Всем привет!
Снова блокируют
Сегодня, 24-го августа, наблюдаются новые блокировки двух популярных ВПН-протоколов: OpenVPN и WireGuard. Почти все крупные ВПН-сервисы работают с ними. Те, кого не коснулась первая волна блокировок, сегодня столкнулись с тем, что подключение к ВПН через эти протоколы не работает.
Предполагаем, что далее РКН будет блокировать:
- L2TP
- IPSec
- PPTP
- IKEv2
- Shadowsocks
У нас все стабильно
На данный момент, сервис Your.VPN работает с двумя протоколами:
- Shadowsocks
- VLESS
Наши пользователи пока не сталкивались с проблемами при использовании ВПН. Даже если РКН дойдет до блокировки Shadowsocks, мы всегда сможем перевести пользователей на альтернативный вариант — VLESS.
В Your.VPN:
- Нет ограничений на количество подключаемых устройств (вы можете пользоваться одним ключом со своими друзьями и близкими)
- Нет ограничений по количеству трафика (скачивайте файлы любых размеров, смотрите фильмы, слушайте музыку)
- В рамках одной подписки доступны два протокола: Shadowsocks и VLESS, а также все представленные сервера: Нидерланды, Финляндия, Германия, Люксембург, Россия.
Попробуйте сами
Предлагаем бесплатно протестировать сервис в течение десяти дней. Переходите в бота Your.VPN, затем:
- Нажмите «/Start»
- Нажмите кнопку «Попробовать бесплатно» — бот сообщит о том, что ваш промо-период активирован
- Нажмите кнопку «Получить ключ» и выберите протокол
- Сгенерируйте ключ доступа
- Используйте ключ в одном из предложенных ботом приложений
Если у вас возникнут вопросы по сервису — пишите в поддержку, постараемся помочь.
У классического Shadowsocks есть ряд багов, которые позволяют его выявлять (replay-атаки и т.д.), он уже давно считается небезопасным и не рекомендуется к использованию.
Shadowsocks-2022 (он не совместим со старым) в этом плане гораздо лучше.
Надёжных методов детектирования его нет. Он выглядит как "непонятный протокол" без каких-либо явных fingerprint'ов. Согласно последнему GFW-Report, в Китае не заморачивались просто устроили ковровые бомбардировки: для любого неопознанного протокола они поменяют простейшие ээвристики (типа что это не HTTP и не какой-нибудь текстовый протокол типа Telnet), и если они не сработали, то режут нефиг все "неопознанные" подключения. Естественно, collateral damage адовый. Что интересно, из того же отчёта - ресурсы фильтрации у них очень ограничены, то есть детектят только по первым нескольким пакетам, и только TCP, а не UDP - то есть какой-нибудь OpenVPN в UDP-режиме поверх Shadowsocks вполне будет работать (вопрос, насколько долго).
Из вариантов обфускации - плагины к Shadowsocks уже давно прошлый, а то и позапрошлый век. На V2Ray тоже не стоит тратить время, он скорее мертв чем жив. На сегодняшний день самыми прогрессивными тулами являются XRay и Sing-Box (это разные реализации одних и тех же протоколов и механизмов). Там вполне реально запилить маскировку под обычный HTTPS с фейковым веб-сайтом, с удалением второго слоя шифрования (называется XTLS-Vision, предотвращает детектирование TLS-in-TLS), маскировкой fingerprint'а клиента под обычный браузер (например Chrome или Firefox), и вплоть до полной маскировки сервера под какой-нибудь популярный сайт с его реальным TLS-сертификатом и поведением (это называется XTLS-Reality). Бонусом они ещё могут туннелироваться через Websockets (тоже прошлый век) или gRPC (более современный вариант), что позволяет ходить на прокси через CDN типа Cloudflare.
В общем и целом: я бы настроил на сервере XRay+VLESS+XTLS как самую блокировкоустойчивую технологию, и там же (либо на втором IP) поднял Shadowsocks-2022 как запасной вариант.
Альтернативный сетап: Shadowsocks-2022 как основной на каждый день, а как запасной VLESS-over-gRPC (или хотя бы WS) с проксированием через CDN, на случай если сервер забанят (второй протокол можно вообще на IPv6 адресе, CF умеет делать IPv4-to-IPv6).
Спасибо за такой комментарий подробный )
Скоро заблокируют все эти ваши VPN, нечего ими пользоваться) ахаха
Рано или поздно должны прийти к этому. Но будем надеяться, что хотя бы поздно, чем рано ))