Очередные блокировки протоколов ВПН OpenVPN и WireGuard

Всем привет!

Очередные блокировки протоколов ВПН OpenVPN и WireGuard

Снова блокируют

Сегодня, 24-го августа, наблюдаются новые блокировки двух популярных ВПН-протоколов: OpenVPN и WireGuard. Почти все крупные ВПН-сервисы работают с ними. Те, кого не коснулась первая волна блокировок, сегодня столкнулись с тем, что подключение к ВПН через эти протоколы не работает.

Предполагаем, что далее РКН будет блокировать:

  • L2TP
  • IPSec
  • PPTP
  • IKEv2
  • Shadowsocks

У нас все стабильно

На данный момент, сервис Your.VPN работает с двумя протоколами:

Наши пользователи пока не сталкивались с проблемами при использовании ВПН. Даже если РКН дойдет до блокировки Shadowsocks, мы всегда сможем перевести пользователей на альтернативный вариант — VLESS.

  • Нет ограничений на количество подключаемых устройств (вы можете пользоваться одним ключом со своими друзьями и близкими)
  • Нет ограничений по количеству трафика (скачивайте файлы любых размеров, смотрите фильмы, слушайте музыку)
  • В рамках одной подписки доступны два протокола: Shadowsocks и VLESS, а также все представленные сервера: Нидерланды, Финляндия, Германия, Люксембург, Россия.

Попробуйте сами

Предлагаем бесплатно протестировать сервис в течение десяти дней. Переходите в бота Your.VPN, затем:

  • Нажмите «/Start»
  • Нажмите кнопку «Попробовать бесплатно» — бот сообщит о том, что ваш промо-период активирован
  • Нажмите кнопку «Получить ключ» и выберите протокол
  • Сгенерируйте ключ доступа
  • Используйте ключ в одном из предложенных ботом приложений

Если у вас возникнут вопросы по сервису — пишите в поддержку, постараемся помочь.

88
4 комментария

У классического Shadowsocks есть ряд багов, которые позволяют его выявлять (replay-атаки и т.д.), он уже давно считается небезопасным и не рекомендуется к использованию.

Shadowsocks-2022 (он не совместим со старым) в этом плане гораздо лучше.

Надёжных методов детектирования его нет. Он выглядит как "непонятный протокол" без каких-либо явных fingerprint'ов. Согласно последнему GFW-Report, в Китае не заморачивались просто устроили ковровые бомбардировки: для любого неопознанного протокола они поменяют простейшие ээвристики (типа что это не HTTP и не какой-нибудь текстовый протокол типа Telnet), и если они не сработали, то режут нефиг все "неопознанные" подключения. Естественно, collateral damage адовый. Что интересно, из того же отчёта - ресурсы фильтрации у них очень ограничены, то есть детектят только по первым нескольким пакетам, и только TCP, а не UDP - то есть какой-нибудь OpenVPN в UDP-режиме поверх Shadowsocks вполне будет работать (вопрос, насколько долго).

Из вариантов обфускации - плагины к Shadowsocks уже давно прошлый, а то и позапрошлый век. На V2Ray тоже не стоит тратить время, он скорее мертв чем жив. На сегодняшний день самыми прогрессивными тулами являются XRay и Sing-Box (это разные реализации одних и тех же протоколов и механизмов). Там вполне реально запилить маскировку под обычный HTTPS с фейковым веб-сайтом, с удалением второго слоя шифрования (называется XTLS-Vision, предотвращает детектирование TLS-in-TLS), маскировкой fingerprint'а клиента под обычный браузер (например Chrome или Firefox), и вплоть до полной маскировки сервера под какой-нибудь популярный сайт с его реальным TLS-сертификатом и поведением (это называется XTLS-Reality). Бонусом они ещё могут туннелироваться через Websockets (тоже прошлый век) или gRPC (более современный вариант), что позволяет ходить на прокси через CDN типа Cloudflare.

В общем и целом: я бы настроил на сервере XRay+VLESS+XTLS как самую блокировкоустойчивую технологию, и там же (либо на втором IP) поднял Shadowsocks-2022 как запасной вариант.

Альтернативный сетап: Shadowsocks-2022 как основной на каждый день, а как запасной VLESS-over-gRPC (или хотя бы WS) с проксированием через CDN, на случай если сервер забанят (второй протокол можно вообще на IPv6 адресе, CF умеет делать IPv4-to-IPv6).

1
Ответить

Спасибо за такой комментарий подробный )

Ответить

Скоро заблокируют все эти ваши VPN, нечего ими пользоваться) ахаха

Ответить

Рано или поздно должны прийти к этому. Но будем надеяться, что хотя бы поздно, чем рано ))

Ответить