Такое, в принципе, можно и стандартными средствами разграничения прав сделать: групповой чат, где говорить могут только люди, имеющие voice, а voice обычным пользователям не выдавать.
Боты есть, они делаются так же, как обычные аккаунты, т.е. нет разделение на бот-человек, как в телеграме.
Каналы — групповые чаты? Я не знаю, что такое каналы. Если это как блог, без возможности комментирования, то в протоколе и в некоторых серверах уже есть PubSub, но пока в клиентах поддержки нет.
Синхронизация истории, пересылка медиафайлов есть. Для истории актуальный XEP-313, а файлы теперь заливаются на сервер по HTTP.
Компания ООО «ТИС-Диалог» информирует, что в связи с внесением изменений в ФЗ о новых нормах хранения трафика операторами связи, обязывающих операторов хранить метаданные пользовательского трафика до трех лет, а весь трафик – до шести месяцев и вводом в эксплуатацию системы «Ревизор», планирует ввести лимит ежемесячного объема интернет-трафика в размере 2 ТБ на всех тарифных планах с 1 июля 2017 г., а именно:
1) На всех тарифных планах для пользователей интернет — физических лиц устанавливается ежемесячный объем интернет-трафика в размере 2 ТБ.
2) При исчерпании Абонентом ежемесячного включенного объема интернет-трафика скорость доступа его оборудования к сети Интернет будет снижена до 1 Мб/с.
3) Восстановление скорости доступа его оборудования к сети Интернет согласно тарифного плана производится через дополнительную опцию «Интернет 100ГБ». Стоимость опции «Интернет 100ГБ» — 50 руб.
Пожалуйста, обратите внимание на используемый Вами объем интернет-трафика.
Леонид Левин — депутат от Справедливой России — приглашал представителей VPN-сервисов и анонимайзеров в Думу. Сообщение об этом появилось в четверг, а приглашал он на понедельник. Подробностей никаких не было. Я решил, что надо идти. С террористами не общаются, но я решил, что все проблемы в думе из-за того, что депутаты не понимают техническую часть, не видят полной картины, проблем, которые принесет этот закон, не понимают, для чего люди используют VPN, что это вообще такое. Посчитал, что раз в моих силах донести до них эту информацию, стоит попытаться это сделать.
Так как никаких подробностей о встрече не было, было непонятно, нужно ли на нее предварительно регистрироваться, есть ли ограничения на вход, какие-то дополнительные условия. Звонил по всем телефонам половину четверга и всю пятницу. Меня не покидало ощущение, что встреча сделана для галочки, чтобы потом сказать что-то в духе: «Ну вот, мы звали представителей, а никто не пришел, значит их устраивает наш законопроект». К концу пятницы еле-еле дозвонился по левому телефону, там мне дали еще один телефон, там еще один, там еще один, там еще один, и, в конечном итоге, я попал в приемную Левина. Вписал 4 человек от имени анонимайзера, и darkk, от имени Tor Project. Оказалось, что от имени одной огранизации (анонимайзера) мог идти только один человек, и никто из 4 не смог пойти, зато пошел darkk.
У меня было пять основных пунктов:
— нет никакого анализа рисков от принятия законопроекта, на мой взгляд есть риски для критической инфраструктуры, о которых никто не говорил до вчерашней встречи: переполнение таблицы маршрутов по модели https://habrahabr.ru/post/330934/ (подобные опасения также высказали представители от МТС и Ростелекома)
— пустить всё на DPI — это увеличить расходы на него в 100-200 раз, если верить цифрам МТС это потребует какие-то астрономические цифры (текущее внедрение DPI обошлось МТС в цифры порядка милиарда долларов — не уверен, что записал правильно)
— чем больше трафика льётся DPI на транзите, тем больше рисков развития Египетского кейса и массового заражения малварью
— в текущей формулировке даже «законопослушные» VPN-сервисы не могут его исполнять на 100%, т.к. определение «российскости» пользователя довольно сложное и если подключиться ко второму VPN через первый, то «российскость» адреса теряется, т.е. закон не достигает целей полностью, а ровно это и является причиной по которой вносится законопроект: «практика выявила недостаточную эффективность блокировок, полностью достичь целей не удаётся»
— Tor также не может реализовать технически принудительные фильтры, поэтому к нему скорее всего будут применены «меры административного принуждения» (читай, блокировка)
Добавление в блокировки сетей I2P, Tor и т.п. может дать возможность массово пополнять реестр и таблицы маршрутизации записями уже не только «граням.ру», а вполне таким интернет-анархистам, которые могут счесть блэкаут рунета достойным пранком, что мне без предварительной проработки и унификации правил блокировки представляется риском. Ту же проблему несёт в себе закон о блокировке «зеркал».
Когда меня с улыбкой спросили, почему не пришли коллеги, ответил, что Саркис поди занят делом Богатова, волонтёра-оператора узла Tor, который третий месяц в СИЗО, а остальные по спискам не влезли и Левин это прекрасно знает =)
Толка может быть и мало, но время я провёл вполне интеренсо, поиграл в плюрализм :)
Ну и что? Думаете, кто-то из депутатов прислушался? Да нет, всем насрать, закон приняли единогласно в первом чтении.
На моем старом роутере на MIPS-процессоре с частотой 560 МГц, без шифрования где-то 24 мегабита в секунду, а с шифрованием — 19-21.
Если уменьшить переключения контекста, увеличив MTU до 18000, то без шифрования были стабильные 100 мегабит (ограничение порта), а с шифрованием — около 70.
OpenVPN 2.3 использовал системный резолвер, поэтому уважал TTL записи, которую он получил через DNS. Если происходит обрыв, используется опция persist-tun и время TTL уже вышло, домен будет пытаться резолвиться через DNS-сервер внутри VPN, хотя VPN-соединение не установлено.
OpenVPN 2.4 получает IP-адрес с домена только один раз, при первом подключении, и кеширует его, не уважая TTL записи. При переподключении он не обращается к DNS, а сразу переподключается по IP-адресу.
Раньше на zaborona не использовался параметр persist-tun, но, по какой-то причине, у людей на Windows, в случае разрыва соединения с сервером, переставал работать DNS вообще, до перезагрузки. Подозреваю, происходило следующее: сервис OpenVPN, по какой-то причине, не убирал блокировку сторонних DNS (опция block-outside-dns), туннельный интерфейс отключался, и все обращения на порт 53 оказывались заблокированными. У меня проблема не проявляется нигде, и люди, у которых она проявлялась, не написали мне на почту и не создали баги в багтрекере. Так что решено было эту опцию пушить с сервера.
Самую большую нагрузку на процессор создает не шифрование, а переключение контекста и чтение по одному пакету за раз. Шифрование на 3-4 месте по нагрузке на процессор в профилировщике.
Есть такие DPI, которые могут отслеживать запросы даже внутри HTTP- и Socks5-прокси, на любом порту. Я их называю Full DPI.
У вас в настройках keepalive 300 900 если оставить так же для UDP, будет с такой же переодичностью в пять минут слать keepalive, но вам виднее.
Слабые домашние роутеры могут забывать о UDP-соединении уже через 40 секунд. На какой-то из мобильных сетей РФ UDP-соединения забывались уже через 25 секунд.
Данные о TCP-соединениях хранятся минимум 5 минут, обычно около 15.
Что касается возможного MiTM — ну на сервере в консоли как правило не вводят конфиденциальные данные.
Если такое случится, злоумышленник не просто сможет смотреть, что вы вводите в сессию, но и выполнять произвольные команды самостоятельно, до первого rekeying (где-то час).
Может, кто-то мне подскажет утилиту-обертку над iproute2, которая бы сама создавала таблицы на каждый интерфейс, и настраивала rule'ы? Чтобы не писать отдельные правила для каждого интерфейса вручную, а они бы настраивались типовым образом, автоматически?
Да. Провайдеры, предоставляющие IPv6, часто (но не всегда) осуществляют блокировки и по IPv6.
Некоторые провайдеры, не предоставляющие IPv6, блокируют серверы Teredo, 6to4 (192.88.99.1), т.к., по их словам, приходят проверяющие со своим ноутбуком с Windows, и у них открываются заблокированные сайты.
Сейчас модемов с PPP-режимом меньшинство, в основном используются продвинутые протоколы: QMI, MBIM. Модемы нужно переключать через usb-modeswitch в нужный режим. Для некоторых модемов (huawei) не совсем корректные драйверы под Linux (винить в этом нужно Huawei, т.к. они сделали две разных железки, работающие в разных режимах, которые программно отличить друг от друга невозможно).
Каналы — групповые чаты? Я не знаю, что такое каналы. Если это как блог, без возможности комментирования, то в протоколе и в некоторых серверах уже есть PubSub, но пока в клиентах поддержки нет.
Синхронизация истории, пересылка медиафайлов есть. Для истории актуальный XEP-313, а файлы теперь заливаются на сервер по HTTP.
https://gist.github.com/ValdikSS/30f866602413c036e4e6924c1895b838
Так как никаких подробностей о встрече не было, было непонятно, нужно ли на нее предварительно регистрироваться, есть ли ограничения на вход, какие-то дополнительные условия. Звонил по всем телефонам половину четверга и всю пятницу. Меня не покидало ощущение, что встреча сделана для галочки, чтобы потом сказать что-то в духе: «Ну вот, мы звали представителей, а никто не пришел, значит их устраивает наш законопроект». К концу пятницы еле-еле дозвонился по левому телефону, там мне дали еще один телефон, там еще один, там еще один, там еще один, и, в конечном итоге, я попал в приемную Левина. Вписал 4 человек от имени анонимайзера, и darkk, от имени Tor Project. Оказалось, что от имени одной огранизации (анонимайзера) мог идти только один человек, и никто из 4 не смог пойти, зато пошел darkk.
Ну и что? Думаете, кто-то из депутатов прислушался? Да нет, всем насрать, закон приняли единогласно в первом чтении.
Если уменьшить переключения контекста, увеличив MTU до 18000, то без шифрования были стабильные 100 мегабит (ограничение порта), а с шифрованием — около 70.
keepalive
является макросом над командамиping
иping-restart
:Он используется на zaborona.
OpenVPN 2.3 использовал системный резолвер, поэтому уважал TTL записи, которую он получил через DNS. Если происходит обрыв, используется опция
persist-tun
и время TTL уже вышло, домен будет пытаться резолвиться через DNS-сервер внутри VPN, хотя VPN-соединение не установлено.OpenVPN 2.4 получает IP-адрес с домена только один раз, при первом подключении, и кеширует его, не уважая TTL записи. При переподключении он не обращается к DNS, а сразу переподключается по IP-адресу.
Раньше на zaborona не использовался параметр
persist-tun
, но, по какой-то причине, у людей на Windows, в случае разрыва соединения с сервером, переставал работать DNS вообще, до перезагрузки. Подозреваю, происходило следующее: сервис OpenVPN, по какой-то причине, не убирал блокировку сторонних DNS (опцияblock-outside-dns
), туннельный интерфейс отключался, и все обращения на порт 53 оказывались заблокированными. У меня проблема не проявляется нигде, и люди, у которых она проявлялась, не написали мне на почту и не создали баги в багтрекере. Так что решено было эту опцию пушить с сервера.И в догонку: https://habrahabr.ru/post/225539/
Слабые домашние роутеры могут забывать о UDP-соединении уже через 40 секунд. На какой-то из мобильных сетей РФ UDP-соединения забывались уже через 25 секунд.
Данные о TCP-соединениях хранятся минимум 5 минут, обычно около 15.
Из более-менее работающих знаю только:
https://github.com/kristrev/multi
https://github.com/kristrev/multihomed-routing
https://github.com/ncopa/pingu
Может, кто-то что-то еще подскажет?
Некоторые провайдеры, не предоставляющие IPv6, блокируют серверы Teredo, 6to4 (192.88.99.1), т.к., по их словам, приходят проверяющие со своим ноутбуком с Windows, и у них открываются заблокированные сайты.