VPN-альтернатива: как оставаться в онлайне безопасно в 2024 году
Куда все движется?
Блокировки в цифровом пространстве РФ ранее носили точечный характер: доступ ограничивался только к конкретным веб-ресурсам, которые нарушали требования законодательства. Однако на каком-то этапе подход себя исчерпал, и ограничения решили также вводить на уровне доступа к инструментам обхода блокировок.
7 августа 2023 года регуляторы опробовали блокировку самих VPN-инструментов. Россияне не смогли подключиться к своим привычным сервисам, а особенно пострадали корпоративные пользователи двух самых распространенных протоколов – OpenVPN и WG (WireGuard).
В отличие от всех предыдущих блокировок, в августе был применен разбор пакетов данных для анализа содержимого. Это позволило РКН выявить факт использования протоколов VPN. Но, поскольку ни OpenVPN, ни WG (WireGuard), как и большинство прочих популярных VPN-сервисов, не применяют методы обфускации трафика (маскировка содержимого пакетов), выявление и полная блокировка VPN-протоколов со стороны РКН остаются вопросом времени.
Однако существуют и альтернативные протоколы. Разговор будет не о способах обхода блокировок,а именно о типах протоколов, которые могут использоваться для организации безопасного туннеля для бизнеса. Сегодня мы подробнее поговорим о двух из них: Vless и связке VLESS c XTLS-Reality, которые могут стать альтернативой традиционным VPN-инструментам, а также коснемся практических вопросов, связанных с установкой и настройкой решений.
Vless-вектор
Vless – протокол, который обычно используют в составе V2Ray. Он был разработан для улучшения производительности, упрощения конфигурации и уменьшения затрат на обслуживание по сравнению с аналогичными системами, такими как Shadowsocks или VMess.
1. Создание виртуальной машины
Для начала работы необходимо создать виртуальную машину (ВМ), которую можно развернуть как в облаке, так и на физическом сервере. Рекомендуется установить операционную систему Ubuntu 22.04.3 LTS (Jammy Jellyfish) с последними обновлениями, оптимально с двумя ядрами и 4 Гбайт оперативной памяти, хотя технические характеристики зависят от числа пользователей.
На ВМ следует установить Docker, что позволит в дальнейшем легко переносить данные между хостами. Установку Docker можно выполнить через Ansible, используя плейбук и указывая список хостов. Далее рекомендуется установить на ВМ файервол для закрытия ненужных портов и ограничения доступа неавторизованным пользователям, например с помощью ufw-docker.
2. Создание панели управления 3X-UI
Панель 3X-UI позволяет администратору настраивать сервер и управлять доступом пользователей через браузер или Телеграм-бот. Дистрибутив доступен на GitHub (версия 1.7.7). В начале настройки отключается ipv6 для использования только ipv4. Необходимо создать Env-файл для Docker-compose и директорию для хранения данных и настроек.
Панель использует 443-й порт для защищенной связи и маскировки под обычный сайт.
3. Создание Panel Domain
Для этой цели воспользуемся сервисом sslip.io, который позволяет создать домен с указанием произвольного IP-адреса, а также автоматически выпустить SSL-сертификат для данного IP-адреса через Let's Encrypt.
При необходимости Panel Domain можно привязать к адресу уже существующего сайта.
4. Настройка Vless-подключения с использованием Reality
После успешной загрузки панели управления через вкладку «Подключения» выбираем из выпадающего меню один из протоколов соединения: Vless, Vmess, Trojan или Shadowsocks. В нашем примере останавливаем выбор на Vless, указываем 443 port и включаем ползунок Reality. С помощью функции Reality наше подключение будет маскироваться под какой-либо открытый для всех пользователей домен. Затем генерируем пару ключей (приватный и публичный).
Передача пользовательских ключей может осуществляться с помощью отправки соответствующего QR-кода либо ссылки с зашитым ключом.
5. Установка клиента под Windows
Отмечу, что возможных вариантов клиента огромное количество, поэтому каждый пользователь может подобрать его под свои предпочтения. Помимо Windows, Linux и macOS, на GitHub представлены рабочие решения для мобильных платформ Android и iOS.
В нашем примере мы расскажем про не требующий установки клиент, работающий под операционной системой Windows с названием NekoRay. Свежий дистрибутив можно также скачать с репозитория GitHub, он есть как для Windows, так и для Linux.
После распаковки дистрибутива NekoRay через кнопку интерфейса «Программы» добавляем подключение и выбираем сканирование QR-кода либо вставляем ссылку с зашитым ключом. При необходимости в настройках можно указать, под какой браузер мы хотим маскироваться.
Для запуска трафика через сервер нам понадобится выбрать в клиенте NekoRay профиль пользователя и один из режимов: TUN или «Системный прокси». Рекомендую выбрать легкий режим TUN, который работает как аналог VPN: создается виртуальный интерфейс и пропускает трафик через себя. Режим системного прокси требует отдельной настройки портов и выглядит более тяжеловесным.
Подключению к серверу VLESS c XTLS-Reality
Это решение предназначено для защиты методом active probing (активное взаимодействие с подозрительным сервисом для выявления его уникальных характеристик, основываясь на анализе поведения и различных метрик).
XTLS-Reality считается одним из революционных подходов для получения надежного нефильтрованного доступа в глобальный Интернет от создателей XRay (целое семейство протоколов для защиты трафика и безопасной работы в Сети, развиваемое сообществом разработчиков, XTLS – фирменный продукт). Он позволяет достичь высокой степени маскировки и делает практически невозможным детектирование прокси (распознавание факта использования proxy-сервера для обхода блокировок).
Для этого применяется уникальный метод идентификации «свой/чужой» еще на этапе TLS-хендшейка (старт сессии связи, когда стороны взаимодействия обмениваются информацией для взаимной проверки, определяют используемые алгоритмы шифрования и договариваются о ключах сессии).
Если сервер определяет клиента как «своего», он продолжает работать как прокси, а если нет, то TLS-подключение передается на какой-нибудь другой абсолютно легальный хост.
Приведем пример настройки на Windows
- Сначала нужно скачать клиент по
ссылке.
- Затем распаковать архив в любую директорию.
- Запустить файл nekoray.exe. При первом запуске выберите “Xray”, после чего откроется интерфейс клиента.
- Получить текстовую ссылку с ключом.
- Создать свой профиль, используя ссылку с ключом, скопировать ее в буфер обмена, а в клиенте нажать «Программа → Добавить». У вас также появится новый профиль. Если вам прислали несколько ссылок, то нужно добавить их все по очереди – это разные серверы, разные страны или резервные серверы для обеспечения отказоустойчивости.
- Выбрать нужное подключение и нажать «Запустить» либо клавишу Enter или Return.
- Подключение запустится, но трафик через сервер не пойдет. Чтобы весь трафик шел через этот сервер, следует включить режим TUN (после этого все программы будут использовать виртуальный интерфейс).
- Ниже будут логироваться все исходящие подключения.
- Проверить успешность подключения можно, зайдя на
сайт – здесь будет отображаться не ваш IP-адрес, а IP-адрес сервера.
- Чтобы отключиться от прокси, нужно выполнить обратную процедуру – снять галочку с режима TUN. Трафик пойдет через вашего провайдера, после чего можно закрыть клиент.
- Если возникнут какие-то проблемы с включением или выключение режима TUN, нужно перейти в настройки TUN и нажать «Исправление проблем». Также можно скрыть лишнее консольное окно, которое появляется при включении режима.
Что нас может ждать?
Более года назад глава Минцифры Максут Шадаев заявил, что наказаний за использование VPN-сервисов не будет, а регулятор ограничится инструментами превентивной технической блокировки.
Однако пример Китая демонстрирует, что в случае исчерпания технических возможностей государство может применить к злостным нарушителям правил меры административного воздействия.
По какому пути пойдут регуляторы в России – покажет время.
Опубликовано 20.12.2023
