Законы SOCKS5, VLESS и L2TP. Роскомнадзор научился блокировать самые надежные протоколы

[ShadowMan]

РКН обновил настройки оборудования ТСПУ для борьбы с обходом блокировок.

Роскомнадзор обновил настройки технических средств противодействия угрозам, чтобы ужесточить борьбу с обходом блокировок через VPN. Речь идет о специальном оборудовании на сетях операторов связи в России, через которое фильтруется трафик, отражаются DDoS-атаки, блокируется доступ к запрещенным ресурсам или ограничивается скорость подключения к ним. О новых настройках ТСПУ изданию РБК сообщили несколько источников на телеком и рынке информационной безопасности, эту информацию подтверждают опрошенные специалисты.

VPN (Virtual Private Network) это технология, которая создает зашифрованный «тоннель» для интернет трафика. При подключении к VPN данные пользователя сначала уходят на удаленный сервер, а уже затем в интернет. Это позволяет скрыть реальное местоположение и защитить передаваемую информацию от перехвата.

По данным источников, Роскомнадзор начал целенаправленно блокировать еще три VPN протокола SOCKS5, VLESS и L2TP. Протоколов существует десятки, без них не может работать ни один VPN сервис. Они определяют, как именно устанавливается защищенное соединение, какой у него уровень шифрования, скорость и устойчивость к блокировкам. В последние месяцы именно SOCKS5, VLESS и L2TP активно использовались для доступа к заблокированным ресурсам, поэтому системы ТСПУ стали чаще их отфильтровывать, отмечают эксперты.

По их оценке, VLESS был одним из последних относительно стабильно работавших VPN протоколов, который долгое время не удавалось эффективно обнаруживать и блокировать на уровне ТСПУ. Его популярность объясняют высокой скоростью и надежностью, а также тем, что он оставляет минимум технических следов, что ранее затрудняло выявление такого трафика. Сейчас, по словам специалистов, ТСПУ научились определять соединения на базе VLESS по косвенным признакам. SOCKS5 и L2TP считают более старыми решениями, которые сами по себе не шифруют трафик, но могут использоваться в связке с другими средствами шифрования или маскировки.

Массовые жалобы пользователей на проблемы с работой VPN на базе SOCKS5, VLESS и L2TP начали активно появляться в конце ноября. В первую очередь сообщения приходили из Татарстана, Удмуртии, Нижегородской, Свердловской, Новосибирской, Томской и Волгоградской областей, а также из Приморского края.

Представитель Роскомнадзора в ответ на запрос издания сообщил, что ведомство «последовательно обеспечивает развитие систем безопасности функционирования на территории России сети интернет и сети связи общего пользования». По его словам, развитие этих систем направлено на защиту от актуальных технологических и информационных угроз.

Механизмы давления на VPN в России начали формироваться еще в 2017 году, когда VPN сервисам и анонимайзерам предписали ограничивать доступ к ресурсам из реестра запрещенной информации. Если владелец сервиса не выполняет требования регулятора, Роскомнадзор может заблокировать сам сервис. В марте 2024 года вступили в силу поправки к закону «Об информации, информационных технологиях и защите информации», которые запретили распространение сведений о способах доступа к заблокированным сайтам. За нарушение этих правил ведомство вправе заблокировать распространителя такой информации и добиваться удаления отдельных VPN приложений из магазинов мобильных приложений.

Подробнее: https://www.securitylab.ru/news/566819.php

 

[ShadowMan]

P.S. Ну что, пора собирать чемоданы?

 

[sysbot]

Скорость видимо тупо урезали всему трафику, а особенно по подозрительным сигнатурам, по трафу бегающему за кардон. Ну и диапазоны известных сервисов все время проверяют и лочат. Вот и вся блокировка. Нужно делать индивидуальные решения с учетом всевозможных нюансов, не только сетевых. И лучше всего наити исполнителя в теме, знакомого с упомянутыми нюансами. Обращайтесь. Это недешево, но более надежно чем использовать неизвестно чьи сервисы.

 

[Theriella]

Скорость видимо тупо урезали всему трафику, а особенно по подозрительным сигнатурам, по трафу бегающему за кардон. Ну и диапазоны известных сервисов все время проверяют и лочат. Вот и вся блокировка. Нужно делать индивидуальные решения с учетом всевозможных нюансов, не только сетевых. И лучше всего наити исполнителя в теме, знакомого с упомянутыми нюансами. Обращайтесь. Это недешево, но более надежно чем использовать неизвестно чьи сервисы.

лучше вместо рекламы написать статью одну по всем протоколам, и как можно сейчас обойти все блокировки и тд, чтобы потом к тебе пришли за услугами, а вообще депозит внести надо и создать тему ещё) оказания услуг данных. Но кому-то доверять, делать настройку всех инфры - опасно так-то, если только покупать обучение какое-то, вот почему именно к тебе человек должен пойти и отдать кэш за услугу?

 

[sysbot]

лучше вместо рекламы написать статью одну по всем протоколам, и как можно сейчас обойти все блокировки и тд, чтобы потом к тебе пришли за услугами, а вообще депозит внести надо и создать тему ещё) оказания услуг данных. Но кому-то доверять, делать настройку всех инфры - опасно так-то, если только покупать обучение какое-то, вот почему именно к тебе человек должен пойти и отдать кэш за услугу?

Обращайтесь за консультацией, если хотите, а не хотите - не обращайтесь. Ваш выбор.
А уж что, да как , да почему - каждый пусть сам для себя решает-)
С уважением,

 

[GoGaB0HGa]

Обращайтесь за консультацией, если хотите, а не хотите - не обращайтесь. Ваш выбор.
А уж что, да как , да почему - каждый пусть сам для себя решает-)
С уважением,

А не проще сделать топик для твоих услуг, внести депозит и помогать людям предоставляя услуги, просто так же явно не будешь помогать, не так ли?)

 

[sysbot]

А не проще сделать топик для твоих услуг, внести депозит и помогать людям предоставляя услуги, просто так же явно не будешь помогать, не так ли?)

Нет. Я не предоставляю услуги, я помогаю в работе, работая, консультируя(без криминала в любой форме). Это разные вещи. Работа и коммерция - не совсем одно и то же, и тут это четко разделено. Коммерсант и просто наемник(в том числе консультант)-разные роли.

 

[GoGaB0HGa]

Нет. Я не предоставляю услуги, я помогаю в работе, работая, консультируя(без криминала в любой форме). Это разные вещи. Работа и коммерция - не совсем одно и то же, и тут это четко разделено. Коммерсант и просто наемник(в том числе консультант)-разные роли.

Но ты же за это деньги получаешь, значит оказал услугу за которую получил оплату, значит предоставил услугу, значит это коммерция, если бы ты просто так помог и написал донат за помощь, тогда это не коммерция, да и вообще консультация это тоже коммерцией может быть

 

[sysbot]

Но ты же за это деньги получаешь, значит оказал услугу за которую получил оплату, значит предоставил услугу, значит это коммерция, если бы ты просто так помог и написал донат за помощь, тогда это не коммерция, да и вообще консультация это тоже коммерцией может быть

Может быть, но не есть. Работа - это не продажа продукта, а получение платы за некое действие(например консультации в любой форме), тоесть продукта несколько другого толка. Одни продают готовый хлеб, а некоторые готовят его на работе на заказ. И на форуме это обозначено четко и разделено. Еще раз - я ничего не продаю, никакой продукт, а значит услуги не оказываю никаких коммерческих услуг как коммерсант. Я продаю свою работу, в том числе консультации, в том числе готовые, от чего они не перестают быть просто работой. Не переиначивайте мои слова и не искажайте смысл, не придумывайте собственные формулировки и не путайте работу с коммерцией. Спасибо и с уважением,

 

[InCrease]

Такие новостные заметки больше панику разгоняют, чем отражают реальное положение дел.
Если кратко, тезисно и без воды, то...

0) VLESS не заблокирован. Были не очень удачные попытки блокировки всего подозрительного на 443 порту, следующего в направлении Россиюшка -> Закардон и имеющего SNI аля Google.com и транспорт TCP-Raw. Попутно РКН положили тонны легитимного трафика и жидко обделались прямо в штаны.
Но стоило только сменить порт и SNI и....

1) SSH туннели все еще работают и будут работать (ну куда же без SSH-то???)
А по ним, как известно, легко гонять любой трафик.
Напомню, что для Windows это реализуется так:

ssh -D 3.3.3.3:555 root@12.12.13.13

где 3.3.3.3 это внутренний ip вашего Windows в локальной сети, а 12.12.13.13 это ваш закардонный ВПС сервер.
ничего доустанавливать не нужно, все работает штатными средствами ОС Windows.
После выполнения этой команды и авторизации вы получите локальный прокси на порту 555.
Единственный минус - протокол SSH могут начать морозить если по нему качать терабайты всякой бубуйни, для Ютубчика и торрентов может не подойти, но для Tor Browser нет никаких противопоказаний.

2) SSH туннель через Putty|Kitty. Если по каким-то причинам вам не подходит встроенный SSH клиент от MS, то Putty|Kitty тоже все умеет и могет.

ssh -> tunnels -> source port 555 (Dynamic) -> Add
+ клац на Local ports accept connection from another hosts

3) Не смотря на текст новости все еще работает и бодро себя чувствует Socks5 протокол. А чего нам?
Если вдруг кто забыл, как поднять православный Сквид на забугорной ВПС в три клика, я оставлю методичку для Убунту тут

sudo apt update
sudo apt upgrade
sudo apt install squid -y
sudo nano /etc/squid/squid.conf
**********************************************************************
# Recommended minimum configuration:
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/squid_passwd
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl Safe_ports port 80            # http
acl Safe_ports port 21            # ftp
acl Safe_ports port 443           # https
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280           # http-mgmt
acl Safe_ports port 488           # gss-http
acl Safe_ports port 591           # filemaker
acl Safe_ports port 777           # multiling http
acl SSL_ports port 9001           # webmin
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_port 33333

forwarded_for off

request_header_access Allow allow all
request_header_access Authorization allow all
request_header_access Proxy-Authorization allow all
request_header_access Proxy-Authenticate allow all
request_header_access Cache-Control allow all
request_header_access Content-Encoding allow all
request_header_access Content-Length allow all
request_header_access Content-Type allow all
request_header_access Date allow all
request_header_access Expires allow all
request_header_access Host allow all
request_header_access If-Modified-Since allow all
request_header_access Last-Modified allow all
request_header_access Location allow all
request_header_access Pragma allow all
request_header_access Accept allow all
request_header_access Accept-Charset allow all
request_header_access Accept-Encoding allow all
request_header_access Accept-Language allow all
request_header_access Content-Language allow all
request_header_access Mime-Version allow all
request_header_access Retry-After allow all
request_header_access Title allow all
request_header_access Connection allow all
request_header_access Proxy-Connection allow all
request_header_access User-Agent allow all
request_header_access Cookie allow all
request_header_access All deny all
visible_hostname local
**********************************************************************

sudo apt-get install apache2-utils -y
sudo htpasswd -b -c /etc/squid/squid_passwd user pass
sudo systemctl restart squid

Таким образом Squid аккуратненько проксирует все по 33333 через авторизацию по логин/пароль заданные в предпоследней команде, все шифруя и не зля ТСПУ.
Клиентом может быть как браузер, так и целый Whonix например.
Проверенно, работает.

4) Работают и хорошо себя чувствуют Amnezia WireGuard (качаем Амнезию для Windows и в три клика все развертываем), Outline и еще несколько протоколов.

5) Последнее время хорошо и быстро работает протокол "Снежинка" в Tor Browser, Whonix и т.д.
достаточно просто выбрать в настройках
Built-in Bridge -> Snowflake
Мосты можно не прописывать.

 

[ShadowMan]

Меня , например, вполне устраивает XRay, он и в мобильных сетях работает.
Да и никто не говорит, что не прорвемся, но движение к Великому китайскому файерволу есть.

 

[Kiseta]

Меня , например, вполне устраивает XRay, он и в мобильных сетях работает.
Да и никто не говорит, что не прорвемся, но движение к Великому китайскому файерволу есть.

у меня на мобильном интернете ничего не работает. Пинги до удаленных серверов не проходят, причем пинг на ya.ru тоже не идет, при этом сервисы из белого списка работают.

 

[Kiseta]

с домашнего интернета как все протоколы работали так и работают свободно, а вот на мобильном интернете такая глухая ж что вообще не понятно что делать, и почему пинги не идут. Причем иногда, но редко случайным образом получается поднять коннект ovpn к моему серваку, но в целом - глухая стена 99% времени

 

[ShadowMan]

Херовато без халата, да и с халатом херовато

 

[GlasGlaz]

у меня на мобильном интернете ничего не работает. Пинги до удаленных серверов не проходят, причем пинг на ya.ru тоже не идет, при этом сервисы из белого списка работают.

У меня то же самое, но многое зависит от региона

 

[Mikeclover]

лучше вместо рекламы написать статью одну по всем протоколам, и как можно сейчас обойти все блокировки и тд, чтобы потом к тебе пришли за услугами, а вообще депозит внести надо и создать тему ещё) оказания услуг данных. Но кому-то доверять, делать настройку всех инфры - опасно так-то, если только покупать обучение какое-то, вот почему именно к тебе человек должен пойти и отдать кэш за услугу?

Работаю на одного известного модера форума ввх. По вопросам сопровождения могу проконсультировать бесплатно.

 

[Stupor]

РКН обновил настройки оборудования ТСПУ для борьбы с обходом блокировок.

Нашу молодёжь - не задушишь, не убьешь!

 

[Valay]

РКН обновил настройки оборудования ТСПУ для борьбы с обходом блокировок.

Роскомнадзор обновил настройки технических средств противодействия угрозам, чтобы ужесточить борьбу с обходом блокировок через VPN. Речь идет о специальном оборудовании на сетях операторов связи в России, через которое фильтруется трафик, отражаются DDoS-атаки, блокируется доступ к запрещенным ресурсам или ограничивается скорость подключения к ним. О новых настройках ТСПУ изданию РБК сообщили несколько источников на телеком и рынке информационной безопасности, эту информацию подтверждают опрошенные специалисты.

VPN (Virtual Private Network) это технология, которая создает зашифрованный «тоннель» для интернет трафика. При подключении к VPN данные пользователя сначала уходят на удаленный сервер, а уже затем в интернет. Это позволяет скрыть реальное местоположение и защитить передаваемую информацию от перехвата.

По данным источников, Роскомнадзор начал целенаправленно блокировать еще три VPN протокола SOCKS5, VLESS и L2TP. Протоколов существует десятки, без них не может работать ни один VPN сервис. Они определяют, как именно устанавливается защищенное соединение, какой у него уровень шифрования, скорость и устойчивость к блокировкам. В последние месяцы именно SOCKS5, VLESS и L2TP активно использовались для доступа к заблокированным ресурсам, поэтому системы ТСПУ стали чаще их отфильтровывать, отмечают эксперты.

По их оценке, VLESS был одним из последних относительно стабильно работавших VPN протоколов, который долгое время не удавалось эффективно обнаруживать и блокировать на уровне ТСПУ. Его популярность объясняют высокой скоростью и надежностью, а также тем, что он оставляет минимум технических следов, что ранее затрудняло выявление такого трафика. Сейчас, по словам специалистов, ТСПУ научились определять соединения на базе VLESS по косвенным признакам. SOCKS5 и L2TP считают более старыми решениями, которые сами по себе не шифруют трафик, но могут использоваться в связке с другими средствами шифрования или маскировки.

Массовые жалобы пользователей на проблемы с работой VPN на базе SOCKS5, VLESS и L2TP начали активно появляться в конце ноября. В первую очередь сообщения приходили из Татарстана, Удмуртии, Нижегородской, Свердловской, Новосибирской, Томской и Волгоградской областей, а также из Приморского края.

Представитель Роскомнадзора в ответ на запрос издания сообщил, что ведомство «последовательно обеспечивает развитие систем безопасности функционирования на территории России сети интернет и сети связи общего пользования». По его словам, развитие этих систем направлено на защиту от актуальных технологических и информационных угроз.

Механизмы давления на VPN в России начали формироваться еще в 2017 году, когда VPN сервисам и анонимайзерам предписали ограничивать доступ к ресурсам из реестра запрещенной информации. Если владелец сервиса не выполняет требования регулятора, Роскомнадзор может заблокировать сам сервис. В марте 2024 года вступили в силу поправки к закону «Об информации, информационных технологиях и защите информации», которые запретили распространение сведений о способах доступа к заблокированным сайтам. За нарушение этих правил ведомство вправе заблокировать распространителя такой информации и добиваться удаления отдельных VPN приложений из магазинов мобильных приложений.

Подробнее: https://www.securitylab.ru/news/566819.php

Не знаю - так же пользуюсь VPN "Ad Guard" - всё нормально работает

 

[canva]

vpn работает а вот тор не выручит видимо надо менять конфиг

 

[Stupor]

DNS сервера уже лочить начали