Какими инструментами можно открыть доступ к российскому сервису, заблокированному за рубежом?

Question

[Apple]

У меня есть приложения iOS и Android для телефона + сайт (динамический, с регистрациями и т.п.) и БД, расположенные на российском сервере, IP которого заблокирован в нескольких зарубежных странах (применяется массовое блокирование российских IP-адресов). То есть пользователи из этих стран не могут попасть ко мне на сайт. Ранее я использовал бесплатное прокси-решение от Cloudflare, благодаря которому пользователи из этих стран без проблем пользовались сервисом. С июня Cloudflare в России частично блокируется, поэтому я хотел бы создать такое решение без его участия. Но я не до конца понимаю схему работы и какие приложения/серверы мне для этого понадобятся.

Comments

[APKAH9]

Думал на протяжении 16s
Окей, по-человечески и без каши. Короткая шпаргалка, чтоб заработало и не горело.

Что сделать

Взять EU-VPS.
Любой недорогой. Это будет публичный вход.

Поставить на EU-VPS:
WireGuard (или AmneziaWG) + Nginx. Nginx принимает HTTPS, внутри шлёт трафик по туннелю.

Настроить туннель EU ↔ RU.
Приватная подсеть, например: EU 10.8.0.1, RU 10.8.0.2. Работает только по ключам.

Прописать прокси.
Nginx на EU делает proxy_pass http://10.8.0.2:PORT на твой бэкенд в РФ.

Закрыть RU-сервер снаружи.
Порты сайта/API наружу закрыть. Разрешить только:

UDP порт туннеля

доступ с EU-VPS по приватке 10.8.0.1/24.

DNS на домены.
www. и api. указывают на IP EU-VPS. TTL 60–300 сек.

Клиенты.
Приложения ходят по домену, не по IP. Если есть pinning — пинни SPKI нового сертификата на EU-VPS.

По желанию, но разумно

Вторая нода в ЕС + health-checks для фейловера.

Rate-limit/WAF в Nginx.

Логи/мониторинг, чтобы не чинить «на слух».

Всё. Вход в ЕС, приватный путь в РФ, БД не торчит, пользователи из «заблокированных» стран снова видят сервис.

[APKAH9]

Взять EU-VPS.
Любой недорогой. Это будет публичный вход.

Поставить на EU-VPS:
WireGuard (или AmneziaWG) + Nginx. Nginx принимает HTTPS, внутри шлёт трафик по туннелю.

Настроить туннель EU ↔ RU.
Приватная подсеть, например: EU 10.8.0.1, RU 10.8.0.2. Работает только по ключам.

Прописать прокси.
Nginx на EU делает proxy_pass http://10.8.0.2:PORT на твой бэкенд в РФ.

Закрыть RU-сервер снаружи.
Порты сайта/API наружу закрыть. Разрешить только:

UDP порт туннеля

доступ с EU-VPS по приватке 10.8.0.1/24.

DNS на домены.
www. и api. указывают на IP EU-VPS. TTL 60–300 сек.

Клиенты.
Приложения ходят по домену, не по IP. Если есть pinning — пинни SPKI нового сертификата на EU-VPS.

По желанию, но разумно

Вторая нода в ЕС + health-checks для фейловера.

Rate-limit/WAF в Nginx.

Логи/мониторинг, чтобы не чинить «на слух».

Всё. Вход в ЕС, приватный путь в РФ, БД не торчит, пользователи из «заблокированных» стран снова видят сервис.

Answer 1

[AntHTML]

В чем проблема сделать зеркало сайта для запада?
Ну или проксик на AWS и опять же домен типо global.mysite.ru

Comments

[Apple]

Прошу прощения, не уточнил, что сайт динамический + есть приложения.

[AntHTML]

Apple, роли не меняет

Answer 2

[Refguser]

У меня есть сайт и БД, расположенные на российском сервере, IP которого заблокирован в нескольких зарубежных странах (применяется массовое блокирование российских IP-адресов)

Так перенеси на не блокируемый сервер, делов-то.

spoiler

"Несколько зарубежных стран" (а что, есть страны не зарубежные? :) ).. кроме Украины никто не занимается "массовым блокированием российских IP-адресов")

Comments

[Ziptar]

Для каждой страны есть как минимум одна не зарубежная страна - она сама. Даже иногда возможны варианты, когда больше, но там уже вопрос трактовок и чёткости формулировок.

[Refguser]

Ziptar, назови несколько (>2) не зарубежных стран.

Для каждой страны есть как минимум одна не зарубежная страна - она сама.

Которая сама себя блокирует, ага.. :) Вот к чему это умничество?

[Ziptar]

Refguser,

назови несколько (>2) не зарубежных стран.

Ну для реального федеративного/конфедеративного устройства вполне можно "рубежом" считать границы федерации, при этом субъект вполне можно рассматривать как отдельную страну в составе федерации. Для РФ это не очевидно, потому что федерация у нас только в названии по факту, а для штатов это вполне естественно, например.

Которая сама себя блокирует, ага.. :) Вот к чему это умничество?

Это "разрешите доколупаться" )

Которая сама себя блокирует, ага.. :)

Но учитывая, как работает ркн...

[Кот Абсолютный]

кроме Украины никто не занимается "массовым блокированием российских IP-адресов"

Ага, щаз. На intel.com зайди :) И с ходу еще пару десятков сайтов назову, которые блокируют по гео - в основном разработчики электроники. Причем если большинство тупо банит по гео, некоторые проверяют еще dns, а некоторые вообще извращаются так, что нужен vpn до прокси в забугории, иначе никак.

[Refguser]

Ziptar,

вполне можно "рубежом" считать границы федерации

Нельзя. Федерация - не страна. Она часть страны.

Это "разрешите доколупаться" )

Это, на сек, ты тут начал разводить "докулупаться". Причём безграмотно.

Но учитывая, как работает ркн...

РКН не собственную страну банит, а высылает циркуляры провам на запрещение доступа к отдельным ресурсам (как в собственной стране, так и за её пределами). Не надо натягивать сову на глобус, путая тёплое с мягким.

[Refguser]

CityCat4,

И с ходу еще пару десятков сайтов назову, которые блокируют по гео

САЙТОВ! Отдельные ресурсы с совершено конкретным владельцами, а не политика (законы) страны. Почувствуйте разницу, как говорится.

[Ziptar]

Refguser,

Нельзя. Федерация - не страна. Она часть страны.

Федерация это конгломерат стран, и уж никак не "часть страны".

Это, на сек, ты тут начал разводить "докулупаться". Причём безграмотно.

Я не буду хамить в ответ на твоё хамство, но ты, пожалуйста, почитай что такое федерация, возможно ты просто перепутал с чем-то.

РКН не собственную страну банит

РКН реализует внутреннюю цензуру. По мне - так это вполне себе "банит".

[Кот Абсолютный]

РКН реализует внутреннюю цензуру. По мне - так это вполне себе "банит".

Если подходить юридически - РКН ничего не реализует сам. Он выполняет то, ради чего создавался. Ему определили критерии - он по ним банит. У него тоже есть свое руководство.

[Ziptar]

CityCat4, со стороны государства это исполнительный орган, который реализует цензуру. То, что для реализации он вводит обязательства для частных предприятий и частных лиц - сути не меняет. Он не принимает решения о введении цензуры, но он её реализует. Это исполнительный механизм. Не решающий. Кальку с АСУ на самом деле здесь удобно использовать, она буквальная. Исполнительная власть, законодательная власть, исполнительный механизм, решающий механизм (прибор).

[Refguser]

Ziptar,

Федерация это конгломерат стран, и уж никак не "часть страны".

Нда.. иди учи законы, а не педивикии.

НО! Тут

Федерация - не страна. Она часть страны.

я не правильно выразился - имел ввиду субъект федерации.
Что не отменяет общего смысла: субъект федерации - это не страна, не "заграница".

[Refguser]

Ziptar,

Это исполнительный механизм. Не решающий.

И кто ж, по твоему, решающий? :)

[Ziptar]

Refguser,

Нда.. иди учи законы, а не педивикии.

Не хами,. Я тебе не предлагаю учить политологию и изучать политическую философию, но изволил бы хотя бы мельком поинтересоваться, прежде чем писать то, что ты пишешь.

я не правильно выразился - имел ввиду субъект федерации.

"Неправильно выразиться" и "спутать два различных термина" - разные вещи.

Что не отменяет общего смысла: субъект федерации - это не страна, не "заграница".

Это страна, но не заграница. Страна буквально, с английского state. Опять же, для РФ это неочевидно, потому что у нас в реальности практически полностью унитарное устройство, за исключением чечни, которая реально имеет существенную автономию. Про другие республики - отдельно обращаю внимание на этот термин, означающий тип политического устройства в стране - такого сказать не особо и можно. Понятие "субъект федерации" состоит, как ни странно, из двух слов - субъект и федерация, означающих некоторую правосубъектную единицу в составе федерации. В норме такой субъект - как раз таки страна, state.
А что касается рубежа - рубеж я предлагаю рассматривать как границу, на которой заканчивается свобода перемещения граждан, но это дискуссионная трактовка.

Не знаю зачем ты на рожон полез в ответ на полушутку, но раз уж полез...

[Ziptar]

Refguser,

И кто ж, по твоему, решающий? :)

Формально госдума aka парламент, фактически сам знаешь кто. Имя воландеморта не произносим, нет.

[Refguser]

Ziptar,

Формально госдума aka парламент, фактически сам знаешь кто. Имя воландеморта не произносим, нет.

ОМГ.. всё НАСТОЛЬКО плохо...

Не хами,.

Только неучи отправка к знаниям расценивают как хамсто.
Ну собственно ЧИТД.

Не знаю зачем ты на рожон полез

Неча на зеркало пенять.... стрелочник.

За сим откланиваюсь.

[Ziptar]

Refguser, безграмотная агрессивная

spoiler

,
которая думает, что все вокруг неучи, кроме него самого, по факту не понимающая в этой жизни вообще нихрена

[Кот Абсолютный]

Ziptar, Да вовсе она не агрессивная :) Она такая грустно-задумчивая...

[Refguser]

Ziptar, я догадывался, но спасибо что сообщил о себе такие подробности.

Answer 3

[Василий]

сделать зеркало

Comments

[Apple]

Прошу прощения, не уточнил, что сайт динамический + есть приложения.

Answer 4

[APKAH9]

Думал на протяжении 16s
Окей, по-человечески и без каши. Короткая шпаргалка, чтоб заработало и не горело.

Что сделать

Взять EU-VPS.
Любой недорогой. Это будет публичный вход.

Поставить на EU-VPS:
WireGuard (или AmneziaWG) + Nginx. Nginx принимает HTTPS, внутри шлёт трафик по туннелю.

Настроить туннель EU ↔ RU.
Приватная подсеть, например: EU 10.8.0.1, RU 10.8.0.2. Работает только по ключам.

Прописать прокси.
Nginx на EU делает proxy_pass http://10.8.0.2:PORT на твой бэкенд в РФ.

Закрыть RU-сервер снаружи.
Порты сайта/API наружу закрыть. Разрешить только:

UDP порт туннеля

доступ с EU-VPS по приватке 10.8.0.1/24.

DNS на домены.
www. и api. указывают на IP EU-VPS. TTL 60–300 сек.

Клиенты.
Приложения ходят по домену, не по IP. Если есть pinning — пинни SPKI нового сертификата на EU-VPS.

По желанию, но разумно

Вторая нода в ЕС + health-checks для фейловера.

Rate-limit/WAF в Nginx.

Логи/мониторинг, чтобы не чинить «на слух».

Всё. Вход в ЕС, приватный путь в РФ, БД не торчит, пользователи из «заблокированных» стран снова видят сервис.

По мне тут делов на неделю целую, если не шаришь. Пару дней, если шаришь