Задать вопрос

Какой VPN выбрать?

какие VPN протоколы для быстрой установки на хостинг посоветуйте, кроме OpenVPN и WireGuard кажется скоро они умрут, нужен он для просмотра YouTube и другого сёрфинга
  • Вопрос задан
  • 1828 просмотров
Подписаться 13 Простой 8 комментариев
Пригласить эксперта
Ответы на вопрос 7
Я использую Outline VPN, ставится в одну команду и хорошо работает
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
Мне всегда было интересно - почему же у меня стоит совершенно банальный IPSec и йопт ни одна собака его не блокирует? Вот самый обычный IPSec на порту 500 в "страну цветов". ЧЯДНТ?

А кругом люди суетятся что-то, какие-то vless строят, хрень какую-то придумывают... Смотрю на это и думаю - то ли лыжи не едут, то ли я какой-то не такой... :DDD
Ответ написан
@Drno
я бы посоветовал xray+vless+reality
как вариант можешь взять проект 3x-ui

либо AnyConnect, если нужен именно VPN. ocserv - на гитхабе(но тут не быстро)
Ответ написан
Комментировать
@KingAnton
Например amnezia, заодно сможете протестить разные протоколы
Ответ написан
xenon
@xenon
Too drunk to fsck
Я бы все-таки предпочел wireguard и пока что не слишком волновался насчет того, что его блокируют - это все легко обходится. Раз у вас свой сервер, то решается все легко.

Думать о том, как там будет через 3 года, и готовиться обязательно к самому худшему сценарию пока не нужно. А то потратите силы на подготовку к самому худшему, а он не случится - обидно будет. Но даже если случится, через три года если что и переставите, а там может или шах или ишак. А все это время лучше жить с быстрым VPN, пользоваться которым одно удовольствие. И ставится он "красиво", системным способом, а не как Outline.

У wg очень простая сигнатура для DPI, поэтому легко его детектят и блочат. Но для этой проблемы несколько вариантов решений.

Решение 1 от ValdikSS : Сначала с того же клиентского порта и на тот же серверный "пробить" соединение другим пакетом (без сигнатуры). Так как для DPI этот пакет - часть соединения, то оно уже не похоже на wg. А вот wg сервер просто проигнорирует первый мусорный пакет, выбросит, а на второй ответит.

wg0.conf: ListenPort = 56789

sudo nping --udp --count 1 --data-length 16 --source-port 56789 --dest-port DEST_PORT DEST_IP


Как проверить, что wireguard не заблокирован?
https://ntc.party/t/wireguard/4968/6
(обратите внимание на то, что на клиенте нужно зафиксировать ListenPort)

2. Тот же самый эффект, но без ручного запуска nping каждый раз (просто автоматизируем то же решение):
в конфиг wg (wg0.conf или какой у вас) просто пишем:
[Interface]
PrivateKey = ....
Address = 10.9.0.2/24
ListenPort = 12345

PreUp = nping --udp --count 1 --data-length 16 --source-port 12345 --dest-port 12345 123.123.123.123


3. Можно чуть больше заморочиться, и замаскировать (обфусцировать) wg трафик через netfilter - если на клиенте и сервере закодировать его с одинаковым ключом (и самым простым шифрованием) - DPI его не видит.
https://github.com/infinet/xt_wgobfs

В общем, wireguard сам по себе искаропки не умеет "прятаться" (это и не его задача), но если нужно его спрятать - это делается в две минуты. (Ну первый раз подольше, пока разбираешься). Силы зла и негетеросексуализма и так уже вынуждены применять дорогой и тяжелый DPI для блокировки очень простого VPN. Блокировать обфусцированный, как в этих примерах - на порядок (порядки) сложнее (если вообще возможно) и точно неэффективно - огромные затраты, чтоб заблочить VPN всего паре десятков тысяч ITшников, которые тут же как-то иначе наладят себе VPNы (в крайнем случае перейдут на Outline или что-то еще) - бессмысленно, поэтому, думаю, никогда и не случится.
Ответ написан
Комментировать
@maksam07
OpenVPN + sstp/chisel/Cloak.
Ответ написан
Комментировать
Хороший цикл статей на хабре на эту тему. Исходя из этого наилучший вариант для РФ похоже XTLS-Reality.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы