Автономный способ обхода DPI и эффективный способ обхода блокировок сайтов по IP-адресу

    Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.

    Существует два распространенных типа подключения DPI: пассивный и активный.

    Пассивный DPI

    Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.

    Выявляем и блокируем пакеты пассивного DPI

    Поддельные пакеты, формируемые DPI, легко обнаружить анализатором трафика, например, Wireshark.
    Пробуем зайти на заблокированный сайт:
    Wireshark

    Мы видим, что сначала приходит пакет от DPI, с HTTP-перенаправлением кодом 302, а затем настоящий ответ от сайта. Ответ от сайта расценивается как ретрансмиссия и отбрасывается операционной системой. Браузер переходит по ссылке, указанной в ответе DPI, и мы видим страницу блокировки.

    Рассмотрим пакет от DPI подробнее:
    image

    HTTP/1.1 302 Found
    Connection: close
    Location: http://warning.rt.ru/?id=17&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2F

    В ответе DPI не устанавливается флаг «Don't Fragment», и в поле Identification указано 1. Серверы в интернете обычно устанавливают бит «Don't Fragment», и пакеты без этого бита встречаются нечасто. Мы можем использовать это в качестве отличительной особенности пакетов от DPI, вместе с тем фактом, что такие пакеты всегда содержат HTTP-перенаправление кодом 302, и написать правило iptables, блокирующее их:
    # iptables -A FORWARD -p tcp --sport 80 -m u32 --u32 "0x4=0x10000 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP" -j DROP

    Что это такое? Модуль u32 iptables позволяет выполнять битовые операции и операции сравнения над 4-байтовыми данными в пакете. По смещению 0x4 хранится 2-байтное поле Indentification, сразу за ним идут 1-байтные поля Flags и Fragment Offset.
    Начиная со смещения 0x60 расположен домен перенаправления (HTTP-заголовок Location).
    Если Identification = 1, Flags = 0, Fragment Offset = 0, 0x60 = «warn», 0x64 = «ing.», 0x68 = «rt.ru», то отбрасываем пакет, и получаем настоящий ответ от сайта.

    В случае с HTTPS-сайтами, DPI присылает TCP Reset-пакет, тоже с Identification = 1 и Flags = 0.

    Активный DPI

    Активный DPI — DPI, подключенный в сеть провайдера привычным образом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, чтобы DPI получал трафик от пользователей к заблокированным IP-адресам или доменам, а DPI уже принимает решение о пропуске или блокировке трафика. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокирования сайтов из реестра, чаще всего его настраивают на проверку только исходящего трафика.

    Системы DPI разработаны таким образом, чтобы обрабатывать трафик с максимально возможной скоростью, исследуя только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту.

    Изучаем стандарт HTTP

    Типичные HTTP-запросы в упрощенном виде выглядят следующим образом:
    GET / HTTP/1.1
    Host: habrahabr.ru
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
    Accept-Encoding: gzip, deflate, br
    Connection: keep-alive

    Запрос начинается с HTTP-метода, затем следует один пробел, после него указывается путь, затем еще один пробел, и заканчивается строка протоколом и переносом строки CRLF.
    Заголовки начинаются с большой буквы, после двоеточия ставится символ пробела.

    Давайте заглянем в последнюю версию стандарта HTTP/1.1 от 2014 года. Согласно RFC 7230, HTTP-заголовки не зависят от регистра символов, а после двоеточия может стоять произвольное количество пробелов (или не быть их вовсе).
       Each header field consists of a case-insensitive field name followed
       by a colon (":"), optional leading whitespace, the field value, and
       optional trailing whitespace.
    
         header-field   = field-name ":" OWS field-value OWS
    
         field-name     = token
         field-value    = *( field-content / obs-fold )
         field-content  = field-vchar [ 1*( SP / HTAB ) field-vchar ]
         field-vchar    = VCHAR / obs-text
    
         obs-fold       = CRLF 1*( SP / HTAB )
                        ; obsolete line folding

    OWS — опциональный один или несколько символов пробела или табуляции, SP — одинарный символ пробела, HTAB — табуляция, CRLF — перенос строки и возврат каретки (\r\n).

    Это значит, что запрос ниже полностью соответствует стандарту, его должны принять многие веб-серверы, придерживающиеся стандарта:
    GET / HTTP/1.1
    hoSt:habrahabr.ru
    user-agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
    Accept-Encoding:           gzip, deflate, br
    coNNecTion:	keep-alive      ← здесь символ табуляции между двоеточием и значением

    На деле же, многие веб-серверы не любят символ табуляции в качестве разделителя, хотя подавляющее большинство серверов нормально обрабатывает и отсутствие пробелов между двоеточием в заголовках, и множество пробелов.

    Старый стандарт, RFC 2616, рекомендует снисходительно парсить запросы и ответы сломанных веб-северов и клиентов, и корректно обрабатывать произвольное количество пробелов в самой первой строке HTTP-запросов и ответов в тех местах, где требуется только один:
    Clients SHOULD be tolerant in parsing the Status-Line and servers tolerant when parsing the Request-Line. In particular, they SHOULD accept any amount of SP or HT characters between fields, even though only a single SP is required.
    Этой рекомендации придерживаются далеко не все веб-серверы. Из-за двух пробелов между методом и путем ломаются некоторые сайты.

    Спускаемся на уровень TCP

    Соединение TCP начинается с SYN-запроса и SYN/ACK-ответа. В запросе клиент, среди прочей информации, указывает размер TCP-окна (TCP Window Size) — количество байт, которые он готов принимать без подтверждения передачи. Сервер тоже указывает это значение. В интернете используется значение MTU 1500, что позволяет отправить до 1460 байтов данных в одном TCP-пакете.
    Если сервер указывает размер TCP-окна менее 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

    Если сервер пришлет TCP Window Size = 2 в SYN/ACK-пакете (или мы его изменим на это значение на стороне клиента), то браузер отправит HTTP-запрос двумя пакетами:

    Пакет 1:
    GE
    Пакет 2:
    T / HTTP/1.1
    Host: habrahabr.ru
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
    Accept-Encoding: gzip, deflate, br
    Connection: keep-alive


    Используем особенности HTTP и TCP для обхода активного DPI

    Многие решения DPI ожидают заголовки только в стандартном виде.
    Для блокировки сайтов по домену или URI, они ищут строку "Host: " в теле запроса. Стоит заменить заголовок «Host» на «hoSt» или убрать пробел после двоеточия, и перед вами открывается запрошенный сайт.
    Не все DPI можно обмануть таким простым трюком. DPI некоторых провайдеров корректно анализируют HTTP-заголовки в соответствии со стандартом, но не умеют собирать TCP-поток из нескольких пакетов. Для таких DPI подойдет «фрагментирование» пакета, путем искусственного уменьшения TCP Window Size.

    В настоящий момент, в РФ DPI устанавливают и у конечных провайдеров, и на каналах транзитного трафика. Бывают случаи, когда одним способом можно обойти DPI вашего провайдера, но вы видите заглушку транзитного провайдера. В таких случаях нужно комбинировать все доступные способы.

    Программа для обхода DPI

    Я написал программу для обхода DPI под Windows: GoodbyeDPI.
    Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем.
    Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.

    По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы. Запустите программу следующим образом:
    goodbyedpi.exe -1 -a
    Если заблокированные сайты стали открываться, DPI вашего провайдера можно обойти.
    Попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
    Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a

    Эффективное проксирование для обхода блокировок по IP

    В случае блокировок по IP-адресу, провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
    Программа ReQrypt работает как эффективный прокси-сервер: исходящие от клиента пакеты отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt пересылает их серверу назначения с подменой исходящего IP-адреса на клиентский, сервер назначения отвечает клиенту напрямую, минуя ReQrypt.

    ReQrypt

    Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ожидать ответа от сайта. Ответ не дойдет, т.к. в таблице NAT не создана запись для этого IP-адреса.
    Для «пробива» NAT, ReQrypt отправляет первый пакет в TCP-соединении напрямую сайту, но с TTL = 3. Он добавляет запись в NAT-таблицу роутера, но не доходит до сайта назначения.

    Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Спуфинг IP-адресов часто используется для амплификации атак через DNS, NNTP и другие протоколы, из-за чего он запрещен у подавляющего большинства провайдеров. Но сервер все-таки был найден, хоть и не самый удачный. Разработка продолжается.

    Заключение и TL;DR

    GoodbyeDPI — программа под Windows, позволяющая обходить пассивные и активные DPI. Просто скачайте и запустите ее, и заблокированные сайты станут снова доступны.
    Для Linux есть аналогичная программа — zapret.

    Используйте кроссплатформенную программу ReQrypt, если ваш провайдер блокирует сайты по IP-адресу.

    Определить тип блокировки сайтов можно программой Blockcheck. Если в тестах DPI вы видите, что сайты открываются, или видите строку «обнаружен пассивный DPI», то GoodbyeDPI вам поможет. Если нет, используйте ReQrypt.

    Дополнительная полезная информация есть здесь и здесь.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 305
    • 0

      Я когда то обходил блокировку подменяя GET на POST, изначально проверял head'ом и обнаружил что работает

      • +4
        Это будет работать только на очень ограниченном количестве сайтов.
        • 0
          Это само собой, но качать файлики через wget самописным скриптом мне удавалось. Если что я про ныне покойный(?) ex
      • +5
        Статья понравилась, автор молодец. Сразу поселилась мысль, что тут содержатся способы обхода блокировок, что запрещено в РФ. Надеюсь роскомнадзор с прихвостнями пройдут мимо
        • +13
          Боюсь скоро начнут выпиливать эти публикации. И прошлые тоже. Вариантов нет особо.
          • +10
            Тогда тут останутся только пустые корпоративные блоги с нулем просмотров
            • 0
              Беда утром, что баланса особо не получится (( законы хреновые.
              • +1

                Просмотры будут писаться кто сколько проплатит

              • +3
                Тут скорее надо боятся что ValdikSS'а выпилят :(
                • +4
                  Пора выводить часть статей в Tor.

                  Как у флибусты — зайдешь на «луковый» сайт — полный доступ, зайдёшь на flisland.net — нет доступа к текстам.

                  Заходят ребята к РосКомНадзора — всё чинно, благородно.
                  Заходят остальные через Тор — всё как до РосКомНадзоров и регулирований интернета.
                  • 0

                    нужно качнуть для автономного прочтения…

                    • 0
                      Можете оформить статью, как исследование способов фильтрации инжектированных в трафик третьей стороной левых пакетов, своеобразная защита от MitM. В качестве примера взять хост, ошибочно попавший под блокировку.
                    • 0
                      Я сделал так: распечатал статью в ПДФ. Единственное, что непонятно — сконвертировались ли ссылки.

                      • +2

                        У браузеров же есть возможность сохранить HTML со всеми ресурсами.

                        • 0
                          Согласен. Не подумал.
                          • 0
                            Ну не со всеми, хром например не сохраняет файлы шрифтов прописанные в css, у них это в TODO с лохматых годов =\
                          • 0
                            Зелёный слоник image прекрасно ест статьи с Хабра. Потом можно хоть знакомым разослать, хоть в архив выкинуть. Это если понадобится офлайн версия. А устраивать шмон по приватным блокнотам вряд ли кто-то сейчас станет.
                      • 0
                        А, кроме DPI и IP, какие еще типы блокировок существуют?
                        Провайдеры разве не имеют возможность видеть кто обходит блокировки, а кто нет?
                        • +7
                          Есть подозрение, что дрючат провов за то, что «ревизор» обходит блокировки, а не продвинутые юзеры
                          • +1

                            Кальмаром ещё блокируют.

                            • +3
                              Да, у некоторых провайдеров установлен zapretservice, который представляет собой настроенный Squid.

                              EvilGenius18
                              Провайдеры разве не имеют возможность видеть кто обходит блокировки, а кто нет?
                              Имеют, конечно.
                              • 0

                                Объясняю. По IP трафик заворачивают на прозрачный прокси а он уже вычитывает url или домен в случае https и блокирует в случае соответствии с правилами. Такой способ используют мелкие провайдеры.

                                • 0
                                  Ну так могут позволить себе делать только очень мелкие провайдеры, которые всех натят в один адрес. Ведь в этом случае у тебя адрес будет тот, что у прокси.
                                  К тому же это достаточно «тяжелый» вариант
                                  • 0
                                    У Squid есть TPROXY он позволяет оставлять оригинальный адрес https://wiki.squid-cache.org/Features/Tproxy4 так что это не проблема, учитывая что поток на заблокированные ресурсы не так велик, вполне себе можно переварить.
                              • +1

                                Ещё подменяют ответы DNS.

                                • 0
                                  Смотря как обходит. Но провайдеру это не интересно. Провайдеру эти блокировки как серпом по яй… ой, ну вы поняли :).
                                  Провайдеру главное, чтобы установленный ревизор не ходил куда не надо и РКН был удовлетворен.
                                • 0
                                  Спасибо, интересно. Для Мака подобное есть?
                                  • +2
                                    ReQrypt должен работать и на macOS, и на FreeBSD, но его никто не собирал. Попробуйте, напишите о результатах, если будете пробовать.
                                    Вот что пишет автор:
                                    It is supported, see the build instructions for MacOSX in the INSTALL file. The Mac build is mostly the same as FreeBSD since they are similar systems. That said, I have not tested it in a long time, so I don't know if it still works.

                                    Вообще, я планировал перенести всю функциональность GoodbyeDPI в ReQrypt, чтобы была одна большая кроссплатформенная программа, с веб-интерфейсом, но пока как-то руки не доходят. Будет здорово, если кто-нибудь поможет мне и автору ReQrypt. Здесь есть план: https://github.com/ValdikSS/ruqrypt/issues/1
                                    • 0
                                      Спасибо за наводку, попробую собрать под Мак!
                                      • 0
                                        Не собралось, к сожалению. Оставил issue — https://github.com/basil00/reqrypt/issues/2
                                        • +1
                                          Автор исправил, теперь собирается?
                                          • 0
                                            Собраться-то собралось, только на новых версиях macOS нет ipfw, его заменили на PF, в итоге пакет превратился в тыкву…
                                        • 0
                                          Не думаю что обывателю очень удобно держать открытую вкладку хотя это и кроссплатформенно, к тому же ваш сервис переодически вызывает bsod у некоторых пользователей так что использовать его бы хотелось с возможностью отключения и включения в пару кликов, у меня появилась идея сделать под .net приложение и запихать туда openvpn, ruqrypt, goodbyedpl и все основные способы обхода с возможностью обновлять модули и gui по отдельности.
                                        • +1
                                          Запилил небольшое расширение ядра для macOS (IP Filter), блокирующее пакеты пассивного DPI Ростелекома.
                                          Можно попробовать переписать фильтры под себя, если необходимо.

                                          https://github.com/dzhidzhoev/AntiRTDPI
                                          • 0
                                            Надоело копипастить сравнение «warning.rt.ru» побайтово?
                                            • 0
                                              Вы, видимо, хотели оптимизировать сравнение вложенными if'ами, но это не нужно: как только не сработает первое правило, сравнение остальных не будет производится, если это логическое «и» (&&).
                                              • 0
                                                В Си ведь нет сокращенного вычисления логических выражений?
                                                UPD: ок, понял, есть.
                                      • +3
                                        Внезапно, просто запустил и работает.
                                        Спасибо.

                                        UPD: я правильно понимаю, что это единственное решение, когда мой трафик не ходит никуда, всмысле в том числе на неизвестные прокси\впн? =)
                                        • 0

                                          Да

                                          • +49
                                            Клёво. Я и хотел так сделать, чтобы можно было просто запустить, и оно просто заработало.
                                            Считаю, что у нас глобально не хватает хороших программ. Есть идеи, есть технологии, есть исследования, а софт писать разучились, либо просто лень людям. Что ни прокси-сервер или мессенджер, то обязательно на Electron, с chromium и ffmpeg.dll, на 60+ МБ, отъедающий 200+ МБ RAM, и еще нужно, чтобы при нажатии правой кнопки вываливалось меню с пунктами «Back» и «Refresh». И обязательно с рекламой или привязкой ко своим серверам.

                                            Я написал GoodbyeDPI, потому что мне было интересно, и потому что я стараюсь заботиться о людях. Я не пользуюсь Windows, но, тем не менее, эта программа под Windows.
                                        • +1
                                          VPS за 3 бакса, проброс порта PuTTy (win)/ssh (linux), Firefox, sock5 прокси, галка «proxy DNS when using SOCK v5».

                                          Все.
                                          • 0
                                            Ну и работать это будет только в браузере. Зачем мне браузер, ведь есть telnet. Я же не браузер смотрю, а интернет!
                                            • +1

                                              Работать это будет где угодно :)
                                              Это sock5. И браузер, и игрушки, TCP/IP который приносит радости. Если прописать на уровне системы — то весь системный софт, который умеет "в настройки системы" будет ее юзать.


                                              Конечно, это чуть дольше чем скачать программу, которая будет обходить какие-то частные случаи.


                                              Это всего лишь:


                                              • купить виртуалку за 3 бакса или евро (если дорого, скинуться с 3 друзьями, кто будет сидеть на ней же)
                                              • выбрать установку дебиана в админ панели хостера, сервер можно и не настраивать, ну или минимум добавить юзера для прокси
                                              • скачать PuTTy (windows) и настроить как на картинке (и нажать [Add]):
                                                image
                                              • в случае линукса обойтись 1й строкой ssh -D 3128 -i /путь/к/ключу root@айпи_сервера -p22, вместо root указать юзера, которого сделали для прокси, если сделали.
                                              • Следом в системе или в браузе указать проксю
                                                image

                                              Радоваться тому, что траффик зашифрован до VPS и далее спокойно идет до цели и это работает во всех случаях, а ныть можно будет, когда всех обяжут пускать ssh траффик через главный сервер прокуратуры.

                                              • +2

                                                А где повод для радости-то? Закон о незаконности вашего способа уже есть.

                                                • 0
                                                  Не совсем так. VPN не запрещены, запрещены сервисы для обхода блокировок. Автор статьи описал один способ обхода блокировок, автор комментария второй способ обхода блокировок. В контексте закона они равноценны.
                                                  • 0

                                                    Не совсем так. Способ автора не является сервисом и не запрещён текущим законодательством совсем.
                                                    Способ из комментария предлагает использовать именно запрещённый сервис и при выявлении подлежит блокировке.

                                                    • +2
                                                      Не соглашусь, nikitasius предлагает использовать ssh туннель до своего vds/vps, на котором запущен прокси (тот же squid). По факту о вашем закрытом прокси знает только хостер и провайдер vds. Ваш же провайдер видит только шифрованный ssh траффик — а чем вы там занимаетесь ему неизвестно. Пока что закона об ограничении ssh нет, и надеюсь не будет.
                                                      • +1

                                                        Запущенный прокси НЕ нужен. Это просто туннель до сервера.
                                                        При использовании SOCK5 все запросы улетают через сервер на нужные ресурсы. Никакого лишнего софта.


                                                        user -> {ssh} -> VPS -> TCP/IP {worldwide}


                                                        будь то сайты или онлайн игры.

                                                      • +2
                                                        > Способ из комментария предлагает использовать именно запрещённый сервис
                                                        Не-а, еще раз — vpn не запрещены.
                                                        Запрещено оказывать услуги vpn если не блокируются нужные сайты, но автор комментария услуги не предлагает оказывать, он предлагает использовать это «лично для себя».
                                                        • –2

                                                          Так автора комментария и не будут запрещать. Заблокируют тот впн, который предоставляет ему эту услугу. Всё в точном соответствии.

                                                          • 0
                                                            Если найдут. :)))
                                                            Количество VPN соединений не очень маленькое.
                                                            • +3

                                                              Так он предлагает же не чужой VPN искать, а VDS арендовать.

                                                              • –3

                                                                Сомневаюсь, что вы сможете доказать разницу прокурору. Или роскомпозору. Но можно да, тешить себя и такой мыслью.

                                                                • –2

                                                                  А что мешает сказать, что это твои вирусы коннекты поднимают?
                                                                  Ейбогу… соображалка-то где?

                                                                  • +3

                                                                    Сказать — ничего не мешает. Это не я, я просто рядом стоял. На степень виновности это не повлияет (тем более, что самому обходить блокировки пока можно)

                                                                    • 0

                                                                      Кому, простите, сказать? — дяденька прокурор, снимите с моего сервера блокировку, это не я там впном на "запрещённые" сайты ходил, это мои вирусы туда что-то сливали… — и прокурор, такой, — а, ну раз вирусы, то это меняет дело, снимаем блокировку, спасибо, что сказали!
                                                                      Ей богу, соображалка-то где?

                                                                    • +1

                                                                      Просто поверьте на слово тем, кто читал закон: это будет работать.

                                                                      • 0
                                                                        • 0
                                                                          Тут работает принцип неуловимого джо, который неуловим потому, что никому нафиг не нужен.
                                                                      • +3
                                                                        Заблокируют тот впн, который предоставляет ему эту услугу.
                                                                        Он не предлагает покупать ВПН который «окажет ему услугу», он предлагает сделать свой ВПН и использовать его лично для себя, а не оказывать услуги кому-то.

                                                                        Оказание услуг третьим лицам и личное пользование — сильно разные вещи, в том числе и юридически.
                                                                        • 0

                                                                          Вы полагаете, вы сможете это доказать? А действительно сможете? Расскажите Дмитрию Богатову как доказать, что это не он был тем экстремистом, за которого его закрыли. Серых мразей не смутило даже то, что "экстремист" действовал в то время, когда Богатов уже сидел в тюрьме. Прочтите его интервью. "Там" никому не интересно ничего ни юридически ни, даже, то, что некоторые вещи невозможно сделать физически. Поэтому Богатова обвиняют в экстремизме, который он "совершал" сидя в тюрьме. Поэтому Серебренникова обвиняют в том, что он не ставил спектакль, не смотря на то, что его посмотрели тысячи людей и даже в момент обвинения он шёл в театрах. Поэтому парализованного чувака в инвалидной коляске обвиняют в разбойном нападении и завладении мотороллером. Поэтому в крови сбитого насмерть шестилетнего ребёнка находят дозу алкоголя, срубающую с ног взрослого мужика… В общем, удачи вам!

                                                              • +3
                                                                К сожалению, «системные» настройки прокси, которые в Windows реализованы через Internet Explorer, не умеют «Proxy DNS when using SOCKS v5» и будут слать DNS запросы через DNS прописанный в системе.

                                                                В итоге получается, что работать это будет только в Mozilla Firefox (потому что он умеет слать запросы DNS через прокси) и в ПО где предусмотрены такие настройки.

                                                                Google Chrome и его производные, а также любое ПО использующее системные настройки прокси Windows будут слать запросы через DNS роутера-провайдера.

                                                                У меня провайдер подменяет DNS запросы, поэтому вся эта связка работает только в Firefox, и мне просто повезло что я использую его как основной и единственный браузер.

                                                                GoodbyeDPI и ReQrypt в моем случае не работают.
                                                                • +1
                                                                  Так настройте себе DNSCrypt.
                                                                  • 0
                                                                    DNSCrypt настроен на роутере.
                                                                    Но при таком раскладе теряется доступ ко внутренним сервисам провайдера.
                                                                    • +1
                                                                      Внутренние сервисы через hosts прописать, если их не так много
                                                                      • 0
                                                                        Так настройте dnsmasq.
                                                                        • 0
                                                                          Проблема в том, что я не знаю адресации сервисов провайдера, а он мне такую информацию не предоставит.

                                                                          Есть вариант выловить всё это дело вручную, но я до него ещё не дошел.
                                                                          • 0
                                                                            Я думал, у вас локальные адреса с локальными же доменами, вроде sitename.local.
                                                                            А если их там считанные единицы и вы их все знаете, то можно так же в dnsmasq указать, через какой dns сервер разрешать конкретное имя.
                                                                            • 0
                                                                              К сожалению, нет, .local не используется.
                                                                              Про настройку dnsmasq я в курсе, спасибо.

                                                                              У прошлого провайдера всё было проще в этом плане, а вот текущий добавил сложностей.

                                                                              По крайней мере, в своём браузере у меня блокировок нет, спасибо ValdikSS за это.
                                                                              • 0

                                                                                Можно у провайдера спросить список доменов локальных сервисов (возможно на форуме он уже есть) и скриптом вогнать в hosts.

                                                                                • 0
                                                                                  На форуме нет, провайдер не даёт такой информации (и я его понимаю прекрасно), уже пробовал.
                                                                                  • 0
                                                                                    Я, если честно, не прекрасно понимаю провайдера. Можно, например, пользоваться сторонними (Google, Яндекс, HE, etc) DNS-серверами и хотеть подключаться к сервисам провайдера. Предоставить список доменов доступным клиентам мешает скорее лень.
                                                                  • –1
                                                                    Минусы способа:
                                                                    — падение скорости интернета
                                                                    — ограничения трафика у хостинга за 3 бакса.
                                                                    • +2

                                                                      Вам, с дивана, виднее. 100 Мбит и анлим траффик, и все за 3 евро.

                                                                      • 0
                                                                        Да, с дивана хороший обзор.
                                                                        100 Мбит на сервере, не равно 100 Мбит на локальном ПК + увеличение пинга.
                                                                        Особенно, если VPS не из твоей страны (не все живут в России).
                                                                        • +2
                                                                          Зато туннели могут работать на любом устройстве и любой системе, все вообще стандартная функция ос даже на мобильных.
                                                                          • +3

                                                                            Правильные ДЦ имеют правильные маршруты, так что если до VPS 40мс (40мс это между москвой и францией или германией), а до западного сайта 60мс, то в итоге будет 50мс :)
                                                                            Я одно время держал "публичный гейт" (sock5) для игроков eveonline, так как из России до Исландии было дольше, чем из России до германии и из германии до исландии. Некоторые получили -30мс (минус 30мс к пингу) + у них "обрывов не было" при такой игре.


                                                                            Теперь про 100Мбит — на сервере гарантированно 100 Мбит (реально 104 на 100 тарифе), следом имеет важность канал провайдера (юзера) в европу. И если он говно, то прямой ли коннент или через сервер — одни яйца.


                                                                            Пример сервера — VPS1 от OVH. Я использую из в пакете public cloud, а конкретно этот мелкий ВПС для частных прокси для друзей и как нода TOX.

                                                                    • 0
                                                                      Поставьте Proxifier, он умеет заворачивать в любой SOCKS5 сервер ЛЮБОЙ трафик прозрачно на уровне TCP/IP.
                                                                      • 0
                                                                        Блокируют-то веб (http/https).
                                                                      • 0

                                                                        Помоему скачать и запустить прграмму легче чем ваш вариант. Да и много дешевле.

                                                                        • 0
                                                                          Я не спорю, просто тут решение из проверенных вариантов, которые используются в повседневке годами (от проброса порта к себе, до прокси на определенную страну через виртуалку в ней же).

                                                                          Он требует вложений, но не требует настройки сервера (если только idle уменьшить, чтобы sshd не рвал коннекты с клиентами, которые долго молчат).
                                                                          • +2
                                                                            Да, но эта программа будет работать пока провайдеров не заставят использовать более изощренные способы блокировок. А вариант nikitasius можно отменить лишь вообще запретив ssh.
                                                                            • 0

                                                                              Именно так. А запрет SSH… ну это вообще "приехали".


                                                                              Кстати, многие арендуют сервера, следом шарят доступ и получают абузы — в случае публичного сервиса нужно, конечно же, настраивать сервер и лимитировать доступ.


                                                                              Например такой провайдер как OVH ничего не запрещает ставить, то бишь можно ставить что угодно (реально что угодно), но если активность носит нелегальный характер — будет разбирательство и саспенд.


                                                                              Это гораздо более гибкая политика, чем тот же hetzner, запрещающий tor или швейцарцы, которые против irc, tor и любый проксей.

                                                                          • 0

                                                                            Да ну, это слишком узкое применение.
                                                                            Лучше уж sshuttle — он по крайней мере весь трафик заворачивает одной командой, а не только из браузера.

                                                                            • 0

                                                                              Узкое — если sock5 только в firefox использовать.


                                                                              Если на уровне системы — тогда глобальное.

                                                                            • 0
                                                                              VPS за 3 бакса

                                                                              Где взять? Какие там ограничения на место/трафик? Там дают root права на систему и можно доустановить что потребуется? Спасибо!
                                                                              • 0
                                                                                Как вариант мониторить предложения на https://lowendbox.com/.
                                                                                  • 0

                                                                                    https://www.ovh.com/fr/vps/vps-ssd.xml


                                                                                    полный доступ, любая система (для винды дороже есессно).

                                                                                    • 0
                                                                                      Можно через QEMU вручную накатить любой «пробный» Windows абсолютно бесплатно:
                                                                                      Инструкция №1
                                                                                      Инструкция №2

                                                                                      Во время установки надо сидеть в графическом интерфейсе через VNC Server, прокинутый в QEMU. В ином случае, весь диск пойдёт под раздел С.

                                                                                      Так же в инструкции одна команда может не заработать. У меня работало с командой:
                                                                                      qemu-system-x86_64 -machine accel=kvm -cdrom windows_install.iso -boot d windows.img -m 16000
                                                                                    • +1
                                                                                      $1.3+ firstbyte.ru
                                                                                      $3.9+ gmhost.com.ua (лично использовал, всё понравилось)
                                                                                      • 0

                                                                                        Тариф за бакс — отлично для ssh!

                                                                                  • 0
                                                                                    Спасибо за статью. Будем собирать арсенал.
                                                                                    • +3
                                                                                      Заработало отменно с -4, автору глубочайший респект.
                                                                                      Закину свои мысли по поводу «запуска как сервис» — в Win это можно сделать проще, через планировщик.
                                                                                      Ставим задание «при старте машины запускать от имени аккаунта SYSTEM», прописываем путь к программе с нужными ключами, PROFIT!
                                                                                      XML для импорта
                                                                                      <?xml version="1.0" encoding="UTF-16"?>
                                                                                      <Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
                                                                                        <RegistrationInfo>
                                                                                          <Date>2017-08-11T22:54:06.3052904</Date>
                                                                                          <Author>Habrahabr</Author>
                                                                                        </RegistrationInfo>
                                                                                        <Triggers>
                                                                                          <BootTrigger>
                                                                                            <Enabled>true</Enabled>
                                                                                          </BootTrigger>
                                                                                        </Triggers>
                                                                                        <Principals>
                                                                                          <Principal id="Author">
                                                                                            <UserId>S-1-5-18</UserId>
                                                                                            <RunLevel>HighestAvailable</RunLevel>
                                                                                          </Principal>
                                                                                        </Principals>
                                                                                        <Settings>
                                                                                          <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
                                                                                          <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
                                                                                          <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
                                                                                          <AllowHardTerminate>false</AllowHardTerminate>
                                                                                          <StartWhenAvailable>false</StartWhenAvailable>
                                                                                          <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
                                                                                          <IdleSettings>
                                                                                            <StopOnIdleEnd>true</StopOnIdleEnd>
                                                                                            <RestartOnIdle>false</RestartOnIdle>
                                                                                          </IdleSettings>
                                                                                          <AllowStartOnDemand>true</AllowStartOnDemand>
                                                                                          <Enabled>true</Enabled>
                                                                                          <Hidden>true</Hidden>
                                                                                          <RunOnlyIfIdle>false</RunOnlyIfIdle>
                                                                                          <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
                                                                                          <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine>
                                                                                          <WakeToRun>false</WakeToRun>
                                                                                          <ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
                                                                                          <Priority>7</Priority>
                                                                                          <RestartOnFailure>
                                                                                            <Interval>PT1M</Interval>
                                                                                            <Count>3</Count>
                                                                                          </RestartOnFailure>
                                                                                        </Settings>
                                                                                        <Actions Context="Author">
                                                                                          <Exec>
                                                                                            <Command>"goodbyedpi.exe"</Command>
                                                                                            <Arguments>-4</Arguments>
                                                                                          </Exec>
                                                                                        </Actions>
                                                                                      </Task>
                                                                                      
                                                                                      • 0

                                                                                        А останавливать такой сервис предполагается перезагрузкой? :-)

                                                                                        • 0
                                                                                          Зачем, достаточно просто задание остановить.
                                                                                        • 0
                                                                                          Есть еще NSSM, с ним полноценная служба получится.
                                                                                        • +1
                                                                                          Какие методы могут начать применять провайдеры для обхода данной программы (общими чертами)?
                                                                                          Насколько будет просто их будет обходить обновлениями?
                                                                                          Гонка вооружений или в один момент могут глобально что-то придумать?

                                                                                          • +12
                                                                                            Насколько я понимаю ситуацию: провайдерам плевать с высокой колокольни на то, что вы обходите блокировки. У них стоит задача — заблокировать сайты из списка. Выполнение задачи проверяет специальное ПО «Ревизор». Соответственно всё, что надо провайдерам — делать Ревизора счастливым. Они закупают ПО и железо у каких-то поставщиков, которые опять же должны сделать Ревизора счастливым, а на вас им плевать. Ревизора пишет кто-то по заказу Роскомнадзора. Опять же этому кому-то плевать на вас, ему важно, чтобы Ревизор имитировал обычного пользователя на популярном браузере и ОС без всяких ухищрений.

                                                                                            Резюмируя — думаю этот способ будет работать для большинства провайдеров, если он работает сейчас. Однако во исполнение закона о запрете обхода блокировок скорее всего эту статью удалят, а доступ к софту постараются так или иначе заблокировать. Его прокси-сервер, наверное, тоже. Ну по крайней мере если это будет популярный способ.
                                                                                            • 0
                                                                                              Тогда вопрос в том насолько «умным» сделают этого самого Ревизора и как часто станут его обновлять.
                                                                                          • –5

                                                                                            Испытываю смешанные чувства по поводу того, что наш умный (DPI-ный) блокиратор обходится утилитой goodbyedpi. Как сотрудник компании расстроен, а как резидент страны и пользователь ru.net рад…
                                                                                            Я по-прежнему убежден, что все ограничительные меры в сфере информационных технологий, придуманные "теми кого в слух не произносим" и продвинутые "народными избранниками" направлены исключительно против простых сограждан. Родина от этого НЕ становится безопаснее....

                                                                                            • +22
                                                                                              Как сотрудник компании расстроен...


                                                                                              Напомню, что ваша компания перенаправляла (и наверняка делает это и сейчас) доставку SMS для авторизации на устройства третьим лицам.

                                                                                              • –17

                                                                                                Не думаю, что это уместно обсуждать здесь и сейчас...

                                                                                                • +21
                                                                                                  Этот факт просто необходимо выводить под комментариями расстроенных сотрудников МТС.
                                                                                                  Вы на другой стороне баррикад, вы работаете там и размещение здесь мнимых рефлексий неуместно.
                                                                                                  • +4

                                                                                                    Человек к вам со всей душой, за Родину радеет, а вы его так отхлестали! Быгы… :)

                                                                                                    • +5

                                                                                                      Я не буду оправдываться, вполне допуская, что что-то подобное и было и в этом преступлении были задействованы и сотрудники компании. Скажу лишь, что мир не идеален и некоторые вещи (пример) можно делать без участия оператора. Еще скажу, что если «Яровая» заработает, то использовать sms для чего-то серьезного (авторизация, восстановление пароля и др.) станет просто невозможно, потому что к текстам (как в on-line, так и off-line) получит куда более широкий “круг лиц”, как говорится, без «суда и следствия»...

                                                                                                      • 0
                                                                                                        Да и сейчас СОРМ — «чёрный ящик», который без спросу снимает данные у оператора.
                                                                                                        • 0

                                                                                                          +1
                                                                                                          Ключевое слово "снимает". А тут еще будет и хранить…
                                                                                                          Еще прикол в том, что разработка "решения" для "Яровой" еще в самом начале. На этапе тестирования "решения" к трафику получат доступ дополнительные люди (разработчики).
                                                                                                          Сейчас, формально, голосовой СОРМ работает путем установки "на мониторинг" конкретных абонентов на оборудовании оператора, а по "Яровой" потребуется полный слив сигнализации (в ней ходят SMS-ки) и самого голоса.

                                                                                                          • 0
                                                                                                            Да. Суть в том, что текущий СОРМ — реалтайм, а пакет Яровой-Озерова — доступ в ретроспективе. Причём в текущих формулировках — доступ достаточно широкого круга лиц. Огромная дыра в безопасности и конфиденциальности.
                                                                                                            • 0
                                                                                                              Интересно получается, я как клиент украинского Приватбанка только сейчас подумал, насколько банк старается уйти от СМСок:
                                                                                                              — При «незнакомом» входе в клиентбанк осуществляется вызов на финансовый номер клиента, робобаба просит нажать единичку (перехват кода невозможен)
                                                                                                              — При установленном на смартфоне клиенте приложении Приват24, подтверждение «серьёзных» операций делается через приложение (просто нажать кнопку подтверждения, никакого кода вводить не нужно)

                                                                                                              Осталось придумать что-то с 3D-Secure, где пока ещё передаётся, если не ошибаюсь, код СМСкой (а может уже тоже через приложение — нет телефона под рукой проверить).
                                                                                                              • 0
                                                                                                                При «незнакомом» входе в клиентбанк осуществляется вызов на финансовый номер клиента, робобаба просит нажать единичку (перехват кода невозможен)

                                                                                                                Что мешает перехватить вашу линию и нажать единичку за вас? СОРМ, скорее всего, такое позволяет.
                                                                                                                • 0
                                                                                                                  Захват линии и выдача себя за целевого субъекта, насколько я понимаю, технически заметно сложнее, чем просто перехват СМС без необходимости выдачи себя за цель.
                                                                                                                  • 0
                                                                                                                    Не вижу сложности в изображении тонального сигнала с клавиатуры. Или там ещё что-то требуют? Тогда вы забыли об этом написать выше.
                                                                                                                    • 0
                                                                                                                      Для перехвата СМС вам «всего лишь» нужно прослушать и расшифровать трафик, направленный на интересуемого абонента. Для перехвата звонка вам нужно вклиниться в систему оператора и заставить её направлять трафик на ваш подставной аппарат вместо адресата. Только потом уже вы сможете изобразить тональный сигнал.
                                                                                                      • 0
                                                                                                        Не очень понимаю, чего вы хотите от eov. Я правильно понимаю, что он и все остальные сотрудники МТС должны были написать заявление об увольнении по собственному желанию после того случая?
                                                                                                        А почему тогда они не должны этого делать при каждом мелком нарушении прав абонентов многие годы назад? А где они тогда будут искать работу, если все разом уволятся? Или уволиться должен был только eov? Если так, то почему только он? И почему он теряет право «расстраиваться», что решение компании не работает с точки зрения сотрудника (это проффесионализм) и радоваться этому же с точки зрения прав человека (это гражданская позиция)?

                                                                                                        Вы так всё это пишете как будто он — депутат, который эти законы разрабатывает.

                                                                                                        // Да, вы, конечно, можете и на Нюрнбергский процесс сослаться. Вот только это с натяжкой будет работать если eov сам занят блокировками в своей компании.
                                                                                                      • –1

                                                                                                        Спасибо, я уже все понял… Это была просто попытка остановить офтоп обсуждение…
                                                                                                        Еще бы напомнил бы правила Хабра:


                                                                                                        Путать сайт с жалобной книгой
                                                                                                        Если у вас проблемы с сотовым оператором, с провайдером интернета или хостинга, или с чем-то ещё, всегда можно связаться со службой поддержки нужного вам ресурса. Или с компетентными органами. Но не следует использовать «Хабр» как рупор, дабы рассказать всем о постигшей вас ситуации.

                                                                                                        Оскорблять других пользователей, не следить за эмоциями
                                                                                                        Мат, оскорбления, переходы на личности, эвфемизмы, троллинг — хорошие способы быстро и надежно сменить текущий статус аккаунта на ReadOnly.
                                                                                                        • 0

                                                                                                          Это надо пометить тегом 'хранить вечно'

                                                                                                        • 0

                                                                                                          можно пруф, я что-то пропустил.

                                                                                                          • +1
                                                                                                            о чем речь?
                                                                                                        • +2

                                                                                                          Не расстраивайтесь :) Задача компании заработать бабки, а не заблочить. Закон, он такой: надо — сделали; можно не делать, пользователи довольны, роскомпозор не бесится — всем пофиг.

                                                                                                          • +4

                                                                                                            Знаете, многие немцы абсолютно так же оправдывались насчет Освенцима.


                                                                                                            Пока это просто аналогия...

                                                                                                          • 0
                                                                                                            Замечательная статья, спасибо!
                                                                                                            Одно грустно, что это все привязка к конкретному ПК. Вот бы все это на роутер утащить.

                                                                                                            У себя пока решил проблему так: микротик отлавливает входящие пакеты с переадресацией на заглушку провайдера, добавляет IP в отдельный список, после чего уже все IP из этого списка через policy-based routing маршрутизируются в поднятый там же vpn. В итоге при первом заходе на сайт вылазит заглушка (которую тот же микротик подменяет на свою), последующие уже идут через vpn.

                                                                                                            Ваш вариант на микротике, видимо, не реализовать, а на чем-нибудь посерьезнее, вроде openWRT, может и получится.
                                                                                                            • 0
                                                                                                              А не будет наглостью попросить описать решение на микротике поподробнее, для повторения? Я недостаточно знаю эту платформу для реализации первой половины задачи (отловить ответы от заглушки и на этом основании сделать таблицу для PBR), а решение по описанию красивое.
                                                                                                            • +2
                                                                                                              zapret работает на роутерах под OpenWRT.
                                                                                                            • 0
                                                                                                              Еще HTTP клиент может вместо CRLF присылать LF, что тоже должно корректно обрабатываться сервером.
                                                                                                              • 0
                                                                                                                Это рекомендация, ее не придерживаются еще большее число веб-серверов, чем несколько пробелов в первой строке запроса.
                                                                                                                • 0
                                                                                                                  А вообще на каких веб-серверах тестировали?
                                                                                                                  Поидее нужны всего три: Apache, nginx, IIS, может быть lighttpd. Остальные встречаются или крайне редко или используются только при разработке.
                                                                                                                  • +1

                                                                                                                    А куда пропали Tomcat, а также сервера встроенные в node.js, go и другие популярные языки?


                                                                                                                    PS IIS не парсит заголовки HTTP, этим занимается HTTP.SYS

                                                                                                                    • 0
                                                                                                                      Да, про ноду что-то я и забыл. Хотя ее часто ставят за nginx, но не знаю будет ли это играть какую-то роль.

                                                                                                                      На счет go и «других попурярных языков», не хочу никого обидеть, но в процентном соотношении их использование в интернете стремится к нулю: https://news.netcraft.com/archives/category/web-server-survey/ или https://trends.builtwith.com/web-server
                                                                                                                      Поправьте если ошибаюсь.

                                                                                                                      Поддерживать все и вся, я думаю, у автора не получится, да и не нужно это, думаю оно и так будет работать.
                                                                                                                  • 0

                                                                                                                    Как знать без статистики? Такие пакеты даже iOS отправляет из некоторых сервисов.

                                                                                                                • +2
                                                                                                                  Отличная статья. Сразу почему то вспомнился Марк Руссинович.
                                                                                                                  • 0

                                                                                                                    [удалил]

                                                                                                                    • 0
                                                                                                                      На мой взгляд не хватает варианта для мобильных устройств…
                                                                                                                      • 0
                                                                                                                        Телефоны ограничивают свободу, не давая пользователю права root. Обоим программам они потребовались бы, будь они переделаны для телефонов. Это можно обойти через VPN API, но все же, на iOS и Windows Phone нельзя установить программы не из магазина программ штатными средствами, а в магазин такое вряд ли пропустят.
                                                                                                                        • –4
                                                                                                                          Подавляющее количество телефонов — андроид, а там никаких проблем с root. Другое дело, что там проще пользоваться обычным VPN.
                                                                                                                          • –1
                                                                                                                            Минусующие могут объясню свою точку зрения?

                                                                                                                            У меня Mi5, он на андроид, у меня есть рут (хотя он в данном случае не нужен) и я пользуюсь своим собственным ВПН, потому что предлагаемое решение на телефоне не работает и работать не может.
                                                                                                                            • +1
                                                                                                                              Ну тут уж вы точно не правы.

                                                                                                                              Утром нашёл эту статью, протестировал на ПК, потом попытался на телефоне — получил ошибку.
                                                                                                                              Пересобрал ядро и boot.img, прошил — команды отработали, проверил — всё работает.
                                                                                                                              Написал скрипт init.d, положил куда надо, перезагрузил смарт — изменения перезагрузку пережили.
                                                                                                                              Вытащил этот скрипт со смарта в device tree, пересобрал прошивку, прошил полностью — работает.

                                                                                                                              Так что со всей ответственностью могу заявить — этот способ на Android смартфоне в принципе работоспособен. Если лично у вас не работает — претензии к производителю.
                                                                                                                              • 0
                                                                                                                                Ну тогда это автор не прав, потому что он выше говорит о том, почему его способ не для телефонов. И пересборка ядра прошивки — это, мягко говоря, не самый тривиальный способ. ВПН на порядок проще и надёжнее.
                                                                                                                              • 0
                                                                                                                                Вы как обладатель смартфона Xiaomi должны знать, что производители уже давно противятся получению root и разблокировке загрузчиков на устройствах. На многих устройствах единственно доступный способ достигнуть получения прав root — использование эксплоитов. Что никак не гарантирует, что на ваш смартфон не будет занесено вредоносное ПО.
                                                                                                                                • 0
                                                                                                                                  Мой Mi5 пришлось разблокировать через сайт сяоми, это заняло пару дней и с тех пор никаких проблем, никаких эксплоитов.
                                                                                                                                  • 0
                                                                                                                                    Вы же в курсе, что Xiaomi могут НЕ РАЗРЕШИТЬ разблокировку? Я вам сейчас могут провести небольшую аналогию между конституционным правом и согласованием митингов, и покупкой устройства и просьбой получить root.

                                                                                                                                    Это не говоря о том, что их европейская утилита, например, на моём Mi5S нормально не заработала — пришлось использовать китайскую версию.
                                                                                                                                    • 0
                                                                                                                                      Начнем сначала.

                                                                                                                                      Если пользоваться стандартными туннелями типа впн — то никакой рут не нужен, от слова «вообще». В большинстве случаев достаточно вообще стандартного функционала, встроенного прямо в систему. Надо только подключиться к серверу, лучше к своему собственному. Это не так сложно, как пытаться перекомпилировать ядро прошивки телефона. Это будет работать на любой системе, независимо от провайдера и прочего.
                                                                                                                                      • 0
                                                                                                                                        Понятное дело. Но это создаёт необходимость купить VPN/VPS.
                                                                                                                                        Кстати, выше я вам ответил совсем не на то (мой косяк — отвлекался пока читал его). Так что предмет спора отсутствует.
                                                                                                                                        • 0
                                                                                                                                          Тут уже вопрос — что важнее, ставить эту утилиту, которая будет работать только в винде и не под всеми провайдерами, или получать гарантию работы на любой системе, но покупать впн/впс.

                                                                                                                                          Если человек не умеет или не знает где/как поднять/найти впн-сервер, он будет пользоваться этой утилитой и разбираться, как ее заставить работать под его провайдером. Если умеет и знает — ему эта утилита не нужна.
                                                                                                                                          • +1
                                                                                                                                            Если человек знает и умеет — он будет пользоваться тем инструментом, который ему лучше подходит. Не уверен, что стоит обобщать.
                                                                                                                                            • +2
                                                                                                                                              Тоже верно. Я решил пользоваться своим впн, ибо один сервер для всех устройств, независимо от провайдера, плюс — защита трафика в публичных сетях типа мосметро, макдак, гостиницы и тд тп.
                                                                                                                              • +1
                                                                                                                                С получением root, может, и никаких проблем, но, например, банковский клиент отказывается работать на рутованном телефоне. И не только он.
                                                                                                                                • 0
                                                                                                                                  Это уже давно обходится. Гугли — Magisk.
                                                                                                                              • 0
                                                                                                                                На iOS можно, если собрать самому со своим провижн профилем, который доступен фор фри. Так что можно попробовать. Любой маковод сможет собрать и накатить на девайс из сорцов. Для других можно настроить сборку в travis. Тогда можно будет форкнуть реп и вписать туда teamId от личного аккаунта
                                                                                                                                • 0
                                                                                                                                  opera vpn есть в маркетах гугла и апла
                                                                                                                                  • +1
                                                                                                                                    Только по новому закону — подобные программы должны будут сами себя кастрировать, или их самих заблокируют.