Как обойти блокировку провайдера «Ростелеком» для https-сайтов внесенных в реестр запрещенных сайтов?

Question

[HawK]

Для MikroTik существует эффективный способ обхода блокировок Роскомнадзора. Единственный недостаток этого способа - не открываются https-сайты, поэтому приходится маркировать https-трафик и маршрутизировать через шлюз другого провайдера.
Каков механизм блокировки Ростелекома для https-сайтов? Как можно реализовать обход блокировок https-сайтов на Mikrotik без использования сторонних впн и прокси?

Answer 1

[HawK]

Все оказывается очень просто. Как и в случае с http, DPI провайдера перехватывает запросы абонентов и отправляются поддельные ответы от сервера. В случае https нельзя подменить защищенное содержимое, поэтому отправляется поддельный пакет с флагом RST. Запретив такие пакеты - получаем настоящие ответы от сервера:

/ip firewall filter
add action=drop chain=forward disabled=no in-interface=pppoe protocol=tcp src-port=443 tcp-flags=rst packet-size=40 ttl=equal:120

P.S. Под это правило попадает много пакетов, при этом каких-либо проблем обнаружено не было, но для более точной обработки можно поставить дополнительные условия, в моем случае packet-size=40 и ttl=equal:120 (для windows-систем) и ttl=equal:56 (соответственно для *nix-систем) и теперь счетчик правила увеличивается только при обращении к запрещенным https-сайтам. Правило со значением ttl=56 иногда отрабатывает без необходимости, при этом каких-либо проблем замечено не было. Значения ttl смотрел в поддельных пакетах от провайдера и уменьшал их на 1 в правилах.

Comments

[dollar]

Этот способ не отменяет того, что в поисковой выдаче будут отсутствовать заблокированные сайты. Вы их просто не найдёте, если не знаете точного адреса.

[HawK]

dollar, во-первых, на сегодняшний день поисковики не осуществляют фильтрацию так называемых "запрещенных" сайтов. Даже если у недоучек из роскомпозора получится заставить поисковики ограничивать выдачу результатов - поисковики, уверен, так же как и провайдеры, будут выполнять эти требования лишь формально, оставляя пользователям возможность обходить бессмысленные ограничения, например, указывая в настройках профиля страну отличную от России, либо перенаправлять поисковые запросы через другие страны. Роскомпозор обосрался по полной с телеграмом, блокировки всерьез воспринимают разве что совсем далекие от ИТ люди)
Во-вторых, все заблокированые сайты роскомпозор добавляет в соответствующие реестры, находящиеся в публичном доступе, избавляя таким образом пользователей от поиска в принципе)

[dollar]

HawK, хорошая картинка, отражает правду. В целом я согласен, обход всегда найдётся. В частности, по теме вопроса, на Растелеком (да и на других провайдерах) хорошо работает программка goodbyedpi от ValdikSS. Она работает по тому же принципу, что вы описали в ответе, только имеет очень много опций. И предназначена для простых смертных.

Но вот насчёт поисковиков вы заблуждаетесь. И простые пользователи (и даже вы, как оказалось) даже не догадываются, что в выдаче больше нет заблокированных сайтов. А если не знают, то и не пытаются обойти. Вы правы, гугл не фильтрует выдачу для ip не из РФ. Но, как я уже сказал, об этом мало кому не известно, хотя закону уже год.

Закон для поисковиков вышел ещё 1 ноября 2017 года. С тех пор поисковики (Яндекс, Гугл) больше не показывают запрещённые сайты. Этот закон также запрещает VPN и анонимайзеры, но с ними всё сложнее, они не такие сговорчивые, как поисковики. Просто им нет смысла фильтровать контент, иначе ими не будут пользоваться. А поисковики фильтруют - это факт.

А вот ещё пример - 4 сентября 2018 поисковикам запретили вмешиваться в выборы - и всё, соответствующая информация чудесным образом моментально пропала. А кто не в теме, даже не в курсе, что фильтры работают. Интересующимися информация просто не ищется, как будто её нет (без всяких плашек о блокировке, которые провоцируют на обход).

И в этом смысле ваша картинка уже не отражает правду. У вас палец символизирует плашку о блокировке. А по факту пальца просто нет - пропадает сама добыча (еда), за которой идут муравьи.

Проверить очень легко. Введите в гугле слово "rutracker". На первом месте (ну, хотя бы на втором) должен быть rutracker.org - если там зеркало, то фейл. Ещё можно ввести "Терминатор site:rutracker.org" - будет 0 результатов. А теперь те же вопросы в гугле, но через Tor или VPN. Чудеса?

Для себя пока что нашёл search.skydns.ru - по сути получается движок яндекса, но без цензуры. Не знаю, когда прикроют, но тест на поиск рутрекера пока проходит без проблем.

В любом случае факт остаётся фактом - ваш метод (а также ValdikSS) имеет недостаток в плане того, что ip остаётся Российский. А значит, найти запрещённую информацию большинству не представляется возможным, и они об этом не подозревают.

Что касается списка сайтов в реестре, то это не заменит поиск. Никто не будет перебирать в реестре все сайты подряд и смотреть, что же там. Можно только убедиться, что ваш любимый сайт, который вы хорошо знаете, находится в реестре. А найти сайт по ключевым словам с нужной вам информацией не получится. (Если мы пойдём по пути Китая, то реестра вообще не будет).

[HawK]

dollar, goodbyedpi - отличное решение для рабочих станций, у меня же стоит задача на уровне провайдерского шлюза обходить блокировки вышестоящего провайдера, который вынужден соблюдать эти дилетантские законы, придуманные конченым ламерьем, полагающим что в их жалких умишках есть понимание всех процессов в обществе, стране, мире, вселенной) Стоит менее минуты послушать или почитать этих жаровых, яровых, левиных, мукабеновых и прочих, чтобы убедиться в их абсолютной удаленности от сетевых технологий. Чего только стоит так называемый закон о мессенджерах, который был утвержден всеми инстанциями и выставил это государство на посмещище. В его тексте явно указано на то, что в представлении законотворцев любой мессенджер использует MSISDN и соответственно контролируется операторами за которыми эти номера закреплены, ровно также как смс, голосовая связь и прочие услуги операторов. Даже школьники понимают, что в некоторых мессенджерах в качестве идентификатора может использоваться набор цифр, который совпадает с телефонным номером, но никакого отношения к оператору связи не имеет. Сорри за оффтопик.

Что же касается выдачи поисковиков - rutracker.org - слишком уж яркий пример, после известного инцидента с медведевым, некоторые провайдеры спешно блокировали его наглухо, видимо с выдачей результатов поиска похожая ситуация. Что же касается других псевдозаблокированных ресурсов, навскидку, grani.ru, linkedin.com - с выдачами результатов все в порядке, в верху списка.
По поводу грязных выборных игр - это всегда деньги, как одна из версий, имеют место быть личные договоренности с техническими сотрудниками поисковиков, подрепленные крупными денежными суммами). Тот факт, что гугл идет на поводу у российских властей говорит о том, что нити этих геополитических марионеток находятся в руках одного хозяина. Иначе трудно объяснить поддатливость интернет-гиганта, ведь даже самые бездарные госрыла прекрасно понимают, что если запретить гугл - эту власть сметут махом, причем те же псы, которые призваны ее защищать) Даже телеграм, с гораздо более скромными возможностями просто покакал сверху на всю эту госбратию, что не может не быть наглядным примером того, как надо поступать с идиотами)

Идеальный способ обхода блокировок - это гибкость и постоянное совершенствование методов и способов обхода. Пускать через впн весь заблокированный трафик, а тем более весь трафик - слишком расточительно, а вот трафик поисковиков - похоже становится актуальным. Описываемый в этой теме способ, также как и goodbyedpi - это лишь некоторые инструменты, также как и впн, прокси и т.д. Комбинируя их в нужных вариантах можно оптимально обезопасить себя и других от недоумков)

Answer 2

[res2001]

Блокировка, видимо, осуществляется по доменному имени (IP адресу) целиком всего сайта. Без ВПН или прокси не обойти.

Answer 3

[Lindon_cano]

Без VPN или прокси никак.

Answer 4

[Равиль Шаймарданов]

Пользую Ростелеком , с белым ip , через хром хожу куда хочу с помощью обычных обходчиков блокировок. Не могу понять суть вопроса ?

Comments

[HawK]

Вопрос по-поводу настройки шлюза без использования впн и прокси, в вопросе не идет речь о настройке клиентских браузеров.

Answer 5

[sergeoy]

Минимум затрат и профит при помощи этого : altvpn.com/57a6551c822c4.html

Comments

[HawK]

Тем не менее затраты есть, а профит весьма сомнителен - городить дополнительные туннели, при наличии более эффективного и бесплатного способа.

Answer 6

[Der AlSem]

Инструкция еще актуальная? tech4fun не открывается (БД, что ли упала), посмотрел в кеше Гугля. Что имею:

1. Без настройки - страница warning.rt.ru
2. С добавлением первого правила (пофиксенного на warning.rt.ru) страница исчезла, вместо нее ERR_CONNECTION_RESET
3. С добавлением строки про https - ничего не изменилось.

Что я делаю не так? :)

Comments

[Der AlSem]

Да, правило про RST не отрабатывается, пишет, что 0 пакетов...

[h8nor]

С вероятностью 99% уже не работает.

[Der AlSem]

Опытным путем установил, что дело в ТТЛ. Если убрать эту опцию - правило работает и трекер открывается. :)

[HawK]

Der AlSem: TTL для каждого случая нужно смотреть в дампе и уменьшать на 1 в правиле.
Без TTL блокируются все RST-пакеты, что теоретически может привести к проблемам связанным с большим количествам незакрытых соединений. На практике проблем замечено не было, соединения закрываются по тайм-ауту и никаких проблем нет, но все же указав нужный TTL уменьшанм количество ложных срабатываний правила в поставленной задаче.

[HawK]

Дѣаволъ: Существуют какие-то обоснования для вашего предположения? Если нет - в чем смысл высказывать здесь необоснованные домыслы?

[HawK]

Der AlSem: Если не работает правило для блокировки http - попробуйте в поле content правила Микротика указать warning.rt.ru, вместо того значения, которое указано на tech4fun.

[h8nor]

HawK: Что-то похожее видел на форуме рутрекера. Возможно, я ошибся с заглушкой (или руки кривые).

[Der AlSem]

HawK: смотреть дамп - это как? У меня вроде работает и так, но хотелось бы довести до ума. :)

[HawK]

Der AlSem: Смотрите в сторону Wireshark, мануалов в сети достаточно.

[Der AlSem]

За наводку спасибо. Москва, онлайм, ттл:116.

Чтобы не искать, сохраню обе строчки здесь:

chain=forward action=drop protocol=tcp in-interface=eth1-wan src-port=80 content=Location: warning.rt.ru/? log=no log-prefix=""

chain=forward action=drop tcp-flags=rst protocol=tcp ttl=equal:116 in-interface=eth1-wan src-port=443 packet-size=40 log=no

[Der AlSem]

HawK, теперь у меня те страницы, которые блочатся на warning.rt.ru открываются. Но некоторые вернулись с блокировкой на 77.37.254.90/zapret/? - я правило добавил, но че-т не срабатывает. У вас как работает?

[HawK]

Der AlSem, у меня таких проблем не наблюдалось, попробуйте в правиле указать content 77.37.254.90, должно сработать