Очередные блокировки протоколов ВПН OpenVPN и WireGuard
Очередные блокировки протоколов ВПН OpenVPN и WireGuard

Сегодня, 24-го августа, наблюдаются новые блокировки двух популярных ВПН-протоколов: OpenVPN и WireGuard. Почти все крупные ВПН-сервисы работают с ними. Те, кого не коснулась первая волна блокировок, сегодня столкнулись с тем, что подключение к ВПН через эти протоколы не работает.

88

У классического Shadowsocks есть ряд багов, которые позволяют его выявлять (replay-атаки и т.д.), он уже давно считается небезопасным и не рекомендуется к использованию.

Shadowsocks-2022 (он не совместим со старым) в этом плане гораздо лучше.

Надёжных методов детектирования его нет. Он выглядит как "непонятный протокол" без каких-либо явных fingerprint'ов. Согласно последнему GFW-Report, в Китае не заморачивались просто устроили ковровые бомбардировки: для любого неопознанного протокола они поменяют простейшие ээвристики (типа что это не HTTP и не какой-нибудь текстовый протокол типа Telnet), и если они не сработали, то режут нефиг все "неопознанные" подключения. Естественно, collateral damage адовый. Что интересно, из того же отчёта - ресурсы фильтрации у них очень ограничены, то есть детектят только по первым нескольким пакетам, и только TCP, а не UDP - то есть какой-нибудь OpenVPN в UDP-режиме поверх Shadowsocks вполне будет работать (вопрос, насколько долго).

Из вариантов обфускации - плагины к Shadowsocks уже давно прошлый, а то и позапрошлый век. На V2Ray тоже не стоит тратить время, он скорее мертв чем жив. На сегодняшний день самыми прогрессивными тулами являются XRay и Sing-Box (это разные реализации одних и тех же протоколов и механизмов). Там вполне реально запилить маскировку под обычный HTTPS с фейковым веб-сайтом, с удалением второго слоя шифрования (называется XTLS-Vision, предотвращает детектирование TLS-in-TLS), маскировкой fingerprint'а клиента под обычный браузер (например Chrome или Firefox), и вплоть до полной маскировки сервера под какой-нибудь популярный сайт с его реальным TLS-сертификатом и поведением (это называется XTLS-Reality). Бонусом они ещё могут туннелироваться через Websockets (тоже прошлый век) или gRPC (более современный вариант), что позволяет ходить на прокси через CDN типа Cloudflare.

В общем и целом: я бы настроил на сервере XRay+VLESS+XTLS как самую блокировкоустойчивую технологию, и там же (либо на втором IP) поднял Shadowsocks-2022 как запасной вариант.

Альтернативный сетап: Shadowsocks-2022 как основной на каждый день, а как запасной VLESS-over-gRPC (или хотя бы WS) с проксированием через CDN, на случай если сервер забанят (второй протокол можно вообще на IPv6 адресе, CF умеет делать IPv4-to-IPv6).

1

Спасибо за такой комментарий подробный )