Самый надежный VPN. Как выбрать надежный сервис для обхода блокировок
The Bell
В России блокируют VPN. Тесты идут c 2021 года, но сейчас блокировки становятся настолько масштабными, что некоторые провайдеры практически перестают работать. Станислав Шакиров, технический директор Роскомсвободы и основатель Privacy Accelerator, рассказывает о self-hosted VPN, которые сейчас наиболее устойчивы к блокировкам.
Что случилось?
В конце мая на мобильных операторах была зафиксирована блокировка OpenVPN. Именно на нем сейчас работает большинство корпоративных сетей. Если протокол OpenVPN в России заблокируют, последствия могут быть самыми широкими: компании могут потерять связь между своими подразделениями в разных странах и городах, могут отключиться банкоматы и платежные терминалы для карт и т.д. Массовые VPN-сервисы тоже тряхнет, хотя там обычно можно выбрать среди нескольких протоколов. Но, учитывая, что и другие протоколы в России пытаются глушить, а Роскомнадзор уже собирает белые списки корпоративных сетей, с каждым разом замену будет находить все труднее.
Практически все массовые VPN-сервисы в России уже испытали блокировку. Какие-то VPN быстро адаптируются, пересобирают сервис и продолжают работать. Какие-то просто отвалились, несмотря на то что люди им заплатили. Обычно коммерческие VPN блокируют по URL и/или IP-адресу, определив, к какому серверу подключаются клиенты, скачав их и проанализировав трафик. И для коммерческих VPN это самое уязвимое место.
Хорошая новость заключается в том, что уже есть решения, которые представляют собой совершенно обособленный VPN-сервис. Он размещается на персональном хостинге пользователя и не имеет этой проблемы с обнаружением IP-адресов, как у коммерческих VPN. Это так называемые self-hosted VPN-решения, которые могут оказаться наиболее устойчивыми к блокировкам не по протоколам.
Что такое self-hosted VPN
На заре технологии self-hosted решения состояли из скриптов (обычно на языке Bash), позволяющих быстро поднять определенный классический протокол на сервере (L2TP, strongSwan, IKEv2 или OpenVPN). К нему в последующем подключались с помощью определенных программ-клиентов. Чаще всего использовались именно консольные утилиты. Чтобы настроить такой сервис, нужно было быть прошаренным спецом уровня сисадмина.
Сейчас self-hosted VPN доросли до того, что ими могут пользоваться люди без технического бэкграунда. У них появился графический интерфейс, позволяющий развернуть сервис в пару кликов. Нужно только скачать программу и купить хостинг. И никаких командных строк. Сейчас на слуху два полноценных решения «из коробки» — Amnezia VPN и Outline VPN. У них есть не только десктоп-клиент, но и мобильное приложение. Кроме этого, есть VPN.Generator от команды ОЗИ, который создает и раздает такие персональные self-hosted VPN.
Для тех, кто уверенно себя чувствует в системном администрировании, есть огромное количество вариантов настройки современных проколов и утилит self-hosted VPN, которые позволяют максимально долго оставаться на связи даже в странах с успешной и масштабной цензурой.
Главная изюминка self-hosted VPN — возможность создать свой собственный VPN на личном сервере, который будет маскировать ваш трафик (используя технологии типа cloak, v2ray) и не будет доступен для блокировки ни по протоколу, ни по IP. Следующее поле для битвы между цензорами и разработчиками будет в России тогда, когда цензоры будут выявлять VPN-трафик в нестандартном пользовательском поведении: например, не может же пользователь всегда ходить на один и тот же сайт, значит, там явно VPN-трафик. Но в России так пока не блокируют — текущих мощностей и решений для этого не хватает.
Почему self-hosted VPN приватнее и устойчивее классических
В авторитарных странах с жесткой цензурой типа Китая или Ирана, на которые поглядывает Россия, многие классические VPN уже сейчас заблокированы. Машина цензуры работает давно и многому научилась. На передовой сейчас только Tor, Lantern, Psiphon, так как это более сложные технологии, в отличие от классических VPN. Также популярными становятся сервисы self-hosted VPN.
Как мы уже говорили, не все VPN одинаково полезны. Если это стандартный классический VPN-сервис с одним протоколом — он или уже заблокирован, или может отключиться в ближайшее время. VPN, который имеет на своем борту несколько протоколов, с помощью которых пользователь может установить соединение (OpenVPN, IKEv2 или WireGuard), а также какое-нибудь специальное средство, чтобы сопротивляться DPI-блокировкам (obfsproxy, Shadowsocks, OpenVPN with XOR и иные), — еще поборется. Однако настроить что-то под себя или быстро изменить конфигурации в случае блокировок, скорее всего, будет невозможно. Это большой минус классического VPN — полная зависимость от провайдера.
Второй минус — массовые подключения к одному серверу. Классический VPN-сервис заинтересован в активной продаже своих услуг, и чем больше пользователей у него становится, тем уязвимее он перед цензорами. Под видом клиентов они получают доступ к приложению, находят сервера и блокируют их IP-адреса, а также URL, который используется внутри клиента для получения конфигурации.
Self-hosted VPN так вычислить невозможно. Никто, кроме вас, не подключится к этому серверу, никто не узнает, какой трафик идет через ваше соединение. Чаще всего эти решения также заточены на то, чтобы обходить блокировки, в том числе по DPI, поэтому они используют протоколы Shadowsocks, TrojanGFW, VMess, VLESS — одни из самых устойчивых к цензуре.
Amnezia VPN сейчас внедрила новые протоколы в комбинации с инструментами, которые позволяют скрыть VPN-трафик от DPI-оборудования — OpenVPN over Shadowsocks, OpenVPN over Cloak и пр. Это серьезный подход к обфукации (маскировке) трафика, который максимально имитирует естественное пользовательское поведение в сети, ничем не выдавая, что человек сидит под VPN. Если ранее шифрованный трафик выдавало статичное присутствие на одном сайте, то теперь он динамический, как спонтанный серфинг.
Self-hosted VPN в основном бесплатны для пользователей. Outline вышел из Google и поддерживается их технологическим инкубатором Jigsaw. Amnezia — проект российских интернет-активистов и правозащитников, который появился три года назад на хакатоне в Москве, а теперь им пользуются для обхода цензуры люди из Ирана, Туркменистана, Китая, России. Важно, что у сервисов открытый исходный код, который подкрепляет доверие.
Когда-нибудь и это заблокируют, и что тогда?
Игра в кошки-мышки идет постоянно. Пользователи в Китае живут под Великим китайским файрволом многие годы, но все эти годы выходят в глобальную сеть, доступ к которой у них, по сути, должен быть перекрыт. Китайские власти придумывают все новые фичи, чтобы блокировать инструменты обхода цензуры. Энтузиасты открывают новые пути обхода.
Российские пользователи сейчас могут брать на вооружение те инструменты обхода блокировок, которые хорошо себя показали в Китае, — использовать накопленный опыт. Но рано или поздно те сервисы, которые мы используем сейчас, цензоры тоже научатся вычислять и блокировать. Остается надеяться, что к тому времени активисты и разработчики средств обхода цензуры сделают выводы и грамотные апдейты. Скорее всего, появятся и новые решения.