Заблокирован ли протокол OpenVPN? И как теперь быть?
Один мой знакомый держит свой OpenVPN сервер, он поделился со мной хронологией блокировки популярных VPN протоколов в России. С его разрешения, я публикую детальную информацию о том, как это происходило с точки зрения клиента и администратора OpenVPN.
Контекст
В последний год в России было много новостей о блокировке известных VPN протоколов, среди которых и OpenVPN. Отечественные новости сообщают о проблемах со всеми операторами мобильной связи, которые начались в конце Мая. Источники из недружественных стран, конечно, видят в этом роль государства и сгущают краски касаемо «свободы» в интернете. Давайте подробно рассмотрим детали того, как происходила блокировка OpenVPN на самом деле.
Хронология и технические детали
В апреле-мае 2023 года операторы Мегафон и МТС, предположительно, предприняли попытки блокировки протокола. Было известно, что блокировка имела региональный характер: например, в городе «А» OpenVPN не работал, в то время как в соседнем городе «Б» он продолжал функционировать. Проблема была легко решена путем смены порта с 1194 на другой или замены IP-адреса сервера владельцем сервера. Интересно, что протокол OpenVPN продолжал работать через Wi-Fi с телеком провайдерами. В общем, это выглядело не как полная блокировка протокола, а скорее как выборочная блокировка определенных IP адресов и портов.
С начала июня по июль 2023 года наблюдались периодические трудности в работе OpenVPN, которые были довольно противоречивы: вчера протокол был заблокирован, а сегодня снова работал. Такая нестабильность стала присутствовать повсеместно, и стало очевидным, что большинство регионов столкнулись с этими ограничениями. Проблема была решена путем использования OpenVPN через прокси-сервер с использованием TCP-соединения. Ниже приведена иллюстрация этого процесса.
Важно подчеркнуть, что OpenVPN по-прежнему функционировал «через Wi-Fi». Кроме того, пользователи ОС Android испытывали проблемы значительно реже, чем пользователи устройств Apple.
В августе 2023 года, точнее 7-го числа, произошло решающее событие — OpenVPN перестал работать у всех пользователей одновременно. Даже использование прокси-серверов и обфускация трафика не помогли восстановить соединение. Ситуация выглядела следующим образом: UDP-соединения устанавливались, но никакой трафик не передавался, а TCP-соединения соединялись и разъединялись через несколько секунд. Было также очевидно, что на провайдере Ростелеком OpenVPN продолжал работать через Wi-Fi, а вот у компании Дом.ру (ЭР-Телеком) OpenVPN, по всей видимости, был заблокирован. Следует отметить, что через несколько дней некоторые функции OpenVPN частично возобновили работу, однако использование протокола стало рискованным, особенно для тех, кто пользовался запрещенными в России сайтами.
Как теперь быть?
В качестве альтернативы OpenVPN и другим популярным протоколам стал использоваться Outline — VPN, работающий на основе протокола Shadowsocks. Outline VPN был разработан дочерней компанией Google и обладает особенностью, что его сложно идентифицировать как VPN. Это делает его более невидимым для контролирующих органов. По стороне клиента установка Outline VPN проще, чем у OpenVPN: достаточно вставить ключ, предоставленный провайдером.
На просторах телеграма было найдено множество ботов, которые были заточены под OpenVPN или Wireguard, но более не функционируют. Я также нашёл пару ботов, которые уже перешли на Outline и работают без проблем: YourFast и Web of Russia VPN.
Надеюсь, эта статья помогла интересующимся лучше понять детали того, что происходило «за кулисами» VPN сервисов в России!
Почему не работает ВПН и что делать если его заблокировали
Не работает ВПН или перестали работать отдельные протоколы, такие как, OpenVPN, IPSec IKEv2, WireGuard? Причина объяснима, по распоряжению Роскомнадзора (РКН) их периодически блокируют. Сбои могут наблюдаться как у отдельных провайдеров, проводных или мобильных, так и в целом. По мнению экспертов, такие мероприятия нацелены на закрытие доступа к зарубежным IP-адресам, чтобы предотвратить доступ к заблокированным сайтам на территории РФ. Рассмотрим все эффективные способы устранения неполадок.
Почему не работает ВПН (сентябрь 2023)
Последняя крупная атака на VPN-протоколы была замечена 7-9 августа 2023 года. Пострадало более десятка сервисов – Psiphon, Urban VPN, iVPN, Surfshark, Proton, P4PN, Xeovo и т.д. Некоторые провайдеры, например, Мегафон, заявили, что с их стороны никаких ограничений нет. Часть просто проигнорировали запросы (Билайн, МТС, Теле2). Поэтому, если не работает ВПН, пользователям приходится разбираться в ситуации самостоятельно.
В базе РКН есть список отечественных IP-адресов, собранный в рамках закона «о суверенном Рунете». Он действует с 1.11.2019 г. и изначально предусматривал создание национальной системы маршрутизации интернет-трафика. Принятые нормы призваны обезопасить отечественный сегмент от внешних угроз. Именно этот документ регламентирует необходимость проведения регулярных учений органов власти, операторов связи, владельцев технологических сетей.
Что мы и видим на примере периодических блокировок протоколов или целых приложений. Задача простая: смоделировать ситуацию, когда по каким-либо причинам требуется отсечь иностранный сегмент от российского. Пока РКН тестирует различные варианты, например, ряд операторов после блокировки протоколов «откатили» настройки, чтобы вернуть возможность использовать сервисы, необходимые для бизнеса.
Что делать, если ВПН не работает
Рассмотрим несколько типичных ситуаций: что делать, если ВПН не работает. Причины бывают технического, пользовательского характера. Например, сбой офисного маршрутизатора, отдельного протокола связи, перегрузка конкретного сервера, через который обычно работал пользователь. Или вообще он банально забыл оплатить тариф на сервисе или у провайдера интернета. Ниже приведем основные советы для случая, если ВПН сегодня не работает, хотя вчера все было нормально.
1. Проверьте, не заблокирован ли сервис
Первое, с чего следует начинать всегда, это проверка провайдера по официальному сайту РКН. Если на домен сервиса наложены ограничения, система покажет наличие блокировки и ее причину. Обычно речь идет о решении суда, вступившем в свою законную силу. Некоторые сайты могут быть заблокированы по Постановлению Правительства РФ №127 от 8.02.2018 г. Такие ресурсы в списке Роскомнадзора отображаться не будут.
2. Измените DNS-серверы
Сервисы VPN обычно используют собственные DNS-сервера, преобразующие IP-адреса в домены. Такой подход увеличивает общий уровень безопасности, т.к. используются только «внутренние» технические средства. Если РКН вдруг заблокирует адреса, соответствующие DNS указанным «по умолчанию», система работать перестанет. Восстановить ее можно указанием «внешних» адресов. Пусть безопасность окажется под вопросом, зато откроется доступ к привычным сервисам.
3. Измените протоколы VPN
В большинстве случаев приложение для подключения настроено на автоматический выбор одного из популярных протоколов. Чаще это WireGuard или OpenVPN. Они наиболее безопасные, быстрые и надежные. Но их в основном и блокирует РКН, когда проводит очередное тестирование функций контроля интернет-трафика. Нужно проверить работоспособность системы в IKEv2 и L2TP/IPSec. Они помедленнее, не столь безопасны, но ведь важнее «запустить» сервис.
Если ВПН не работает со «стандартными» протоколами, нужно просто включить нестандартный. Например, Shadowsocks, работающий по прокси-технологии SOCKS5. Да, он не шифрует данные и, соответственно, не защищает их. Зато дает возможность получить доступ к сервисам, недоступным в России без VPN. Поддержка такой фишки встроена в приложения провайдеров PIA иExpressVPN. Ее активно используют для обхода интернет-цензуры в Китае.
Настройки Shadowsocks и SOCKS5 провайдера PIA:
Блокировка трафика ВПН происходит в том числе по характерным пакетам данных. Чтобы обойти подобные системы применяют технологию маскировки под обычный трафик провайдера интернета. Режим обфускации позволяет обходить практически любые брандмауэры, встроенные защиты от VPN, какая имеется у потокового сервиса Netflix. Главное, использовать «правильное» приложение со встроенной функцией маскировки (тот же ExpressVPN).
Почему не работает ВПН на телефоне
Перечисленные выше советы актуальны для всех устройств. Поэтому, если ВПН не работает на телефоне, есть смысл пошагово изменить настройки. И выбрать работоспособный вариант. В этой части статьи мы рассмотрим некоторые «специфические» проблемы, характерные для смартфонов и планшетов. Важно перед любыми изменениями проверить работоспособность самого интернета, оплачен ли тариф.
Причины, почему не работает ВПН и способы их устранения:
- Сбой в работе телефона – исправить можно обновлением прошивки.
- Отсутствие разрешения на подключение к VPN – достаточно предоставить их.
- Нестабильный, медленный интернет – подключиться к Wi-Fi, к другому оператору.
- Блокировка ВПН брандмауэром, антивирусом – отключить/удалить проблемный софт.
- Конфликт между приложениями VPN – удалить все ненужные программы, оставить одну.
При возникновении проблем с сервисом сначала рекомендуется перезагрузить устройство, чтобы исключить влияние временного сбоя. То же стоит сделать с роутером, если связь идет через него. В случае повтора проблемы можно приступать к дальнейшему поиску причины. Нередко помогает очистка кэша, обновление приложения, его переустановка с настройкой «с нуля». Например, будет заново задан вопрос относительно разрешения на доступ к использованию сети.
Перечисленные советы актуальны и для тех, у кого не работает ВПН на Айфоне. Разница будет лишь в настройках: там также можно и нужно почистить кэш приложения, сбросить параметры сети и обновить/переустановить софт (заодно и прошивку привести к актуальной версии). Если ничего не помогает, есть смысл изменить DNS, протокол VPN, перейти на Shadowsocks или скрытый режим (обфускацию). Главное, сначала убедиться в стабильности «общего» интернета и оплате тарифа.
Технические неполадки и решения
Коснемся подробнее причин технического характера. Если не работает ВПН, который только что функционировал нормально, вполне вероятно, что произошел сбой программного обеспечения. В этом случае поможет перезагрузка устройства (смартфона, планшета, компьютера). После запуска операционной системы сначала стоит проверить доступность российских сайтов. Например, путем обычного поиска, проверкой электронной почты и т.п.
Проверьте общую работоспособность интернета
Начинать проверку лучше с перезапуска роутера/маршрутизатора. Затем нужно зайти на несколько «привычных» сайтов, которыми открываются без VPN. Можно воспользоваться сервисом, который измеряет скорость соединения – https://www.speedtest.net/. Если все нормально, можно переходить к подключению защищенного канала.
Распространенные проблемы:
- Соединение устанавливается, но нужный сайт не открывается – попробуйте поменять IP-адрес (сервер), в том числе выбрать другую страну. Возможно, сам ресурс блокирует любые попытки открыть его из заграницы, т.е. проблемы, на самом деле, нет.
- Соединение устанавливается, но данные не передаются – проверьте, не запущено ли два и более приложения для VPN. Вероятно, какой-то софт работает в фоновом режиме и его надо отключить перед активацией канала. Иногда причина в том, что один VPN-клиент работает одновременно на нескольких устройствах (свыше лимита, включенного в тариф). Тогда для использования сервиса нужно отключить софт на «лишних» устройствах.
- Сайты открываются только при вводе IP-адреса, по домену не работают – недоступны DNS-сервера провайдера ВПН. Нужно перенастроить программу на другие, «внешние» сервера, которые и обеспечат нормальную работу системы.
Изредка приходится сталкиваться с роутерами, не поддерживающими пересылку VPN. Например, пользователь всегда подключался к заблокированным ресурсам через мобильный интернет, но вот пришлось воспользоваться домашним Wi-Fi. И выяснилось, что оборудование не функционирует в нужном режиме. Или в его настройках такая возможность отключена. Есть смысл зайти в оболочку роутера и проверить наличие и статус функций IPSec Passthrough и PPTP Passthrough.
Поменяйте сервер
Многие пользователи выходят в интернет через ВПН, всегда используя один и тот же сервер. Не исключено, что именно он на данный момент завис. Или оказался чрезмерно перегружен из-за наплыва новых подключений. Чтобы исправить ситуацию, достаточно подключиться с выбором любого другого сервера. Лучше из другой страны, ведь проблема может оказаться в национальной системе фильтрации трафика. Например, начал блокировки местный «аналог» РКН.
Смените IP-протокол
Сервисы VPN используют два вида IP-протокола: UDP и TCP. Первый работает намного быстрее, второй считается более надежным и стабильным. Обычно приложение автоматически выбирает тот или иной режим. При постоянных разрывах связи стоит попробовать указать его вручную. Обычно рекомендуется включать TCP. Некоторые провайдеры ВПН, например, ExpressVPN, поддерживают несколько вариантов этого протокола.
Измените порты
Подключение к удаленным серверам осуществляется через один из сетевых портов. Это начальная и конечная точка, необходимая для обмена данными. Порт может оказаться заблокированным из-за воздействия брандмауэра, антивируса, на уровне оборудования провайдера интернета. Или потому, что его заняло другое приложение, имеющее больший приоритет и не позволяющее использовать ресурсы, пока оно функционирует.
Измените уровень шифрования
Не исключены сбои в системе шифрации передаваемого трафика. Чтобы обойти такую проблему, достаточно переключить режим, например, с AES-256 на AES-128. Формально безопасность будет ниже, но на практике раскодировать перехваченные сведения будет практически нереально даже со 128-битным шифрованием. Пользователю важнее получить доступ к нужным ресурсам, которые не открываются без ВПН.
Причины блокировки ВПН в России
Начало августа 2023 года связано с новой блокировкой сервисов VPN. Первые сообщения стали появляться еще 3 числа, а через неделю проблема приобрела массовый характер. Пользователи в панике, т.к. периодически не работает ни один ВПН. Все потому, что РКН стал блокировать уже не отдельный софт, а основные протоколы – WireGuard и OpenVPN. При попытке подключения к зарубежным серверам система просто сбрасывает соединение.
- Эксперты считают, что недавняя тотальная блокировка была генеральной репетицией для проверки, как на подобные ограничения отреагирует Рунет?
- Фильтры частично отключили, чтобы избежать проблем с бизнесом, который продолжает активно использовать ВПН в повседневной работе.
- Фильтрация и блокировка ресурсов сейчас происходит на специальном оборудовании на стороне провайдеров (ТСПУ, технические средства противодействия угрозам).
Россия – далеко не первая страна, где задумались над возможностью контроля интернета. Этим уже давно занимается Китай, Иран, Северная Корея, Туркменистан. В последнем вообще есть доступ только к сайтам из так называемого White-листа. Идея с фильтрацией работы инструментов обхода блокировок направлена, как и везде, на защиту населения страны от контента экстремистского толка и прочих «запрещенных» тем.
Пока добиться полной изоляции практически нереально, т.к. обмен интернет-трафиком с другими странами осуществляет множество провайдеров. Фактически при включении блокировки в разных регионах пользователи получают совершенно разный результат. Где-то сервисы перестают работать вообще, в других городах/районах они продолжают функционировать как прежде. Или «уходят» по истечении нескольких дней, возможно, по бюрократическим причинам.
В любом случае Роскомнадзор проводит тесты в рамках действующего законодательства. Часть IT-экспертов считает, что просто так систему ВПН заблокировать навсегда не получится. Но у РКН есть прекрасный ресурс – правительство, которое может принять массу новых законов, которые и упростят задачу. Была бы необходимость и прецеденты, способные подтолкнуть к такому шагу. Тем не менее, не смотря на все попытки госорганов, многие ВПН продолжают рабoтать в России, как правило путём запуска новых серверов и IP-адресов.
Заключение
Все чаще ситуации, когда не работает ВПН, происходят по причине систематической блокировки ключевых протоколов со стороны Роскомнадзора. Это неизбежно, поэтому нужно владеть разными способами решения проблемы. Например, знать, как менять протоколы, порты, сервера или уровни шифрования. Тогда будет проще восстанавливать работоспособность системы и иметь постоянный доступ к удаленным ресурсам, заблокированным для россиян.
Почему ВПН не работает с мобильным интернетом?
Причины проблемы: сервис VPN отказывает оператору в доступе или провайдер блокирует его по решению суда (полностью или через определенные протоколы). Решение простое – достаточно сменить мобильного оператора или работать через Wi-Fi (через проводного провайдера интернета).
Почему мой VPN не работает в Китае?
Трафик может блокироваться Великим китайским файрволлом. В Китае лучше пользоваться сервисами, поддерживающими режим обфускации. Функция позволяет маскировать VPN-трафик, безопасно открывать доступ к заблокированным ресурсам.
Как бороться с частыми отключениями ВПН?
Временно отключите брандмауэр, антивирус, переключитесь к другому провайдеру интернета. При повторе проблемы переключите IP-протокол в режим TCP.
Как исправить медленное подключение?
Все сервисы VPN немного замедляют связь из-за того же принудительного шифрования. Наиболее простой способ ускорить передачу данных – переключиться на быстрый протокол WireGuard или OpenVPN, выбрать сервер, расположенный как можно ближе к физическому местоположению.
Почему не работает ВПН на телефоне?
Чаще причиной неработоспособности сервиса VPN становится блокировка протоколов оператором мобильной связи. Пользователю достаточно подключиться к Wi-Fi или сменить SIM-карту, чтобы устранить проблему (при условии, что другие провайдеры ничего не блокируют).
Блокировки VPN в России Что это, почему, как и что с этим делать?
С блокировками VPN россияне столкнулись совсем недавно, однако на сегодня проблема уже приобрела массовый характер. Периодические отключения приводили к тому, что через мобильный Интернет переставали работать даже частные VPN на базе наиболее распространенных протоколов Wireguard и OpenVPN. Попытки подключиться к серверам, расположенным за рубежом, просто разрывались.
Через несколько дней ситуация менялась, и некоторые из заблокированных VPN-сервисов, в том числе и коммерческие, снова начинали работать, но затем ситуация повторялась с протоколами OpenVPN, IPSec IKEv2 и WireGuard.
Рассказываем, что случилось, почему, каким образом и что с этим делать.
Но сначала немного теории.
Как работает VPN
Давайте рассмотрим механизм работы VPN (Virtual Private Networks – виртуальные частные сети) и выясним их роль в обеспечении безопасности работы в Интернете.
Что такое VPN?
По своей сути VPN – это служба, создающая частную сеть из публичного интернет-соединения. Она маскирует ваш IP-адрес, благодаря чему действия в Интернете практически невозможно (на самом деле, можно, но слишком сложно и хлопотно) отследить. Кроме того, VPN обеспечивает безопасное и зашифрованное соединение, что значительно затрудняет перехват данных хакерами или третьими лицами.
Как работает VPN?
Шифрование данных. Когда вы используете VPN, ваши данные в Интернете, будь то результаты поиска в Google или электронное письмо, пакуются в шифрованные пакеты. Такое шифрование гарантирует, что даже если кто-то перехватит ваши данные, он не сможет расшифровать их без необходимого ключа.
Маскировка IP-адресов. То, ради чего чаще всего используют VPN сейчас. Каждое устройство, подключенное к Интернету, имеет IP-адрес – уникальный идентификатор, который может выдать ваше местоположение и, возможно, другую информацию. Когда вы подключаетесь к VPN-серверу, он скрывает ваш реальный IP-адрес и предоставляет вам IP-адрес, находящийся на его сервере. В результате веб-сайты и онлайн-сервисы видят IP-адрес сервера, а не ваш. То есть, например, не могут определить, что вы из России.
Безопасное подключение к удаленным серверам. VPN-клиенты на ваших устройствах (например, ноутбуке или смартфоне) подключаются к VPN-серверам. Соединение между вашим устройством и сервером называется «туннелем». Весь ваш интернет-трафик проходит через этот защищенный туннель, для чего используются различные протоколы туннелирования, обеспечивая конфиденциальность ваших данных. Ну, или по крайней мере повышая ее.
Для чего нужен VPN?
Самое очевидное – обход региональных ограничений. VPN позволяет получить доступ к контенту, который может быть ограничен в определенных странах или регионах.
Экзистенциальная причина того, что столь специфический протокол стал востребован не для специальных видов цифровых коммуникаций, а для обывательского интернет-серфинга, кроется в провале глобализационного проекта:
Глобализация в истории и перспективе Что представляет собой один из самых противоречивых процессов в истории Человечества
Глобализация – мощнейший цивилизационный тренд, формирующий общество на протяжении длительного времени. С чего он начался, куда пошел и чем закончится?
Интернет на наших глазах стремительно распадается на национальные и региональные сектора, которые огораживаются спешно возводимыми киберзаборами. И если вам нужно что-то «из-за ленточки», то часто прямого пути больше нет, требуется подкоп.
Но есть и другие причины, вполне безобидные.
Защитить публичный Wi-Fi. Использование публичных сетей Wi-Fi (например, в кофейнях или аэропортах) может подвергнуть ваши данные риску. VPN обеспечивает зашифрованное соединение даже в таких сетях.
Конфиденциальность в Интернете. Маскируя ваш IP-адрес и шифруя ваши данные, VPN обеспечивает конфиденциальность ваших действий в Интернете и исключает возможность прямого мониторинга или отслеживания. Важно помнить – это не панацея. Если вы будете совершать наказуемые действия в сети, то VPN вас не спасет. Потому что спецслужбы взломают не ваше шифрование, а сразу вашу дверь.
Избежать ограничения пропускной способности. Некоторые интернет-провайдеры ограничивают пропускную способность для определенных видов деятельности в Интернете (например, потокового вещания, торрент-активности и т. д.). При использовании VPN они не видят, что вы делаете, поэтому им сложнее ситуативно ограничивать ваше соединение. Впрочем, есть и другие способы умерить ваши аппетиты.
Какие протоколы использует VPN?
VPN (Virtual Private Networks) использует различные протоколы для обеспечения безопасного и зашифрованного соединения между устройствами. Каждый протокол имеет свои сильные и слабые стороны, отражающие баланс между скоростью, безопасностью и простотой использования. Вот некоторые из наиболее популярных:
PPTP (Point-to-Point Tunneling Protocol)
– Возраст: один из старейших VPN-протоколов, разработанный компанией Microsoft.
– Безопасность: считается наименее защищенным среди современных протоколов из-за известных уязвимостей.
– Скорость: обычно быстрее из-за более низкого уровня шифрования.
– Применение: может использоваться в тех случаях, когда высокий уровень безопасности не имеет значения, а скорость является приоритетом. Например, его используют интернет-провайдеры на «последней миле».
L2TP/IPsec (Layer 2 Tunneling Protocol with Internet Protocol Security)
– Возраст: довольно почтенный, но помоложе PPTP.
– Безопасность: L2TP сам по себе не обеспечивает шифрования, поэтому для шифрования и проверки целостности используется протокол IPsec. В целом, считается безопасным, хотя существуют опасения по поводу потенциальных уязвимостей.
– Скорость: умеренная скорость, так как обеспечивает лучшее шифрование, чем PPTP.
– Применение: широко используется в службах VPN, обеспечивая баланс между безопасностью и скоростью.
– Возраст: относительно новый, с открытым исходным кодом.
– Безопасность: считается одним из самых безопасных VPN-протоколов, обеспечивающим до 256-битного шифрования. Высокая настраиваемость.
– Скорость: скорость зависит от уровня шифрования и загрузки сервера, но, в целом, приемлема для большинства пользователей.
– Применение: широко используется многими VPN-сервисами благодаря своей гибкости, безопасности и открытому исходному коду.
SSTP (Secure Socket Tunneling Protocol):
– Возраст: разработан компанией Microsoft и был представлен еще аж в Windows Vista.
– Безопасность: используется протокол SSL 3.0, поддерживающий 256-разрядное шифрование. Считается безопасным, но имеет проприетарный характер, за что многие его не любят.
– Скорость: сопоставима с OpenVPN.
– Применение: в основном, используется на устройствах под управлением Windows благодаря интеграции с ОС. Некоторые VPN-сервисы его также поддерживают.
IKEv2/IPsec (Internet Key Exchange version 2 with IPsec)
– Возраст: относительно свежая разработка компаний Microsoft и Cisco.
– Безопасность: славится своей безопасностью, особенно в сочетании с пакетом IPsec.
– Скорость: обеспечивает быстрое соединение, особенно полезное для мобильных устройств, которые часто переключаются между Wi-Fi и мобильной передачей данных.
– Применение: становится все более популярным, особенно на мобильных устройствах.
WireGuard
– Возраст: один из самых новых VPN-протоколов.
– Безопасность: использует современные криптографические протоколы, более простые и эффективные по сравнению со старыми протоколами.
– Скорость: высокоскоростной и легкий современный протокол.
– Применение: быстро набирает популярность, многие VPN-провайдеры начинают предлагать его в качестве опции.
С точки зрения безопасности золотыми стандартами часто считаются OpenVPN и WireGuard, хотя IKEv2/IPsec тоже неплох.
Что касается скорости, то PPTP является самым быстрым благодаря низкому уровню шифрования, но WireGuard, будучи намного безопаснее, его почти догоняет.
Важно также учитывать удобство использования и совместимость – например, если OpenVPN универсален и работает на многих платформах, то SSTP глубоко интегрирован в Windows.
При выборе протокола VPN необходимо учитывать приоритеты (скорость против безопасности), а также характер вашего устройства и сети. Для большинства пользователей приемлемый баланс скорости и безопасности дают OpenVPN и WireGuard.
Зачем блокируют VPN
Блокировки VPN-сервисов имеют вполне очевидную причину – те, кто устанавливает ограничения, делают это не за тем, чтобы их легко обходили. VPN с некоторых пор стал настолько технически прост и доступен, что многие пользователи до недавнего времени не испытывали ни малейших неудобств при доступе к заблокированным массовым ресурсам, таким, как иностранные соцсети. Достаточно установить бесплатное VPN-приложение, включить его и «жить как раньше». Да «бесплатность» их весьма условная, но, будем откровенны, среднего пользователя не очень-то волнуют утечки его личных данных. И так все давно утекло.
Регуляторов по обе стороны границы эта ситуация не устраивает. Ограничения стоят не только с нашей стороны, да и вообще не являются чем-то специфически отечественным. Так, например, в недавно в Европе был заблокирован доступ через VPN к американской соцсети Threads.
Threads – новый Twitter Что представляет собой новая социальная сеть?
Компания Meta (признана экстремистской и запрещена в РФ) запустила новую социальную сеть Threads. По своим функциям она очень напоминает Twitter, позволяет создавать тестовые посты, треды, лайкать и репостить
Что касается нашей ситуации, то Роскомнадзор на все претензии невозмутимо отвечает, что, согласно закону «О связи», в России запрещена работа VPN-сервисов, не обеспечивающих фильтрацию нарушающей закон информации. «Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несет в себе существенные риски утечки личной, корпоративной и иной информации», – говорят чиновники. Поэтому российским предприятиям и организациям порекомендовали ускорить перевод информационных систем и протоколов, обеспечивающих работу их внутренних бизнес-процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории России. Ну а рядовым пользователям следует соблюдать законодательство своей страны – запретили, не читайте!
Если этого объяснения вам недостаточно, то пользователи интернета из России могут задавать вопросы о причинах недоступности того или иного протокола VPN в Главный радиочастотный центр и акционерное общество «Данные – центр обработки и автоматизации». Не факт, что вам ответят, но спросить можно.
Как можно заблокировать VPN?
Есть несколько общеизвестных способов блокирования VPN.
Блокировки по IP-адресу
Многие VPN-сервисы используют для своих серверов известные IP-адреса. После определения этих IP-адресов можно заблокировать доступ к ним. Это простой и широко распространенный метод, но его можно легко обойти, если VPN-провайдеры часто меняют свои IP-адреса или используют пул случайных IP-адресов.
Блокирование портов
VPN-трафик часто проходит через определенные порты. Например, OpenVPN по умолчанию использует порт 1194. Блокируя эти порты, можно нарушить VPN-трафик, однако несложно обойти это, используя такие порты, как 443, который обычно используется для HTTPS-трафика и поэтому вряд ли будет заблокирован.
Глубокая проверка пакетов (DPI)
DPI – это более совершенный метод, который предполагает изучение пакетов данных, передаваемых через Интернет, с целью определения их характера и назначения. С помощью DPI можно обнаружить модели VPN-трафика, даже если они идут через общие порты или используют обфускацию. После обнаружения такой VPN-трафик можно блокировать или дросселировать.
Блокировка VPN-сайтов и сервисов
Блокируя доступ к сайтам, на которых пользователи могут зарегистрироваться или загрузить программное обеспечение VPN, можно затруднить пользователям доступ к сервисам.
Анализ трафика и time attack
Анализируя время и объем сетевого трафика, интеллектуальные системы контроля могут сделать вывод об использовании VPN или типах услуг, к которым осуществляется доступ, даже если сам контент зашифрован.
Блокировка по конкретным протоколам
Можно блокировать определенные протоколы, используемые VPN, что затрудняет установление соединения.
Фильтрация и перехват DNS
Если пользователь пытается подключиться к VPN-серверу через его доменное имя, DNS-запрос может быть перехвачен и отфильтрован, в результате чего пользователь не сможет попасть на VPN-сервер.
Законодательные и регулирующие меры
Помимо технических мер, правительства некоторых стран применяют юридические меры, делая незаконным использование или предоставление услуг VPN. Также можно обязать провайдеров блокировать или дросселировать VPN-трафик. В России это не применяется, использование VPN для наших граждан ненаказуемо. На момент выхода статьи жесткий запрет только в Китае, Ираке, ОАЭ, Турции, Беларуси, Омане, Иране, КНДР, Туркменистане и Мьянме.
Как блокируют VPN в России?
Эксперты говорят, что блокировка VPN силами Роскомнадзора (РКН) работает на уровне протоколов, но с упором на зарубежные IP-адреса, то есть касается прежде всего трансграничного трафика. Это позволяет РКН закрыть доступ к запрещенным в России сайтам, при этом минимизируя проблемы у корпоративных VPN-ресурсов. Пока это срабатывает неидеально – на фоне прошедших отключений отваливались не только иностранные «запрещенки», но и вполне отечественные сервисы, включая, например, ВКонтакте. Интернет до недавних пор был глубоко связанной системой, и в нем сложно было отключить что-то одно, не зацепив другое. Но эта ситуация быстро меняется, в том числе и благодаря вот таким «тестовым» отключениям.
Технически в России блокировка ресурсов происходит на специальном оборудовании на стороне провайдеров — ТСПУ (технические средства противодействия угрозам.). Роскомнадзор начал требовать от операторов связи устанавливать его с сентября 2020 года в рамках закона о «суверенном интернете». ТСПУ – классический «черный ящик», как они работают, провайдерам неизвестно. Это вполне логично – такие алгоритмы просто обязаны быть секретными. По косвенным признакам можно сказать только, что в случае с текущими «блокировками» VPN это вообще не блокировка в классическом понимании: вырезается не весь трафик, а только конкретное соединение.
В общем, как именно блокируется VPN сейчас, в точности неизвестно. РКН это никак не комментирует. При этом эксперты считают маловероятным, что Россия придет к жестким блокировкам по методу white-листов (доступ к разрешенным ресурсам по списку). Это просто не нужно – как показывает опыт Китая, достаточно блокировать VPN-протоколы, чтобы отбить у большей части жителей желание пытаться обходить блокировки. Задача государства здесь не заткнуть все щели наглухо – это почти нереально, – а повысить порог сложности достаточно, чтобы отпугнуть массового пользователя.
Скорее всего, вскоре блокировки трансграничных VPN станут регулярными, а то и перманентными.
Как обойти блокировки VPN
Напоминаем: согласно недавним поправкам в Федеральный закон «Об информации, информационных технологиях и о защите информации» вводится ответственность за популяризацию и публикацию инструкций или советов по обходу блокировок. Публикация таковых может стать основанием для внесения ресурса в Единый реестр запрещенной информации Роскомнадзора, поэтому вы их тут не найдете. Мы никого не призываем нарушать закон.
Впрочем, перечисление общеизвестных технических принципов инструкцией не является. К ним относятся:
Обфускация: маскировка VPN-трафика под обычный HTTPS-трафик.
Использование нескольких портов: предоставление пользователям возможности переключаться между различными портами.
Регулярная ротация IP-адресов: чтобы избежать блокировок по IP-адресам, провайдер услуги их регулярно меняет.
Невидимые (теневые) серверы: серверы, созданные специально для обхода блокировок VPN.
Shadowsocks и VLESS: прокси-серверные технологии, предназначенные для защиты интернет-трафика, которые относительно эффективно обходят DPI.
Использование self-hosted: самостоятельный хостинг VPN с маскировкой трафика.
Несложно заметить, что все эти способы либо исполняются не на стороне пользователя, либо технически сложны. Массовому любителю запрещенных соцсетей они не помогут.
Более того, по мнению экспертов, блокировки будут усиливаться, а привычные способы их обхода станут бессмысленными. Большинство коммерческих VPN-сервисов не фокусируется на обходе блокировок и работает на популярных протоколах WireGuard/OpenVPN.
По мере разработки новых методов блокировки всегда появляются новые способы обхода, но массовому пользователю, скорее всего, придется в ближайшее время привыкать к отечественной медиасреде.
Мой VPN перестал работать. Что делать? Как искать работающий? Максимально короткая инструкция «Медузы»
Обновление. Первая версия этого материала вышла в июне 2022 года, когда российские власти еще не тестировали блокировку по протоколам VPN.
Многие российские пользователи VPN сталкиваются с тем, что их сервис в какой-то момент перестает работать. Обычно проблемы связаны с блокировкой IP-адресов VPN. Но в последнее время, по мнению экспертов, Роскомнадзор стал тестировать другой подход — блокировку по отдельным протоколам VPN .
Вот что известно о последней волне таких блокировок
Идея такого подхода в том, чтобы выявить и заблокировать весь VPN-трафик — за исключением заранее определенного числа разрешенных VPN-сервисов, используемых госорганами, банками и предприятиями. То есть точечную блокировку по «черному списку» сервисов власти, видимо, хотят заменить полной блокировкой, оставив пользователям лишь разрешенные VPN из «белого списка». Скорее всего, такая блокировка происходит на оборудовании ТСПУ , которое установлено во всех мобильных сетях — но пока его может не быть у отдельных мелких проводных провайдеров. Именно поэтому в последнее время россияне особенно часто жалуются на блокировку VPN в мобильных сетях.
Что стоит делать пользователям, чтобы избежать проблем в работе VPN?
«Поиграйте» с настройками своего VPN-приложения
- Некоторые сервисы умеют работать сразу с несколькими протоколами VPN (вроде OpenVPN или WireGuard). Попробуйте переключиться между ними.
- В некоторых приложениях можно найти режим обфускации , чтобы интернет-провайдеру сложнее было распознать его и заблокировать. Попробуйте включить этот режим.
Обратитесь в службу поддержки своего сервиса VPN
- Напишите письмо, найдите форум, соцсети или официальный сайт. Возможно, там уже знают, как решить вашу проблему.
- В службе поддержки вам могут сообщить, что проблемы с доступом связаны не с блокировками Роскомнадзора, а с обновлением оборудования для защиты от атак или программного обеспечения (ПО) магистральным оператором. В этом случае ПО просто нужно время, чтобы научиться отличать «хороший» трафик от «плохого», и перебои могут пропасть сами через 1–2 дня.
- Если сайт вашего VPN-провайдера окажется заблокирован, попробуйте открыть его в кэше Google, чтобы найти ссылки на соцсети или почтовый адрес. Или скачайте и установите Tor-браузер на компьютер или телефон для обхода блокировки.
Что еще важно помнить про обход блокировок
Найдите другой сервис VPN
Сознательный выбор надежного VPN-провайдера требует определенных усилий: нужно найти отчеты независимого аудита, понять бизнес-модель компании, узнать о ее владельцах.
- В экстренной ситуации можно сначала попробовать перебрать разных провайдеров из списка с рекомендациями экспертов (вроде такого или такого).
- Мы рекомендуем пользоваться только платными сервисами ( бесплатные могут торговать вашими данными ). Некоторые провайдеры предлагают бесплатный доступ, ограниченный по времени и функционалу. За это время вы сможете понять, заблокированы они или нет.
- Опросите знакомых, у них может быть установлен другой сервис VPN, который (как минимум пока) работает.
- Можно попробовать сервисы, которые не являются привычными VPN, но также позволяют обходить блокировки. Вроде WARP (1.1.1.1).
- Не забудьте поставить Tor, Psiphon и Lantern — программы, специально созданные для обхода блокировок. Скачайте и сохраните мосты для Tor — это узлы в анонимной сети, которых нет в открытом списке узлов.
Если вы можете самостоятельно собрать и запустить свой VPN-сервер, обратите внимание на протоколы Shadowsocks, VLESS, Xray, XTLS и Iodine. Они позволяют спрятать ваш VPN-трафик таким образом, что его могут обойти стороной блокировки Роскомнадзор по протоколам.