Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.

Существует два распространенных типа подключения DPI: пассивный и активный.

Пассивный DPI

Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.

В российской космонавтике накопилось слишком много проблем

Срыв запуска на космодроме Восточный из-за неправильного кабеля не прошёл бесследно для руководства космической отраслью. Отдельным чиновникам объявлены выговоры и строгие выговоры. Руководитель НПО автоматики Леонид Шалимов подал в отставку после полученного постановление о неполном служебном соответствии, несмотря на то, что сотрудники НПО собирали подписи в его поддержку.

Теперь дошла очередь до «Роскосмоса». Контрольное управление президента начало масштабную проверку госкорпорации, что подтвердил официальный представитель «Роскосмоса» Игорь Буренков. Проверка идёт даже на предприятиях, которые не имели отношения к запуску на Восточном. Сотрудники сидят до позднего вечера и в выходные, чтобы обеспечить проверяющих документацией, которую те запрашивают.

Француз говорит, что впал в постоянную депрессию из-за того, что получал деньги ни за что


Фото: Alamy

Многие представители трудоспоспобной части населения любой страны работают на нелюбимой работе. Грубый начальник, плохой коллектив, ненормированный рабочий день — все это минусы, и большинство просто терпят их, не пытаясь что-то менять. Но есть и исключения, причем довольно необычные.

К примеру, 44-х летний француз по имени Фредерик Дезнард (Frédéric Desnard) подал в суд на бывшего работодателя. Дезнард, работавший ранее в парфюмерной компании, требует компенсации в размере 360 тысяч евро за низкую трудовую нагрузку и скучную работу, пишет The Telegraph. Притом работы было так мало, что Дезнард просто «смертельно скучал» на рабочем месте. По словам истца, его работодатель не давал ему показать себя, нагружая рутинными, мелкими и скучными задачами. В результате француз не смог ни продвинуться по карьерной лестнице, ни вырасти, как профессионал.

Введение

Всем хороши плагины для обхода блокировок вроде популярного friGate, но есть у них один минус — любят встраивать свою рекламу и в перспективе следить за всем, что вы делаете в интернете.

VPN имеет свои недостатки: либо весь трафик будет ходить через удаленный сервер, либо нужно будет настраивать сложные правила роутинга.

Ssh-туннель на постоянно засыпающем и просыпающемся ноутбуке приходится каждый раз перезапускать.
Есть решения вроде autossh, но настоящего перфекциониста они не удовлетворят.

Попробуем добиться удобства, аналогичного friGate с использованием сервисов, находящихся полностью под нашим контролем.
Нам понадобятся: выделенный сервер с Linux/FreeBSD (я использовал Ubuntu), домен, letsencrypt, squid и немного магии PAC-файлов.

Домен можно взять бесплатный 3-го уровня от вашего хостера или тут: freedomain.co.nr, registry.cu.cc.

Squid поддерживает шифрованое соединение с браузером — именно то, что нужно для такого случая.
Эта возможность почему-то практически неизвестна широкой публике, поэтому появился этот пост.

достаточно сильный лебедь

Если вы когда-либо искали VPN, который будет работать на десктопах, мобильных устройствах и роутерах без установки дополнительного ПО и перепрошивки роутера, вы, вероятно, выбирали между PPTP и L2TP+IPsec. У протокола PPTP имеются проблемы с безопасностью и прохождением через брандмауеры и NAT, так что в 2015 году его уже использовать не стоит, а использование L2TP излишне, т.к. L2 VPN, по моему мнению, для обычного удаленного доступа не нужен практически никогда.

Удивительно, что в интернете не так-то просто можно найти информацию о настройке чего-то помимо L2TP+IPsec в транспортном режиме, учитывая, что это обширный стек протоколов, который можно конфигурировать буквально как душе угодно, поэтому я попытаюсь устранить такое несовершенство мира.

Небольшое введение в мир IPsec

Вообще говоря, не совсем правильно называть IPsec VPN. IPsec не предназначен для построения «виртуальных частных сетей», а создан для шифрования или защиты от подмены передаваемых по IP данных. Это специальный слой поверх IP, который, в зависимости от режима и настроек, работает по-разному. В отличие от привычного VPN, который создает новый интерфейс в системе, на который вы, как это чаще всего бывает, назначаете IP-подсеть из диапазона частных адресов (т.е. создаете новый сетевой сегмент), и через который маршрутизируется трафик в зашифрованном виде, IPsec просто шифрует трафик магическим образом между «внешними» интерфейсами сервера и клиента.