Как определить, что у пользователя включен vpn?

Question

[junior_www]

Добрый день! Некоторые посетители сайта заходят с включенным vpn (вероятно, ранее включенному, чтобы посещать заблокированные в РФ сайты). Есть подозрение, что из-за него некорректно работает форма авторизации / регистрации на сайте. Вопрос: как определить, что у пользователя включен vpn?

Comments

[Александр]

Просто для ознакомления, считаю лишним не будет https://habr.com/ru/post/710980/

[AUser0]

А может логичнее исправить неправильно работающую форму авторизации?

[junior_www]

AUser0, верно логичнее. Что-то явно нужно править. До блокировки инстаграм этого не было, все работало четко, и смс приходили и емайлы с подтверждением. А теперь, происходят сбои. Сложность в том, что ошибку не удается повторить. Когда я пытаюсь зарегистрироваться - все четко. В том числе и с vpn пробовал - все корректно работает. А когда смогу вешать флаг на юзера, что он под впн-ом, можно и уведомление вывести, чтобы выключил

[V0VA]

Может на странице регистрации всем показывать уведомление:

отключайте vpn, при использовании pn стабильная работа не гарантируется

))

[AUser0]

shurshur, <sarcazm> ... и звезда чучхе освещает наш тернисто-граблистый путь! </sarcazm>

[shurshur]

junior_www, у меня на каком-то сайте показывало "выключите VPN для доступа к сайту", при том, что VPN у меня не было, а сам сайт был на русскоязычную аудиторию и заблокирован (!) в России. Как они "определяли" VPN и зачем вообще ограничивали доступ при таких условиях - не представляю...

[Сергей delphinpro]

1. Отключите VPN
2. Отключите блокировщик рекламы
3. Вставьте себе паяльник в задницу.

Что за бред, блин????

[freeExec]

shurshur, В смысле как, если он в России заблокирован, а ты на него попал, то ты под VPN или из РКН

[AlexVWill]

Сергей delphinpro, кстати, как только вижу "отключите AdBlock для доступа к сайту", сразу понимаю, что сайт делали безголовые дауны, и заходить туда не стоит...

[shurshur]

freeExec, сам сайт показывался, но там какие-то видео были и вот они требовали VPN отключить. Но мне не особо нужно было.

[Максим К]

shurshur, IP?

[shurshur]

Максим К, что IP?

Answer 1

[AlexVWill]

Есть подозрение, что из-за него некорректно работает форма авторизации / регистрации на сайте.

Надо бороться с причиной, а не с явлением как таковым. Если форма криво работает из-под VPN, то виновата форма, а не VPN. Половина мира уже сидит в интеренет под VPN, поэтому стоит задуматься о том, что у тебя не так реализовано. Тем более, что каких то объективных причин нарушения работы web-сервера если на него поступают запросы от VPN нет.
Я бы скорее предположил, что в форме реализованы какие то скрипты (возможно даже сторонние JS библиотеки), который блокировщики рекламы считают спамом, и режут их, отсюда и проблема. Надо конкретно смотреть, что не так.

ак определить, что у пользователя включен vpn

Ну определишь ты, и что дальше? Как это тебе поможет реализовать исправление ошибки формы? Лучше задуматься о том, как исправить форму, чтобы все могkи ей пользоваться независимо от VPN.

Comments

[CityCat4]

А может быть там как раз задача "бороться с VPN"? Мир основательно сошел с ума и сейчас выделывает кренделя не хуже Леона Эспинозы (танцор такой был).

[AlexVWill]

CityCat4, любая задача должна иметь смысл, а такая борьба это какое то безумие...

[junior_www]

AlexVWill, поверьте, эта задача имеет смысл. Более того, судя по количеству откликнувшихся задача актуальна. Вы правы, возможно, что и придется править и в самой форме. Но, перед этим нужно отловить ошибку. Основная проблема в том, что ошибку не удается повторить. Потому и хочу вешать флаг с впном на юзеров в логи, и по факту неожиданной новой ошибки уже принимать решение, что править. Большое спасибо, за ваше неравнодушие в этом вопросе.

[CityCat4]

AlexVWill, Эта задача имеет смысл. Многие конторы, разрешавшие работу по удаленке, год назад столкнулись с тем, что "удаленщики" массово оказались в Верхнем Ларсе. Казалось бы - ну какое дело? (не считая допустим Госуслуг, где совершенно очевидно ограничение на не-российские IP). А оказалось - очень даже есть дело...

Answer 2

[Владимир Шаблий]

Только по косвенным признакам.
Если вы ждёте аудиторию из РФ, а VPN находится за ее пределами, можно дергать IP посетителя ($_SERVER['REMOTE_ADDR'];) и прогонять через какой-нибудь сервис типа https://ip-api.com. Результат отличный от "Russua" - обрабатывать, как вам требуется...
Но это как вариант. Способ весьма костыльный.

Comments

[maksam07]

Лучше через maxmind - не нужно будет обращаться к сторонним сервисам лишним запросом

[Владимир Шаблий]

maksam07, вы предлагаете всю библиотеку установить себе и постоянно ее самостоятельно обновлять?

[maksam07]

Владимир Шаблий, все верно. Как часто требуется обновлять базы - нужно почитать, но в целом, обновление можно сделать и автоматическим

[Владимир Шаблий]

maksam07, мне кажется, проще 10 строк кода для обращения к стороннему сервису...
Тот, что я привел в пример - у меня уже несколько лет работает без сбоев.

[Александр Карабанов]

Владимир Шаблий, и положить свой же сервис, когда ip-api.com ляжет или забанит за частые обращения.

[maksam07]

Владимир Шаблий, хорошо, если так. Но у нас недостаточно входных данных. Если он хочет логгировать все запросы и трафик у него "большой", то множество обращений к сервису ip-api.com может работать медленнее, чем с "оффлайн" базой ип адресов maxmind.

У сервиса ип-апи есть ограничения:
- This endpoint is limited to 45 requests per minute from an IP address.
- Невозможность использовать https в бесплатном плане

[Владимир Шаблий]

Александр Карабанов, почему сразу "положить"?
Можно предусмотреть исключительную ситуацию, к тому же вариант, что на сайт придет проксированный юзер и в это время сервис недоступен - маловероятен. Если только вы не ожидаете 100 посетителей в секунду...
На крайний случай можно взять зацепку, указанную автором вопроса и плясать от нее. Тогда запросы к стороннему сервису сводятся к минимуму.

[Александр Карабанов]

Владимир Шаблий, столько нюансов, столько нюансов.

Я не просто так сагрился - эту фигню я встречаю постоянно и каждый раз эти "разработчики" забывают добавить короткий таймаут ожидания ответа, сделать фолбек если внешний сервис недоступен, в результате все воркеры исчерпываются и сервис ложиться (в целом неудивительно ведь эти "разработчки" банкиры, учителя, милиционеры, ВРАЧИ, и даже таможенника одного знаю)...

Вычитать страну (и даже город если повезёт) из HTTP заголовка куда проще и сюрпризов не будет, да и базу обновлять надо раз в месяц можт и это легко автоматизировать.

[Александр Карабанов]

К тому же это позволит, например, банить таких ребят на уровне Nginx вообще не доходя до уровня приложения

[Vitsliputsli]

К слову о maxmind, локальный поиск будет явно в разы быстрее. Не говоря уже о стабильности. Подключить maxmind это те же 10 строчек. Обновление 2 раза в неделю, и для автоматического обновления они предоставляют готовый скрипт.
Единственное, если нужна халява, я не помню, чтобы у них была бесплатная версия.

[Александр Карабанов]

Vitsliputsli, есть бесплатная, только там нет каких-то специфических полей, но страны и города есть.

Answer 3

[CityCat4]

1. Самый простой и босяцкий способ - проверка по IP адресу. Есть (как там в комментах сказали) вариант с запросом к стороннему серверу, есть вариант с базой on premise, я за второй. Нужный сет стран пропускаем, ненужный баним.
2. Проверка DNS. Если IP голладнский, а DNS - российский - однозначно VPN. И наоборот - если IP российский, а DNS например от гугла - можно забанить - не выпендривайся, юзай провайдерский DNS.
3. Проверка локали. Если локаль русская, а IP - голландский, однозначно VPN
4. Проверка таймзоны и локального времени. Если таймзона доступна и она например Europe/Moscow, а IP - голландский - VPN. Если опять же на IP Голландии время, когда в Голландии обычно спят - может быть VPN (хотя я вот постоянно по ночам сижу).

Есть сайт whoer.net. Он предназначен для обратной задачи - проверки уровня анонимности, но сами понимаете, любую задачу можно решать "от противного" и там можно найти много интересного о том, как он опредляет уровень анонимности VPN.

Comments

[Maksim Herasim]

По второму пункту немного бредово. Я не использую провайдерские ДНС впринципе, всегда заменяю их либо на свой днс, либо на яндекс днс. Знаю многих людей кто делает так-же. Поэтому этот вариант весьма спорный. Соглашусь что обычный пользователь и не знает что такое ДНС и не будет заморачиваться с их сменой, но отрезать часть аудитории по такому признаку тоже считаю странным.
С локалью тоже есть вопросы, например у меня мак на англ. локале, винда локализована родным. Получается с мака я не зайду. В целом 1,2,3,4 соглашусь что можно вызывать как признаки, но я бы сделал что-то вроде scope, если каждый пункт = true, тогда scope+1 (по каждому пункту), если scope > 2 , тогда считаем что используется VPN и отдаем другую логику.

[shurshur]

Сайт всяко уж точно не может определить, какие у пользователя в настройках DNS стоят. Тем более на Linux там часто стоит 127.0.0.11.

Локаль проверять тоже глупая идея. У меня, есть знакомый, который изучает немецкий язык. Он немецкую локаль использует.

[Maksim Herasim]

shurshur, поэтому лучше использовать что то вроде scope, если несколько признаков совпадают, тогда будем считать использует ВПН

[shurshur]

Maksim Herasim, ну по вопросу видно, что автор вместо решения проблем с неработающим сайтом пытается заставить пользователей отключать VPN, потому что ему показалось, что сайт плохо работает с VPN. Может, за этим что-нибудь и стоит осмысленное (например, он использует сторонние скрипты, которые капризны к адресу источника запроса?), но скорее всего просто ерунда и надо взять да и разобраться, откуда берутся проблемы.

[CityCat4]

Maksim Herasim, Разумеется. Проверка DNS - это очень распространенная проверка. Например сайт latticesemi.com не пускает трафик даже через VPN, если у тебя DNS российский.

[CityCat4]

shurshur, Сайт может определить какой ты используешь DNS. Как - я пока не знаю, вопросом не задавался, но попробуй whoer.net - и убедись сам. Он иногда ошбиается, но большей частью определяет правильно. Ну и кроме того, вряд ли проблемы твоего знакомого заинтересуют например Интел (который ограничивает заход с российских IP) или Госуслуги (который вроде бы как ограничивает заход с не-российских IP)
Это, к сожалению вот такая особенность крупных контор - я делаю что хочу, а ваши проблемы - это ваши проблемы. Наличие чьего-то мнения, какое бы оно ни было - никак не влияет на то, что таким образом можно проверять наличие/отсутствие VPN.

[shurshur]

CityCat4, есть довольно наивный способ - запрашиваем с фронте имя уникальный_id.некоторое_имя.com, а на стороне своего подконтрольного DNS-сервера получаем IP, с которого пришёл запрос. И это типа DNS клиента. Но, конечно, это весьма слабонадёжный способ, потому что запрос может придти не с того же самого сервера, который использует пользователь.

[shurshur]

CityCat4, вот, сначала у меня написало N/A а потом показало 172.217.37.139. Это IP гугла. В настройках у меня 127.0.0.1 (dnsmasq) и 8.8.8.8 (надо кстати убрать, вставлял когда временно и забыл), dnsmasq кидает в quad9. То есть угадалка сработала не очень эффектно.

[CityCat4]

shurshur, Ошибка выжившего. Если я выхожу без VPN - угадывается провайдерский DNS (что правильно). Еслb выхожу через личный VPS - пишет бред про какой-то финский IP. Если же же выхожу через VPS, взятый для конторы (и, как сегодня выяснилось в другом но схожем вопросе, там можно отследить связь с РФ) - опять пишет провайдерский DNS! :)
Возможно, там не сильно сложные проверки, но большую часть они покрывают. Например на личном VPS у меня стоит и VPN и прокси - но ipinfo.io например их не видит :)

[shurshur]

CityCat4, я не выхожу с VPN. Но у меня DNS может попасть на 8.8.8.8 со второй попытки, поэтому есть логика в том, что запрос к сервису прилетел с гугла. Показываемый IP вообще никак не связан с VPN.

[CityCat4]

shurshur, Что-то мне подсказывает, что конторам типа Intel, Dell или той же Lattice Semiconductor - глубоко поуху проблемы некоего физика, если он из-за их ошибок в настройке фильтра по геолокации не попадет к ним на сайт :)

[shurshur]

CityCat4, это не про геолокацию. Это люто неточная магия в попытке определить DNS-сервер пользователя. Вон, 8.8.8.8 не умеет определять (хотя они-то как раз могли бы набрать статистику и распознавать, что пользователи используют гуглоднс...)