VPN в 2024 году. Что изменится?

Провайдеры обязаны установить ТСПУ — технические средства противодействия угрозам. Это программно-аппаратный комплекс, который ограничивает доступ к информации, запрещенной к распространению на территории России. На каком принципе работает блокировка протоколов VPN? Дело в том, что каждый VPN протокол уникален и имеет оригинальный «отпечаток». По данному отпечатку можно выяснить, что это за протокол. С помощью ТСПУ провайдер получает и анализирует эти отпечатки и фильтрует их так, как требуют регуляторы. Например, у WireGuard отпечаток распознается очень просто. Да и отпечатки других известных протоколов VPN также распознаются и блокируются без особого труда.

Ну что же, классические VPN протоколы (WireGuard, IPSec/L2TP, OpenVPN) технически могут блокировать даже в России.

Рассмотрим более продвинутые методы обхода ограничений в Интернете, а также методы блокировок в Китае и Иране.

Существуют технологии TLS-VPN (SSTP, AnyConnect/OpenConnect или SoftEther), трафик в них перемещается внутри TLS, а начальная установка соединения производится по HTTP. Естественно, это нельзя отличить от нормального подключения к любому обычному сайту. Казалось бы, тут все нормально, но GFW запросто блокирует подобные VPN. Цензоры делают запрос специального вида на сервер и получают характерный для VPN ответ.

Можно перед VPN-сервером установить reverse-прокси, к примеру, haproxy. А далее все это будет работать следующим образом (через SNI, server name identification). Некоторые подключения с определенным доменом в запросе будут отправляться на VPN-сервер, а все остальные — на разрешенный сайт. В последних версиях TLS поле SNI не шифруется, а это значит, что цензор его распознает и даст запрос с конкретным именем домена. Выход есть — использовать ECH. Однако, в том же Китае, цензоры блокируют все соединения TLS v1.3 с ECH (Encrypted Client Hello).

Далее рассмотрим такой метод, как Shadowsocks. Некоторые продвинутые VPN-сервисы предлагают его, как альтернативу тому же WireGuard. Но его версии до 2022 года уязвимы к replay-атакам и active-probing атакам.

В Китае родились интересные решения для обхода GFW: V2Ray/XRay с плагином VMess и VLESS поверх Websockets или gRPC, либо Trojan-GFW. Эти решения работают поверх TLS, они делят один и тот же порт с HTTPS веб-сервером. Цензор не знает секретную строку, ее «подслушать» снаружи нереально. А значит обнаружить наличие туннеля и подключиться к нему, казалось бы, возможностей нет.

Но здесь нужно разъяснить такой момент. TLS-клиент при подключении отправляет серверу некоторые параметры: поддерживаемые версии TLS, поддерживаемые наборы шифров, поддерживаемые расширения, эллиптические кривые и их форматы. Каждая библиотека имеет свой индивидуальный набор, варианты этих наборов можно анализировать. Это называется ClientHello fingerprinting. Таким образом, цензор может зафиксировать, что клиент определенного провайдера подключается к сайту с помощью программы с библиотекой GnuTLS (используется в VPN-клиенте OpenConnect) или использует мобильное приложение, где фиксируется fingerprint для языка Go (именно на нем написан V2Ray). Надо отметить, что в Китае и Туркменистане уже блокируют данные протоколы.

Еще хуже ситуация в Иране. Не так давно оттуда пришли данные, что некоторые иранские провайдеры могут блокировать VLESS, как максимально свежую технологию маскировки трафика. Китайские и российские цензоры пока еще не умеют блокировать VLESS-XRay. За последние пять месяцев большинство иранских пользователей столкнулись со сложными ситуациями, учитывая, что VLESS-XRay был единственным решением, которое бесперебойно функционировало в Иране. В общем, энтузиасты из числа ИТ-специалистов уже провели некоторые эксперименты с разными провайдерами и установили, что GFW блокирует VLESS-XRay в Иране. Пока не установлено какими техническими методами это осуществляется и как этому противостоять. Однако, в других странах с жесткой Интернет-цензурой (Китай, Россия) VLESS-XRay и некоторые другие новые протоколы достаточно эффективно работают, поэтому далее мы рассмотрим подробнее принципы их функционирования.

Сделаем обзор свежих методов обхода блокировок. Начнем, пожалуй, с V2Ray, который придумала таинственная Victoria Raymond (это просто никнэйм, больше про эту персону ничего не известно). Далее этот проект был форкнут, и появился V2Fly, разработка этого протокола была продолжена другими авторами. Затем команда разработки V2Fly разделилась и возник новый форк XRay, в который разработчики добавили немало интересных фич. К примеру, таких как XTLS.

Что же такое V2Ray/XRay? Это даже не протокол, а целый фреймворк, в одном приложении собрали различные протоколы, разные транспорты и расширения.

Классическими протоколами в V2Ray и XRay являются: VMess, VLESS и VLite. Первый и самый старый протокол — это VMess. На данный момент VMess считается уже устаревшим, а при работе через просто TCP — даже опасным.

VLESS — это свежий протокол, который постоянно развивается силами разработчиков, в нем исправлены уязвимости, которые были присущи VMess. В VLESS нет шифрования на уровне протокола, но это не означает, что данные отправляются в незашифрованном виде. Работа VLESS осуществляется поверх TLS, трафик шифруется именно средствами TLS, а не самого VLESS. Кроме VMess и VLESS, сервера и клиенты V2Ray и XRay также имеют поддержку протокола Shadowsocks (в том числе версий AEAD и 2022) и Trojan.

Расскажем кратко про некоторые фичи:

Уже разработаны и другие эффективные технологии по обходу блокировок: Trojan-GFW и Trojan-Go, Naiveproxy, Cloak, KCP (kcptun), mKCP, Hysteria, Meiru, TUIC, Brook, Pingtunnel.

Надо сказать, что соревнование двух сторон продолжается. Цензоры пытаются заблокировать информацию в сети и противостоять методам обхода блокировок. А технические энтузиасты продолжают разработку все новых методов обхода блокировок. Многие технологии стали нерабочими, например, популярный в РФ протокол WireGuard, на котором работают некоторые VPN-сервисы. В Китае блокируются и новые протоколы, к примеру, VMess, а иранским цензорам удалось нарушить работу современного VLESS+reality XRay. Дело идет к тому, что и в России в ближайшие годы научатся блокировать VLESS. Что делать пользователям? Остается рассчитывать на совсем свежие протоколы и решения, которые мы перечислили выше, но пока подробно не описали.

В этой ситуации становится непрактично пользоваться приложениями VPN (как веб, так и мобильными), которые привязаны к одному протоколу, к примеру, к WireGuard или даже к VLESS. На помощь пользователю придут сервисы совершенно нового типа, как VPN tunnel, которые не привязаны к какому-то одному протоколу.

VPN tunnel не использует собственное приложение, которое заточено только на какой-то один протокол, этот сервис может оперативно внедрять новые протоколы обхода блокировок, что позволяет клиентам «бесшовно» перейти от одного протокола на другой и оставаться с доступом к заблокированным ресурсам всегда и без перебоев.

Еще один плюс VPN tunnel: ключи выдает бот в телеграм, который сам по себе плохо поддается блокировкам. Мало того, VPN tunnel арендует серверы в других странах, блокировка по IP не будет наносить критического урона, так как арендовать новый сервер с новым IP не затруднительно.

Большой плюс сервиса — его можно протестировать бесплатно в течении 3-х дней, оценить всю мощь VLESS+reality и решить, нравится ли он вам и будете ли вы им пользоваться.

Работа в VPN tunnel устроена максимально просто и удобно для пользователя. На первом этапе запускаем телеграм-бот и нажимаем “старт”. Далее получаем ключ и меню с инструкциями для разных платформ.

Выбираем инструкцию для своей платформы (к примеру, Windows):

Согласно инструкции запускаем приложение на телефоне или компьютере, вставляем ключ, и запускаем.

Проверьте, что теперь у вас новый ip-адрес. Откройте сайт https://www.ipaddress.my/?lang=ru в строке «Город» вы увидите город из Германии, Финляндии или той страны, в которой получили ваш «ключ ВПН».

В заключении хочется сказать, что распространенные приложения для обхода блокировок, особенно, которые открыто выложены на Google Play и App Store, будут постоянно подвергаться блокировкам со стороны цензоров. Мало того, будут блокироваться и протоколы, на которых работают известные приложения для VPN и прокси. Дело в том, что распространенные приложения может скачать из Google Play и App Store любой желающий (в том числе и технические специалисты цензоров и регуляторов). На основании анализа кода приложения легко понять, как оно работает, а значит есть возможность для его технической блокировки. Поэтому будущее за сервисами, которые гибко умеют менять протокол обхода блокировок, а также быстро менять IP, серверы, хостеров. Подобные сервисы нового поколения не имеют узлов, которые могут подвергнуться блокировкам или же могут быстро заменить такие узлы. Также эти новые сервисы выдают ключи с помощью Телеграм-бота, что особенно удобно, так как сайт самого VPN-сервиса также может быть заблокирован цензором.