Помимо предположений есть что-то? Если это выжимка из комментариев, то такое себе утверждение на данный момент. Отвалы на мобильных операторах, например, так что не полностью “интернет”.

И, нет, это не охранительство, но лишь попытка не разгонять панику.

Вот мой конфиг (клиент под iOS), какие опции разнятся с вашим?

client
dev tun
remote example.com 12345 udp

connect-retry-max 3
resolv-retry 5
tls-timeout 10
hand-window 120
replay-window 256 60

nobind
persist-key
persist-tun
explicit-exit-notify
verb 3

cipher AES-256-CBC
auth SHA512

remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
    Signature Algorithm: sha256WithRSAEncryption
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Subject Key Identifier: 
            X509v3 Authority Key Identifier: 
            X509v3 Extended Key Usage: 
                TLS Web Client Authentication
            X509v3 Key Usage: 
                Digital Signature
    Signature Algorithm: sha256WithRSAEncryption
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>


<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-crypt>

Еще раз проверил.
все же блокируется после 7 пингов. утром вроде не было, даже iperf делал, но может я ошибся

лекарство нашел такое : послать 6 или более фейк пакетов (лучше 10 для надежности из-за возможных потерь) с той же связкой ip и портов
в понятиях nfqws это выглядит так : --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-ttl=3

то есть DPI смотрит в пределах 6 первых пакетов по “соединению”, потом отпускает и добавляет в allow list

то же самое можно сделать с помощью nping, если зафиксировать udp source port в клиенте

Увы, на ios это все проблематично

Нашел Packet Generator в AppStore который умеет слать UDP пакеты, отправил несколько - безрезультатно

Важно, чтобы source port совпадал у пингера и клиента. Сначала пингер, затем вскоре клиент (таймаут udp не более неск минут)
Яблочники в их золотой клетке будут страдать первыми.
Опыт Туркменистана показывает, что на яблоке можно использовать openconnect с отключенным udp.
Он примечателен тем, что вся его сессия обернута с самого начала в TLS, и распознать можно или актив пробингом, или фингерпринтом TLS сессии (клиенты используют gnutls). Что пока, скорее всего, не сделано

Возможна ли настройка контейнера Антазапрет для установки на свои ВПС, которая поможет обходить такую блокировку?
Учитывая что публичный Антизапрет у многих работает.

Опыт Туркменистана показывает, что на яблоке можно использовать openconnect с отключенным udp.
Он примечателен тем, что вся его сессия обернута с самого начала в TLS, и распознать можно или актив пробингом

У Openconnect-сервера недавно вышла новая версия 1.2.0 и там теперь есть базовая защита от active probing’а.

А для ios есть openconnect клиент разве?

Для iOS есть оригинальный цисковский AnyConnect-клиент, и он совместим с опенсорсным сервером.

Где-то я тут читал, что кто-то из ОПСОСов не тарифицировал трафик, если абонент сообщал, что это VPN. Похоже, что статистику специально собирали.

Если не ошибаюсь, такая “услуга” с безлимитным впн была у йоты

Могли быть разные ТСПУ (даже если сидели с одной соты).

За несколько часов проверок с разных мест, разницы не было

Еще кстати, на этом же vps/vpn ранее, 5 авг и 26 июл на проводном интернете временно отбрасывались нестандартные порты(кроме 22/80/443), в соседней ветке отписывался подробнее.

Ну что я вам могу сказать, котики. Три дня игр в кошки мышки привели к следующему сетапу - берём у какого-нить российского провайдера самую мелкую VPS’ку, ставим туда любой понравившийся нам протокол. Дальше берём VPS’ку за пределами РФ.

А теперь самое главное - настраиваем между серверами какой-нить не попсовый протокол, благо в открытом доступе их сейчас много больше одного. Ну и дальше всё как по нотам - коннектируемся к эндпоинту в РФ, благо внутри VPN пока не лочат, и по туннелю на свободу с чистой совестью. Пусть и не очень быстро, зато без товарища майора.

Уже несколько дней видно вал жалоб — VPN стали блокировать еще больше и еще лучше, теперь ударили по частным серверам, которые люди поднимают за границей для себя, своих друзей и близких. Блокировка теперь идет «по протоколу» — то есть Роскомнадзор больше не ищет вражеские сервера в интернете, а прямо по характеру подключения понимает, что у вас там внутри нехороший VPN, который надо заблокировать.
В России стали блокировать VPN по протоколам (через DPI). Этот более эффективно, чем блокировка по IP. И тут к слову миллиардер Алишер Усманов хочет с санкций Запада соскочить — а именно он поставлял властям РФ оборудование для DPI-блокировок.

Возможно это был по-прежнему удар по публичным VPN, только более радикальный и эффективный. Ведь количестово пользователей публичных сервисов значительно превышает число владельцев собственных серверов. Количество публичных ВПН наверное измеряется тысячами и появляются все новые. Поэтому выявлять и блокировать каждый непросто, вместо этого эффективнее блокировать сразу протоколы.

Инструкцию - в студию!

Проверяли наличие IKE_AUTH Initiator Request (с полным разбором и проверкой размеров), а блокировали уже после N-следующих датаграмм с любым содержимым. При этом проверяли помимо стандартных портов (которые не меняются через конфиги можно поменять) множество других, но не все.

Похожие проверки, но проверяли еще Message ID. Возможно используют гибрид, разбор после совпадения паттернов.

Tele2 перестал блокировать wireguard

«Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации». Представитель РКН не ответил на повторный вопрос СМИ, связан ли с действиями ведомства сбой на этой неделе в работе в стране VPN-протоколов OpenVPN, IKEv2 и WireGuard.

Теперь проверяют все.

Тупой как пробка. Кто в здравом уме позволяет корпоративным сотрудникам использовать зарубежные серверы, лол.

A post was merged into an existing topic: Периодическая блокировка OpenVPN на части операторов (с 31.05.2023)

Представитель РКН ответил в VK на жалобы пользователей которые пишут опять блокировка VPN началась. Скажите, вы издеваетесь над нами в край или как???
Ответ представитель РКН дал таков:Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации.
Рекомендуем российским предприятиям и организациям ускорить перевод информационных систем, протоколов, обеспечивающих работу их внутренних бизнес процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории нашей страны.
По закону средства обхода блокировок противоправного контента признаются угрозой безопасности граждан. При их использовании сохраняется доступ к запрещённой информации и создаются условия для незаконной деятельности, в том числе связанной с распространением наркотиков, детской порнографии, экстремизма, склонением к суициду.

Иностранные владельцы VPN-сервисов имеют доступ ко всей информации, которую российские пользователи передают при использовании таких сервисов анонимизации для посещения заблокированных в России ресурсов. Добровольно переданные личные данные, финансовая информация и пароли от учетных записей становятся предметом изучения для последующего использования в мошеннических целях, шантажа и других противоправных действий, направленных против самих пользователей или их окружения.
Роскомнадзор ведёт постоянный анализ, обновляя перечень VPN, работающих в России, и ограничивает работу сервисов, нарушающих российское законодательство которые отказываются подключаться к ФГИС и отказываются сотрудничать ограничивать блокировать доступ к запрещенным в России сайтам .

Интересно, слышал ли он про https.

Версия 3. Печальная. Бетатестинг силами интернет ЗК не помогает.

Все настолько грубо и непрофессионально, что работать практически невозможно…

Есть один рабочий способ убрать блокировки – демонтировать ТСПУ систему.

Можно долго пинговать, если выхода нет, блокиратор по таймауту перенесет сессию из watch в pass и отстанет. Это edge case, но могли бы удалять или переносить в block. Впрочем, хорошего выбора в такой архитектуре все равно нет.

Не самое редкое правило, досматривать входящие. WARP блочат для входящих, но там сигнатур больше одного WG.

Такое наблюдается на госграничных блокировщиках, блокируют исходящие (направление зависит от правила) не трогая входящие. На провайдерском такое поведение странно. Но это может быть просто асимметричный линк, хотя воспроизводится стабильно.

Что если масштабные (в отдельных местах) блокировки протоколов это баг в дедупликации адресов из правил. Блокировки изначально были расчитаны на приложения со своими адресами, сигнатурами. Сервис может использовать только часть протоколов для части адресов, но после компиляции правила получается единый блок – для всех адресов сервиса блокируют все его сигнатуры. Другое приложение с “чужими” адресами и новой сигнатурой делает ситуацию интересной. Слабые же просто не вывозят и до бага не доходит.

А никто не пробовал “ронять” ТСПУ? Сколько соединений может быть в watch? Если отправить десяток миллионов UDP пакетов на случайные IP/порты (а в watch оно висит до таймаута или N пакетов), там память не кончится?

Его постоянно “роняют”. Когда говорят “бились-бились подключились” это оно. Там есть ограничения, как в любом DPI, на максимальное число сессий.

А чем 3x-ui + Trojan/(shadowsocks/vmess/vless) не устроило конкретно? Хотелось бы знать т.к. я один из контрибьюторов 3x-ui. Просто зачем делать какие-то танцы с бубном через sshuttle не совсем понимаю.

3x-ui сервер очень прост в установке и настройке. Это удобный web ui для настройки серверной части для разных протоколов. С ним проблем у меня не было.

Проблемы лично у меня начинаются при выборе и настройке клиентов (в частности под macOS).

Мне нужен полноценный туннель. Я рассматривал Wireguard внутри Shadowsocks либо Trojan.

Мне нужно в туннель пустить только этот список публичных ipv4 подсей 1.0.0.0/8, 2.0.0.0/8, 3.0.0.0/8, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/6, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4.

Клиенты под macOS:

V2BOX + Trojan - умеет делать tun, но я не нашел как заставить его не вмешиваться в мой DNS трафик. Я его сам локально маршрутизирую домены на разные nameservers через локальный dnsmasq. Поэтому у меня в системе прописан DNS 127.0.0.1. А V2BOX добавляет свой и ломает мне все. Я не смог в macos это победить и в самом клиенте тоже.

FoXray + Trojan - такие же проблемы, что и с V2BOX. Просто не нашел как заставить не вмешиваться в DNS.

Sign-box + Trojan/Shadowsocks - просто не удалось настроить прокси, чтобы пустить через них Wireguard. Документация скудная, тупо описание директив. Examples не работают. Отладочной информации все эти клиенты толком никакой не дают даже в verbose режимах.

ss-server/ss-tunnel - удалось завести и даже пустить через него WG, но потом перестало работать. Пока разбираюсь.

Cloak - для маскировки трафика под HTTP. Пока разбираюсь. Хочу через него Shadowsocks+Wireguard запустить, но тоже пока без результатов.

UPDATE: короче я верю что все эти прокси протоколы Trojan/(shadowsocks/vmess/vless) классные, но пропихнуть через них обычные нормальные VPN протоколы не очень просто. Вот как раз это и есть настоящие танцы с бубнами.

Попробуйте простой советский DTLS для туннелирования UDP, может быть вам зайдёт: GitHub - SenseUnit/dtlspipe: Generic DTLS wrapper for UDP sessions

Спасибо за dtlspipe! С ним без проблем все завелось. Работает! В итоге я проверил несколько конфигураций и все пока работают.

1. dtlspipe + wireguard
2. cloak + dtlspipe + wireguard
3. cloak + wireguard

понимаю что не мне было адресовано, однако вставлю свои 5 копеек:
Как началась чехарда с протоколами VPN, SS и вариации вцелом функционально решили проблему, однако для моего ОпСоСа(Мотив) каким то особым откровением не стало и ему были побоку любые попытки маскировки, которые предлагали мне протоколы. Чтобы обозначить четче: доступ был, но провайдер четко знал что я использую тот или иной тип контента, и резал скорость. Установка Vless+TLS тоже не решила проблему, однако как только вместо TCP я перешел на http как вид транспортного протокола все ограничения сразу исчезли. В силу того что я знаю все эти штуки скорее по необходимости, чем из интереса каких то конкретных данных предоставить самостоятельно не смогу.

А обычные HTTPS сайты тормозят?

Вцелом, любая попытка соединить мобильный интернет и SS и подобные не самая лучшая из затей, и мной откладывалась до последнего, в силу высоких пингов и невозможностью комфортно пользоваться многими функциями(любая онлайн игра к примеру), а http метод его еще усугубил тем, что интернет стал…так скажем “однозадачным”, т.е. обращаясь к адресу А, я не имею связи с адресом Б. Малейшая попытка допустим попробовать открыть страницу другого сайта полностью глушит меня в дискорде, а попытка открыть несколько страниц разом, превращается в долгую историю на пол минуты.

ответь в лс если пришло сообщение

Скорость может быть низкой при больших лагах и наличии потерь. Особенно если TCP стек на сервере не учитывает эти условия, или протокол сложнее запрос-ответа.

Я тоже думал что проблема где то на серваке, и все ещё так полагаю но слишком уж избирательно у меня лагает и слишком избирательно пропадают пакеты. Я могу смотреть видом на ютубе могу скачать его, но не могу скачать нормально 1фаил с гугл драйва, притом разница в скоростях будет в десятки. Буквально мегабит против 14. Плюсом tcp я тоже пытался не оставлять т.к. тср не даст функционировать дискорду нормально.

Через один туннель?
Протоколы могут быть разные, для видео ютуба и гуглдрайва. UDP туннелируется? Гуглкеш и сервер гуглдрайва могут быть в разных местах, и лаги после сервера добавляться разные.

Если радиотракт в порядке, можно проверить ютуб vs гуглдрайв в периоды сетевой тишины, исключив влияние нагрузки в сетях оператора (следовательно операторские лаги с потерями). Например в 4 утра местного времени должно быть совсем тихо, если у оператора нет мотивирующих ночных тарифов.

31.05 среда
29.06 четверг
21.07 пятница
31.07 понедельник
05.08 суббота
16.08 среда
24.08 четверг
31.08 четверг

Похоже на обратный отсчет. Есть ошибки, но сейчас передают 7.

Быстро откатили, чтобы передать очередное число. Если в районе 06.09 опять будут блокировки, тогда 21.09 всё закончится. Как минимум интернет.

Что значит “передать очередное число”?

Даты начала блокировок используются неизвестными для передачи информации широкому кругу лиц

РКН не взял на себя ответственность за блокировки протоколов, значит это не они. По информации от Эдика известно, что ЦРУ внедрял закладки в ЦПУ, используемые в ТСПУ. В час X связь в РФ превратится в тыкву. Байпасы не спасут.

Идет обратный отсчет. Наблюдаем.

Шапочка заземлена

РКН просто проигнорировали запросы журналистов, по такой логике можно заявить что это точно они, ведь с опровержением РКН не выступили. Вы либо очень хорошего мнения о РКН или очень хотите верить в свою теорию
P.S. А если в назначенный срок не наступит конец интернета, то какие будут выводы?

Для дальнейшего обсуждения шапочек из фольги или другого офтопика создайте новую тему. Ссылку на тему можно сбрость сюда.

Personally, my problems begin when choosing and configuring clients (in particular, under macOS).

I need a full tunnel. I considered Wireguard inside Shadowsocks or Trojan.

OpenVPN

OpenVPN can easily pass through a Shadowsocks tunnel because OpenVPN has an explicit socks-proxy feature.

The above post includes some suggestions users have made for macOS clients.

OpenVPN can easily pass through a V2Ray/Xray tunnel in the same way, using the socks-proxy feature of OpenVPN.

WireGuard

With WireGuard, there is no socks-proxy feature, so you have to define the Shadowsocks or WireGuard client as if they were the WireGuard peer, when in fact SS/WG will forward traffic to the real peer.

WireGuard over V2Ray/Xray is quite straightforward. Tell the WireGuard client that its peer is where the V2Ray/Xray actually is. Forward traffic from there to your server. Also do not route traffic for the server back through the WireGuard client again! It must go direct to the server over your client’s regular default gateway.

There may not be GUI clients for macOS, but as a last resort you can always use the command-line client.

You may be able to pass WireGuard through Shadowsocks with the ss-tunnel and tunnel_address features of Shadowsocks.

Может если он знает тип туннеля и видит содержимое, но такое еще не документировалось. Притом, что FIN сам редкий зверь.

Интересно только зачем , у них же логика не дать туннелю поднятьсся
Лезть в содержимое наверное бестолково?

На каком основании блокировать если у вас, к примеру, GRE трафик РФ-РФ? Но содержимое видно и значит можно искать крамолу. Если бы у них небыло цели проверять внутренний трафик, ТСПУ ставились бы по периметру зоны, а не прямо под носом пользователя.

А есть ли какие-то виртуальные образы тспу?
Какая-либо документация, обкатать дома, изучить поведение.

Навряд ли. Клозэдсорсная херабола.

Общая информация о ТСПУ. По форуму/google еще можно поискать, существовали ли у них образы.

Сообщение о блокировках внутри туннеля. Без подробностей про RST или FIN.

И каким образом они бы обрабатывали на магистралях такой безумно огромный поток трафика? Блокировка “вредного” трафика тем эффективней чем ближе к источнику этого трафика. Плюс историческая причина в виде попыток РКН переложить работу по фильтрации на самих провайдеров

Они досматривают локалки и технологические сети. В чем эффективность?
На магистралях сейчас тоже ставят, нагрузка хорошо распределяется, а мощности масштабируются.

Во времена на которые я делал историческую отсылку в сообщении выше на магистралях не ставили. Плюс сейчас ставят DPI “топорного” типа умеющий только в сигнатурный анализ путем поиска нужной последовательности байт по смещению именно из-за проблемы обработки огромного потока. Тезис про локальные и технологические сети уже интересный если это была именно инициатива РКН

Если блокировать исходящий, можно подстраховаться белым списком адресов назначения. Они есть и работали. Но если блокировать входящий, нужны белые списки источника. Их не появилось.

Судя по точечности происходящего, РКН окончательно уверовал в белые списки техпроцессов. ВУЗы, банки, они все там, но это не точно. Для всех остальных есть анонимный дежурный и блокировки.

Составить белые списки источника не реально. Сейчас подключение к серверу идет с IP1, позже с IP2 и далее с ipN

Подскажите, есть какой-нибудь способ завернуть antizapret с vps сервера через ShadowSocks (ну или что там сейчас не блокируется))?
Рабочие схемы по подобной работе в связке с mikrotik мб?

спасибо за инфу

Как обходить такое на Windows?

Наверное лучше перейти на WG, и обернуть его во что-то, в соседнем топике есть инструкция. Но она для тех, у кого есть свой впн, либо возможность его купить. Ну или использовать другие протоколы, SS (outline), он пока работает

А опенвпн нельзя как-то зашифровать?

Сейчас решил проверить протон впн (тоже с опенвпн), и он внезапно работает. На бесплатном сервере максимальная скорость (100мбит). ого.

Не подскажу насчет бесплатных/коммерчиских. Свой можно

stunnel.

S30908-18410663(1)1080×1681 113 KB

upd: прямой доступ к вэб консоли блокируется. Включил в настройках роутера доступ “Через облако”, только так заработало.

Я такое наблюдал давно на ростелекоме, когда пытался сделать из компа socks прокси, чтобы он принимал входящие (от своих, конечно). Это работало, но недолго, а потом рвалось соединение и больше не устанавливалось (можно было только торрентом пробить порт и тогда снова работало). Видимо использование домашнего компа как сервера не любят провайдеры и считают вредоносной активностью. Ведь может быть порядочный сервер, а может из вас сделали ноду для ddos.

Никто не рассматривал вариант подать в суд на РКН и/или провайдера? У них нет никакого законного обоснования для блокировки VPN, не используемых для доступа к “информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации”.

Желаю удачи человеку, которому захочется это сделать!

Мысль здравая. Только с чем в суд идти, с нашими бедами? Они же должны факт блокировок признать официально, иначе как максимум, свалят все на некие технические проблемы.

Судилище оставит следы, в этом есть плюс. Тысячелетние рейхи однажды заканчиваются, причем внезапно. Но надо быть готовыми к репрессиям здесь и сейчас. Бороться, пусть и юридически, лучше коллективно.

Бороться лучше, чем не бороться (с) ну почти

Какие репрессии, нет их.
Есть мы, граждане, у нас есть государство и есть действующее в нем законодательство, защищающее наши права.
Еще есть хомячки, которые решили, что могут втихую творить, что хотят (раз граждане ведь молчат - значит, согласны).

Хомячки это вы! РКН стоит на страже несокрушимого союза партии, правительства, народонаселения и лидера от тлетворного влияния вас хомячков, защищая моральные скрепы от впн-протоколов. Если сложить случайные байты из трафика хомячка можно получить свастику, а гитлера они сами собирают. ДОКОЛЕ!?

оффтоп: напомню, что в рф тоталитаризм и военная диктатура. Исходя из этого закон, как институт присущий только демократии, в рф отсутствует от слова СОВСЕМ. А все кто подают в суды, собирают бумажки с подписями в генпрокуратуру и т.д., которые только под ножку стола подложить, своими действия легитимизируют режим захвативший власть в стране. Этого всего делать ни в коем случае нельзя.

ахах, прикольно. как лайк тут поставить?

От того что ты не будешь сопротивляться режим только выиграет. Если тебя закроют за лайк или пост, ты не будешь защищаться в суде?
Бред полный несешь! Сопротивлятся нужно всегда и везде.

оффтоп. Какая защита в суде? Нет судов в рф. “судьи” по приказу делают всё что угодно. Не надо заниматься имитацией протеста/сопротивления. Понятно что является РЕАЛЬНЫМ протестом/сопротивлением? Тут наверное бан дадут за разжёвывание данной темы. Если не готов заниматься РЕАЛЬНЫМ протестом/сопротивлением, то советую всем сидеть на ж*пе ровно и не дёргаться.

Я перенёс обсуждения про суды в топик для обсуждения – пишите туда (сюда).

Там нет майоров. У них был цельный генерал и пиджаки в звании лейтенанта.

Что хотят то и творят. Что вы им сделаете?

Сейчас пойдет непрерывная череда сообщений. Финишная. Прямая.

Имеется сильное подозрение, что черти читают рутрекер. Имейте в виду. Похоже выслуживаются.
Не только читают, но и оффтопят там и не только там.
Выборы прошли, а впны блочат всё жестче… Говорят, через три дня примут закон о впн и куча сайтов ляжет.

То был детский утренник, а не выборы. Все ради этого:

“VIII выборы Президента Российской Федерации, согласно действующему избирательному законодательству России, должны будут пройти 17 марта 2024 года” Президентские выборы в России (2024) — Википедия

A post was merged into an existing topic: РКН может начнать с 1.03.2024 ограничить доступ к информации об обходе блокировок

Всем доброго времени суток!Не уверен,что пишу в нужный топик, если что прошу подсказать куда можно было бы перенести.
Вопрос в том,что не получается поднять WG+Shadowsock,если кто может окинуть взглядом и понять что не так,прошу подсказать,и так:

1.WG поднят на сервере:

Слушается 0.0.0.0:53662

2.Поднял сервер SS на сервере:
config.json:

{
“server”:[“0.0.0.0”],
“mode”:“tcp_and_udp”,
“server_port”:42522,
“password”:“XXXXX”,
“timeout”:300,
“method”:"chacha20-ietf-poly1305
}

Далее клиент SS на Windows,использую:
SS-Client
IP-адрес: Внешний сервера
Порт:42522
Пароль:Тот же
Таймаут:20 секунд
Порт прокси:1080

WG-Client:
Поменял только сервер на 127.0.0.1:1080

Проблема:
1.Не проходит первый handshake от клиента до сервера
2.На роутере не вижу в дампе чтобы от компа шли пакеты на 42522(порт SS сервера)
3.Думаю проблема где-то локальная на компе,но уже не знаю куда копать
4.В логах SS клиента только такое:
2023-09-08 12:09:55.8314|DEBUG|Shadowsocks.Controller.UDPRelay+UDPHandler|UDP Relay: 127.0.0.1:61095 => X.X.X.X:42522 (size=193)
5. На сервере,tcpdump не видит приходящих пакетов на 42522.

Заранее спасибо за предоставленную помощь!

https://ntc.party/t/wireguard-over-shadowsocks/

Спасибо!

Какую цель вы преследуете? Чем просто сс не устраивает?

Хм,когда только начинал настраивать,читал про SS и узнал,что он не шифрует трафик,поэтому идет в связке с Wireguard,он просто нужен для обфускации.Сейчас же почитав еще раз, понял что ошибся,и его можно использовать без связки с Wireguard.
Цель-не более чем доступ к заблокированным ресурсам.

del

У сообщения есть кнопка пожаловаться. Жмите чаще, модераторы и админы что-то могли проглядеть.

Короче говоря, для моб. устройств самый быстрый и лайтовый способ - поставить Outline на VPS, и подключать сначала его, затем WG, и после уже отключать outline, я так понял?
Мне вот, разобраться с ручной настройкой SS и кучей плагинов типа v2ray, vless и прочие, оч трудно, особенно, если возникнут трудности подружить это все с WG.

На андроид/ios нельзя одновременно два VPN подключения установить. Типа один через другой. Android просто сначала отключит одно, затем подключит второе. По итогу WG не заработает все равно.

Для моб устройств самое простое в установке на свою VPS - https://github.com/MHSanaei/3x-ui. Протокол Trojan например использовать.

Клиент под Android - v2rayNG.

Для посещения сайтов будет достаточно, если не требуется, что-то отличное от HTTP.

А под IOS какие варианты? Только shadowsocks?

На iOS есть клиенты для использования Shadowsocks, VLESS, VMess, Shadowsocks + Cloak, V2Ray и многого другого.

Если использовать SS в монорежиме, то по сравнению с WG скорость будет резаться, условно в 50%, а если WG заворачивать в SS, то там до всех 70%? (Видел статью на хабре, что чел завернул)

Что значит монорежим? Multiplex? Насколько оно будет резаться - покажет только практика. Если сервер расположен далеко от вас - естественно скорости будут ниже, особенно в однопотоке. А вы уверены, что вам необходимо заворачивать WG в SS? Если задача обойти цензуру - SS без мультиплекса будет достаточно. https://xyproblem.info/ (?)

Foxray и Shadowrocket - они поддерживают почти всё из серии v2ray.

Вам чуть выше 3X-UI советовали. Там можно и SS-2022 настроить, и VLESS-XTLS-Reality, который пролезет через любой фаервол. Аутлайн-сервер имеет не самую приятную особенность - жор батареи с любого клиента, он не даст заснуть вашему смарту.

Перед его установкой надо сперва удалить Outline с сервера?

Под монорежим имел ввиду чисто SS использование. Мне это важно, тк сижу через мобильный интернет постоянно, тк живу в доме, и рано или поздно раздачу начнут блочить, и тут без простого шифрования трафика не обойтись, выручает модуль WG в кинетеке. А SS по умолчанию отсутствует, и требует установки через костыли.

Скорее да, чем нет. Зачем вам тогда Outline, если будет панелька 3X-UI, где в т.ч. можно настроить Shadowsocks как в аутлайне?

Если у VPS местоположение близкое к вам и нет узких мест вроде проца - скорость должна быть нормальная. И в конце концов SS - это прокси, где можно настроить выборочный роутинг, а WG - полноценный VPN.

Блочить раздачу чего? Не понял.

Цензоры делают всё для того, чтобы человек смирился и не смог обойти цензуру. Эпоха удобных и простых VPN в виде WG и OpenVPN, которые поддерживает почти каждый калькулятор, уходит.

UPD. На кинетики кстати с недавних пор есть вот такое - Xray на Keenetic / Xkeen / Хабр

А как его удалить, не подскажите? А то инструкции по установке есть, а по удалению нет) в

Интернета. У меня не проводной провайдер, а мобильный (МТС), где трафик без офиц. услуги раздачи блочится (при попытке ее скрыть) на основе DPI.

Пока что сделал так в X3-UI:

1. Конфиг для моб. ус-в. VLESS + Reality - тупит открытие сайтов, скорость speedtest не режет.
2. Конфиг для моб ус-в ShadowSocks + среднее шифрование - пободрее открывает, скорость не режет
3. Конфиг для Keenetic - Socks 5 - и в вебморде роутера просто поставил как proxy сервер.

Удалите докер-контейнеры и этого по идее должно хватить

Доброго дня.

А что из VPN/туннелей, поддерживаемых Mikrotik RouterOS 7, сейчас точно (пока) не блокируется? Есть пара мест, где сейчас настроен на микротиках Wireguard. Строго внутри России, пока работает, но новости не радуют и надо подготовиться. Никаких серверов там нет физически, только микротики, а переносить задачу установления VPN-соединения с роутера на конечные устройства тоже не вариант - на условный принтер я ничего поставить не смогу, а удалённый доступ к нему тоже нужен.

SSTP и Zerotier вроде пока что живут.

По SSTP в соседней теме есть упоминания о блокировках.
ZeroTier - интересная идея, удобная штука и достаточно экзотическая, чтобы не попасть под раздачу просто по приниципу “руки не дошли”. Гляну, спасибо.

Ещё интересовали такие штуки как IPSec + IPIP, IPsec + GRE, VPLS. Отчёты о блокировках видел только о IPSec + L2TP и IPSec в туннельном режиме. Понятно, что всё это распознаётся на раз-два, но, опять же, возможно, т.к. для обхода блокировок такие протоколы используются примерно никогда, то их и не замечают…

Прошёлся поиском и нашёл только упоминания о том, что SSTP пока ещё держится.

И правда, спасибо. В других местах, где читал подобные обсуждения, тоже про SSTP тишина. Только упоминания, что детектируется он совсем до смешного просто, но никаких отчётов о том, что это реально делали. Видимо, невнимательно читал. Буду иметь в виду и его.

Хотя пока ZeroTier выглядит предпочтительнее для связи между роутерами и серверами, ибо mesh-сеть построить так же просто и удобно, как в WG, да и падение скорости должно быть поменьше. А вот SSTP можно попробовать рассмотреть как простую замену OpenVPN для пользовательских устройств, - ибо научить моих сугубо гуманитарных и при этом удалённых сотрудников устанавливать и настраивать клиенты под Cloack/XRay/SS etc. - та ещё задачка

OpenVPN over Cloak - AmneziaVPN. Для SS/VLESS и прочего есть GitHub - InvisibleManVPN/InvisibleMan-XRayClient: A client for xray core которому можно подсовывать полный конфиг json включая роутинг и DNS. Если только SS - есть Outline.

Я знаю про то, что есть, у юзера MiraclePtr на Хабре были монументальные обзоры, читал

Но, во-первых, оно всё заточено именно на обход блокировок. А мне в первую очередь нужен доступ к корпоративным ресурсам, с авторизацией в LDAP, 2FA, маршрутизацией своей и пр… Обход блокировок пользователям тоже достаётся в комплекте, но это дополнительный бонус, а не основная цель.

Во-вторых, у пользователей полный зоопарк (Win, Mac, Android, iOS), и вот найти под какой-то из новомодных протоколов полный набор бесплатных (карточек платить в Play/App Store у них тоже нет) и юзер-френдли программ, - уже задачка посложнее.

Тогда - да, вариантов вообще почти нет. Можно поднять сервер Cloak в РФ и пускать туда тот же OpenVPN. То есть на устройствах клиентов будет простой OpenVPN, а сервер Cloak будет выступать в роли прокси.

Так сейчас простой OpenVPN до российского сервера и работает, тьфу-тьфу-тьфу, именно так уже давно настроено. Но пытаюсь подготовиться к ситуации, если соединения внутри РФ тоже массово (а не в единичных случаях, как сейчас) будут блокировать и пользователи со своим простым OpenVPN до моего российского же сервера не смогут достучаться. Но это уже другой вопрос, на самом деле… сначала с серверами/роутерами разберусь, чтобы не было сюрпризов, а потом до пользовательского VPN руки дойдут.

Главным оружием РКН по прежнему будут сканеры, DPI отсеивает массы обычного трафика и детектируемого, но остаются значимые группы пользователей запрещенных инструкций для ЭВМ. Вот их и будут отсекать, для отчетности или медийных заявлений если потребуется при аппаратном усилении/удержании. При этом в отличии от времен тг есть обширная сеть сенсоров которая посчитает точное число пользователей и объемы трафика на конкретный адрес и выдаст предположительно используемые протоколы. Например, при наличии большого объем TLS трафика, сканер, сверившись с реестром разрешенных технологических процессов, выяснит, а точно ли там есть заявленный сайт, проверит известные SSL-VPN протоколы, выдаст вердикт.

SSTP можно определить по реализации, статистически, но в общем случае это TLS трафик.

Вообще мне хотелось бы узнать, как РКН (или кто для него формирует ТЗ) в их прекрасном будущем, когда они всё-всё реализуют, просканируют и поймают, - представляет себе судьбу десятков, если не сотен тысяч корпоративных серверов, к которым удалённые (и не только, многие давно отказались от серверов в офисах в пользу аренды VPS/dedicated/colocation) пользователи подключаются через тот или иной VPN для работы. Помнится, в начале всего этого цирка пробегали слухи о регистрации корпоративных VPN для попадания в белый список, но так и сошли на нет…

P.S. ZeroTier в Микротиках, увы, для избежания блокировки совершенно бесполезен, т.к. в него не завезли присутствующую в полноценных клиентах ZT опцию указать собственные root-сервера (moon). Т.е. он всегда стучится к root-серверам ZeroTier, Inc., и не работает, если не может до них достучаться. Ну а те блочатся тупо по IP без всякого изучения протокола, что весьма вероятно и произойдёт в ближайшее время, если ещё не.
Так что попробую SSTP.

SSTP кстати иранцы используют. Что, опять же не показатель в наших реалиях. Скажут - сделают.

Мне вот интересно, кто эти люди, и как им живется, которые этими блокировками занимаются. Они же сами себя ограничивают в использовании интернета.
Неужели у нас опередят Китай в блокировке SS?

Нет, но можно их догнать. Только не факт, что все ТСПУ потянут статистический анализ, практика показывает обратное. С другой стороны блокировка адреса Outline сервера создаст тот же эффект, что и блокировка протокола. Можно блокировать после нескольких tcp сегментов, так уже блокируют некоторые впн сервисы, иногда число пакетов/сегментов рандомное. Можно запутать даже бывалых, если при этом разрешить трафик для службы управления. Вопрос только в вычислении адреса. Применят гибрид?

На вдсине-рф с ходу нашлось около 200 инсталяций похожих на аутлайн (например: 88.218.62.198:11538, 195.2.78.70:46030). У РКН совсем не будет проблем, ведь она наблюдает за всем трафиком, могут поднять все обращения к адресу и узнать порты. И тесты для сканера довольно простые, кроме того все сомнения трактуются в пользу блокировок. Допустим есть инсталляции с похожими характеристиками, но не аутлайн, тем хуже для них (см. кейс WebRTC на pion). Сразу возник совет от неофита – ограничить доступ для API порта аутлайна, конфигурировать через ssh туннель. Но надо перепроверять.

Где-то тут на форуме писали, что обычный shadowsocks уже не работает в Китае, в отличии от 2022 версии.
Чтобы заблокировать shadowsocks протокол надо сравнивать количество нулей и единиц нейросетью, а их почти одинаковое количество.
Может быть под блокировкой ss в РФ действительно имеются в виду какие-то домены Outline проги или по IP.

С марта 2024 года РКН сможет блокировать (РКН сможет блокировать все VPN-сервисы с марта 2024 года, заявили в Совфеде - РИА Новости, 03.10.2023) все VPN-сервисы

С 1 марта вступит в силу приказ о блокировке Роскомнадзором в магазинах приложений VPN-сервисов, которые дают доступ на запрещенные в России сайты. Об этом сообщил сенатор Артём Шейкин.

Интересно как РКН будет блокировать VPN-приложения в AppStore и Google Play? Сайты сервисов наверно будет блочить.

Страницы play.google.com блокируется как пару лет)

Опубликуйте

Ну чац… Может есчо входящий номер письма опубликовать ))
Там ничего особенного список на две страницы разных ВПН и та инфа что выше писал. Из неприятного планет ВПН тоже типа прибьют.
Адгуард заработал после обновления ))

Можете номер не публиковать.

В таких письмах обычно список конкретных сервисов(чьи входные ноды можно собрать реверсом приложений было бы желание) или там была речь именно о протоколах?

про ss о протоколах
про v2 ray было в общем списке
копипастить не могу, ознакомился под роспись и усё

Один знакомый мент тоже говорит ходят подобные слухи и телегу заодно. Ну, посмотрим.

А кто-нибудь пытается судиться? Я не вижу в текущей версии закона, чтобы можно было личный VPN сервер блокировать. Оператор на претензию ответил, что ничего он не блокирует. Поэтому ищу юристов, экспертов, как это доказать то? Может коллективный иск замутим, есть желающие? (просто для истории, понятно, что все тлен)

Закона такого конечно, нет. Как и права блокировать трафик по видам протоколов (доказать же невозможно, что в нем присутствует информация с запрещенных ресурсов, или что это не трафик компаний, ушедших из России, вроде ti.com).
Как показывает ситуация последних лет, беззаконие и творится именно потому, что народ молчит - всех все как бы устраивает.
Если судиться - не все судьи подставляться с явно незаконными решениями будут. Именно поэтому усилия - точно не тлен (окажет как минимум, сдерживающий эффект).
Кроме того, возможны и персональные разрешающие решения, поэтому не с коллективным иском нужно обращаться, а каждому в отдельности со своим кейсом (хорошо если юристы подготовят образец иска).

Я для мобильных установил у себя на домашнем компе в вируталке ubuntu. Поставил скриптом 3x-ui и создал через web интерфейс подключение по протоколу vless. Виртуалка с одним сетевым интерфейсом и подключена к роутеру, на который шарится vpn соединение запущенное на хост машине. У хост машины 2 сетевых интерфейса: Ethernet1 и Ethernet2. Ethernet1 от роутера с белым ip. На Ethernet2 шарится vpn подключение (виртуальный сетевой интерфейс). На первом роутере включил переадресацию по рандомному порту на Ethernet1. На хост машине переадресацию на Ethernet2 делаю програмкой 3proxy, потому что она может и tcp и udp перенаправлять. Для каждого порта копирую в отдельную папку, редактирую конфиг, запускаю exe.

А на хост машине сначала запускаю бесплатный outline, потом wireguard платный, потом отключаю outline.

Пока не блочат ВЕСЬ vpn трафик, а только момент подключения, то такой вариант буду использовать, чтобы ещё и за зарубежный VPS не платить.

вся эта жесть с виртуалкой для того чтобы на моб устройствах подключать wg? я просто почти ничего не понял…

Чтобы на мобильных был инет. На мобильном же сеть падает иногда. Я же не буду каждый раз с мобильным домой бегать, чтобы снова к WG подключиться.

стало еще непонятнее что вы делаете и для чего

Блокируется момент подключения OpenVPN или WG. Чтобы на телефоне подключиться по WG я сначала должен предварительно подключиться к Wi-Fi, на котором уже есть доступ к VPN, иначе подключение не установится. Следовательно, когда на телефоне падает МОБИЛЬНАЯ сеть, то я повторно не смогу уже подключиться по WG, т.к. блокируется момент подключения. Верно же?

Для этого я и сделал виртуалку со всем этим.

На телефоне я подключаюсь уже не по WG, а через приложение V2rayNG.

Российский “суд” даже действующие законы может трактовать как ему угодно. В стиле, “у зарубежного провайдера нет ТСПУ, значит он раздает интернет без фильтрации, тем самым нарушает закон о суверенном интернете 2019г, значит нужно запретить его целиком”.
Т.е. добиться отмены блокировки правовым путем не получится (они всегда могут ввести новые поправки, переписать конституцию и т.д.).
Это скорей для фиксации на бумаге “да, мы уху ели, а вы рабы”.
Но для начала хотелось бы понять как можно доказать сам факт блокировки.
А то оператор говорит, что ничего он не блокирует (кстати, иногда действительно пакеты проходят, возможно, после длительного неиспользования, либо какой-то рандомный фактор).
Вот и как это в суде доказать? Нужна какая-то экспертная организация.

@Vladislav_Z занимался этим еще года 2 назад, но и не помню, чтобы дело у него дошло до суда. Возможно, он вам чем-то поможет

Иск состряпать не проблема. Сложность доказательства собрать, нужно какое-то заключение эксперта, а не просто сниффинг трафика. Пока подожду еще позицию РКН, может они признаются, что блочат.

Так оператор, скорее всего, действительно ничего не блокирует, это другие ребята делают и на другом уровне. Физически это вполне может происходить на сетях оператора или на пиринге, но сама компания этого не контролирует же. Оператор в суд принесет какие-нибудь внутренние доки, регламенты, может даже логи с какой-нибудь автоматизрованной системы биллинга и письмо от старшего сисадмина, по заключению которых на самом деле окажется что они не при чем.
Линия с экспертизой тоже туманна, как мне кажется. У вас в договре с провайдером не определены никакие параметры качества услуг связи (например, количество потерь или время задержки, как это бывает у юрлиц внутри датацентра или на линках между ними), никаких соглашений о том, что провайдер вам гарантирует доступность узла Y да и еще по каким-то конкретным протоколам. Сама суть интернета такова, что каждый провайдер отвечает только за свою Автономную Систему и не может гарантировать что у соседей все ОК.
Тут как бы часть стратегии всей это инфо-сво в том, что они ломают что-то и говорят - “ээээ… не, это не мы, это они сами, террористы, а мы не знаем почему, сочувствуем вам, держитесь там”… и все в таком духе; они города бомбят с такими же бессовестными рожами, что это не они делают, а вы им про впн какой-то будете доказывать.

Наблюдал несколько ТСПУ одного провайдера. На одном VPN трафик для РФ режет, на другом нет. На обоих режет международный. При этом оператор подключает к точке с блокировкой РФ реже, возможно там больше клиентов.

имейте ввиду что на pq.hosting сеть может падать каждые 10 секунд

Все VPN-сервисы в России могут заблокировать в 2024 году.

вы уверены что проблема не в хостинге? запустите спидтест, трассировку до 8.8.8.8 и т.д. на своем сервере, на многих мало известных хостингах большие проблемы с сетью (потери пакетов, плохой uptime…)

от публичных впн не ждите ничего, они могут сами по себе не работать

Они же все разные, а psiphon еще и набор транспортов (SSH, OSSH, HTTPS, QUIC). C dumbproxy, например, будут видны паттерны HTTP или TLS трафика. Могли, конечно, деградировать всё (кроме белого списка протоколов, SNI) по хитрой схеме – дропать пакеты с расчетной вероятностью и схемой. Но для начала исключите сетевые проблемы, и сбои самой vds, как уже советовали (спидтест, трассировку до 8.8.8.8, ping, mtr снаружи и изнутри). В тестах на деградацию используйте что-то одно за раз, работающее через tcp, включайте Wireshark и медитируйте. Можете поделиться дампом.

Мне кажется неважно где ASN зарегена, важно где физически хостинг располагается и какими маршрутами ходит к вашим узлам. Если на пирингах, куда подключен хостинг есть ТСПУ, то теоретически, могут начать блочить в любое время, это лишь вопрос их тактики и наверное времени.

По сабжу: Можно так сделать так как вы предлагаете (я так делаю), но это скорее для удобства администрирования. Такая схема ни от чего не защищает, а добавляет вам канал возможностей, в случае возникновения проблем с прямым соединением. Можно завернуть все РФ бранчи на этот хост (я бы только не использовал WG для этого) а хост соединить с Голландией. Думаю, со временем с такой схемой будут тоже бороться. Плюс иногда бывает полезно, если реально у кого-то из магистралов что-то ломается и ты можешь использовать другой маршрут. На деле же, что там росменты выкатят завтра мы можем только предполагать (и ошибаться в этих предположениях).

спасибо за информацию! в следущую волну попробую ети методы

спасибо! а вообще решил тут ради прикола запустить goodbuyDPI и удивился что с опцией -6 вместо -5 реально работает, я думал ето всё 2017 год уже не канает (хотя в те времена было достаточно одного правила в iptables с опеннета), а оказывается нет всё ещё работает, валдикас i salute u

13 posts were merged into an existing topic: Обсуждение: Блокировка Jabber/XMPP в России

ответ rkn - Google Docs

2 posts were merged into an existing topic: Обсуждение: Блокировка Jabber/XMPP в России

Не работает openvpn udp, нестандартный порт. Подключается, трафик не ходит. Мобильный билайн. Владивосток.
Работает openvpn tcp, нестандартный порт. Проводной Подряд. Владивосток.
Так же заметил не открывается сайт https://play.google.com, проводной ростелеком, мобильные билайн, мтс, теле2. Через vpn открывается. Но приложение Play Store работает.

По openvpn ложная тревога. Это мой телефон начал днс трафик через DoT гнать вместо туннельного днс.

Подскажите пожалуйста, куда копать? Имеется Pritunl клиент с рабочим впном (OpenVPN) где-то с месяц назад перестал подключаться: с верным otp - 60 секунд и Inactivity timeout (--ping-exit), exiting. Если раздавать интернет с телефона (там теле2), то впн подключался и работал. При этом можно было отключить телефон и весь день спокойно сидеть с подключенным впном т.е. затык был ток в логине. Сначала подумал, что дело в оборудовании и начитавшись отзывов об Intel I-225V сменил его на обычный PCI-E адаптер. ВПН заработал но снова, но сейчас всё тоже самое и к моей печали и с телефона теперь редко когда получается подключится. Думал, что настройки впн-сервера некорректны, но я единственный из коллег с этой проблемой. Подскажите, пожалуйста, в какую сторону вообще двигаться? Это провайдер так неумело блокирует или это какая-то моя проблема?

Чтобы сказать что-то наверняка, нужно записать и проанализировать трафик. Сделать это можно wireshark’ом или tcpdump’ом.

Сталкивался ли кто с такой проблемой на провайдере Ростелеком (МСК):
На VPS поднят Wireguard, порт дефолтный (мб имеет значение)

Клиентом выступает роутер/смартфон/планшет и тд, не особо важно.

При запуске speedtest в утреннее и позднее вечернее-ночное время, скорость загрузки/выгрузки одинаковая.
А днем и вечером скорость загрузки нормальная, а выгрузки очень сильно проседает.
Пробовал играться с MTU - разницы нет никакой.

Здравствуйте, подскажите, на локальной машине стоит fedora с установленным прокси клиентом nekoray и настроеном 3x-ui на vps по протоколу vless xtls, в виртуалбоксе установлен whonix-gw и ws, так вот суть вопроса в том, что gw не пускает трафик через запущенный на машине прокси, а пытается соединится на прямую, что без мостов не получается тк тор заблочен, кто нибудь знает как пустить трафик через прокси на локале, возможно ли это и если да, то как? Заранее спасибо.

iperf3 тестите а не спидтестом, vps от кого? выгрузка = скачивание?

Тестовый скрипт для проверки адреса на наличие Outline сервера бумаги vpn по списку.

pip install pyargon2
python check_paper.py <ip_addr>

Тестовый вектор: 8.8.8.8

python check_paper.py 8.8.8.8
Test vector detected!
YES!

"Полной блокировки VPN в России не планируется, заявил Хинштейн

МОСКВА, 6 дек – РИА Новости. О полном запрете VPN в России речи нет, при этом запрещенная информация активно выявляется и блокируется регулятором, сообщил глава думского комитета по информполитике Александр Хинштейн в своем Telegram-канале.

“Пользоваться этой технологией или нет - личное дело каждого, как и ответственность за последствия, о полном запрете VPN в России речи нет. А вот запрещенная информация, активно выявляется и блокируется регулятором”, - написал он."

Как всё интересно…

Значит точно будут ПОЛНОСТЬЮ блокировать и криминализировать.

к 8 утра перестал работать ovpn и wg, с goodbyedpi работает ovpn

что такое “антизапретовский протокол”?

del

Банально заходил на speedtest.net и тестировал до разных серверов.
С OpenVPN + SS сайт speedtest.net полностью не может прогрузиться.

А где рабочие сервера Outline взять? Из телеграмма ни один не работает

del

Провел диванный эксперимент у Мoбильногo Рocтeлекoмa:

1. Установил соединение OpenVPN + SS, скорость передачи данных всё на том же speedtest.net - before.png - Бесплатный хостинг для фото и изображений. Ограничений по скорости нет, в том числе для MTProxy (с параметром dd).
2. Отключил OpenVPN + SS.
3. Запустил torrent клиент. При определении протокола BitTorrent срабатывает правило по ограничению скорости. Выгрузил torrent клиент.
4. Установил соединение OpenVPN + SS. Проверил скорость передачи данных - after.png - Бесплатный хостинг для фото и изображений. Ограничение скорости сохраняется, в том числе для MTProxy (с параметром dd).

В итоге, как понял, DPI после обнаружения использования BitTorrent протокола ограничивает скорость на любые не известные для него протоколы в текущей установленной пользовательской сессии. Отключение/включение передачи данных в телефоне сбрасывает наложенные ранее ограничения, до очередного использования протокола BitTorrent.

BT с шифрованием как я понимаю можно отличить только статистически. Сигнатурно не детектится.
Статистика сложнее и тяжелее для DPI, не все умеют

В torrent-клиенте установлено “Требовать шифрование”, порт по умолчанию изменен.

Шифрование идет между клиентами, но все остальное типа DHT и анонсеров не шифруется
Этого достаточно , чтобы зачислить в торренщики

del

Меня гложет вопрос, почему на чистый SS ограничения по скорости передачи/отправке не накладываются, а на OpenVPN + SS срабатывает фильтр. Как они определяют различия.

Свердловская обл.

Мобильный Теле2 и мобильный Билайн режут до местных серверов (у местного ЕКБ хостера):
OpenVPN
PPTP
Wireguard

Использовались тоннели для корпоративной сети.

С проводных (в т.ч Билайн) всё ок

Новосибирский мегафон почти весь день булькал openvpn до сервера в Транстелекоме. С нескольких проводных ipsec/openvpn по всей России проблем не было.
proval

Del

Как минимум одно различие в том, что чистый SS на каждое проксируемое TCP-соединение создаёт новое подключение к прокси (то есть они живут довольно короткое время, и объемы информации через каждое подключение не такие уж большие), а в случае с OpenVPN у вас будет одно-единственное долгоживущее соединение, через которое ходит весь трафик. Я бы в эту сторону копал.

8 posts were merged into an existing topic: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

вы уверены что не ваш vps сдох? про outline слабо верится

А SSTP протокол сейчас блочат, или он ещё работает?

у меня на нём работают микротики там где openvpn резали

раньше работал. Теперь нет.

Блокируют через сотовую сеть или и с проводного интернет?
Что сейчас осталось из того, к чему можно с телефона подключиться?

del

С 1 марта вводится норма, которая запрещает именно популяризацию VPN-сервисов. То есть, например, сайты, на которых есть информация о том, как обходить блокировки, могут быть заблокированы.

Использование же самих VPN-сервисов пока не запрещается.

Пресс-секретарь Кремля Дмитрий Песков заявил, что сейчас полностью запрещать VPN-сервисы не собираются.

Мобильный Билайн Краснодар – то же самое до московского сервера.

Если подключение по блокируемым протоколам идет в обратном направлении (извне в РФ), то это не решает вопрос?

Я так понимаю ntc.party будет заблокирован 1 марта?

очень надеюсь, что НЕТ! Сайт вроде для энтузиастов и не супер популярный, что бы его сразу прикрыли, а там хз конечно что и как будет

Добрый день коллеги.

Имею softether сервер в Нидерландах. Пока обычного openvpn хватало
Сейчас же мобильные операторы рвут соединение каждые 15 сек если UDP и моментально вылетает в transport error network_recv_error если TCP. Номер порта роли не играет уже, хотя для теле 2 сперва помогло, видимо 1199 не нравился. Теле2, Тинькофф, МТС. На домашнем Ростелекоме - работает, пока.

Судя по сообщениям я так понимаю это массово и везде. Обходить только инкапсуляцией трафика? Или wireguard ещё живёт? L2TP и IKEv2 полагаю уже не варианты

SoftEther же умеет SSTP и свой протокол, которые к блокировкам, по крайней мере на текущем этапе, стойкие. Всё остальное из перечисленного Вами - лотерея, где-то работает, где-то нет, но прецеденты блокировки уже были.

Мск, домашний РТК и мобильный теле2.
По состоянию на сейчас домашний интернет отвалился, при этом хорошо работают некоторые российские сайты (вк, яндекс, дзен, сбербанк без https, другие не проверялись). Прокси все не работают (в т.ч. xtls-reality), из проверявшихся заграничных сайтов не работали гугл, ютуб, microsoft, discord, github.
На мобильном интернете на этом же месте было то же самое, но включилось позже, и отключилось раньше, похоже - как раз с мобильного пишу сейчас. С другого конца города также сообщали об отвале мобильного интернета.
Похоже на шатдаун с отсечением всего заграничного траффика.
Не знаю, подходящий ли топик. Задача - рассказать о проблеме как можно быстрее, до потенциального следующего отвала.
Извините за небольшой оффтоп.

upd: Вижу, в различных медиа появляются сообщения о сбоях telegram и youtube. Наверное, имеет смысл, что жалуются прежде всего на их неработоспособнось. Хотя также вижу и сообщения о том, что “впн помогает” - в моем случае это было совсем не так, имею кучу разных проксей, и не удалось подключиться ни к одной.
Видимо, “строгость” блокировок разнилась.

Ростелеком (СЗФО), udp2raw поверх wireguard работает как и прежде, как и shadowsocks со старым v2ray плагином.

Ладно, тема закрыта, i guess

Тула, Домру + Билайн, прокси на xray работали исправно. Без них не работало ничего

Аналогичная ситуация, использую outline + Dns over TLS STUBBY, внутри openvpn tcp. Две точки в разных частях города, одна на мобильном мегафоне, вторая на проводном ростелекоме, сервера Outline разные. Сначала на мегафоне переодически vpn отваливался с декабря по январь. Потом сатало на проводном интернете тормозить все, скорость падала до черепашьей. Думал сервера outline заблочили. Но в итоге выяснил, что блокировке подвергается DOT ДНС от Cloudflare, полностью перестал подключаться к их серверам, после замены на менее известного провайдера днс, все заработало. Точно блокируют шифрованный DNS over TLS от cloudflare, DOH и DNS crypt не тестировал.

Даже когда OpenVPN UDP?

А если у вас OpenVPN через UDP, то зависит от того, включен ли в SS режим UoT или нет. Если включен, то все так же будет одно TCP-соединение (потому что UoT это UDP over TCP), а если не включен, то SS будет слать OpenVPN UDP как UDP, и в итоге со стороны это будет ну оооочень сильно отличаться от обычного SS.

В конфиге не прописан был данный параметр, по умолчанию не нашел вкл/выкл UoT.
Теперь принудительно прописал "uot": false

После 29.02, когда произошёл “глобальный” сбой в работе ТСПУ у моего мобильного провайдера ещё буквально несколько дней подряд (с 1 по 4 марта) были моменты, когда тспу полностью отключали и работали все впн-сервисы.
Сейчас же на момент 12 марта с 12:00 по московскому времени подобное повторяется - тспу в режиме bypass, работают многие впн сервисы с wireguard и openvpn протоколами.
Так что это не “временная халява”, а внедряют новые блокировки и не возникло проблем в работе мобильного интернета. Если потребуется, то AS и город скину команде данного форума.

Хм, а кто-нибудь знает, в чем глубокий смысл блокировки туннелей внутри РФ?
Последние несколько недель имею проблему с подключеним к openvpn серверу на своем VPS (в MSK).
Но только через мобильную связь (проводная нормально).
И в каком направлении решать эту проблему, через ОПСОС`а или через хостера.
Пока нашел workaround в виде завертывания туннеля в ssh-прокси.

Такая же херня.
Причем не работает только через ОПСОСы.
Те же операторы с домашним интернетом через оптоволокно нормально работает с OpenVPN где бы он не стоял - хоть РФ, хоть Европа, хоть США.

У меня на этой неделе стал очень медленно работать OpenVPN Antizapret.
Подозреваю, что шейпят протокол. Не блокируют целиком, но скорость снижают так, что картинки не прогружаются

я не про сервисы OpenVPN Antizapret. У меня поднят свой OpenVPN сервер внутри РФ и используется по прямому назначению, так сказать (для организации локальной сети между несколькими локациями в РФ).

Вы знали, что многие бренды удалили свои VPN приложения из аппсторов для россиян. Например Nord, HMA, Avast, Avira. Но их много больше. Причем часть из них активировала ещё и серверные блокировки для российских (по их мнению) адресов, отправляя приложению ошибку или игнорируя запросы.

Кстати реально, проверил в плеймаркете норда нет.

После неудачи с tele2 и beeline, решил попробовать yota (который MVNO megafon`а), и внезапно через йоту связь с моим OpenVPN сервером отличная. У них кстати и опция бесплатного VPN трафика есть (правда доступна, только если более 30GB трафика брать).

Таттелеком. Как-то странно блокируют. Есть 2 сервера в Финляндии у хецнера. До одного л2тп нормально работает, до другого не может подняться никак, теряются хендшейки. Wireguard давно зарезали до нуля вместе с OpenVPN. Надо придумать какое-то site-to-site решение, а уже ничего в голову не идет.

WG от amnezia, GOST в режиме tun, openvpn поверх xtls - тестировал, работает

upd: openvpn поверх cloak - тоже вполне рабочее решение.

И тем не менее - заблокировали.

к сожалению

Повтор ситуации от прошлого сообщения 12 марта. Сегодня 29 марта с 9:00 по московскому времени ТСПУ снова выключили на непродолжительное время в сегменте мобильного интернета - вновь подключается к заблокированным VPN сервисам по Wireguard подключению. OpenVPN не проверял.
В тот раз, после того как вновь включили блокировки был заблокирован protonvpn по wireguard соединению на Ростелеком провайдере. Что в этот раз будет подвергнуто блокировке скоро узнаем.

Краткие итоги битвы при гугльплее.

В магазинах гугла ~800 приложений, которыми может интересоваться РКН. Примерно, потому что гугл не даст вам сграбить все приложения, а разработчики не всегда выбирают логичные категории для размещения (может быть коммуникации, продуктивность и прочий шопинг), описание может выдавать ложные совпадения, а ещё все динамично ибо там кипит жизнь. Из них ~100 приложений не доступны россиянам.

С учетом блокировки протоколов, рабочими полностью или частично остаются ~150 приложений. Из них больше половины выглядит как одноразовая поделка. Ограничение по времени, единственный сервер и тот в кванмене, реклама , реклама, реклама, прогрев при отключении и включении, это большинство. По настоящему юзабельных, не напоминающих атаку клонов, пара десятков, не больше.

И эта славная двадцатка чаще мерцает, чем работает. Славные воскрешения или эпичные отстрелы своей ноги РКНом создают иллюзию, но по факту лучшее приложение перестанет работать в самый лучший для вас момент. И это не считая операторов со своей цензурой, как йота, у которых работает и того меньше.

Хм, блокировка, похоже, связана с диапазоном IP моего хостинга VPS.
Жаль, что я это сообщение раньше не обнаружил :

P.S. на йоте тоже стало блокировать через несколько недель. Но она хотя бы дешевле, не зря переходил

Подскажите пожалуйста, где можно про openvpn over xtls почитать? Как настроить такое?

Для начала надо запустить работающий канал xtls, вот примеры Xray-examples/VLESS-TCP-XTLS-Vision-REALITY at main · XTLS/Xray-examples · GitHub
Затем на сервере нужно повесить wireguard или openvpn на локальный порт (можно добавить на loopback дополнительный IP или просто на 127.0.0.1)
Затем на клиенте сделать listener и отправлять его в xtls-туннель. Цепляться нужно соответственно на этот listener. Пример на Xray:

{
  "inbounds": [
    {
      "tag":"in_wg",
      "listen": "127.0.0.1","port": "8086",
      "protocol": "dokodemo-door",
      "settings": {
        "address": "127.0.0.1",
        "port": 8085,
        "network": "udp"
      }
    }
  ]
}

Здесь address - это уже точка подключения на сервере. Затем через routing отправляем этот порт на сервер через xtls:

          {
                "inboundTag": ["in_wg"],
                "outboundTag": "vless-vps6"
          }

После этого просто подключаемся к локальному порту клиента и происходит магия:

[Peer]
PublicKey = xxx
AllowedIPs = xxx
Endpoint = 127.0.0.1:8086
PersistentKeepalive = 15 # это чтобы не падал туннель и проходила "обратка"

Кстати удобно на сервере на loopback повесить адрес из диапазона AllowedIPs - тогда он будет сразу маршрутиться корректно и можно достигать сервера и портов на нем без дополнительных плясок. И xray/vpn не будут падать из-за отсутствия адресов, потому что адреса физических и vpn-адаптеров не используются.

Ну и кстати, на openvpn все проще, клиента можно настроить подключаться через socks-inbound, который уже уходит в туннель xtls.

remote 127.0.0.1 1096
proto udp
dev tun
fast-io

topology subnet
ifconfig xxxxx

socks-proxy <socks-ip> 1080

На таттелекоме с сегодняшнего дня режется sstp, похоже в ходе борьбы с дудосерами…

OVPN через Surfshark не работает сегодня. Заблочили совсем или временно в честь праздника?
TCP/UDP ничего не коннектит

Фигня какая-то написана. Через 443 порт работает так же обычный HTTPS. Без active probing’а или ещё какого-либо очень нетривиального анализа SSTP от HTTPS со стороны не отличить, одного только факта коннекта на 443 порт явно недостаточно (они таким образом заблокируют буквально весь интернет).

Скорее всего, имеется в виду что они порезали коннекты на 443 на абонентские адреса.

Опять же, брехню пишут. Что значит “возможно в исключениях”? SSTP - это и есть HTTPS-трафик. Снаружи неотличим. И тоже 443 порт.

В любом случае, без информации о том, откуда именно и куда именно идёт подключение (какие AS и в каком именно направдении), каким именно клиентом, помогает ли смена порта, ходит ли на тот же порт простой HTTPS например к Nginx/Caddy, и дампов трафика рассуждать по одному шакальному скриншоту и ответам бестолковой техподдержки (SSTP связан с DDoS, охотно верим, ага), нет смысла.

у нескольких провайдеров, которыми пользовался, сегодня тоже surfshark перестал работать через openvpn

написал им в суп, сказали что знают о проблеме, предложили с их китайского сайта скачать файлы коннекта и так же попробовать WG, но у меня все по нулям, так же в их оф дискорде народ активно пишет из РФ, надеюсь на скорое решение

Может быть кто-то подскажет, ставлю WireGuard, заливаю туда SurShark профиль (проверяли люди из г. Киров, провайдер Ростелеком как и у меня, работает Таиланд-Бангкок и Англия-Манчестер), все по инструкции и только я нажимаю activate, как прога коннектится (зеленая галка), а интернет обрубает в ноль, как будто провод выдернули из компа. Как только отключаю - интернет появляется снова. VPN само собой не работает ни так ни сяк.

Чел в оф дискорде шарка сказал что у него (он в Китае) завелся VPN через фирменное приложение SurfShark на телефоне, выставил профиль WG и сервер Хьюстон. Попровал у себя, у меня завелся так же (Москва МТС мобильный, Ростелеком дома), но только на протоколе IKEv2, Хьюстон сервак.

Думаю ок, попробую скачаю фирменную прогу шарка на комп. Поставил, выбрал Хьюстон, профиль WG (IKEv2 отсутствует) и у меня так же произошла обрубка интернета. Такое впечатление что у меня комп не воспринимает WG или что то надо в настройках где то подкрутить, я просто не разбираюсь в этом. Может кто подскажет?

Коннект есть, интернета нет - типичный симптом блокировки wireguard протокола провайдером. wireguard шлюз не отпускает даже в случае таких затыков, чем и хорош. Соответственно интернет пропадает, т.к. протокол блокируется.
Просто провайдер видимо несколько первых пакетов разрешает, соединение (handshake/рукопожатие) успевает установиться, а потом блок.

Принял, спасибо за разъяснение

насколько я понимаю, через openvpn и wireguard одинакого, к surfshark сейчас можно подключиться только по нескольким предоставляемым surfshark’ом айпи.
поэтому есть смысл поставить wireguard (имхо, он для этого удобнее) и проверять все айпи из всех стран, что предоставляет surfshark

у меня WG рубит на корню любые сервера Серфа даже рабочие, как я написал, отрубка интернета на корню куда бы не присоединялся при соединении через WG, везде где есть WG профиль, программа и что то с ней связанное, то сразу словно интернет из сети в ноль, как сказали выше это вина провайдера, заблочил все, спасибо Ростелеком )) Если что то мастерить кастомное, то я тупой и не разбираюсь ни в чем, если Серф не найдет возможность как то обойти через OpenVPN как это всегда было до вчерашнего дня, то возьму другого платника, hidemy.name VPN пока тестирую бесплатный период

Если не разбираетесь, но есть желание заиметь что-то более кастомное и устойчивое к блоктровкам, то см. Amnezia

спасибо, надо будет почитать что это и как это работает

SurfShark (iOS), протокол IKEv2, по вафле к домашнему Ростелекому - РАБОТАЕТ!!!
SurfShark (iOS), протокол IKEv2, мобильный MTS - НЕ РАБОТАЕТ!!!

Если выставить протоколы OVPN UDP/TCP и WG - НЕ РАБОТАЕТ!!!

Интересно, на долго ли Ростелеком разблокировал протокол IKEv2 и как жалко, что его нет на компе в SurfShark приложении

Удалось запустить SurfShark по протоколу IKEv2 в Win 11 через ручную настройку, теперь вопрос как долго это все проработает

Если после создания при коннекте будет ошибка Policy match, то делаем следующее

If you are not able to connect and get “Policy match error” follow these steps:
Open “Run” window while pressing Windows button+R on your keyboard at the same time. Type in regedit.
Then, navigate to this directory – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
Now right click on right side empty space and create a new DWORD (32bit) file named NegotiateDH2048_AES256
Right click on new created registry file and click on “Modify… “, then in the value data field enter the value of 2 and click OK.

Попробуйте AmneziaWG клиент поставить, импортировать туда ваш конфиг и выставить в нем JC, Jmin и Jmax как тут советуют: Мы добрались до ядра, или новые возможности AmneziaWG / Хабр
По идее, должно заработать тогда.

СРАБОТАЛО!!! АХРИНЕТЬ!! и на Ростелекоме и на МТС, кайф!!!
спасибо за наводку!!! только пришлось руками все вбивать, не захотел он файлик “кушать” WGшный

а еще почему то сайт AmneziaWG | Amnezia Docs не открывает даже на Серфшарковском VPN, только на каком то бесплатном аддоне прокси в хроме я могу открыть этот сайт, он видимо супер пиратский даже для Серфшарка ))))))

только я не вижу на Винду их прогу, только на мобилку есть, а как на компе завести, через обычную Амнезию?

поставил обычную Амнезию на Винду, она не коннектит, блокирует соединение даже если руками дописать необходимые строчки, как в статье, нужна WG версия

А на Винду пока не готово ещё. Можно самому собрать отсюда: GitHub - amnezia-vpn/amneziawg-windows-client: AmneziaWG client for Windows

знать бы как )))) я в этом ничего не понимаю ))

Тогда советую пока не трогать, если нет срочности, и подождать релиза.

Но если прям надо, то:

1. По ссылке выше жмёте Code и Download ZIP
2. распаковываете скачанный zip
3. запускаете quickinstall.bat
4. Ждёте
5. Profit

спасибо Вам огромное!!! Все скачалось, установил, залил файлик и по клику подключился!!! Благодарю за помощь!!!

я так понимаю теперь надо курить гитхаб на предмет обновления программы если что

Есть провайдер Авантел в Сибири и, начиная с прошлого четверга (30.05) их ддосят (по их же заявлениям), от чего подключили какую-то особую “защиту”. По косвеным признакам есть подозрение, что тупо пустили трафик через ТСПУ с жестким фильтром. Коллеги, подскажите, как бы проверить и удостовериться?

Из симптомов: любые ходовые протоколы VPN режутся в интервале 5-7 минут (WG, L2TP до ру-сервера), либо вообще не подключаются до зарубежных. Недоступны домены *.azure.com, *.aws.com, тытруб троттлит до минуты открытия главной, ворох простых ресурсов недоступны. Есть явная попытка подмены сертификатов https: почти гарантированно mts.ru (почему-то), часть наших собственных ресурсов (серты от letsencrypt, но при заходе на них подсовываются от globalsign).

В общем, если это не чебурнет “на кошках”, то точно максимально приближенное к нему. Нид хелп

Помимо предположений есть серты, запись трафика? Если это выжимка из наблюдений, то такое себе утверждение на данный момент. Отвалы на забитом канале, например, так что не полностью “чебурнет”.

И, нет, это не охранительство, но лишь попытка не разгонять панику.

30 и 31 мая у них действительно был серьезный BGP flapping. Такое вполне может наблюдаться при перегрузке канала и/или маршрутизатора из-за возросшего трафика.

https://radar.cloudflare.com/routing/AS8711

Сейчас это продолжается, но в меньшем масштабе. На месячном интервале хорошо видно: https://radar.cloudflare.com/routing/AS8711?dateRange=28d

вчера поднимал ipip fou туннель в европу на моб мегафоне сз и рт сз без проблем, сегодня на обеих блочится после первого пакета от клиента, ответ от сервера уже не приходит на клиент, если перед первым fou пакетом запустить nping с теми же портами что и для fou, то туннель успешно поднимается

upd: ~19:10 блока уже нет, еще заметил что сегодня на рт был необычно высокий пинг

Походу стали блочить AmneziaWG на мобильном билайне - Алтайский край. На проводном все ок. На мобилке цепляется, но не идут входящие пакеты. Если пробовать переподключаться, но может заработать с 3-5 попытки, что странно.

AmneziaWG рекомендовали для разблокировки Surfshark на одном небезызвестном форуме. Может быть поэтому.

Сервер свой? AWG на сервере? Добавьте junc пакетов, измените диапазон размеров.

Если AWG приложение, клиентское, тогда без вариантов. Блокируют по входящим.

Сервер свой (self-hosted на нидерландском vps).
" Добавьте junc пакетов, измените диапазон размеров." - это где то через нативную программу AmneziaWG можно сделать? Или самому в конфиге на сервере лезть нужно?

Похоже я ошибся, содержимое ответов не влияет.

Блок вероятностный, похож на блокировку SS и других, теперь для UDP. Блокировку потестируют (или зачем оно там) и откатят, возможно. Но в перспективе протоколы с белым шумом (или неизвестным протоколом) становятся бесполезны. AWG это тупик.

Что у вас за провайдер? Запишите дамп трафика.
@nihilistimus, и вы тоже запишите, пожалуйста.

Похоже на то, ибо логики, как блочится особой не увидел. Бывает сразу после подключения работает, бывает приходится 4-5 раз переподключаться.
С другой стороны сейчас ради интереса вернулся на обычный OpenVPN (тоже self-hosted), с которого давно пересел, когда часто отрубать стали. Там такая же шляпа, соединение устанавливается, но дальше пакеты не идут. Если переподключаться, раза с 3-5 начинает работать. Хотя он то вообще спокойно детектируется. Может тестируют что-то.

@ValdikSS Провайдер - мобильный Билайн. Дамп попробую записать, надо разобраться, как с телефона это сделать.

Кто-то еще остался на OpenVPN? С начала июня Теле2 начал блочить его, а с сегодняшнего дня разные мобильные операторы в разных регионах подключились. Есть у кого-нибудь подобные проблемы?

Подтверждаю.
Сегодня примерно с 8:00 МСК на мобильных операторах стади блокировать openvpn ВНУТРИ РФ, так и за пределы РФ.
Внутри РФ, до своего сервера в одном городе, по TCP соединение устанавливается, и тут же сбрасывается. По UDP также блокируется.
С домашнего интернета за пределы РФ openvpn пока работает.

Не наблюдаю проблем с OpenVPN внутри РФ на мобильных операторах: проверил yota, beeline, tele2. На билайне даже почему-то стало на сервер из иностранной AS пускать (впрочем я долго не тестил - несколько минут подождал).

В данный момент видимо блокировку сняли. Проверил, тоже внутри РФ заработало.
На момент моего предыдущего сообщения блокировали на мобильных операторах, как внутри РФ, так и за пределы РФ.
Проверено на МТС, Билайн.

Да, подтверждаю. Вчера лежал OVPN на мобильном - Мегафон, Т2, Билайн. При подключении на внутренние сервера размещенные в сетях двух фиксированных операторов, один из которых МТС, поведение везде одинаковое - поднятие сессии, около трех секунд и сервер фиксирует hard_reset со стороны клиента. Это на TCP, UDP не проверял, но подозреваю картина была бы похожей. WG работал. Видимо уже нужно смотреть в сторону других протоколов и для внутрироссийских подключений, уже не первый раз с OVPN подобное.

РКН поздравил пользователей Эппл с 4 июля и объявил о блокировке 25 приложений сразу в магазине.
Далее частичный список приложений недоступных в российском App Store. Норд и прочие авиры ушли до запроса РКН.

16.07.2024 былая якобы мощная ддос атака от которой у локальных провадеров отваливались каналы на магистрали. Однако, суть не в этом, после восстановления работы обнаружил у себя (Север телеком) и на Билайн Краснодар отвал туннелей использующих PPP. Любой протокол с PPP внутри возвращает auth failed, хотя на сервере в логе прекрасно видно, что клиент успешно аутентифицирован. IPsec с psk тоже не работал, но после жалоб провайдеру раздуплился.

Локация в ЦФО, где-то 500 км от Москвы.
Ростелеком развлекается, сдохли: wg + v2ray (vmess/quic и vmess/tcp), ovpn + obfs4 (iat1/iat2). Пока ещё живы чистые wg и ovpn.

del

По ощущениям сломали всё что не похоже на https…

Что насчёт amneziawg?

На мобильном интернете мне помогает включить openvpn, а затем включить и выключить режим полета (не отключая впн). С

AmneziaVPN работает, но не стабильно.

upd: откатили

По идее если они будут блочить все unknown по UDP, то тогда почти все онлайн-игры убьют, ибо там трафик шифруется обычно и тоже выглядит как рандомные байты по UDP

@Zerogoki поверьте их это волнует меньше всего.
|||
Не проверяла до этого, ovpn + obfs3 как ни странно работает, но ну его нафиг с такой черепашьей скоростью. Пойду куплю vps’ку с Amnezia, проверю что будет в моем случае.

UPD купила, проверила:
AmneziaWG - работает, ovpn over cloak - работает, SS - не работает.

Хотела ещё XRay попробовать, но через приложение амнезии нельзя для него выбрать какой-то другой порт кроме 443, а установка отваливается с ошибкой дескать порт уже занят выберите другой =)

Ну XRay и должен всегда быть на 443 порту, правильно.

У вас там наверное уже Cloak установлен, который тоже на нем должен быть. Как вариант, удалить все и развернуть заново, а вообще, по-хорошему зарепортьте это как баг разработчикам, думаю поправят.

del

del

Тут отдельная тема есть:

Блокировать умеют. У меня пока работает.

Не работает, подключение устанавливается, дальше затык.

3 posts were merged into an existing topic: Блокировка VPN-протоколов на ТСПУ (05.08.2023 - xx.xx.2023)

Сегодня перестал работать zerotier через Теле2 (ленобл).
Как у вас?

Попытки клиента поговорить с “планетами” (основные сервера zeroscale) неуспешны:

14:32:02.569376 IP x.x.x.x.50813 > 104.194.8.134.9993: UDP, length 137
14:32:02.570250 IP x.x.x.x.55796 > 104.194.8.134.9993: UDP, length 137
14:32:07.557767 IP x.x.x.x.9993 > root-mia-01.zerotier.com.9993: UDP, length 137
14:32:07.557947 IP x.x.x.x.50813 > root-mia-01.zerotier.com.9993: UDP, length 137
14:32:07.558168 IP x.x.x.x.55796 > root-mia-01.zerotier.com.9993: UDP, length 137
14:32:07.558837 IP x.x.x.x.9993 > root-zrh-01.zerotier.com.9993: UDP, length 137
14:32:07.559048 IP x.x.x.x.50813 > root-zrh-01.zerotier.com.9993: UDP, length 137
14:32:07.559200 IP x.x.x.x.55796 > root-zrh-01.zerotier.com.9993: UDP, length 137
14:32:07.559908 IP x.x.x.x.9993 > root-sgp-01.zerotier.com.9993: UDP, length 137

При этом тот же самый клиент для ДомРу работает…

На ростелекоме psiphon соединяется только через 5 минут, а на йоте вообще не соединяется. Жалобы были и от других людей.

Последние 2-3 дня начали замедлять openvpn, tcp и udp.
Ростелеком, ДВ.

Прямой тест с россии до сервера, где находится мой vps. Выбирает все 100Мбит как по тарифу. Отдача только почему-то 33Мбит.

      Server: Studenten Net Twente - Enschede (id: 24887)
         ISP: Rostelecom
Idle Latency:   153.84 ms   (jitter: 0.45ms, low: 153.67ms, high: 154.49ms)
    Download:   114.51 Mbps (data used: 196.7 MB)
                430.77 ms   (jitter: 82.29ms, low: 174.74ms, high: 1235.52ms)
      Upload:    33.70 Mbps (data used: 38.4 MB)
                226.62 ms   (jitter: 67.53ms, low: 152.92ms, high: 305.48ms)

Тест через чистый openvpn:

      Server: Studenten Net Twente - Enschede (id: 24887)
         ISP: NovoServe B.V.
Idle Latency:   521.50 ms   (jitter: 110.17ms, low: 329.50ms, high: 598.38ms)
    Download:     4.25 Mbps (data used: 5.5 MB)
               1043.83 ms   (jitter: 82.87ms, low: 222.12ms, high: 4461.14ms)
      Upload:    13.88 Mbps (data used: 18.7 MB)
                392.21 ms   (jitter: 77.73ms, low: 187.79ms, high: 1213.40ms)

Через openvpn+cloak:

      Server: Studenten Net Twente - Enschede (id: 24887)
         ISP: NovoServe B.V.
Idle Latency:   163.78 ms   (jitter: 0.92ms, low: 163.59ms, high: 167.22ms)
    Download:    37.60 Mbps (data used: 65.5 MB)
                798.36 ms   (jitter: 92.23ms, low: 185.83ms, high: 2341.19ms)
      Upload:    25.09 Mbps (data used: 44.0 MB)
                290.73 ms   (jitter: 73.77ms, low: 174.98ms, high: 675.25ms)

Через openvpn +kcptun:

      Server: Studenten Net Twente - Enschede (id: 24887)
         ISP: NovoServe B.V.
Idle Latency:   166.39 ms   (jitter: 2.05ms, low: 165.68ms, high: 169.61ms)
    Download:    35.71 Mbps (data used: 52.6 MB)
                735.29 ms   (jitter: 90.07ms, low: 173.31ms, high: 1231.17ms)
      Upload:     6.07 Mbps (data used: 6.9 MB)
               1147.34 ms   (jitter: 98.55ms, low: 217.99ms, high: 2225.70ms)

Чистый wireguard:

      Server: Studenten Net Twente - Enschede (id: 24887)
         ISP: NovoServe B.V.
Idle Latency:   156.13 ms   (jitter: 0.46ms, low: 155.76ms, high: 157.07ms)
    Download:    70.10 Mbps (data used: 107.9 MB)
                341.41 ms   (jitter: 79.63ms, low: 154.98ms, high: 1142.28ms)
      Upload:    28.06 Mbps (data used: 26.0 MB)
                233.69 ms   (jitter: 68.28ms, low: 155.71ms, high: 337.15ms)

Через xtls+reality тоже проблем со скоростью не наблюдаю.

Ростелеком, Москва (бывший Onlime).
Научились замедлять SSTP, скорость загрузки ограничивается до 128 кбит/сек. С исходящей при этом проблем нету.

Получается, теперь еще один протокол непригоден для использования…

Никто часом не знает как замаскировать рабочий OpenVPN с помощью xray? Всё что нахожу в интернете на эту тему подразумевает что OpenVPN сервер мы менеджим сами, но это не совсем то что нужно. Пока удалось замаскировать только через Shadowsocks, а вот через VLESS, VLESS-Reality и VLESS-WebSockets никак не получается. Притом такое ощущение складывается что именно ТСПУ как-то это палит, т.к. сам VPN коннектится одинаково что с VLESS что напрямую, просто постоянно рестартует.

Завернуть OVРN в Xrаy, указав в настройках socks-proxy 127.0.0.1 1080 не подходит?

Я так и делаю. Ещё пробовал в режиме TUN через NekoBox, тоже не работает.

Значит пришла пора разворачивать свой Zerotier-подобный контроллер, например Headscale.

Можно прокинуть порт для openvpn через xray, тестировал такую схему и для openvpn и для WG, для WG описана тут Wireguard через sing-box

Но честно говоря, поверх vless и WG и OpenVPN работают весьма посредственно. OPenVPN лучше пустить поверх Cloak или OBFS4 - результат будет лучше…

В последнюю неделю начал тормозить ssh (scp’шчкой файлы туда-сюда хотят со скоростью в сотни килобит) и рваться спустя несколько минут к зарубежным серверам. Через vpn скорости полные.
ЮФО, домру, на мобильном билайн вобще перестал работать.

Ох, тебе ещё повезло. У меня на TTK ssh сессия дольше 30 мин не живёт

Да, имеется такая проблема и в Кемеровской области. Клонирование больших Git-репозиториев по SSH очень медленное, и в итоге процедура обрывается через несколько минут.

В клиенте github-cli?

Нет, просто git ванильный

Реализации для sing-box как я понял там как раз и нет. Реализацию с dokodemo-door я тоже где-то находил, но не совсем понял как мне это использовать.

dokodemo это просто проброс порта на другой адрес и порт, аналогично port-mapping на обычном firewall, только можно этот проброс направить поверх любого протокола через routing внутри xray, так как это inbound

Ещё бы понять как это всё конфигурится правильно, по их документации что-то у меня не получается. Все эти inbounds, outbounds, тэги, где сервер где клиент. Достаточно на клиенте dokodemo-door сконфигурить чтобы его можно было использовать как socks-proxy до рабочего OpenVPN или на сервере тоже нужно что-то менять?

Dokodemo-door должен упираться в адрес openvpn-сервера уже на vps, никакой socks не нужен

Не совсем понял, т.е. dokodemo-door настраивается на сервере?

Так, по порядку. Вам надо пустить openvpn поверх Xray. Значит у вас условно два узла с Xray - клиент и сервер

На сервере вы поднимаете сервер openvpn и вешаете на какой-то локальный порт, хоть на 127.0.0.1:1194.

На клиенте вы делаете inbound dokodemo-door, routing и outbound до сервера - например по vless или shadowsocks.

Inbound на клиенте можно сделать даже таким:

"inbounds": [
    {
      "tag": "in-vpn",
      "listen": "127.0.0.1","port": 1190,
      "protocol": "dokodemo-door",
      "settings": {
        	"address": "127.0.0.1",
	    	"port": 1194,
	    	"network": "udp"
      }
    },

То есть на клиенте у вас поднят порт 1190, и вы цепляете клиентский openvpn на свой локальный адрес и порт 127.0.0.1:1090, пакеты будут попадать на dokodemo, адрес назначения и порт сразу заменяются на указанные в settings, затем Xray идет в routing, чтобы определить - куда их отправлять, поэтому делаете так:

"routing": {
		{
			"inboundTag": ["in-vpn"],
			"outboundTag": "vless-vps1", # куда-то по нужному вам протоколу обфускации
		},

Поэтому в итоге клиент openvpn будет подключаться не к локальному порту, а к порту на удаленном сервере, пройдя по туннелю vless…

Само собой, что на клиентском узле в Xray надо настроить outbound с vless (который vless-vps1), а на сервере настроить на Xray inbound соответствующий на белом адреса, чтобы узлы могли установить соединение, по которому уже пойдет подключение openvpn… То есть Xray на клиенте должен достигать внутренние адреса сервера поверх vless.

Вроде понял теперь что к чему, спасибо. Единственное OpenVPN сервер я не смогу поднять у себя, т.к. идея именно проксировать до рабочего VPN который уже поднят на другом сервере и я его не могу менеджить никак, но я так понимаю это не особо что-то меняет, можно просто вместо 127.0.0.1 указать его доменное имя.

Да. Даже если на “том конце” сервер не на одном узле с xray, все будет работать.

Наблюдаю SS+prefix работает на мобильных операторах (вновь?)

В общем я попробовал dokodemo-door, сначала обрадовался что заработало, но на деле та же проблема что и через socks-proxy и напрямую, т.е. оно вроде как коннектится, но потом в логах впн постоянно идёт вот это:

Connection reset, restarting [0]

Да, xray сам по себе (policy) и протоколы имеют дефолтные таймауты, после которых сессия просто рвется. Нужно поднастроить и в openvpn включить посылку keepalive-пингов, чтобы сессия не падала

Изначально было вот так:

ping 10
ping-restart 60

сделал ping 3, но как-то особо ничего не поменялось

Нужно проверять всю цепочку и логи xray: точно ли подключение уходит в Xray, а не мимо и нет ли проблемы на последнем участке, где он выходит с сервера и подключается к серверу Openvpn.

У меня такая схема работала несколько суток и на wireguard и на openvpn вполне успешно. Задумчиво конечно, но работала.

Врубайте все логи и на клиенте и на сервере Xray, чекайте что происходит.

{
  "log": {
    "access": "/var/log/xray/access.log",
        "error": "/var/log/xray/error.log",
        "loglevel": "info",
        "dnsLog": true,
  }
}

Вот так выглядит на клиенте:

2024/09/18 14:28:02 [Info] [1646436414] proxy/socks: TCP Connect request to tcp:myvpn:16147
2024/09/18 14:28:02 [Info] [1646436414] app/dispatcher: default route for tcp:myvpn:16147
2024/09/18 14:28:02 [Info] [1646436414] transport/internet/tcp: dialing TCP to tcp:myvps:443
2024/09/18 14:28:02 from tcp:127.0.0.1:59134 accepted tcp:myvpn:16147 [proxy]
2024/09/18 14:28:02 [Info] [1646436414] proxy/vless/outbound: tunneling request to tcp:myvpn:16147 via myvps:443
2024/09/18 14:28:02 [Info] [1646436414] proxy: XtlsPadding 88 105 0
2024/09/18 14:28:02 [Info] [1646436414] proxy: Xtls Unpadding new block, content 100 padding 0 command 0
2024/09/18 14:28:02 [Info] [1646436414] proxy: XtlsPadding 96 178 0
2024/09/18 14:28:02 [Info] [1646436414] proxy: XtlsPadding 365 123 0
2024/09/18 14:28:02 [Info] [1646436414] proxy: Xtls Unpadding new block, content 4022 padding 211 command 0
2024/09/18 14:28:02 [Info] [1646436414] proxy: XtlsPadding 96 45 1
2024/09/18 14:28:02 [Info] [1646436414] proxy: XtlsFilterTls stop filtering1655
2024/09/18 14:28:02 [Info] [1646436414] proxy: Xtls Unpadding new block, content 278 padding 212 command 0
2024/09/18 14:28:02 [Info] [1646436414] proxy: Xtls Unpadding new block, content 96 padding 23 command 1
2024/09/18 14:28:08 [Info] [1646436414] app/proxyman/inbound: connection ends > proxy/socks: connection ends > context canceled

Вот так на сервере:

2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: Xtls Unpadding new block0 0 content 96 padding 106 0
2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: Xtls Unpadding new block0 0 content 365 padding 233 0
2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: XtlsPadding 4022 165 0
2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: XtlsPadding 278 85 0
2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: Xtls Unpadding new block0 0 content 96 padding 134 0
2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: Xtls Unpadding new block0 0 content 96 padding 176 1
2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: XtlsFilterTls stop filtering96
2024/09/18 18:28:26 [Info] [2568750180] proxy/vless/encoding: XtlsPadding 96 106 1
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/inbound: firstLen = 254
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/inbound: received request for tcp:myvpn:16147
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: Xtls Unpadding new block0 16 content 88 padding 82 0
2024/09/18 18:28:37 [Info] [1640820586] app/dispatcher: default route for tcp:myvpn:16147
2024/09/18 18:28:37 [Info] [1640820586] transport/internet/tcp: dialing TCP to tcp:myvpn:16147
2024/09/18 18:28:37 172.23.0.6:35042 accepted tcp:myvpn:16147 [vless_tls >> direct] email: my@email.com
2024/09/18 18:28:37 [Info] [1640820586] proxy/freedom: connection opened to tcp:myvpn:16147, local endpoint 172.23.0.9:37026, remote endpoint 54.175.35.115:16147
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: XtlsPadding 100 153 0
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: Xtls Unpadding new block0 0 content 96 padding 39 0
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: Xtls Unpadding new block0 0 content 365 padding 77 0
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: XtlsPadding 4022 38 0
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: XtlsPadding 278 130 0
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: Xtls Unpadding new block0 0 content 96 padding 223 0
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: Xtls Unpadding new block0 0 content 96 padding 68 1
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: XtlsFilterTls stop filtering96
2024/09/18 18:28:37 [Info] [1640820586] proxy/vless/encoding: XtlsPadding 96 63 1
2024/09/18 18:28:48 [Info] [2859029822] proxy/vless/inbound: firstLen = 188
2024/09/18 18:28:48 [Info] [2859029822] proxy/vless/inbound: received request for tcp:myvpn:16147
2024/09/18 18:28:48 [Info] [2859029822] proxy/vless/encoding: Xtls Unpadding new block0 16 content 88 padding 16 0
2024/09/18 18:28:48 [Info] [2859029822] app/dispatcher: default route for tcp:myvpn:16147
2024/09/18 18:28:48 [Info] [2859029822] transport/internet/tcp: dialing TCP to tcp:myvpn:16147
2024/09/18 18:28:48 172.23.0.6:56666 accepted tcp:myvpn:16147 [vless_tls >> direct] email: my@email.com

Только вот какие ещё выводы можно из этих логов сделать, явно подключение идёт не мимо xray, а вот почему обрывается не понятно.

В логе не видно никакх обрывов по timeout или failed connection, можно погрепать всю жизнь конкретной сессии по [session_id]

2024/09/18 18:28:37 [Info] [1640820586] proxy/freedom: connection opened to tcp:myvpn:16147, local endpoint x.x.x.x:37026, remote endpoint x.x.x.x:16147

Здесь на сервере Xray не заблокированы файерволом ответы от openvpn-сервера?

Еще можно попробовать подкрутить policy 0 (если конечно вы явно не используете какие-то другие номера политик) Xray-docs-next/docs/ru/config/policy.md at main · XTLS/Xray-docs-next · GitHub

Особенно в части connIdle и downlinkOnly. Например uplinkOnly по умолчанию всего 2 секунды

На том же сервере прекрасно проксирует shadowsocks, т.ч. файервол отпадает. К тому же до обрыва можно даже успеть открыть какой-нибудь ресурс который доступен только из под этого VPN, притом как я уже говорил поведение одинаковое что с xray что напрямую, поэтому складывается впечатление что через xray никакой обфускации нет для OpenVPN и его точно также рубит ТСПУ. Жаль у меня нет простого способа проверить подключение через xray с какой-нибудь ноды вне РФ.

Policy на сервере или на клиенте нужно настраивать?

Обфускация конечно есть, по логам мы видим, что трафик “превращается” в https (xtls padding). Другое дело, если ТСПУ действительно отсекает вам или сессию https по каким-то своим критериям или сессию на последнем куске (xray server - openvpn-сервер) - тогда дело дрянь, конечно.

Таймауты лучше увеличить на обоих узлах на время отладки.

Можно конечно попробовать Cloak или obfs4, но тут надо и сервер openvpn прятать “за них”, это как я понял, не вариант

"policy": {
		"levels": {
		  "0": {
			"uplinkOnly": 300,
			"downlinkOnly": 300
		  }
		}
	},

Попробовал вот так сделать на клиенте и сервере, ничего особо не поменялось.

А Cloak разве не получится использовать таким же образом?

Если предположить, что трафик openvpn ломается где-то на участке xray-сервер - openvpn-сервер, то Cloak надо в идеале ставить прямо на хосте с openvpn.

А почему он должен ломаться? Ведь shadowsocks-сервер (тот же VPS) - openvpn-сервер работает без проблем.

В таком случае пускайте openvpn по shadowsocks вместо vless

Я в общем так и делаю Просто хотел разобраться почему не работает через VLESS, т.к. может пригодиться на случай если shadowsocks начнут блочить, что насколько я помню вполне возможно.

Москва, Интек-М. Наблюдается нестабильная работа XRay. Подключение есть - дальше в интернет не ходит, собственно как иногда при использовании OpenVPN. Неужели и до XRay добрались.

у проксей типа xray не существует состояния подключено/отключено, каждый новый сайт - новое подключение к серверу, к тому же вы не назвали какой у вас конфиг, непонятно вообще ничего

Это же не совсем так, есть же mux который должен переиспользовать существующие подключения?

ну штош там опенвпн(наружу) на ростиликоме блочат или што яне пойму у мен антизапрет коньтейнер днсы отваливаются тока включаш работат секунд 10 потом идёт tcp retransmission на адреса 10.хх.хх.хх притом что ссш(туда) работат, помогает(пока что)) тока полное проксерование через ss, vless не делал но наверн тож буит казать, индиресное наблюдение что телега работает но в браузере ничё не кажет в етот момент (когда днсы через коньтейер антизапрета стоят)

Mux не переиспользует существующие, а группирует несколько в одно при их создании. Фактически mux только позволяет уменьшить количество запросов, чем немного маскирует использование vless. Но я сталкивался с тем, что mux вызывает на сервере утечку памяти (вроде уже поправили). И mux вроде бы не работает с reality - для него нужно использовать транспорт H2

Отказался от использования OpenVPN (как средства обхода) около года назад, когда начались первые успешные блокировки на мобильных операторах. Тем не менее, оставалась пара-тройка сетевых устройств, ВНЕЗАПНО использующих OpenVPN (tcp протокол, без tls-crypt и tls-auth) по его прямому назначению, а не как это принято в современных реалиях. Они были подключены к системе мониторинга snmp на европейском сервере. Переделывать было лень + хотелось дождаться того момента когда блокировки OpenVPN затронут и провод. Пару недель назад начал замечать странное поведение этих устройств. Они не работают в режиме 24/7, поэтому после их включения OpenVPN канал то поднимался то падал каждые 2-3 минуты в течение 2х-3х часов (провайдер ЭР-Телеком, он же Дом.ру), после чего начинал работать стабильно. Думаю не надо говорить о том, что xray и прочие прелести, использующие мимикрию под легитимные протоколы на том же сервере, к которому подключались сетевые устройства по OpenVPN, продолжали работать без сбоев.
В итоге пришлось перенастроить устройства на работу по белым спискам. А OpenVPN (за кордон) походу, да. Всё.

ето коньтейнер у меня насроен на мемекротике настроен ещё на другом мемекротике там провайдер местечковый но втыкается к ТТК, у их уже давно зарезан обычный виригуард например (амнезия робит)) но там почему то опенвпн коньтейнер к тому же серверу за гороницу работает я хз

кароч расказывайю всё как есь - вчера вечром ттк\тпсу кароч зарезали мне все понтключения к моей арендуенемой заграничной впске я хз овпн, SS, vless даже ссаш тормозил аваершакр показывал сплошные ретрансмишны на етот адрес, думал началось накатил ети запреты\гудбайи кое как прорвался сюда а тут тишина… может конечн у хостера какие то роботы велись я хз, но если так понтдумать токда б он ваще не отвечал, вот вам и ответ на вопрос нах нужна впска внутри россии - сначала конектимся до её (тпсу у провайдера не должна тригирица ойпи адрес то росийский) а потом уже у того хостера наверняка прямые конекты к какой небудь IX а дальше уже zogраницу ну или сидеть насраивать ети автономные решения (такойе себе занятие)

у кого нето amneziaWG на мегафоне работает? потому что у меня даж не хендшекается менял ети параметры которые результат тот же

да работает, даже то о чём здесь писал теперь работает, откатили блок, хотя крупные мусорные пакеты всё еще блочат протокол (либо без них либо с мелкими работает), 1 хендшейк проходит даже если протокол блочится

амнезия кажется разбанивается если не пользоваться, потом все равно блокируется

спасибо за информацийю!

кароч на мегафоне суде по моим тестам не кажет шадовсокс (шифор 2022-blake3-chacha20-poly1305 между прочим) влесс-хтлс-реалити-хуё-моё работает норм (на той же впске) (продолжайю вести наблюдение))

Начата блокировка OpenVPN как протокола на нативном IPv6, в частности, от Ростелекома.
До сегодняшнего дня через IPv6 никаких блокировок VPN-протоколов не было, блокировались только подключения через IPv4. Минус одна лазейка

Здорово, работает! Ваша программа - просто чудо, столько всего оживляет. Я уж думал под оберткой опенвпна придется сидеть теперь всю жизнь ) И даже скорость не упала ни на йоту.

С позавчера Tele2 (Ленобл) для мобильных соединений снова включил правила блокирующие Zerotier. До этого (после моего сообщения в нач. сентября) как-то заработало, и вот - все…