обещал крестный ход в отношении прокси-серверов

Воу-воу-воу. Полегче с религией. Это называется «крестовый поход».

Судя по эффективности ркн, в статье всё правильно написано:)

Ну или можно поднять стандартный openvpn по одному из сотен руководств в интернете.

Не знаю, насколько гибки представленные в статье решения, но openvpn позволяет гонять через него только нужный трафик, а не всё подряд.
Ещё приятная фича впн — можно настроить его на домашней или рабочей точки и забыть про это.

Не понятно что с энергопотреблением в случае мобилок.

Могу сказать за iOS 11, особой разницы после перехода на постоянное VPN-подключение нет.
Там такое количество всякого добра крутится, что впн погоды уже не делает…
Можно ли openVPN на бесплатном (на год) AWS инстансе развернут?

А решение из статьи?
Учитывая баны миллионов амазоновских IP, я бы не стал там vpn поднимать.

Офтоп:


Не нравится в большинстве инструкций по поднятию VPN тоннелей, что почти ничего не говорится о настройке клиентов. И для людей, поднимающих VPN, чтобы обойти блокировку Телеграмма или получить доступ к офисной сети из дома, может оказаться сюрпризом, что весь трафик по умолчанию будет идти через VPN.


Иногда это может приводить к технико-экономическим проблемам типа быстрого исчерпания месячного лимита трафик на тарифах VDS "свой сервер за 1$", а иногда к проблемам на работе вплоть до "маски-шоу" — "лечь на пол, руки за голову — с IP вашей организации раздается через запрещенный треккер запрещенное нелицензионное порно" или просто "корпоративный мониторинг показывает, что ты в рабочее время на фейсбуке сидишь — премии не будет"


Люди же думают, что в инструкции "как обойти блокировку Телеграмма" содержатся действия которые позволят обойти блокировку именно Телеграмма, но больше ни на что не повлияют.

Люди, которые настолько не понимают, что такое VPN, вряд ли читают инструкции о самостоятельной настройке серверов.

Читают :) Особенно с инструкциями не как из исходников собирать и с нуля конфиги написать, а как кнопопчку нажать или, на худой конец, скриптик запустить.

а иногда к проблемам на работе вплоть до «маски-шоу» — «лечь на пол, руки за голову — с IP вашей организации раздается через запрещенный треккер запрещенное нелицензионное порно» или просто «корпоративный мониторинг показывает, что ты в рабочее время на фейсбуке сидишь — премии не будет»

Не понял как получить эти проблемы, если у человека поднят VPN и через «IP вашей организации» уходит шифрованный трафик, и «корпоративный мониторинг» не узнает что там за фейсбук у сотрудника по той же причине. Т.е. IP раздающий на трекере будет сервер VPN, разве нет?

Очевидно он с тором спутал

Ну так а IP сервера VPN кому принадлежит? не, понятно, что провайдеру обычно, но провайдер на раз-два сообщит органам что в данный момент времени этот IP назначен вашей организации.
Кажется понял, вы про ситуацию, когда работник дома активирует VPN для удаленной работы на своем рабочем месте, потом включает торрент и торрент качает со шлюза предприятия, а не домашнего компьютера работника?
Пользовался cisco any connect, подключался к сети на работу, при этом обращения к компам и серверам шли на работу, а торрент спокойно качал с моего компа, браузер шел в сеть с моего компа, а не через VPN. У циски это решение не VPN?
Да, про эту. Большинство инструкций «VPN для чайников» молчат об этом. В вашем случае, скорее всего, на работе VPN-сервер настроили так, чтобы на клиент (на ваш комп) передавалась информация о том какие конкретно адреса нужно роутить на него. По умолчанию — все, насколько я знаю

Если попался такой сервер (а это не редкость, как в «покупных», так и в поднятых в организациях своими силами), то можно локально свой комп настроить, чтобы только некоторые адреса/подсети/сети шли через впн.
Может быть поможет — мы выпустили бесплатный продукт для поднятия, управления и мониторинга VPN — VeeamPN. Основная идея состояла в простоте разворачивания и управления. Вот небольшая инструкция как поднять его в Майкрософт Ажуре (англ.) и еще одна для самостоятельной устновки на Ubuntu (англ.)

Продукт написан на основе OpenVPN. Поддерживаются как site-to-site так и point-to-site конфигурации. Простой и понятный Web UI.
Будет приятно если кому-то поможет
Простота настройки прям впечатляет. Буквально за 5 минут всё работает.
Единственное, не могу понять, с сервера нельзя сразу маршруты раздавать так, что бы только к определённым адресам шел трафик через тоннель?
внедрение IPv6 может спасти отца русской демократии?
Спасёт, его наверное вообще никто не умеет блокировать. А для тех, у кого провайдер не умеет в ipv6 можно тоннель поднять — тот же прокси получится.
Только текстовый режим лично мною воспринимается, как безусловный плюс. А то народ уже разучился излагать мысли внятно без картиночек.
лайк
Изв. Я вообще стараюсь на почту всех отправлять. Там люди учатся и мысли свои формулировать полностью.

Больше скажу, мне многие говорят, что я извращенец, но мне очень нравится неофициальный telegram-cli. Он яркий, красочный и только текстовый. Воспринимаю это как плюс, единственная проблема у него с написанием очень длинных сообщений, ломается readline. Но при этом отправляется успешно.

Кстати просьба, кто в РФ живет, протестируйте прогу Android IPv6Config, сработает она в условиях блокировок?
Ну так подключитесь через любой рос впн и протестируйте :)
Это не реклама, сам тут проверил на паре ресурсов, на которые раньше либо впн либо тор использовал, но работает, так что если кому надо пользуйтесь

С мохнатых годов сижу за VPN. Даже сайт про это сделал: allvpn.org


Вот, например, неплохой сервис, который даёт 10 гигов в месяц бесплатно:
https://allvpn.org/services/windscribe

По мне, VPN — слишком универсальное решение, у которого есть свои минусы, для обхода блокировок больше подходит shadowsocks (особенно на мобильных девайсах). Из плюсов — можно избирательно включать его для разных приложений, направляя остальной трафик как обычно.
Но здаесь нужно понимать что shadowsocks не создан для защиты конфиденциальности и анонимности пользователя. Соответственно, если VPN-сервисы шифруют весь трафик (пока включены, разумеется), то при использовании shadowsocks пакеты данных остаются без шифрования. Это сделано специально, чтобы ваши данные были больше похожи на обычный HTTPS-трафик и не вызывали подозрений.

Сделал тут настройку socks для совсем ленивых: https://selivan.github.io/socks


curl https://selivan.github.io/socks.txt | sudo bash


Работает на Ubuntu Xenial и Bionic.

Это предназначено для использования на виртуалке/контейнере, который используется только для этой цели и не жалко выбросить. Понятно, что ставить что-либо таким образом на сервер, где крутится что-нибудь важное, не стоит. Ну и никто не мешает прочитать скрипт перед установкой.

>Ну и никто не мешает прочитать скрипт перед установкой.

echo «test… test… test...» | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Мой всё-таки немного проще :) Я понимаю все минусы такого подхода, но как решение задачи "завести где-нибудь на лишнем хосте socks за 5 секунд" он ИМХО вполне оправдан.

Гм, просто поставил использовать ipv6 и все снова заработало.
А у Digital Ocean своя инфраструктура, или он на Амазоне хостится? Впрочем, в любой случае, никто не может дать гарантии, что завтра телеграм не воспользуется их услугами и их адреса не добавят в чёрный список. Особенно весело будет, если при этом пропадёт возможность зайти в консоль и выключить сервер. А если ещё и почта отвалится…

Ну поднимешь VPN, чтобы через VPN зайти на VPN и потушить VPN

В 2018-м году уже пора бы на контейнеры переходить и не усложнять себе жизнь.
export OVPN_DATA="ovpn-data-openvpn" #вместо openvpn можно писать что угодно, строчными латинскими буквами
docker volume create --name $OVPN_DATA 

docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_genconfig -u udp://VPN.SERVERNAME.COM #адрес заменяем на свой

docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn ovpn_initpki #создаем ключи и сертификаты. Попросит придумать пароль

docker run -v $OVPN_DATA:/etc/openvpn -d -p 1194:1194/udp --cap-add=NET_ADMIN kylemanna/openvpn #собственно, запуск сервера

docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn easyrsa build-client-full CLIENTNAME nopass #создаем клиента. CLIENTNAME меняем

docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient CLIENTNAME > CLIENTNAME.ovpn #генерируем ovpn файл для клиента


После чего ставим себе, маме, папе, бабушке, жене и прочим доверенным лицам на телефон клиент openvpn и скачиваем на телефон *.ovpn файл (можно даже по почте).

Команд в баше чуть больше придется ввести, но на деле ничего сложного нету.

Ну тогда уж https://github.com/kylemanna/docker-openvpn/blob/master/docs/docker-compose.md


А то отдельные докер команды — некомильфо

А какая разница, те же самые команды, только вместо docker run здесь docker-compose run -rm

Пустой дроплет на DigitalOcean с Ubuntu 16.04:

sudo apt-get install pptpd
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-save
sudo iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu

sudo nano /etc/ppp/chap-secrets
>>> box1 pptpd passwordhere *
>>> box2 pptpd passwordhere *

sudo nano /etc/ppp/pptpd-options
>>> ms-dns 8.8.8.8
>>> ms-dns 8.8.4.4

sudo nano /etc/pptpd.conf
>>> localip 10.0.0.1
>>> remoteip 10.0.0.100-200

sudo nano /etc/sysctl.conf
>>> net.ipv4.ip_forward = 1

sudo sysctl -p
sudo service pptpd restart


Охапка дров, VPN готов!
Бессмысленный комментарий. Тот кто понимает, что в нем написано, в нем не нуждается. А тому кто не понимает, он никак не поможет.
Я не понимаю, что в нём написано, но для меня полезно, т.к. сегодня поднял за 10 минут именно так.
pptpd — плохо, особенно для мобильных. Очень медленно переподключается при скачках между 3G и WiFi, бесит пользователей. IKEv2 же заточен под этот сценарий.

IKEv2 блокируется по стандартным портам быстро и тотально. Местами уже давно.

странно — моим успешно пользовались даже из-за Великого Китайского Файерволла

Видимо, в Китае IKEv2 крайне малопопулярен т.к. у меня он там тоже работал.

Вам еще в прошлой статье написали, что ваш канал — он не для обращения к разработчикам, т.к. туда писать можете только вы.

Если есть предложения, критика, пожелание, то к разработчикам можно обратиться в канале iNinja в том же Telegram (у вас он, кстати, продолжает работать?).
Сделали канал поддержки
t.me/joinchat/BpOZHxKWYtLG3fxv5qIVHA
Как раз вчера Algo VPN попробовал. Сервер деплоится на ура.
На ios сработало, linux mint 17 имеет проблемы с network-manager-snowspan, чуда не произошло. Пробовал из исходников собрать, тоже не вышло. Руки вообще-то тоже кривые, что есть то есть.
5 кликов мышкой, 3 евро в месяц. www.scaleway.com/imagehub/openvpn
Решение временное. Скоро заблокируют VPN.
Перед этим ещё повыносимся от корневых сертификатов

Чё-то тратящий ярд баксов в год Китай с этим не сильно преуспел. Вы полагаете наши долбодятлы справятся?

Ну и где ж не преуспели? Почти все население использует местный подконтрольный вичат.

И ровно там же все желающие сидят в Whatsapp и Facebook

как вы предлагаете это делать?
а как быть географически распределённым компаниям, использующим VPN для объединения офисов?
или предоставляющим удалённым сотрудникам доступ к локальной сети?

Ну компании будут получать лицензию. Это все мелкие детали которые не способеы остановить могучее желание контроля

ну то есть админресурс, понятно
а как контролировать-то? как отличать легитимный зашифрованный трафик за пределы страны от VPN?
Могу сказать что 90% хомячков будут юзать то что им будет проще без всяких впн и прочего. А остальные 10% подтянуться за ними, т.к. не будете же вы использовать месенджер в котором два человека сидит из всех ваших знакомых? Поэтому это просто вопрос времени.

А по поводу трафика. Есть способы. Попробуйте под европейским айпи торрент покачать.
Могу сказать что 90% хомячков будут юзать то что им будет проще без всяких впн и прочего

90% хомячков юзают ватсап и вайбер

не будете же вы использовать месенджер в котором два человека сидит из всех ваших знакомых?

мои контакты в большинстве осиливают в впн, поэтому лично мне ничего не грозит

А по поводу трафика. Есть способы. Попробуйте под европейским айпи торрент покачать

на хецнере качаю постоянно, ничего не происходит
но речь не об этом — как вы отличите VPN-трафик от обычного https, если он зарулен на 443-й порт, например? есть, конечно, методы анализа, но они дороги и ненадёжны
даже великий китайский файрволл течёт, хотя туда уйма бабла вбухана и весь трансграничный трафик проходит через гэбистские сервера с DPI
Очень просто. Весь ваш траф идет на один айпи. Значит это впн. Заворачивать роутинг это уже не для хомячков.
одного подкованного достаточно для овпнивания кучи неподкованных
у меня и сейчас часть трафика через валдиковскую проксю идёт, если вдруг его прикроют, я смогу и сам такую настроить и, опять же, знакомым раздать
Самое простое что приходит на ум: по VPN на устройство. Для телефона один, для планшета другой, для ноутбука третий, для компьютера четвертый. И вот трафик уже идет не на один айпи.
Заблокировать VPN можно только внеся в реестр 0.0.0.0/0 и завести белый список или резать вообще весь шифрованный трафик (хотя в таком случае можно обмениваться картинками в стиле хаброинвайтов, просто это будет медленно или использовать решения вида VPNoverICMP или VPNoverDNS). В иных случаях есть виды VPN которые ничем не отличаются от обычного SSL.
Решения по типу китайского фаервола достаточно дороги (а в России, где пару скриптов на bash (это я про Ревизор) стоят 80 млн это будет невероятно дорого) и не на 100% эффективны.

Поэтому они выпустят закон, запещающий впн. И будут выборочно устраивать порку. И вот тогда вы полумаете использовать впн и получить штраф и административку или сидетть себе тихонько в гос. мессенджере.

Тогда я скорее всего подумаю о переезде в место, где такого маразма нет, даже если это место Казахстан. Т.к. такое банально лишит меня заработка
Algo VPN — круто, но не очень хорошо — надо пользователям ставить сертификаты.
Лучше обойтись сертификатом Let's encrypt. У меня работает такая конфигурация, раздаю пароли VPN куче друзей-знакомых, авторизуя их через Facebook.

Сейчас закончу тестировать решение, которое позволяет скрестить Let's encrypt и Wildcard DNS, чтобы не надо было покупать домен — и накатаю статью.

Моя конфигурация на сервере в Hetzner за 2.49 EUR показывает такие результаты:

image

никакому коммерческому VPN и не снилось, особенно — за такие деньги

Я буду рад увидеть скрипт для настройки этого счастья.
Возможно даже на github, для интеграции других способов авторизации?

Давайте. Возможно это поможет разобраться с Let's Encrypt wildcard certs быстрее.

А это вы через роутер или напрямую? У меня на данный момент дома Netgear R8000 и что на Hetzner, что на ExpressVPN он показывал макс 30мегабит/с с гигабитным интернетом. Вернее, это я думаю, что роутер виноват — не успел полностью протестировать вчера.

это LTE Advanced МегаФона

Решение тестирование прошло? А то статью хочется очень увидеть… :)
с сервисом XIP.io вышел облом:

There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for: xip.io: see letsencrypt.org/docs/rate-limits


а вот certbot certonly --standalone --agree-tos --email me@example.com -d N.N.N.N.sslip.io — сработало!

— Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/N.N.N.N.sslip.io/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/N.N.N.N.sslip.io/privkey.pem
Your cert will expire on 2018-07-17. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
«certbot renew»


то есть SSL-сертификат на голый IP-адрес выписать МОЖНО, то есть можно организовать IPSec VPN без покупки домена, и не надо клиентам ставить сертификат, достаточно пары логин-пароль!
то есть SSL-сертификат на голый IP-адрес выписать МОЖНО

Нельзя и уже относительно давно. Вы выписали таки на домен N.N.N.N.sslip.io и если зайдёте по IP то сертификат будет невалиден. Посмотрите что у вас в самом полученном сертификате написано (Subject: и DNS:).

пожалуйста, читайте сообщения целиком. Задача состояла в том, чтобы как-то заполучить SSL-сертификат Let's encrypt, не тратясь на домен. Конечно, есть no-ip, .tk и прочь., но wildcard DNS тупо проще.

У вас в предложение противоречие, потому что "получить сертификат на IP" и "получить сертификат на бесплатный домен" это две колоссальные разницы, на что и было указано.
Вообще, если уж вам так хочется сэкономить доллар-два в год, то также можно прибегнуть к старому доброму afraid.org

у меня есть домен, мне не жалко платить $10 за регистрацию и потом за renewal.

Задача в том, чтобы придумать конфигурацию VPN с минимальной стоимостью владения и минимальной сложностью установки конечным пользователям. В идеале — EUR 2.49 Хетцнеру и ни копейкой больше.

Решение — StrongSwan с IKEv2 и авторизацией по EAP — логин+пароль и сертификат от Let's Encrypt. Let's Encrypt на IP не выдаётся, поэтому и шли розыски самого простого wildcard DNS, не забаненного у LE.

Afraid — плохо, там регистрироваться надо, лишний шаг. Wildcard DNS — проще.

Ещё раз — вы докапываетесь к словам, не понимая задачи. Поверьте, я разбираюсь в функционировании CA и отличия IP от доменного имени.
IKEv2 они ниасилили, как вижу :( github.com/StreisandEffect/streisand/issues/1222

Есть куча других протоколов которые работают из коробки более экзотичных

Одна-единственная команда настраивает с нуля сервер под операционной системой Ubuntu 16.04 с большим набором ПО для противодействия цензуре, который может полностью скрыть и зашифровать весь ваш трафик.
Стрейзанд поддерживает создание новых серверов в Amazon EC2, Azure, DigitalOcean, Google Compute Engine, Linode, и Rackspace. В скором времени ожидается поддержка также и других облачных хостеров. Стрейзанд также можно запускать на любом сервере с операционной системой Ubuntu 16.04 вне зависимости от хостера, и сотни серверов могут быть одновременно сконфигурированы с применением этого метода.
Процесс полностью автоматизирован и занимает примерно десять минут, что довольно круто, учитывая что среднему системному администратору требуется несколько дней возни, для того, чтобы настроить малую часть того, что Стрейзанд предлагает "из коробки".
После того, как ваш сервер Стрейзанд запущен, вы можете раздать инструкции по подключению друзьям, членам семьи и соратникам. Инструкции по подключению содержат в себе копию SSL-сертификата, уникального для каждого сервера, так что вам нужно послать им всего один файл.
Каждый сервер полностью самодостаточен

Чиновник не просто обходит блокировку, а настраивает прокси-сервер, что строжайше запрещено обычным смертным

кем это запрещено, да ещё и строжайше?

Более того, Роскомнадзор обещал крестный ход в отношении прокси-серверов и VPN

нет, они обещали подумать, что можно сделать
Кстати не забывайте отключать торент трекер когда используете впн особенно европейский. У меня прилетела обуза от Digital Ocean на второй день.
я собрал список основных трекеров, чтобы внести их в чёрный список dnsmasq: pastebin.com/0QjxWE50

лучше полагаться не на сознательность пользователей…
Что вы такое качаете? Качал на OVH, качал на online.net, ни одной абузы за несколько лет.
Можно проще:
wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
Я использую возможность установки пакетов на прошивке зукселя. Поставил tor на него и подключаюсь на локальный адрес роутера по socks5 для обхода блокировок. Работает без проблем и не требует денег. Плюс возможность поднять ipv6 через туннель если провайдер не поддерживает и динамический ip.
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.