Как безопасно обойти блокировки в интернете? OpenVPN AS
Создана: 22 Мая 2017 Пон 5:43:22.
Раздел: "Защита от гос.органов"
Сообщений в теме: 92, просмотров: 108650
-
Есть много очень простых, но не безопасных способов обойти блокировки в интернете.
Проще всего использовать расширения для браузеров, которые легко ищутся по ключевому слову VPN. Главный минус здесь в том, что такой подход не безопасен - ваш трафик пойдёт через известные сервера, предназначенные для обхода блокировок. Ваш трафик будет привлекать внимание, и, скорее всего, будет подконтролен. Но если о безопасности своих коммуникаций вы не беспокоитесь, то и такого способа вполне достаточно.
Другое дело - как обходить блокировки безопасно, не привлекая внимания и не выдавая никакой информации врагам. Самое правильное (я бы даже сказал, единственно правильное) решение этого вопроса - свой собственный VPN-сервер. Об этом и пойдёт речь.
Прежде всего вам потребуется собственный VDS сервер - он будет стоить денег (но небольших, в пределах $5 в месяц). Есть огромное количество провайдеров (но лучше покупать в свободной Европе, сейчас самое популярное место - Нидерланды. Важный нюанс: не берите с технологией виртуализации OpenVZ, берите Xen или KVM ).
Как настроить свой VPN-сервер? Очень просто. По шагам:
1) покупайте VDS-сервер, например, в Нидерландах, операционную систему при этом указываете в принципе любую, например, Debian.
2) Устанавливаете OpenVPN Access Server. Это делается буквально двумя командами - первой скачать пакет, а второй установить. Подробные инструкции легко гуглятся, например, эта.
3) после этого задаёте пароль при помощи команды passwd openvpn
4) С этими именем openvpn и паролем заходите на свой OpenVPN-AS сервер через браузер (конкретный URL по какому заходить сообщится при установке). Там ходите, смотрите, изучаете настройки. Ничего там настраивать не требуется, по умолчанию всё уже настроено и работает.
Всё, ваш OpenVPN Access Server готов, остаётся им воспользоваться.
Пользоваться им тоже очень легко. Ничего настраивать на стороне клиента не потребуется - все настройки берутся автоматически, когда вы зайдёте через браузер на URL вашего сервера. Там надо ввести логин-пароль (вводите те же самые имя "openvpn" и пароль заданный выше). После этого скачается установочный файл, который надо установить и запустить. Появится иконка в трее, кликнув мышкой по которой можно выбрать соотвествующий пункт и подключиться к серверу. Вот собственно и всё.
Аналогично и для доступа со смартфона, только сначала устанавливаете из плеймаркета приложение OpenVPN Connect, запускаете, указываете URL вашего сервера, с которого импортируются настройки, и готово -
теперь подключение к VPN серверу можно делать за один клик.
Преимущества этого подхода таковы:
1) весь ваш трафик становится безопасным (то есть зашифрованным и невидимым для всяких СОРМов, они слепнут полностью).
2) враги не увидят ни содержимое вашего трафика, ни того, какие ресурсы вы посещаете. Они не прочтут и вашу почту. Даже если вы пользуетесь небезопасными протоколами, они не получат от вас ни байта информации. Максимум, они смогут засечь время вашей активности в сети.
3) они даже не поймут, что вы используете VPN (разумеется, если вы догадаетесь сразу сменить номера портов на нестандартные. Иначе могут заподозрить, но по крайней мере в настоящее время использование зашифрованных соединений преступлением не считается).
4) ваш внешний IP-адрес становится зарубежным и постоянным, и им не пользуется никто кроме вас.
5) ваш доступ не перекроют в недалёком будущем под предлогом борьбы с анонимайзерами и VPN-сервисами, а такие поползновения уже есть. Вы тихо исчезаете с радаров, входите в режим стелс, начинаете испытывать небывалое чувство защищенности))
Минус - то, что за VDS сервер придётся платить. Но в некотором смысле это даже плюс, ведь на своём сервере можно не только VPN поднять, но и множество всяких полезных применений ему найти. Прекрасный способ поднять свой уровень технической грамотности.
Что же касается собственно OpenVPN вообще и OpenVPN Access Server в частности, то это проверенные временем решения, которые много где применяются для построения секретных каналов связи. Чисто технически, протокол OpenVPN устроен так, что наблюдателю непонятно даже то, что это вообще VPN-туннель, - канал строится на обычных протоколах TCP или UDP, а не на каком-нибудь GRE и тому подобных.
Если в настройках пользователя openvpn (в меню User Permissions) включить галочку "Allow Auto-login", то подключение VPN будет выполняться вообще автоматически сразу после включения компьютера, и можете навсегда забыть про любые блокировки. Сразу после включения устанавливается соединение, вы видите это благодаря значку в трее с зелёной галочкой о том, что всё подключено (а когда соединение отсутствует - там черный крестик).
Да, чуть не забыл - бесплатная лицензия OpenVPN Access Server позволяет только два одновременных пользовательских коннекта. То есть, если вы используете для себя - вполне достаточно, например, одно соединение всё время висит на компьютере, другое на смартфоне. Ну или можно использовать с кем-то на пару, одному один коннект, другому другой.
Разумеется, полученный таким образом свободный интернет можно беспрепятственно раздавать в локальную сеть на сколько угодно устройств - тут никаких лицензий не требуется. Я даже написал отдельную заметку об этом: Как раздавать свободный интернет? Инструкция для чайников. -
lorman55 писал :к чему такие заморочки, когда есть TOR ?!
Резонный вопрос, объясню.
1. доступ через TOR явно медленнее. Эти тормоза весьма неприятны.
всё время использовать TOR - неудобно, прежде всего потому что медленно, а нужна скорость. Постоянно переключаться между двумя браузерами - "напрямую" и "через TOR", тоже муторно.
2. IP-адреса, с которых ходишь через TOR, являются палёными.
На стороне сервера сразу ясно, что юзер пришел через TOR - это может быть учтено. Если я вижу, что юзер на форум приходит через TOR, то я сразу подозреваю - "с этим юзером дело не чисто".
3. доступ через TOR работает только для посещения веб-сайтов, через него не пойдут другие протоколы, как например, почтовый клиент, скайп, и всё такое прочее. Кстати, если юзер этого не понимает, он может легко "спалиться".
Использовать TOR для обхода тупых блокировок - это "из пушки по воробьям". Этот инструмент предназначен для других задач - для обеспечения реальной анонимности, которая, однако, возможна только в сочетании с "прямыми руками". Если юзер думает, что запустил TOR - и реально спрятался, он полный лох. Я не буду сейчас читать "курс молодого бойца - как не спалиться используя TOR", просто скажу, что без ясного понимания "правил игры" неподготовленный юзер обречен на то, что профессионалы его легко найдут.
TOR - это реальное средство обеспечения анонимности в сети. Если пользователь не лох, с прямыми руками, с пониманием происходящего - он может реально рассчитывать на то, что останется анонимным, или по крайней мере для его вычисления придется привлекать весьма значительные ресурсы.
Что же касается обсуждаемого здесь доступа через VPN, то этот способ не обеспечивает анонимности со стороны того государства, где вы приобрели сервер. То есть, если вы купили сервер в Великобритании, и совершите преступление с точки зрения английских законов, то вас найдут мгновенно. Другое дело что что по запросу из РФ информацию они, скорее всего, не выдадут. Поэтому в рамках РФ можно сказать что анонимность всё-таки есть. Но только до тех пор, пока вы не преступаете законы цивилизованных стран.
В этом принципиальное отличие от TOR. Потому что через TOR вас реально никто не найдёт (при соблюдении вами всех правил). А при доступе через VPN вас легко найдут, если вы используете это соединение для совершения какого-то преступления, доказательство которого в цивилизованной стране сочтут убедительными.
В общем, лично я бы использовать TOR поостерёгся исходя из тех соображений, что ничего криминального не делаешь, а под подозрение волей-неволей попадаешь, слишком уж серьёзный это инструмент. Хотя конечно последнее время его используют все кому ни лень, поэтому так-то ничего страшного) -
а возможно ли описанным выше способом защитить сеть организации или дома? т.е. все устроийства которых больше 2х?
Я сталкивался с ovpn (но не настраивал) при подключении к сети организации, например, из дома. И как понял логику, что 1 ключ ovpn = 1 соединению, т.е. имея даже VDS сервер за рубежом за 3е соединение надо платить.
Но возможно существуют способы, когда ставишь "ключ" на роутер и вуаля = все соединения через него становятся "из-за рубежа".
Если короче:
Т.е. тунель создается не "VSD сервер" - "компьютер" а "VSD сервер" - роутер.
С точки зрения безопасности, да же если у тебя изымают компьютер - ни каких следов подозрительных соединений нет (на роутере кнопкой резет за 3 секунды убивается последний след) .
Ну и в целом любопытно было бы продолжить тему безопасности в сети.
Как, например, может человек опубликовать свои мысли (пост, видео), если они идут в разрез с политикой государства, но наговаривать себе на статью желание нет? Тем более если он в соседней теме указывает свои координаты продавая что либо? -
От чего тебе нужно защищать сеть организации или дома? -
Андерталец писал :а возможно ли описанным выше способом защитить сеть организации или дома? т.е. все устроийства которых больше 2х?
Разумеется. Сколько угодно устройств если, включить канал на раздачу.
Кстати да, хорошая идея.
Андерталец писал :Т.е. тунель создается не "VSD сервер" - "компьютер" а "VSD сервер" - роутер.
совершенно верно.
настраивается элементарно.
Андерталец писал :С точки зрения безопасности, да же если у тебя изымают компьютер - ни каких следов подозрительных соединений нет (на роутере кнопкой резет за 3 секунды убивается последний след) .
и это тоже плюс.
на вскидку приходит в голову прошивка dd wrt , которую можно поставить чуть ли не на любой роутер, и как там настраивать доступ через OpenVPN Access Server есть инструкция прямо на сайте OpenVPN -
Андерталец писал :С точки зрения безопасности, да же если у тебя изымают компьютер - ни каких следов подозрительных соединений нет (на роутере кнопкой резет за 3 секунды убивается последний след) .
Если изымут роутер и ректально-паяльным способом выдерут пароль к нему - присутствие OpenVPN клиента будет видно, как и имя (или IP) сервера, к которому он цепляется. Далее, получив доступ к VDS (также паяльным способом), можно посмотреть его IP-адреса (которыми он вещает в интернет).
VDS-провайдеры тоже не хотяталкоголикованонимусов: можно, конечно, наврать, кто ты есть, но если догадаются - забанят пожизненно.
buyvm.net - low-end VDS $2 в месяц. Однократные (стартовые) затраты побольше ($3.5 что ли? - не помню). У них всего три сервера (два в Штатах, один в Европе). Для тренировки на тему VDS просто замечательная площадка. OpenVPN-сервер работает аж со свистом.
Для тупых в линуксе (как я) существует автоинсталлер OpenVPN сервера.
Я обходом блокировок не занимаюсь, у меня обратная задача - на домашнем роутере стоит OpenVPN сервер и рекламорезалка (AdBlocker, да, прямо на роутере, действует на все девайсы домашней сети, в том числе подключенные к роутеру по VPN) - смартфон на ходу цепляю к домашнему серверу - шифрует трафик и экономит его за счет среза рекламы. Параноя появилась, когда в одном из кафе на халявном WiFi пароли у меня таки свистнули (не к email, но не суть).
Кста, рекомендуемый порт для OpenVPN сервера - 443 (а не дефолтовый 1194), при этом трафик косит под обычный https, файрволы его пропускают. Выловить, что это VPN, можно только при анализе пакетов. Китайцы с успехом это делают - из Китая VPNу облом. -
Как минимум от пронюхивания трафика интернет-провайдером. Очевидно же. Достаточно самому поднять VPN-сервер - и никаких логов не будет.
Практически все платные VPN-провайдеры пишут, что они тоже логи не ведут, да кто ж им поверит.
Но - вынос точки выхода в другую страну может вызвать блокировки в других местах (для сервисов, которые предназначены для доступа только с территории России). Gmail тоже поднимает панику, что кто-то залогонился из другой страны. -
омские кабельные, например, режут торренты -
Написал инструкцию по раздаче свободного интернета в локальную сеть
Как раздавать свободный интернет? Инструкция для чайников. -
Indoorser писал : Если изымут роутер и ректально-паяльным способом выдерут пароль к нему - присутствие OpenVPN клиента будет видно, как и имя (или IP) сервера, к которому он цепляется.
Такие сложности явно ни к чему - СОРМ и так видит, к какому IP-адресу цепляется юзер. Это вообще никакой не секрет, но от этого знания мало толку.
Indoorser писал : Далее, получив доступ к VDS (также паяльным способом), можно посмотреть его IP-адреса (которыми он вещает в интернет).
А вот это уже сложнее, если VDS находится у нормального зарубежного провайдера, которому плевать на северокорейскую и прочую гэбню.
Indoorser писал : VDS-провайдеры тоже не хотяталкоголикованонимусов: можно, конечно, наврать, кто ты есть, но если догадаются - забанят пожизненно
Вся идентификация - на уровне платежа. Никакой другой проверкой провайдеры не занимаются - предполагается, что если человек платит, значит он не анонимен, а если он всё-таки не тот, то это косяк платежной системы, а не провайдера.
Indoorser писал :Кста, рекомендуемый порт для OpenVPN сервера - 443 (а не дефолтовый 1194), при этом трафик косит под обычный https, файрволы его пропускают.
В принципе да.
Indoorser писал :Выловить, что это VPN, можно только при анализе пакетов. Китайцы с успехом это делают
Интересно, как всё-таки китайцы обходят свой фаервол. По идее, можно использовать туннели через SSH, но зарезать можно всё, по принципу "что мы не понимаем - всё режем" -
Интересно, что у меня интернет через OpenVPN AS работает быстрее, нежели напрямую. В том смысле что страницы открываются с гораздо меньшей задержкой, практически мгновенно. Я уже и отвык от мгновенного открытия страниц - думал, просто канал подтормаживает.
Формально, при доступе через OpenVPN значение ping 8.8.8.8 выросло с 25 мс до 75мс, но фактически эти миллисекунды не играют никакой роли - основную задержку, судя по всему, создаёт какое-то фильтрующее оборудование провайдера, проверяющее каждый запрос на запретность. Поскольку при среднестатистической загрузке каждой страницы таких запросов выполняется довольно много (несколько десятков), то "напрямую" получается дольше, чем когда через OpenVPN выходишь в свободный интернет, и затем оттуда грузишь страницы уже без какой-либо фильтрации.
p.s. попробовал несколько раз посравнивать, на самом деле разницы почти не заметно. Интересно, есть ли какие-то инструменты для более-менее объективного прояснения этого вопроса... -
Indoorser писал : Китайцы с успехом это делают - из Китая VPNу облом.
Вы совсем не в курсе как работает китайский фаервол и дай Бог, чтобы не узнали на своей шкуре, тогда мало не покажется. Как я говорил в соседней теме, голый VPN это школьный уровень. Его надо заворачивать в SSL или SSH. -