Как сделать свой VPN, который нельзя заблокировать

Как сделать свой VPN, который нельзя заблокировать

Влад Гороховский

Заглянем немного в будущее и предположим, что VPN в России таки заблокировали. Что делать в этом случае? На помощь придёт хитрый протокол Shadowsocks.

Shadowsocks — это наработка китайцев, при помощи который жители страны и журналисты уже несколько лет успешно обходят «Великий китайский файрвол».

Если вы живете в России — сохраните заметку на будущее и поделитесь с друзьями. Все идёт к тому, что скоро она пригодится.

Две проблемы VPN

VPN’ов уже как грязи. Хорошие стоят прилично — 10$ в месяц. Мутные новички подешевле — ~2—5$. Кто-то вообще продаёт пожизненный VPN за единоразовую плату в 40$. 

Вне зависимости от цены все эти сервисы успешно решают проблему с блокировками интернет-ресурсов и переживают настоящий бум. Но у VPN есть две серьёзные проблемы: они могут собирать информацию о вашем поведении в сети и легко блокируются провайдерами. 

Конфиденциальность

Проблема в том, что любой, у кого есть прямой доступ к VPN-cерверу, может видеть ваш интернет трафик. Поэтому нельзя слепо верить VPN-сервисам, даже если они обещают полную конфиденциальность ваших данных. 

Компании могут спокойно анализировать ваше поведение в сети, продавать эту информацию рекламодателям, внедрять свою рекламу на незащищённые сайты и вы никогда об этом не узнаете. Насколько мне известно, внешний аудит на безопасность ежегодно проходит только VPN от TunnelBear (я сам пользуюсь этим VPN уже пару лет, поэтому буду сравнивать все другие с ним).

За примерами далеко ходить не надо. Onavo VPN принадлежащий Facebook словили на сборе пользовательских данных.

Простая блокировка провайдерами

Все VPN-сервисы имеют ограниченное количество серверов, к которым подключается большое количество пользователей. Искусственному интеллекту файрвола не составляет труда выявлять паттерны и блокировать сервера. Китайское правительство демонстрирует в этом небывалые успехи. 


Shadowsocks — это не VPN

Протокол Shadowsocks, который разработал китайский программист для обхода «Великого китайского файрвола», с которым не справляется обычный VPN. Это туннельный прокси на основе протокола SOCKS5. 

Каждый пользователь Shadowsocks имеет свой персональный зашифрованный туннельный прокси, который маскирует вашу активность под обычный https-трафик. Это затрудняет AI файрвола найти паттерны в трафике и заблокировать такой shadowsocks-сервер. Проще говоря, он не может понять, зашли ли вы на заблокированный в Китае YouTube, или читаете статью про котиков. С VPN все иначе: провайдер тоже не видит ваш трафик, но чётко видит, что вы установили зашифрованное соединение с удалённым сервером в другой стране. 

Shadowsocks изначально децентрализован, так как требует наличия своего персонального VPS-сервера. Опуская техническую мамбу-джамбу: для Shadowsocks нужен свой виртуальный сервер (VPS) с установленным пакетом софта. А также клиент на компьютере. 

Понятное дело, что большая часть людей хочет смотреть запрещённый YouTube, а не настраивать удалённый сервер. Поэтому некая компания Jigsaw выпустила сервис Outline, который упрощает установку Shadowsocks до нескольких кликов мышки. 


Как работает Outline

Outline — разработка компании Jigsaw, которая в свою очередь принадлежит Google (Alphabet). Изначально он задумывался как простой сервис для журналистов, которые могли бы получать доступ к запрещённым ресурсам из стран вроде Китая и Ирана. 

Outline аккуратно позиционирует себя как VPN-сервис и внешне выглядит и работает именно как VPN. Но под капотом у него чистой воды Shadowsocks со всеми преимуществами. 


Устанавливайте Outline

Для начала надо загрузить Outline Manager с официального сайта. При запуске программа попросит вас выбрать хостинг провайдера, на котором будет «поднят» Shadowsocks-сервер. Я выбрал DigitalOcean. У меня уже есть аккаунт, да и установка на него Outline полностью автоматизирована.


Установка на DO полностью автоматическая


Если аккаунта у вас нет, то создать его можно прямо из Outline Manager. 

Дальше нужно следовать мастеру установки, который проведёт вас за ручку. Вам нужно:

1. Выбрать страну, в которой будет находится сервер;

2. Нажать ОК и подождать пару минут, пока Outline Menager создаст его и настроит;

3. Скачать клиент Outline; 

4. Нажать кнопку Connect, чтобы ваш трафик начал шифроваться и заблокированные ресурсы заработали.


Чтобы настроить сервер, достаточно выбрать страну и нажать «Set up Outline»


Если у вас уже есть аккаунт в DigitalOcean, то на настройку своего собственного VPN (Shadowsocks) уйдёт меньше 5 минут. Обновлять и следить за сервером не нужно, это автоматически делает сам Outline. 

Чтобы подключить к сервису новые устройства, достаточно в Outline Manager нажать клавишу «Add Key» и отправить проявившуюся ссылку на новое устройство. Клик по ней установит клиент и авторизирует его. 


Чтобы добавить новое устройство, надо сгенерировать ключ-ссылку и отрыть её на этом устройстве


Сколько стоит Outline

Сам Outline бесплатен. Платить придётся только за DigitalOcean начиная со второго месяца использования. Самый простой тариф стоит 5$ в месяц, где вы получаете 1 Терабайт трафика (в самом Outline написано 500 Гигабайт, но это ошибка).

Насколько Outline безопасен 

Outline принадлежит Google, который также как и Facebook собирает информацию про своих пользователей. Но Outline старается изо всех сил показать, что им можно доверять. 

Исходный код Outline открыт и каждый желающий может проверить, он не хранит никакой личной информации и информации о посещённых сайтах. Если ваш сервер взломают, то найдут там лишь информацию об объёме переданного трафика с каждого клиента. Подробнее читайте в политике конфиденциальности

Кроме этого, каждая новая версия Outline проходит аудит у некомерческой компании Radically Open Security, занимающейся цифровой безопасностью (отчёт .pdf).

Мои впечатления

Я неоднократно встречал упоминания о том, что Shadowsocks должен работать быстрее хорошего VPN. Субъективные ощущения подтверждают это, но цифры — нет. 

Вот какие результаты скорости я получил при подключении к одному и тому же серверу во Франкфурте с домашнего WiFi:

Сравнение скорости и Ping


Скорость ниже чем у VPN, но заметно это лишь при загрузке больших файлов или торрентов. В то же время, работать с Outline оказалось немного приятнее, чем с TunnelBear. Я хорошо это замечаю по Instagram и Telegram, где подключение происходит заметно быстрее, особенно в 3G/LTE. Нельзя сказать, что с TunnelBear обновление программ происходит медленно, но в Outline задержки поменьше. 

В ближайших обновлениях разработчики добавят возможность шифровать трафик не всей системы, а выборочно для конкретных приложений. Например, можно будет шифровать трафик браузера и Telegram, при этом обновления системы и другие приложения будут идти из локальных серверов. VPN так делать не умеет, потому что в лоб шифрует все подряд, из за чего с включённым VPN на Mac отваливается AirDrop.


Плюсы Outline и Shadowsocks

✅ В отличие от обычных VPN-сервисов, практически невозможно обнаружить и заблокировать;

✅ Лёгкая настройка за 5 минут;

✅ Полная конфиденциальность ваших данных: открытый исходный код, аудит некоммерческой организации по безопасности;

✅ Всего 5 долларов в месяц (за виртуальный сервер);

✅ Нет ограничений на количество подключённых устройств.

Минусы

⚠️ За 5$ вы получаете 1 TБ трафика, за 10$ — 2 ТБ. В TunnelBear за эти же деньги безлимит;

⚠️ Вы привязаны к одному серверу в одной стране. Его тяжело обнаружить, но если он попадёт под хаотичную блокировку Роскомнадзора, придётся запустить Outline Manager и потратить 5 минут на создание нового, с другим IP или в другой стране. Ещё минут 5 уйдёт на переподключение всех подключённых устройств;

⚠️ Outline не умеет блокировать трафик в те моменты, когда подключение по какой-то причине прервалось. TunnelBear это делает на ура, тем самым напоминая подключиться. 


В итоге

Outline отличная штука, особенно если у вас много устройств и мало денег. За 5$ в месяц весь ваш трафик будет зашифрован, а заблокированные сервисы будут работать как небывало. Если с Outline и Shadowsocks не может справится Китайский файрвол, то минцензуры не справится и подавно. 

Если у вас уже есть обычный VPN, то рекомендую попробовать Outline хотя бы для того, чтобы понять механику первичной настройки и быть готовым перескочить на него, если VPN все же заблокируют.


Влад, @maswrld


Report Page