Ĉar oni ĉiam pli neas al ni aliron al diversaj rimedoj en la reto, la afero pri preterpasi blokadon fariĝas pli kaj pli prema, kio signifas, ke la demando "Kiel preteriri blokadon pli rapide?" fariĝas pli kaj pli grava.
Ni lasu la temon de efikeco koncerne preterpasi DPI-blanklistojn por alia kazo, kaj simple komparu la agadon de popularaj blokaj preterpasaj iloj.
Atentu: Estos multaj bildoj sub spoilers en la artikolo.
Malgarantio: ĉi tiu artikolo komparas la agadon de popularaj VPN-prokursolvoj en kondiĉoj proksimaj al "idealaj". La rezultoj akiritaj kaj priskribitaj ĉi tie ne nepre koincidas kun viaj rezultoj en la kampoj. Ĉar la nombro en la rapidtesto ofte dependos ne de kiom potenca estas la pretervojo, sed de kiel via provizanto akcelas ĝin.
Metodologio
3 VPS estis aĉetitaj de nuba provizanto (DO) en malsamaj landoj tra la mondo. 2 en Nederlando, 1 en Germanio. La plej produktiva VPS (laŭ nombro da kernoj) estis elektita el tiuj disponeblaj por la konto sub la oferto por kuponaj kreditoj.
Privata iperf3-servilo estas deplojita sur la unua nederlanda servilo.
Sur la dua nederlanda servilo, diversaj serviloj de blokaj preterpasaj iloj estas deplojitaj unu post la alia.
Labortabla Linuksa bildo (xubuntu) kun VNC kaj virtuala labortablo estas deplojita sur la germana VPS. Ĉi tiu VPN estas kondiĉa kliento, kaj diversaj VPN-prokurklientoj estas instalitaj kaj lanĉitaj sur ĝi laŭvice.
Rapidecaj mezuradoj estas efektivigitaj trifoje, ni fokusiĝas averaĝe, ni uzas 3 ilojn: en Chromium per interreta rapidtesto; en Chromium per fast.com; de la konzolo per iperf3 per proxychains4 (kie vi devas meti iperf3-trafikon en la prokurilon).
Rekta konekto "kliento"-servilo iperf3 donas rapidon de 2 Gbps en iperf3, kaj iom malpli en fastspeedtest.
Sciema leganto povas demandi, "kial vi ne elektis speedtest-cli?" kaj li pravos.
Speedtest-cli montriĝis nefidinda kaj neadekvata maniero mezuri trafluon, pro kialoj nekonataj al mi. Tri sinsekvaj mezuradoj povus doni tri tute malsamajn rezultojn, aŭ, ekzemple, montri trairon multe pli altan ol la havenrapideco de mia VPS. Eble la problemo estas mia klaba mano, sed ŝajnis neeble fari esploradon per tia ilo.
Koncerne la rezultojn por la tri mezurmetodoj (speedtest fastiperf), mi konsideras la iperf-indikilojn la plej precizajn kaj fidindajn, kaj la fastspeedtest kiel referencon. Sed iuj preterpasaj iloj ne permesis plenumi 3 mezurojn per iperf3 kaj en tiaj kazoj, vi povas fidi je speedtestfast.
rapidtesto donas malsamajn rezultojn
Ilaro
Entute, 24 malsamaj pretervojaj iloj aŭ iliaj kombinaĵoj estis provitaj, por ĉiu el ili mi donos malgrandajn klarigojn kaj miajn impresojn pri laboro kun ili. Sed esence, la celo estis kompari la rapidecojn de ombraj ŝtrumpetoj (kaj amaso da malsamaj malklarigaĵoj por ĝi) openVPN kaj wireguard.
En ĉi tiu materialo, mi ne detale diskutos la demandon pri "kiel plej bone kaŝi trafikon por ne esti malkonektita", ĉar preterpasi blokadon estas reaktiva mezuro - ni adaptiĝas al tio, kion la cenzuristo uzas kaj agas sur ĉi tiu bazo.
Результаты
Strongswanipsec
Laŭ miaj impresoj, ĝi estas tre facile agordi kaj funkcias sufiĉe stabile. Unu el la avantaĝoj estas, ke ĝi estas vere transplataforma, sen la bezono serĉi klientojn por ĉiu platformo.
elŝuto - 993 mbits; alŝuto - 770 mbitoj
SSH tunelo
Verŝajne nur maldiligentuloj ne skribis pri uzado de SSH kiel tunelo. Unu el la malavantaĝoj estas la "lambastono" de la solvo, t.e. deploji ĝin de oportuna, bela kliento sur ĉiu platformo ne funkcios. La avantaĝoj estas bona rendimento, tute ne necesas instali ion ajn sur la servilo.
elŝuto - 1270 mbits; alŝuto - 1140 mbitoj
OpenVPN
OpenVPN estis testita en 4 operaciaj reĝimoj: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN-serviloj estis agorditaj aŭtomate instalante streisand.
Kiom oni povas juĝi, nuntempe nur la stunnel-reĝimo rezistas al altnivelaj DPI-oj. La kialo de la nenormala pliiĝo de trafluo envolvinte openVPN-tcp en stunnel ne estas klara al mi, kontroloj estis faritaj en pluraj kuroj, en malsamaj tempoj kaj en malsamaj tagoj, la rezulto estis la sama. Eble ĉi tio ŝuldiĝas al la retaj stakaj agordoj instalitaj dum disfaldi Streisand, skribu se vi havas ideojn, kial ĉi tio estas tiel.
openvpntcp: elŝuto - 760 mbits; alŝuto - 659 mbitoj
openvpntcp+sslh: elŝuto - 794 mbitoj; alŝuto - 693 mbitoj
openvpntcp+stunnel: elŝuto - 619 mbitoj; alŝuto - 943 mbits
openvpnudp: elŝuto - 756 mbitoj; alŝuto - 580 mbitoj
Openconnect
Ne la plej populara ilo por preterpasi blokadon, ĝi estas inkluzivita en la Streisand-pakaĵo, do ni decidis testi ĝin ankaŭ.
elŝuto - 895 mbits; alŝutu 715 mbps
Dratgardisto
Hipe-ilo, kiu estas populara inter okcidentaj uzantoj, la programistoj de la protokolo eĉ ricevis kelkajn subvenciojn por disvolviĝo de defendaj fondusoj. Funkcias kiel Linukso-kerna modulo per UDP. Lastatempe aperis klientoj por windowsios.
Ĝi estis koncipita de la kreinto kiel simpla, rapida maniero spekti Netflix dum ne en la ŝtatoj.
Tial la avantaĝoj kaj malavantaĝoj. Avantaĝoj: tre rapida protokolo, relativa facileco de instalado kaj agordo. Malavantaĝoj - la programisto komence ne kreis ĝin kun la celo preterpasi gravajn blokadon, kaj tial wargard estas facile detektita per la plej simplaj iloj, inkl. wireshark.
wireguard-protokolo en wireshark
elŝuto - 1681 mbits; alŝutu 1638 mbps
Interese, ke la militgardisto-protokolo estas uzata en la triaparta tunsafe-kliento, kiu, kiam uzata kun la sama militgarda servilo, donas multe pli malbonajn rezultojn. Verŝajne la Vindoza wargard-kliento montros la samajn rezultojn:
tunsafeclient: elŝuto - 1007 mbits; alŝuto - 1366 mbits
OutlineVPN
Outline estas efektivigo de shadowox-servilo kaj kliento kun bela kaj oportuna uzantinterfaco de la puzlo de Guglo. En Vindozo, la skiza kliento estas simple aro de envolvaĵoj por la shadowsocks-local (shadowsocks-libev-kliento) kaj badvpn (tun2socks binaro kiu direktas la tutan maŝinan trafikon al loka ŝtrumpetaj prokurilo) binaroj.
Shadowsox iam estis imuna al la Granda Fajromuro de Ĉinio, sed surbaze de lastatempaj recenzoj, ĉi tio ne plu estas la kazo. Male al ShadowSox, el la skatolo ĝi ne subtenas konekton de malklarigado per kromaĵoj, sed ĉi tio povas esti farita permane per tuŝado de la servilo kaj kliento.
elŝuto - 939 mbits; alŝuto - 930 mbitoj
OmbroŝtrumpetojR
ShadowsocksR estas forko de la origina Shadowsocks, skribita en Python. En esenco, ĝi estas ombrokesto al kiu pluraj metodoj de trafika malklarigado estas firme alpinglitaj.
Estas forkoj de ssR al libev kaj io alia. La malalta trafluo estas probable pro la kodlingvo. La originala shadowsox sur python ne estas multe pli rapida.
shadowsocksR: elŝutu 582 mbits; alŝutu 541 mbitojn.
Shadowsocks
Ĉina bloka pretervojo, kiu hazardigas trafikon kaj malhelpas aŭtomatan analizon en aliaj mirindaj manieroj. Ĝis antaŭ nelonge, GFW ne estis blokita; ili diras, ke nun ĝi estas blokita nur se la UDP-relajso estas ŝaltita.
Transplataforma (ekzistas klientoj por iu ajn platformo), subtenas labori kun PT simila al la obfuscators de Thor, ekzistas pluraj malklarigaĵoj propraj aŭ adaptitaj al ĝi, rapide.
Estas amaso da efektivigoj de shadowox klientoj kaj serviloj, en malsamaj lingvoj. En testado, shadowsocks-libev agis kiel servilo, malsamaj klientoj. La plej rapida Linuksa kliento rezultis esti shadowsocks2 on go, distribuita kiel defaŭlta kliento en streisand, mi ne povas diri kiom pli produktiva shadowsocks-windows estas. En la plej multaj pliaj testoj, shadowsocks2 estis utiligita kiel la kliento. Ekrankopioj testantaj purajn shadowsocks-libev ne estis faritaj pro la evidenta malfruo de ĉi tiu efektivigo.
shadowsocks2: elŝuto - 1876 mbitoj; alŝuto - 1981 mbitoj.
shadowsocks-rust: elŝutu - 1605 mbits; alŝuto - 1895 mbitoj.
Shadowsocks-libev: elŝuto - 1584 mbits; alŝuto - 1265 mbitoj.
Simplaj-obfs
La kromaĵo por shadowsox nun estas en "malaltigita" statuso sed ankoraŭ funkcias (kvankam ne ĉiam bone). Plejparte anstataŭita de la v2ray-kromaĵo. Malklarigas trafikon aŭ sub HTTP-retkonekto (kaj permesas al vi falsigi la celan kaplinion, ŝajnigante, ke vi ne spektos pornhub, sed, ekzemple, la retejon de la Konstitucio de la Rusa Federacio) aŭ sub pseŭdo-tls (pseŭdo). , ĉar ĝi ne uzas iujn ajn atestojn, la plej simplaj DPI kiel senpaga nDPI estas detektitaj kiel "tls no cert." En tls-reĝimo, ne plu eblas falsigi titolojn).
Sufiĉe rapide, instalita el la deponejo per unu komando, agordita tre simple, havas enkonstruitan malsukcesan funkcion (kiam trafiko de ne-simple-obfs-kliento venas al la haveno, kiun simple-obfs aŭskultas, ĝi plusendas ĝin al la adreso. kie vi specifas en la agordoj - tiel Vi povas eviti manan kontrolon de la haveno 80, ekzemple, simple alidirektante al retejo kun http, kaj ankaŭ blokante per konekto-sondiloj).
shadowsockss-obfs-tls: elŝutu - 1618 mbits; alŝutu 1971 mbitojn.
shadowsockss-obfs-http: elŝuto - 1582 mbits; alŝuto - 1965 mbitoj.
Simplaj-obfs en HTTP-reĝimo ankaŭ povas funkcii per CDN-inversa prokurilo (ekzemple, cloudflare), do por nia provizanto la trafiko aspektos kiel HTTP-plaintext-trafiko al cloudflare, tio ebligas al ni kaŝi nian tunelon iomete pli bone, kaj ĉe samtempe apartigu la enirpunkton kaj trafikan elirejon - la provizanto vidas, ke via trafiko iras al la CDN-IP-adreso, kaj ekstremismaj ŝatoj sur bildoj estas lokitaj ĉi-momente de la VPS-IP-adreso. Oni devas diri, ke ĝi estas s-obfs tra CF kiu funkcias ambigue, periode ne malfermante iujn HTTP-resursojn, ekzemple. Do, ne eblis testi la alŝuton uzante iperf per shadowsockss-obfs+CF, sed juĝante laŭ la rezultoj de la rapidtesto, la trafluo estas je la nivelo de shadowsocksv2ray-plugin-tls+CF. Mi ne aldonas ekrankopiojn de iperf3, ĉar... Vi ne devus fidi je ili.
elŝuto (rapidesto) - 887; alŝuto (rapidetesto) - 1154.
Elŝutu (iperf3) - 1625; alŝuti (iperf3) - NA.
v2ray-kromaĵo
V2ray-kromaĵo anstataŭigis simplajn obfs kiel la ĉefa "oficiala" malklarigilo por ss-libs. Male al simplaj obfs, ĝi ankoraŭ ne estas en la deponejoj, kaj vi devas aŭ elŝuti antaŭ-kunmetitan binaron aŭ kompili ĝin mem.
Subtenas 3 operaciajn modojn: defaŭlte, HTTP-websocket (kun subteno por falsiga kaplinioj de la cela gastiganto); tls-websocket (male al s-obfs, ĉi tio estas plentaŭga tls-trafiko, kiu estas rekonita de iu ajn inversa prokura retservilo kaj, ekzemple, ebligas al vi agordi tls-finon sur cloudfler-serviloj aŭ en nginx); quic - funkcias per udp, sed bedaŭrinde la rendimento de quic en v2rey estas tre malalta.
Inter la avantaĝoj kompare kun simplaj obfs: la v2ray kromaĵo funkcias senprobleme per CF en HTTP-websocket-reĝimo kun ajna trafiko, en TLS-reĝimo ĝi estas plentaŭga TLS-trafiko, ĝi postulas atestojn por funkciado (ekzemple, de Ni ĉifri aŭ mem). -subskribita).
shadowsocksv2ray-plugin-http: elŝuto - 1404 mbits; alŝutu 1938 mbitojn.
shadowsocksv2ray-plugin-tls: elŝuto - 1214 mbits; alŝutu 1898 mbitojn.
shadowsocksv2ray-plugin-quic: elŝutu - 183 mbits; alŝutu 384 mbitojn.
Kiel mi jam diris, v2ray povas agordi kapliniojn, kaj tiel vi povas labori kun ĝi per inversa prokurilo CDN (cloudfler ekzemple). Unuflanke, tio malfaciligas la detekton de la tunelo, aliflanke, ĝi povas iomete pliigi (kaj foje redukti) la malfruon - ĉio dependas de la loko de vi kaj la serviloj. CF nuntempe provas labori kun quic, sed ĉi tiu reĝimo ankoraŭ ne disponeblas (almenaŭ por senpagaj kontoj).
shadowsocksv2ray-plugin-http+CF: elŝuto - 1284 mbits; alŝutu 1785 mbitojn.
shadowsocksv2ray-plugin-tls+CF: elŝutu - 1261 mbits; alŝutu 1881 mbitojn.
Kesto
La peceto estas la rezulto de pluevoluigo de la GoQuiet-obfuscator. Simulas TLS-trafikon kaj funkcias per TCP. Nuntempe, la aŭtoro publikigis la duan version de la kromaĵo, cloak-2, kiu estas signife malsama de la originala mantelo.
Laŭ la programisto, la unua versio de la kromaĵo uzis la tls 1.2-rekomencan sean mekanismon por falsigi la cel-adreson por tls. Post la publikigo de la nova versio (horloĝo-2), ĉiuj vikipaĝoj sur Github priskribantaj ĉi tiun mekanismon estis forigitaj; ne estas mencio pri tio en la nuna priskribo de malklarigĉifrado. Laŭ la priskribo de la aŭtoro, la unua versio de la peceto ne estas uzata pro la ĉeesto de "kritikaj vundeblecoj en kripto". En la momento de la testoj, ekzistis nur la unua versio de la mantelo, ĝiaj binaroj ankoraŭ estas sur Github, kaj krom ĉio alia, kritikaj vundeblecoj ne estas tre gravaj, ĉar shadowsox ĉifras trafikon same kiel sen mantelo, kaj la kloako ne efikas sur la kripto de shadowsox.
shadowsockscloak: elŝutu - 1533; alŝuto - 1970 mbitoj
Kcptun
uzas kcptun kiel transporton kaj en iuj specialaj kazoj permesas atingi pliigitan trairon. Bedaŭrinde (aŭ feliĉe), ĉi tio estas plejparte grava por uzantoj de Ĉinio, kelkaj el kies poŝtelefonaj telefonistoj forte akcelas TCP kaj ne tuŝas UDP.
Kcptun estas malbena potenco malsata, kaj facile ŝarĝas 100 Zion-kernojn ĉe 4% kiam provite de 1 kliento. Krome, la kromaĵo estas "malrapida", kaj kiam ĝi funkcias per iperf3 ĝi ne kompletigas provojn ĝis la fino. Ni rigardu la rapidteston en la retumilo.
shadowsockskcptun: elŝuto (rapidetesto) - 546 mbits; alŝuto (rapidetesto) 854 mbits.
konkludo
Ĉu vi bezonas simplan, rapidan VPN por ĉesigi trafikon de via tuta maŝino? Tiam via elekto estas militgardisto. Ĉu vi volas prokurojn (por selektema tunelado aŭ apartigo de virtualaj personfluoj) aŭ ĉu estas pli grave por vi malklarigi trafikon de serioza blokado? Poste rigardu ombrokeston kun tlshttp malklarigado. Ĉu vi volas esti certa, ke via Interreto funkcios tiel longe kiel la Interreto entute funkcias? Elektu prokuran trafikon per gravaj CDN-oj, blokado, kio kondukos al malsukceso de duono de la Interreto en la lando.
Pivota tablo, ordigita per elŝuto
fonto: www.habr.com