Утащу любопытный текст у https://rsshub.top/telegram/channel/normvpn
___
Мы продолжаем разбирать инцидент последней недели и копать глубже.
Что произошло? В ночных тестах мы наткнулись на странную аномалию: подняли сервер и обманку Reality — то, что должно работать стабильно, оказалось полностью мёртвым. Но стоило переключиться на WebSocket с определёнными настройками — всё внезапно ожило.
Спойлер для тех, кто поднимает свои VPN: не используйте WebSocket. Он «голый» и сам по себе плохое решение проблемы.
Дальше мы полезли в логи тестового сервера — и вывод оказался тревожным: это уже не старые блокировки, когда РКН просто ломал хендшейк. Теперь первые пакеты проходят нормально. Система слушает трафик, анализирует структуру соединения (TLS, XTLS, Reality), и если паттерн кажется подозрительным — соединение рубят сразу.
Теория двух этапов
Судя по поведению блокировок, Роскомнадзор внедрил (или тестирует) двухуровневую систему фильтрации. Это невероятно дорого, поэтому работает выборочно:
Этап первый: “фейсконтроль”
Система смотрит на IP, хост и SNI. Если адрес «чистый», не светился в VPN и не вызывает подозрений — его пропускают без лишних затрат.
Этап второй: глубокая инспекция (DPI + ML)
Если возникают сомнения, трафик отправляют на детальный анализ. И здесь включается Machine Learning — по сути, нейросеть, которая ищет сигнатуры конкретных протоколов.
Почему мы уверены?
Во время тестов мы заметили, что #XTLS перестал работать на современном HTTP/2. Мы сделали даунгрейд — принудительно переключились на HTTP/1.1 — и всё заработало.
Объяснение простое: ML-модель цензора, скорее всего, натренирована на паттерны современного трафика (TLS 1.3, HTTP/2). Она «выучила», как выглядит технологичный интернет, а старые стандарты воспринимает как обычный безопасный веб-сёрфинг.
Именно поэтому сейчас деградирует качество связи вообще везде, а не только у сервисов обхода. VPN просто попадает под раздачу как самый технологичный сегмент.
История повторяется
Помните замедление YouTube, когда параллельно на две недели лёг #shadowsocks? Сейчас происходит то же самое.
YouTube и WhatsApp уже вывели из сложных цепочек DNS и DPI, чтобы просто отключить напрямую. Зачем? Чтобы освободить мощности #ТСПУ и бросить их на нынешнюю волну блокировок.
Что это значит?
#РКН учится. Мы зафиксировали сигнатурный анализ и первое применение нейросетей для атаки на интернет-трафик — чтобы блокировать VPN и Telegram.
Проблема в том, что задевает вообще всех по пути: Apple, обычные сайты, инфраструктуру.
Но у этой системы есть слабое место: Роскомнадзор уже начал частично откатывать фильтрацию. Причина банальна — они не тянут.
Нейросеть, которая в реальном времени анализирует весь HTTP/2-трафик страны, — это невозможно поддерживать долго. Ни по железу, ни по финансам.
___
#ru_vpn
Делайте хорошо. Плохо не делайте.
Easy setup of VLESS-REALITY VPN within Docker on 3X-UI panel
**VLESS-REALITY VPN**
Currently VLESS-REALITY looks to be a future-proof solution for VPN which is hard to detect at least at the moment.
**VLESS**
According to Project X website VLESS is a stateless lightweight transport protocol, which is divided into inbound and outbound parts, and can be used as a bridge between Xray clients and servers.
It is important to note that VLESS itself does not have built-in encryption, so you need to use a reliable layer of encryption, such as TLS or REALITY.
**REALITY**
REALITY implements full TLS using the SNI of a camouflage website. This eliminates the TLS fingerprint of the server, while preserving perfect forward secrecy and preventing certificate chain attacks. It is not only more convenient, it also provides greater security than conventional TLS.
#proxy #VPN #vless #xtls #cloudflare #этаСтрана #РосКомПозор
In my one of my previous posts I covered a process of setting up Wireguard server on Docker. While Wireguard is a great choice for VPN protocol, as it’s known for its reliability, speed and good encryption, they way it handles handshakes is easily detectable and can be blocked by ISP firewalls. Same applies to other well known VPN protocols, such as: OpenVPN, IPsec and L2TP. A number of countries have introduced measures to block VPN protocols which can cause major problems for users who use them to connect office LAN or for whatever other purposes.
Туннели CloudFlare.com: делаем вебсервер дома без публичного IP
#proxy #VPN #vless #xtls #cloudflare #этаСтрана #РосКомПозор
Леонид Каганов 2025_07_04
Ллео разродился запоздавшей инструкцией как сделать веб-сервер без публичного IP-адреса.
Вкратце: предлагается использовать туннель от Cloudflare. Который успешно банится ТСПУ от РосКомПозора в сетях мобильных операторов.
Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет
Эта статья — расширенный туториал того, как установить и настроить свой VPN на VLESS с XTLS-Reality с управлением через GUI интерфейс 3x-UI всего за 10 минут.
https://habr.com/ru/articles/909120/
#vless #xtls #reality #xtlsreality #vpn #vpnсервер #vpnтуннель #vpnclient #vpnсоединения #vpnсервис
Взломай цензуру за 10 минут: искусство мимикрии в эпоху блокировок
Представьте: ваш VPN становится невидимкой для цензоров, маскируясь под обычный трафик Google. Никаких блокировок, никаких подозрений. — В этой статье вы не просто узнаете, как настроить такой «стелс» за 10 минут через удобный 3x-UI интерфейс, но и поймёте, почему VLESS с XTLS-Reality — это золотой стандарт обхода запретов в 2025. метод, который 2 года работает в Иране, теперь доступен вам.Но спешите — белые списки не вечны. Это лишь присказка — сказка внутри
https://habr.com/ru/articles/905286/
#vless #vpn #vpnclient #xtls #xtlsreality #шифрование #шифрование_трафика
[Перевод] Как XTLS Reality обходит whitelist? Анализ исходного кода Reality
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали. С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны. Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core. Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей. Что такое белый список SNI? В чем связь между SNI и TLS? Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения. TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
[Перевод] Как XTLS Reality обходит whitelist? Анализ исходного кода Reality
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали. С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны. Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core. Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей. Что такое белый список SNI? В чем связь между SNI и TLS? Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения. TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
We're working on a complete rewrite of https://github.com/unredacted/freesocks-control-plane into a fully-fledged web application to help anyone with the distribution of Outline & Xray/XTLS access keys.
Here's a sneak peak of the admin UI.
@mullvadnet I don't like it at all, to be honest.
Right now I can setup #OpenWrt using your #XTLS bridges and #OpenVPN. And that's probably most advanced bypass setup.
But for #WireGuard you do not provide something comparable to this in terms of switchover/failover, easy setup, censorship bypass.
I can not use your custom mix of #Shadowsocks and #WireGuard on my OpenWrt router. And Shadowsocks is much worse than #xtlsreality
I will probably switch to a different VPN provider.
Как сделать и настроить собственный VPN
В этой статье я подробно расскажу как оформить сервер и поднять свой VPN на протоколе VLESS с XTLS-Reality, который выделяется на общем плане тем, что трафик шифруется и маскируется под подключение к популярным сайтам (доменам), тем самым станет тёмной лошадкой для ТСПУ.
https://habr.com/ru/articles/852040/
#vpn #vless #обход_блокировок #обход_блокировок_youtube #ркн #xtlsreality #xtls
Из-под белых списков
Who Let The Dogs Out 🐾
Habr
Unredacted
Network is reliable