Россия и закон о VPN 1 марта. Какие VPN заблокировал Роскомнадзор?

Аватар пользователя Spriggan

У кого ещё сегодня повалился офисный VPN? Мне одному показалось, что комментариев с утра меньше и почти нет под иностранными флагами? Те что есть явление временное. Не все провайдеры отрабатывают оперативно. 

Цитата из статьи по ссылке:

Иначе говоря, РКН будет блокировать не сами приложения в App Store и Play Market, которым нет дела до блокировок в России, а именно все популярные протоколы, на которых и работает большая часть VPN приложений. Под запрет попали: WireGuard, OpenVPN, PPTP, L2TP, IPSec/IKEv2. То есть, около 80 из 100% всех известных нам VPN перестанут работать.

 

Авторство: 
Копия чужих материалов

Комментарии

Аватар пользователя Emp_IL
Emp_IL(9 лет 7 месяцев)

Интересно, много женщин лазили в инстаграмм через впн. Они наконец обломились?!

Аватар пользователя Spriggan
Spriggan(4 года 3 месяца)

Многие IT-клиенты обломились. Удаленная поддержка теперь проблема. Только выезд мальчика-программиста на место. И никаких более 24/7.

Аватар пользователя Ярик FantomI
Ярик FantomI(9 лет 3 месяца)

Всё брехня и надувание щёк. Блокируют лишь популярные ВПН сервисы, вместо которых появляется десяток новых и новые пути обхода.smile130.gif

Аватар пользователя Radiohead
Radiohead(9 лет 7 месяцев)

Многие IT-клиенты обломились. Удаленная поддержка теперь проблема. Только выезд мальчика-программиста на место. И никаких более 24/7.

Я вообще не понимаю как это будет работать.

ВПН был придуман задолго до того как его начали использовать для обходы всяких блокировок. И придуман он был вовсе не для этого, а для работы корпоративных сетей.

Когда у вас куча филиалов по стране или городу, и все они обьеденены в общую виртуальную сеть. Посредством ВПН.

Если одномоментно заблокировать протоколы ВПН, эффект будет непредсказуемым) Встанет наверное половина информационной инфраструктуры)

Банки, газпромы, ростехи, тонны приложений (и не только мобильных), удаленный доступ к оборудованию и прочий мониторинг... Эффект будет сногсшибательный)

Вот например у меня, для управления IT-инфраструктурой моей конторы есть доступ к нескольким удаленным офисам посредством ВПН естественно. И если ВПН заглушат - в моей конторе все встанет колом)

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

Сразу видно специалиста.

Без VPN то по удаленке вообще никак не подключиться.

Проброс портов - это ж либо для профессуры от IT, либо для слабаков!smile7.gif

На заметку: VPN - это изначально вообще не про удаленку. 

Блокировка PPTP и прочих L2TP - это создаст некоторые проблемы для объединения удаленных филиалов в одну сеть, но т.к. блокировать явно собираются на пограничных магистральных роутерах(внутри страны это в принципе околонереализуемо), то и проблема будет только с ЗАРУБЕЖНЫМИ ФИЛИАЛАМИ.

Одним словом, технически никакой катастрофы не произойдет, но гемморою админам в определенных ситуациях добавит добротно.

Аватар пользователя Radiohead
Radiohead(9 лет 7 месяцев)

Без VPN то по удаленке вообще никак не подключиться.

Проброс портов - это ж либо для профессуры от IT, либо для слабаков!smile7.gif

Во первых я не фанат светить открытые порты в интернет. Чем их меньше - тем лучше. В настоящий момент у меня в каждом офисе наружу светит всего один порт. Под Wireguard. В перспективе я и их хотел убрать. Удаленные офисы будут сами инициировать соединения с центральным узлом и таким образом на них не останется ни одного открытого порта. А во вторых, у меня не просто удаленный доступ, а относительно сложная структура где разные офисы "взаимодействуют" друг с другом через не очень простую маршрутизацию внутри "единой" виртуальной сети. Можно конечно уйти от впн и начать туннелировать трафик через ssh например... Но это все переделывать и не одна неделя работы.

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

Ну в целом 0 открытых наружу портов - это всегда лучше, чем торчащие на ружу порты(особенно хрестоматийные от ActiveDirectory, поднятом на машине с внешним IP, потому что в облом "два раза вставать" при подключении:) )

Тут не поспоришь, но в целом радикалите.

Ведь никто не мешает вывесить наружу требуемые порты, а дальше всю магию сделать как раз файерволом и ip rule'ами.

Особенно если удаленные точки имеют статически IP.  Тогда вообще делов на денек-два с перерывами на кофе и покурить.

Аватар пользователя Radiohead
Radiohead(9 лет 7 месяцев)

Блокировка PPTP и прочих L2TP - это создаст некоторые проблемы для объединения удаленных филиалов в одну сеть, но т.к. блокировать явно собираются на пограничных магистральных роутерах(внутри страны это в принципе околонереализуемо), то и проблема будет только с ЗАРУБЕЖНЫМИ ФИЛИАЛАМИ.

Откуда вы знаете что блокировать будут на пограничных? Вы в этом уверены? А если и внутри страны начнут?

Кстати. Некоторые провайдеры до сих пор подключают своих клиентов через pptp или l2tp. Вот кому весело будет)

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

Потому что на каждый магистральный вход в страну можно повесить роутер "Товарища Майора", а внутри страны на каждый провод повесить роутеру невозможно.

Если мой VPN скажем между Владивостоком и Екатеринбургом и маршрут траффика проходит только по внутренним линиям, то траффик просто не будет попадать на роутер товарища Майора, и, как следствие, не будет блокироваться.

Только блокировка каждым провайдером, но невозможно контролировать исполнение.

"Роутер товарища Майора" у каждого провайдера - не очень, чтоб реализуемо.

Где-то у местячкового провайдера хватит мощностей Микротика за 50 тысяч, а где-то требуются Циски за 1 000 000+

Более того, это не статичные переменные и со временем картинка меняется. 

Более того, у разных провайдеров в зависимости от настроек есть определенные требования не только к мощности, но и функционалу роутеров.

Всё слишком индивидуально и под единое лекало подогнать не получится.

Аватар пользователя issima
issima(8 лет 10 месяцев)

Не дождетесь . Бесплатным фуфлом не пользуемся. 
Запреты никогда себя не оправдывали. 
Вот как у вас в голове уживаются санкции против нашей страны и их обход- это нормально, а обходить запреты наших санкций - это ай-айяй.

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Намекаете на известную историю Творения системы копирайта?

Аватар пользователя AndV
AndV(4 года 8 месяцев)

Это наркотик. А значит наркоман изыщет способ получить дозу. ))))))))

Аватар пользователя Рогоза
Рогоза(1 год 2 месяца)

Жаль. По опенВПН у меня был удалённый доступ к рабочих документам. Во времена ковида делали и работало.

Аватар пользователя БК 0010
БК 0010(7 лет 1 месяц)

А куда у вас был доступ к рабочим документам? Где VPN-сервер с рабочими документами стоял, в России или за рубежом?

Аватар пользователя Рогоза
Рогоза(1 год 2 месяца)

Из России по России. Сейчас попробовал не коннектит. Попробую дома через мобильный инет.

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

Дело не в блокировках.

Только что:

Сообщите о проблеме админам, пусть разберутся, что у них там поломалосьsmile1.gif

Аватар пользователя Рогоза
Рогоза(1 год 2 месяца)

Обнадёжили. Спасибо!

Аватар пользователя Призрак большого леса

А как теперь писать на АШ посты - если сервис CAPTCA работает только через ВПН?

Может вместо CAPTCA пора поставить на АШ что то родное?

Аватар пользователя sergiy
sergiy(1 год 7 месяцев)

CAPTCHA

Аватар пользователя Призрак большого леса

Ой вей - Вы еше не видели, какие варианты выдает автозамена, когда при одной ошибке переписывает все предложение.

Но факт - что эта CAPTCHA - без VPN на АШ не работает. 

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Берите улучшенный аккаунт, и парьтесь. ))

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Капча на публикацию статей от типа учётной записи не зависит.

Даёшь посконные крестики-нолики!!!

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

А, статья - этодругое. ;)

Аватар пользователя Призрак большого леса

Берите улучшенный аккаунт, и парьтесь. ))

Пардон, за тупость. - Но что это и как его брать?

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

5К и готово. Я на десятилетний юбилей себе подарок сделал в том году.

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Методологически правильнее получить в качестве оценки информативности публикаций.

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Информативность моих публикаций под большим вопросом. С моей-то репутацией. Поэтому не стал дожидаться манны небесной, и тупо купил. :))

Аватар пользователя Realiser
Realiser(1 год 1 месяц)

Ну вообще-то не себе, а алексворду. Но это разумеется ваше дело.  

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Ну да, конечно.
Ведь к новому статусу никаких фич не прилагается…

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Эти деньги идут на поддержку и развитие ресурса. Это не очень дёшево, держать сайт с лямом посещений в сутки. Так что - это слёзы.

Аватар пользователя Medved075
Medved075(6 лет 10 месяцев)

А с чего должен повалиться офисный впн, если он из России в Россию же??

Аватар пользователя Spriggan
Spriggan(4 года 3 месяца)

Потом что он точно также использует буржуинский протокол. Блокированы не сами сервисы, а технологии на которых они работают.

Аватар пользователя flogic
flogic(8 лет 6 месяцев)

Может вы даже сможете подкрепить конкретной ссылкой на пункт правил? А то что-то свалили все в кучу  сервисы, протоколы.....

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Вы не встречались с ситуациями, когда на заборах в правилах написано одно, а реализовано — совсем другое?

Аватар пользователя flogic
flogic(8 лет 6 месяцев)

Нет. Не встречался. Когда оно четко написано, то так и делается. Просто не все могут к сожалению в понимание написанного. 

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

Все правильно говорите, только есть одно нюанс... 

Не подскажите как технически заблокировать весь траффик по тому же OpenVPN протоколу внутри РФ?

Вы же понимаете, что чтоб это сработало надо заблокировать его фактически НА КАЖДОМ РОУТЕРЕ КАЖДОГО ПРОВАЙДЕРА СТРАНЫ.

Другое дело блокировка траффика по протоколу "наружу\внутрь". 

Тут достаточно поставить "правильные роутеры" на магистралях соединяющих страну с остальной частью сети.

Это не так хлопотно и без проблем реализуемо(если ты в погонах и с постановлением суда:) )

Именно так и работает "Великий Китайский Фаервол", и именно так и можно вообще что-то блокировать.

Аватар пользователя dnk_
dnk_(7 лет 4 месяца)

Вы же понимаете, что чтоб это сработало надо заблокировать его фактически НА КАЖДОМ РОУТЕРЕ КАЖДОГО ПРОВАЙДЕРА СТРАНЫ.

И что в этом сложного? Вы полагаете, что правила фаерволла вписываются вручную на каждый роутер? Вписывается в общую таблицу правил и понеслось автораспространение на все устройства фаерволлы.

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

Нет. Так это не работает.

Выполняющее одно и тоже действие правило на роутере Cisco и на роутере Mikrotik - это элементарно разный синтаксис команды. Нет универсальных "чудо букв" подходящих для всех роутеров планетыsmile1.gif

И правила в файервол именно что вручную вписываются на каждый роутер, акромя тех, которые разворачиваются по шаблону в рамках одной крупной компании.

Но как только мы говорим про сотни разных провайдеров, то мы сразу упираемся в: у всех и настроено все по разному и оборудование разное и пароли на доступ к оборудованию свои.

Не говоря уж о: А зачем вам вообще нужен файервол, если вышестоящий провайдер может менять в нем правила на свое усмотрение?:) Да и откуда у него туда доступ?:)

То о чем вы говорите в той или иной степени справедливо для маршрутизации и таблиц маршрутов, но там тоже есть нюансы и в целом маршрутизация - это не про блокировки.

Маршрут содержит информацию как из точки А попасть в точку Б. Он не подразумевает никаких параметром формата: "если траффик такой-то, то туда"

Чисто теоретически можно без файервола правилом маршрутизации весь траффик по определенному признаку загонять в условный "тупичек товарища Майора", но опять же:

По сети автоматически распространяются сами МАРШРУТЫ(ip route), но не ПРАВИЛА МАРШРУТИЗАЦИИ(ip rule)

Короче не получится ничего внутри страны заблокировать без обязаловки для всех провайдеров.

Ну а там по классике:

А кто ее будет проверять? 

А кто будет проверять проверяющих? 

Аватар пользователя dnk_
dnk_(7 лет 4 месяца)

Нет. Так это не работает.

Выполняющее одно и тоже действие правило на роутере Cisco и на роутере Mikrotik - это элементарно разный синтаксис команды. Нет универсальных "чудо букв" подходящих для всех роутеров планетыsmile1.gif

Это тут к чему? У разных компаний могут быть разные роутеры. Так РосКомНадзор и не управляет роутерами. Он спускает требование и каждый провайдер их исполняет.

И правила в файервол именно что вручную вписываются на каждый роутер, акромя тех, которые разворачиваются по шаблону в рамках одной крупной компании.

именно так. В рамках одного крупного провайдера (внутри одного региона так уж точно)  везде стоят одинаковые дивайсы. И правила на них накатываются автоматом из централизованного управляющего центра. Никто с листиком по фаерволлам не бегает.

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

Это тут к чему? У разных компаний могут быть разные роутеры.

А это к вашему же:

Вписывается в общую таблицу правил и понеслось автораспространение на все устройства фаерволлы.

Ничего там никуда не вписывается и не распределяется и не может в принципе вписываться и распространяться по интернет сети всея России.

Так РосКомНадзор и не управляет роутерами. Он спускает требование и каждый провайдер их исполняет.

А вот это уже другой разговор.

Я как раз об этом и написал.

Что если задача - блокировать внутри страны, то только так. Альтернатив нет. Но и говорить о 100% результате в таком формате не приходитсяsmile1.gif

Не говоря уж о том, что если L2TP используется для туннеля не в инстаграмм, а между двумя дата-центрами для обеспечения отказоустойчивости(на обоих концах туннеля русские IP), то с какого перепуга его блокировать то вообще?

Аватар пользователя dnk_
dnk_(7 лет 4 месяца)

Вписывается в общую таблицу правил и понеслось автораспространение на все устройства фаерволлы.

Ничего там никуда не вписывается и не распределяется и не может в принципе вписываться и распространяться по интернет сети всея России.

Как-бы я не предполагал, что кто-то может понять так, что центр управления фаерволлами находится в РосКомНадзоре. Ясен пень эти центры в каждом провайдере свои.

если L2TP используется для туннеля не в инстаграмм, а между двумя дата-центрами для обеспечения отказоустойчивости(на обоих концах туннеля русские IP), то с какого перепуга его блокировать то вообще?

С такого, что блокировку протокола через DPI проще обеспечить  не заморачиваясь конкретными IP. Кстати как прописывать это вот "русские IP" ? IP диапазон для России не сплошной, а куча диапазонов. И не факт, что где-то есть некий официальный лист оных диапазонов.

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

чтобы что-то делать через DPI, обязательное условие то же, что и для фаервола - весь траффик должен проходить через настроенную железку.

Если он идет мимо - привет и хорошего настроения всем блокировкам.

Список диапазонов IP для РФ(как и для любой другой страны) - это очень конкретный и доступный к изучению список.

За распределение и привязку пулов IP к определенной стране исторически отвечает RIPE.

Но это не имеет значение, потому что сложнее запретить что-то в сегменте русских пулов IP, чем разрешить:)

Аватар пользователя Озерный_Д.
Озерный_Д.(9 лет 7 месяцев)

Это сложно

Аватар пользователя Wasya
Wasya(12 лет 10 месяцев)

Потому что на выходе из сети провайдера стоит железо, которое не разбирает куда идет запрос. Свинство высшей степени. Как с блокировкой телеги. А ssl им слабо заблочить?

Аватар пользователя И-23
И-23(9 лет 2 месяца)

А это уже вопрос к перелётному минет.жимениту, сочиняющему архитектуру блокировок и планы реализации.

Аватар пользователя Medved075
Medved075(6 лет 10 месяцев)

У меня стоит оборудование сорм, никаких блокировок оно само не делает, только может смотреть трафик. Если надо чтото заблочить то присылают обновления нам и мы руками на своих маршрутизаторах это блокируем. Вот так оно выглядит в реальности. Про впн протоколы никаких обновлений не было и быть не могло - у нас нет дпи анализаторов чтоб выискивать что там юзер куда передает, и не обязаны быть.

Аватар пользователя ZlojDiadia
ZlojDiadia(4 года 7 месяцев)

у нас нет дпи анализаторов чтоб выискивать что там юзер куда передает, и не обязаны быть.

Никаких специфических анализаторов не требуется. Это в целом штатный функционал любого маломальски взрослого фаервола.

Любая машина на Linux или роутер с поддержкой написания правил в таблицу MANGLE в файерволе(на примере iptables и аналогов) = в цепочку PREROUTING таблицы MANGLE задавай любые условия и фильтруй что хочешь и как хочешь.

Аватар пользователя Alexish
Alexish(10 лет 3 недели)

а именно все популярные протоколы

Помоему гдето тут ошибка. 

Аватар пользователя pewrick
pewrick(12 лет 10 месяцев)

всё работает.

Аватар пользователя дыня
дыня(10 лет 11 месяцев)

Это полный ппц. Но ненадолго

Страницы