Самые простые способы обхода блокировки сайтов

3 Браузер Tor для безопасного путешествия в сети

Как я уже упоминал в своей предыдущей статье, Tor Browser позволяет людям прятать следы своей деятельности в глобальной сети. Он был разработан Пентагоном. Дизайн Тора сильно похож на Firefox. По сути, это и есть Мозилла, так сказать, «слегка под редактированная».


Принцип Тора основан на шифровании данных и смене IP. Он очень хорошо скрывает следы посещений пользователей различных сайтов. Я не буду сейчас о нём подробно рассказывать, т.к. уже подробно описал его деятельность в предыдущей статье. Можно сказать, он лучший в своём роде. Но, у него есть недостаток – его использование запрещено во многих странах, в том числе и в России.

Хотя, я не думаю, что простые люди в этом деле интересны властям, если вы, конечно, не применяете его в своих корыстных целях, что делать я вам настоятельно не рекомендую! С властями играть не стоит. Использовать его можно, но, не постоянно, а время от времени.

Также, не стоит его применять, если вы работаете на предприятии. Одно дело, частные лица, другое – юридические. Предприятия, за использования Тора, действительно могут быть наказаны. Поэтому, юридическим лицам лучше пользоваться услугами сайтов анонимайзеров, например, Hindemy. Рассмотрим их подробнее.

Последовательность действий, если вы хотите управлять сервисом и у вас есть фиксированный маршрутизируемый IP-адрес

Делаем раз

заходим из вашей сети (это важно) на сайт antifilter.download, проматываем до раздела BGP, нажимаем «Активировать управление BGP»

Делаем два

проверяем, что сайт показывает именно наш IP, вводим выбранный номер своей автономной системы, помечаем чекбоксы, какие именно маршруты отдавать, подтверждаем капчу, нажимаем «Создать пиринг». После этого сайт покажет, что для вашего адреса настройки существуют. Время применения настроек в сервисе — не более 5 минут.

Делаем три

заходим на свой маршрутизатор Mikrotik и настраиваем на нем BGP-пиринг с сервисом:

Не забываем поменять умолчательные AS, IP и имя интерфейса на ваши. В вышеприведенных командах должно быть сделано четыре замены — не больше и не меньше.

… и всё работает

Если с момента нажатия кнопки «Создать пиринг» прошло более 5 минут и вы всё правильно настроили — у вас уже всё работает.

Если вы захотели поменять список выгружаемых в вашу сторону префиксов — это делается через удаление настроек на веб-странице и создание их вновь, благо — из настроек там одно число и три галочки.

Префиксы от сервиса маркируются соответствующими комьюнити, поэтому если захочется строить более сложные правила обработки — всё в ваших руках.

Настоятельно не рекомендую подключать список одиночных IP — даже топовым SOHO-маршрутизаторам Mikrotik от него не очень хорошо, а средние, например hAP lite, ведут себя крайне непредсказуемо.

Настройка клиента

Тут я приведу примеры для Linux-роутеров, но в случае Mikrotik/Cisco это должно быть еще проще.

Для начала настраиваем BIRD:

Таким образом мы будем синхронизировать маршруты, полученные из BGP, с таблицей маршрутизации ядра за номером 222.

После этого достаточно попросить ядро глядеть в эту табличку перед тем как заглядывать в дефолтную:

Всё, осталось настроить DHCP на роутере на раздачу туннельного IP-адреса сервера в качестве DNS и схема готова.

Недостатки


При текущем алгоритме формирования и обработки списка доменов в него попадает, в том числе, и его CDNы.

А это приводит к тому что все видео будут ехать через VPN, что может забить весь канал. Возможно стоит составить некий список популярных доменов-исключений, которые блокировать у РКН пока что кишка тонка. И пропускать их при парсинге.

Заключение

Описанный способ позволяет обходить практические любые блокировки, которые реализуют провайдеры на данный момент.

В принципе, dnstap-bgp можно использовать для любых других целей где необходим некий уровень управления траффиком на основе доменного имени. Только нужно учитывать что в наше время на одном и том же IP-адресе может висеть тысяча сайтов (за каким-нибудь Cloudflare, например), так что этот способ имеет довольно низкую точность.

Но для нужд обхода блокировок этого вполне достаточно.

Дополнения, правки, пуллреквесты — приветствуются!

Что используется в примере

  • Копия реестра — из https://github.com/zapret-info/z-i 
  • VPS — Ubuntu 16.04
  • Сервис маршрутизации — bird 1.6.3   
  • Маршрутизатор — Mikrotik hAP ac
  • Рабочие папки — поскольку работаем от рута, бОльшая часть всего будет размещаться в домашней папке рута. Соответственно:
    • /root/blacklist — рабочая папка со скриптом компиляции
    • /root/z-i — копия реестра с github
    • /etc/bird — стандартная папка настроек сервиса bird
  • Внешним IP-адресом VPS с сервером маршрутизации и точкой терминации туннеля принимаем 194.165.22.146, ASN 64998; внешним IP-адресом роутера — 81.177.103.94, ASN 64999
  • IP адреса внутри туннеля — 172.30.1.1 и 172.30.1.2 соответственно.

Безусловно, вы можете использовать любые другие роутеры, операционные системы и программные продукты, корректируя решение под их логику.

Турбо Режим в Опере

Как и в любом другом случае нужно заходить не из под своего айпи, а из под айпи компьютера, который находится в Германии.

Нa сей раз для этого мы будем использовать браузер Опера. Есть такой замечательный режим в Опере под названием Турбо, который прекрасно справляется с обходом блокировок сайтов.

Как включить vpn в опере

Найти его можно в меню (красный кружочек слева вверху). Заходим в меню, находим “Опера Турбо” и активируем. Вот в принципе и всё. Этот способ наверное самый простой из всех что я рассматривал, единственное надо будет скачать сам браузер, что займёт не более минуты.

На самом деле почему так оно происходит? Для того чтобы ускорить интернет, Опера пропускает все сайты через свои сервера кэширования. То есть сигнал от сайтов летит не сразу к вам, а сначала кэшируется на определённых серверах Оперы, а потом уже идёт к вам. Так достигается не только ускорение интернета, но ещё и то, что соответственно теперь вы заходите в интернет не из своего айпи, а с серверов кэширования Оперы, которые находятся, надо понимать, не в России.

Оpera vpn не работает

Можно выделить несколько основных причин неработоспособности VPN в опере.

Первый вариант: устаревший браузер. Данную проблему можно решить обновив версию браузера. Чтобы это сделать, кликаем левой клавишей мыши по “Настройка и управление Опера” и заходим в раздел “Обновление & восстановление”. Запускается поиск обновлений и браузер обновляется по умолчанию. При желании можно повторить операцию повторно, нажав на “проверить наличие обновления” и ещё раз удостовериться в том, что используется обновлённая версия оперы.

Второй вариант: попробуйте отключить антивирусы и другие защитные програмные обеспечения (это может быть брандмауэр, защитник Windows и т. д.) и посмотрите даст ли это результат. Довольно часто антивирус является причиной неработоспособности VPN, как бы пародоксально это не звучало.

Третий вариант: расширения. Вполне возможен конфилт с каким-то другим расширением в браузере и это лекго устранить.

Кликаем левой клавишей мыши по “Настройка и управление Опера” и находим “Расширения”. Далее нужно будет поочерёдно отключить все расширения, причём после каждой деактивации, необходимо проверить работоспособность Oпера vpn. Как только конфликтующее расширение было найдено, его можно будет либо удалить, либо просто оставить в выключенном режиме.


Четвёртый вариант: очистить куки и кэш. В “Настройка и управление Опера” выбираем “Настройки”. В разделе “Дополнительно” кликаем по стрелочке и выбираем “Безопасность”.

Находим “Очистить историю посещений”, где по умолчанию будут выбраны все три опции. Ничего не меняем и удаляем данные. Имейте в виду, что при удалении данных вам заново придётся вводить все логины и пароли (сосцети, почта и другие часто посещаемые сайты).

ZenMate VPN скачать

Популярная ВПН-служба для анонимного, безопасного и свободного от различных запретов сёрфинга. Освобождает посещение веб-ресурсов от ограничений и региональных блокировок, шифрует и защищает трафик, препятствует перехвату данных и слежке за пользовательскими данными. В функционале Зенмейт можно выбирать нужный узел из десятков различных стран, скрывать свой реальный IP, защищать соединение, активировать «антишпион» и блокировать вредоносные вмешательства. Кроссплатформенный софт считается достойным продуктом в своей категории благодаря формированию защищенного туннеля для анонимизации и свободного сёрфинга юзерами. Бесплатная версия имеет некоторые функциональные ограничения.

Как обойти блокировки на смартфоне?

Предлагаем очень простой но рабочий способ обхода блокировок сайтов провайдером на смартфонах под управлением iOS, Android. Используется функция Turbo, встроенная в мобильные браузеры Opera и Яндекс.Браузер. Этот режим подразумевает сжатие данных на серверах браузера с последующей загузкой на смартфоне, планшете что позволяет получить выигрыш в скорости на медленных каналах связи.

Побочным эффектом режима, является доступ к заблокированным сайтам с мобильных устройств (сервера браузеров выполняют функцию сервисов-анонимайзеров).

Из явных плюсов — нет необходимости устанавливать дополнительные программы и расширения. Причем, ранее заблокированные страницы открываются абсолютно нормально, без задержки и с той же скоростью, как и остальные ресурсы в Сети.

Из минусов — иногда подобный способ не срабатывает. Кроме того можно кратко упомянуть и дополнительные мобильные приложения, например для iPhone и iPad лучше всего подходит браузер Onion, работающий через сеть TOR. Его аналог для смартфонов на Андроиде — браузер Orweb отлично подходит для открытия заблокированных сайтов.

Настройка сервера

Для удобства раскатывания я написал роль для Ansible. Она может настраивать как сервера, так и клиенты на базе Linux (рассчитано на deb-based дистрибутивы). Все настройки достаточно очевидны и задаются в inventory.yml. Эта роль вырезана из моего большого плейбука, поэтому может содержать ошибки — pull requests welcome 🙂

Пройдёмся по основным компонентам.

BGP

При запуске двух BGP-демонов на одном хосте возникает фундаментальная проблема: BIRD никак не хочет поднимать BGP-пиринг с локалхостом (или с любым локальным интерфейсом). От слова совсем. Гугление и чтение mailing-lists не помогло, там утверждают что это by design. Возможно есть какой-то способ, но я его не нашёл.

Можно попробовать другой BGP-демон, но мне нравится BIRD и он используется везде у меня, не хочется плодить сущности.

Поэтому я спрятал dnstap-bgp внутрь network namespace, которое связано с корневым через veth интерфейс: это как труба, концы которой торчат в разных namespace. На каждый из этих концов мы вешаем приватные p2p IP-адреса, которые за пределы хоста не выходят, поэтому могут быть любыми. Это тот же механизм который используется для доступа к процессам внутри любимого всеми Docker и других контейнеров.

Для этого был написан скрипт и в dnstap-bgp был добавлен уже описанный выше функционал перетаскивания себя за волосы в другой namespace. Из-за этого его необходимо запускать под root либо выдать бинарнику CAP_SYS_ADMIN через команду setcap.

DNS

По умолчанию в Ubuntu бинарник Unbound зажат AppArmor-профилем, который запрещает ему коннектиться ко всяким там DNSTap-сокетам. Можно либо удалить нафиг этот профиль, либо отключить его:

Это, наверное, надо добавить в плейбук. Идеально, конечно, поправить профиль и выдать нужные права, но мне было лень.

Скачивание и обработка списков

Скрипт для скачивания и обработки списка IP-адресов Он скачивает список, суммаризует до префикса pfx. В dont_add и dont_summarize можно сказать IP и сети, которые нужно пропустить или не суммаризовать. Мне это было нужно т.к. подсеть моего VPS оказалась в блоклисте 🙂

Самое смешное что API РосКомСвободы блокирует запросы с дефолтным юзер-агентом Питона. Видать скрипт-кидди достали. Поэтому меняем его на Огнелиса.


Пока что он работает только с IPv4 т.к. доля IPv6 невелика, но это будет легко исправить. Разве что придется использовать еще и bird6.

Скрипт для обновления Он у меня запускается по крону раз в сутки, может стоит дергать раз в 4 часа т.к. это, по-моему, период обновления который РКН требует от провайдеров. Плюс, есть какие-то еще суперсрочные блокировки у них, которые может и быстрее прилетают.

Делает следующее:

  • Запускает первый скрипт и обновляет список маршрутов () для BIRD
  • Релоадит BIRD
  • Обновляет и подчищает список доменов для dnstap-bgp
  • Релоадит dnstap-bgp

Они были написаны не особо задумываясь, поэтому если видите что можно улучшить — дерзайте.

Betternet скачать

Эта программа формирует защищенную сеть ВПН и перенаправляет трафик через различные сервера многих стран, при этом шифруя обмен данных, открывая заблокированные ресурсы и анонимизируя веб-сёрфинг. Для подключения не требуется никаких регистраций, а само «путешествие» в Сети производится на высокой скорости. Беттернет актуален для юзеров, обменивающихся трафиком через открытые сети, уязвимые к атакам и перехватам. Сервис позволяет сокрыть IP, автоматически подключиться к сети, провести повторный коннект при разрыве. Несмотря на англоязычное меню, однокнопочный интерфейс позволит легко понять основы работы в утилите. Некоторые юзеры отмечают, что авто выбор серверов лишает их возможности самостоятельно настроить сессию, хотя, кому-то эта опция наоборот нравится.

Настройка клиента

Тут я приведу примеры для Linux-роутеров, но в случае Mikrotik/Cisco это должно быть еще проще.

Для начала настраиваем BIRD:

Таким образом мы будем синхронизировать маршруты, полученные из BGP, с таблицей маршрутизации ядра за номером 222.

После этого достаточно попросить ядро глядеть в эту табличку перед тем как заглядывать в дефолтную:

Всё, осталось настроить DHCP на роутере на раздачу туннельного IP-адреса сервера в качестве DNS и схема готова.

Недостатки

При текущем алгоритме формирования и обработки списка доменов в него попадает, в том числе, и его CDNы.

А это приводит к тому что все видео будут ехать через VPN, что может забить весь канал. Возможно стоит составить некий список популярных доменов-исключений, которые блокировать у РКН пока что кишка тонка. И пропускать их при парсинге.

Заключение

Описанный способ позволяет обходить практические любые блокировки, которые реализуют провайдеры на данный момент.

В принципе, dnstap-bgp можно использовать для любых других целей где необходим некий уровень управления траффиком на основе доменного имени. Только нужно учитывать что в наше время на одном и том же IP-адресе может висеть тысяча сайтов (за каким-нибудь Cloudflare, например), так что этот способ имеет довольно низкую точность.

Но для нужд обхода блокировок этого вполне достаточно.

Дополнения, правки, пуллреквесты — приветствуются!

PureVPN скачать

Приложение создает безопасную частную виртуальную сеть VPN, которая организовывает анонимность в Интернете, обходит ресурсные блокировки, защищает от шпионов и маскирует IP-адрес. С помощью ПьюрВПН можно подключиться к более семистам серверам в различных странах с помощью мощных технологий. Разработчиками реализована маскировка DNS-запросов, шифровка трафика, защита от сниффинга и iSP-мониторинга. Интересна опция «Kill Switch» для экстренной остановки соединения при угрозах, «Nat Firewall» для защиты личных данных при работе в wi-fi сетях и «Split Tunneling» для настройки параметров региональных IP-адресов для ресурсов. Лицензию платной версии можно использовать на пяти устройствах.


С этим читают