Роскомнадзор обойти блокировку

🔥Мы профессиональная команда, которая на рынке работает уже более 5 лет и специализируемся исключительно на лучших продуктах.

У нас лучший товар, который вы когда-либо пробовали!

______________

✅ ️Наши контакты (Telegram):✅ ️

>>>НАПИСАТЬ ОПЕРАТОРУ В ТЕЛЕГРАМ (ЖМИ СЮДА)<<<

✅ ️ ▲ ✅ ▲ ️✅ ▲ ️✅ ▲ ️✅ ▲ ✅ ️

_______________

ВНИМАНИЕ! ВАЖНО!🔥🔥🔥

В Телеграм переходить только по ССЫЛКЕ что ВЫШЕ, в поиске НАС НЕТ там только фейки !!!

_______________

АнтиРоскомнадзор: Как обойти блокировку любимых сайтов и Telegram

Роскомнадзор обойти блокировку

Мет, метамфа без кидалова Либерец

Тема довольно изъезжена, знаю. К примеру, есть отличная статья , но там рассматривается только IP-часть блоклиста. Мы же добавим еще и домены. В связи с тем, что суды и РКН блокируют всё направо и налево, а провайдеры усиленно пытаются не попасть под штрафы, выписанные 'Ревизорро' — сопутствующие потери от блокировок довольно велики. Да и среди 'правомерно' заблокированных сайтов много полезных привет, rutracker. Я живу вне юрисдикции РКН, но на родине остались родители, родственники и друзья. Так что было решено придумать легкий для далеких от ИТ личностей способ обхода блокировок, желательно вовсе без их участия. В этой заметке я не буду расписывать базовые сетевые вещи по шагам, а опишу общие принципы как можно реализовать эту схему. Так что знания как работает сеть вообще и в Linux в частности — must have. Мы их сведем для простоты к двум: IP и домен, а из блокировок по URL будем просто вытаскивать домен точнее за нас это уже сделали. Хорошие люди из Роскомсвободы реализовали прекрасный API , через который можно получать то, что нам нужно:. Для этого нам нужен какой-нибудь маленький зарубежный VPS, желательно с безлимитным траффиком — таких много по баксов. Брать нужно в ближнем зарубежье чтобы пинг был не сильно большой, но опять-таки учитывать, что интернет и география не всегда совпадают. Далее нам необходимо настроить зашифрованный туннель от клиентского роутера до VPS. Можно, конечно, завернуть вообще весь интернет-траффик через зарубеж. Но, скорее всего, от этого сильно пострадает скорость работы с локальным контентом. Плюс требования к полосе пропускания на VPS будут сильно выше. Поэтому нам нужно будет каким-то образом выделять траффик к заблокированным сайтам и выборочно его направлять в туннель. Даже если туда попадёт какая-то часть 'лишнего' траффика, это всё равно гораздо лучше, чем гонять всё через тоннель. Для управления траффиком мы будем использовать протокол BGP и анонсировать маршруты до необходимых сетей с нашего VPS на клиентов. Такое количество маршрутов может смутить слабые клиентские роутеры. Скрипт для этого будет дальше. Тут сложнее и способов есть несколько. Но из-за всяких новомодных TLS1. Да и инфраструктура со стороны клиента усложняется — придется использовать как минимум OpenWRT. Поэтому я решил пойти по пути перехвата ответов на DNS-запросы. То есть DNS-сервер подключается к коллектору, а не наоборот. Так что не будем заморачиваться пересборкой, а возьмём более легкий и быстрый рекурсор — Unbound. Поэтому я решил изобрести свой велосипед, который будет делать всё что необходимо: dnstap-bgp. Должны работать на всех относительно свежих OS с systemd, так как зависимостей у них никаких нет. Итак, приступим к сборке всех компонентов воедино. В результате у нас должна получиться примерно такая сетевая топология:. На сервере для маршрутов к заблокированным сайтам у меня внутри BIRD используется отдельная таблица и с ОС она никак не пересекается. В этой схеме есть недостаток: первый SYN пакет от клиента, скорее всего, успеет уйти через отечественного провайдера так как маршрут анонсируется не мгновенно. И тут возможны варианты в зависимости от того как провайдер делает блокировку. Если он просто дропает траффик, то проблем нет. А если он редиректит его на какой-то DPI, то теоретически возможны спецэффекты. Также возможны чудеса с несоблюдением клиентами DNS TTL, что может привести к тому что клиент будет юзать какие-то устаревшие записи из своего протухшего кеша вместо того чтобы спросить Unbound. Для удобства раскатывания я написал роль для Ansible. Она может настраивать как сервера, так и клиенты на базе Linux рассчитано на deb-based дистрибутивы. Все настройки достаточно очевидны и задаются в inventory. Эта роль вырезана из моего большого плейбука, поэтому может содержать ошибки — pull requests welcome :. От слова совсем. Гугление и чтение mailing-lists не помогло, там утверждают что это by design. Возможно есть какой-то способ, но я его не нашёл. Поэтому я спрятал dnstap-bgp внутрь network namespace, которое связано с корневым через veth интерфейс: это как труба, концы которой торчат в разных namespace. На каждый из этих концов мы вешаем приватные p2p IP-адреса, которые за пределы хоста не выходят, поэтому могут быть любыми. Это тот же механизм который используется для доступа к процессам внутри любимого всеми Docker и других контейнеров. Для этого был написан скрипт и в dnstap-bgp был добавлен уже описанный выше функционал перетаскивания себя за волосы в другой namespace. Можно либо удалить нафиг этот профиль, либо отключить его:. Это, наверное, надо добавить в плейбук. Идеально, конечно, поправить профиль и выдать нужные права, но мне было лень. Скрипт для скачивания и обработки списка IP-адресов Он скачивает список, суммаризует до префикса pfx. Мне это было нужно так как подсеть моего VPS оказалась в блоклисте :. Видать скрипт-кидди достали. Поэтому меняем его на Огнелиса. Пока что он работает только с IPv4 так как доля IPv6 невелика, но это будет легко исправить. Разве что придется использовать еще и bird6. Скрипт для обновления Он у меня запускается по крону раз в сутки, может стоит дергать раз в 4 часа так как это, по-моему, период обновления который РКН требует от провайдеров. Плюс, есть какие-то еще суперсрочные блокировки у них, которые может и быстрее прилетают. Таким образом мы будем синхронизировать маршруты, полученные из BGP, с таблицей маршрутизации ядра за номером После этого достаточно попросить ядро глядеть в эту табличку перед тем как заглядывать в дефолтную:. При текущем алгоритме формирования и обработки списка доменов в него попадает, в том числе, youtube. А это приводит к тому что все видео будут ехать через VPN, что может забить весь канал. Возможно стоит составить некий список популярных доменов-исключений, которые блокировать у РКН пока что кишка тонка. И пропускать их при парсинге. Описанный способ позволяет обходить практические любые блокировки, которые реализуют провайдеры на данный момент. В принципе, dnstap-bgp можно использовать для любых других целей где необходим некий уровень управления траффиком на основе доменного имени. Только нужно учитывать что в наше время на одном и том же IP-адресе может висеть тысяча сайтов за каким-нибудь Cloudflare, например , так что этот способ имеет довольно низкую точность. Преимущество в том, что для конечного юзера все работает как будто не существует никакого РКН. С любого устройства в семье. Есть множество решений при которых у пользователей все будет работать прозрачно. Вот, к примеру, чем ваше решение лучше использования dnsmasq и ipset, как это описано тут? Кстати последняя версия unbound тоже умеет работать с ipset. Во все это любой копеечный микротик нынче умеет. А в решении с ipset всё ложится на локальный клиентский роутер. Еще там нет никакого housekeeping-а списка — домен резолвится, все IP пихаются в ipset — и остаются там навечно. Потенциально их может быть много. Тут есть недостаток в том, что это будет работать только если клиент обращается по хостнейму. При прямом подключении к IP уже ой. Не уверен что это часто происходит, но тем не менее. Но тут для мобильных клиентов, конечно, без вариантов. Пушить к маршрутов через OpenVPN чтобы покрыть 0. В целом серьезно все. Но не очень, когда весь DNS приходится гнать по vpn на 5-баксовый сервер без sla. Узкое горлышко и звено ненадежности. А не думали пускать трафик через VPN только в том случае, когда от провайдера приходит явный признак блока характерная страница или отсутствие ответа? Ведь реальному пользователю из сотен тысяч забаненных адресов и хостов нужны не более десятка. Да вроде не мешает ни разу. DNS траффик копеечный, пинг около 50мс, ответы кешируются. Я поднял два VPS в разных местах Европы и если один падает второй возьмет бразды правления — на клиентах задан BGP preference чтобы один из них был приоритетнее. Алгоритм детектирования этого дела довольно сложный думается, поэтому проще сделать кучу маршрутов. Тем более что эти ничем не напрягает оборудование особо. Ну, мало ли что там написано : Я использую несколько разных VPS-провайдеров, никто пока не жаловался. Дело полезное, но не боитесь, что IP будет на некоторых ресурсах заблокирован полностью или частично , и использование VPN превратится в боль? Поэтому его можно просто использовать без VPN. Ой, забыл, что подход у них избирательный, и хотя ютуб уже давно в выгрузке, его не блокируют. Минимальная конфигурация, как мне кажется, даже проще чем OSPF — не нужны никакие area и прочее. А OSPF более капризный — мультикаст ему подавай Я писал что можно, конечно, гнать все через забугор, но не хочется. Например тот же Вконтакт через который многие музычку слушают, блокирует почти всю ее с зарубежных адресов. Log in , please. How to become an author. NET Knowledge Base. Log in Sign up. Да и среди 'правомерно' заблокированных сайтов много полезных привет, rutracker Я живу вне юрисдикции РКН, но на родине остались родители, родственники и друзья. Типы блокировок Для начала освежим в памяти что же блокируется. Идентификация и перенаправление интересующего траффика Можно, конечно, завернуть вообще весь интернет-траффик через зарубеж. Домены Тут сложнее и способов есть несколько. Как перехватывать DNS? Тут тоже может быть несколько подходов. Но она давно не поддерживается и функционал очень примитивен, так что к ней нужно всё равно нужно писать обвязку. Анализ логов DNS-сервера К сожалению, известные мне рекурсоры не умеют логгировать ответы, а только запросы. В принципе это логично, так как в отличии от запросов ответы имеют сложную структуру и писать их в текстовой форме трудновато. Что такое DNSTap? Чем ловить DNSTap? Поэтому я решил изобрести свой велосипед, который будет делать всё что необходимо: dnstap-bgp Алгоритм работы: При запуске загружает из текстового файла список доменов, инвертирует их habr. Схема Итак, приступим к сборке всех компонентов воедино. В результате у нас должна получиться примерно такая сетевая топология: Логика работы, думаю, понятна из диаграммы: У клиента настроен наш сервер в качестве DNS, причем DNS запросы тоже должны ходить по VPN. Это нужно для того чтобы провайдер не мог использовать перехват DNS для блокировки. На практике у меня ни первое ни второе не вызывало проблем, but your mileage may vary. Настройка сервера Для удобства раскатывания я написал роль для Ansible. Эта роль вырезана из моего большого плейбука, поэтому может содержать ошибки — pull requests welcome : Пройдёмся по основным компонентам. Пример скрипта для создания namespace! Specify the reason of the downvote so the author could improve the post. Popular right now. Deploying Tarantool Cartridge applications with zero effort Part 2 0. Blog mentioned only Orphographic mistakes Punctuation mistakes Indents Text without paragraphs Too short sentences Usage of emojis Too much formatting Pictures Links Оформление кода Рекламный характер. Payment system. Similar posts. О, боги! Чем для обхода блокировок не устраивает тор-браузер? Для них просто все будет работать как до блокировок, никаких TOR не надо. Само собой. Могут быть разные ситуации: у людей сгорел роутер, заменили на новый — не работает а в вашем случае ещё и обретение доступа к новому роутеру из-за границы может добавить веселья , забыли оплатить VPS — не работает, и т. И я не понимаю, какие преимущества это даёт по сравнению с тем же тор-браузером кроме скорости или прокси-включающим расширением браузера или ещё чем-то подобным. Хотя такие глубины админства впечатляют. За многие годы такое происходило может быть раз. Ну и получить доступ удаленно проблем никаких в наше время нет. И я не понимаю, какие преимущества это даёт по сравнению с тем же тор-браузером кроме скорости Главное преимущество — что об этом не нужно думать. А не вспоминать что чтобы зайти туда-то мне нужно лезть через Тор. Barabek September 18, at PM 0. А в остальном всё примерно аналогично, да. Супер сложно. Я для VPN антизапрета написал специальный DNS-резолвер, который: Запрашивает A-записи домена у рекурсивного резолвера Получив ответ, устанавливает соответствие настоящим IP-адресам в большой внутренней приватной подсети iptables … -d У такого подхода есть множество преимуществ: Клиенту устанавливается только один или несколько маршрутов, вместо десятков тысяч маршрутов; Маршрутизируются только заблокированные домены , а не все сайты на заблокированном IP-адресе; Возможность обновления списка заблокированных сайтов без переподключения клиента; Корректная работа с доменами, постоянно меняющими IP-адреса, и с CDN-сервисами; Корректная работа с провайдерами, блокирующими все поддомены заблокированного домена блокировка всей DNS-зоны. Пример такого провайдера — Yota. С другими DNS-серверами работать не будет. Работает только для заблокированных доменов и программ, использующих доменные имена. Для заблокированных IP-адресов необходимо использовать обычную маршрутизацию. Перед резолвером стоит кэширующий knot-resolver, который перенаправляет запросы на этот резолвер только для заблокированных доменных зон. В принципе, можно всё реализовать средствами самого knot-resolver или powerdns, когда-нибудь перепишу и выложу. Клиенту устанавливается только один или несколько маршрутов, вместо десятков тысяч маршрутов Тут все ровно так же. Сотня тысяч маршрутов только для IP-блокировок, иначе никак. А для доменов маршруты добавляются по факту запроса конкретного домена. Маршрутизируются только заблокированные домены, а не все сайты на заблокированном IP-адресе Да, это хорошо, но с моей точки зрения несущественно. Возможность обновления списка заблокированных сайтов без переподключения клиента Тут не понял. У меня список обновляет по крону в фоне на сервере и клиенты там никак не участвуют. Старый IP протухнет со временем. Корректная работа с провайдерами, блокирующими все поддомены заблокированного домена блокировка всей DNS-зоны. Пример такого провайдера — Yota У меня этот кейс тоже срабатывает и даже описан в статье. В вашем подходе требуется настройка BGP на клиентском оборудовании, в моём — нет. VPN антизапрета работает на компьютерах, телефонах и маршрутизаторах без каких-либо дополнительных настроек. Тут все ровно так же. А на антизапрете — пара десятков маршрутов большой внутренний диапазон и самые крупные заблокированные диапазоны. Каким образом обеспечивается доступ к хостам, заблокированным по IP? Тот же телеграм и ко. На данный момент — никак, но реализовать это просто: если в DNS-ответе есть A-запись на заблокированный IP-адрес, то ему тоже нужно установить соответствие, а клиенту отдать адрес из внутреннего диапазона. XanKraegor September 19, at AM 0. Можно немного дополнить Вашу схему, устранив ряд минусов. Даже не особо приходится заморачиваться с тем, чтобы какой-нибудь IPSec c IKEv2 был всегда включен на мобильном клиенте. Да, оверхед на лишний туннель, но если туннель заворачивается в UDP, он небольшой, да и дополнительный слой безопасности для мобильного устройства не помешает. Там же, рядом с гейтом в границах своей сети поблизости , лучше и размещать Unbound: быстрее будет отрабатывать bgp-tap. Не могу ручаться, где скорость работы самого DNS будет больше, при DNS-over-TLS Unbound или при маршрутизации обычного DNS-трафика через туннель до заграницы, но практика показывает, что первый вариант работает достаточно быстро и стабильно. Еще и не придется заморачиваться с неймспейсом, так как второй Bird можно будет поднять там же и обрабатывать его префиксы отдельно от тех, что присылает Bird с VPS. Минус — в необходимости наличия еще одного устройства кроме роутера, но подойдут и совсем недорогие типа RPi. Клиент подключается к VPN. VPN-сервер ему устанавливает маршрут Клиент запрашивает rutracker. Клиент маршрутизирует трафик в VPN, потому что у него установлен маршрут Аналогично — если в DNS-ответе незаблокированного домена A-запись указывает на заблокированный IP-адрес, то тоже устанавливаем ему соответствие и отдаём клиенту адрес из внутренней сети. Но не очень, когда весь DNS приходится гнать по vpn на 5-баксовый сервер без sla Да вроде не мешает ни разу. Alexey September 18, at PM 0. Вот ещё бы найти хостера, который разрешает VPN. Думаю, что если прокси не распространять для всех, то провайдер может и не обращать внимание на то, что там используется VPN или еще что-то. Запрет кстати прописывается на публичные VPN не для частного использования. Да, проще. Бороться таким способом с РКН все-равно что играть на приставке пока батя на заводе. Tor не во всех организациях разрешен. Самый выгодный вариант — купить линуховую vps, напр. А имеет ли смысл сейчас делать разделение по доменам, если в браузерах вот-вот будет DoH? Я гоню всё через заграничный VPS с помощью прозрачного socks-прокси на shadowsocks. А как связан DoH с тем что блокируется провайдерам? В итоге будут бить по площадям, ай ай ай от Ревизора то никто не хочет получить. Melanxolik September 22, at PM 0. Да, можно и так, вариантов много. Не сказал бы, что данный способ легкий, особенно для далеких от IT личностей, учитывая, что здесь нет пошаговых инструкци. Я просто к тому, что есть действительно более простой способ, который даже я — реально далекий от сетевых технологий человек — смог освоить. Top discussions. Top posts. Your account Log in Sign up. Language settings. Mobile version. Interface Русский. Save settings.