У кого ещё сегодня повалился офисный VPN? Мне одному показалось, что комментариев с утра меньше и почти нет под иностранными флагами? Те что есть явление временное. Не все провайдеры отрабатывают оперативно.
Цитата из статьи по ссылке:
Иначе говоря, РКН будет блокировать не сами приложения в App Store и Play Market, которым нет дела до блокировок в России, а именно все популярные протоколы, на которых и работает большая часть VPN приложений. Под запрет попали: WireGuard, OpenVPN, PPTP, L2TP, IPSec/IKEv2. То есть, около 80 из 100% всех известных нам VPN перестанут работать.
Использованные источники:
Комментарии
Интересно, много женщин лазили в инстаграмм через впн. Они наконец обломились?!
Многие IT-клиенты обломились. Удаленная поддержка теперь проблема. Только выезд мальчика-программиста на место. И никаких более 24/7.
Всё брехня и надувание щёк. Блокируют лишь популярные ВПН сервисы, вместо которых появляется десяток новых и новые пути обхода.
Я вообще не понимаю как это будет работать.
ВПН был придуман задолго до того как его начали использовать для обходы всяких блокировок. И придуман он был вовсе не для этого, а для работы корпоративных сетей.
Когда у вас куча филиалов по стране или городу, и все они обьеденены в общую виртуальную сеть. Посредством ВПН.
Если одномоментно заблокировать протоколы ВПН, эффект будет непредсказуемым) Встанет наверное половина информационной инфраструктуры)
Банки, газпромы, ростехи, тонны приложений (и не только мобильных), удаленный доступ к оборудованию и прочий мониторинг... Эффект будет сногсшибательный)
Вот например у меня, для управления IT-инфраструктурой моей конторы есть доступ к нескольким удаленным офисам посредством ВПН естественно. И если ВПН заглушат - в моей конторе все встанет колом)
Сразу видно специалиста.
Без VPN то по удаленке вообще никак не подключиться.
Проброс портов - это ж либо для профессуры от IT, либо для слабаков!
На заметку: VPN - это изначально вообще не про удаленку.
Блокировка PPTP и прочих L2TP - это создаст некоторые проблемы для объединения удаленных филиалов в одну сеть, но т.к. блокировать явно собираются на пограничных магистральных роутерах(внутри страны это в принципе околонереализуемо), то и проблема будет только с ЗАРУБЕЖНЫМИ ФИЛИАЛАМИ.
Одним словом, технически никакой катастрофы не произойдет, но гемморою админам в определенных ситуациях добавит добротно.
Во первых я не фанат светить открытые порты в интернет. Чем их меньше - тем лучше. В настоящий момент у меня в каждом офисе наружу светит всего один порт. Под Wireguard. В перспективе я и их хотел убрать. Удаленные офисы будут сами инициировать соединения с центральным узлом и таким образом на них не останется ни одного открытого порта. А во вторых, у меня не просто удаленный доступ, а относительно сложная структура где разные офисы "взаимодействуют" друг с другом через не очень простую маршрутизацию внутри "единой" виртуальной сети. Можно конечно уйти от впн и начать туннелировать трафик через ssh например... Но это все переделывать и не одна неделя работы.
Ну в целом 0 открытых наружу портов - это всегда лучше, чем торчащие на ружу порты(особенно хрестоматийные от ActiveDirectory, поднятом на машине с внешним IP, потому что в облом "два раза вставать" при подключении:) )
Тут не поспоришь, но в целом радикалите.
Ведь никто не мешает вывесить наружу требуемые порты, а дальше всю магию сделать как раз файерволом и ip rule'ами.
Особенно если удаленные точки имеют статически IP. Тогда вообще делов на денек-два с перерывами на кофе и покурить.
Откуда вы знаете что блокировать будут на пограничных? Вы в этом уверены? А если и внутри страны начнут?
Кстати. Некоторые провайдеры до сих пор подключают своих клиентов через pptp или l2tp. Вот кому весело будет)
Потому что на каждый магистральный вход в страну можно повесить роутер "Товарища Майора", а внутри страны на каждый провод повесить роутеру невозможно.
Если мой VPN скажем между Владивостоком и Екатеринбургом и маршрут траффика проходит только по внутренним линиям, то траффик просто не будет попадать на роутер товарища Майора, и, как следствие, не будет блокироваться.
Только блокировка каждым провайдером, но невозможно контролировать исполнение.
"Роутер товарища Майора" у каждого провайдера - не очень, чтоб реализуемо.
Где-то у местячкового провайдера хватит мощностей Микротика за 50 тысяч, а где-то требуются Циски за 1 000 000+
Более того, это не статичные переменные и со временем картинка меняется.
Более того, у разных провайдеров в зависимости от настроек есть определенные требования не только к мощности, но и функционалу роутеров.
Всё слишком индивидуально и под единое лекало подогнать не получится.
Не дождетесь . Бесплатным фуфлом не пользуемся.
Запреты никогда себя не оправдывали.
Вот как у вас в голове уживаются санкции против нашей страны и их обход- это нормально, а обходить запреты наших санкций - это ай-айяй.
Намекаете на известную историю Творения системы копирайта?
Это наркотик. А значит наркоман изыщет способ получить дозу. ))))))))
Жаль. По опенВПН у меня был удалённый доступ к рабочих документам. Во времена ковида делали и работало.
А куда у вас был доступ к рабочим документам? Где VPN-сервер с рабочими документами стоял, в России или за рубежом?
Из России по России. Сейчас попробовал не коннектит. Попробую дома через мобильный инет.
Дело не в блокировках.
Только что:
Сообщите о проблеме админам, пусть разберутся, что у них там поломалось
Обнадёжили. Спасибо!
А как теперь писать на АШ посты - если сервис CAPTCA работает только через ВПН?
Может вместо CAPTCA пора поставить на АШ что то родное?
CAPTCHA
Ой вей - Вы еше не видели, какие варианты выдает автозамена, когда при одной ошибке переписывает все предложение.
Но факт - что эта CAPTCHA - без VPN на АШ не работает.
Берите улучшенный аккаунт, и парьтесь. ))
Капча на публикацию статей от типа учётной записи не зависит.
Даёшь посконные крестики-нолики!!!
А, статья - этодругое. ;)
Пардон, за тупость. - Но что это и как его брать?
5К и готово. Я на десятилетний юбилей себе подарок сделал в том году.
Методологически правильнее получить в качестве оценки информативности публикаций.
Информативность моих публикаций под большим вопросом. С моей-то репутацией. Поэтому не стал дожидаться манны небесной, и тупо купил. :))
Ну вообще-то не себе, а алексворду. Но это разумеется ваше дело.
Ну да, конечно.
Ведь к новому статусу никаких фич не прилагается…
Эти деньги идут на поддержку и развитие ресурса. Это не очень дёшево, держать сайт с лямом посещений в сутки. Так что - это слёзы.
А с чего должен повалиться офисный впн, если он из России в Россию же??
Потом что он точно также использует буржуинский протокол. Блокированы не сами сервисы, а технологии на которых они работают.
Может вы даже сможете подкрепить конкретной ссылкой на пункт правил? А то что-то свалили все в кучу сервисы, протоколы.....
Вы не встречались с ситуациями, когда
на заборахв правилах написано одно, а реализовано — совсем другое?Нет. Не встречался. Когда оно четко написано, то так и делается. Просто не все могут к сожалению в понимание написанного.
Все правильно говорите, только есть одно нюанс...
Не подскажите как технически заблокировать весь траффик по тому же OpenVPN протоколу внутри РФ?
Вы же понимаете, что чтоб это сработало надо заблокировать его фактически НА КАЖДОМ РОУТЕРЕ КАЖДОГО ПРОВАЙДЕРА СТРАНЫ.
Другое дело блокировка траффика по протоколу "наружу\внутрь".
Тут достаточно поставить "правильные роутеры" на магистралях соединяющих страну с остальной частью сети.
Это не так хлопотно и без проблем реализуемо(если ты в погонах и с постановлением суда:) )
Именно так и работает "Великий Китайский Фаервол", и именно так и можно вообще что-то блокировать.
И что в этом сложного? Вы полагаете, что правила фаерволла вписываются вручную на каждый роутер? Вписывается в общую таблицу правил и понеслось автораспространение на все устройства фаерволлы.
Нет. Так это не работает.
Выполняющее одно и тоже действие правило на роутере Cisco и на роутере Mikrotik - это элементарно разный синтаксис команды. Нет универсальных "чудо букв" подходящих для всех роутеров планеты
И правила в файервол именно что вручную вписываются на каждый роутер, акромя тех, которые разворачиваются по шаблону в рамках одной крупной компании.
Но как только мы говорим про сотни разных провайдеров, то мы сразу упираемся в: у всех и настроено все по разному и оборудование разное и пароли на доступ к оборудованию свои.
Не говоря уж о: А зачем вам вообще нужен файервол, если вышестоящий провайдер может менять в нем правила на свое усмотрение?:) Да и откуда у него туда доступ?:)
То о чем вы говорите в той или иной степени справедливо для маршрутизации и таблиц маршрутов, но там тоже есть нюансы и в целом маршрутизация - это не про блокировки.
Маршрут содержит информацию как из точки А попасть в точку Б. Он не подразумевает никаких параметром формата: "если траффик такой-то, то туда"
Чисто теоретически можно без файервола правилом маршрутизации весь траффик по определенному признаку загонять в условный "тупичек товарища Майора", но опять же:
По сети автоматически распространяются сами МАРШРУТЫ(ip route), но не ПРАВИЛА МАРШРУТИЗАЦИИ(ip rule)
Короче не получится ничего внутри страны заблокировать без обязаловки для всех провайдеров.
Ну а там по классике:
А кто ее будет проверять?
А кто будет проверять проверяющих?
Это тут к чему? У разных компаний могут быть разные роутеры. Так РосКомНадзор и не управляет роутерами. Он спускает требование и каждый провайдер их исполняет.
именно так. В рамках одного крупного провайдера (внутри одного региона так уж точно) везде стоят одинаковые дивайсы. И правила на них накатываются автоматом из централизованного управляющего центра. Никто с листиком по фаерволлам не бегает.
А это к вашему же:
Ничего там никуда не вписывается и не распределяется и не может в принципе вписываться и распространяться по интернет сети всея России.
А вот это уже другой разговор.
Я как раз об этом и написал.
Что если задача - блокировать внутри страны, то только так. Альтернатив нет. Но и говорить о 100% результате в таком формате не приходится
Не говоря уж о том, что если L2TP используется для туннеля не в инстаграмм, а между двумя дата-центрами для обеспечения отказоустойчивости(на обоих концах туннеля русские IP), то с какого перепуга его блокировать то вообще?
Как-бы я не предполагал, что кто-то может понять так, что центр управления фаерволлами находится в РосКомНадзоре. Ясен пень эти центры в каждом провайдере свои.
С такого, что блокировку протокола через DPI проще обеспечить не заморачиваясь конкретными IP. Кстати как прописывать это вот "русские IP" ? IP диапазон для России не сплошной, а куча диапазонов. И не факт, что где-то есть некий официальный лист оных диапазонов.
чтобы что-то делать через DPI, обязательное условие то же, что и для фаервола - весь траффик должен проходить через настроенную железку.
Если он идет мимо - привет и хорошего настроения всем блокировкам.
Список диапазонов IP для РФ(как и для любой другой страны) - это очень конкретный и доступный к изучению список.
За распределение и привязку пулов IP к определенной стране исторически отвечает RIPE.
Но это не имеет значение, потому что сложнее запретить что-то в сегменте русских пулов IP, чем разрешить:)
Это сложно
Потому что на выходе из сети провайдера стоит железо, которое не разбирает куда идет запрос. Свинство высшей степени. Как с блокировкой телеги. А ssl им слабо заблочить?
А это уже вопрос к перелётному минет.жимениту, сочиняющему архитектуру блокировок и планы реализации.
У меня стоит оборудование сорм, никаких блокировок оно само не делает, только может смотреть трафик. Если надо чтото заблочить то присылают обновления нам и мы руками на своих маршрутизаторах это блокируем. Вот так оно выглядит в реальности. Про впн протоколы никаких обновлений не было и быть не могло - у нас нет дпи анализаторов чтоб выискивать что там юзер куда передает, и не обязаны быть.
Никаких специфических анализаторов не требуется. Это в целом штатный функционал любого маломальски взрослого фаервола.
Любая машина на Linux или роутер с поддержкой написания правил в таблицу MANGLE в файерволе(на примере iptables и аналогов) = в цепочку PREROUTING таблицы MANGLE задавай любые условия и фильтруй что хочешь и как хочешь.
Помоему гдето тут ошибка.
всё работает.
Это полный ппц. Но ненадолго
Страницы