1
Что случилось?
23 января VPN-провайдеры сообщили, что пользователи из восточных регионов России (Алтай, Бийск, Омск, Новосибирск и другие) не могли подключиться к серверам с помощью популярных VPN-протоколов, хотя при этом IP-адреса серверов VPN не блокировались. Предполагаем, что это свидетельствует о том, что тестирование блокировки протоколов VPN-сервисов продолжается.
2
Правда ли, что VPN можно заблокировать полностью?
К сожалению, это так. Технологии, с помощью которых происходят ограничения и блокировки, совершенствуются, и цензорам с каждым разом становится всё проще. Число провайдеров, которые установили себе ТСПУ, растёт.
3
Напомните, что такое ТСПУ?
ТСПУ — технические средства противодействия угрозам. Другими словами, это программно-аппаратный комплекс, позволяющий ограничивать доступ к информации, распространение которой запрещено на территории России.
ТСПУ мало чем отличаются от других DPI-комплексов, которые провайдеры ставят уже много лет. Другое дело, что изначально трафик изучали, чтобы выставлять приоритеты при его передаче. Например, голосовые сообщения более требовательны к задержкам, им требуется бо́льший приоритет в общем потоке трафика.
Позже появились решения для монетизации (анализа трафика для продажи информации и подмены рекламы на сайтах, не использующих HTTPS). И вот в последние пару лет уже, как мы видим, технологии применяют в том числе для блокировки контента.
4
А как именно можно заблокировать VPN при помощи ТСПУ?
Есть много способов это сделать, от банальной блокировки IP-адреса серверов, куда обращается VPN-сервис для обновления своих баз для подключения, до блокировки протоколов (IKEv2, OpenVPN, WireGuard). Немного подробнее про второй вариант мы рассказали в нашем посте ранее.
5
Разве можно заблокировать протокол?
Каждый VPN протокол по-своему уникален и имеет оригинальный «отпечаток», с помощью которого можно узнать, что собой представляет этот протокол. ТСПУ умеет смотреть эти отпечатки и фильтровать (ограничивать) их так, как требуется, поэтому заблокировать WireGuard (отпечаток которого читается очень просто) можно очень быстро, впрочем, как и другие известные нам протоколы.
6
«Защищаются» ли VPN-сервисы, когда их блокируют?
Некоторые да, некоторые нет. Одни сервисы используют популярное решение для маскировки трафика obfsproxy (изначально созданное для Tor), которое является достаточно устаревшим и не всегда помогает обойти блокировки. Другие выпускают гайды по настройке VPN в условиях ограничений, как это делал, например, Surfshark.
7
Я использую нестандартный протокол Shadowsocks — я в безопасности?
Не совсем. Shadowsocks был создан в Китае для обхода Великого китайского файрволла, с чем он справлялся какое-то время, но сейчас цензоры научились выявлять его и блокировать. Многих в таком случае спасают надстройки к Shadowsocks, например V2Ray, VMESS или всем известный Cloak — это инструменты, которые делают ваш трафик похожим на обычный, то есть подделывают отпечаток так, чтобы он был похож на тот, который ТСПУ пропускает и не блокирует. Но отметим, что настройка подобных инструментов требует достаточно высокого уровня владения различными технологиями и подходит не всем.
8
Тогда как мне быть, что использовать?
Стопроцентно рабочих советов у нас дать не получится, так как мы не знаем, как цензор себя поведет, когда начнутся тотальные блокировки: будут ли это ограничения популярных протоколов или начнется фильтрация всего, чего можно.
Мы лишь можем порекомендовать вам сервисы, которые имеют опыт борьбы с цензурой и держат у себя на борту решения для обхода блокировок. Это RedShield VPN и AmneziaVPN. Последний можно установить к себе на сервер самостоятельно, после чего — поднять там Shadowsocks или OpenVPN с плагином Cloak всего в пару кликов, без особенных навыков в области IT.
Подробнее о том, что делать, если ваш VPN-сервис заблокировали, читайте в наших предыдущих карточках. И помните, что VPN в браузерах не бывает.