Вы, наверное, в курсе, что месяц назад компания Cloudflare, за которой находятся много сайтов, включила механизм ECH.

Вкратце Encrypted Client Hello - часть TLS 1.3, которая позволяет шифровать SNI. SNI - это домен, передающийся при установке соединения с сервером. Та часть, которую видит сетевое оборудование между вами и сервером. Не буду сильно расписывать, суть в том, что по задумке третья сторона, с включенным у вас и на сервере ECH, не знает, к какому домену вы идёте. И это работает, но есть нюанс 🌚

Так вот, месяц назад CF активировала у себя этот режим и многие ликовали. А вчера в России началась блокировка ECH.

Теперь все сайты, использующие ECH, не работают. А CF врубил ECH всем.

Если ваш сайт за Cloudflare
Вы можете отключить ECH в админке. Но только если у вас платный тариф. В бесплатном тарифе это можно сделать с помощью их API и curl-запроса (гуглится). Но зная CF, вангую, что они скоро прикроют этот лайфхак.

Отключение ECH на клиентах
Многие сайты уже отключили ECH. Но не все станут это делать. И у вас они открываться, скорее всего, не будут.

1. ECH поддерживается на уровне браузера, поэтому выключить его можно тоже в браузере, в FireFox about:config - DisableEncryptedClientHello - false. В Chrome оно пока не отключается.

2. Так как ECH приходит к нам в DNS ответах, когда браузер делает запрос к типу записи HTTPS, можно вырубить ECH на уровне DNS. А значит, это можно сделать на роутере.

Сначала смотрим, что в ответе нам приходит строка с ECH. DNS-запрос к роутеру c типом записи HTTPS:

dig ifconfig.co HTTPS @192.168.1.1

У ресурса ifconfig.co включен ECH. Получаем ответ, содержащий в себе ECH запись:

;; ANSWER SECTION: ifconfig.co. 64 IN HTTPS 1 . alpn="h3,h2" ipv4hint=104.21.54.91,172.67.168.106 ech=AEX+DQBBPgAgACCNP+n8tzXKkxwsN0FCl58LJ5ik5dpjMSUVW34XGDuGPwAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2606:4700:3030::ac43:a86a,2606:4700:3037::6815:365b

Пример отключения ECH для OpenWrt и любой другой ОС, использующей dnsmasq:

echo 'filter\-rr=HTTPS' >> /etc/dnsmasq.conf && service dnsmasq restart

Да, через UCI тут не получится, пока фильтр туда не завезли.

Повторяем команду dig и получаем пустой ответ:

;; QUESTION SECTION: ;ifconfig.co. IN HTTPS

Теперь dnsmasq отклоняет все запросы с типом записи HTTPS. Вот так ECH отключается на роутере c OpenWrt. За нужный фильтр и тесты, спасибо участнику сообщества.

Кто-то говорит, что технология полезная и отключать не нужно. Согласен, что полезная, но какие варианты?

Если знаете, как отключить ECH на роутерах с другими ОС - кидайте в комменты, сформирую общую заметку.

📱 Nekobox и новый клиент для мобилок

Самый удобный клиент для XRay/Sing-box на Android по моему мнению - это Nekobox. Он остаётся моим фаворитом по стабильности работы и в плане настроек.

Есть у него один странный момент: он существует только на GitHub. Когда-то он был выложен в Google Play и стоил 7.5 евро. Сейчас же на его месте перекомпилированный Nekobox. В самом Google Play называется "Nekobox for Android", но при установке получаем приложение с другим названием и рекламой. Сам владелец репозитория говорит, что это скам.

При этом сам разработчик не выкладывает свою версию в Google Play. Могу понять: для "VPN-приложений" это непросто. Нужно пройти пару кругов бюрократии и апрувов. Но почему тогда не выложить хотя бы в F-Droid?

В общем, если нужен Nekobox, качайте его из релизов на GitHub. У меня, кстати, есть инструкция, как это сделать.

Появился новый клиент под Android и iOS: v2RayTun

Сразу прикопаюсь к названию. Почему v2Ray, если под капотом Xray-core? Про tun тоже непонятно каким местом он в смартфонах.

Но это придирки. Главное:
1. Присутствует и в Google Play и в Apple store. Бесплатно, без смс.
2. Имеет простой интерфейс
3. Работает стабильно без каких-либо затупов.

Возможности вкратце:
- Routing policy присутствует.
- Можно открыть и редактировать конфигурацию (не все приложения это умеют).
- И даже есть экспорт конфига в json для Xray.

Разработчики, кстати, русскоязычные. А если у вас подгорает от Aeza, то не проматывайте в настройках приложения в самый низ.

Годный клиент, я его месяц тестировал на Android. Хороший вариант для людей, которым даёте свою проксю. Они просто качают из сторов и импортят строку. А не пытаются понять, что такое apk и какая архитектура им нужна.

Добавил его в свою подборку Xray/Sing-box клиентов.

🌐 VPS-провайдер Hyper.Hosting

Забавный провайдер, с пятью локациями, безлимитным трафиком, но с одним непривычным минусом. Как всегда, брал самый дешёвый тариф, здесь он обошёлся в 4$/месяц.

Локации
- США
- Молдова
- Англия
- Германия
- Нидерланды

Я брал для тестов Hyper Micro в Молдове. Не так много компаний предоставляют VPS в Молдове, хотелось попробовать как оно. Пинг в районе 45ms.

Общее
- Панель управления VMmanager.
- IP-адрес подходит для ChatGPT и Copilot. Gemini нет.
- IPv6 нет.
- Есть автопродление.
- Сервер создаётся за 2 минуты.
- Порт заявлен в гигабит, но ограничение в 100 Mb/s.
- Оплата по курсу доллара.

Плюсы
- Безлимитный трафик.
- Только email для регистрации.

Минусы
- Проблемы с эквайрингом, про это ниже.
- Часть сервисов типа ifconfig.co распознают IP-адрес как российский.
- Во время тестов был недоступен VPS и их биллинг 10 минут. На фоне некоторых не особо критично.

Эквайринги
Это самый существенный минус. Для карт РФ сделан странный эквайринг от pay.kassa.shop. Через "онлайн-банк" пополнение от 1000р. Есть оплата через мобильных операторов, но это как-то стрёмно. И это всё, что предлагает этот эквайринг для счетов из РФ.

Второй вариант - крипта, там Cryptomus c 2% комиссии.

Но есть и третий вариант! Переводом по СБП 😏
Называется это Manual transfer. С этим тоже не всё гладко из-за курса. То есть переводите в рублях, вам зачисляют баксы на счёт. Советую проверять соответствие курсу, мне при несовпадении зачислили остаток без проблем.

Выводы
В общем главный минус - это отсутствие нормального эквайринга. Хотя уверен, что есть люди, которым СБП наоборот удобнее по каким-то своим причинам.
Второй минус - это 100 Mb/s. За 4$ хочется всё-таки чутка больше.

В остальном обычная VPS через VMmanager. Без каких-то выдающихся штук, но и без косяков и проседающей скорости.

Возможно, в других локациях будут другие подсети и, соответственно, другие результаты по Gemini и может большие скорости.

Результаты тестов iPerf3 и YABS в комментариях к этой записи.

Регистрируйтесь по моей реферальной ссылке: https://hyper.hosting/en?from=1668
За её использование мне придёт процент, который пойдёт на следующие тесты.

#vps_recommended #vps

? VPS-провайдер Nuxt

Второй провайдер подряд, у которого проблемы с сетью. Как и предыдущий, имеет окончание "cloud", но от клауда здесь тоже ничего нет.

Тестировал у них самый дешёвый сервер в Германии DE-E0 1CPU/1GB/15Gb NVME/100Mb/s (гарантировано 10Mb/s) за 200р/месяц. Следующий тариф на 100р дороже, и уже обещают до 1Gb/s.

Локации
- Германия
- Россия

Мой подписчик тестировал сервер в РФ. По его словам, IP-адрес сервера YouTube определяет как GB и присутствует реклама.

Общее
- Панель управления VMmanager.
- IP-адрес подходит для ChatGPT/Copilot. Для Gemini не подходит.
- Сервер создаётся за 1 минуту

Плюсы
- Для регистрации нужен только email
- Есть IPv6

Минусы
- За месяц тестов два раза были проблемы с сетью: 16 и 20 июля. Первый раз были потери 50% (по MTR проблемы в ДЦ), второй раз полная недоступность. И это были продолжительные проблемы на несколько часов.
- Есть "Status page". Но инфы об этих проблемах там не было.
- Часть сервисов типа ifconfig.co распознают IP-адрес как российский.
- Ограничения по трафику примерно 5TB в месяц. Точное число не разглашают.
- И здесь кривые фильтры при выборе VPS.

Эквайринги
- Российский эквайринг. Есть варианты без комиссии.
- Зарубежная карта.
- Крипта.

Подневная оплата
Прям выделю в отдельный пункт. Это пример, как делать не надо.

Когда у сервера были проблемы первый раз, решил купить по дням сервер, чтоб посмотреть, как обстоят дела с более дорогим сервером. Часто бич-сервера стоят отдельно и при большой нагрузке крякают. Знал бы я, что будет дальше, сразу бы отказался от такой затеи.

Итак, заказал я 20го числа, оплатил картой. Сервер создался 24го числа. 4 суток ожидания! Сервер активировался в 10 часов утра иии выключился ближе к ночи в 0:14! ?

Оказалось, для продления нужно, чтоб были деньги на личном счету, с карты он не списывает. Ок, пополнил личный счёт на 38 рублей. Да, "сутки" стоят 19р за DE-E1. Сразу списалось 19 рублей и снова пошло в ожидание. Сервера я так и не дождался: его удалили и при этом эти 19 рублей тоже пропали ?‍♂️

Как я понимаю, у них есть пул из какого-то количества серверов для "подневки" и на него образуется очередь. Услуга "сервер на день" - это взять быстренько, потестить что надо, принять решение, но никак не ждать 4 дня.

В саппорте при первых вопросах сказали, что так устроена их биллинговая система BILLmanager. Ничего с этим сделать не могут. Ну окей, понимаю, стороннее решение с неудачной реализацией. Но по мне так лучше не использовать такой функционал, чем предоставлять услугу с низким качеством и огребать негатив от клиентов.

Выводы
Мне эта компания напомнила HSHP. Те же локации, тот же VMmanager, даже названия у серверов похожие. И видимо, они оба покупают сеть у одного оператора. Потому что 2 августа у обоих компаний была полная недоступность серверов в Германии. Вроде они переезжают к кому-то другому. Надеюсь, там будет лучше ситуация с сетью и таких проблем больше не будет. И также надеюсь, что пересмотрят ситуацию с VPS на сутки. А пока хештег #vps_nutakoe

Результаты тестов iPerf3 и YABS в комментариях к этой записи.

Если всё-таки захотите их попробовать, то регистрируйтесь по моей реферальной ссылке:
https://nuxt.cloud/?from=12917
За её использование мне придёт процент, который пойдёт на следующие тесты.

#vps #vps_nutakoe

Telegram

ITDog

VPS-провайдер HSHP Первым VPS-провайдером на обзор после перерыва будет HSHP. Я им пользуюсь 2 месяца. Это свежий провайдер, начавший работать в 2021 году. Ноунейм, но именно у неизвестных хорошие цены. Здесь как раз этот случай. Сервера в Германии. Самый…

VPS-провайдер XorekCloud

Пока все пишут про Windows и CrowdStrike, расскажу про ещё одного VPS-провайдера. Отзыв не положительный, но и не отрицательный. Поэтому тег будет #vps_nutakoe

Сразу скажу, что это не Cloud: API и других cloud фич у них нет. Обычный VPS-провайдер.

Тестил две разные VPS: бич-сервер в Германии и обычный в Швеции. Дешёвый в Германии работал отлично, а вот у сервера в Швеции были проблемы с сетью. Проблема заключалась в большом RTT, т.е. большая задержка при передаче пакетов. Например, раз в 20 секунд пакеты ходят 1500ms, вместо 50ms. Это можно обнаружить с помощью обычного ping.

После созданного тикета задержек стало меньше, но проблема всё равно осталась. Так что сервера в Швеции у них не рекомендую брать.

Локации
- Германия
- Финляндия
- Швеция

Серверы в Германии и Финляндии размещены в Hetzner.

Тестировал:
- Бич-сервер DE 1CPU/8GB/10GB NVME/до 100MBits/s - 150р. Без саппорта и VNC
- Стандартный сервер SE 1CPU/2GB/30GB NVME/до 1GBits/s - 250р

На текущий момент у них нет в продаже этих тарифов.

Общее
- Панель управления VMmanager.
- IP-адрес подходит для ChatGPT. Gemini и Copilot не работают.
- IPv6 нет.

Плюсы
- Есть автопродление.
- Сервер создаётся за 1 минуту.
- Для регистрации нужен только email.
- Нет ограничений по трафику.

Минусы
- Человек, который их советовал, сам жаловался, что у него падали там сервера ?
- Часть сервисов типа ifconfig.co распознают IP-адрес как российский.
- При заказе сервера сортировка не по цене. Возможно, баг VMmanager.
- Нельзя удалить сервер. Приходит 7 писем на email, что скоро сервер удалится.

Эквайринги
- Российские эквайринги, комиссия 3-5.5%
- Зарубежный эквайринг, комиссия 8%
- Крипта
- Webmoney

Выводы
В принципе иметь в виду их можно, но я бы не стал разворачивать что-то прям серьёзное.

Результаты тестов iPerf3 и YABS в комментариях к этой записи.

Если всё-таки захотите их попробовать, то регистрируйтесь по моей реферальной ссылке: https://xorek.cloud/?from=7156
За её использование мне придёт процент, который пойдёт на следующие тесты.

#vps #vps_nutakoe

Вышла OpenWrt 23.05.4

В основном там фиксы. А ещё добавилась поддержка Xiaomi AX3000T. Теперь на него можно поставить "официальную" стабильную OpenWrt.

Устанавливается через обычный sysupgrade. Как раз многим приехал этот роутер, который можно было ещё недавно взять за 2.4к.

И на него у меня есть обзор.

Напишите в комментарии, кто поставил и всё ли хорошо.

Telegram

ITDog

А вот и обзор на самый дешёвый роутер с ARM процессором Xiaomi AX3000T. Конечно же, это Xiaomi со всеми вытекающими. Там есть два варианта его прошивки на OpenWrt, показываю оба. С помощью XMiR-Patcher делал из-под винды даже. Хороший вариант для тех хочет…