Бидејќи сè повеќе ни е оневозможен пристап до различни ресурси на мрежата, прашањето за заобиколување на блокирањето станува сè поитно, што значи дека прашањето „Како побрзо да се заобиколи блокирањето?“ станува сè поактуелно.
Да ја оставиме темата за ефикасност во однос на заобиколувањето на белите листи на DPI за друг случај и едноставно да ги споредиме перформансите на популарните алатки за бајпас на блокови.
Внимание: Во статијата ќе има многу слики под спојлери.
Одрекување: овој напис ги споредува перформансите на популарните VPN прокси решенија под услови блиски до „идеален“. Резултатите добиени и опишани овде не мора да се совпаѓаат со вашите резултати во полињата. Бидејќи бројот во тестот за брзина честопати нема да зависи од тоа колку е моќна алатката за бајпас, туку од тоа како вашиот провајдер ја гаси.
Методологија
3 VPS беа купени од провајдер на облак (DO) во различни земји низ светот. 2 во Холандија, 1 во Германија. Најпродуктивниот VPS (по број на јадра) беше избран од оние достапни за сметката во понудата за купонски кредити.
Приватен сервер iperf3 е распореден на првиот холандски сервер.
На вториот холандски сервер, различни сервери на алатки за блок бајпас се распоредени еден по еден.
Слика на десктоп Линукс (xubuntu) со VNC и виртуелна работна површина е распоредена на германскиот VPS. Овој VPN е условен клиент, а на него за возврат се инсталирани и лансирани различни VPN-прокси-клиенти.
Мерењата на брзината се вршат три пати, се фокусираме на просекот, користиме 3 алатки: во Chromium преку тест за брзина на веб; во Chromium преку fast.com; од конзолата преку iperf3 преку proxychains4 (каде што треба да го ставите сообраќајот iperf3 во проксито).
Директната врска „клиент“-сервер iperf3 дава брзина од 2 Gbps во iperf3, а малку помалку во fastspeedtest.
Истражувачкиот читател може да праша: „Зошто не избравте speedtest-cli? и тој ќе биде во право.
Speedtest-cli се покажа како несигурен и несоодветен начин за мерење на пропусната моќ, од непознати причини за мене. Три последователни мерења би можеле да дадат три сосема различни резултати или, на пример, да покажат пропусната моќ многу поголема од брзината на портата на мојот VPS. Можеби проблемот е мојата шапкана рака, но се чинеше невозможно да се спроведе истражување со таква алатка.
Што се однесува до резултатите за трите методи на мерење (speedtest fastiperf), сметам дека индикаторите iperf се најточни и најсигурни, а fastspeedtest како референца. Но, некои алатки за бајпас не дозволуваа да се завршат 3 мерења преку iperf3 и во такви случаи, можете да се потпрете на speedtestfast.
тестот за брзина дава различни резултати
Toolkit
Вкупно беа тестирани 24 различни алатки за бајпас или нивни комбинации, за секоја од нив ќе дадам мали објаснувања и моите впечатоци од работата со нив. Но, во суштина, целта беше да се споредат брзините на shadowsocks (и еден куп различни замаглувачи за тоа) openVPN и wireguard.
Во овој материјал, нема да разговарам детално за прашањето „како најдобро да се скрие сообраќајот за да не се исклучи“, бидејќи заобиколувањето на блокирањето е реактивна мерка - ние се прилагодуваме на она што го користи цензорот и дејствуваме врз основа на тоа.
Наоди
Strongswanipsec
Според моите впечатоци, многу е лесно да се постави и работи доста стабилно. Една од предностите е тоа што е навистина крос-платформа, без потреба да се бараат клиенти за секоја платформа.
преземање - 993 Mbits; поставување - 770 Mbits
SSH тунел
Веројатно само мрзливите не пишувале за користење на SSH како алатка за тунел. Негативно е што решението е патерица, т.е. имплементирањето од удобен, убав клиент на секоја платформа нема да работи. Предностите се добрите перформанси, нема потреба воопшто да инсталирате ништо на серверот.
преземање - 1270 Mbits; поставување - 1140 Mbits
OpenVPN
OpenVPN беше тестиран во 4 режими на работа: tcp, tcp+sslh, tcp+stunnel, udp.
Серверите OpenVPN беа конфигурирани автоматски со инсталирање на streisand.
Колку што може да се процени, во моментов само режимот на штунел е отпорен на напредни DPI. Причината за ненормалното зголемување на пропусната моќ при завиткување на openVPN-tcp во штунел не ми е јасна, проверките се правеа во неколку трки, во различно време и во различни денови, резултатот беше ист. Можеби ова се должи на поставките за мрежниот оџак инсталирани при распоредувањето на Стрејсенд, пишете ако имате какви било идеи зошто е тоа така.
openvpntcp: преземање - 760 mbits; испратите - 659 Mbits
openvpntcp+sslh: преземање - 794 mbits; подигнете - 693 Mbits
openvpntcp+stunnel: преземање - 619 mbits; испратите - 943 Mbits
openvpnudp: преземање - 756 mbits; испратите - 580 Mbits
Отвори поврзување
Не е најпопуларната алатка за заобиколување на блокадите, таа е вклучена во пакетот Стрејсенд, па решивме да го тестираме и тоа.
преземање - 895 Mbits; испратите 715 mbps
Wireичар
Алатка за возбуда која е популарна меѓу западните корисници, развивачите на протоколот дури добија и некои грантови за развој од средствата за одбрана. Работи како модул на кернелот Линукс преку UDP. Неодамна се појавија клиенти за windowsios.
Креаторот го замислил како едноставен, брз начин за гледање Netflix додека не сте во државите.
Оттука и добрите и лошите страни. Позитивни: многу брз протокол, релативна леснотија на инсталација и конфигурација. Недостатоци - инвеститорот првично не го создаде со цел да ги заобиколи сериозните блокади, и затоа wargard лесно се открива со наједноставните алатки, вкл. жичана жица.
Wireguard протокол во wireshark
преземање - 1681 Mbits; испратите 1638 mbps
Интересно е што протоколот Warguard се користи во клиентот за безбедна заштита од трета страна, кој, кога се користи со истиот сервер за заштита, дава многу полоши резултати. Веројатно е дека клиентот на Windows wargard ќе ги покаже истите резултати:
tunsafeclient: преземање - 1007 mbits; подигнете - 1366 Mbits
OutlineVPN
Outline е имплементација на shadowox сервер и клиент со убав и удобен кориснички интерфејс од сложувалка на Google. Во Windows, клиентот за преглед е едноставно збир на обвивки за бинарните датотеки shadowsocks-local (shadowsocks-libev клиент) и badvpn (binary tun2socks што го насочува целиот машински сообраќај кон локалниот прокси чорапи).
Shadowsox некогаш беше отпорен на Големиот заштитен ѕид на Кина, но врз основа на неодамнешните прегледи, тоа повеќе не е случај. За разлика од ShadowSox, надвор од кутијата не поддржува поврзување замаглување преку приклучоци, но тоа може да се направи рачно со мешање со серверот и клиентот.
преземање - 939 Mbits; поставување - 930 Mbits
ShadowsocksR
ShadowsocksR е вилушка од оригиналните Shadowsocks, напишани во Python. Во суштина, тоа е кутија за сенка на која се цврсто прикачени неколку методи за замаглување на сообраќајот.
Има вилушки од ссР до либев и уште нешто. Ниската пропусност веројатно се должи на јазикот на кодот. Оригиналниот shadowsox на питон не е многу побрз.
shadowsocksR: преземете 582 Mbits; поставете 541 Mbits.
Shadowsocks
Кинеска алатка за заобиколување на блокови што го рандомизира сообраќајот и ја попречува автоматската анализа на други прекрасни начини. До неодамна, GFW не беше блокиран, велат дека сега е блокиран само ако е вклучено релето UDP.
Крос-платформа (има клиенти за која било платформа), поддржува работа со PT слични на замаглувачите на Тор, има неколку свои или приспособени на неа замаглувачи, брзо.
Има еден куп имплементации на shadowox клиенти и сервери, на различни јазици. При тестирањето, shadowsocks-libev делуваше како сервер, различни клиенти. Најбрзиот клиент на Линукс се покажа дека е shadowsocks2 on go, дистрибуиран како стандарден клиент во Стрејсенд, не можам да кажам колку е попродуктивен shadowsocks-windows. Во повеќето понатамошни тестови, shadowsocks2 се користеше како клиент. Сликите од екранот кои тестираат чисти чорапи-либев не беа направени поради очигледното заостанување на оваа имплементација.
shadowsocks2: преземање - 1876 mbits; подигнете - 1981 mbits.
shadowsocks-rust: преземање - 1605 mbits; подигнете - 1895 Mbits.
Shadowsocks-libev: преземање - 1584 mbits; испратите - 1265 Mbits.
Едноставни-obfs
Приклучокот за shadowsox сега е во статус „амортизиран“, но сè уште работи (иако не секогаш добро). Во голема мера е заменет со v2ray-приклучокот. Го замаглува сообраќајот или под HTTP веб-сокет (и ви овозможува да го измамите насловот на дестинацијата, преправајќи се дека нема да гледате порно центар, туку, на пример, веб-страницата на Уставот на Руската Федерација) или под псевдо-tls (псевдо , бидејќи не користи никакви сертификати, наједноставните DPI, како што е бесплатниот nDPI, се откриваат како „tls no cert“. Во режимот tls, веќе не е можно да се лажираат заглавијата).
Доста брзо, инсталирано од репото со една команда, конфигурирано многу едноставно, има вградена функција за фајловер (кога сообраќајот од клиент кој не е едноставен obfs доаѓа до портот што го слуша simple-obfs, го препраќа на адресата каде што одредувате во поставките - вака На овој начин, можете да избегнете рачна проверка на портата 80, на пример, со едноставно пренасочување на веб-локација со http, како и блокирање преку сонди за поврзување).
shadowsockss-obfs-tls: преземање - 1618 mbits; поставете 1971 mbits.
shadowsockss-obfs-http: преземање - 1582 mbits; испратите - 1965 mbits.
Simple-obfs во режимот HTTP може да работи и преку CDN обратен прокси (на пример, cloudflare), така што за нашиот провајдер сообраќајот ќе изгледа како сообраќајот HTTP-обичен текст кон cloudflare, ова ни овозможува малку подобро да го скриеме нашиот тунел и на во исто време одделете ја влезната точка и излезот на сообраќајот - давателот гледа дека вашиот сообраќај оди кон IP адресата CDN, а екстремистичките лајкови на сликите се поставени во овој момент од IP адресата на VPS. Мора да се каже дека тоа е s-obfs преку CF што работи двосмислено, периодично не отворајќи некои HTTP ресурси, на пример. Значи, не беше можно да се тестира прикачувањето со помош на iperf преку shadowsockss-obfs+CF, но судејќи според резултатите од тестот за брзина, пропусната моќ е на ниво на shadowsocksv2ray-plugin-tls+CF. Не прикачувам слики од екранот од iperf3, бидејќи ... Не треба да се потпирате на нив.
преземање (тест на брзина) - 887; прикачи (тест на брзина) - 1154.
Преземи (iperf3) - 1625; испратите (iperf3) - NA.
v2ray-приклучок
V2ray-приклучокот ги замени едноставните obfs како главен „официјален“ замаглувач за ss libs. За разлика од едноставните obfs, тој сè уште не е во складиштата и треба или да преземете претходно склопен бинар или да го компајлирате сами.
Поддржува 3 режими на работа: стандардно, HTTP веб-сокет (со поддршка за лажирање заглавија на одредишниот хост); tls-websocket (за разлика од s-obfs, ова е полноправен сообраќај tls, кој го препознава секој веб-сервер за обратен прокси и, на пример, ви овозможува да го конфигурирате завршувањето на tls на серверите на cloudfler или во nginx); quic - работи преку udp, но за жал перформансите на quic во v2rey се многу ниски.
Меѓу предностите во споредба со едноставните obfs: приклучокот v2rey работи без проблеми преку CF во режим на HTTP-websocket со кој било сообраќај, во режимот TLS е полноправен TLS сообраќај, бара сертификати за работа (на пример, од Ајде да шифрираме или самостојно -потпишан).
shadowsocksv2ray-plugin-http: преземање - 1404 mbits; поставете 1938 mbits.
shadowsocksv2ray-plugin-tls: преземање - 1214 mbits; поставете 1898 Mbits.
shadowsocksv2ray-plugin-quic: преземање - 183 mbits; поставете 384 Mbits.
Како што веќе реков, v2ray може да поставува заглавија, и на тој начин можете да работите со него преку обратен прокси CDN (на пример, cloudfler). Од една страна, ова го отежнува откривањето на тунелот, од друга страна, може малку да го зголеми (а понекогаш и да го намали) заостанувањето - сето тоа зависи од локацијата на вас и серверите. CF моментално тестира работа со quic, но овој режим сè уште не е достапен (барем за бесплатни сметки).
shadowsocksv2ray-приклучок-http+CF: преземање - 1284 mbits; поставете 1785 Mbits.
shadowsocksv2ray-plugin-tls+CF: преземање - 1261 mbits; поставете 1881 Mbits.
Плашт
Палењето е резултат на понатамошниот развој на GoQuiet obfuscator. Симулира TLS сообраќај и работи преку TCP. Во моментов, авторот ја објави втората верзија на приклучокот, cloak-2, што значително се разликува од оригиналната наметка.
Според инвеститорот, првата верзија на приклучокот го користела механизмот за сесија за продолжување tls 1.2 за да ја измами адресата на дестинацијата за tls. По објавувањето на новата верзија (часовник-2), сите вики-страници на Github кои го опишуваат овој механизам беа избришани; нема споменување за ова во тековниот опис на шифрирањето со заматување. Според описот на авторот, првата верзија на парченцето не се користи поради присуството на „критични пропусти во крипто“. За време на тестовите, постоеше само првата верзија на наметката, неговите бинарни датотеки се уште се на Github, а покрај се друго, критичните пропусти не се многу важни, бидејќи shadowsox го шифрира сообраќајот на ист начин како и без наметка, а наметката нема никакво влијание врз криптото на shadowsox.
shadowsockscloak: преземање - 1533 година; подигнете - 1970 mbits
Кцптун
користи kcptun како транспорт а во некои посебни случаи овозможува да се постигне зголемена пропусност. За жал (или за среќа), ова е во голема мера релевантно за корисниците од Кина, некои од чии мобилни оператори силно го гасат TCP и не допираат UDP.
Kcptun е проклето гладен за енергија и лесно вчитува 100 зион-јадра на 4% кога се тестира од 1 клиент. Покрај тоа, приклучокот е „бавен“ и кога работи преку iperf3 не ги завршува тестовите до крај. Ајде да го разгледаме тестот за брзина во прелистувачот.
shadowsockskcptun: преземање (тест на брзина) - 546 mbits; испратите (брзински тест) 854 mbits.
Заклучок
Дали ви треба едноставен, брз VPN за да го запрете сообраќајот од целата ваша машина? Тогаш вашиот избор е борец. Дали сакате прокси (за селективно тунелирање или одвојување на тековите на виртуелни личности) или ви е поважно да го замаглите сообраќајот од сериозно блокирање? Потоа погледнете го shadowbox со замаглување tlshttp. Дали сакате да бидете сигурни дека вашиот интернет ќе работи се додека Интернетот воопшто работи? Изберете прокси сообраќај преку важни ЦДН, блокирајќи што ќе доведе до откажување на половина од интернетот во земјата.
Стожерна табела, подредена по преземање
Извор: www.habr.com