VPN для обхода блокировок

Disclaimer: это моё личноё мнение о том, что делать с VPN'ами. Большая часть будет относиться к "заурядному времени", а не к "острому кризису". Заурядным временем я называю ежедневную деятельность в условиях новой и старой "нормальности", а не отсутствие войны. "Кризис" – это люди и внутренние войска на улицах, это Турция-2016, Иран-2018, Ингушетия-2018, Москва-2019, Беларусь-2020, Казахстан-2022 и т.п.

Вкратце:

• если вы провайдер, у вас своя автономная система в любой из стран, давайте поговорим про Refraction Networking в кулуарах :-)
• если вы можете выполнить пять команд в Linux-консоли, установите VPN-сервер для себя и друзей
• любой популярный VPN-сервис будут блокировать. Возможно, и через давление на Google Play и App Store через уже звучавшие угрозы тюремным заключением директорам представительств в России
• надеяться на VPN в моменты кризиса не стоит

Self-hosted Mode

Настроить свой VPN-сервер готовым скриптом довольно просто. С конфигурацией клиента IPsec или Wireguard по моему опыту справляются и далёкие от IT люди. Поступив так, ваш VPN-сервер будет "ниже радаров", а ещё вы сэкономите трафик больших VPN-сервисов для тех, у кого нет друга-айтишника.

Мой выбор — Algo и IPsec. Даёт готовые конфиги для установки в один клик для Android, Linux, macOS, iOS.

Риски этого решения следующие:

• хостер откажется работать с обладателем российского паспорта. Лучше иметь два-три сервера у разных компаний, чтоб это не произошло одновременно.
• оплатить услуги будет сложно. Linode, например, позволяет оплачивать услуги авансом, 1984.is принимает оплату в BTC. Можно найти знакомых с картами в зарубежном банке.
• при использовании DNS-имени до сервера может быть сложнее достучаться. Запишите или запомните также и IP-адрес сервера.
• кто-то будет взламывать пентагон или пиратить торренты. Вам придёт письмо от хостера и попросят прекратить безобразие, или придёт офицер и попросит сдать список пользователей VPN-сервиса. Первое у меня случалось, о втором я никогда ещё не слышал.

Проблема с DNS-именами бывает в том, что DNS-сервера порой "закрываются" от трафика из других стран. Например, некоторые DNS-сервера в Израиле не отвечали на запросы с Египетских IP-адресов, сервера nic.ru не отвечают зарубежным пользователям, а www.army.mil не доступен из России вместе с www.jfkairport.com по той же причине.

Сломается self-hosted VPN, когда в России введут "белый список" VPN-серверов. При том сломаться он может по-разному:

• остальной VPN "замедлят" как Twitter. Банкоматы, удалённые кассы и POS-терминалы работать будут, а вот небольшие IT-компании взвоют от такой "поддержки".
• остальной VPN заблокируют. Так было в Уганде, VPN блокировался пока не уплатишь налог на интернет. При полной и безусловной блокировке VPN в стране никакого "небольшого IT" не останется.
• за VPN будут штрафовать. Так было в Туркменистане, где штраф выражался в отключении интернета до звонка в техподдержку при обнаружении VPN-сессии и разъяснениях о санциях при рецидиве.

"Обфускация" и "маскировка" может быть вредна. Во-первых, операторы могут обрабатывтаь "камуфлированый" трафик с наименьшим приоритетом. Во-вторых, провайдер любой self-hosted VPN может опознать по простому принципу, что 99% трафика абонента идут на один и тот же IP-адрес. Поэтому я считаю, что дополнительно маскировать VPN до наступления кризиса не имеет смысла.

В какой-то момент могут начать блокировать и "маленькие" VPN, подобные прецеденты с Telegram-proxy уже были. Существенная разница в том, что Telegram-proxy не используются для IT-бизнеса, банкоматов и терминалов для платёжных карт.

Отдельно скажу про популярные self-hosted решения:

• Outline и shadowsocks. Он удобен в администрировании, но shadowsocks используется ТОЛЬКО для обхода цензуры и может быть заблокирован или замедлен DPI-фильтрами мобильных операторов как "нераспознанный трафик" или "файлообмен". На Yota подобное уже наблюдалось.
• OpenVPN-over-TCP завёрнутый в obfs4, stunnel, websockets и т.п. Оператор может понимать, что это VPN, т.к. трафик будет идти на один IP-адрес, но вдобавок к тому вы замедлите своё соединение без нужды из-за использования TCP поверх TCP.
• OpenVPN-over-UDP. C одной стороны его использует тот же Amazon, а с другой – многие "бесплатные VPN" ещё недавно были построены именно на его основе, это увеличивает риск попасть под массовые блокировки. Также по какой-то причине пользователи OpenVPN на Android жалуются на прожорливость до батарейки.
• Wireguard. Сравнительно молодой протокол и, я предполагаю, он не набрал критической массы пользователей в бизнесе, чтоб его блокировка обошлась "дорого" для экономики.
• SSH-туннели. В Китаре их отличают от другого SSH-трафика и успешно блокируют, а в заурядные времена их производительность страдают от TCP-over-TCP.

Все эти популярные решения "тактически" могут работать, но я предлагаю отложить их использования до кризиса, когда они могут оказаться единственными рабочими.

Полу-VPN

Существуют методы, которые позволяют обойтись без пропускания всего трафика через VPN.

GoodbyeDPI для Windows, Intra для Android и другие подобные проекты пытаются обманывать фильтры цензоров с разной степенью успешности. Работоспособность таких решений будет различаться от сети к сети. Они вносят минимальное количество дополнительных задержек в связь, но большинство "хитростей" доступны только на десктопных операционных системах.

Другие проекты полагаются на открытость чёрного списка заблокированных сайтов и пропускают через "антиблокировочные" пути только часть трафика. Для браузеров существуют Censor Tracker от Роскомсвободы, "Обход блокировок Рунета" под Chrome и Firefox. АнтиЗапрет существует и для браузеров и в виде VPN-решения. Проблемы у этих сервисов две: при блокировке таких крупных сервисов как Instagram или Facebook у них многократно возрастут затраты на оборудование. Также после внедрения Роскомнадзором Технических Средств Противодействия Угрозам утечка чёрного списка сайтов во многом потеряла свою актуальность и подобным сервисам всё сложнее поддерживать "избирательность".

Эти решения отлично работали с 2012 по 2019 год. После поражения в борьбе с Телеграм в 2018 году Роскомнадзор провёл работу над ошибками и теперь работоспособность таких методов падает, т.к. требует всё большего ручного вмешательства от авторов.

Публичные "freedom fighters"

Крупные публичные бесплатные сервисы по обходу цензуры – freedom fighters. Порой идейные, порой с грантами от "демократических" правительств, порой с бизнесами по модели try-n-buy. Все они "приложения", все их возможно заблокировать ФСБ-шником, все они будут глючить под блокировками в той или иной степени из-за "централизации" управлением "облаком клиентов".

Psiphon с кучей "камуфляжных" протоколов, Tor с разными "мостами" от мусороподобного obfs4 до Snowflake маскирующегося под WebRTC, Lantern, 1.1.1.1, hi-l.eu и Red Shield VPN, декларирующие борьбу с блокировками. Ну вы знаете список. @vas3k написал о них лучше.

Кризис

В Кризис бывает всякое и подготовиться к нему на 100% невозможно, но интернет построен так, чтоб управляться через интернет же и иногда что-то работает.

В Казахстане работал VPN на нестандартных портах, используемых для протоколов маршрутизации. Иногда по этой же причине через интернет-блокаду прорывается Tor. Работали тунели обычного трафика поверх DNS.

В Иране работал VPN через цепочку из двух серверов: сначала VPN-соединение с сервером в Иране, а от сервера в Иране на сервер "за железный занавес". В это же время практически все шифрованные соединения (SSH, RDP, TLS и т.п.) напрямую к "домашним" подключениям переставали работать через несколько секунд.

SIM-карты зарубежных операторов и Travel-SIM для роуминга (например, Drimsim) позволяют обойти часть фильтров и некоторые "отключения" интернета.

Модемы для телефонных линий (Dial-up) работать скорее всего на сколь-либо полезной скорости не будут в свете тотальной цифровизации этого вида связи.

Что из этого будет работать – не известно, но кризис обычно длится всего несколько дней. Готовиться "к худшему" я вижу смысл в двух случаях: для развлечения без надежды и уверености в успехе или если добыча интернета в зоне кризиса стала профессией.