Компьютерная безопасность

Как оставаться на связи, когда блокируют VPN


18.09.2023

Блокировки интернета в России вышли на новый уровень. Теперь Роскомнадзор всерьез взялся за VPN-сервисы и начал их вычислять, используя инструменты глубокой фильтрации трафика и так называемые ТСПУ. Многие VPN оказались после этого недоступны, и найти работающий становится все сложнее. The Insider предлагает обзор VPN, которые работают в России лучше всего, а также объясняет, какие сервисы, помимо VPN, помогают обходить блокировки даже при самой жесткой цензуре.

Почему у VPN начались проблемы

Все более очевидно, что без VPN нормально пользоваться интернетом скоро станет совсем невозможно. Роскомнадзор готовится к блокировке последних неподцензурных сервисов, таких как YouTube. 4 сентября пользователи YouTube пожаловались на сбои — эксперты предположили, что Роскомнадзор тестирует способы ограничения или полного закрытия доступа к сервису. А за две недели до этого абоненты крупных российских операторов интернета и мобильной связи — МТС, Билайн, Мегафон, Tele2, Yota, Тинькофф Мобайл и других — сообщили о массовом сбое в работе с VPN-протоколами OpenVPN, WireGuard и Terona. Первые два широко использует бизнес при построении корпоративных сетей. При этом цензоры пытались блокировать соединения частных лиц так, чтобы это не повлияло на работу корпоративных клиентов. Раньше власти страны не блокировали некоторые VPN-протоколы из-за договоренностей с крупным бизнесом об исключении адресов, чтобы не обрушить служебные «тоннели».

Прежде Роскомнадзор не слишком заморачивался и просто блокировал доступ к странице, через которую можно было скачать VPN. Теперь же регулятор с помощью DPI (Deep Packet Inspection, или глубокая фильтрация трафика) и ТСПУ (технические средства противодействия угрозам) начал определять тип трафика и, если распознает его как подключение через VPN, блокировать. С этим уже сложно бороться, и лучше всего выживают в борьбе с Роскомнадзором те сервисы, которые тем или иным способом научились маскировать свой трафик под обычный, поясняет директор «Общества защиты интернета» Михаил Климарев:

«Сейчас идет дискуссия, какие протоколы лучше обходят эти блокировки, например, OpenVPN с надстройкой Cloak или прокси Shadow Socks. Shadow Socks организует трафик в виде SSH, то есть это зашифрованный трафик для командной строки. Его тяжело заблокировать. Cloak — это инструмент для OpenVPN, который маскирует прокси-трафик под обычный».

Технический директор «Роскомсвободы» Станислав Шакиров считает, что и эти технологии маскировки трафика тоже не всегда оказываются панацеей:

«Shadow Socks, думаю, тоже будут блокировать. Его писали под работу в Китае, сначала он долго там работал, но и его потом научились вычислять. Пока работают протоколы, которые обфусцируют трафик, — V2Ray, Cloak и др».

VPN, которые продолжают работать в России

Для поиска нужного VPN-решения эксперты советуют использовать рейтинговые сайты, например, Vpnlove.me (на момент написания текста в нем присутствуют 18 участников) или Netwind (на момент написания текста в нем отмечены 73 VPN-сервиса, при этом рейтинг разделяет платные и бесплатные варианты одних и тех же сервисов, а также содержит проекты, которые аффилированы с российским государством, например от Kasperskу).

В целом, исходя из удовлетворяющих вас параметров, оба рейтинга помогают сделать необходимый выбор. 10 из 10 баллов в рейтинге Vpnlove.me получают два сервиса — Red Shield и Private Internet Access. Далее следуют Trust Zone, IVPN, Mullvad, BlancVPN, AltVPN, Cactus VPN, Proton VPN (8,9 балла). Для первоначального решения проблемы этого вполне достаточно.

В разговоре с The Insider представители Trust Zone отметили, что, работая с Россией, сталкиваются с множеством проблем: серверы (по IP-адресу) периодически блокируются Роскомнадзором, а из-за блокировок протоколов приходится расширять количество альтернатив (к самому быстрому VPN-протоколу на сегодняшний момент — Wireguard — добавили Softether, SOCKS5, l2tp/IPSec, iKev2 и др.).

Один из сооснователей проекта и сервиса AltVPN Дмитрий Миронов в разговоре с The Insider оценивает количество российских пользователей в 25% от общего числа клиентов и отмечает, что сервис старается оперативно реагировать на действия цензоров:

«Наша команда ежедневно просматривает новости, а также получает обратную связь от клиентов о работоспособности в том или ином регионе России. Если мы обнаруживаем, что происходят блокировки, мы стараемся оперативно обойти их и выпустить патч для обновления приложений. Последнее время никаких трудностей с авторизацией или подключением через наши приложения не было замечено, но мы всегда мониторим и, если видим проблему, пытаемся оперативно ее решить».

У популярных коммерческих VPN-сервисов в России тяжелое будущее, считает Станислав Шакиров, который видит выход в использовании небольших VPN–сервисов или в создании личного VPN на собственном хостинге.

«Я считаю, что в течение полутора лет будут заблокированы все более-менее крупные коммерческие сервисы. Думаю, что лучшее решение — купить себе хостинг, а на него поставить свой сервис и использовать его, дать его своей семье, друзьям и так далее. Одного купленного хостинга рублей за 300–400 в месяц хватит человек на 20. Неподготовленным пользователям помогут Amnezia.org и Getoutline.org. Есть и графический интерфейс, и консольный. Вот эта история будет более устойчива, нежели коммерческие сервисы».

Лучшее решение — купить себе хостинг, а на него поставить свой сервис и дать его своей семье, друзьям

Егор Сак, основатель канадского VPN-сервиса Windscribe (сервис на момент написания текста работает на территории РФ и фигурирует в рейтингах Vpnlove.me и Netwind), уверяет, что в бета-версии есть «режим антицензуры», который успешно обходит большинство DPI в России. При этом компания предлагает в том числе бесплатную версию, поскольку оплатить услугу иностранной картой или криптовалютой могут не все.

В разговоре с The Insider представитель Trust Zone отметил, что, помимо криптовалюты, сервис с недавних пор готов принять российские карты. Там признают, что пользователи из России, которых по оценкам сервиса порядка 20%, «вряд ли выгодны» в плане прибыли. Тем не менее они не планируют отключать Россию в своих VPN- локациях ради доступа людей к информации:

«Мы сотрудничаем с „Роскомсвободой“ и предоставляем большие скидки через их VPN-комьюнити и их сервис оплаты VPN за рубли, но заработанного в RU-сегменте едва ли хватает, чтобы окупить затраты. Из-за постоянных замен серверов мы скорее в минусе».

Опрошенные The Insider эксперты рекомендуют в первую очередь обращать внимание на публичное поведение провайдера: его заявления в интервью или на сайтах о том, как они относятся к блокировкам VPN в России, сотрудничают ли с властями страны. При этом рекомендовать конкретные сервисы в этой ситуации — значит помогать Роскомнадзору, отмечают они. Чрезмерная популярность и пиар вредят VPN-сервисам, напоминает в разговоре с The Insider Станислав Шакиров: «Как только сервис становится популярным, его IP-адреса попадают в блокировку, и не спасет даже другой протокол, если Роскомнадзор запалил IP-адреса сервисов». Нежелание подсвечивать конкретные названия сервисов поддерживает Михаил Климарев:

«Надежных решений нет. Единственный совет, который точно работает, — используйте разные VPN. Попробуйте Lantern, nthLink, VPN Generator. Цензоры нам наносят, безусловно, ощутимые удары. И многие люди говорят: ну, все, не работает, пойду тогда, ничего не получается. Наша задача — доносить, что сейчас, условно, работают VPN из числа небольших и на домашних компьютерах, а не через мобильную сеть. Конечно, ситуация будет ухудшаться, людям надо изучать технологии. Никакой волшебник не прилетит в золотом вертолете и не сделаем вам красиво. Сами что-то делайте, предпринимайте».

По его словам, блокировки Роскомнадзора по протоколу VPN работают только на мобильных операторах, и то неидеально:

«Буквально сидят рядом два наших тестера на телефонах, там одни и те же сервис, адрес и протокол: у одного работает, а у другого нет. Из-за особенностей работы DPI, если включать и выключать VPN, то через 20-30 нажатий он все-таки включится. Это означает, что у них не хватает вычислительных ресурсов, чтобы надежно все заблокировать».

Что также надо учитывать при выборе VPN-провайдера

Бесперебойная работа — главный, но не единственный критерий выбора VPN. Есть еще целый ряд параметров, которые можно учитывать при выборе. Важные из них — анонимность и безопасность. В этом смысле лучше пользоваться платным VPN-сервисом, чем бесплатным, так как бесплатные сервисы сохраняют больше пользовательских данных и могут ими торговать. Идеальный сервис должен иметь максимально открытый исходный код и собирать минимальное количество персональных данных.

Стоит также проверять компанию, выпустившую сервис, его оператора. Не всегда можно верить надписям о регистрации — компания может быть зарегистрирована где угодно, при этом физически серверы будут в другой юрисдикции — возможно, и в России. То же самое справедливо и в отношении собственников и сотрудников компании. Компании, находящиеся в России, будут соблюдать законодательство страны и, скорее всего, не будут сопротивляться, если к ним придут местные правоохранители (как и в других странах).

Еще один критерий — наличие грамотной службы поддержки, которая может помочь и при проблемах с подключением, и при проблемах с оплатой, напоминает Станислав Шакиров:

«Если вы купили VPN и он перестал работать, пишите в поддержку. Может быть, они вам дадут какие-то непубличные IP-адреса своих серверов, которые будут работать».

Есть и другие критерии, которые можно учитывать. Например, некоторые VPN-провайдеры накладывают ограничения на предоставляемые услуги — максимальное количество одновременных подключений к сети, запрет на использование торрентов, снижение скорости сети в определенное время суток или установленный максимум использования интернет-трафика.

Альтернативы VPN — Tor и Ceno

Рано или поздно большинство VPN-сервисов могут быть заблокированы или серьезно ограничены по функционалу, поэтому для обхода интернет-цензуры существуют и другие решения, отмечает Михаил Климарев:

«Можно обратить внимание на Tor и осваивать его, но тут важно понимать, что видео в Tor будет работать плохо. Есть решения, завязанные на peer-to-peer коммуникации, например браузер Ceno. Он работает как торрент, то есть там есть инжекторы, где накапливается информация, а потом к ней можно будет обращаться. Он еще в процессе разработки, пока сырой, не все готово. В Ceno встроен торрент-клиент. Вот ты посмотрел какой-то сайт, у тебя он остался в кэше, и ты отдаешь его друзьям. Ты можешь там только смотреть, написать что-то уже сложно».

Сервис Tor появился еще в начале нулевых и в качестве логотипа использует луковицу: для выхода в интернет Tor использует технологию «луковой маршрутизации» — сети специальных нод, каждая из которых шифрует данные пользователя. Tor использует около 7 тысяч узлов («ретрансляторов») по всей планете, ежедневно им пользуется около 4 млн человек.

Для обхода блокировок Tor, как и некоторые VPN, использует так называемые «мосты», или «транспорты». Мост — это узел Tor, которого нет в открытом списке узлов, они помогают пользователям скрыть факт использования этого сервиса. Tor использует три вида мостов.

  • obfs4 делает трафик Tor случайным, а также не позволяет цензорам найти мосты путем сканирования Интернета. Мосты obfs4 с меньшей вероятностью будут заблокированы, чем их предшественники, мосты obfs3.
  • meek-транспорт создает впечатление, что вы просматриваете крупный веб-сайт вместо использования Tor; meek-azure создает впечатление, что вы используете веб-сайт Microsoft.
  • Snowflake — улучшенный Flashproxy. Он перенаправляет ваш трафик через WebRTC, протокол «точка — точка» со встроенным обходом NAT.

У Tor работает поддержка через Telegram. Пользователи могут связаться с Telegram-ботом @GetBridgesBot и ввести «/bridges», чтобы получить нужный мост, или отправить электронное письмо по адресу frontdesk@torproject.org с фразой «private bridge» и упоминанием своей страны в теме письма (для России пользователям нужно использовать фразу «private bridge ru»).

Благодаря этим инструментам Tor остается доступным даже в Китае, с его куда более продвинутой и изощренной системой блокировок, чем в России.

Ceno — бесплатный мобильный браузер с открытым кодом от канадской команды eQualit.ie. Ceno рассчитан на самые жесткие сценарии цензуры и блокировок. Он будет работать, даже если Россию отключат от глобальной сети, и поможет обойти блокировки легче, чем VPN. Ceno работает по принципу «и себе, и людям»: пользователи, получившие доступ к сайту, «раздают» его другим. Для этого используется знакомый многим протокол BitTorrent. Ceno создает локальные сети между пользователями, а затем связывается со «свободным интернетом» за пределами зоны цензуры.

Ceno поддерживает свободные российские медиа и помогает более 30 самых востребованным независимым медиа ресурсам оставаться доступными. Команда Ceno ежедневно «кэширует» эти сайты и делает их доступными через браузер Ceno таким образом, что вы сможете читать нас даже при отсутствии подключения к сети. Кроме того, Ceno использует технологию Ouinet, которую Роскомнадзор пока не умеет блокировать. Пока РКН продолжает охоту на VPN, у россиян есть время скачать Ceno и даже после полной блокировки VPN, благодаря заранее развернутой инфраструктуре мостов в Ceno, будет подгружаться контент и к нему будет сохраняться доступ из России.

Как создать свой VPN, обойти глубокую фильтрацию трафика и подготовиться к полному закрытию интернета в России

Юридических ограничений на пользование VPN на данный момент нет, но создаются технические. Для таких ограничений Роскомнадзор использует оборудование с функциями Deep Packet Inspection (глубокая фильтрация трафика, DPI) российского производителя ООО «РДП.РУ» (связан с Ростелекомом). Поскольку это оборудование позволяет выставлять ограничения как по доступу к какому-то сайту (например, Instagram или Facebook), так и по протоколам передачи данных, оно делает потенциально бесполезным использование многих VPN-сервисов: с помощью DPI можно просто ограничить протоколы передачи, которые они используют. Так происходит, потому что массовые сервисы не были заточены на ограничения доступа к сайтам такого рода, которые стал применять Роскомнадзор. Впрочем, пока блокировка происходила, предположительно, не по протоколам, а лишь по IP-адресам и IP-диапазонам отдельных сервисов, внесенных в государственный черный список.

Если вы хотите пользоваться сайтами, доступ к которым пытается ограничить Роскомнадзор, вам нужно обойти ограничение по DPI — а кроме того, ограничение провайдера, установленное в соответствии с реестром запрещенных сайтов. Со вторым помогают прокси-серверы или VPN-сервисы, с первым — специальные приложения для обхода DPI.

Обход фильтров трафика (DPI)

Приложений, не дающих Роскомнадзору фильтровать ваш трафик, несколько. Часть разработана иностранными активистами сопротивления засилью цензуры, некоторые — с учетом российской действительности. Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут что-то заблокировать, всё происходит на вашем компьютере.

Одна из таких программ для Windows — GoodbyeDPI. Скачать последнюю версию можно по ссылке. Аналогичный пакет для Linux называется zapret, но настроить его может быть довольно сложно неподготовленному пользователю. Подобное приложение для Windows, MacOS, Debian называется GreenTunnel.

Кроме того, можно установить плагин для браузера Censor Tracker, разработанный Роскомсвободой. Он доступен для Chrome и Firefox.

Важно помнить, что использование такого способа обхода просто дает вам возможность бороться с фильтрацией трафика Роскомнадзором. При этом для провайдера вы выглядите как тот же самый пользователь (чьи паспортные данные у него есть), который каким-то образом заходит на запрещенные сайты. Трафик не шифруется, поэтому узнать, на какие сайты вы ходили, когда и сколько провели там времени, всё еще возможно, и всю эту информацию по «закону Яровой» провайдер хранит. Это отличает использование таких сервисов от VPN, с которым провайдер видит только, что вы обратились к некоему серверу за рубежом.

Поэтому для максимальной анонимности (если она вас заботит) вам придется пользоваться VPN. Можно использовать готовые решения или развернуть собственный сервер.

VPN против цензуры

Большая часть коммерческих сервисов VPN, конечно, не разрабатывалась для того, чтобы обходить такие ограничения, которые пытается наложить Роскомнадзор. Но есть несколько приложений, которые изначально были созданы для обхода цензуры. Одно из них — Psiphon, большая часть аудитории которого — жители Китая и Ирана. Сервис способен обойти «великий китайский файрвол» — самую изощренную систему блокировок среди тех, которыми пользуются правительства.

Пользоваться Psiphon можно бесплатно, но тогда в приложении будет реклама, а скорость подключения будет ограничена до 2 МБ/сек. Такая скорость подходит для поиска информации, социальных сетей и даже некоторых мобильных онлайн-игр, но для потокового видео ее уже недостаточно. Снять ограничения и отключить рекламу можно за подписку или абонемент, они оплачиваются внутренней валютой в самом приложении. Стоимость будет разниться в зависимости от того, на какую страну у вас настроен магазин приложений. Для США она составляет около $6–10, в европейских странах и странах Южного Кавказа стоимость немного меньше. При этом у приложения есть как режим обхода цензуры, так и полноценный VPN с шифрованием трафика.

Проблем с Psiphon для россиян несколько:

  • Оплата (если есть желание разблокировать более высокую скорость) — для мобильных приложений она будет связана с Google Play и App Store либо возможна через PayPal, но все эти сервисы для россиян заблокированы, а российские карты в них не принимаются.
  • Низкая скорость соединения.
  • Попытки Роскомнадзора заблокировать серверы Psiphon — в какой-то момент они, несмотря на все усилия разработчиков, могут оказаться успешными.

Подобные Psiphon приложения с таким же функционалом обхода блокировок — Lantern и Tachyon. Хотя Lantern и позволяет обходить разного рода блокировки, он не является VPN в полном смысле слова. Одна из проблем этого приложения — оно не позволяет вам выбрать, через какой сервер подключаться, и более того, даже не сообщает пользователям, в каких странах у него есть серверы. Кроме того, разработчики не раскрывают деталей о протоколах доступа и многие другие важные данные для оценки безопасности сервиса. Бесплатный доступ ограничен 500 Мб в месяц. Роскомнадзор предпринимал успешные попытки ограничивать доступ через Lantern, но по состоянию на ноябрь 2022-го сервис снова работает у большинства пользователей.

В 2020 году команда разработчиков из России создала приложение Amnezia, которое существенно упрощает настройку собственного VPN-сервиса. Хотя человеку, которому раньше не приходилось арендовать собственный сервис, это может показаться слишком сложным, команда Amnezia постаралась максимально упростить процесс и сделать его понятным всем. Приложение доступно для компьютеров на Windows, Mac, а также телефонов на Android. Бета-версия в июле вышла и для айфонов, но пока она находится в стадии тестирования (скачать файл можно тут).

Команда Amnezia использует технологию OpenVPN через протокол Shadowsocks — обе части решения имеют открытый код, благодаря чему пользователи могут быть уверены, что проходящие через сервис данные не воруются и нигде не хранятся. В сентябре 2022 года проект прошел аудит безопасности и уже принял меры по исправлению выявленных проблем.

Чтобы запустить собственный VPN, который Роскомнадзор не сможет заблокировать, нужно будет арендовать собственный сервер, причем команда Amnezia подобрала варианты зарубежных серверов, которые можно оплатить с помощью карт «Мир», UnionPay или в криптовалюте. Это полезно для людей, находящихся в России, чьи карты MasterCard и Visa зарубежные провайдеры не смогут принять.

Кроме того, можно воспользоваться сайтом для подбора сервера «Поиск VPS» — там вы можете выбрать подходящий тарифный план. Сервис позволяет отобрать провайдеров по стране нахождения. Обратите внимание, что не стоит размещать ваш сервер в странах, которые могут выдавать информацию российским правоохранительным органам (например, в России или Беларуси) или в других странах, где есть риски политических кризисов. Кроме того, не стоит выбирать хостинг, расположенный слишком далеко географически (например, в Австралии), чтобы сигналу не пришлось делать лишний крюк. Лучше всего выбрать сервер в одной из стран Евросоюза или Швейцарии, хотя они и стоят дороже, чем в некоторых других странах.

Для доступа к основным заблокированным сайтам и соцсетям вы также можете использовать конфигурацию, выданную ботом Amnezia Free.

Для настройки VPN вам понадобятся также следующие параметры:

  • установленная операционная система Ubuntu;
  • одно ядро процессора (CPU) — можно, конечно, и больше, но этого будет достаточно;
  • 2 гигабайта памяти (RAM) — можно и больше, но стоить будет дороже;
  • трафик — можно выбрать безлимитный (unlimited), хотя даже одного терабайта будет достаточно, даже если вы будете пользоваться сервисом группой друзей и постоянно смотреть сериалы онлайн;
  • подходящий вам способ оплаты.

Для серверов с такими параметрами цена месячного использования начинается примерно от $3 (около 190 рублей по курсу на 1 ноября 2022 года). В среднем тарифы, которые рекомендует команда Amnezia, стоят около $5–6, причем если оплатить сервер сразу на год или два, можно сэкономить 5–10%.

После того, как вы арендуете свой сервер, запустите установленное на ваше устройство приложение Amnezia. Оно попросит ввести IP, логин и пароль сервера. На сайте Amnezia приводятся примеры, из которых можно понять, где получить эти сведения. После ввода данных ваше приложение заработает. Посмотреть видеоинструкцию по настройке можно на канале «Теплицы социальных технологий».

Такой доступ в интернет будет анонимным, шифрованным, и его не сможет заблокировать Роскомнадзор — по крайней мере, пока не начнет блокировать все VPN-сервисы по всем возможным протоколам соединения. Но даже в таком случае вам должны помочь программы для обхода блокировок по DPI, о которых говорилось выше. Если с установкой или дополнительными настройками у вас возникают проблемы, задать вопрос можно в чате разработчиков проекта.

Собственный VPN от Google

Outline VPN — еще один проект с открытым кодом, позволяющий сделать VPN (на самом деле, скорее прокси) на собственном сервере. Его разработала команда Google, чтобы помогать людям обходить цензуру. В отличие от Amnezia, его проще поставить на iPhone и iPad. Outline использует протокол шифрования Shadowsocks, разработанный китайскими борцами за свободу информации для обхода «великого китайского файрвола». Это позволяет ему обходить и ограничения, установленные Роскомнадзором.

Выбирать сервер для Outline нужно так же, как для Amnezia, а инструкции по настройке есть на сайте сервиса. Видеоинструкцию также можно посмотреть на канале «Теплицы социальных технологий».

Outline — нетипичный VPN, он не дает полную анонимность сетевой активности. Протокол Shadowsocks совмещает преимущества прокси с шифрованием трафика. Это значит, что ваш провайдер связи не узнает, куда вы заходили, да и вообще не поймет, что вы пользуетесь инструментом обхода блокировок. Но нужно понимать, что вся эта информация будет у того, кто получит доступ к вашему серверу (если это вдруг случится). Если для большинства россиян этот фактор не слишком критичный в их модели угроз, то для нас он принципиален!

Самую большую опасность для конфиденциальности потенциально представляет хостинг-провайдер, у которого вы покупаете доступ к серверу. Вы сообщаете ему ваше имя, адрес электронной почты и данные банковской карты. Соответствующие службы могут запросить у провайдера информацию о том, какие пользователи платят за сервер, и получить нужные данные — но риск этого невысок, а при покупке хостинга у зарубежных компаний вероятность выдачи вашей информации, если вы не занимаетесь чем-то, что незаконно за границей, стремится к нулю.

Если интернет в России закроют

Если Роскомнадзор продолжит вводить ограничения и отключать Россию от мирового интернета, стоит присмотреться к сервису SoftEther. Это проект, подобный по настройке описанным выше Amnezia и Outline, и, как и Psiphon, некоммерческий. Он поддерживает множество протоколов, в том числе передачу данных через ICMP и маскировку под DNS-запросы. Когда в 2020 году в Туркменистане «отключали интернет» во время наводнения, только SoftEther удалось «пробиться в мир» через маскировку под DNS-запросы — так как провайдеры, предположительно, отключают прохождение DNS в самую последнюю очередь.

Прямо сейчас мы не рекомендуем пользоваться SoftEther, потому что его интерфейс довольно неудобный и настроить его не так просто, как рекомендованные сервисы. Кроме того, идущий через него трафик может быть очень медленным (и особенно медленным он будет, если интернет всё же отключат). Но можно ознакомиться с ним на досуге. Почитать обсуждения настроек для обхода блокировок можно на форуме NTC, посвященном борьбе с цензурой во всём мире.

источник