VPN для обхода блокировок - это перебор? Достаточно ли забугорной прокси?

[Фанат]

На меня тут снизошло откровение.
Что VPN - это из пушки по воробьям и неудобно, поскольку весь комп перелезает на забугорную сеть, когда тебе надо всего лишь зайти на пару сайтов. Безо всякой онанимности.

Есть только сомнения в эффективности.
Работают и блокировки только по IP или еще и по заголову Host?
Если второе, то для НТТР сайтов теоретически могут заблокировать тоже.
Но HTTPS в любом случае проскочит?

 

[AnrDaemon]

Если прокси через шифрованый туннель, то проблем не будет.
Достаточно VPS'ки без фильтрации, такие даже в России есть.
И, да, для хождения по сайтам VPN излишен.

 

[grigori]

1. VPN создает новый интерфейс, которому совершенно необязательно быть дефолтным.
Необязательно заворачивать в него весь трафик, как это делают некоторые vpn-клиенты.

Если у тебя винда, которая не разрешает тебе ходить по нескольким сетевым интерфейсам одновременно - это немного сложнее, но можно настроить через локальный прокси. Я в Оракле отследил список IP-адресов внутренних сайтов, и прописал им route в туннель, а остальное работало напрямую.
Роутить трафик может девайс размером с карту памяти

 

[grigori]

2. какой критерий достаточности? просто залезть - у нас есть socks5, через нее все работает, могу дать логин-пароль. защиты никакой - трафик легко расшифровывается, но все работает во всех странах - Турция блокирует youtube и wiki, Украина - 4й по трафику в uanet Вконтактик.
Для десктопа есть плагин foxyproxy, в котором настраиваешь правила по регуляркам, что пускать через прокси, а для телефона - Drony

 

[Фанат]

Ну я предложил просто поставить еще один браузер и настроить прокси в нем. То есть у всех вокруг суббота, а в отдельном браузере - четверг.
Но идея с внешним прокси сервером не проканала, пришлось из жувачки лепить на коленке свой внутри офиса, который сам уже ходит по впн.

 

[AnrDaemon]

putty -D 1080

 

[Yoskaldyr]

Если речь о браузере то достаточно любой самой дохлой вдс-ки без блокировки, ssh и 1 дополнения для браузера и не важно винда или что-то еще.
Если речь о других программах, то тут уже могут быть нюансы, т.к. не везде есть встроенная поддержка сокса, а все соксификаторы под винду работают довольно кривовато (под линуксом все проще).

 

[fixxxer]

Есть только сомнения в эффективности.
Работают и блокировки только по IP или еще и по заголову Host?
Если второе, то для НТТР сайтов теоретически могут заблокировать тоже.
Но HTTPS в любом случае проскочит?

В случае HTTPS-прокси - в общем случае, не факт. Надо смотреть, как в браузерах реализована поддержка SNI при использовании HTTPS-прокси. Если в SNI hostname ставится то же самое, что в заголовок Host (а не хост/айпишник самой прокси), то ой.

Проверять мне, конечно, лень.

 

[Yoskaldyr]

1 дополнения для браузера

Дополнение нужно только для удобства работы и более гибкой настройки. А так ssh это самый универсальный вариант с минимальным шансом что залочат

 

[antson]

@Фанат, https://habr.com/post/228305/
вот тут старая статья. Может уже и более глубокий анализ прикрутили.

 

[флоппик]

Но HTTPS в любом случае проскочит?

Беда в том, что пока нет TLS 3 имя хоста до хендшейка прилетает открытым. Тут-то его и блочат. И в смысле, не знаю как у вас в РФ, у нас HTTPS вполне блочат, да.

 

[MiksIr]

Что VPN - это из пушки по воробьям и неудобно, поскольку весь комп перелезает на забугорную сеть, когда тебе надо всего лишь зайти на пару сайтов. Безо всякой онанимности.

Если ты поднимаешь свой VPN, то просто убираешь из него, что бы ну пушил себя как дефолт, а добавляешь нужные IP
В случае openvpn убираешь push "redirect-gateway" и добавляешь push "route x.x.x.x 255.255.255.0"...
Минус - нужно руками IP прописывать для каждого сайта

 

[Yoskaldyr]

с точки зрения скорости ssh туннель с сокс проксей чаще работает быстрее чем опенвпн, плюс найти ssh хост чаще проще чем хост где будет работать опенвн.
Если нужна скорость близкая к полному каналу, то быстрее всего будет Wireguard.
Хотя повторюсь если нужно просто для обхода блокировок, то ssh сокс прокся удобнее в разы.

 

[grigori]

что такое ssh socks прокся? если шифровать трафик между проксями, DNS у вас через проксю пойдет?

зачем для отдельного браузера ставить что угодно, если есть Opera?

я че-то не пойму вас

 

[Yoskaldyr]

что такое ssh socks прокся

это

putty -D 1080

DNS у вас через проксю пойдет

да, но есть нюансы в зависимости от браузера и настроек

зачем для отдельного браузера ставить что угодно, если есть Opera?

Не все же работают в опере.
А расширение нужно только для того чтобы было удобно работать, а так можно глобально в настройках сокс5 проксю указать, но смысл если блокировки обходить надо только для набора сайтов, а не для всех?

 

[grigori]

@Yoskaldyr, я про Оперу написал в ответ Фанату на "поставить еще один браузер и настроить прокси в нем".

что такое putty я почти забыл - во всех OS уже несколько лет есть нативный posix с bash

 

[Yoskaldyr]

что такое putty почти я забыл - во всех OS уже много лет есть нативный posix с bash

ну тогда
ssh -D 1080

 

[Yoskaldyr]

-D [bind_address:]port
Specifies a local “dynamic” application-level port forwarding. This works by allocating a socket to listen to port on the local side, optionally bound to the specified bind_address. Whenever a connection is made to this port, the connection is forwarded over the secure channel, and the application protocol is then used to determine where to connect to from the remote machine. Currently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server. Only root can forward privileged ports. Dynamic port forwardings can also be specified in the configuration file.

 

[grigori]

ну блин ))
-D [bind_address:]port Specifies a local “dynamic” application-level port forwarding.
назвал $%^ пальцем )))
какой же это прокси?

 

[Yoskaldyr]

@grigori, Ну вообще-то это локальный сокс прокси

Currently the SOCKS4 and SOCKS5 protocols are supported