Блокировки VPN в России. Как дальше жить?
Некоторые пользователи, несмотря на неудобства, блокировки, сомнительный уровень конфиденциальности, продолжают использовать VPN-сервисы. И вот несколько дней назад сразу ряд из них отлетел, перестав корректно работать на территории России. Связано это не с тенденцией текущих дней к отмене России, а с тем, что роскомнадзор снова дернул себе анус, в этот раз заблочив протокол WireGuard как таковой.
Предыстория WireGuard и DPI.
Изначально DPI (deep package inspection) использовался для защиты пользователя, эта система, которая анализирует структуру сетевых пакетов, могла распознать несанкционированный доступ, DDoS, не используя для этого банальные штуки типа запрета доступа по IP.
Но, как и все хорошее, DPI быстро стала использоваться на благо государственной цензуры, в некоторых странах эта система вшита в роутер, но чаще она используется на стороне провайдера, позволяя блокировать у клиента целые протоколы.
Из технологий VPN, помимо очевидного шлака типа l2tp, первым под распознавание попал OpenVPN, многие провайдеры по всему миру без особых усилий блокируют доступ к нему, долгое время альтернативой можно было считать WireGuard, он появился как зашифрованный протокол для обхода блокировок и DPI.
Скорость у WireGuard на порядок выше, чем у более ранних технологий, это одна из причин, почему его начали использовать многие впн-провайдеры. Однако его научились распознавать еще несколько лет назад, но блокировки не применялись в таком масштабе, сейчас же ряд крупных провайдеров заблокировали wg на территории России.
Вместе с этим отлетели многие сервисы, работающие на основе этого протокола, среди которых, например Proton VPN.
Как быть?
Есть несколько протоколов, устойчивых к DPI, помимо этого есть способы продолжать использовать и OpenVPN, и WireGuard. Начнем с последних.
Итак, раз провайдер блокирует конкретные протоколы, почему бы не завернуть их на входе в обычный TLS?
В этом на помощь приходит stunnel, довольно простая утилита, которая замаскирует на стороне клиента весь трафик под чистенький TLS, а затем отправит его подключаться, куда душе угодно. Хоть на OpenVPN, хоть на WireGuard, хоть на обычный ssh.
Руководств по нехитрой настройке stunnel в интернете масса, поэтому дублировать их смысла не вижу. Использовать его можно где удобно, в том числе на устройствах с ОС Android.
Помимо stunnel есть obfs4, у него схожий принцип работы.
Какие есть альтернативы WireGuard?
Я выделю две альтернативы, это то, чем пользуюсь лично я.
1. Shadowsocks
Альтернатива, на которой я настаиваю, это шифрованный сокс с высокой скоростью. Задетектить этот прокол в теории возможно, но на практике пока случаев блокировки не было, работает даже в Китае, но даже на их случай shadowsocks совместим с рядом плагинов, позволяющих замаскировать его под чистенький https.
- Понадобится VPS, достаточно самого дешевого с itld, yourserver или vps.ag, например, на системе Ubuntu или Debian
- Далее ставим так:
apt install shadowsocks-libev
Затем открываем конфиг и редактируем:
nano /etc/shadowsocks-libev/config.json
Здесь вписываем адрес сервера и свой пароль, сохраняем
systemctl enable shadowsocks-libev
systemctl restart shadowsocks-libev
Также у shadowsocks есть реализация в виде Outline, она элементарная в настройке и охватывает устройства на любых платформах.
2. SoftEther
Очень крутая реализация. В СФ можно настроить разные протоколы, но изюминка в том, который основной - выглядит он как https, из плюсов быстрый, недетектится, очень удобен для разделения клиентов, ложится на самые простые серваки. Из минусов - недружелюбная настройка, ей я посвящу отдельную статью.
Спасибо, что остаетесь с нами, новые статьи не за горами!
