O governo do meu país bloqueou conexões VPN. O que devo usar?

Dá mesmo para chamar de país livre um lugar que bloqueia até VPN...

China, Indonésia, Reino Unido, Austrália, ... é um problema mais comum e espalhado do que parece

Opiniões do Hacker News

• Tenho experiência trabalhando com evasão de censura em grandes provedores de VPN no começo dos anos 2020

  • O primeiro passo é conseguir o software real da VPN e os arquivos de configuração. Provedores que levam censura a sério distribuem o programa por canais difíceis de bloquear, como S3, e com pacotes ofuscados; às vezes, também colaboram com grupos locais para fazer a distribuição com segurança
  • Se você conseguiu o software, recomendo usá-lo com uma camada adicional de ofuscação
  • Uma ferramenta bastante usada é o Obfs4proxy, que usa chaves pré-compartilhadas para disfarçar o tráfego como algo irrelevante e também ocultar o handshake da VPN. Não é perfeitamente seguro, mas supera a maioria dos DPI (inspeção profunda de pacotes)
  • Também vale a pena testar o Shapeshifter (feito pela Operator Foundation) e outros transportes plugáveis. Mas o provedor precisa oferecer suporte a esses protocolos
  • No longo prazo, a parte mais difícil é evitar que descubram que você está usando VPN. Em análises estatísticas de longo prazo, dá para detectar conexões de VPN mesmo com ofuscação, e um Estado consegue implementar esse monitoramento por um custo relativamente baixo. Não conheço bem a situação da Indonésia, então não posso dar conselho específico
  • Acho a Mullvad uma empresa de VPN confiável e tecnicamente competente. (Nunca trabalhei na Mullvad; na verdade, eu era de uma concorrente. Sempre respeitei a abordagem deles)

  • Acho que seria ótimo se algum grande operador de rádio em ondas curtas transmitisse os próprios pacotes de VPN para o mundo todo via datacasting, como um serviço público

  • Foi dito que o Obfs4proxy faz o tráfego parecer irrelevante, mas na prática o DPI pode classificá-lo como um fluxo aleatório de bytes, identificar como protocolo desconhecido e bloquear. Pode ser mais vantajoso enganar o DPI para que ele acredite que é HTTPS. Claro, se bloquearem até HTTPS, isso não adianta

  • Fico curioso sobre o que vocês acham de sistemas como o DAITA da Mullvad, que transmitem com um padrão constante de largura de banda para impedir análise de tráfego

  • Truques como TLS fragmentado (fragmented TLS) ou inverter a ordem dos pacotes também funcionam, e até usar apenas transporte HTTPS básico já é um bom ponto de partida na maioria dos lugares. Um sistema distribuído open source chamado URnetwork oferece tudo isso. Também dá para baixar nas lojas principais ou no F-Droid

  • Instalar Obfs4proxy e Shapeshifter é realmente incômodo e toma bastante tempo

    • Pegue você mesmo um VPS (na Europa/EUA, por cerca de US$ 10/ano dá para conseguir 2 GB de RAM, 40 GB de disco e tráfego mensal na casa dos TBs), recomendo uma região europeia
    • Instale nele wireguard + ferramenta de ofuscação, ou tailscale + um servidor DERP próprio
    • Uma opção mais simples é usar a porta ssh -D como servidor SOCKS. Na maioria dos casos isso não é bloqueado, mas o perfil de tráfego chama atenção com facilidade

• Morei um tempo na China e passei por várias ondas de bloqueio de VPN. Hoje, a maioria das empresas de VPN basicamente desistiu de dar suporte a países que bloqueiam. VPN comercial inevitavelmente vai ser bloqueada em algum momento

  • O método que usei foi subir um servidor SOCKS5 em uma EC2 gratuita numa região fora do país e conectar meus dispositivos a ela. Acho que uma VM da Cloudflare também serviria bem para isso
  • Como só passa o seu tráfego pessoal, seu perfil fica discreto, e o Estado não consegue distinguir facilmente seu servidor entre tantos outros naquela região
  • Dica de sobrevivência em internet não livre: o GitHub não é bloqueado (pelo menos na China), então engenheiros locais colocavam lá materiais e downloads relacionados
  • Se você se preocupa com identificação por causa de IP estático, uma VM também é só um computador, então dá para adicionar outra VPN por cima para aumentar o anonimato

  • Já ouvi dizer que esse método não funciona na China, porque os blocos de IP públicos de VPS são amplamente conhecidos. Ouvi que não é uma solução útil contra o firewall chinês

  • Usar uma instância de VM como túnel de VPN é bom, mas a largura de banda real de internet entrando e saindo da China é tão limitada que há um teto de capacidade. Uma configuração melhor é ter VMs dos dois lados do firewall e usar peering entre a VM interna e a externa no mesmo serviço de hospedagem (como no Alibaba Cloud). A VM interna pode ser bem simples com ferramentas como socat ou netfilter

    • Também é melhor usar obrigatoriamente uma ferramenta de ofuscação
    • Se vier um bloqueio, basta trocar o IP externo da VPN e atualizar a configuração. O IP da VM interna quase nunca precisa mudar

  • Eu também trabalhava na China antigamente (não morei lá por muito tempo, mas entrava com frequência) e deixava OpenVPN aberto no meu próprio servidor na porta 443 ou 22; com isso, quase sempre consegui conectar sem problemas

  • Há 2 anos, o GitHub também foi bloqueado temporariamente na Indonésia, e uma das grandes operadoras chegou a bloquear SSH por um tempo

• Como morador da Indonésia, não me lembro de ter visto notícia recente de bloqueio do X (Twitter) ou Discord. Em 2024 chegaram a dizer que poderiam bloquear o X por causa de conteúdo adulto

  • Você pode verificar em tempo real o status de bloqueio diretamente neste site
  • Você disse que a conexão VPN não funciona, mas embora alguns provedores tenham bloqueado isso no passado, não aconteceu nos últimos 5 anos
  • Então uma opção é tentar trocando de provedor de internet (operadora)

• Acho que este lugar (Hacker News) não é o mais adequado para perguntas sobre evasão de censura

  • Há uma tendência de recomendar apenas soluções autogeridas como Tor, Tailscale, VPN com Wireguard, Mullvad etc., mas parece faltar experiência prática
  • Basta procurar VPNs voltadas para China/Rússia/Irã. Talvez não sejam tão boas em privacidade quanto a Mullvad, mas com certeza funcionam

  • Se eu fosse um serviço de inteligência da China, Rússia ou Irã, eu me disfarçaria como uma empresa de VPN para países de risco e usaria isso como honeypot para coletar dados de dissidentes

  • Na minha visão, para alguém tecnicamente confiante, a forma mais segura é subir uma pequena instância em uma nuvem estrangeira e acessar a informação via encaminhamento SSH + proxy

    • Como exemplo, veja este guia de configuração do Squid Proxy
    • Como o governo não bloqueia tráfego SSH, esse método oferece ao mesmo tempo alta privacidade e bypass de bloqueio

  • Não concordo com descartar recomendações de métodos ou provedores conhecidos como se isso significasse falta de experiência com evasão de censura

    • Provedores anônimos e soluções temporárias podem acabar expostos a ataques de watering hole

  • Se você não confia no lado de fora, também pode usar outra VPN por cima, em camadas

  • VPNs anunciadas fazem isso por objetivo comercial, então é bastante provável que agências estatais de espionagem estejam envolvidas na maioria delas

    • Pelo menos na aparência elas funcionam (você consegue acessar sites bloqueados).
    • Dependendo de qual serviço de inteligência opera aquilo, talvez haja privacidade real; ou, ao contrário, eles podem rastrear usuários específicos e armazenar o tráfego
    • Acho melhor usar software gratuito (open source) que a empresa não possa controlar

• Acho que a Austrália e o Reino Unido também podem seguir esse caminho em breve

  • O lado amargo é que, mesmo que nós (usuários do HN) encontremos meios de contorno, cidadãos comuns não têm orçamento nem capacidade técnica, então governo e grande mídia conseguem bloquear com eficácia o jornalismo cidadão

  • Se me dissessem isso há 6 meses, eu teria rido, mas agora parece real e me preocupa (Reino Unido)

  • Na Austrália, já vinha alertando há algum tempo que isso aconteceria por motivos políticos

    • Política, ao contrário do debate técnico, não liga para tecnologia
    • Todos precisam perceber que estamos indo aos poucos nessa direção
    • No fim de 2017, o primeiro-ministro Malcolm Turnbull disse: "As leis da matemática não prevalecem; o que prevalece é a lei da Austrália"

  • Acho que não devemos subestimar a capacidade da sociedade.

    • Cresci em uma área pobre do Reino Unido e sempre havia por perto “aquele cara” que conseguia compra ilegal de computadores/TV, puxadinho na rede elétrica, CDs copiados ou vídeos
    • No fim, vai aparecer “uma pessoa a cada duas casas” instalando proxy em hardware barato como Raspberry Pi
    • Sinceramente, se eu perder meu emprego em TI, penso até em assumir esse papel

  • Acho que alguns estados conservadores dos EUA (red states) também vão tentar isso em breve. Como as leis de verificação de identidade em sites pornôs não funcionam, o próximo passo deve vir

  • 90% do “jornalismo cidadão” não é jornalismo de verdade; está no mesmo nível da ciência cidadã feita por quem pesquisa vacina

• Tor: amigável ao usuário, fácil de instalar, alta anonimidade e gratuito. Mas é alvo frequente de censura, é lento e os exit nodes não são confiáveis para quase todos os sites

  • Tailscale + saída Mullvad: é fácil a ponto de só precisar instalar e configurar, é mais rápido que Tor e serve para vários usos. O ponto negativo é que o DPI consegue identificar tráfego da Mullvad e há custo
  • Wireguard ou Tailscale em VPS próprio: você controla quase tudo, escolhe a velocidade e pode compartilhar com conhecidos. Desvantagens: exige um pouco de prática operacional e o custo de hospedagem pode passar de US$ 20–30 por mês

  • O Tailscale só é necessário se o OP (autor da pergunta) não conseguir acessar Mullvad.net para se cadastrar

    • Se o governo da Indonésia bloquear os nós da Mullvad, nenhum truque vai adiantar
    • Ao acessar via VPS, do lado de fora (nos sites), fica fácil demais identificar por causa do IP fixo
    • Minha recomendação é instalar Mullvad ou Tor em um VPS fora do país e redirecionar o tráfego para esse VPS. Se quiser fazer isso com vários dispositivos ao mesmo tempo, o mais fácil é usar o VPS como nó de saída do Tailscale

  • Há VPS com Wireguard por US$ 20–30 por ano, então os US$ 20–30 por mês parecem um erro. Dá para achar VPS baratos em vpspricetracker.com

  • NordVPN e ProtonVPN estão numa posição parecida com a Mullvad. Se for grátis, você é o produto; mesmo se for pago, no fim seu tráfego vai para servidores VPN publicamente conhecidos, e em alguns países só esse metadado já pode ser perigoso

    • É preciso usar com muito cuidado

  • O IP de VPS não é um IP residencial, então alguns sites/serviços podem bloquear acesso vindo de VPS ou exigir verificação extra

    • Não há solução melhor, mas é algo a ter em mente

  • O Tor também tem tecnologias anticensura, como o snowflake. Se o nível de bloqueio for forte, o Tor pode ser o mais eficaz

• Trabalho com frequência na China, e minha VPN WireGuard (instalada na minha casa) ainda não foi bloqueada até agora

  • O domínio do servidor VPN também hospeda um serviço HTTPS, o que pode ajudar
  • Antes eu usava shadowsocks (proxy open source) com obfs (ofuscação) em um droplet da DO, mas hoje o padrão parece ser v2ray+vmess/vless+reality
  • Isso não é VPN, e sim proxy, então é mais fácil disfarçar sua natureza e o efeito de evasão é melhor
  • Se você hospedar em VPS público, bloquear AWS ou DO já seria pesado demais, então há um certo grau de camuflagem; por outro lado, por ser um endpoint de VPN óbvio, o padrão de tráfego pode chamar atenção
  • Ainda há alguma informação atual em reddit r/dumbclub, então vale dar uma olhada
  • Tenha em mente que esse tipo de configuração é difícil de montar. Até eu acho um milagre meu WireGuard continuar funcionando
  • Uma opção especial é usar SIM de roaming. No roaming, o tráfego naturalmente é tunelado até a operadora de origem, então não é bloqueado nem na China. Pode ser útil em emergência para acessar servidor ou ajustar proxy

• Estou viajando no Uzbequistão e me surpreendi ao ver que o próprio protocolo WireGuard estava bloqueado.

  • Normalmente eu conectava por WireGuard ao meu servidor sem problema, mas foi a primeira vez que vi bloquearem o protocolo inteiro
  • É importante verificar antes o que está sendo bloqueado e como, e então escolher o provedor de VPN

  • Onde WireGuard é bloqueado, já consegui contornar encapsulando WireGuard com wstunnel

  • O próprio WireGuard tem um padrão de rede bem visível e nem tenta ofuscação

    • Algumas ferramentas disfarçam o tráfego como 443/TCP

  • É impressionante que um governo simplesmente bloqueie um protocolo criado apenas para que dois computadores montem um túnel seguro

  • Acho que bloquear o protocolo WireGuard pode se tornar realidade no Reino Unido em breve

    • O papel dos hackers vai ficar muito mais importante daqui para frente

• XRay/XTLS-Reality/VLESS também funciona muito bem. Dizem que é difícil de detectar até na China

  • É só seguir este tutorial, e exemplos adicionais de configuração podem ser vistos aqui

  • Graças ao firewall chinês, as tecnologias de evasão de censura evoluíram bastante. Fiquei feliz de ver alguém mencionar XRay!

    • Também vale consultar o site oficial do V2Ray e Acessando a internet na China com V2Ray e caddy
    • Proxies baseados em V2Ray podem funcionar como alternativa a VPN

  • Há também um projeto chamado sing-box que vale a pena (link do projeto).

    • Eu uso para rotear por app/serviço: por exemplo, app de banco via modem 5G, bancos dos EUA via US residential proxy, e o restante via VPN (sem precisar de root no Android)
    • Esses recursos avançados surgiram graças ao firewall chinês

  • Fico pensando se, quando todo o tráfego se concentra em um único site, isso por si só não acaba gerando suspeita

• O Mastodon é difícil de ser totalmente bloqueado por um regime, e a maioria das instâncias não bloqueia uso via Tor.

  • De fato, quando o X foi bloqueado no Brasil, houve uma grande migração para o Mastodon
  • Veja mais informações em joinmastodon.org

  • Não seria fácil bloquear servidores individuais (mastodon.social, etc.) um por um?

  • Bloqueio em nível de protocolo também pode ser mais fácil do que parece. Países que bloqueiam VPN tendem a evoluir rapidamente de simples bloqueio por IP para bloqueio por protocolo