VPN - обфускация трафика - что это такое

Материал из Все о VPN, прокси и свободном интернете

VPN - обфускация трафика - что это такое

Обфускация трафика VPN - это дополнительное скрытие трафика VPN, характер которого не сможет определить оборудование интернет-провайдера DPI (Deep Packet Inspection) и соответственно помогает получить доступ к запрещенным ресурсам.
Deep Packet Inspection (DPI) может обнаружить уникальную подпись OpenVPN, поэтому этот протокол не подходит если провайдер решил фильтровать VPN трафик.


Примеры обфускации VPN трафика:

- плагин Cloak (https://github.com/cbeuw/Cloak) - маскировка трафика под обычный просмотр веб-страниц (по-умолчанию 443 https порт). Достигается за счет крипто-стенографических методов: https://github.com/cbeuw/Cloak/wiki/Steganography-and-encryption
Работает в связке с Shadowsocks, OpenVPN или TOR (на выбор)
Пример установки на KVM VPS: https://checkvpn.net/wiki/Shadowsocks_cloak_-_установка_vpn_сервера_с_обфускацией_трафика_за_3_минуты
- Obfsproxy (проект Tor)
- Stunnel (маскировка под обычный https трафик, VPN-трафик маршрутизируется через туннель TLS / SSL)
- openvpn_xorpatch (https://tunnelblick.net/cOpenvpn_xorpatch.html) - XOR-шифр для маскировки трафика OpenVPN, заменяет значения каждого бита данных другим значением, что частично позволяет скрыть openvpn трафик от DPI блокировки.\
- wireguard (завернуть UDP в TCP обычно помогает)
- V2Ray (c uTLS) + VLESS  (VLESS более новый протокол чем VMess ) Пример установки V2RAY+VMESS: https://youtu.be/2xpAJjXGVJI
- XRay (с XTLS) + VLESS  (VLESS более новый протокол чем VMess )
- Sing-Box  (https://vpnrouter.homes/)
- SSTP (Secure Socket Tunneling Protocol)
- shadowsocks-rust + v2ray + simple-tls
- amnezia vpn - openvpn + cloak: https://checkvpn.net/wiki/Amnezia_VPN_-_установка_openvpn_%2B_cloak_плагин  (недостаток - плохая скорость)
- vless reality - https://github.com/MHSanaei/3x-ui
Видео пример установки vless reality: https://www.youtube.com/watch?v=VBIYyXEawiY
Пример установки 3X-UI - vless-reality: https://checkvpn.net/wiki/VLESS_-_reality_-_установка_на_Ubuntu_20.04_-_полный_гайд_по_обходу_блокировок
- Outline VPN (протокол shadowsocks): https://checkvpn.net/wiki/OUTLINEVPN - если заблокирован WG и openvpn. Хорошая скорость! Outline не работает с приложением Команды на iOS (нельзя настроить автоконнект, при включении определенного приложения)
- Outline VPN (протокол shadowsocks) - пример установки https://youtu.be/d703IfSs4-M
- wireguard + Dante proxy + клиент на windows WireSock c UI
- wireguard + 3proxy socks5 (завернуть handshake wireguard на прокси) + WireSock c UI (опции SOCKS5 for WireGuard handshake) - пример установки https://checkvpn.net/wiki/WireGuard_-_wireguard_и_3proxy_socks5_(завернуть_handshake_wireguard_на_прокси)_через_клиент_WireSock_c_UI_-_Ubuntu_20.04
- OBFS4 - https://github.com/OperatorFoundation/shapeshifter-dispatcher
https://sigvids.gitlab.io/windows-obfs4.html
- obfs4 - пример установки моста https://checkvpn.net/wiki/Obfs4_-_установка_моста_через_docker_контейнер_-_fphammerle/tor-obfs4-bridge
- lokinet - Lokinet is the reference implementation of LLARP (low latency anonymous routing protocol), a layer 3 onion routing protocol.  https://github.com/oxen-io/lokinet/blob/dev/readme.md
- Orbot - https://play.google.com/store/apps/details?id=org.torproject.android
- Obfs4-openvpn:  https://github.com/dopch/Obfs4-openvpn
- Marzban - Unified GUI Censorship Resistant Solution Powered by Xray - веб-интерфейс для Vmess/Vless/Trojan/Shadowsocks
https://github.com/Gozargah/Marzban
 Пример установки https://checkvpn.net/wiki/Marzban_-_универсальный_GUI_интерфейс_управления_прокси_серверами_для_обхода_блокировки_цензуры_в_интернете_-_Vmess-VLESS-Trojan-Shadowsocks
 Видео установки MARZBAN: https://www.youtube.com/watch?v=RVHdj2aBlXA
- Lantern - https://github.com/getlantern
- Phiphon - https://psiphon.ca/
- Conjure
- X-UI GUI based on X-ray: https://seakfind.github.io/2021/10/10/X-UI/
- Libertea GUI based on X-ray (vless, ss, vmess, trojan) : https://github.com/VZiChoushaDui/Libertea
Пример установки на ubuntu 20.04 https://checkvpn.net/wiki/Libertea_для_обфускации_трафика_-_vless-trojan_-_установка_на_Ubuntu_20.04
- Hiddify GUI based on X-ray: https://github.com/hiddify/hiddify-config
Пример установки https://checkvpn.net/wiki/Hiddify-Manager_для_обфускации_трафика_-_установка_на_Ubuntu_20.04
- Hysteria: https://hysteria.network/
 https://github.com/apernet/hysteria
- VPN using CDN + VMESS/Vless + FakeWebsite: https://github.com/pouyaSamie/FreeInternet
- 3proxy server https://checkvpn.net/wiki/3proxy_-_установка_через_скрипт_3proxyinstall.sh_на_Ubuntu/Debian
- dumbproxy - https proxy server: https://habr.com/ru/articles/687512/
- https://github.com/infinet/xt_wgobfs - Решение только под Linux - Iptables WireGuard obfuscation extension
Tested working on Alpine linux kernel 5.15, CentOS 7, Debian 10/11/12 and openSUSE 15.5.
- AmneziaWG - форк протокола wireguard  https://t.me/amnezia_vpn/111839
 *перед установкой соединения отправляет мусорные пакеты с рандомными данными
 *сам пакет установки соединения тоже содержит некоторое кол-во мусорных байтов
 *заголовки пакетов изменены.
Гайд по установке https://checkvpn.net/wiki/Amnezia_-_новый_метод_обхода_блокировок_через_протокол_AmneziaWG_-_2023
- ipsec/ikev2: https://checkvpn.net/wiki/Установка_IPsec_и_IKEv2_VPN_сервера_на_все_ОС_-_vpn.sh
- squid прокси сервер: https://checkvpn.net/wiki/Squid/wireguard_-_установка_прокси_сервера_и_wireguard_с_веб-админками_squid-easy_и_wg-easy_на_Ubuntu_20.04_-_docker
- naiveproxy   https://github.com/klzgrad/naiveproxy
- https://github.com/hrostami/aio-proxy - скрипт автоматизирует настройку TUIC, hysteria и других инструментов, связанных с прокси, в Linux.
- Trojan/Trojan-Go (Trojan (в отличии от VLESS-XTLS) легко детектируется: https://github.com/XTLS/Trojan-killer)
- OpenConnect: https://habr.com/ru/articles/776256/ - недетектируемый VPN
  Пример установки на Ubuntu 20.04: https://checkvpn.net/wiki/OpenConnect_-_установка_на_Ubuntu_20.04_-_docker
ocserv + web-ui: https://github.com/mmtaee/ocserv-users-management/
Как блокируют трафик в Китае через их фаервол:
How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic
https://gfw.report/publications/usenixsecurity23/en/

Действия провайдера:

- запалив vpn трафик - вносят IP VPN в черный список на сетевых роутерах.
Решение - не разворачивать vpn без обфускации иначе придется сразу менять IP.



Некоторые заметки с просторов сети:

это когда сетевое оборудование видит в вашем траффике знакомые последовательности(блоки) которые позволяют по короткому куску точно сказать что за приложение его шлет, так же как в антивирусах есть вирусные сигнатуры. ну вот и точечно, только для вас на мин 5 вырубается доставка возвратных пакетов, еще раз пропробуете - на 10-20-40 итд минут, пока либо вы не позвоните в тп с вопросом а акакого? либо не перестанете юзать не "одобренное"
01 авг 2023, 21:44:03
Добрый! Стал разбираться с блокировками протоколов wireguard через российских провайдеров, выяснил, что идентифицируют wireguard по его handshake. Настроил здесь Dante proxy, клиент на Windows - WireSock c UI, и снова все работает. Если нужно, составлю инструкцию.
Предварительные исследования показали, что по всей видимости DPI нацелен на WireGuard Handshake Initiate пакеты, которые имеют фиксированный размер (148 байт) и узнаваемую структуру (первые четыре байта UDP пакета [0x01, 0x00, 0x00, 0x00]).
Таким образом, кажется, что для блокировки WireGuard DPI достаточно отслеживать UDP пакеты размером в 148 байт и проверять в них первые четыре байта на соответствие сигнатуре [0x01, 0x00, 0x00, 0x00]. Однако, стоит упомянуть, что корпоративные реализации WireGuard могут использовать зарезервированные три байта (поле Reserved) для собственных нужд (например, в Jamf Private Access они используются как идентификатор сессии). К тому же не исключено, что рано или поздно им найдется применение и в официальном клиенте. Так что для большей точности имеет смысл ограничиться только первым байтом UDP пакета. С другой стороны блокировка всех UDP пакетов размером в 148 байт с первым байтом 0x01 выглядит довольно рискованно. То же самое можно сказать и о Handshake Response пакете, который так же имеет фиксированный размер (92 байта) и схожую сигнатуру с тремя зарезервированными байтами [0x02, 0x00, 0x00, 0x00].
В России еще и IKEv2 блокируют..
У меня работает пока стабильно.
https://www.wiresock.net/
https://github.com/wiresock/WireSockUI
https://avleonov.com/2019/09/23/dante-socks5-server-with-authentication/ для centos7
То есть весь смысл, перенаправить хендшейки через прокси на том же сервер, где и сервер wireguard.
https://habr.com/ru/articles/649629/
shapeshift dispatcher.
Он представляет собой написанный на go скрипт, универсальный для клиента и сервера. На сервере он перенаправляет получаемый обфусцируемый трафик, деобфусцирует его, и уже "чистый" трафик перенаправляет по указанному адресу.
Настроил ShadowSocks+Cloak на Андроиде, все работает, но некоторые шаги инструкции из закрепа оказались для меня не совсем очевидными,  пришлось помучиться. Возможно, не очень продвинутым  юзерам (типа меня) будет полезен более детальный гайданс: 
1. Устанавливаем на Андроид официальный клиент ShadowSocks от "Max Lv" из гуглплей
2. Устанавливаем на Андроид плагин Clock отсюда - https://github.com/cbeuw/Cloak-android/releases/download/v2.5.4/ck-client-2.5.4.apk
3. Придется разрешить установку APK из неизвестных источников, чтобы его установить.
4. Открываем на Виндоус Amnezia - Выбираем протокол OpenVpn over Clock - Share connection for Shadowsocks
5. Открываем на мобильном клиент ShadowSocks - Добавить профиль - Сканировать QR-код с клиента Виндоус
7. Открываем на мобильном клиент ShadowSocks - Заходим в созданный профиль - Меняем Удаленный порт на 443
6. Открываем на Виндоус Amnezia - Выбираем протокол OpenVpn over Clock - Share connection for Cloak
7. Открываем на мобильном клиент ShadowSocks - Заходим в созданный профиль - Выбираем плагин Cloack - Настроить - Копипастим туда параметры:  UID, Public Key и Server Name из Amnezia на Виндоус


https://habr.com/ru/amp/publications/709108/
Если подробнее, то ситуация следующая. Я бы разбил VPN протоколы на несколько групп:
Первая группа – самые уязвимые к блокировкам – это протоколы Wireguard, OpenVPN в режиме UDP, а также IKEv2, и всякие старые протоколы типа L2TP. Такие протоколы блокируются по простым сигнатурам, или вообще номеру порта.
Вторая группа – протоколы, которые более сложно заблокировать. Они работают на основе протокола TLS (на котором и работает web), и казалось бы, должны хорошо противостоять блокировкам. Но на деле, оказывается что они всё-таки имеют сигнатуры, по которым их можно различать, и поэтому тоже блокируются. Это OpenVPN в режиме TCP, а также обычный socks proxy.
Третья группа – это протоколы или связки протоколов, которые хорошо маскируются под web трафик, вследствие чего их сложно затедектировать, и заблокировать. Это OpenConnect/AnyConnect, OpenVPN с патчем XOR, а так же я бы включил в эту группу протокол ShadowSocks и тунель через SoftEther. Основной отличительной особенностью этой группы я бы назвал то, что эти протоколы сложно отличить от обычного web трафика, но всё ещё можно. К примеру, существует такой возможный способ блокировки - путём анализа энтропии заголовков. ShadowSocks полностью рандомизирует передаваемые заголовки, от чего он становится не похожим на настоящий web трафик. Или ещё более хитрая проверка - если VPN протокол маскируется под web трафик, то система анализа сама пытается открыть тот же самый веб адрес, который указан в заголовке пакета - так работает Великий Китайский Фаервол.
И четвертая группа – это протоколы или связки протоколов, которые крайне сложно или абсолютно невозможно отличить от настоящего web трафика. Сюда можно отнести специальные плагины для маскировки VPN, которые разрабатываются специально для этой цели мимикрии под web трафик, в частности такие плагины как v2ray, vless, wstunnel, cloak и другие.
Так вот, эти плагины начали появляться в большом количестве по одной причине – потому что в какой-то момент придумали, что задачу маскировки можно вынести в отдельный модуль, в плагин. И появился даже целый стандарт - называется Pluggable Transport. Изначально его сделали для TOR ещё в 2012 году, а позже добавили поддержку Pluggable Transport и в клиент ShadowSocks. А ещё позже, буквально пару лет назад появилась неофициальная поддержка Pluggable Transport для OpenVPN.
Туркменистан:
Сейчас сам пользуюсь Тор через мост obfs4  но мост  только работает по WI-FI . Может кто подскажет сторонние сервисы чтобы не только по WI-FI.
https://habr.com/ru/amp/publications/727868/
07.08.2023
В России массовая блокировка VPN протоколов OpenVPN и WireGuard по протоколу. 
☝️ Не знаю, что сказать. Таков путь.
UPDATE: С мест сообщают фильтруются все каналы "вовне" с мобильных. Режутся и L2TP и PPTP
Кстати, для мобильных устройств есть хорошая, и рабочая штука как "Orbot". Он на основе тора работает, те же мосты для подключения туда вводишь. Но фишка его, что он работает как впн. Причём, можно настроить для конкретных приложений. Вот он как работал, так и работает, кстати
Нет. Сейчас и тор у меня летает. Как и его впн. Там важно мост не встроенный подключать, потому и тормозит — его в России официально заблочили. А вот естли мост у официального бота в телеграм запросить, то всё летает, уверяю
Вобщем, если андроид, то в плэймаркете ищите приложение "Orbot". Ставите, в настройках рабочий мост от тор вводите и ставите галочку "использовать как впн"
https://t.me/GetBridgesBot
https://habr.com/ru/articles/735536/ - 3X-UI: Shadowsocks-2022 & XRay (XTLS) сервер с простой настройкой и приятным интерфейсом
https://habr.com/ru/news/753424/ - Спустя двое суток в РФ частично прекратился массовый сбой в работе VPN-протоколов OpenVPN и WireGuard - 8 августа 2023 года
https://github.com/ValdikSS/GoodbyeDPI - GoodbyeDPI — утилита обхода Deep Packet Inspection
https://torscan-ru.ntc.party/
https://github.com/ValdikSS/tor-relay-scanner
Ранее здесь размещался сканер доступных релеев Tor, который более не работает в браузере: изменился метод блокировки, препятствующий тестированию работоспособности релеев браузером. Продолжает работать отдельная программа для той же цели: Tor Relay Scanner.
На этой странице теперь публикуются релеи, работающие в России через всех провайдеров (в т.ч. с системой ТСПУ).
https://www.reddit.com/r/AmneziaVPN/comments/15mgc11/blocking_of_openvpn_and_wireguard_in_russia/
6 августа начались проблемы с протоколами r/OpenVPN и r/WireGuard VPN в r/russia . Блокировка разных протоколов VPN происходит так:
L2TP (UDP 1701, без IPsec): пакеты управляющих сообщений L2TP (самые первые пакеты сеанса) не доходят до сервера через порт 1701
IPsec (UDP 500/4500): пакеты UDP блокируются после нескольких переданных пакетов во время установления сеанса.
PPTP (TCP 1723): TCP-соединение разрывается после того, как сервер отправляет ответ Start-Control-Connection-Reply на первый пакет в сеансе Start-Control-Connection-Request, не достигает установления туннеля GRE.
OpenVPN UDP: пакеты UDP блокируются после нескольких переданных пакетов DATA после настройки сеанса
OpenVPN TCP: TCP-соединение прерывается после передачи нескольких пакетов DATA после настройки сеанса.
WireGuard: пакеты UDP блокируются после получения 5 пакетов транспортных данных с сервера.
Протокол WireGuard блокируется очень легко. OpenVPN немного сложней, но в целом оба варианта поддаются блокировке без особого труда. На сегодняшний лидеры блокировок VPN это Россия, Китай, Узбекистан, Иран, Египет и Туркменистан. Последний выделяется особо: они просто заблокировали всё и ввели вайтлисты — тут мы пока проиграли, за остальные рынки можно побороться. Но и к вопросу Туркменистана мы ещё вернёмся.
Для успешного старта мы решили взять как можно больше доступных и проверенных протоколов (Shadowsocks, VLESS, VMess и Trojan). 
Следующий рубеж, который мы себе поставили — это открыть интернет пользователям из Туркмении. Туркменистан — это endgame в плане интернет-цензуры, в стране по сути действуют вайтлисты. Это ситуация тяжелее, чем в Китае, чем в России, чем в арабских странах — чем везде на планете, за исключением КНДР, где вместо интернета действует интранет. 
Какое-то время у нас в Туркмении рабтали stealth proxies, но потом довольно малоизвестный провайдер попал в бан со всей своей ASN — и сейчас мы ищем способы возобновить работу и помочь людям обходить блокировки. Всё, что можем сказать — что способы будут нестандартные, out of the box, мы будем выходить за наши границы. И также мы будем работать и бороться с цензурой в РФ.
WireSock c UI - опции  для проксирования handshake wireguard
WireGuard handshake over SOCKS5 proxy parameters:
Socks5Proxy – specifies SOCKS5 proxy endpoint Socks5Proxy = X.X.X.X:1080
Socks5ProxyUsername – specifies SOCKS5 username (optional)
Socks5ProxyPassword – specifies SOCKS5 password (optional)

Про отслеживание OUTLINE за пользователями:

Outline собирает ip серверов — всегда.
Outline может собирать логи — если вы настроите. https://support.getoutline.org/s/article/Data-collection
Outline имеет только один протокол на борту.
https://habr.com/ru/companies/amnezia/articles/531720/
кто про роутер с впн интересовался. завернул wg в ss по этой инструкции на кинетике, все работает https://habr.com/ru/articles/754926/
Как завернуть трафик Wireguard через shadowsocks на роутере


Открою инсайд жителям РФ. SSH-Proxy через CDN будет довольно долго жить
Как блочат shadowsocks:
Для провайдера вы обычный HTTPS трафик, с помощью DPI он может узнать, что на сервере стоит Shadowsocks
Так как SS подвержен Active Probing
Cloak помогает ему защитится от Active Probing, ну и некоторые другие аспекты поднять
Сложно - решается просто. Ставите marzban на сервер и настраиваете все в гуе. Сам использую marzban (серверный гуй для настройки v2ray) + sagernet (андроид гуй) / v2rayA (linux гуй) через vmess tcp.
shadowsocks - outline:
ss не попал в бан потому что используется в бизнесе и экономической сфере
Тесты блокировок направлены на то, чтобы исключить фактор отваливания банков и всего остального, чтобы блокировался только VPN у народа
WG + OpenVPN, условно, 90%, а носков 3%, остальные 7% еще на каких-то протоколах
тем не менее, они его блокировали по websoket, со всем остальным
а чистый и по https нет
про outline:
25 октября 2022 года разработчики Outline внедрили гибко настраиваемое решение для своего клиента [56].
https://github.com/Jigsaw-Code/outline-client/pull/1454
В январе 2023 года разработчики Outline сообщили, что количество серверов Outline (которые включили анонимные метрики) удвоилось с тех пор, как они приняли описанное выше средство защиты
Кстати блокировка WG все еще обходится простым добавлением мусора перед хенд шейком, может стоит в клиент добавить эту фичу?
Не на всех провайдерах, но работает, да
Касательно фич для WG - ждите анонсов и новостей ;)
https://github.com/bol-van/zapret
Подробнее про DPI :
https://habr.com/ru/post/335436
https://geneva.cs.umd.edu/papers/geneva_ccs19.pdf
https://github.com/database64128/swgp-go
Simple WireGuard proxy with minimal overhead for WireGuard traffic.
Для увеличения скорости можно немного настроить сервер дополнительно (если умеете) и тогда скорость может вырасти:
https://habr.com/ru/articles/731608/comments/#comment_25497378
Для увеличения производительности можно настроить на сервере Bottleneck Bandwidth и Round-trip propagation time (BBR) congestion control algorithm:
echo "net.core.default_qdisc=fq" >> /etc/sysctl.confecho "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.confsysctl -p
как насчет более глубокого тюнинга?
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.netdev_max_backlog = 10000
net.core.somaxconn = 4096
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_keepalive_probes = 5
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_mem = 25600 51200 102400
net.ipv4.udp_mem = 25600 51200 102400
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_slow_start_after_idle=0
https://shadowsocks.org/doc/advanced.html
Advanced configurations
https://romantelychko.com/blog/1300/
Hysteria/naïve/tuic/pingtunnel/vtun на своём сервере
Проксируем OpenVPN через Shadowsocks или чиним OpenVPN во время блокировок - OpenWRT
https://habr.com/ru/articles/760066/
Если вы живете в стране, где ничего не блокируется, то ставьте WG, если бликируют, то ставьте пока OpenVPN over SS, он быстрее по скорости, чем Cloak
VLESS с Reality на Xray сервере не режет скорость. В этом его преимущество перед Cloak от Amnezia.
Скорость падает по многим причинам - могут резать скорость по заголовку, указанному в настройках Cloak, может локация не лучшая для Cloak или мощности сервера не хватает, но вообще низкая скорость именно OpenVPN + Cloak, это стандартная история
"Китайские комбайны вроде v2ray, xray, sing-box сотоварищи это, конечно, здорово в плане инновационных протоколов и широких возможностей в инкапсуляции трафика и функциональности по маршрутизации, но коммерческую VPN-инфраструктуру на них не построишь, они рассчитаны на домашнее использование, максимум на любительский сервис для пары десятков друзей. И это не столько из-за отсутствия унифицированных кросс-платформенных утилит с графическим интерфейсом, скудной документации, кучи протоколов со своими нюансами и недостатками, а из-за отсутствия понятия сессии, нормальной аутентификации, и непосредственно самого VPN — все эти программы являются либо туннелями с socks/http-прокси фронт/бэкендом (shadowsocks, v2ray), либо вовсе туннелируют один порт (cloak).
Они не туннелируют протоколы, отличные от TCP и UDP (и то не все), не позволяют принимать входящие соединения, часто нарушают работу VoIP/WebRTC/NAT Punching (т.к. не сохраняют порт UDP), требуют настройки каждой программы на использование прокси отдельно, либо реализуют userspace IP-стек с псевдо-сетевым интерфейсом, что только увеличивает костыльность решения. Сделаны они так из-за того, что программировать прокси, т.е. работать с потоками данных гораздо проще, чем обрабатывать отдельные пакеты, как того требует VPN."
Всмысле не туннелируют. Vless например поддерживает TCP, KCP, WS, H2, QUIC, gRPC


Масштабная блокировка инструментов обхода цензуры на основе TLS в Китае #129
https://github.com/net4people/bbs/issues/129
Начиная с 3 октября 2022 года (по пекинскому времени) более 100 пользователей сообщили, что по крайней мере один из их серверов обхода цензуры на основе TLS был заблокирован. Сообщается, что заблокированные протоколы обхода на основе TLS включают Trojan , Xray , V2Ray TLS+Websocket , VLESS и gRPC . Однако мы не получили ни одного сообщения о блокировке naiveproxy .
Ниже приведены краткие сведения об этом блокирующем событии и нашей конъюнктуре.
Блокировка осуществляется путем блокировки определенного порта, который прослушивают службы обхода. Когда пользователь меняет заблокированный порт на незаблокированный и продолжает использовать инструменты обхода, все IP-адреса могут быть заблокированы. Стоит отметить, что их доменные имена не добавляются в черные списки DNS или SNI GFW.
Хотя большинство пользователей сообщают, что их порт 443 был заблокирован, некоторые пользователи сообщили, что их порт, отличный от 443 , который прослушивают службы обхода, также был заблокирован. Хотя большинство заблокированных серверов находятся в дата-центрах некоторых популярных провайдеров VPS, по крайней мере один пользователь сообщил о блокировке сервера в жилой сети в Европе.
В некоторых случаях (не во всех случаях) блокировка кажется динамической, поскольку веб-браузер все еще может получить доступ к портам обхода, но инструменты обхода не работают.
Все приведенные выше наблюдения убедительно указывают на то, что GFW действительно может точно идентифицировать и блокировать службы обхода, а не просто блокировать порт 443 или блокировать популярных провайдеров VPS.
Основываясь на информации, собранной выше, мы подозреваем (без эмпирических исследований), что блокировка, возможно, связана с отпечатками TLS этих инструментов обхода. Возможно, разработчики захотят изучить uTLS . Полезными также могут оказаться эта группа для чтения статей , это резюме и этот пост об отпечатках пальцев TLS.
Мы выясним, действительно ли GFW использует отпечатки TLS, отправленные этими клиентами, для идентификации протоколов обхода. В то же время, если у вас заблокирован какой-либо сервер или у вас есть какие-либо доказательства, которые могут подтвердить или опровергнуть нашу гипотезу, мы призываем вас поделиться своими комментариями публично или конфиденциально. Нашу личную контактную информацию можно найти в нижнем колонтитуле отчета GFW .
26.09.2023
теле2, работают:
овпн
овпн овер клоак
ipsec
не работает:
wg
остальные протоколы (которые не относятся к амнезии), тоже функционируют штатно
так что пальму первенства по блокировкам держат пока пчелайн и мегафен
https://habr.com/ru/articles/479146/ - Сравнение производительности инструментов обхода блокировок\VPN
27 сентября 2023
На моем VPS поднят VPN сервер по протоколу IPSec IKEv2. С недавнего времени перестал работать VPN через мобильных операторов России (Мегафон, MTS) На других провайдерах связи работает.
Сегодня во второй половине дня все операторы мобильной связи накрыли Ikev2 точно, наглухо и даже с коннектами на российские IP, даже в датацентр, точно расположенный в России. Причем коннект есть, трафик не идет. В жэти же точки со стационарзной связи все работает отлично. Я знал конечно, что будут 2-ой и 3-ий и 4-ый этапы внедрения, но чтобы тааак быстро... Тепреь очередь за частным стационаром, а последний этап коорпы с разрешением через какое-нить министерство.. пипец... ведь не зря они заплатили китайцам... так быстро так грамотноо капец.
Я в курсе. Но ты не понял главного. Раньше в фильтрации участвовала пара: протокол + IP и все ВПН внутри России с мобильного инета бегали прекрасно, всегда, даже русские AS-ки но находящиеся за рубежом работали. Теперь они убрали IP и оставили только протокол. Те ikev2 не работает сегодня вообще как сущность, не важно куда ты коннектишься с мобильного. Это просто шах и мат.
Еще раз, в последний говорю. ikev2 работал прекрасно со всех мобильных сетей через все росийские серверы, чушь не неси, у мен 100 человек круглосуточно онлайн до сегодня работали прекрасно. Это вообще то уже касается корпоративных дел внутри страны. Сегодня это перекрыли.
вопрос по скорости
взят случайный сервер в испании как конечный пункт тестирования.
чистая скорость от хостера = 200 (d) / 200 (up)
чистая скорость от меня без впн  = 70 / 50
скорость с впн+клок = 16 / 40
16 - слишком печально...  особенно учитывая, что 40 на апе есть...
что-то можно подкрутить?
bbr включить
Включение производится добавлением двух параметров ядра в файл /etc/sysctl.conf
sudo nano /etc/sysctl.conf
Необходимо добавить эти два параметра в самый конец файла.
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
После чего включить добавленные параметры ядра командой:
sysctl -p
к сожалению.. не помогло. .даже стало хуже.. DL=12мбитс
вот только делать это надо на обоих концах, иначе толку будет не особо
ну и работать это будет только на линуксе
на клиенте (линуксе) это тоже надо делать, иначе смысл стремится к нулю
В этом и суть TCP Congestion Control как такового
Для iOS Shadowrocket шикарен и работает как часы. То есть для Mac пока им не удалось такого результата добиться, может поправят. Так как на SR, конечно, можно очень тонко настроить маршруты.
Вопрос@предложение: планируется ли поддержка т.н. тайлов для андроида?
https://developer.android.com/develop/ui/views/quicksettings-tiles
Быстро включать-выключать ВПН, когда пользовался серфшарком, было удобно! Спасибо
Друзья, а почему все смотрим активно в сторону китайских Xray и тд... Но уже очень давно существует и очень круто в данный момент работает даже на блокировках история OpenVPN + XOR обфускация?? Есть сложности конечно в клиенте. Но работает вообще без всяких проблем
Потому что во многих случаях, если заблокируют IP - то никакой XOR не поможет
И сейчас многие инструменты создаются как раз с учетом того, что надо бы и IP как-то защитить
От блока
29.09.2023
Роскомнадзор  заблокировал все  VPN по протоколу WireGuard.  О прекращении работы протокола WireGuard сообщили абоненты МТС, «Билайн», «Мегафон», «Теле2», Yota, Skynet, «Акадо», «Трайтек» и «Эр-Телеком». Кроме того, блокировку ведут и региональные провайдеры. 
Несколько источников подтвердило, что в течение нескольких дней Роскомнадзор мобилизует свою работу на блокировку VPN. 
“Поставлена задача максимально блокировать VPN сервисы к декабрю. После чего блокировке будут подвергнуты отдельные сегменты Youtube и Telegram”. Источник также не исключил блокировку WhatsApp.
socks (и 4, и 5) не использует шифрование и провайдеру через него будет прекрасно видно куда ты там коннектишься
Как заблокировать трекеры и торренты для VPN:
можно реализовать через 3X-UI:
https://github.com/MHSanaei/3x-ui
https://github.com/MasterKia/PersianBlocker
Друзья!
Мы залили бета-релизы AmneziaVPN 4.0.8 в Google PlayMarket и Apple TestFlight!
И в этих релизах мы добавили поддержку нового протокола AmneziaWG!!!
Что такое AmneziaWG? Это наш форк протокола WireGuard, в котором добавлено несколько степеней защиты от детектирования и блокировок.
То есть AmneziaWG такой же быстрый как обычный WireGuard, имеет такое же супер низкое энергопотребление, но его намного сложнее заблокировать.
Если в кратце, то мы использовали следующие техники в AWG:
- перед установкой соединения отправляет мусорные пакеты с рандомными данными
- сам пакет установки соединения тоже содержит некоторое кол-во мусорных байтов
- заголовки пакетов изменены.
А теперь, самая изюминка - всё это настраивается в конфиге! Этот протокол будет ооочень сложно заблокировать, так как у всех будут разные  параметры, разные заголовки пакетов, разное кол-во мусорных пакетов. Мы уже успели немного потестить наш AWG, и есть первые подтверждения, что  он работает даже в Китае! 
Многие в последнее время столкнулись с проблемами подключения к openvpn/wireguard, - это скоре всего связано с попытками ограничить доступ к сети интернет, наша команда исследовала данный вопрос и готовы предложить решения данного вопроса.
Инструкция по решению данной проблемы очень проста!
Как попробовать эти бета версии:
1. На Android - нужно подписаться на бета-версии в PlayMarket и обновиться до 4.0.8 - https://play.google.com/store/apps/details?id=org.amnezia.vpn
2. На iOS - приложение версии 4.0.8 доступно в TestFlight - https://testflight.apple.com/join/cQ1ndT9p
outline для игр:
стандартный shadowsocks клиент работал только в режиме системного прокси и онлайн игры запускались в обход настроек системного прокси и просто их игнорили. Скачал норм клиент nekoray, включил режим TUN, теперь все работает как положено))
Я читал доки и форумы по VLESS на китайском (с переводчиком:) - это тот же cloak только сбоку - и про маскировочный сайт могу сказать следующее:
1) сайт должен быть в той стране где VPS:
—а) во-первых это не вызывает подозрения у DPI: ходите на сайт янекса через голландский IP? непорядок. Ходите типа на голландский новостной сайт? нуок.
—b) во-вторых, нужен такой маскировочный сайт, чтобы пинг до него от vps быть минимальным, в идеале меньше 3мс — это существенно ускоряет первый коннект и убирает фризы.
2) желательно, чтобы маскировочный сайт не имел серверов в вашей стране (РФ), иначе DPI вычислит расхождение (чего это вы ходите на гугл через германский IP если он из российского IP доступен). Нам до такой умной DPI ещё далеко, а китайцы на этом уже палятся. Как убедиться?  Пропинговать маскировочный сайт из дома и из VPS — ip должен быть одинаковым.
Есть ещё лайфхак) Для vless подтверждено, для Cloak надо проверить. 
Если в сервер для Cloak, под который маскируемся вписать telegram.org и подключить у оператора связи безлимит на Телегу (или мессенджеры), то трафик в тот момент, когда VPN активен, не будет тарифицироваться)) Таким не хитрым способом можно получить безлимит)) 
Инфа не 100%, надо проверять. Но с обфускацией для vless это работает))
Проверил - маскировка под телегу превращает  тинькофф-мобайл с безлимитными мессенджерами в полный безлимит. Проверил на vless, на cloak пока нет возможности
Желательно что бы: один ключ - одно устройство. Всегда сможете отозвать ненужных. А так же есть ограничения протокола. Например у WG, один ключ может использоваться только на одном устройстве в реальном времени.
У меня xray + vless с xtls-vision дают 200 мегабит и шифруют не хуже. Дело в том, что мне нужно знакомым настроить впн "чтоб работало и в твиттер пускало". И вроде по началу работало, но 2 мегабита - это нежизнеспособное решения.
Cloak не резал бы так сильно скорость, если бы не использовался в связке с OpenVPN, тут просто так сложилось, что и OpenVPN TCP медленный, так его еще и в Cloak заворачивают, которые еще сильнее режет скорость
В целом, если использовать SS + Cloak, то должно быть приятнее
Если прятаться не надо, то WireGuard с конфигом Warp+ работает и позволяет открывать что угодно, твитеры-фесбуки
Тока warp давно уже по сигнатурке блокают. Хотя умельцы на 4pda регулярно его пересобирают.
Я же сказал: warp+ через конфиг WireGuard.
Кстати статью на хабре читал, когда узнавал про блокировку по сигнатурам хендшейков вайргарда и там парень рассказывал как раз о том, что есть вариант добавлять мусорных пакетов или увеличивать первые блоки, чтобы их не задетектили. И вот он там что-то говорил про меньший размер MTU, чтобы влезть с этим всем. Тогда непонятно было, но теперь чуть яснее о чем речь была.
Добрый день. Подскажите при помощи amnezia можно построить локальную сеть как на WireGuard?
Zerotier. Tailscale.
Привет, я думал в Пекине сильные блокировки(psiphon работал сносно), но сейчас в Шанхае полная шляпа, amnezia, psiphon, lantern, не работают совсем, outline что то еле еле грузит, сообщения в тг отправляются чепез минут 5. Мобильный интернет китайская сим. Причем я заметил, поналачу когда поставил outline или psiphon все летало, но чнрез какое то время убивается в ноль. Ощущение что там стоит уже не dpi а ai, который видит что то, обучается, а потом рубит нахрен... если такое будет в рф это ад...
SS это прокси.
OpenVPN это VPN
OpenVPN, завёрнутый в SS, работает как VPN
Всем привет! Увы не смог побороть низкие скорости через amnezia vpn. В итоге установил VLESSсXTLS-Reality и ни о чем больше не жалею, китайцы данный протокол не научились детектить, а мы и подавно не сможем), спасибо данной группе за помощь, многое подчерпнул для себя в процессе изучения матчасти. Всем удачи!
и кстати провайдеры видят SNI в начале TLS рукопожатия в https
через DOH не видят
ДоХ - одно, проксирование - другое, SNI - третье 
ECH (ex. eSNI) провайдер, да, не видит, но DoH для него рекомендуется не потому что DoH как-то защищает заголовки самого запроса к сайту, а потому что для того чтобы проверить поддержку ECH на сайте браузер делает DNS-запросы, которые без DoH провайдер может подделать
Особенности проксирования через CDN/Websocket/gRPC для обхода блокировок
https://habr.com/ru/articles/761798/
на хабре можно задать, там mircleptr все знает:) под его статейками или в директ:
https://habr.com/ru/users/MiraclePtr/publications/articles/
Ну я сделал vless. Он маскируется под ресурс. Если я на свой впн лезу браузером, он сразу же ругается, что "да чел, я вижу серт, но он же не от твоего dns имени, хоть и валидный." И если соглашаешься, то да, он редиректит на верный сайт меня, на маскировочный. 
Но вот факт того, что бразуер же норм видит, что этот серт не принадлежит этому моему " сайту" (впн) этож ппц по моему, разве DPI это не так же легко определит?
Вот в чем вопрос =)
DPI также на сайт полезет - опа да есть серт, но серт не от этого ресурса а от того, на который редирект по сути дальше идет. 
Это проблема. И ее никак не пофиксить. =(
Работает  не так
Dpi не как браузер будет смотреть. 
Для проверки vless надо в hosts файле указать маскируемый домен и ip твоего сервера. Зайти на маскируемый сайт. Ошибок быть не должно


Господа! Новости из будущего, пока не проснулись.
Со стороны теле2 и некоторых местных проводных провайдеров наблюдается блокировка ip, где раньше были классические ВПН (опенВПН, вг). Блочится именно ip.
На мегафоне, мтс, билайне всё пока работает в штатном режиме. Проблема наблюдается на двух серверах, которые были засвечены на классических протоколах. Vless на незасвеченных работает нормально..
Хз. У меня Ростелеком. Вообще никаких проблем. Даже мой старый древний OpenVPN работает, на котором еще человек 30 болтается
Аутлайн уже по сути можно хоронить как и wg, amnezia wg и vless имеют перспективу хоть какую-то
Класс, на форуме кинетика от этого автора оказалось и более легковесное решение с shadowsocks + simple-obfs описано. А то с КВАСом непонятно с DNS, по мануалу похоже что без отказа от встроенного DoH в кинетике не обойтись
VLESS - это протокол, разработанный авторами XRay (а не наоборот, как вы говорите).
VLESS появился в 2020. А Reality (расширение VLESS и XTLS аналогичное Cloak'у) - в 2023.
А Shadowsocks по сравнению и с Cloak, и с VLESS/XTLS это вообще игрушка.
Ну и у VLESS вариантов использования гораздо больше, например, Cloak вы не пропустите через CDN, а VLESS легко заворачивается в gRPC или websockets.
И да, Project V (V2ray) и Project X (XRay) - это тоже разные проекты. Первый по сути дела загнулся, второй активно развивается.
если VLESS+Reality, то там время отклика может сильно зависить от пинга между вашим сервером и сайтом, под который маскируетесь.
а так, по скорости VLESS без проблем выдает 100-150 мегабит даже на дохлом сервере
Нет, reality не будет работать с CDN by design, потому что CDN'ы сами терминируют и перешифровывают TLS-трафик - вы теряете данные ClientHello, на которых основан сам принцип Reality.
Создаем свой VPN с защищенным от блокировок протоколом AmneziaWG, или WireGuard на максималках
https://habr.com/ru/companies/amnezia/articles/769992/
Мне вот эта реализация интересна, почему-то нигде не нашел её упоминания
https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel
это банальный туннель через вебсокеты. всякие китайские прокси поддерживают такое очень давно и уже не считают надёжным вариантом
VLESS Reality сейчас самый "технологичный" и cloak не плох
На юге РФ блокируют Shadowsocks
https://habr.com/ru/news/770840/
В чем проблема с безопасностью XTLS? Он же простой как топор, там просто нечего сделать "не так" :)
Ну и да, Reality может работать и без XTLS, с этим никаких проблем. Но с XTLS лучше - просто потому что XTLS это на сегодняшний день единственная возможность защита от детектирования TLS-in-TLS.
 какие гарантии, что при ручном анализе трафика нельзя будет определить ресурсы, которые посещал человек под VPN?
какие гарантии, что в один прекрасный момент, XTLS не сбойнет и не снимет шифрование с HTTP трафика или любого другого, что приведет к раскрытию персональных данных
это протокол, который делали китайцы, которые даже не думали над его безопасностью, и это не мои слова.
я общался с ними, и мне ясно дали понять, что их протоколы не стоит использовать, если цель стоит, передать конфиденциальные данные.
это миф, что "VLESS отсутствует шифрование".VLESS практически всегда использует в качестве транспорта TLS, то есть передаваемый трафик зашифрован. если VLESS используется вместе с XTLS-Vision, то когда прокси определяет, что трафик уже зашифрован (коннект к точке назначения через TLSv1.3), то он просто не будет шифровать его повторно ещё раз.
А так, как уже выше написали - обычный Shadowsocks (в том числе 2022) Роскомнадзор при необходимости  грохает вместе со всеми другими "неопознанными" протоколами. Протоколы с маскировкой под HTTPS в этих условиях гораздо надёжнее.
Удалось весьма (от 3 раз, упёрлся в свой домашний канал) ускорить OVPN over Cloak через данную инструкцию:
https://shadowsocks.org/doc/advanced.html#optimize-the-shadowsocks-server-on-linux
Но hybla надо поменять на bbr и добавить net.core.default_qdisc = fq в блок с net.core
Ещё обнаружил, что Amnezia как-то работает не замечая ufw, скорее всего сама порты открывает и слушает, не знаю. На входящие открыт только ssh, но VPN работает нормально. Но с докером Amnezia работает только через root, иначе ошибка. Это я про установку протоколов/контейнеров при настройке сервера с приложения.
Я тоже этот момент  с портами не могу понять. Вроде ufw включён. Вроде разрешены только некоторые порты. Но впн везде проходит
Всем привет.  Разрабы, вы планируете добавлять в приложение поддержку vless протокола? Во время событий в аэропорту Махачкалы, телегу и ВПНы заблокировали в Дагестане и соседних гоородах, ваш ВПН не справлялся с задачей, хотя я настроил его на максимальную цензуру со стороны власти. 
Только vless протокол помог
по микроту моя конфигурация 
/interface bridge
add name=containers
/interface veth
add address=172.17.0.2/24 gateway=172.17.0.1 gateway6="" name=veth1
/interface bridge port
add bridge=containers interface=veth1
/ip address
add address=172.17.0.1/24 interface=containers network=172.17.0.0
/ip firewall nat
add action=masquerade chain=srcnat comment="Outgoing NAT for containers" src-address=172.17.0.0/24
/container mounts
add dst=/etc/wireguard/ name=wg_config src=/wg
/ip firewall nat
add action=dst-nat chain=dstnat comment=amnezia-wg dst-port=51820 protocol=udp to-addresses=172.17.0.2 to-ports=51820
/container/add cmd=/sbin/init hostname=amnezia interface=veth1 logging=yes mounts=wg_config file=microtic-awg-arm7.tar

там еще
awg-arm7:
 cd amnezia-wg; GOOS=linux GOARCH=arm GOARM=7 make; cd ..
на
awg-x86:
 cd amnezia-wg; make; cd ..
поменять надо. Ну и Go поставить
AWG быстрее SS-2022 с 2022-blake3-aes-256-gcm?
Должен быть, да
Всем привет. Кто-нибудь настраивал Split Tunneling по приложениям? Нужно на винде пустить через впн траффик только из одного из браузеров, весь http/https через впн гнать не вариант. Есть идеи как такое провернуть?
подними squid или 3proxy и используй в браузере SwitchyOmega. там можно как полностью пустить через прокси так и нужные сайты чтобы открывались через прокси
Использую Shadowsocks -> Shadowsocks и в ярлыке для хрома дописал --proxy-server=socks5://127.0.0.1:1080. Теперь хром идёт в прокси а остальные браузеры нет
Proxifier
awg: Ну вообще протокол как бы не их, они просто взяли и прикрутили обфускацию хендшейк пакетов в стандартный wireguard.
VLESS поддерживает множество режимов передачи: TCP, gPRC, H2, quic, WebSocket, mKCP. Но так как XTLS, о котором мы поговорим немногим позже, в настоящее время поддерживает только TCP, то для нас,TCP, является единственно рекомендуемым, в настоящее время, режимом передачи
https://rozetked.me/news/31344-v-perechen-blokirovki-vpn-protokolov-roskomnadzora-vpervye-voshel-shadowsocks
В перечень блокировки VPN-протоколов Роскомнадзора впервые вошёл Shadowsocks
Shadowsocks отличается от OpenVPN и WireGuard наличием механизма обфускации: протокол Shadowsocks имитирует обычное подключение по HTTPS к удалённому серверу. Это затрудняет обнаружение и блокировку VPN-сервисов системами глубокой фильтрации трафика, которые в том числе использует Роскомнадзор. На базе ShadowSocks работает, например, инструмент для создания собственного VPN-сервера Outline от Google. 
Блокировка Shadowsocks через анализ трафика будет очень непростой из-за обфускации — высоки риски затронуть другие, вполне легальные сервисы», — источник «Коммерсантъ»
Роскомнадзор будет блокировать протокол Shadowsocks —  его создали в Китае для обхода блокировок
Минтранс направил письма в адрес 381 организации транспортной отрасли от 10 ноября. Согласно им, РКН будет блокировать VPN-сервисы, использующие протокол Shadowsocks.
Чтобы не нарушить работу компаний, использующих VPN, ведомство запрашивает у них информацию об используемом софте и IP-адресах. Из них составят «белый список», разрешенный к работе.
Привет патриархи. Прочитал статью на хабр. Напишу как понял, а вы поправьте. Клиент умен,  и сам ставит на удалённом сервере контейнеры,  реализуются к примеру  OpenVpn сервер и тд. Сам, отправляя команды по ssh в е настраивает в плане сетки,  запускает нужные службы и тд. В итоге на vps поднимается openvpn в контейнере. Далее клиент сам строит туннель с ключами к серверу и на локалхосте заворачивает весь трафик в этот тунель?
ага, в точку
Но он уже показывал себя хорошо и во время блокировок обычного wg – AWG продолжал работать
В любом случае до блокировки VLESS Reality/Cloak ещё далеко
Мегафон Сибирь. Вчера ночью не работал ни оутлайн ни амнезия через любые протоколы. При этом интернет без ВПН был. Походу блокировку тестируют.
Подскажите, а чем вместе с Reality grpc лучше, чем просто tcp? Почему не выбрать что-то еще из транспортных? А то я не особо понимаю
gRPC самый быстрый в плане задержек
WS средние задержки, высокая скорость, менее безопасный
mKCP - быстрый, маленькие задержки, памяти много требует на телефоне
Сам ковыряю панели сейчас. Не очень понял из сообщения выше, что там x-ui вешает сам на 443, если каждое подключение надо руками делать и если 443 порт занят, он не даст на него повесить ещё раз. То есть tcp, WS и gprc на один порт не сделает, нужна  прокладка из nginx. Hiddify создаёт все возможные подключения сам, как я понял на 443 порт, но тут надо проверить. Их можно поднастроить, какие-то отключить. Разные домены вписать для разных случаев. Да, в приложении hiddify можно подпиской или ссылкой всю пачку подключений сразу кинуть, потом выбирать, через что подключаться. Но и в другие приложения можно тоже загрузить, просто не пачкой, быть может. Есть типа личного кабинета пользователя. То есть у юзера один ID и на нём куча вариантов подключения, а не так, что надо в каждом подключении заново юзера делать. В целом, Hiddify наиболее подходит для массового удобного распространения в плане конечного пользователя. Марзбан не смотрел пока.
Ну марзбан минималистичен, но его надо допиливать. В плане GUI так точно. Через 443 nginx по умолчанию не проксирует. Да, прикольно что разные сервера можно подключать дополнительно.

Это надо делать форк и под себя пилить сразу сборку.

Hiddify пока единственный, кто пускает всё только через 443 сразу из-под коробки.
https://roskomsvoboda.org/post/nov-poln-rkn-block-vpn/
https://habr.com/ru/articles/710980/
https://habr.com/ru/articles/727868/
https://habr.com/ru/articles/728696/
https://habr.com/ru/articles/728836/ - Обход блокировок: настройка сервера XRay для Shadowsocks-2022 и VLESS с XTLS-Vision, Websockets и фейковым веб-сайтом
https://habr.com/ru/articles/731608/
https://habr.com/ru/articles/735536/ (пожалуй, самая полезная статья)
https://habr.com/ru/articles/757694/
https://habr.com/ru/articles/761798/ (может пригодиться во вторую очередь)
https://habr.com/ru/articles/770400/
Trojan детектируется изи:
https://github.com/XTLS/Trojan-killer
Китайская статья на тему поднятия сервера на Trojan/Trojan-Go
https://iyideng.fun/black-technology/cgfw/trojan-server-building-and-using-tutorial.html
На сколько я вижу сейчас картина такая:
Shadowsocks - рандомный поток данных (подвержен блокировке)
VLESS - маскируется под HTTPS, имеет проблемы со стабильностью работы, предлагает расширенный функционал в виде XTLS
Trojan - стабильная версия VLESS без излишних функций
Cloak - если надо просто обойти ограничения и плевать на скорость работы
Large scale blocking of TLS-based censorship circumvention tools in China #129
https://github.com/net4people/bbs/issues/129
https://habr.com/ru/articles/778134/ - Domain fronting для чайников, и как его использовать для обхода блокировок
https://github.com/hiddify/Hiddify-Reality-Scanner - This is a TLS scanner that helps you scan across different networks and find the best Reality SNI for you based on a list of SNIs
https://github.com/TheyCallMeSecond/config-examples - Hysteria2, TUIC, Reality, ShadowTLS, WebSocket, gRPC, Naive and Warp installer script + client side config examples
Есть ещё этот прикольный аналог панелями
Но там через ssh настройка, без веб морды
Совершенно не разделяю Вашего оптимизма. Совершенно точно умеют блокировать WG и OpenVPN. По поводу SS из некоторых регионов уже писали, что есть трудности. То что в данный момент "всё работает" совершенно не говорит о том, что все будет работать в дальнейшем. То что сейчас развязали руки — значит просто что-то еще допиливают.
SS блокировать не умеют. Или "пока не умеют". Но это не говорит о том что не научатся. Удаление приложений опять же довольно эффективный шаг. Как минимум для яблок, которых просто дохренища...
В общем, причины для опасений явно есть
Я по этому вопросу не парюсь пользуюсь то что есть из самых продвинутых которые точно будут работать типо vless + xtls reality.
Самый разумный подход. Решать проблемы по мере поступления. Прикрутите домен через CF, делайте бэкапы и поставьте свечку. Дай бог, если банхаммер догонит — сможете бесшовно перетащить клиентов)
Xray - мощная штука, позволяет делать куда больше чем базовый прокси (Или vpn)
Для примера:
У тебя есть 3 сервера - россия, нидерланды, турция.
Ты хочешь чтобы госуслуги открывались с российского айпи, инстаграм - с нидерландского, а xbox - с турецкого.
С помощью xray ты можешь настроить сервер, который будет перенаправлять определенный траффик в любое указанное тобой место (например другой xray сервер, сервер outline или wireguard).
Так же важно понимать что это не клиенты для 3x-ui, это просто "клиенты широкого спектра"
3x-ui не является протоколом, это графическая оболочка для xray, который позволяет создавать прокси разного уровня сложности и хитрости, в том числе так любимый тут vless + tls + reality
С помощью xray так же можно создавать shadowsocks прокси, такие же как outline.
Но сам по себе xray сложен для понимания и конфигурируется json файлами. Чтобы это упростить, добрые люди написали 3x-ui, x-ui и еще один с невыговариваемым названием. В этих интерфейсах можно настраивать xray просто заполняя формы, не разбираясь в его нутрянках
https://github.com/torikki-tou/team418 - Установка контейнера 3X-UI + Traefik + Telegram Bot в docker
https://cscot.pages.dev/2023/03/02/Xray-REALITY-tutorial/ - Xray REALITY tutorial
https://www.moscowtimes.ru/2024/01/24/roskomnadzor-otrabotal-blokirovku-telegram-i-whatsapp-v-rossii-vtoroi-raz-za-mesyats-a119293
Роскомнадзор отработал блокировку Telegram и WhatsApp в России второй раз за неделю
https://github.com/trailofbits/algo - Algo VPN is a set of Ansible scripts that simplify the setup of a personal WireGuard and IPsec VPN
https://github.com/NOXCIS/Wiregate - GitHub — NOXCIS/Wiregate: «WireGate: безопасное развертывание в интрасети с помощью WireGuard, Docker и расширенных средств управления сетью»
Что такое WireGate?
WireGate — это полностью автоматизированное развертывание интрасети на основе Docker , которое позволяет пользователям размещать другие веб-приложения на существующем сервере и иметь возможность безопасно подключаться к указанным веб-приложениям, не подвергая их воздействию открытого Интернета. Это достигается за счет использования протокола WireGuard в сочетании с Docker Networks and Containers . Следовательно, приложения размещаются в частной сети WireGate need not expose any portsи доступны только через соединение WireGuard , уже зарегистрированное в существующем интерфейсе сервера на развернутом экземпляре WireGate. 
Защищенные по дизайну, панель управления WireGuard и другие службы доступны только при первом развертывании через основную конфигурацию , которая создается при установке, а encrypted after being outputted to the console.Wiregate также действует как обход журнала DNS-запросов интернет-провайдера. По умолчанию Wiregate настроен на минимальное ведение журналов
Червоточина радует очень что инет можно почистить от рекламы
93 % на уровне dns
Это же легко,мы в ТКМ так обходим цензуру)Просто арендуйте любой дешёвый сервак и дальше есть такой скрипт менеджер Drаgon,подключаете его к серверу-оттуда будете брать пароли,юзер,айпи сервака и находите прокси и пайлоад,вставляете в любой клиент,который поддерживает ssh протокол и вуаля)))
https://github.com/januda-ui/DRAGON-VPS-MANAGER
https://habr.com/ru/articles/791724/ - Как стать VPN провайдером за один вечер
Рассказываю о своём опыте использования Xray (с протоколом VLESS-Reality) - одного из лучших решений для преодоления интернет-цензуры на сегодняшний день. Я потратил много времени на то, чтобы разобраться с ним - теперь вам достаточно одного вечера, чтобы поднять свой сервер на несколько десятков пользователей, c xray на борту!
https://github.com/AAAAAEXQOSyIpN2JZ0ehUQ/ADM-ULTIMATE-NEW-FREE  -  ADM-Manager Ultimate (Final Version New-Ultimate)
Это скрипт с набором функций и инструментов, обеспечивающих максимальную простоту использования на серверах Linux с упором на использование VPN. Он имеет приятный интерфейс, предоставляющий подробную информацию о машине и пользователях.
https://github.com/go-gost/gost/blob/master/README_en.md - A simple security tunnel written in golang
https://gost.run/en/
Хиддифай проще для тёть) Одна большая кнопка "Сделать хорошо". Настройки, безусловно у Nekoray кораздо более гибкие. И в TUN режим умеет стабильно
Хиддифай — идеальный вариант для клиентов, которые не шарят. Сказал, где выставить ру-регион, 2 раза в экран ткнул для добавления конфига — всё. Жаль, что на яблоки пока не релизнулся
https://habr.com/ru/articles/777656/ - GOST: швейцарский нож для туннелирования и обхода блокировок
Go Simple Tunnel
Ну нормально так:
Поддерживаемые транспорты:-
tcp - просто TCP
tls - TLS
mtls - мультиплексированный TLS (несколько потоков в рамках одного TLS-коннекта) (2.5+)
ws - Websocket
mws - мультиплексированный Websocket (по аналогии с mtls) (2.5+)
wss - Websocket с TLS-шифрованием
mwss - мультиплексированный Websocket с TLS-шифрованием :) (2.5+)
kcp - протокол KCP, о котором я рассказывал в одной из статей (2.3+)
quic - QUIC (2.4+)
ssh - SSH (2.4+)
h2 - HTTP2 (2.4+)
h2c - HTTP2 без шифрования (2.4+)
obfs4 - OBFS4, используемый, например, Tor-бриджами (2.4+)
ohttp - HTTP Obfuscation (2.7+)
otls - TLS Obfuscation (2.11+)
То есть может косить под HTTPS
https://habr.com/ru/articles/548110/ - Домашний DPI, или как бороться с провайдером его же методами


И так, в сухом остатке:
SSL VPN:
SSTP, OpenConnect
Плюсы:
• высокая стабильность
• качественные клиентские приложения
Минусы:
• простое детектирование по Client Hello 
• затруднительна маршрутизация по странам
SSH Tunnel
Плюсы:
• не изобретали велосипед
• качество работы
Минусы:
• легко детектируется по объёму трафика
• для работы требуются китайские приложения 
Прокси с маркировкой под сайт:
VLESS, VMess, Trojan
Из этих лично мне нравится Trojan, потому что вероятно, к нему не так серьезно успели приложить руки создатели всяческого рода велосипедов.
Для любителей гей порно XTLS хорошо подойдёт VLESS, главное отдавать себе отчёт, что это полностью бессмысленно в сегодняшних реалиях.
Плюсы:
• Хорошая маскировка подключения
Минусы:
• Может вызывать всяческого рода проблемы и не всегда является самым качественным вариантом
QUIC:
Hysteria
Плюсы:
• Подходит, когда хочется ускорить подключение, но при этом придерживаться концепции фейкового веб-сайта.
Минусы:
• Тоже, что и в предыдущем, но при этом может быть как больше, так и меньше подвержен блокировкам. Все зависит от ситуации.
Обфусификация TCP:
obfs4, ShadowSocks…
Плюсы:
• Стоит в истоках обхода DPI
Минусы:
 • Уже на сегодняшний день блокируется в случае государственной необходимости
Обфусификация UDP:
Hysteria, AmneziaWG
Второй ещё очень сырой.
Плюсы:
• Работает аналогично подключению к сайту, но сам трафик выглядит неотличимым со стороны.
Минусы:
• Может использоваться в случае, когда провайдер зачем-то режет скорость на QUIC, или как ещё одна вариация обхода блокировок. Может помочь при массовом блоке фейковых веб сайтов. Заблокировать так же просто, как и обфусицированный TCP.
Плагин для веб сервера:
NaiveProxy
Плюсы:
• Отличить от реального подключения к сайту практически невозможно
Минусы:
• Может работать немного медленнее, чем аналоги из категории фейковых веб сайтов
Плоды больного воображения:
SSH-CDN
Плюсы:
• Может работать в самых проблемных странах
Минусы:
• Легко блокируется, этого не происходит потому что им никто не пользуется
• Что бы придумать что-то подобное, нужно иметь очень особенный склад ума))
Последнюю категорию нужно будет дополнять самыми невероятными вариациями, чего пока, к счастью, не требуется. В последнем варианте главная задумка состоит в том, что чем больший велосипед вы изобретёте, тем больший шанс, что он заработает :)
Так же прошу обратить внимание, сейчас нет абсолютно никакого смысла от XTLS, это очень сомнительная технология, которая просто не нужна в нашей стране. 
Хотелось бы, чтобы это понимали те люди, которые в будущем (после написания этого поста) будут ставить себе ВПНы. Если у вас все и так работает, я счастлив, но было бы классно, если кроме прочтения строчки в статье с хабра, о том что XRay это лучшее, что придумало человечество, вы, как разумное существо применяли также и свои аналитические способности для принятия решений. Спасибо
NaiveProxy не блокируется 
Trojan может быть теоретически заблокирован, но не в России
Хрен знает когда начнут блокировать обфусицированный UDP. До этого момента может кому-то помочь.
SSH и SSL VPN это классные и сравнительно качественные варианты, которые пока что работают и надеюсь ещё долгое время не перестанут :)
А ещё стоит учитывать, что то, что у вас "не блокируется", легко может быть заблокировано, если вы например поставите правила маршрутизации "все кроме России". 
Поверьте, это палит его гораздо сильнее, чем позволяет скрыть наличие туннеля XTLS)
XTLS плох своим невероятным велосипедом. это стек технологий, которые были разработаны очень ситуативно и нацелены исключительно на Firewall одной страны. 
Рассчитывать на его магические свойства у нас не стоит. Мне главным образом не нравится XRay потому что люди слепо верят в его "недетектируемость".
https://github.com/apernet/OpenGFW - OpenGFW is a flexible, easy-to-use, open source implementation of GFW on Linux that's in many ways more powerful than the real thing. It's cyber sovereignty you can have on a home router.
Правила для shadowrocket из antifilter для создания RULE-SET
https://github.com/itdoginfo/allow-domains/tree/main
То что блочат в РФ:
https://github.com/itdoginfo/allow-domains/blob/main/Russia/inside-clashx.lst
Куда не пускают с иностранным IP:
https://raw.githubusercontent.com/itdoginfo/allow-domains/main/Russia/outside-clashx.lst


под него все есть
https://www.infradead.org/openconnect/download/
тут консольный клиент, важно собирать его без GnuTLS
./configure --without-gnutls
вот документация на сборку
https://www.infradead.org/openconnect/building.html
есть и GUI версия, но её я не смотрел как собирать без GnuTLS
https://gitlab.com/openconnect/openconnect-gui/-/releases
можно ещё использовать проприетарный от Cisco
https://rutracker.org/forum/viewtopic.php?t=3515431
жаль ikev2 сломали, хороший протокол был
OpenConnect хорошо работает и по TCP, если brr включен
у нас начали блокать udp openconnect
и ни одного сообщения о блокировке SSTP не было
ну, не знаю, я знаю что по Client Hello можно блокировать туннель, но почему-то во всех странах он работал очень долгое время, пока не началось полноценное внедрение DPI
и тут речь идёт и про SSTP, и про OpenConnect. их изначально блокировали через Active Probing, и только потом начали класть через Client Hello
с нашими технологиями, которые умеют только хендшейки популярных VPN детектировать, говорить об анализе Client Hello не приходится
но блин, действительно за все время не зафиксировано ни одного случая падения SSTP в России. кроме вас об этом никто не писал
Cisco AnyConnect Secure Mobility Client / Cisco Secure Client
https://rutracker.org/forum/viewtopic.php?t=3515431
Cisco AnyConnect Secure Mobility Client - дальнейшее развитие AnyConnect VPN Client.
Предназначен для создания vpn-подключений к сетевым устройствам cisco используя протоколы SSL, TLS, DTLS. Поддерживает большинство современных платформ и ОС, в том числе мобильных. Позволяет соединяться с сетевыми экранами типа Cisco ASA или устройствами на базе IOS (с некоторыми ограничениями). Для поддержки vpn на устройствах cisco необходима соответствующая лицензия.
https://github.com/DongfeiSay/trojan-go-quickstart
попробуйте вот это, я лично его не настраивал, но в нем явно меньше костылей, чем во влессах и подобном. если интересно что-то ещё более сильное, можно смотреть в сторону NaiveProxy. протестировали сейчас вместе, работает отлично, но на стороне клиента настройка немного сложнее, чем обычно
https://github.com/alireza0/s-ui
An Advanced Web Panel • Built on SagerNet/Sing-Box
Shadowsocks, Trojan, vmess, vless, hysteria, tuic, shadowtls, navie-proxy
Multi-Client/Inbound
Subscription Service (link + info)
похоже появилась новая панель которая всё поддерживается, в том числе navie-proxy
Лучше всего брать старшие модели Keenetic. Под них есть проект Xkeen (обертка для прокси Xray), который умеет все защищённые от цензуры протоколы
https://forum.keenetic.com/topic/16899-xray-%D0%BD%D0%B0-entware-xkeen/
https://github.com/Ultimate-Hosts-Blacklist/Ultimate.Hosts.Blacklist
The Ultimate Hosts Blacklist (UHB) is undoubtedly one of the world's largest curated and unified hosts file to protect your network, computer, device, children, or family against over several hundred thousand malicious actors.
All our information is gathered from multiple sources, tested regularly and merged into one massive file which is updated daily. Our hosts can be used on almost all operating system but we also propose 2 DNS servers that ingest and block the bad actor as good - if not better - than a hosts file.
https://blahdns.com/
Рекомендую днс
Adblock DNS project with HTTP/3, DoH, DoT, DoQ, DNSCryptv2 support
Кому надо пустить весь RU трафик через warp в 3x-ui, вот настройки доменов:
geosite:category-gov-ru,regexp:.*\.ru$,regexp:.*\.su$,regexp:.*\.xn--p1ai$,regexp:.*\.xn--p1acf$,regexp:.*\.xn--p1ag$
Настройка IP: geoip:ru
Создавать в 2 разных правила под geoip и domain
Между доменами запятая без пробелов, иначе не работает
regexp=domain в nekobox = domain_suffix в shadowrocket
То есть фильтр по суффиксам доменов что идут после точки .
 ИМХО, тут достаточно правила geoip:ru. Ну и чисто для подстраховки можно оставить geosite:category-gov-ru. Потому что множество сайтов с доменами .ru, .su и т. п. на деле хостятся не в России.
https://github.com/Jigsaw-Code/outline-sdk - Теперь же в полку возможностей свободного доступа ко всемирной паутине прибавилось, потому что специалисты Jigsaw представили Outline SDK — набор инструментов, библиотек и документаций Outline, предназначенных для сторонних разработчиков софта.
https://github.com/mercurykd/vpnbot
telegram bot to manage servers (inside the bot)
Без гайдов, поставить, привязать домен. Серт в боте делается. Главное чтоб 80, 443, 853 порты на сервере были свободны и айпи был не серый.
Outline VPN. Ключи можно брать отсюда - https://outlinekeys.com/
https://habr.com/ru/articles/785186/ - Личный прокси для чайников: универсальный обход цензуры с помощью VPS, 3X-UI, Reality/CDN и Warp
https://cscot.pages.dev/2023/09/04/obfuscate-wireguard-shadowsocks-v2ray/ - Obfuscate WireGuard with Shadowsocks using V2Ray
https://github.com/SadeghHayeri/GreenTunnel - GreenTunnel bypasses DPI (Deep Packet Inspection) systems found in many ISPs (Internet Service Providers) which block access to certain websites.
https://wg-gen-web-demo.127-0-0-1.fr/
https://github.com/vx3r/wg-gen-web
Генератор конфигов онлайн

Настройка outline vpn на 2 разных IP сервера: https://www.reddit.com/r/outlinevpn/comments/a2bwfy/two_different_ip_addresses_on_host_server_how_to/
https://github.com/kugaevsky/outline-server-arm64 - Port of fancy Jigsaw Outline server with arm64 support.