Скоро видимо придется понимать, если захочешь нормального тырнета каким он был.

До Xray я тоже доберусь, изучаю его как раз.

Насколько имеет смысл без Cloudflare? Странно, если по левому ip сидит fbi.gov или кто-то ещё.

@@zerodaily_channel Ждём с нетерпением:)

Скинь ссылку как настроить XRay

@@АлексейМакаренко-б4в + :)))

Мамкиным?

Согласен, это база. Просто ssh-туннельный трафик вроде как меньше похож на HTTPS чем траф stunnel.

@@zerodaily_channel конечно он совсем не похож на https. Зато он похож на ssh. Точнее, это он и есть, а ни один пров в здравом уме не будет лочить менеджментовый траффик. Помнится, когда ещё не вышла нокия н900, на их сайте был доступ по записи к тестовым образцам. Я заходил по графику через веб морду, ставил ssh, с него заходил к себе домой, а с дома по обратному туннелю назад на нокию и игрался целый день без графика. Что то там заподозрили и забанили меня через довольно продолжительное время))) Ну я баловался не аккуратно и окирпичивал н900 раз 5...

@@litromobil51 на счет людей в своем уме, я так же думал что ну openvpn-то не будут вслепую мочить, это же в первую очередь распределенная инфраструктура, а использование VPN как средства маскировки IP и обхода гео блокировок это так, побочка... Я не знаком с внутрянкой работы DPI-систем, но понимаю немношк в антифроде и знаю что самая главная засада это четкие маркеры недопустимого поведения/трафика, где начинается абьюз системы. Вот я и подумал, что если где-то сидит сисадмин который решил бежать впереди паровоза и блочить openvpn по принципу "потому что пошел ты", какие он мог бы закономерности трафика записать в алгортим системы которая блокирует? Постоянные большие объемы трафа по ssh-туннелю похожи на попытку обхода, поэтому он же может просто понизить такому трафику скорость до 100 кбит/сек. Для команд тебе хватит, а вот для полноценного интернета уже нет. А если траф похож на HTTPS ну и пофиг что он на один IP идет, если я на стриминге смотрю видео там та же картина, ну разве что прото будет UDP обычно. Но велик риск ради блокировки одного умника сломать интернет куче обычных юзеров и такое в автоматику не зашьют, во всяком случае быстро.

@@zerodaily_channel Ты прав, надо исходить из логики админа. У него задача лочить абьюз, но при этом, упаси бог, не задеть правильный траффик. Которого навалом. Если бы я например был бы такой админ сижу и вижу, https по одному адресу для меня не менее подозрительный, чем ssh с большим объёмом. Да и вот лично я активно пользуюсь впн, но большие объёмы мне не требуются. Стандартный пример. Прям живой пример был на днях. Сайт Цитрикс закрыт, пускает только через впн. Начинаю качать образ, ползёт еле еле, постоянно прерывается. Явно душат. Отключил впн - закачка полетела. Блокировки очень часто вешают на сайт, а на файл нет. То же самое было с сайтом Microsoft. На странице файлов пишет вам нельзя, через впн генерится ссылка, которая качается без впн, и гораздо быстрее. Второе. Упомянутый легальный впн. В продакшене openvpn используется очень редко. Он нестабильный, ресурсоемкий, в общем непригоден, лет 10 назад мы от него отказались, замучились посылать гонцов ребутить железки. Другое дело какой нибудь ipsec по есп, ну или исакмп на худой конец. Ну какой школьник будет покупать циску чтобы ходить через неё на порнхаб))) А админ когда видит по одному адресу большой поток через есп сразу думает, ага, это наверное на 5000 банкоматов заливают картинки с новыми % по кредиту, не дай бог его тронуть))) В конце концов, все живые люди. Всегда админ может ошибиться, заблочить легальный траффик, звонок в ТП прова, я админ, работаю дома с удаленки, меня ваш роутер не пускает залить обновление на 100500гб на сайт кремлин.ру, почините немедленно. Обычно работает))) Справедливости ради, должен сказать, сам использую опенвпн дома, чтобы заходить домой отовсюду с телефона. Сервер на линукс машинке. И ещё между своими местами (дом, дача, гараж и даже автомобиль) мосты тоже через openvpn на микротиках, операторы рт, мтс, билайн, пока никто ничего ни сразу не блочил, траффик постоянно очень большой, видеонаблюдение. но время летит, скорости растут, а опенвпн как оказалось, очень проседает по производительности по сравнению с другими средствами. Прикупил пару новых микротик в с поддержкой аппаратного ускорения шифрование, к сожалению, опенвпн опять мимо. Ускоряется только ipsec. В общем, тестовое пока параллельно поднял один туннель на ip-ip туннель, шифрованный ипсеком. Траффик на него не переводил, тестирую, пока тариф не переключал, но локальные тесты отличные, весь гигабит в наличии. А с телефона доступ пробую через wireguard. Он тоже по принципу ssh работает, очень легко настраивается, причём прям на роутере, не нужен отдельный сервер. соединяется мгновенно. Каких либо блокировок операторов так же не заметил. Очень спасло, когда на днях на сервере помр бп, я на неделю остался без опенвпн, а вайргард продолжал работать.

@@zerodaily_channel Ещё немного про логику админов. Ну так сложилось, у меня это профессиональное. По работе есть в обслуживании несколько сотен устройств, подключенные через сеть организаций, которые по договору обязаны давать инет. Плюс наш GSM как резерв. При установке нового устройства, в 90% случаев недели 2 бьюсь с дебилом на той стороне, который возомнил себя гуру безопасности и выпускает в мир наши, а для него чужие железки через жёсткие фильтры, которые сам тупо не умеет. И на нас он только учится. Остальные 10% проходят легко, так как админов там тупо нет, как и фильтров. Чисто инж прова пришёл, бросил свое хозяйство, наш инж приехал в него воткнулся, профит. Дальше все впны нашими силами. Так включение это полбеды. Из этого количества в неделю стабильно 3-5-7 шт регулярно отваливаются. Благо есть резерв на симках я захожу и вижу, либо тупо нет линка, либо линк есть но нет шлюза, либо шлюз есть но нет инета, звоню админу клиента, он говорит неделю как уволился, пришёл новый, начинает в сраче от предыдущего разбираться, по принципу всё непонятное - нахер, кому надо сами придут. А я прихожу сразу к директору их шаражки и требую этого недоадмина дрюкнуть как следует. Потому что это он виновник проблемы, а вы нам звоните и жалуетесь почему услуга не фунциклирует))) Поэтому если вдруг где то что то режется или отваливается - у меня рефлекторное желание нагнуть какого нибудь рукожопа - недоадмина

Давно блочат

Звучит как та еще задачка. Я бы начал с вопроса "почему не пингуются IP". Вайт-листинг на уровне провайдера?

Он вряд ли дорос до понимания этого

Amnesia

Под что вы собрались маскироваться в sip? Посмотреть содержимое rtsp провайдер не догадается?

Не знаю, но думаю это должен быть какой-то ebash-скрипт, с инжектом в тело того кто вырезает кабель.

Видео родилось из за кейса где провайдер блеклистил ip ВПН сервера из за опенвпн, возможно вычисляя его по dpi. То, что показано в видео нацелено на решение той же конечной задачи, что и goodbyedpi. То что есть аналог интересно, гляну на него, спасибо за инфу.

Это скорее всего уже требует нового протокола. Я сейчас изучаю Xray/V2Ray ВПН как раз чтобы было универсальное решение, потому что не на каждой OS можно stunnel настроить. Для V2Ray есть клиентские приложения и на настольные ОС, и на мобильные. Документация там частично на китайском, поэтому эксперименты. Как разберусь обязательно сделаю видео по этой теме, потому что пока как я вижу V2Ray это решение на ближайшие годы. Как всегда, когда пытаются душить свободу доступа к информации, появляется решение которое опережает технологии цензуры на 1-2 цикла развития. Но все технологии на старте сложны, я вижу у себя компетенции сделать их доступнее и делаю это.

Можно и так, я поставил 0.0.0.0 на случай если этот же ВПН сервер будет использоваться с другой платформы по обычному конфигу. С телефона например.

Как правило маршрут 0.0.0.0/0 у клиента уже есть. И чтобы его не менять, а старый куда-то запоминать, просто ставят два маршрута с более высоким приоритетом (т.к. там больше значение маски /1). После отключения ВПН эти маршруты удаляются и продолжает работать старый.

безусловно, это волшебный способ который навсегда решит все проблемы, такого нет в природе

@@zerodaily_channel Да все идет к тому что бы использовать сертификаты (нет официального дальше страны не выйдешь) А официальные дают только проверенным :)

Завязывать килл-свич на браузер как по мне не лучшая практика. Как и бесплатный VPN. Я бы рекомендовал раскошелиться на $5, купить VPS и поднять VLESS или Reality с помощью 3x-ui. Если надо вчера - погуглите 3x-ui. А так через пару дней выложу ролик про то как поднять себе неотслеживаемый VPN на XTLS/Realiti.

Можно. Поизучайте вопросы туннели ssh и прокси socks5.

@@combucho тогда зачем все эти мучения с 443 портом?

можно, но только tcp, к примеру discord для голоса использует udp так что не прокатит)

Я же исследую разные штуки, получилось вот так сделать, я видео про это записал) Про tls-crypt-v2 почитаю, спасибо. Согласен с тем что если софт может сам, незачем делать лишний оверхед.

Если на сервере есть рабочий стол и к нему подключиться удаленно, то думаю что можно. Ну и надо чтобы на VPS хватило мощности чтобы потянуть графическую оболочку и потоковый энкодинг видео.

Я пробовал и route push, и локально в клиентском конфиге делать - либо не работало, либо network manager в линухе ругался что в конфиге непонятные ему директивы. Т.к. цель была сделать не изящно, а быстро и из подручных материалов, получилось то что в видео. Лишний раз доказывает что горизонты исследования технологий широки и неохватны, и всегда в чем-то можно стать лучше :)

@@zerodaily_channel ip route add x.x.x.x/32 via y.y.y.y где x - адрес сервера, y - адрес шлюза (гетвея)

@@АнтонПупкин-з8к да, ТСПУ анализирует трафик и дропает его. Wireguard очень легко определяется анализаторами.

@@zerodaily_channel а маскировать трафик можно как-то? Или использовать только OPENVPN ?

@@АнтонПупкин-з8к лучшая маскировка на других протоколах. Посмотрите видео у меня, про VPN VLESS / REALITY. Самое последнее. Там мануал есть как поднять себе такой.

Тут вопрос не в том, что вызовет подозрения у человека, а в том, на какие маркеры "неправильного" трафика настроены системы блокировки у провайдера.

@@newlife1036 только выдернув провод) передача данных на физическом уровне невозможна без носителя информации, то есть импульсов тока (медные провода) или света (оптоволокно). Поэтому передача данных не может быть скрыта. Но можно замаскировать трафик до степени неотличимости от обычного браузинга. Сегодня на канале выйдет про это видео.

Его тоже могут заблокировать в теории.

Ssh-туннель настраивается плюс-минус так же просто как и stunnel4, но меньше похож на HTTPS. Я уже кому-то отвечал, что видео родилось из конкретного кейса, который мне показалось интересным превратить в конент на ютубчике. И да, я понимаю что в гипотетической ситуации когда провайдеру трава не расти как надо заблочить все и оставить только то, что можно, этот метод скорее всего не поможет. Там уже пойдут такие тяжелые фреймворки как V2Ray/V2Fly или Xray на с VLESS или Reality.

@@redfox7193 Это немного тупо, ведь я через SSH работаю с серверами

@@BARSconfectioneryfactory используйте PowerShell (есть в винде) или установите программу putty для подключения к серверу. В PowerShell команда для подключения такая же, ssh username@server_ip

можно конечно. Гугли (или спроси chatgpt) "openwrt openvpn"

Отчасти это так. Я могу гарантировать что конфиг работает в плане того что он а) позволяет установить соединение и б) изменяет как трафик выглядит для провайдера при packet inspection. Что будет при использовании этой конкретной схемы с конкретным провайдером в конкретной стране я могу сказать только в очень узких рамках моей личной географии. Возможно кто-то попробует эту схему и расскажет. Возможно кто-то узнал для себя что-то новое. Если я хоть одному зрителю принес пользу - я свою задачу выполнил.

о великий гуру, снизойдите до нас дураков с сияющих высот эвереста познания и одарите крупицами мудрости

@@zerodaily_channel Он говорит что ты чайник покажи всю мощь своего skilla

@@Professor_TV_3 если я чайник, то у меня должен быть скилл свистеть и кипеть. Я даже не знаю, не оч вписывается в тематику канала)

@@zerodaily_channel ну ты и свистишь

@@garrysonallright многообразие точек зрения, идей, технологий, опыта, даже сексуальных ориентаций и предпочтений порождает уникальный зрительский опыт, где каждый слышит и видит через призму своей личности. Я ценю почти любые формы отзывов на мой контент ;)