Vpn

Все заинтересованные наверное уже знают, что ТСПУ как-то начал детектить и блокировать VLESS. Изначально я думал что-то случилось с моим сервером, потому что vpn работал через раз, а не отвалился полностью. Потом нашлось обсуждение в issue xray-core и статья на хабре. Что предлагают для решения проблемы: смена транспорта на xHTTP поэксперементировать с fingerprint = randomized (или random) https://xtls.github.io/en/config/transport.html#streamsettingsobject поменять порт сервера с 443 на что-то другое удалить SNI Мне помогло просто поменять fingerprint с chrome на firefox и очистить serverName: ...

Заметка о том как создать mesh-сеть Yggdrasil over TLS и убрать публичный пир за Nginx. Кратко, что такое Yggdrasil? Это протокол для создания зашифрованной overlay IPv6 mesh сети поверх локальных и публичных сетей. Нам не надо знать как маршрутизируется трафик, через что подключены узлы сети (wi-fi, ethernet, bluetooth), достаточно чтобы пиры как-то могли подключиться друг к другу. Зачем использовать TLS и 443 порт? Это будет примитивная маскировка под обычный TLS трафик с указанием в SNI-заголовке левого домена. Этого должно хватить для обхода простых блокировок. ...

После каких-то очередных манипуляций на Ростелекоме мой wireguarg туннель приказал долго жить (как и IPv6 почему-то), поэтому перехожу на amneziawg. Amneziawg - это форк wg поддерживающий добавление шума в стандартный протокол wireguard. Понятно, что в час Х, когда государство решит закрутить гайки, этот протокол будет легко забанен, но пока он работает и можно пользоваться. На крайний случай останется wg через vless, хотя скорость в таком случае не очень. Установка в Ubuntu Включаем источники src пакетов (deb-src) в /etc/apt/sources.list.d/ubuntu.sources ...

В заметке опишу как организовать доступ к серверу в локальной сети через Xray. Про базовую настройку Xray можно посмотреть тут. В терминологии xray схема с реверс-прокси состоит из двух участников: portal и bridge. Portal - это сервер который доступен из интернет и который выполняет роль реверс-прокси. Bridge - сервер/клиент который находится в приватной сети и через который осуществляется доступ к ресурсу в приватной сети. Допустим у нас в локальной сети есть веб-сервер без публичного IP и мы хотим опубликовать его через xray portal. Клиенты из интернет будут подключаться к публичному серверу А и через служебный канал (vless, shadowsocks…) между A и B получать доступ к приватному серверу. ...

С другой стороны, а кто из IT-специалистов не мечтал пожить в каберпанк антиутопии? Минцифры опубликовало проект изменений в постановление Правительства РФ от 26 октября 2012 г. № 1101, согласно которым РКН наделяется правом включать в реестр интернет-ресурсов, доступ к которым в России должен блокироваться, сайты с информацией о способах, методах обеспечения доступа к информационным ресурсам и информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ. Источники СМИ сообщили, что новый проект постановления Минцифры коснётся сайтов со списками VPN или инструкциями по созданию собственных VPN и прокси-серверов, позволяющих обходить ограничения по запрету.

Что делаем? Настроим так чтобы на одном порту 443 висел и nginx с нашими сайтами и xray XTLS-Reality, который работает как прокси для авторизованных пользователей и притворяется валидным сайтом (в примере www.google.com) для всех остальных. XTLS-Reality предназначен для защиты от выявления методом active probing. В отличие от старых протоколов (Shadowsocks, VMess, VLESS, и транспорта XTLS-Vision), определение “свой/чужой” здесь происходит на этапе TLS-хендшейка в момент чтения ClientHello. Если клиент опознан как “свой”, сервер работает как прокси, а если нет - TLS подключение передается на другой хост с TLS (например, google.com), и таким образом клиент (или цензор, желающий методом active probing проверить, что прячется на том конце) получит настоящий TLS-сертификат от google.com и настоящие данные с этого сервера. ...