Блокируют на части провайдеров, по протоколам и географической принадлежности либо диапазона, либо AS, независимо от площадки назначения. Хоть на только что купленном сервере с никем не использованным IP-адресом настройте VPN, подключаться с этих провайдеров не будет.
Это хлам с аппаратными проблемами. Процессор зависает при использовании SSE2 (и это семейство, и семейство новее), сам процессор медленный, память медленная, нет никакого смысла использовать его для NAS.
Карты времён 7260 у Интела — эталон стабильности и скорости работы. Я даже для десктопа покупал 8265 с переходником на PCI-e, потому что лучше на тот момент карт не было.
С вайфаем всё вообще плохо — в мире осталось всего два производителя карт с USB-чипами (Mediatek и Realtek), у первого драйвера так себе, у второго — проще сразу в мусор, и еще тройка производителей PCI-чипов в дополнение к первым (Broadcom, Qualcomm, Intel), у каждого из которых свои проблемы с драйверами, функциями, производительностью, совместимостью.
Ваш подход похож на опцию --ipset в DNS-резолвере dnsmasq, которая добавляет IP-адреса резолва в ip set, а не в таблицу маршрутизации. IP set'ы хорошо оптимизированы, адреса из set'а могут удаляться по таймауту автоматически, ядром, но требуют маркировки пакетов средствами netfilter, чтобы направить их в нужную таблицу маршрутизации.
Несколько недоработок вашей реализации:
Отсутствует поддержка AAAA-записей. На провайдерах с IPv6 (в России это порядка 7% интернет-трафика) обход не заработает — нужно хотя бы удалять AAAA-ответ из резолва, если нет желания обрабатывать полноценно.
Отсутствует поддержка записи SVCB/HTTPS (type 65), которая используется на устройствах Apple. Она имеет приоритет выше, чем A/AAAA, из-за чего iPhone может отправлять запросы в обход ваших правил.
На некоторых устройствах и некоторых браузерах по умолчанию включены DNS-over-HTTPS/TLS, из-за чего ваш резолвер не будет получать запросы. У Apple шифрование запросов отключается блокировкой доменов 'mask.icloud.com', 'mask-h2.icloud.com', 'mask.apple-dns.net', а в Firefox — 'use-application-dns.net'.
Пользователь по ссылке использовал VPN, чтобы проинициализировать магазин. На ТСПУ заблокирован домен play.google.com, но он обычно не используется в Android-приложении Google Play (закачка происходит через другие эндпоинты). Вполне возможно, что проблема была вызвана как раз начальным обращением приложения к домену play.google.com, которая устранилась через VPN.
В некоторых случаях сайт может быть заблокирован НКЦКИ по причине размещения противоправного контента на взломанном сайте
Большое спасибо нашему доблестному церту и ДЦОА: внереестровые блокировки сайта на ТСПУ, без уведомления владельца сайта/домена и хостера — это то, что мы давно ждали и к чему стремились! Ведь главное — как бы норот не увидел ужасающие сообщения, а администратор сайта не мог на него зайти, чтобы вернуть всё назад, сидел и недоумевал вместе с хостером о причинах недоступности сайта из РФ!
а также из-за его использования злоумышленниками для проведения компьютерных атак на критическую инфраструктуру
Ага-ага, блокируют пользовательские сети, потому что на сетях хостинг-площадок ТСПУ едва ли встречается :)
Блокировка применяется до момента фиксации НКЦКИ факта удаления противоправного контента.
Как минимум в одном известном мне случае блокировка началась уже после восстановления работы сайта.
С ДЦОА простой смертный связаться не может: номеров телефонов и емейлов нет в открытом доступе, а если и частное лицо им позвонит, от общаются они примерно так:
Если это началось не недавно, а давно, то проблема, скорее всего, в больших пакетах, которым клиентам, не поддерживающим фрагментацию внутри протокола, приходится фрагментировать на уровне IP — а фрагменты на IP часто намеренно фильтруют многие провайдеры (не только в РФ).
На tvunderground постоянно успешно собирались ежемесячные пожертвования, не сказать, чтобы маленькие. Тем не менее, сайт перестал работать одним днём, вероятно, из-за смерти создателя.
Вообще-то в России таким глобальным наблюдателем является организация с совершенно дурацким названием «Данные — центр обработки и автоматизации» (ДЦОА), которые получают netflow от устройств ТСПУ в реальном времени и видят, куда, кто и по какому протоколу подключается.
У Psiphon есть и Domain fronted-сервера через Akamai, Amazon, Cloudflare, Fastly, Azure. Они работают стабильно, но это не прямое подключение. Также есть серверы, которые временно оккупируют незанятые IP-адреса (либо же существующие веб-сайты), такой вид доступа работает с переменным успехом.
Psiphon имеет сложный механизм, и его трафик почти невозможно поймать, например, через системы фильтрации DPI.
Подавляющее большинство «вшитых» серверов в РФ блокируются, прямые соединения к серверу едва ли работают. Причём блокируют таким образом, чтобы программа не сразу догадалась о проблеме: подключение к серверу устанавливается, но затем либо блокируется спустя несколько килобайт переданных данных, либо замедляется до неприлично низких скоростей.
Миллионы пользуются, единицы исследуют. Вы изначально писали, что их исследовали вдоль и поперёк.
Даже в этой новости нет стороннего исследователя, как можно было бы предположить из названия. Яндекс сам в своём блоге рассказал о тестовой функции записи фрагментов (не опровергая какое-либо стороннее заявление о наличии этой функции), из чего и сделали новость.
Я купил эту колонку два года назад, с целью исследования реализацию Secure Boot на процессорах Allwinner: она в них технически есть, но её можно обойти неотключаемым режимом FEL. Нигде в рыночных устройствах включённый Secure Boot на этом железе не встречал (кроме Nintendo, там он включен, но ключи не зашиты — фактически выключен), думал, что хоть Яндекс его реализовал, но нет, увы.
После этого быстро потерял интерес к исследованию, т.к. сама колонка, по моему мнению, интересна только большим любителям сервисов Яндекса, а медиаустройство из неё — просто никакое. Без подписки не работает фактически ничего, кроме Алисы, интернет-радио и видео с youtube (для него обязательно нужно подключить HDMI, иначе тоже не воспользоваться). Есть большой потенциал для доработки ПО и/или перепрофилирования железа под другие цели, но раз энтузиастов за все эти годы не нашлось, то делаю вывод, что оно никому и не нужно.
ADB еще по команде с сервера можно включить, кстати.
Из интересного: оффлайн-распознавание, которое используется для триггер-фраз «алиса», «яндекс», «назад», «вверх» и т.п, также натренировано на слово «родина».
В режиме первого запуска (вроде бы, только в нём) есть ключевая фраза, включающая root-доступ через adb. SHA1-хеш фразы f88c0461ac78f4e0582e1ede68e014cb220a81d6, не набрутил.
Этим колонкос уже сколько лет, их исследовали вдоль и поперек.
До этих колонок никому нет дела, раз за всё это время никто не взломал защиту «подписочных» станций хотя бы на первой ревизии, где проверка осуществляется исключительно на клиенте, нет ни Secure Boot, ни Measured Boot Android'а, а ломается всё за 3 дня с нуля, включая корректное применение патча при обновлении.
Блокируют на части провайдеров, по протоколам и географической принадлежности либо диапазона, либо AS, независимо от площадки назначения. Хоть на только что купленном сервере с никем не использованным IP-адресом настройте VPN, подключаться с этих провайдеров не будет.
По ощущениям, фильтруют по географической принадлежности AS, а не по конкретным диапазонам.
Чтобы поднять PPP, вам нужен всего лишь ppp-демон на стороне Linux-машины, вместо шелла. Модемы не нужны.
Это хлам с аппаратными проблемами. Процессор зависает при использовании SSE2 (и это семейство, и семейство новее), сам процессор медленный, память медленная, нет никакого смысла использовать его для NAS.
https://twitter.com/ValdikSS/status/1634601160551047170
Карты времён 7260 у Интела — эталон стабильности и скорости работы. Я даже для десктопа покупал 8265 с переходником на PCI-e, потому что лучше на тот момент карт не было.
С вайфаем всё вообще плохо — в мире осталось всего два производителя карт с USB-чипами (Mediatek и Realtek), у первого драйвера так себе, у второго — проще сразу в мусор, и еще тройка производителей PCI-чипов в дополнение к первым (Broadcom, Qualcomm, Intel), у каждого из которых свои проблемы с драйверами, функциями, производительностью, совместимостью.
Ваш подход похож на опцию --ipset в DNS-резолвере dnsmasq, которая добавляет IP-адреса резолва в ip set, а не в таблицу маршрутизации. IP set'ы хорошо оптимизированы, адреса из set'а могут удаляться по таймауту автоматически, ядром, но требуют маркировки пакетов средствами netfilter, чтобы направить их в нужную таблицу маршрутизации.
Несколько недоработок вашей реализации:
Отсутствует поддержка AAAA-записей. На провайдерах с IPv6 (в России это порядка 7% интернет-трафика) обход не заработает — нужно хотя бы удалять AAAA-ответ из резолва, если нет желания обрабатывать полноценно.
Отсутствует поддержка записи SVCB/HTTPS (type 65), которая используется на устройствах Apple. Она имеет приоритет выше, чем A/AAAA, из-за чего iPhone может отправлять запросы в обход ваших правил.
На некоторых устройствах и некоторых браузерах по умолчанию включены DNS-over-HTTPS/TLS, из-за чего ваш резолвер не будет получать запросы. У Apple шифрование запросов отключается блокировкой доменов 'mask.icloud.com', 'mask-h2.icloud.com', 'mask.apple-dns.net', а в Firefox — 'use-application-dns.net'.
Пользователь по ссылке использовал VPN, чтобы проинициализировать магазин. На ТСПУ заблокирован домен play.google.com, но он обычно не используется в Android-приложении Google Play (закачка происходит через другие эндпоинты). Вполне возможно, что проблема была вызвана как раз начальным обращением приложения к домену play.google.com, которая устранилась через VPN.
А про неработоспособность платежей для региона РФ объявляли официально: https://support.google.com/googleplay/android-developer/answer/11950272
https://www.theregister.com/2022/05/10/google_blocks_paid_apps_from/
Попробуйте в церт написать, как советует статья. Вдруг поможет.
https://cert.gov.ru/
Домен заблокирован с марта 2022 г., вместе с блокировкой news.google.com
У меня не особо много серверов в РФ, но на тех, что есть, ТСПУ не встречается. Это не значит, что на них вообще нет блокировок.
Проверить довольно просто:
curl -L https://play.google.com/Если открывается — ТСПУ нет.
Большое спасибо нашему доблестному церту и ДЦОА: внереестровые блокировки сайта на ТСПУ, без уведомления владельца сайта/домена и хостера — это то, что мы давно ждали и к чему стремились! Ведь главное — как бы норот не увидел ужасающие сообщения, а администратор сайта не мог на него зайти, чтобы вернуть всё назад, сидел и недоумевал вместе с хостером о причинах недоступности сайта из РФ!
Ага-ага, блокируют пользовательские сети, потому что на сетях хостинг-площадок ТСПУ едва ли встречается :)
Как минимум в одном известном мне случае блокировка началась уже после восстановления работы сайта.
С ДЦОА простой смертный связаться не может: номеров телефонов и емейлов нет в открытом доступе, а если и частное лицо им позвонит, от общаются они примерно так:
Если это началось не недавно, а давно, то проблема, скорее всего, в больших пакетах, которым клиентам, не поддерживающим фрагментацию внутри протокола, приходится фрагментировать на уровне IP — а фрагменты на IP часто намеренно фильтруют многие провайдеры (не только в РФ).
На tvunderground постоянно успешно собирались ежемесячные пожертвования, не сказать, чтобы маленькие. Тем не менее, сайт перестал работать одним днём, вероятно, из-за смерти создателя.
Вообще-то в России таким глобальным наблюдателем является организация с совершенно дурацким названием «Данные — центр обработки и автоматизации» (ДЦОА), которые получают netflow от устройств ТСПУ в реальном времени и видят, куда, кто и по какому протоколу подключается.
У Psiphon есть и Domain fronted-сервера через Akamai, Amazon, Cloudflare, Fastly, Azure. Они работают стабильно, но это не прямое подключение. Также есть серверы, которые временно оккупируют незанятые IP-адреса (либо же существующие веб-сайты), такой вид доступа работает с переменным успехом.
Подавляющее большинство «вшитых» серверов в РФ блокируются, прямые соединения к серверу едва ли работают. Причём блокируют таким образом, чтобы программа не сразу догадалась о проблеме: подключение к серверу устанавливается, но затем либо блокируется спустя несколько килобайт переданных данных, либо замедляется до неприлично низких скоростей.
Миллионы пользуются, единицы исследуют. Вы изначально писали, что их исследовали вдоль и поперёк.
Даже в этой новости нет стороннего исследователя, как можно было бы предположить из названия. Яндекс сам в своём блоге рассказал о тестовой функции записи фрагментов (не опровергая какое-либо стороннее заявление о наличии этой функции), из чего и сделали новость.
Я купил эту колонку два года назад, с целью исследования реализацию Secure Boot на процессорах Allwinner: она в них технически есть, но её можно обойти неотключаемым режимом FEL. Нигде в рыночных устройствах включённый Secure Boot на этом железе не встречал (кроме Nintendo, там он включен, но ключи не зашиты — фактически выключен), думал, что хоть Яндекс его реализовал, но нет, увы.
После этого быстро потерял интерес к исследованию, т.к. сама колонка, по моему мнению, интересна только большим любителям сервисов Яндекса, а медиаустройство из неё — просто никакое. Без подписки не работает фактически ничего, кроме Алисы, интернет-радио и видео с youtube (для него обязательно нужно подключить HDMI, иначе тоже не воспользоваться). Есть большой потенциал для доработки ПО и/или перепрофилирования железа под другие цели, но раз энтузиастов за все эти годы не нашлось, то делаю вывод, что оно никому и не нужно.
ADB еще по команде с сервера можно включить, кстати.
Из интересного: оффлайн-распознавание, которое используется для триггер-фраз «алиса», «яндекс», «назад», «вверх» и т.п, также натренировано на слово «родина».
В режиме первого запуска (вроде бы, только в нём) есть ключевая фраза, включающая root-доступ через adb. SHA1-хеш фразы f88c0461ac78f4e0582e1ede68e014cb220a81d6, не набрутил.
До этих колонок никому нет дела, раз за всё это время никто не взломал защиту «подписочных» станций хотя бы на первой ревизии, где проверка осуществляется исключительно на клиенте, нет ни Secure Boot, ни Measured Boot Android'а, а ломается всё за 3 дня с нуля, включая корректное применение патча при обновлении.