Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет
Эта статья — расширенный туториал того, как установить и настроить свой VPN на VLESS с XTLS-Reality с управлением через GUI интерфейс 3x-UI всего за 10 минут.
https://habr.com/ru/articles/909120/
#vless #xtls #reality #xtlsreality #vpn #vpnсервер #vpnтуннель #vpnclient #vpnсоединения #vpnсервис
Взломай цензуру за 10 минут: искусство мимикрии в эпоху блокировок
Представьте: ваш VPN становится невидимкой для цензоров, маскируясь под обычный трафик Google. Никаких блокировок, никаких подозрений. — В этой статье вы не просто узнаете, как настроить такой «стелс» за 10 минут через удобный 3x-UI интерфейс, но и поймёте, почему VLESS с XTLS-Reality — это золотой стандарт обхода запретов в 2025. метод, который 2 года работает в Иране, теперь доступен вам.Но спешите — белые списки не вечны. Это лишь присказка — сказка внутри
https://habr.com/ru/articles/905286/
#vless #vpn #vpnclient #xtls #xtlsreality #шифрование #шифрование_трафика
[Перевод] Как XTLS Reality обходит whitelist? Анализ исходного кода Reality
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали. С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны. Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core. Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей. Что такое белый список SNI? В чем связь между SNI и TLS? Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения. TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
[Перевод] Как XTLS Reality обходит whitelist? Анализ исходного кода Reality
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали. С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны. Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core. Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей. Что такое белый список SNI? В чем связь между SNI и TLS? Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения. TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
We're working on a complete rewrite of https://github.com/unredacted/freesocks-control-plane into a fully-fledged web application to help anyone with the distribution of Outline & Xray/XTLS access keys.
Here's a sneak peak of the admin UI.
@mullvadnet I don't like it at all, to be honest.
Right now I can setup #OpenWrt using your #XTLS bridges and #OpenVPN. And that's probably most advanced bypass setup.
But for #WireGuard you do not provide something comparable to this in terms of switchover/failover, easy setup, censorship bypass.
I can not use your custom mix of #Shadowsocks and #WireGuard on my OpenWrt router. And Shadowsocks is much worse than #xtlsreality
I will probably switch to a different VPN provider.
Как сделать и настроить собственный VPN
В этой статье я подробно расскажу как оформить сервер и поднять свой VPN на протоколе VLESS с XTLS-Reality, который выделяется на общем плане тем, что трафик шифруется и маскируется под подключение к популярным сайтам (доменам), тем самым станет тёмной лошадкой для ТСПУ.
https://habr.com/ru/articles/852040/
#vpn #vless #обход_блокировок #обход_блокировок_youtube #ркн #xtlsreality #xtls
搞翻墙软件开发的人卖NFT是我听过的最愚蠢的笑话之一。
People developing censorship circumvention software are now selling NFTs of this software is one of the stupidest joke I've ever heard.
https://github.com/XTLS/Xray-core/discussions/3633
#XTLS #Xray #NFT
Малоизвестные фичи XRay, о которых невозможно молчать
> В этом посте я кратко поведаю о разных интересных возможностях XRay (клиент и сервер для протоколов VMess, VLESS, Trojan и других, в том числе с XTLS-Reality и XTLS-Vision), о которых, кажется, мало кто знает, но которые могут оказаться очень полезными.
-- Фрагментирование запросов
-- QUIC-транспорт
-- Мониторинг и автоматический выбор outbound'а
-- Сбор статистики
-- Browser dialer
#vpn #opensource #wireguad #WireGuardVPN #v2ray #xtls #Роскомнадзор
ВПН готов. Скорость в нём даже выше, чем в wireguard :blobfoxnerd:
@NitrousLife к слову, я тоже агитирую за #XTLS и #VLess
Вот неплохая статья https://habr.com/ru/articles/770400/
Domain fronting для чайников, и как его использовать для обхода блокировок
#security #proxy #DomainFronting #VPS #xtls #nekoray #shadowsocks #vless #vmess
Давайте сразу вопрос на засыпку: может ли быть так, что клиент подключается, ну, например, к серверу www.python.org (самому настоящему, тому, к которому обращаются еще миллионы клиентов со всего мира), а потом использует его как прокси и гоняет через это подключение трафик до своего VPS для доступа в неподцензурный интернет? Если вы не уверены в ответе на этот вопрос или почему-то ответили "нет", то добро пожаловать в статью.
Domain fronting для чайников
Давайте сразу вопрос на засыпку: может ли быть так, что клиент подключается, ну, например, к серверу www.python.org (самому настоящему, тому, к которому обращаются еще миллионы клиентов со всего мира), а потом использует его как прокси и гоняет через это подключение трафик до своего VPS для доступа в неподцензурный интернет? Если вы не уверены в ответе на этот вопрос, добро пожаловать в статью. Я уже не раз рассказывал здесь о технологии XTLS-Reality ( 1 , 2 , 3 ) суть которой в том, что ваш прокси-сервер VPS может очень достоверно маскироваться под какой-нибудь популярный веб-сайт - принимать подключения, которые будут выглядит точно так же, как обращения к настоящему сайту, отвечать на них полностью аутентичным TLS-сертификатом, и в целом вести себя как тот настоящий сайт.Единственная проблема - сам IP-адрес. Немного подозрительно, когда к какому-нибудь якобы www.google.com постоянно обращается только один пользователь, а IP-адрес этого сервера на самом деле даже не относится к автономной сети Google. Еще я рассказывал о разных вариантах проксировать трафик посредством вебсокетов и простых HTTP-туннелей через различные CDN , такие как Cloudflare и Gcore. Вероятность того, что под блокировку попадет вся CDN гораздо ниже, чем что забанят какой-то один сервер или диапазон хостера, но та схема требовала регистрацию своего домена для работы через CDN. И наверняка многим в голову приходила идея, а нельзя ли как-нибудь совместить эти два механизма? Проксироваться через CDN, но при этом "прикрываясь" каким-нибудь чужим доменом? Ответ: да, можно, и сейчас мы посмотрим, как именно.
https://habr.com/ru/articles/778134/
#domain_fronting #cdn #websocket #xtls #прокси #обход_блокировок
XRay (с VLESS/XTLS): проброс портов, реверс-прокси, и псевдо-VPN
#xray #proxy #vless #xtls #vmess #socks #shadowsocks #vpn #network #security
https://habr.com/ru/articles/774838/
> Можно ли с использованием XRay как-то организовать проброс портов или получать доступ к внутренностям корпоративной сети?
XRay поддерживает механизм под названием "reverse proxy", что в купе с богатыми возможностями настройки правил маршрутизации позволяет сделать довольно много интересных схем.
XRay (с VLESS/XTLS): проброс портов, реверс-прокси, и псевдо-VPN
Я уже написал тут много статей на тему установки и настройки прокси-серверов XRay с недетектируемыми протоколами Shadowsocks-2022, VLESS (с XTLS), и т.п. И один из очень часто поднимаемых в комментариях вопросов звучит так: можно ли с использованием XRay как-то организовать проброс портов или получать доступ к внутренностям корпоративной сети? Можно, и сейчас я расскажу как. Итак, что же можно сделать с помощью реверс-проксирования? Можно получать доступ к каким-либо сервисам на хосте за NAT'ом или строгим фаерволом, и даже более того - можно получать доступ к сервисам на других устройствах в локальной сети, к которой имеет доступ этот самый хост за NAT'ом файерволом. Можно маршрутизировать весь (или некоторый в зависимости от настроенных правил) трафик на хост за NAT'ом или фаерволом и выпускать его оттуда в Интернет. Например, вы проживаете за границей, хотите оплачивать счета за ЖКХ вашей недвижимости оставшейся России, но сервис оплаты не пускает вас с забугорных IP и не пускает вас с IP-адресов даже российских VPS-хостеров. Тогда можно поставить у кого-нибудь из друзей или родственников в РФ преднастроенный роутер или одноплатник типа Raspberry Pi, который подключится к вашему прокси-серверу, а вы, в свою очередь, через прокси-сервер сможете достучаться до этого роутера/р-пишки и выйти через него во внешний интернет как обычный пользователь, находящийся в России - и всем ресурсам будет виден IP-адрес российского домашнего интернет-провайдера. Можно выборочно пробрасывать порты, например, все подключения на 80 порт прокси-сервера будут переадресовываться на 80 (или любой другой) порт "изолированного" хоста или еще куда-то дальше. Можно даже в теории соорудить псевдо-VPN, чтобы подключенные клиенты прокси-сервера могли достукиваться друг до друга.
**Установка и использование графической панели 3X-UI для сервера X-Ray с поддержкой заявленных возможностей X-Ray: Shadowsocks-2022, VLESS с XTLS и т.д.**
>> В серии предыдущих статей описывалось, почему повсеместно используемые VPN- и прокси-протоколы такие как OpenVPN и L2TP [очень уязвимы к выявлению и могут быть легко заблокированы](https://habr.com/ru/articles/710980/) цензорами при желании, обозревались [существующие гораздо более надежные протоколы](https://habr.com/ru/articles/727868/) обхода блокировок, [клиенты для них](https://habr.com/ru/articles/728696/), а также [описывалась настройка сервера](https://habr.com/ru/articles/728836/) [двух видов](https://habr.com/ru/articles/731608/) для всего этого.
#proxy #VPN #3X_UI #xray
#shadowsocks #xtls #vmess #vless #reality
FAQ по Shadowsocks/XRay/XTLS/Reality/Nekobox/etc. для обхода блокировок
#network #infosec
#shadowsocks #xray #xtls #reality #nekobox
>>> Как сервисы/приложения определяют, что я сижу через прокси?
Классические способы выявления прокси/VPN:
1. Разница между часовыми поясами у клиента в браузере и в локации IP-адреса с которого он подключается;
2. Выявление по MTU - ненадежно, актуально для OpenVPN/L2TP/Wireguard/SSTP, для XRay и подобных прокси не актуально (другой уровень OSI);
3. Сканирование открытых стандартных портов IP клиента на предмет (обход цепочкой из двух серверов с туннелем между ними);
4. Активность в системе VPN-интерфейса\сравнение геолокации устройства и локации по IP-адресу.
Надеюсь все уже стелют соломку чтобы не было мучительно больно?
#network #security #shadowsocks #v2ray #xray #hysteria #clash #singbox #xtls
Программы-клиенты для протоколов недетектируемого обхода блокировок сайтов: V2Ray/XRay, Clash, Sing-Box, и другие / Хабр https://habr.com/ru/articles/728696/
>В предыдущей статье “ Современные технологии обхода блокировок: V2Ray, XRay, XTLS, Hysteria и все-все-все ” я рассказывал про прокси-протоколы. Теперь настало время рассказать про клиенты.
长文,技术相关。
转载需遵守CC BY-SA 4.0 International知识共享协议,给予credit并以相同的协议分发。
近期部分技术圈子的人员可能听说了一个名为HyeonSeungri的Github帐号在“中国大规模地封锁基于TLS的翻墙服务器”[1]帖子下发布关于网络流量识别与审查的相关“内部信息”。
该帐号声称自己是广州互联网交换中心[2][3]的审查员工,提到了一些流量识别系统工作的内部过程,并且推荐翻墙软件的开发者使用较老的TLS协议版本(主要包括SSL3.0、TLS1.0、TLS1.1)、使用自签名证书、并采用显示/可信代理方式设置代理服务器/VPN。该说法在论坛上引起了一些争执。
目前,该帐号已删除其在该贴中的评论,其帐号也已经被删除。并无法得知该帐号到底是自行注销还是被封号。
该帐号发布的相关言论仍然可以通过存档找到[4]。
接下来是我的结论:
大多数“应该怎么做”是在放屁,简直就是在害人。
借用贴内一个网友的回复:“它们(指HyeonSeungri声称的不会被识别出来的代理流量)不需要被识别出流量特征,它们本身就是特征。/They don't need fingerprinting to be distinguished. They are fingerprints per se.”
首先,使用旧版本的TLS协议是有很大风险的。暂且不提具有严重的已知安全问题[5]因此应当完全被废弃的SSL 3.0,TLS 1.0和1.1版本包含很多不安全的加密算法(如GOST、3DES、RC2、RC4)和不安全的密钥交换算法(如DH-ANON)[6][7],对此不了解的新手非常容易因为配置错误,导致安全问题。
类似的,使用自签名证书也很容易导致对此不了解的新手打开诸如“允许非安全连接”等会降低连接安全性的选项。
然后,无论是使用自签名的数字证书还是使用旧版本TLS协议,都会导致这个本来应该悯然众人的服务器在防火长城鹤立鸡群。根据Qualys SSL Labs的SSL Pulse报告[8],截至2022年9月,仅38.7%的服务器支持TLS 1.1,仅35.5%的服务器支持TLS 1.0,而SSL 3.0的支持率只有2.3%,TLS 1.2的支持率高达99.8%。这就是说,如果你按照这位HyeonSeungri的指示,把代理服务器配置成不支持TLS 1.2及以上的版本的话,你的服务器就成了非常显眼的0.2%。同样的,为了让现代化的浏览器接受,大多数网页服务器都有由证书颁发机构(CA)签发的证书,自签名证书一般是测试服务时才会用的。那么,一方是支持现代化加密、拥有正确的证书、看起来非常普通的网页服务器,另一方是固执地选择老旧的安全协议、使用会让浏览器告警的自签名证书的奇怪的网页服务器,哪边看上去更像是have something to hide的代理服务器呢?
而且,即使,出于某些原因,你的代理服务器没有被发现。你连接这种服务器所造成的流量,看起来也不会像是普通的浏览器访问网页的流量。2020年,Chrome浏览器在版本84移除了对于TLS 1.0和1.1的支持[9][10],Firefox在版本78默认禁用了TLS 1.0和1.1[11][12]。因此,现在在网络上传递的HTTPS流量,绝大多数都是使用TLS 1.2或1.3的。而即使在此之前,大多数浏览器也会默认选用服务器支持的最高版本的TLS协议来增强链路的安全性,老版本的TLS协议的使用率,本来就没有那么高。这种情况下,SSL3.0、TLS1.0或1.1的互联网流量,也是非常显眼的,毋庸置疑。
综上所述,HyeonSeungri的建议不但会严重降低通信的保密性和安全性,也让流量和代理服务器显得更加突出,这直接违背了v2ray等审查绕过软件的设计思路(使翻墙流量看起来像普通的网页访问流量),因此不应该采用。
[1] https://github.com/net4people/bbs/issues/129
[2] https://inflect.com/ix/chn-ix-guangzhou
[3] https://en.wikipedia.org/wiki/List_of_Internet_exchange_points
[4] http://archive.today/2022.10.09-065615/https://github.com/net4people/bbs/issues/129
[5] http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
[6] https://datatracker.ietf.org/doc/html/rfc2246
[7] https://datatracker.ietf.org/doc/html/rfc4346
[8] https://www.ssllabs.com/ssl-pulse/
[9] https://chromestatus.com/feature/5654791610957824
[10] https://developer.chrome.com/blog/chrome-81-deps-rems/
[11] https://www.mozilla.org/en-US/firefox/78.0/releasenotes/
[12] https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/
#ssl #tls #v2ray #xtls #naiveproxy #clash #翻墙 #代理 #censorship #anticensorship #disinformation #debunk
