Видео носит строго информационный характер, создано в научных целях и не содержит материалов призывающих к нарушению закона или способов обхода законных блокировок сайтов.
Расшифровка видео
Поиск по видео
интро
0:04
[музыка]
0:11
Привет Анонимус и в этом видео я
0:12
расскажу о том как обстоят дела на
0:14
передовом крае борьбы за свободный
0:16
доступ к информации то есть в одной из
0:19
самых жёстко зацензурить
0:26
или к чему-то подтолкнуть я покажу как
0:29
развернуть свой персональный VPN сервер
0:31
на базе фреймворка Xray который
0:33
поддерживает самые мощные технологии
0:35
обхода цензуры Shadow soxs 2022 vmess
0:40
vls и Reality и всё это с красивой и
0:44
удобной панелью управления на базе
0:46
пакета 3X UI если ты пришёл за мануалом
0:50
то мотай видео на 8 минут 50 секунд или
0:54
просто Воспользуйся там кодом в описании
0:56
Если же хочешь послушать о невидимом
0:58
Кибер противостоянии цензов и борцов за
1:01
свободный интернет устраивайся поудобнее
1:03
заваривай себе кофеёк и поехали тебе
1:07
наверняка доводилось слышать про Великий
1:09
китайский файл Китай – Передовая страна
блокировка интернета в Китае
1:12
в области технологий блокировки доступа
1:14
к интернет-ресурсам при том что там
1:16
вообще в целом сохраняется доступ к
1:18
глобальной сети официально Эта система
1:21
носит название золотой щит и
1:24
разрабатывать эту систему начали аж в
1:26
1998 году примерно тогда же когда Сергей
1:30
Брин и лари Пейдж не сумели продать свой
1:32
поисковый алгоритм и создали Google
1:35
очевидно что любители цензуры из
1:37
Компартии Китая уже тогда понимали что С
1:40
развитием доступа к глобальной
1:42
информационной сети обычные китайцы
1:44
могут не Приведи дедушка Мау начать
1:46
получать доступ к информации о том что
1:48
где-то О ужас нет коммунизма Но люди при
1:51
этом внезапно хорошо живут вот и начали
1:53
делать свой золотой щит который с
1:55
переменным успехом пробивается
1:56
нефритовым стержнем технологии обхода
1:58
блокировок
2:00
система полноценно заработала в 2003
2:02
году Хотя надо сказать что Google в
2:05
Китае заблочили ещё в
2:07
2002 Google кстати говоря в 2006 году
2:10
всё-таки ухитрился пролезть в
2:11
поднебесную в зацензурить
2:16
себе большую долю аудитории с мобильными
2:19
устройствами Ну и тогда его забанили
2:21
окончательно конечно же уже тогда
2:24
начинали появляться средства обхода
2:26
фаерволе зания через стену как это
2:29
называли некоторые
2:31
китайцы первая технология блокировок
2:34
основывалась на блокировании IP адресов
2:36
серверов на которых стили сайты с
2:38
неправильным по мнению Компартии Китая
2:40
контентом Это довольно легко обходилось
2:42
за счёт использования прокси серверов Не
2:44
желая играть в кошки-мышки сотнями тысяч
2:46
прокси или вводить верные блокировки
2:48
которые грозили положить весь интернет
2:50
Ну по крайней мере в Китае цензоры
2:53
сменили подход и начали блокировать
2:55
доступ к контенту по ключевым словам до
2:58
эпохи hps инет трафик не был зашифрован
3:01
и содержимое сайтов которые юзер
3:03
запросил провайдер мог видеть точно так
3:05
же как и сам пользователь который
3:08
просматривал интернет-ресурс и если
3:11
алгоритмы видели там что-то кмоль
3:13
происходил обрыв соединения в качестве
3:16
ответа со стороны любителей свободного
3:18
интернета вход пошёл VPN где трафик не
3:20
только прокси ется но ещё и шифруется
3:22
чтобы алгоритмы блокировки не могли
3:24
прочитать содержимое веб-страниц
3:26
какое-то время это работало с переменным
3:28
успехом цензоры банили IP сайты ВПН
3:31
сервисов адреса их серверов но быстро
3:34
появлялись новые а особо прошаренный
3:36
юзеры
3:39
комбинированная
3:41
ВПН кстати сказать если мы посмотрим на
3:44
историю развития интернет блокировок в
3:45
России то как раз примерно в этой точке
3:49
мы сейчас и находимся Ну а Китай
3:52
понятное дело Передовая страна в вопросе
3:55
интернет цензуры прол этот этап уже
3:57
много лет назад ну же не желали
4:00
смириться с поражением во-первых за годы
4:03
такого противостояния в Китае забанили
4:05
огромные массивы IP адресов ВН
4:08
крупнейших облачных провайдеров cdn
4:10
таких например как Digital Ocean или
4:12
Cloud FL во-вторых они внедрили
4:15
технологии анализа трафика для выявления
4:17
признаков использования VPN привычные
4:20
нам протоколы такие как openvpn
4:22
Ward
4:24
v22 просто перестали
4:26
работать Аналогично мо России осенью
4:30
2023 года но врубать эту систему на
4:34
полную тогда не стали лишь иногда
4:36
отдельные провайдеры в силу или
4:37
экспериментов или в рамках особо горячей
4:40
инициативы админов Ну или владельцев
4:42
этих провайдеров замедляют скорость или
4:44
блокируют доступ соединением где
4:45
обнаружен VPN но вернёмся к Китаю в
4:49
ответ на блокировки ВПН протоколов
4:51
энтузиасты разработали Shadow socks
4:54
разработчики Пошли по пути маскировки
4:56
трафика и добились того что данные
4:58
которые передаёт SH вообще ни на что не
5:00
похожи какое-то время это работало Но и
5:04
на этот протокол нашлась управа цензоры
5:06
начали блокировать любой непонятный
5:08
трафик в котором соотношение нулей и
5:10
единиц было в диапазоне от 42,5 до
5:13
57% это опытным путём выяснили
5:16
исследователи из американского НКО КС
5:20
изучающая интернет цензуру и способы её
5:23
обхода Это довольно хитрый ход большая
5:26
часть осмысленных данных будет иметь
5:27
примерно поровну нулей и единиц
5:29
небольшим отклонением Ну и уже не важно
5:31
чем там маскируют трафик всё равно можно
5:33
его заблочить но вот Парадокс при этом
5:35
основная масса интернет-ресурсов не
5:37
содержащих информацию подлежащую цензуре
5:39
в Китае как-то продолжала открываться то
5:41
есть система как-то определяла хорошие
5:44
соединения И блокировала всё остальное
5:47
те же исследователи обратили внимание на
5:49
то что данные почти никогда не
5:51
блокировали если им предшествовал tls
5:53
хендшейк TS хендшейк обычно означает что
5:56
юзер пошёл на какой-то веб-сайт и
5:58
браузер устанавливает защищённое
5:59
соединение по
6:01
https Согласно данным которые собрало
6:04
тоже НКО система блокировок анализирует
6:06
примерно четверть всех соединений
6:08
выявляет всё что не похоже на обычное
6:10
хождение по интернетом и начинает это
6:12
блочить если сессию предваряет типичное
6:14
для обычного брау знго поведения то есть
6:16
tls хендшейк дальнейший трафик не
6:18
подвергается глубокому анализу и
6:20
блокировка при условии конечно что он
6:22
идёт к не находящемуся в чёрном списке
6:24
IP адресу тогда-то и начали появляться
6:27
самые совершенные На текущий момент
6:29
протоколы vmes vls и Reality В общих
6:33
чертах они делают примерно следующее
6:36
между клиентским устройством и VPN
6:38
сервером сначала происходит обыкновенный
6:39
tls хендшейк после чего данные
6:41
отправляются в обычном виде без
6:43
дополнительного шифрования так-то оно в
6:45
целом и ни к чему ведь tls шифрование и
6:47
так надёжно а tls внутри tls мало того
6:49
что замедляет трафик так ещё и как
6:52
оказалось имеет очень своеобразные
6:54
паттерны которые умеют обнаруживать
6:56
анализатор трафика с Нейрон который
6:57
также внедрили китайцы получается что
7:00
система блокировок просто не может на
7:02
потоке отличить хитрых юзеров с vls или
7:05
Reality от обычных законопослушных
7:07
китайцев особенная магия этих новых
7:09
протоколов в системе свой чужой
7:11
благодаря ней VPN сервер может отличить
7:14
трафик от клиента от трафика например со
7:17
стороны цензора или интернет-провайдера
7:19
которым он будет прощупываться этот
7:21
сервер чтобы понять это скрытый прокси
7:23
или это на самом деле веб-сервер если
7:26
клиент сумел с помощью известного ему
7:29
ключа авторизоваться внутри
7:31
зашифрованного тлс соединения когда он
7:34
обращается к этому серверу то сервер
7:36
работает как прокси и даёт доступ к
7:38
закрытым цензурой ресурсам в том же
7:41
случае Если клиент представиться не смог
7:44
то сервер тут же прикинем шлангом то
7:47
есть обычным веб-сервера и будет
7:49
разрешать какой-нибудь веб-сайт Ну
7:52
например samsung.com
7:54
подойдёт любой сайт который не
7:56
заблокирован в стране где применяется
7:59
такая методика для обхода цензуры Ну а
8:03
для особо падальные любителей интернет
8:05
стелса разработчики из xtl выпустили
8:09
специальную утилиту которая позволяет
8:11
просканировать соседей по подсети
8:13
публичного IP адреса VPN сервера и
8:15
выбрать среди них подходящий для
8:17
маскировки сайт в результате На текущий
8:20
момент побеждают системы обхода
8:22
блокировок Хотя они становятся всё
8:24
сложнее В том числе в их использовании и
8:27
настройке и нет гарантии что в ближайшее
8:31
время мы не увидим какой-то хитрый
8:32
асимметричный ответ от
8:37
цензором временем люди которые живут не
8:39
в Китае или Иране могут не только
8:42
наблюдать за этой борьбой жуя попкорн но
8:44
и мотать на уз изучать новые технологии
8:48
и гарантировать себе доступ в свободный
поднимаем свой XRAY VPN
8:56
интернет так первое что нам нужно
8:58
сделать для настройки PS у меня конечно
9:00
же уже куплен это мы оставляем как
9:02
говорится за
9:04
скобками нам нужно подключиться по SS к
9:06
серверу и сделать базовые самые
9:10
необходимые вещи такие например как
9:13
обновление софта на сервере делается
9:15
командами update и
9:24
upgrade после того как мы обновились мы
9:27
можем установить
9:29
делается это одной
9:39
командой здесь нас скрипт спрашивает
9:41
хотим ли мы настройки по умолчанию или
9:44
хотим внести изменения я выбираю n
9:46
отказываясь от изменений каких-то
9:48
настроек если что всё это можно поменять
9:51
в панели Вы можете нажать Y и задать их
9:55
вручную Здесь нам следует обратить
9:57
внимание на параметр Web
10:00
который нам будет нужен для того чтобы
10:01
зайти в Панель получаем IP адрес нашего
10:08
сервера и смотрим на каком порту у нас
10:11
слушает 3X UI по умолчанию он слушает на
10:14
порту
10:16
2053 дальше мы вводим в браузере IP
10:20
адрес нашего сервера двоеточие пор 2053
10:23
и обязательно добавляем необходимую
10:25
часть пути до панели управления
10:30
и здесь мы видим что панель у нас
10:32
работает но соединение у нас не защищено
10:35
у нас используется обычный http не https
10:39
ssl сертификата нет а это означает что
10:41
все данные которые мы отправим к этой
10:43
панели и получим в ответ будут в
10:44
открытом виде видны нашему Хосте и будут
10:48
видны всем узлам сети через которые эти
10:51
данные пройдут нас конечно же не
10:52
устраивает поэтому для того чтобы скрыть
10:55
данные которые мы будем передавать и
10:57
безопасно подключаться к нашей панели мы
10:59
использовать ssh до нашего сервера ssh
11:03
зашифрует все данные которые мы отправим
11:05
и получится что Несмотря на то что у нас
11:08
нет сертификата мы будем через Local
11:11
Host на своей локальной машине
11:13
обращаться к локал хосту машины
11:17
удалённой находясь опять же в рамках её
11:19
локал Хоста А все данные между локальной
11:21
машиной и между удалённым сервером будут
11:24
на зашифрованы для этого первым делом
11:26
нам нужно Создать пользователя
11:29
который будет использован нами для того
11:31
чтобы установить ssh туннель потому что
11:34
поднимать S туннель под рутом это с
11:36
точки зрения безопасности практика Так
11:38
себе и лучше так не делать поэтому для
11:41
начала мы создадим
11:42
пользователя а затем мы в папке этого
11:45
пользователя создадим папку то ssh в
11:48
которой должен лежать файл с ключами
11:50
авторизации и создадим собственно этот
11:58
фай нужно создать SS ключ который мы
12:00
будем использовать для того чтобы
12:02
установить наш ssh тунель вводим команду
12:04
ssh на локальной
12:07
машине выбираем где собственно будет
12:10
храниться этот файл как он будет
12:13
[музыка]
12:19
называться дальше мы копируем содержимое
12:22
файла
12:23
3xu в буфер обмена для того чтобы
12:26
публичный ключ можно было вставить на
12:31
сервере теперь последний штрих Нам нужно
12:34
поменять правила доступа к файлу с
12:37
ключами потому что Права по умолчанию
12:40
будут избыточными и ssh будет у нас
12:44
ругаться и не даст нам установить
12:49
соединение Теперь мы собственно бросаем
12:51
сам туннель мы Линку порт 2053 на нашем
12:55
локал Хосте к порту 2053 на на
13:00
под
13:01
пользователем и указываем обязательно
13:03
Какой ключ необходимо использовать для
13:05
подключения Потому что если это не
13:07
указать то по умолчанию ssh будет
13:10
пробовать ключ который называется ids а
13:13
он не подойдёт дальше можем проверить
13:16
что всё работает мы идём в браузер и
13:18
заменяем IP нашего сервера на IP Local
13:21
Host
13:23
12700 видим что здесь пови сама па можем
13:27
перекре
13:29
можем переключить её на русский язык и
13:31
наконец-то можно логинится Потому что
13:33
теперь наше соединение защищено панель
13:35
кстати продолжит ругаться на это она
13:37
будет показывать предупреждение о том
13:38
что нет СС сертификата потому что она
13:40
знать не может о том что мы используем
13:42
ssh туннель и теперь нам нужно создать
13:45
подключение и проверить что всё работает
13:47
здесь есть важный момент который к слову
13:50
стоил мне какого-то количества времени и
13:52
нервов при записи этого мануала Дело в
13:54
том что если вы подключаетесь к панели
13:55
по локал хосту то IP адрес она возьмёт
13:59
собственно из вашего браузера Если вы
14:03
вручную не пропишите IP адрес то
14:07
тогда у вас не получится подключиться
14:10
config не будет работать потому что вот
14:12
в эту строку подключения которую мы
14:15
используем попадёт не IP адрес сервера а
14:18
Local Host теперь можно скачать
14:21
клиентское приложение я буду
14:22
использовать приложение которое
14:24
называется hif на Windows оно доступно
14:26
Как видите и на Android и на Linux и на
14:28
ma
14:29
и дальше Всё просто из буфера обмена
14:32
добавляем наш конфиг нажимаем
14:34
подключиться и если вы видите подключено
14:37
и пин значит что всё заработало Теперь
14:39
мы можем проверить что всё действительно
14:41
работает смотрим какой у нас IP адрес
14:44
без а включенного VPN и теперь можно
14:47
включить наш свеже поднятый невидимый
14:50
VPN и
14:52
проверить какой IP адрес у нас теперь
14:59
Мы видим что IP адрес у нас поменялся он
15:01
соответствует адресу сервера и это
15:03
означает что мы успешно настроили наш
15:08
VPN теперь я покажу вам как настроить
15:11
подключение с мобильного устройства на
15:13
примере клиента
15:15
vng на платформе Android для этого Я
15:19
создаю ещё одну
15:22
конфигурацию и в этот раз я буду
15:23
добавлять не строку а буду использовать
15:26
QR код в конце хочется здесь безмерный
15:29
респект юзеру с хабра по имени deleted
15:32
User который написал очень подробные и
15:35
понятные мануалы по передовым VPN
15:37
технологиям ссылка на его статьи будет в
15:39
описании