VPN

Подписчиков:

Постов:

194

технологиицензураблокировкиблокировка сайтовVPNhabrhowtohow toдлиннопостдлиннотекст...

"VPN Gate", или – неубиваемая Великим Китайским Фаерволом распределённая сеть VPN

Сегодня речь пойдёт о технологии распределённой сети "VPN Gate", своего рода недруга Поднебесной в области интернет цензуры. На "Хабре" много статей на тему "SoftEther" VPN (нижележащий слой "VPN Gate"), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли.

"VPN Gate" – академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний "Глобальных распределенных открытых ретрансляторов VPN".

,технологии,интернет,цензура,блокировки,блокировка сайтов,VPN,habr,howto,how to,длиннопост,длиннотекст

Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может поделиться своей пропускной способностью с другими. Я знаю, что вы подумали, очередной неудачный "dVPN" пиар на основе блокчейна.

Однако это не так, данный проект уже насчитывает 8634 узлов и 534 петабайта трафика за всё время существования. К примеру даже у TOR-а узлов – 7 тысяч.

Основными пользователями являются китайцы, в связи с успешной архитектурой борьбы против активных пробов Великого Китайского Фаервола.

Установка GUI клиента, сервера со встроенным плагином осуществляется через собственный сайт "VPN Gate". Каждый сгенерированный zip билд программы отличается размером, чтобы осложнить DPI анализ данных внутри. Также в него записываются рандомные адреса VPN серверов, если изначальные сервера VPN Gate для получения списков будут заблокированы.

Но как по мне самым большим успехом команды проекта было прикручивание "NAT Hole Punching", где каждый пользователь, даже без белого IP, мог бы поделиться своей пропускной способностью. Никакой регистрации.

Борьба с Фаерволом.

Спросите вы, почему Китайский Фаервол (GFW – "Great Firewall of China") ещё его не заблокировал, здесь же начинается хронология борьбы между силами добра и зла/

Сразу после начала проекта, первые 4 дня наплыв большинства пользователей был именно из Китая, 5к пользователей разом нахлынули на сервис.

На пятый день GFW заблокировал основной сайт "VPN Gate". Пользователи начали делиться установщиками на порталах таких, как "Weibo".

Тогда GFW начал блокировать сервера VPN, получая их с главной страницы проекта, только они сделали ошибку, они не проверяли IP адреса на легитимность, и тогда команда проекта бросает на стол.

Они начинают смешивать рандомные IP адреса со списком, в течение трёх дней у них полный контроль над тем, что блокирует GFW, они ломают внутренние сайты Китая.

GFW видит свою ошибку и прежде чем блокировать всё подряд, начинает проверять каждый IP адрес путём мощной технологии DPI, которая называется active probing. Это когда на каждый запрошенный пользователем удалённый IP адрес сначала отправляется рандомный GFW бот (с рандомного IP) с тестовым запросом, и если в полученном ответе содержатся запрещённые фильтром слова, удалённый IP адрес блокируется.

Но так как количество серверов "VPN Gate" большое, то у сети преимущество, что если клиенты будут отправлять на проверку логи каждых кратковременных запросов от узлов, которые пытались к ним подключиться?

VPN Gate List Server
Server list
IPi
IP2
IP3
IPn : The IP address of VPN Gate Server £n.
: A verified IP address.
It can be safely put into the blocking list of the firewall.
* : A non-verified IP address. Since it can be an innocent IP address, the authority cannot put it into the bloc

Ребята автоматически начали обрабатывать такие логи у себя на сервере. Так как у провайдеров поднебесной большой пул адресов, одиночным серверам не всегда удаётся узнать айпишник бота который их просканил и выдал на казнь GFW. Вдобавок даже с обфускацией VPN протокола к ним подключаются много людей, что эвристически обнаруживается.

Но если учитывать статистику со всех узлов, к которым одновременно в коротком интервале подключаются и отключаются айпишники, то их можно отсеять и заблокировать. Таким образом сеть отражает попытки GFW ботов их найти. К тому же она выдаёт лишь ограниченный список серверов пользователям, даже если одновременно с 16 миллионов (по некоторым данным, есть даже иностранные пулы) IP адресов GFW попытаются просканировать сеть, у них это не получится. Итог — чем больше участников, тем сильнее оборона.

Динамичные IP адреса участников за NAT также сыграли положительную роль в доступности сети.

VPN сервера оперируют на четырёх протоколах: SSL-VPN, OpenVPN, L2TP/IPsec, MS-SSTP.

Любым желающим помочь, которым не жалко поделиться интернет каналом, могут скачать пакет сервера, настраивается за 5-6 кликов. Также можно указать свое сообщение пользователям при подключении, оставить адрес почты для связи – есть некоторая подстраховка от silovikov, клиент хранит пакеты подключений две недели (можете обрадовать Яровую и поставить на 30 дней, шучу), скорость также можно настроить, есть настраиваемый встроенный фаервол с политиками безопасности, т.е. ваши локальные адреса в безопасности, установка без прав администратора.

Тем, кто хочет подключиться можно скачать пакет клиента. Есть возможность выбирать страны с лучшим пингом и пропускной способностью.

Д SoftEther VPN Client Manager
Connect Edit View Virtual Adapter Smart Card Tools Help
VPN Connection Setting Name
zj Add VPN Connection
¿VPN Gate Public VPN Relay Servers
Virtual Network Adapter Name Я* VPN Client Adapter-VPN
Status VPN Server Hostname
Virtual Hub Virtual Network A...
VPN

Источник: "Хабр", @penetration.

Отличный комментарий!

Shagiev

07.01.2023, 15:22

ссылка

-50,9

А еще на джое частенько встречаются полные копии изображений с onlyfans. И чо?

SeKaNoBaka

07.01.2023, 15:26

ссылка

+26,5

Предлагаю реакторчанам переснимать кадры с онлифанса заменяя собой камвхор, тогда такие не доебутся!

SoBoJId

07.01.2023, 15:27

ссылка

+43,1

IStranger

VPNsurfsharkРоскомнадзорполитикароскомпозор

В России заблокировали очередной популярный VPN

На этот раз жертвой Роскомпозора пал Surfshark - приложение пока работает на мобилках, но press F на десктопах.

Surfshark,VPN,surfshark,Роскомнадзор,политика,роскомпозор

diamonius

пидоры помогитеVPN

Необходим впн с поддрежкой L2tp/ipsec

Уважаемые пидоры. Недавно пропала поддержка данного протокола у expressVPN, которым я пользовался, а впн на роутер нужен как воздух. пробовал бесплатные сервера, но скорость стремится к нулю. может есть у кого опыт пользования подобным?

г' КУПОН ^
НА 1 ПОМОЩЬ,пидоры помогите,реактор помоги,VPN

Vektor01A

пидоры помогитеVPN

КУПОН
НА 1 помощь,пидоры помогите,реактор помоги,VPN

Из какой страны лучше всего заходить на джой?Прикупил я себе vpn и всё вроде неплохо сайты оказались разблокированы (по крайней мере те про которые я вспомнил). На джое большая часть тегов тоже теперь доступны, но не ВСЕ. И у меня вопрос как настроить vpn, что бы видеть все теги? А то с тем же успехом я мог боярский акаунт оплатить. Заранее спасибо.

Alex_Devera

реактор образовательныйсамообразованиеit-безопастностьмануалVPNсделай самсистемный администраторitдлинный пост

Пак знаний, учение свет. #3 Wireguard, поднимаем свой VPN.

Сап джой, будет много текста и картинок, но тебе это понравиться (надеюсь).

Давно хотел написать эту инструкцию, но всё времени не было. Решил заставитьсебя.
Немного предыстории, пройдёмся по цифрам и приступим к практике.

Предистория:
Когда я выбирал какой протокол выбрать для поднятия забугорногоVPNсервиса,я ориентировался на то, что-бы туннель обладал высокой пропускной способностьюи не бы чувствителен к небольшой потери сигнала\пакетов (привет мобильноеинтернет соединение).
Тут была инструкция по настройке OpenVPN. Ни в коем случае не хочу приуменьшить вклад анона,так как «я за» любое просвещение людей в компьютерной грамотности. Вот только авторумолчал что OpenVPN достаточно медлителен,и тот же IPSecAES почтив половину производительнее.
Так же любитель пожрать ресурсы хоста.

Throughput
WireGuard IPsoc (ChaPoty)
IPsec (AES-GCM)
OpanVPN
128
256
384
512
640
768
896 1.024
megabits per second (higher is better),реактор образовательный,самообразование,it-безопастность,мануал,VPN,сделай сам,системный администратор,it,длинный пост

Ping Time
WireGuard
IPsec (ChaPoly)
IPsec (AES-GCM)
OpenVPN
0.5
1.0
I
0.0
milliseconds (lower is better)
1.5,реактор образовательный,самообразование,it-безопастность,мануал,VPN,сделай сам,системный администратор,it,длинный пост

пруф

Да и скажу честно, в принципе это сложно было назватьинструкцией.
Так же автор забыл о защите самого хоста, а это не мало важно.
Перейдём к практике:

Допустим вы уже приобрели себе VPS (вкомментах я подкину парочку, которые я сам юзаю, если хотите) И самостоятельно установили ОС. Я обычно использую либо Debian либо Ubuntu, вданном случае второе.
Давайте обновим пакеты, и поставим нужный софт:

Unpacking Iibqrni-glib5:arnd64 (1.30.4-l~ubuntu20.04.1) ...
Selecting previously unselected package libqrni-proxy.
Preparing to unpack .../21-libqrni-proxy_l.30.4-l~ubuntu20.04.l_amd64.deb ... Unpacking libqrni-proxy (1.30.4-l~ubuntu20.04.1) ...
Preparing to unpack .. ./22-fwupd_1.7.5-3~20.04

sudo apt update && sudo apt upgrade -y && sudoaptautoremove -y && sudo apt install git screen fail2ban mc

Конструкция «sudo apt install git screen fail2ban mc» отвечает за установкунужного нам ПО:
1) git– это апекуха для импортирования проектов из git-репозиториев. Просто навсякий случай.
2) screen– это для того, что бы в случае обрыва sshсоединениявы могли продолжить работать с того же места, где произошёл обрыв.
3) fail2ban–это для защиты второй лини нашего vpnсервиса.

4) MC – (MidnightCommander)это удобный файловый менеджер в «консольной среде», что бы не возится скомандами навигации.

Обновляем и ставим всё это дело, после этого можноперезагрузить хост, и подключиться по SSH.
После подключения набираем команду screen, чтобы в случае обрыва связи, мы смогли вернуться обратнок работе без потерь.

Далее скачиваем деплой-скрипт с github.
curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh

alexfwireguard: $ curl -0 https://raw.githubusGrcontGnt.coni/angristan/wirGguard-install/raaster/wirGguard-install.sh % Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 15554 100 15554 0 0 46154 0 —: —:---------------46154
alex§wireguard: $

Делаем его исполняемым (даём права на выполнение для всех пользователей)
sudo chmod+x wireguard-install.sh
Запускаеми сразу после старта нас любезно спросят важные для сервера параметры. Давай ихразберём.

alexfwireguard: $ curl -0 https://raw.githubusGrcontGnt.coni/angristan/wirGguard-install/raastGr/wirGguard-install.sh % Total % RGCGivGd % Xford Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 15554 100 15554 0 0 46154 0 —: —:-----: —:------46154
alex£wireguard: $

Первая строка выводит нам твой внешний (белый) ip-шник к которому мы будемцепляться. Его не меняем, как бы не хотелось. Далее.
Public interface– имя сетевой платы (если по простому) через который будетработать сервер.
Wireguard interface– имя виртуальной сетевой платы. (имя вашего соединения, егонужно запомнить)
Следующие две стоки, внутренние ip-адреса.Здесь вы можете указать удобный для вас диапазон адресов, которое будутприсваиваться вашим устройствам при подключении к серверу.
Далее указываем внешний порт соединения к вашему серверу.
Стандартный порт: 57141.Я бы рекомендовал его сменить и\или запомнить, он пригодится очень скоро.
Последнее два вопроса, это dns сервера. Вы можете указать свои (если знаете какие) у меняже это адреса adguard. Что-бы блокировать рекламу.
Нажимаем Enterи ждём завершенияустановки\настройки. Скрипт начнёт скачивать нужные файлы для сервера.

По завершению тебя попросят ввести имя. Это имя твоегопервого соединения. Далее тебе предложат набрать ip-адрес.Лучше оставь его как есть. И в принципе всё. Тебе сгенерируется qr-коддля настройки соединения на твоём мобильном устройстве и путь к файлуконфигурации для других платформ. Сделай скрин, он нам потом пригодится. Что бысоздать ещё одного клиента просто запусти скрипт ещё раз и пройди все шагиснова заполняя данные. Под каждое устройство лучше иметь отдельную конфигурацию.

s.
Client name: Alex
Client's WireGuard IPv4: 10.66.66.2 Client's WireGuard IPv6: fd42:42:42::2
Here is your client config file as a QR Code:
It is also available in /home/alex/wg0-client-Alex.conf
If you want to add more clients, you simply need to run this script another time!

Длянастройки клиента на Winows\Mac\Linux тебепонадобится файл конфигурации. Он будет находится в директории указанной нижу qr-кода.Вот тут нам и понадобится MC. Запускаем его просто набрав “MC” (илиsudo mc, если хотите запустить с правами суперпользователя, нотогда придётся прогуляться по папкам)
В появившемся окне находим файл .conf именемкоторый мы давали конфигурации, нажимаем F4. Всписке текстовых редакторов лучше выбрать nano. Простоставим цифру, на против которой имя редактора и клацаем enter. Переднами конфигурационные данные, которые мы уже видели при создании пользователя.Скачиваем клиент для вашей ОС (в моём случае это Windows)
Клацаем на треугольник рядом с кнопкой добавить туннель àДобавитьпустой туннель. В открывшаяся окно копируем из ssh сессииданные из файла, сохраняем. Ctrl+x выйтииз редактора и F10 выйти из MC. И впринципе с создание туннеля всё. Весь ваш трафик теперь перенаправляется на вашVPN. На этом можно было бы и закончить, но как я говорил,нужно обезопасить ваш сервер. Но сначала добавим возможность автоматическогозапуска туннеля, так как при перезагрузке сервер не запустится.
sudo systemctl enable wg-quick@имя_вашего соединения (wg0)
Готово.

$Tabby • alex@192.168.31.15:22 Ç - С Переподключение \ш SFTP V Порты GNU nano 4.8_______________________________/home/alex/wg9-client-Alex.conf [Interface] PrivateKey = IGKlMNzNBCMd4nkcMbepratCVM7lOn4GD7KYfqitumV0= Address = 10.66.66.2/32,fd42:42:42::2/128 DNS = 94.140.14.14,94.140.15.15 [Peer]$

Безопасность:
Небуду описывать сколько в интернете ботов и всякого другого дерьма, просто скажу,что их много и надо уметь постоять за себя и свою инфраструктуру. Этом мы ибудем заниматься.
Для начала сменим порт ssh-соединения.Открываем файл конфигурации ssh-сервера. (да, без оболочки. Так быстрее.) Запускаемобязательно с правами суперпользователя (sudo)
sudo nano /etc/ssh/sshd_config
Ищем в файле sshd_config строку «port 22» Она обычно сверху. Убираем #, и меняем цифру на вашпорт, допустим 4422. Не забудьте его! Выходим предварительно сохранивизменения.

GNU nano 4.8
/etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options

Перезапускаем службу ssh, что бы она получила новые параметры из файла.
sudo systemctl restart ssh.service

Перезапускаем ssh-сессию,не забывая сменить порт в подключении и при подключении снова набираем screen. Далеенастраиваем firewall. По умолчанию он выключен в ubuntu. Что бы проверить этонабираем sudo ufo status.И ответом нам будет Status: inactive. Прежде чем включать firewall настроим нужные правила, иначе удалённый хост станетнедоступен для нас по ssh. Вот список команд, просто вставляйте их в консоль:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 4422 <-- наш ssh
sudo ufw allow 57141 <-- наш Wireguard туннель

В двух словах что мы сделали: разрешили весь исходящий трафик, запретиливесь входящий кроме нашего ssh и нашего Wireguard сервера.
Включаем наш firewall командой:
sudo ufw enable
Вы получите предупреждение:
Command may disruptexisting ssh connections.Proceed with operation(y|n)?
Это означает, что запуск этого сервиса может разорвать текущее ssh соединение.

Но, так как мы его уже добавили ssh вправила, этого не произойдет. Поэтому просто нажмите (y).
Можно перезагрузится :)

Так же мы качали такую замечательную вещь как Fail2Ban, еёможно не настраивать так как она прекрасно работает из коробки. Я оставлю всессылки на все полезные ресурсы в конце, если захотите покопаться.

Заключение:
Отсылаяськ началу этой статьи я бы хотел сказать, что OpenVPN неплохой протокол, как это могло показаться. У Wireguard есть 2существенных минуса:

1) При подключении к хосту, клиенты могут видеть друг-друга. То есть вы можетепропинговать ваше соседнее устройство. Это можно исправить настройками firewall’aи не так критично, но из коробки OpenVPNсразуотрезает подобное.
2) У Wireguard легко детектится его трафик, а именно момент обмена хендшейков(handshake) то есть в сам туннель попасть сложно, но вот определитьи прикрыть его можно легко. Нужно делать обфускацию трафика что-бы было сложнееего заметить. Сам я ещё не опробовал, но хочу заюзать socks5 дляпередачи первичной передачи хендшейка. У OpenVPNестьже готовая приблуда так же «из коробки»
Так же стоит упомянуть что я не настроил авторизацию на сервере через ключ-файл потому что мне лень, но я осталю на это линк ниже.
В принципе на этом всё, спасибо что прочитали, все ссылки на полезные ресурсы прилагаю.
Пост написан исключительно для любимого Джояи для тебя анон лично.
Занимайтесь самообразованием, остаюсь с вами на связи в комментах, если что то забыл - дополню там, пока.

,реактор образовательный,самообразование,it-безопастность,мануал,VPN,сделай сам,системный администратор,it,длинный пост

Полезные сслки:
настройка Fail2ban
Wireguard клиенты
Мой ssh клиент
Git-репозиторий скрипта

Понравилось?

Да, хочу ещё! :)

329(53,32%)

Нет, пшёл вон :(

36(5,83%)

Я картошка

252(40,84%)

TransMango

VPNitgeek

Как поднять свой VPN, даже будучи обезьянкой.

Наверняка большинству это известно, но мало ли, может кто-то не знал.

Поднять сервер OpenVPN можно всего одним скриптом, буквально одной строчкой. "wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh"

Т.е. хотите Вы посидеть в инстаграммах с территории РФ, а никак.

Тогда идем в гугл и ищем "VPS хостинг". Ищем хост который находится заграницей, в государстве где есть доступ к нужным сайтам. Обязательно ознакамливаемся с тарифными планами и условиями, к сожалению, не все хосты разрешают держать серверы vpn, но на некоторых он даже есть уже предустановленный(на ZOMRO уже есть линукс машины с предустановленным OpenVPN).Берем в аренду хостинг на котором установлен Linux. На почту Вам придут данные авторизации, ip сервера, логин и пароль.

Далее понадобятся три программы: FileZilla, PuTTY, OpenVPN.

д [if] шГ a
FileZilla OpenVPN-2.5.7-1 602-amd64 PuTTY,VPN,it,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор

OpenVPN работает на всех платформах, ios, android, mac, linux,windows.

С помощью PuTTY подключаемся к консоли сервера, авторизовываемся. Все что нужно это ввести строчку "wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh"

login as:root
rootiaM is password:
Linux vin3638319 4.19.0-20-amd64 #1 SMP Debian 4.19.235-1 (2022-03-17) x86 64
The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in

При повторном вводе откроются настройки OpenVPN, нужно будет создать себе сертификат. Сертификатов можно создать несколько, например друзьям, чтобы вскладчину оплачивать хостинг. Затем с помощью FileZilla достаем наш сертификат. Все интуитивно и просто.

fz sftp://root©|
I- FileZilla
О
X
Файл Редактирование Вид Передача Сервер Закладки Помощь Доступна новая версия!
О № О % VI ^ А ~
Хост:
Имя пользователя: root
Пароль:
Порт:
Быстрое соединение ▼
Статус: Соединяюсь ■
Статус: Using username root'.
Статус: Connected tc
Статус: Получение

Сертификат этот добавляем в приложение OpenVPN которое Вы должны установить на телефон, пк, куда угодно.

По моему это куда лучше чем надеяться на приложения которые могу закрыть в любой момент, скорость не режет, работает стабильно, кроссплатформа и это самый просто способ который только существует. Так же ПО распространено и если будут трудности их легко можно решить через гугл.

p/s: вместо покупки хостинга можно развернуть сервер на пк вашего друга который живет за бугром.

Так же необязательно сразу оплачивать хостинг, есть время на тест, около недели.

Алексей Шибаев

политикаVPNблокировки

Россия встала на второе место после Индии по количеству скачиваний VPN-сервисов

В июле их скачивали в шесть раз чаще, чем в январе

В марте—июле Россия занимала второе место в мире по количеству загрузок VPN-сервисов, следует из предоставленной РБК статистики AppMagic — сервиса, который анализирует рынок мобильных приложений.

За первые три недели июля VPN-сервисы в России скачали более 12 млн раз (под одним скачиванием подразумевается скачивание на одно устройство, то есть один пользователь может скачать приложение на несколько устройств). Для сравнения: в январе 2022 года VPN-сервисы в России загрузили 2 млн раз и страна занимала 16-е место в мире по этому показателю, в июле 2021-го — 2,7 млн и 15-е место соответственно.
На первом месте за последние полгода была Индия, также в пятерку входили Пакистан, Индонезия и США, следует из данных AppMagic.

Как скачивают VPN

AppMagic не приводит данные о числе пользователей VPN, но приводит показатель Lifetime Downloads — под ним понимается совокупное количество скачиваний из магазинов приложений с 2015 года, когда начался мониторинг и до текущего момента. Для наиболее популярных у россиян сервисов VPN показатель Lifetime Downloads составлял: VPN — Super Unlimited Proxy — 14,36 млн скачиваний; Secure VPN — Safer Internet — 12,08 млн; VPN Proxy Master — Safer Vpn — 10,8 млн; 1.1.1.1: Faster & Safer Internet — 10,8 млн; Turbo VPN — Secure VPN Proxy — 12,8 млн. Это от 5 до 20% от Lifetime Downloads указанных сервисов в мире.

Сурс

zjio

песочницаполитикаVPN

У мелких блогеров начали закупать рекламу о вреде VPN

У мелких блогеров начали закупать рекламу о вреде VPN

В ней они винят сервисы во всех смертных грехах: перенагрев телефона, взломах, быстрый разряд батареи, увеличенный расход трафика и многом другом

Так же такие статьи стали поголовно выпускать и СМИ

Продолжение в комментариях, не получается залить несколько фото