Новый сервер, новые приключения. Начало крайних мер.

Проблема и новость о порблеме

Как раз где-то с 9 июня мы столкнулись с проблемами с подключением к нашему единственному серверу за границей. Время от времени обрубался весь трафик, даже к административной панели не удавалось подключиться, однако SSH продолжал работать, как и ICMP. Разумеется, это не особо помогает смотреть Youtube и зависать с друзьяшками в Discord. Всё это происходило на фоне набирающих обороты отключений мобильного интернета в приграничных регионах РФ.

Сегодня же я узнал, что некоторое время назад CloudFlare выпустили отчет, в котором поделились данными о масштабе блокировок интернета в России. Оказалось, что их трафик из РФ упал на 50% — это значительный показатель (по некоторым комментариям, треть интернета в РФ в той или иной степени зависили от мощностей CloudFlare). В добавок, указывалось, что блокировки задевают Hezner, DigitalOcean и OVH. Это крупнейшие арендодетели серверов, чьи мощности регулярно используют для поднятия как публичных, так и частных VPN. В статье располагались ссылки на прочие материалы, из которых я более подробно познакомился с масштабами проблемы и с масштабами сопротивления. Я знал, что значительная часть трафика, потерянного Youtube в России, переместилась на страны ближнего зарубежья, так как люди просто начали использовать VPN, но то что зарубежные новостные агенства начали набирать популярность у пользователей из России — я не подозревал.

“Дополнительная литература” и вдохновение

Еще до того как я погрузился в текущее положение дел касательно блокировок, я читал некоторые статьи на хабре, посты на гитхабе и некоторых других ресурсах, где обсуждались способы обхода блокировок. Как я вычитал, на данный момент, применяемые в ТСПУ алогоритмы, достаточно сложны и стабильно их обходить не возможно. У каждого провайдера может быть свой алгоритм, что делает практически невозможным получение универсальной системы маскировки трафика. Текущие решения и настройки к ним могут работать и ломаться от региона к региону, как показывает практика. Понравилась одна статья на персидском, в которой говорилось про настройку REALITY. Также узнал, что некоторое время назад вышел XHTTP, который нам не сильно поможет, так как снова придется вкладывать деньги, потому что для полного раскрытия его потенциала нужен CDN. Но как минимум он поддерживает маскировку под более старые протоколы, что поможет быть хотябы на один шаг впереди. Но в сочетании с тем, что мы стали применять крайнюю степень защиты от блокировок, я думаю, нам мало что помжет, когда и если, так сказать, shit hits the fan…

Текущее решение

На данный момент я остановился на обычной цепочке из двух серверов. Один внутри страны, другой за её пределами. Это, к сожалению, повысило задержки и, вероятно, не позволит некоторым пользователям комфортно играть в игры, но теперь у нас есть стабильный доступ к зарубежному серверу, даже когда напрямую к нему подключится невозможно. Внезапно, Youtube с нового сервера в РФ можно смотреть, но мы этого делать не будем, чтобы так просто не компрометировать систему. Я отправляю часть трафика, предназначенную для серверов доступных из РФ, напрямую, а всё остальное идет через старый канал связи за границу. Новый сервер имеет удобную панель для мониторинга состояния виртуальной машины и исторических показателей нагрузки. Буду с удовольствием следить за цифорками.

К сожалению, уже в первый день применения нового решения, мне пришлось колхозить спасение от проблем у одного пользователя. Вместо номральной работы с новым (но старым в общем) более заметным протоколом, потребовалось применить прошлый — маскировочный, потому что ТСПУ не позволяли установить соединение с ресурсами, хотя связь с VPN была… Чувствую, мой косплей системного администратора затянулся. Не то чтобы я против быть полезным, но не очень приятно, когда вторую неделю подряд приходится, решать проблемы с сервисом, за работу которого тебе даже не платят. Возможно, всё же придется воплощать в жизнь мои влажные фантазии из прошлого и написать свою панель для полуавтоматического администрирования целой флотилии из серверов.

Прошлый сервер за практически год работы потребил суммарно чуть больше 14 ТБ данных в обе стороны. Новый сервер имеет, в отличие от заграничного, лимитированное гигабитное соединение в 32 ТБ в месяц, чего должно быть с головой достаточно. Думаю, несмотря на наличие обтекаемых формулировок в пользовательском соглашении, касательно законов РФ и прочих обходов блокировок, сервер у нас не отнимут, потому что всем будет просто пофиг, так как мы не будем делать ничего требующего реагирования со стороны провайдера.

Страхи на будущее

Возможно, придется и в РФ использовать полный набор для маскировки под обычный HTTPS трафик, а не в наглую слать обычный VPN трафик, так как блокировать начнут всё несанкционированное, основываясь на реестре разрешенных VPN, который начали создавать некоторое время назад. А может быть ТСПУ поставят и в дата-центрах и придется использовать способ подключения по reverse-proxy… Не уверен, что может дойти до блокировок с применением белых списков, но чем чёрт не шутит. Хотя я надеюсь, что наш чёрт сдохнет до того как мы начнем применять действительно крайние меры.

Но некоторые уже подумывают отсюда валить…

{В надежде на свободу…}