Comments 142
Отмечу про клиенты для iOS.
Есть прекрасный платный Shadowrocket (недорого, раз и на всю жизнь), а также Streisand, v2box и FoXray.
Все они сейчас получают обновления и новые фичи. Работа с customgeo не всегда как ожидалось и кое-где просто никудышная, но в любом случае есть способ включать VPN без необходимости постоянно отключать для просмотра российских ресурсов.
Про оформление на друга за границей стоит уточнить, что в таком случае лучше не баловаться торрентами через впн, а то друг будет слегка удивлен письму от хостера за нарушение копирайта
Мне приходили такие письма счастья 2 раза. 1 раз предупреждение, 1 раз у другого провайдера заблочили аккаунт. Так что качать можно только сами файлы, а непосредственно торрент уже без VPN. Либо выбирать страны, где провайдерам пофиг на правообладателей
Причём провайдерам ведь неважно, какой именно торрент у ва качается?
Они запрещают это в принципе?
Напрашивается вывод - торренты использовать через yggdrasil
https://rutracker.org/forum/viewtopic.php?p=83524965#83524965
Причём провайдерам ведь неважно, какой именно торрент у ва качается?Они запрещают это в принципе?
Нет, торрент с какой-нибудь убунтой можно раздавать хоть до посинения
Важно, в письме был конкретный файл, который нарушал права конкретного правообладателя. Один раз я что-то качал, тогда было предупреждение. Потом моя подруга по незнанию качала сериал "эйфория", тогда заблочили.
при хостинге на digitalocean тоже такие письма прилетали.второй год сижу на racknerd- все тихо
Можно посмотреть историю закачек на специальном сайте, люди даже порнуху качают с офисных IP-адресов.
Автоматическая претензия на конкретный файл:
Notice of Infringement from 2.95.6.72 - Case No. ff880bb6fe41e4e23254
<?xml version="1.0" encoding="UTF-8"?>
<Infringement xmlns="http://www.acns.net/ACNS" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.acns.net/ACNS http://www.acns.net/v1.2/ACNS2v1_2.xsd">
<Case>
<ID>ff880bb6fe41e4e23254</ID>
<Status>Open</Status>
<Severity>Normal</Severity>
</Case>
<Complainant>
<Entity> The Cartoon Network, Inc.</Entity>
<Contact>IP-Echelon - Compliance</Contact>
<Address>6715 Hollywood Blvd
Los Angeles CA 90028
United States of America</Address>
<Phone>+1 (310) 606 2747</Phone>
<Email>p2p@copyright.ip-echelon.com</Email>
</Complainant>
<Service_Provider>
<Entity>VimpelCom</Entity>
<Email>abuse-b2b@beeline.ru</Email>
</Service_Provider>
<Source>
<TimeStamp>2018-07-11T15:17:59Z</TimeStamp>
<IP_Address>2.95.6.72</IP_Address>
<Port>51467</Port>
<Type>BitTorrent</Type>
<SubType BaseType="P2P" Protocol="BITTORRENT"/>
<Number_Files>1</Number_Files>
</Source>
<Content>
<Item>
<TimeStamp>2018-07-11T15:17:59Z</TimeStamp>
<Title>Mr. Pickles</Title>
<FileName>Mr.Pickles.S02.1080p.WEB-DL.H.264-BkD</FileName>
<FileSize>4595730645</FileSize>
<Hash Type="SHA1">0be4d7dbea5b112271c78fdba174e8469d1d3513</Hash>
</Item>
</Content>
</Infringement>
В конфигурации в статье как раз торренты по возможности блокируются сервером. Но полностью уберечься от них невозможно, кажется.
Знакомый живет в Германии, начал качать торрент, через 5 минут звонок от провайдера и вежливая просьба остановиться. Самому от хостера приходил форвард от Paramount Global. Аккаунт заблочили, но по просьбе восстановили. Так что да, магнитные ссылки качаем через впн, а сам трафик уже без него.
А вот yggdrasil - спасает от таких проблем?
https://rutracker.org/forum/viewtopic.php?p=83524965#83524965
С торрентами верно замечено, если сервер в цивилизованной стране и зарегистрирован на реальное лицо, то за раздачу может прилететь письмо со штрафом, ну или как минимум VPS могут внезапно забанить. Поэтому надо и друзей предупреждать, и самому бдительности не терять — ведь бывает так, что просто забываешь, что оставил VPN включённым. Я поэтому, на всякий случай, выход с xray заворачиваю на Cloudflare Warp (в документации на xray есть специальный пункт про настройку Warp с помощью утилитки gwcf), так чтоб реальный IP от VPS нигде не светился. Ну или ещё вариант — брать VPS у компании, принимающей крипту и не задающей ненужных вопросов о личности пользователя, например у исландцев есть такая контора с названием из Оруэлла, цены, правда, не самые низкие, а скорости не самые высокие.
"Один конфиг можно использовать с нескольких устройств, и сами пользователи могут делиться своими конфигами со своими друзьями. То есть для друзей друзей можно не выпускать отдельные конфиги, что облегчает вам жизнь." это большой недостаток, кстати, который преподносится тут как достоинство, на самом деле является одним из ключевых моментов, почему в данной реализации Xray его нельзя использовать для подобных целей. Представляете, что будет, если ваш конфиг попадет в общий доступ в сети (а при большом числе "друзей" это даже не вопрос недель, а дней), и тогда через ваш VPN пойдет столько всякого паразитного трафика, что мамабожежмой!
Это, кстати, осознают и авторы Xray, я уже на GIT видел попытки участников и разработчиков внедрить ограничение по количеству IP для одного конфига, правда до реализации там пока дело не дошло. Но они в пути.
Ну в другом варианте человек будет раздавать друзьям не ключ, а логин-пароль...
В случае проблем есть ведь возможность ограничивать не число IP а лимит трафика? Прописать допустим 30 Гб в месяц - и раздавай кому угодно.
В другом варианте, в его правильной настройке, логин и пароль (или ключ/сертификат) являются индивидуальным для каждого пользователя, и при одновременном подключении с разных IP сервер либо не пустит второго пользователя, либо выкинет предыдущего. Это конечно тоже не идеальный вариант, но позволит хотя бы как то ограничить число неконтролируемых пользователей.
"Прописать допустим 30 Гб в месяц - и раздавай кому угодно." - во 1-х это нельзя сделать в текущей реализации Xray, насколько я знаю, а во 2-х, если у вас будет утечка 10% ключей, или 20%? Всем отрезать по 30Гб? При утекшем в паблик конфиге эти 30 уйдут за полтора часа. Я уж не говорю о забитом канале сервера на эти полтора часа, пока все дружно качают...
во 1-х это нельзя сделать в текущей реализации Xray, насколько я знаю
Можно. Как минимум, в X-UI есть такая настройка. Ею пока не пользовался, но очень на неё рассчитываю.
Если конфиг попадёт в открытый доступ, то друг лишится конфига :)
На самом деле это скорее проблема коммерческого использования, где хочется ограничивать количество устройств, людей и айпишников.
Коммерческая сторона тут вообще мимо, я её даже не обсуждаю... Вопрос в том, что если кому то захочется по доброте душевной выложить конфиг в общедомовой вацап чат или телегу. И понеслась... Если у тебя 5-6 адекватных друзей на сервере, то такого скорее всего не случится. Если 50 - то вопрос только в том, когда это случится. Далее вероятность такого события идет по параболе с ростом числа пользователей ))).
На тестовом сервере 20-40 человек месяца два, пока такого не случилось. Я думаю, все понимают, что канал имеет ограниченную пропускную способность.
И даже если такое случится, ключ этого пользователя просто удаляется с сервера - и сервер продолжает работать с прежней нагрузкой. Да, какое-то время канал будет забит, но это не критично, опять же, для некоммерческого использования.
То есть для друзей друзей можно не выпускать отдельные конфиги, что облегчает вам жизнь.
И даже если такое случится, ключ этого пользователя просто удаляется с сервера
В смысле это настолько полезная фича что за ее использование пользователя блочат? :)
По самой статье есть пара вопросов.
он получит копию www.microsoft.com со всеми необходимыми сертификатами. РКН подумает, что наш сервер - это просто сервер Microsoft
У проверяющего не хватит ума получить записи из dns для Microsoft и сравнить? Ну так себе надежда.
# копируем с гитхаба
curl -L https://codeload.github.com/EvgenyNerush/easy-xray/tar.gz/main | tar -xz
# переходим в директорию cd easy-xray-main # ставим
sudo ./ex.sh install
Личное дело каждого, но лично мне как-то стремно запускать с правами рута непонятный скрипт откуда-то из интернета. Очередной ZverCD какой-то.
Почему не расписать нормальный процесс настройки сервиса? Или это слишком сложно для большинства желающих?
Есть Docker, и инструкция под него есть в статье, чтобы не запускать "непонятный скрипт из интернета" с правами рута.
Можно установить вручную. В статье есть ссылка на официальный скрипт из интернета для установки xray. Но добавлять вручную пользователей будет неудобно и долго, если их больше одного.
У проверяющего много на что хватает ума, бывают и более изощрённые атаки, тем не менее xray остаётся недетектируемым в том числе самым продвинутыми китайскими цензорами. А ваш вариент заблокирует гораздо больше серверов, чем вы ожидаете.
Вопрос в том, что если кому то захочется по доброте душевной выложить конфиг в общедомовой вацап чат или телегу. И понеслась...
Проходили, мой первый сервер так почил в бозе, когда знакомый дал аккаунт деточке, а деточка раздала одноклассникам. В итоге, айпи воспринимался всеми крупными сервисами типа стограмма как ботоферма. Ну и загрузка улетела в небеса
вопрос с блоками по IP уже решен, по крайней мере в адекватных панелях с веб интерфейсом -
3x-ui и marzban
А при добавлении локального прокси, например 3proxy, и скорость чудно ограничивается)
Люди знающие, подскажите, пожалуйста. Использую wireguard для доступа к raspberry, которая стоит дома. Какие есть протоколы, к которым легко можно подключить raspberry как клиент? Wireguard и open-vpn уж часто падают последнее время. На запросы в основном выдаётся настройка raspberry как сервера, а нужен именно клиент. И есть ли клиент у xray для raspberry? Всем спасибо.
В случае keenetic для этих целей выбирают SSTP
Про Wireguard и OpenVPN можно забыть :-(
Осталось подружить кинетиковский sstp с микротами и будет счастье. Но пока что обе компании тычут пальцем друг в друга и говорят, что это он виноват
Про Wireguard и OpenVPN можно забыть :-(
А что с ними не так?
Частенько блокируются, разве вы не замечали?
Что дома, что на работе, использую OpenVPN. Падает, иногда, но не критично. До wireguard'а руки не доходили, но вот по IKEv2 наотрез отказывается подключаться.
Wireguard в умном доме использую 24/7. Судя по графикам от сенсоров очень редко падал, вместе с интернетом если только) Плюс еще пара штук. Ни разу не подводил...
На RPi ставится обычный Linux, под него есть вообще всё, что только можно придумать.
Вы не берете во внимание архитектуру. Не всё компилится без танцев с бубнами на arm.
Что, к примеру, у Вас не компилится? По-моему, под aarch64 уже давно всё, что хоть сколько-то живое, успешно собирается либо вообще доступно в виде готовых пакетов. У меня малинок/апельсинок 5 штук для разных задач, вообще никаких проблем ни разу.
Не нашел/не смог собрать клиенты для shadowsocks. (Не утверждаю, что я хороший администратор linux, но попытки были)
Я сам SS не использовал, но вот даже на первый взгляд у https://github.com/shadowsocks/shadowsocks-rust прямо в релизах готовые бинарники под aarch64 лежат. Да и в любом случае очень странно было бы, если опенсорсный проект, который в последние несколько лет активен и хотя бы минимально популярен, не собирался бы под ARM.
Если на raspberry линукс, то саму программу xray можно использовать как клиент https://github.com/EvgenyNerush/easy-xray/blob/main/README.ru.md#linux-1
Посмотрите на Zerotier
OpenConnect для этих целей использую https://habr.com/ru/articles/776256/
Клиент xray есть для любых ОС. Включая линукс.
Как вариант, если смысл в создании приватной сетки поверх инета - можете использовать проект Nebula от slack, к примеру.
либо запускать xray клиент в режиме локального прокси и поверх уже пускать хоть WG хоть опенВПН хоть че хотите
Какой VPN-протокол используется в вашей конфигурации? Из статьи непонятно, что вы туннелируете.
VLESS-Reality. По сути https-прокси, но интереснее. В статье про это сказано.
Это протокол прокси, а не VPN. В заголовке и в теле статьи написано про VPN.
Я думал, что VLESS используется для туннелирования какого-то VPN-протокола. А сейчас получается, что заголовок не соответствует действительности.
Для обывателя разбираться в таких тонкостях тяжело. Но для техническом ресурсе было бы неплохо хотя бы дисклаймер добавить, что это просто заголовок, это да. Но ради популяризации среди масс заголовок можно считать допустимым :-)
Вот я, как человек, который не очень глубоко погружен в тему, как раз и смутился, ибо изначально планировал завернуть свой openvpn через vray прокси, а по статье ощущение, что xray абсолютно самостоятельный инструмент все-в-одном. Спасибо, что дополнительно прояснили в комментариях.
Вообще ваши статьи и комментарии стали для меня проводником в этот дивный мир)
не планируете как до "подредактировать" свой чудный локальный DNS(из проекта) под xray ?
было бы здорово...
ибо с этими Xray на каждый клиент файл с роутингом кидать задолбаешься ((
Если я правильно понял вопрос... У многих клиентов есть режим общесистемного прокси, в том числе под линукс, не обязательно использовать xray в качестве клиента.
не, я про проект от ValdikSS и компании... там опенвпн у них протокол.
в том числе поднимается локальный днс и на основе этого построенна маршрутизация. оч удобно сделано
Является ли это решение более надёжным чем OpenVPN через Cloak реализованого в Амнезии?
Как минимум xray (vless-reality) производительнее. И я не знаю, насколько Cloak устойчив к активному зондированию (active probing) и к DPI.
Оба протокола специально разработаны с целью максимально усложнить их блокировку, и в настоящее время каких-либо свидетельств того, что или VLESS, или Cloak могут быть заблокированы РКН, нет. А что там будет в будущем - гадать дело неблагодарное. Может, в каком-то из этих протоколов найдут недостаток, позволяющий его детектировать, но каких-то оснований полагать, что у одного протокола такой шанс больше, чем у другого, также нет.
У Cloak очевидный плюс - через него элементарно пробрасывается полноценный VPN. VLESS, как говорят, несколько быстрее, но это прокси - со всеми вытекающими ограничениями.
А вообще я сейчас рекомендовал бы Amnezia-WG, который пока не блокируют, он очень простой, очень быстрый и даёт полноценный VPN одним бинарником. Да, его могут заблокировать проще, чем VLESS или Cloak, ну так как заблокируют - тогда можно и менять его на что-то другое. Для критичных к простою применений - заранее параллельно поднять Cloak/VLESS, на который переключится в случае отпадения Amnezia-WG (я так и сделал).
конечно является. хотя бы потому, что работает на любой ОС... в отличии от Вашего cloak
Другие хорошие варианты - AmneziaWG или Shadowsocks-2022 через Outline VPN
Outline уже поддерживает Shadowsocks-2022? Даже если так, все равно он неплохо детектируется при приемлемом проценте ложных срабатываний (дело не только в протоколе), и похоже исправлять это разработчики не планируют.
Есть более новый Hiddify Next - "морду" переписали на Flutter, а приложение стало мультиплатформенным (помимо Android, заявлены Windows, Linux и macOS), но пока оно не поддерживает пользовательские правила маршрутизации - то, что нужно нам для потенциально опасных сайтов. Если российские сайты вам не нужны, или вы готовы включать/выключать приложение для доступа к ним, то Hiddify Next вполне подойдёт
Если под пользовательскими правилами маршрутизации подразумевается непрокрирование трафика на российские IP-адреса, то поддерживает в один клик. В приложении есть другие проблемы, но этот функционал прекрасно работает.
Hiddify в один клик включает тот самый неполный список, который идёт в комплекте с xray. В этом списке нет ни vk.com, ни yandex.net, ни сервисов, отвечающих за геолокацию по ip. А многие китайские сайты с такими настройками вообще не открываются.
Hiddify Next вообще не использует Xray-core. Он основан на другом ядре - sing-box. Геобазы он использует оттуда: https://github.com/SagerNet/sing-geosite и https://github.com/SagerNet/sing-geoip. vk.com и yandex.net там есть. Xray-core кстати на android использовать не лучшая идея.
Да, спасибо за ваш ответ и ссылку. Эти базы неплохие, и действительно там есть вк и яндекс, но с этими настройками baidu.com и другие китайские "друзья" пойдут через сервер, а геолокации на яндекс картах в браузере не будет.
Можно выбрать страну, коннекты к которой пойдут напрямую. Выбор доступен из RU/CN/IR.
Если пользоваться нормальным софтом, например Nekoray, то там это делается вот так..
ip - geoip:ru
домены - regexp:.*\.ru$
googleapis.com, например, не попадает под эти правила. А если его пробрасывать через сервер, то по вашему айпи он вряд ли правильно вычислит геолокацию.
Кстати а в чём отличие если два слэша?
regexp:.*\.ru$
P.S. я понял тут в каментах на хабре режет второй слэш
Shadowsocks навряд ли детектируется в России, скорее его блокировали случайно, когда ковровым методом блокировали всё непонятное. В обычной жизни он вполне хорошо работает в РФ.
Речь даже не о старом протоколе Shadowsocks, а о том, что конкретно Outline неплохо детектируется при приемлемом проценте ложных срабатываний. Проще говоря, серверы с установленным на них Outline при желании можно заблокировать с минимальным побочным ущербом.
Поэтому все же рекомендуется смотреть в сторону например (3)X-UI. Или если совсем лень что-то настраивать, то AmneziaWG.
А откуда информация о блокировке Outline? В рф есть как минимум один vpn-провайдер с Outline серверами на несколько тысяч пользователей. Никогда не слышал, что их сервера как-то детектировали и блокировали. Сам тестировал Outline как пользователь, никогда не видел проблем.
В обсуждениях обхода блокировок очень часто путают ситуации "уже блокируется", "РКН технически может заблокировать" и "теоретически цензор с неограниченными возможностями может найти способ заблокировать". В случае с Outline, я так понимаю, речь про третью ситуацию. А когда и если она превратится во вторую и тем более первую - так это может столько воды утечь, что вообще ВСЁ поменяется.
Shadowsocks совершенно точно уже успешно блокировали в конце октября - начале ноября в географии до Дагестана до Ставрополя, Краснодара, Ростова, Волгограда.
Там блокировали не SS, а все незнакомые протоколы. Что гораздо проще, чем точечно выявлять каждое новое творение наших китайских товарищей, но и куда больше сопутствующего ущерба. Не исключено, что при определённых обстоятельствах этим ущербом пренебрегут не только точечно и временно, но и на постоянной основе. Но мы можем только предполагать.
Там не так много сопуствующего ущерба. Если аппроксимировать результаты сканирования около 10% IPv4, получается порядка 10K серверов. Результаты не очень свежие, но грубую оценку дают. Некоторые из них очевидно не являются серверами Outline, но побочный ущерб можно считать допустимым в реалиях когда блокировали все непонятное (шифрование при отсутствии tls рукопожатия), уже были прецеденты.
И еще раз напомню, что речь не о SS протоколе, старые версии которого уязвимы (насколько мне известно, до сих пор Outline использует shadowsocks-libev), с этим все и так давно известно, а именно о недостатках в реализации Outline.
Выявление требует active probing, но учитывая насколько активно active probing это применяется в Иране в последние месяцы, рано или поздно вероятно будет использоваться и в РФ.
Я как раз о чём... Недостатки конкретно Outline, даже если они есть, РКН, возможно, не научится эксплуатировать ещё долго/никогда. Потому что это обоснования / согласования / закупки проектирования / закупки оборудования (если ещё есть откуда его купить в таких количествах) / закупки услуг по разработке / внедрение и т.п. Мы не знаем, почему даже обычные WG и OpenVPN, которые легко распознать и которые уже массово блокируются, тем не менее до сих пор в среднем по стране чаще работают, чем нет. Возможно, даже на такой простой DPI в масштабах всей страны мощностей не хватает - в этом случае мы уверены, что когда-то доживём до active probing и прочих достижений Ирана и Китая (которые этим занимаются куда как дольше, а у Китая ещё и с оборудованием, очевидно, проблем куда как меньше)? А вот до блокировок по белым спискам протоколов уже дожили как минимум один раз в части регионов.
А можете рассказать (или дать ссылку) про то, как сейчас active probing увидеть? Я пробовал tcpdump-ом половить простые http запросы, но ничего подозрительного. Пару раз за сутки приходит get /vpn или что-то похожее, но к коннектам пользователей никак не привязано, да и приходит чаще из Китая, чем из РФ.
Смотря что именно ищите. Цель какая? Реализовать некий alert на будущее? По иранскому опыту цензоры особо не скрываются и перед блокировкой есть коннекты c определенных ASN. Изначально именно так это заметили. Проще говоря статистически увидели зависимость на множестве сервером что был коннект с этих айпишников, и далее был блок. Причем затронуло только те серверы, где было приличное количество пользователей. Но лучше в иранских и китайских комьюнити смотреть свежие новости с техническими подробностями, т.к. я не сильно слежу за ситуацией, да и последнее время "гонка вооружений" развивается быстро, и актуальность информации быстро теряется.
Есть еще неплохая реализация x-ui, однако аккуратнее с раздачей впн людям :) а то можно повторить судьбу разработчика Kate Mobile, сейчас еще больше возможностей которые могут привести к похожему опыту.
Интересная история, не знал о ней. Для тех, кто, как я, был не в курсе:
Владельца прокси Фёдора Власова обвинили в преступлении, совершенном через его прокси. 3 месяца в сизо, несколько месяцев домашнего ареста, потом дело развалилось и обвинение сняли. Фёдор отсудил компенсацию в 700 тысяч рублей.
Да, я следил за этой историей. При этом следствие не особо пыталось что-то сделать, прочитать логи или анализировать жесткий диск и сервер через который шел трафик. Федор изначально был готов сотрудничать со следствием и предоставить всю необходимую информацию и доступы, но для следствия достаточно было, что IP принадлежал Федору.
Что к слову странно, так как те же трояны, могут спокойно из чужого устройства сделать посредника для трафика, или на роутерах. При этом следствие игнорировало известный факт, что сервер был для прокси и использовался в мобильном приложении которое скачало не одна тысяча человек.
Я правильно понимаю что аренда сервера не у российского провайдера помогла бы в этой ситуации?
Спасибо за статью. Порекомендую финский хостинг CreaNova. Там основатели русскоязычные. Принимают крипту в том числе. Была даже практика оплаты переводом на карту сбера.
Хотел бы предложить вам выложить customgeo.dat в отдельный репозиторий.
Исходники в текстовом формате для него здесь, в отдельном репозитории. И в статье, и на гитхабе в easy-xray есть ссылки на него, но за таким большим текстом их легко не заметить
https://github.com/EvgenyNerush/coherence-grabber/tree/main/data
По просьбе автора посоветую хабру хороший анонимный хостинг с оплатой через Litecoin (LTC). Комиссия в этой криптовалюте очень маленькая. Пользуюсь хостингом уже 2 года.
https://app.bitlaunch.io/
Автор, вы забыли указать "постоянный адрес" этого мануала, как например в https://habr.com/ru/amp/publications/735536/
РКН подумает, что наш сервер - это просто сервер Microsoft, a никакой не VPN, и ничего блокировать не будет.
Смелое допущение.
Вы предлагаете ркн-у блокировать все сервера, в запросах к которым в sni написано microsoft.com, и которых нет в dns-ответе? Ну ок, пусть попробуют.
# копируем с гитхаба curl -L https://codeload.github.com/EvgenyNerush/easy-xray/tar.gz/main | tar -xz # переходим в директорию cd easy-xray-main # ставим sudo ./ex.sh install
Извините...
Про настройку VPS - не много. Но оно и понятно, соль/сахар по в кусу.
А вот дальше - я не понял.
Зачем для установки Рентгена тащить какой-то скрипт, если можно просто четыре строки ввести и просто всё установить с того же ГИТа, из реп создателей Xray и 3x-ui?
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install &&
curl -O https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh
chmod +x install.sh
./install.sh
(Ну или сам юзер скриптик накорябает, на основании этих 4-х строчек.)
Я не говорю, что это мутно, просто не очень ясно пока...
Стандартная установка данного ПО, как мне кажется, не требует упрощения скриптом, если вы 100 таких серверов не поднимаете за одну смену. :)
В статье так и написано, что установить можно и официальным скриптом. Скрипт ex.sh не для установки, а для того, чтобы было легко добавлять/удалять пользователей, генерировать для них url-ссылки (vless://...), переносить конфиги (если захотелось что-то поправить на живом сервере) и смотреть статистику трафика.
Привет, покупать свой виртуальный сервер и настраивать vless – интересно если хочется разобраться самому, смастерить что-то, что можно легко купить в готовом виде и стоит дешевле чем изготовить самому. Воспринимаю это скорее как хобби. Также теряешь некоторое ценное время на старте и позже.
Сейчас вполне можно купить vpn с vless за 100-200 руб в месяц – менее разрекламированные, с меньшей вероятностью блокировки. С тестовым периодом и поддержкой. Через tg ботов. Ссылку не дам, но кому надо – найдете или тут или на vc.
можно купить vpn с vless за 100-200 руб в месяц – менее разрекламированные, с меньшей вероятностью блокировки.
Можно купить "VPS c VLESS", или "клиентский доступ c помощью технологии VLESS/Xray"? Это немножко разные вещи.
В первом случае - сам себе хозяин.
А во втором... :)
В статье речь не про индивидуальное использование. Если поднимать сервер, то, конечно, для десятка (десятков) пользователей сразу. Ну и выйдет дешевле, 500 руб/месяц/50 человек = 10 руб/месяц. Но кому-то одному придётся повозиться пару вечеров, это да.
В статье речь не про индивидуальное использование. Если поднимать сервер, то, конечно, для десятка (десятков) пользователей сразу.
Похоже, что скоро сяду за написание статьи
"Руководство для домохозяек, стремящихся к соблюдению сетевой гигиены и чистоплотности.
За один вечер: покупаем и настраиваем VPS, поднимаем VLESS/Xray (+ Amnezia as backup), настраиваем клиентcкое ПО на своём планшете, на ноуте мамы и на айфоне бабушки."
Свой сервер стоит столько же, ну то что нашел 18 у.е. в год. Есть в сети подробные инструкции, в том числе по настройке vless на стороне сервера в том числе с удобным графическим интерфейсом, где можно каждому пользователю раздать свои конфиги. И если он чем то злоупотребляет - отключить их оперативно.
Не спорю что можно найти дешевый хостинг, но 1) Дешевый хостинг может внезапно сломаться 2) Время стоит значительно больше этих NN$, даже если скидываться 3) Меня не смущает покупка VPN за деньги как сервиса с поддержкой, а не как набора кубиков.
1) Дешевый хостинг может внезапно сломаться
Сломаться может всё, начиная от турбины ГРЭС и заканчивая насосами в подвале пятиэтажки. В первом случае будут разрушения, отключения и жертвы. Во втором - гадить придётся во дворе, т.к. смыть "продукты" в канализацию будет просто нечем.
Поломка ВПС, используемой как частный ВПН/ПРОКСИ - вообще не критична... Если сломался провайдер - через сутки возродится. Если сломался конкретный инстанс - поднимете за полчаса.
2) Время стоит значительно больше этих NN$, даже если скидываться
100500 триллионов в наносекунду? :) Приватность дороже...
Лень(не хватает скиллов самому, жпоа деньги уже не клюёт) - надо покупать знакомого админа, а не ВПН сервис.
Покупка ВПС и прикручивание любого сервиса обхода - занимает от 20 минут до часа времени. Самым длительным - является мучительный процесс выбора хостера ВПС... Чтобы быстрый был, по русски не говорил, денег брал доступными путями и не служил в КейДжиБи. Нетривиальная, конечно задачка. :)
3) Меня не смущает покупка VPN за деньги как сервиса с поддержкой, а не как набора кубиков.
Смотрим пункт 2. Приватность дороже... Есть гарантии, что логи не ведутся? Есть гарантии, что не только не ведутся, но и не реплицируются в базу тов.майора? Есть гарантии, что владелец ВПН-сервиса не лейтенант?
Не надо давать людям шанса обделаться. Они и без этих шансов косячат эпично... :)
На всякий случай хочу всем напомнить, что предоставлять прокси всем подряд надо осторожно.
А что по поводу хостера veesp? У него такие же условия как в PQ? Ру карты принимает, сервер литовский, но как-то странно: через ванильный wg - гугл и ещё что-то упорно определяют гео как Екатеринбург (Подключение не оттуда)
Полностью статью не прочитал потому что все объяснял уже @MiraclePtr но почему вы назвали это vpn если это proxy? Или вы нашли способ авторизовывать пользователей?
Да, это прокси, но в нетехническом секторе всё, что обходит блокировки, сейчас называют впн-ом.
Тот же Nekobox может подключать прокси в виде VPN
Да и все клиенты на iOS подключают VLess именно как VPN, то-есть по-умолчанию отправляют в него весь трафик.
Не только сайты.
VPN и proxy отличаются не тем, проксируется ли конкретное приложение (например путем ввода локального адреса прокси) или вся система сразу (например через TUN, gVisor). Отличие совсем в другом.
Но чтобы не пугать людей, далеких от интернета страшными словами типа модель OSI, пусть будет так. Раз уж люди в РФ привыкли называть VPNом любое приложение, которое дает им доступ к фоточкам, сторис и рилсам в любимом инстаграмчике :-)
Потому что иначе на iOS/Android нельзя настроить проксирование всех приложений. Именно для мобильных ОС делались Userspace IP-стеки, чтобы вообще можно было использовать прокси.
С помощью такого псевдо-VPN нельзя:
Использовать ping (нет туннелирования протокола ICMP)
Принимать входящие подключения (эффективно использовать p2p-приложения и WebRTC)
Обходить NAT (затруднит или полностью нарушит звонки/конференции, WebRTC)
Использовать PPTP VPN и другие протоколы, основанные не на TCP и UDP
Часть протоколов (например, shadowsocks) туннелирует TCP в TCP, UDP в UDP, но не UDP в TCP (и наоборот) — невозможность использования UDP-протоколов при туннелировании через посредника
Определённые сложности в выборе протокола запроса (IPv4/IPv6) или отправки запросов на разные IP-адреса, отличные от тех, что есть в глобальной DNS-записи у конкретного домена (зависит от настроек, так называемый domain sniffing)
Также для полноценной работы в подобной конфигурации нужно решить вопрос с настройкой DNS, который также каждый решает в меру своих знаний и умений — нередка ситуация, когда работают только A/AAAA-лукапы.
Прокси-решения подойдут нетребовательным пользователям для браузинга, но не более.
> в комментариях ... накидают нормальных вариантов хостеров для криптоэнтузиастов
Как вариант - yourserver.se
Оплата, в частности возможно через CoinPayments (BTC / BCH / LTC / ETH)
Разве домен-донор не должен быть из той же подсети VPS?
Где посоветуете почитать про VPN и proxy протоколы (актуальные и не очень) ?
И по поводу tорenт0в - есть ли какие нибудь варианты маскировки подобного трафика ?
Например здесь https://habr.com/ru/articles/727868/
По поводу торрентов, их детектируют не через трафик, а просто присоединяясь к раздаче и собирая адреса пиров. В этот список попадает адрес сервера, если вы пользуетесь ВПН. А дальше всё зависит от законов той страны, где находится хостинг, и от правил самого хостинга.
Посмотрел видео про торенты после прочтения поста , про подключение к раздаче понятно (работает правило чем проще тем лучше )
Давно пользуюсь этой штукой но не знал как она работает
Но возникает вполне резонный вопрос - нарушают ли они закон подключаясь к пиратской раздаче и получая список ip-адресов ? (Исключая правообладателей)
Просто мне кажется что это что-то из разряда "он нелегально проехал через границу вместе со мной"
Ведь по факту выдвигая обвинения на подобных основаниях они сами признаются в своём правонарушении
И бонусный вопрос не по теме - я совсем недавно стал полноценным пользователем хабра и хочу узнать как тут относятся к пунктуации , орфографии и сокращениям так-как заметил что нельзя изменять коментарии и скорее всего посты (и это хорошо)
Статья отличная. Все работает, но.. никак не могу врубиться каким образом это всё защищает от блокировки то ? Если даже простым браузером зайти на прокси, то он орёт благим матом что соединение не секьюрное и сертификат не тот, и по сертификату же видно от чего он... Я не понимаю, это же можно палить практически мгновенно в автоматическом режиме, просто тупо стучимся по любому адресу откуда/куда идет трафик и если там сертификат чужой, то блочим IP... или я чего то не понимаю ?
Там есть решение на этот случай, можно подставить реальный сайт из подсети арендуемого вами сервера и выдавать он будет реальный сертификат соответственно. По-моему, тут на хабре была статься про X-Reality и эти фичи для "полной защиты". Статья: "Bleeding-edge обход блокировок с полной маскировкой: настраиваем сервер и клиент XRay с XTLS-Reality"
Как стать VPN провайдером за один вечер