса, к которым клиент не подключается и там, как правило, нет такой возможности. Инструмент способен достать 99.9% всех адресов.

Протон, судя по всему, не решил/решал задачу по изоляции утечек тайных адресов. Пул прокси это красиво, но сами они ничего не меняют. Сейчас у них новая игрушка – телеметрия без логов.

ProtonVPN, с использованием приложений, доступен у 80% пользователей, но по разному: у кого-то подключается только к 1 серверу.

ProtonVPN, с использованием приложений, доступен у 80% пользователей

О каких приложениях речь? Собственное от протона или openvpn, wireguard? Не очень понял. У меня работает, но нетипичная конфигурация.

Протоновские.

К слову, сайты Протона это web приложения: выполняются в браузере, общаются с управляющими серверами по api. Только через api можно узнать/сбросить учётные данные openvpn/ikev2, скачать/зарегистрировать конфиг. Мобильное/десктоп приложение это комбо: api-клиент + vpn-клиенты.

Однозначно. Вижу блокировку OpenVPN TCP на порту 443 своих серверах OpenVPN (не имеют к Proton никакого отношения). Другие порты работают.
Блокируются любые TCP-пакеты, в начале которых отправляется xxxx38 (6 байт или более). 38 — OpenVPN Reset packet v2.

Ситуация, по описанию, похожа на такую. И это точно не из-за протона, паттерны блокировки другие, как для того wg, так и нынешнего openvpn-tcp

Похоже заблокировали вообще в ноль (ПК и iPhone). Был подключён к одной из немногочисленных работающих стран, хотел сменить сервер, отключился и обратно уже не подключился. И теперь вообще никуда нельзя подключиться, ни одна страна.
При этом Windscribe работает, хотя он тоже вроде как был заблокирован ещё с весны.
P.S. Локация: территория т.н. ЛНР.

Уже 70% адресов блокируют.
С учетом серверов онлайн – недоступно 80%, если пул раздачи меньше – процент ещё больше.

РКН в ударе, подобрал все последние изменения у Протона, выгружает сериями.
С мест сообщают о проблемах с множеством других сервисов.

Даты, когда предположительно собиралась информация об адресах

Saturday 09 April 2022
Sunday 29 May 2022
Sunday 03 July 2022
Tuesday 09 August 2022
Monday 22 August 2022
Thursday 15 September 2022
Sunday 16 October 2022
Monday 14 November 2022
Wednesday 30 November 2022
Sunday 08 January 2023
Tuesday 31 January 2023

Это цифровые следы с одного из источников. Не самого информативного для сборщика.
Возможно совпадение и этот источник не связан с блокировками, но очень похоже.

Прошло очередное банное воскресенье. Осталось уже меньше 10% адресов. Сборщику при схеме 50 из 400 и дискретном равномерном распределении понадобилось всего от 8 до 64 неизвестно сколько аккаунтов.

Стратегия сервиса: игра в кошки-мышки (архив)

Proton VPN ломают?

На рутрекере говорят Proton VPN ломают через DPI и весь трафик расшифровывается и слушается. Почитайте, интересно. И даже на андроиде. Что думают уважаемые специалисты? Интересно авторитетное мнение технически грамотных людей на эти заявления.

Пожалуйста, не оставайтесь в стороне, если там пишут какие-то глупости. Ваше мнение важно для простых пользователей, которые зайдут в эту тему.

Не читал, но интересно составить справку по тем пользователям, кто делает такие вбросы. Расшифровка и прослушивание трафика в реальном времени возможна MITM атакой. Симметричный шифр можно смотреть, например, подменяя данные в рукопожатии устаревшего алгоритма DH. Ассиметричный шифр, который используется в OpenVPN (есть конфигурации в платном Proton VPN) можно смотреть если у атакующего есть приватный ключ сервера (и клиента), либо если клиент доверяет каким-либо образом измененному ключу (например, для TLS добавлен корневой сертификат атакующего).
Если вопрос стоит в анонимности, то VPN не решает эту задачу. Для каждой цели есть свой набор инструментов.

Если отключить расширение Обход блокировок рунета то зайти на сайт не получается, браузер пишет:

Не удается открыть эту страницу
Сайт mail.protonmail.com слишком долго отвечал

Вопрос. Какие есть, скажем так легальные, способы пользоваться сайтом без vpn/proxy и т.п. покупок. Может на локалхосте в Windows можно что-нибудь развернуть и обмануть систему.
И какой по вашему способ наиболее просто и прозрачный. Ведь используя сторонний прокси - в данном случае прокси антизапрета - трафик может прослушиваться.

Прокси пока легальны в РФ. Есть бесплатные прокси. По-моему, самый простой способ заходить через tor proxy: https://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion/. Траффик в любом случае может прослушиватся либо вашим провайдером, либо администратором прокси. Но и в этом нет необходимости, т. к. он зашифрованный, а протон выдаст всю вашу переписку по запросу европола.

Не особо знаком с устройством сети tor, там разве владелец выходной ноды не может прослушивать трафик?

Может, так же как и ваш ISP, но если сайт в onion зоне, то соединение e2e зашифровано. Если лезть в обычный интернет через выходные ноды, то ведь большинство сайтов работают через https и MITM атака возможна только имея приватные ключи хостера или удостоверяющих центров. А при пассивном прослушивании будут видны SNI (кроме TLS 1.3) и IP назначения. И как писал ранее, в данном случае стоит опасатся не снифферов, а провайдера почтовых услуг, который выдаст всю переписку по запросу.

здраввствуйте у меня вопрос если сайт не отвечает на пинг и на трасерт это считается блокировкой росскомнадзора

Необязательно, есть много других причин, по которым вы можете не получать ответа. Например, на сервере могут быть отключены ответы на ICMP (пинг)