Расследования
Репортажи
Аналитика
  • 46551

Блокировки интернета в России вышли на новый уровень. Теперь Роскомнадзор всерьез взялся за VPN-сервисы и начал их вычислять, используя инструменты глубокой фильтрации трафика и так называемые ТСПУ. Многие VPN оказались после этого недоступны, и найти работающий становится все сложнее. The Insider предлагает обзор VPN, которые работают в России лучше всего, а также объясняет, какие сервисы, помимо VPN, помогают обходить блокировки даже при самой жесткой цензуре.

Содержание
  • Почему у VPN начались проблемы

  • VPN, которые продолжают работать в России

  • Что также надо учитывать при выборе VPN-провайдера

  • Альтернативы VPN — Tor и Ceno

Почему у VPN начались проблемы

Все более очевидно, что без VPN нормально пользоваться интернетом скоро станет совсем невозможно. Роскомнадзор готовится к блокировке последних неподцензурных сервисов, таких как YouTube. 4 сентября пользователи YouTube пожаловались на сбои — эксперты предположили, что Роскомнадзор тестирует способы ограничения или полного закрытия доступа к сервису. А за две недели до этого абоненты крупных российских операторов интернета и мобильной связи — МТС, Билайн, Мегафон, Tele2, Yota, Тинькофф Мобайл и других — сообщили о массовом сбое в работе с VPN-протоколами OpenVPN, WireGuard и Terona. Первые два широко использует бизнес при построении корпоративных сетей. При этом цензоры пытались блокировать соединения частных лиц так, чтобы это не повлияло на работу корпоративных клиентов. Раньше власти страны не блокировали некоторые VPN-протоколы из-за договоренностей с крупным бизнесом об исключении адресов, чтобы не обрушить служебные «тоннели».

Прежде Роскомнадзор не слишком заморачивался и просто блокировал доступ к странице, через которую можно было скачать VPN. Теперь же регулятор с помощью DPI (Deep Packet Inspection, или глубокая фильтрация трафика) и ТСПУ (технические средства противодействия угрозам) начал определять тип трафика и, если распознает его как подключение через VPN, блокировать. С этим уже сложно бороться, и лучше всего выживают в борьбе с Роскомнадзором те сервисы, которые тем или иным способом научились маскировать свой трафик под обычный, поясняет директор «Общества защиты интернета» Михаил Климарев:

«Сейчас идет дискуссия, какие протоколы лучше обходят эти блокировки, например, OpenVPN с надстройкой Cloak или прокси Shadow Socks. Shadow Socks организует трафик в виде SSH, то есть это зашифрованный трафик для командной строки. Его тяжело заблокировать. Cloak — это инструмент для OpenVPN, который маскирует прокси-трафик под обычный».

Технический директор «Роскомсвободы» Станислав Шакиров считает, что и эти технологии маскировки трафика тоже не всегда оказываются панацеей:

«Shadow Socks, думаю, тоже будут блокировать. Его писали под работу в Китае, сначала он долго там работал, но и его потом научились вычислять. Пока работают протоколы, которые обфусцируют трафик, — V2Ray, Cloak и др».

VPN, которые продолжают работать в России

Для поиска нужного VPN-решения эксперты советуют использовать рейтинговые сайты, например, Vpnlove.me (на момент написания текста в нем присутствуют 18 участников) или Netwind (на момент написания текста в нем отмечены 73 VPN-сервиса, при этом рейтинг разделяет платные и бесплатные варианты одних и тех же сервисов, а также содержит проекты, которые аффилированы с российским государством, например от Kasperskу).

В целом, исходя из удовлетворяющих вас параметров, оба рейтинга помогают сделать необходимый выбор. 10 из 10 баллов в рейтинге Vpnlove.me получают два сервиса — Red Shield и Private Internet Access. Далее следуют Trust Zone, IVPN, Mullvad, BlancVPN, AltVPN, Cactus VPN, Proton VPN (8,9 балла). Для первоначального решения проблемы этого вполне достаточно.

В разговоре с The Insider представители Trust Zone отметили, что, работая с Россией, сталкиваются с множеством проблем: серверы (по IP-адресу) периодически блокируются Роскомнадзором, а из-за блокировок протоколов приходится расширять количество альтернатив (к самому быстрому VPN-протоколу на сегодняшний момент — Wireguard — добавили Softether, SOCKS5, l2tp/IPSec, iKev2 и др.).

Один из сооснователей проекта и сервиса AltVPN Дмитрий Миронов в разговоре с The Insider оценивает количество российских пользователей в 25% от общего числа клиентов и отмечает, что сервис старается оперативно реагировать на действия цензоров:

«Наша команда ежедневно просматривает новости, а также получает обратную связь от клиентов о работоспособности в том или ином регионе России. Если мы обнаруживаем, что происходят блокировки, мы стараемся оперативно обойти их и выпустить патч для обновления приложений. Последнее время никаких трудностей с авторизацией или подключением через наши приложения не было замечено, но мы всегда мониторим и, если видим проблему, пытаемся оперативно ее решить».

У популярных коммерческих VPN-сервисов в России тяжелое будущее, считает Станислав Шакиров, который видит выход в использовании небольших VPN–сервисов или в создании личного VPN на собственном хостинге (о том, как это сделать, читайте здесь):

«Я считаю, что в течение полутора лет будут заблокированы все более-менее крупные коммерческие сервисы. Думаю, что лучшее решение — купить себе хостинг, а на него поставить свой сервис и использовать его, дать его своей семье, друзьям и так далее. Одного купленного хостинга рублей за 300–400 в месяц хватит человек на 20. Неподготовленным пользователям помогут Amnezia.org и Getoutline.org. Есть и графический интерфейс, и консольный. Вот эта история будет более устойчива, нежели коммерческие сервисы».

Обфускация траффика (от лат. obfuscare — затенять, затемнять и англ. obfuscate — делать неочевидным, запутанным, сбивать с толку) — метод, который позволяет скрыть ваш VPN-трафик и использование VPN путем сканирования неблокируемых портов и перенаправления VPN-трафика через них или маскировки этого трафика как незашифрованного нормального интернет-трафика. У VPN-протокола есть уникальные метаданные, которые могут быть использованы для определения его идентичности, — обфускация удаляет такие метаданные.

Shadow Socks (Shadowsocks) — бесплатный протокол шифрования передачи данных с открытым исходным кодом, развитый на базе технологии SOCKS5. В отличие от VPN-сервисов, Shadowsocks не создан для защиты конфиденциальности и анонимности пользователя. Пока включены VPN-сервисы, они шифруют весь трафик, а при использовании Shadowsocks некоторые пакеты данных остаются без шифрования (но вы можете сами выбрать, какую часть вашего трафика будет обрабатывать Shadowsocks). Это сделано специально, чтобы ваши данные были больше похожи на обычный HTTPS-трафик и не вызывали подозрений. 

Лучшее решение — купить себе хостинг, а на него поставить свой сервис и дать его своей семье, друзьям

Егор Сак, основатель канадского VPN-сервиса Windscribe (сервис на момент написания текста работает на территории РФ и фигурирует в рейтингах Vpnlove.me и Netwind), уверяет, что в бета-версии есть «режим антицензуры», который успешно обходит большинство DPI в России. При этом компания предлагает в том числе бесплатную версию, поскольку оплатить услугу иностранной картой или криптовалютой могут не все.

В разговоре с The Insider представитель Trust Zone отметил, что, помимо криптовалюты, сервис с недавних пор готов принять российские карты. Там признают, что пользователи из России, которых по оценкам сервиса порядка 20%, «вряд ли выгодны» в плане прибыли. Тем не менее они не планируют отключать Россию в своих VPN- локациях ради доступа людей к информации:

«Мы сотрудничаем с „Роскомсвободой“ и предоставляем большие скидки через их VPN-комьюнити и их сервис оплаты VPN за рубли, но заработанного в RU-сегменте едва ли хватает, чтобы окупить затраты. Из-за постоянных замен серверов мы скорее в минусе».

Опрошенные The Insider эксперты рекомендуют в первую очередь обращать внимание на публичное поведение провайдера: его заявления в интервью или на сайтах о том, как они относятся к блокировкам VPN в России, сотрудничают ли с властями страны. При этом рекомендовать конкретные сервисы в этой ситуации — значит помогать Роскомнадзору, отмечают они. Чрезмерная популярность и пиар вредят VPN-сервисам, напоминает в разговоре с The Insider Станислав Шакиров: «Как только сервис становится популярным, его IP-адреса попадают в блокировку, и не спасет даже другой протокол, если Роскомнадзор запалил IP-адреса сервисов». Нежелание подсвечивать конкретные названия сервисов поддерживает Михаил Климарев:

«Надежных решений нет. Единственный совет, который точно работает, — используйте разные VPN. Попробуйте Lantern, nthLink, VPN Generator. Цензоры нам наносят, безусловно, ощутимые удары. И многие люди говорят: ну, все, не работает, пойду тогда, ничего не получается. Наша задача — доносить, что сейчас, условно, работают VPN из числа небольших и на домашних компьютерах, а не через мобильную сеть. Конечно, ситуация будет ухудшаться, людям надо изучать технологии. Никакой волшебник не прилетит в золотом вертолете и не сделаем вам красиво. Сами что-то делайте, предпринимайте».

По его словам, блокировки Роскомнадзора по протоколу VPN работают только на мобильных операторах, и то неидеально:

«Буквально сидят рядом два наших тестера на телефонах, там одни и те же сервис, адрес и протокол: у одного работает, а у другого нет. Из-за особенностей работы DPI, если включать и выключать VPN, то через 20-30 нажатий он все-таки включится. Это означает, что у них не хватает вычислительных ресурсов, чтобы надежно все заблокировать».

Что также надо учитывать при выборе VPN-провайдера

Бесперебойная работа — главный, но не единственный критерий выбора VPN. Есть еще целый ряд параметров, которые можно учитывать при выборе. Важные из них — анонимность и безопасность. В этом смысле лучше пользоваться платным VPN-сервисом, чем бесплатным, так как бесплатные сервисы сохраняют больше пользовательских данных и могут ими торговать. Идеальный сервис должен иметь максимально открытый исходный код и собирать минимальное количество персональных данных.

Стоит также проверять компанию, выпустившую сервис, его оператора. Не всегда можно верить надписям о регистрации — компания может быть зарегистрирована где угодно, при этом физически серверы будут в другой юрисдикции — возможно, и в России. То же самое справедливо и в отношении собственников и сотрудников компании. Компании, находящиеся в России, будут соблюдать законодательство страны и, скорее всего, не будут сопротивляться, если к ним придут местные правоохранители (как и в других странах).

Еще один критерий — наличие грамотной службы поддержки, которая может помочь и при проблемах с подключением, и при проблемах с оплатой, напоминает Станислав Шакиров:

«Если вы купили VPN и он перестал работать, пишите в поддержку. Может быть, они вам дадут какие-то непубличные IP-адреса своих серверов, которые будут работать».

Есть и другие критерии, которые можно учитывать. Например, некоторые VPN-провайдеры накладывают ограничения на предоставляемые услуги — максимальное количество одновременных подключений к сети, запрет на использование торрентов, снижение скорости сети в определенное время суток или установленный максимум использования интернет-трафика.

Альтернативы VPN — Tor и Ceno

Рано или поздно большинство VPN-сервисов могут быть заблокированы или серьезно ограничены по функционалу, поэтому для обхода интернет-цензуры существуют и другие решения, отмечает Михаил Климарев:

«Можно обратить внимание на Tor и осваивать его, но тут важно понимать, что видео в Tor будет работать плохо. Есть решения, завязанные на peer-to-peer коммуникации, например браузер Ceno. Он работает как торрент, то есть там есть инжекторы, где накапливается информация, а потом к ней можно будет обращаться. Он еще в процессе разработки, пока сырой, не все готово. В Ceno встроен торрент-клиент. Вот ты посмотрел какой-то сайт, у тебя он остался в кэше, и ты отдаешь его друзьям. Ты можешь там только смотреть, написать что-то уже сложно».

Сервис Tor появился еще в начале нулевых и в качестве логотипа использует луковицу: для выхода в интернет Tor использует технологию «луковой маршрутизации» — сети специальных нод, каждая из которых шифрует данные пользователя. Tor использует около 7 тысяч узлов («ретрансляторов») по всей планете, ежедневно им пользуется около 4 млн человек.

Для обхода блокировок Tor, как и некоторые VPN, использует так называемые «мосты», или «транспорты». Мост — это узел Tor, которого нет в открытом списке узлов, они помогают пользователям скрыть факт использования этого сервиса. Tor использует три вида мостов.

  • obfs4 делает трафик Tor случайным, а также не позволяет цензорам найти мосты путем сканирования Интернета. Мосты obfs4 с меньшей вероятностью будут заблокированы, чем их предшественники, мосты obfs3.
  • meek-транспорт создает впечатление, что вы просматриваете крупный веб-сайт вместо использования Tor; meek-azure создает впечатление, что вы используете веб-сайт Microsoft.
  • Snowflake — улучшенный Flashproxy. Он перенаправляет ваш трафик через WebRTC, протокол «точка — точка» со встроенным обходом NAT.

У Tor работает поддержка через Telegram. Пользователи могут связаться с Telegram-ботом @GetBridgesBot и ввести «/bridges», чтобы получить нужный мост, или отправить электронное письмо по адресу [email protected] с фразой «private bridge» и упоминанием своей страны в теме письма (для России пользователям нужно использовать фразу «private bridge ru»).

Благодаря этим инструментам Tor остается доступным даже в Китае, с его куда более продвинутой и изощренной системой блокировок, чем в России.

Ceno — бесплатный мобильный браузер с открытым кодом от канадской команды eQualit.ie. Ceno рассчитан на самые жесткие сценарии цензуры и блокировок. Он будет работать, даже если Россию отключат от глобальной сети, и поможет обойти блокировки легче, чем VPN. Ceno работает по принципу «и себе, и людям»: пользователи, получившие доступ к сайту, «раздают» его другим. Для этого используется знакомый многим протокол BitTorrent. Ceno создает локальные сети между пользователями, а затем связывается со «свободным интернетом» за пределами зоны цензуры.

Ceno поддерживает свободные российские медиа и помогает более 30 самых востребованным независимым медиа ресурсам оставаться доступными (в том числе и The Insider). Команда Ceno ежедневно «кэширует» эти сайты и делает их доступными через браузер Ceno таким образом, что вы сможете читать нас даже при отсутствии подключения к сети. Кроме того, Ceno использует технологию Ouinet, которую Роскомнадзор пока не умеет блокировать. Пока РКН продолжает охоту на VPN, у россиян есть время скачать Ceno и даже после полной блокировки VPN, благодаря заранее развернутой инфраструктуре мостов в Ceno, будет подгружаться контент и к нему будет сохраняться доступ из России.

Обфускация траффика (от лат. obfuscare — затенять, затемнять и англ. obfuscate — делать неочевидным, запутанным, сбивать с толку) — метод, который позволяет скрыть ваш VPN-трафик и использование VPN путем сканирования неблокируемых портов и перенаправления VPN-трафика через них или маскировки этого трафика как незашифрованного нормального интернет-трафика. У VPN-протокола есть уникальные метаданные, которые могут быть использованы для определения его идентичности, — обфускация удаляет такие метаданные.

Shadow Socks (Shadowsocks) — бесплатный протокол шифрования передачи данных с открытым исходным кодом, развитый на базе технологии SOCKS5. В отличие от VPN-сервисов, Shadowsocks не создан для защиты конфиденциальности и анонимности пользователя. Пока включены VPN-сервисы, они шифруют весь трафик, а при использовании Shadowsocks некоторые пакеты данных остаются без шифрования (но вы можете сами выбрать, какую часть вашего трафика будет обрабатывать Shadowsocks). Это сделано специально, чтобы ваши данные были больше похожи на обычный HTTPS-трафик и не вызывали подозрений. 

Подпишитесь на нашу рассылку

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Safari