Доступ к заблокированным сайтам через SSH для «чайников»

Доступ к заблокированным сайтам в Китае через SSH для чайников

В Магазете неоднократно публиковались различные способы обхода ВКФ и интернет-цензуры в Китае. Мы рассказывали про технологию TOR, программу Hotspot Shield и платные методы с VPN (например, 39VPN за 30 юаней в месяц). И наверняка у многих читателей после этого рабочий стол выглядит примерно так. Сегодня я подробно расскажу о способе, которым уже больше года пользуюсь сам и рекомендую всем друзьям — SSH-туннель.

SSH-туннель — это туннель, создаваемый посредством SSH-соединения и используемый для шифрования данных. Используется для того, чтобы обезопасить передачу данных в Интернете…

Проще говоря, SSH-туннель это дешёвый и карманный вариант VPN. Его плюсы: скорость (будете смотреть youtube и заходить в facebook без тормозов), безопасность (шифрование соединения), стабильность (я уже пользуюсь больше года без косяков), дешевизна ((теоретически может быть бесплатным, т.к. в сети множество сайтов предоставляющих бесплатный ssh-доступ (shell) )). Минусы: всё же придётся заплатить маленькую денежку и прочитать эту статью до конца.

Для гиков я оставил ссылки на дополнительные материалы внизу статьи, а мы перейдём сразу к делу.

Ищем shell

Первое что нам нужно сделать, это найти сервер с ssh-доступом. Попробуйте погуглить фразы “free shell” или “free ssh” для поиска бесплатного сыра. Если вы владелец сайта, то можете поинтересоваться о ssh у вашего хостера.

Если вы счастливый обладатель гонконгского хостинга ICDSoft (как я), то могу вас поздравить — у вас есть доступ к SSH! Но чтобы им пользоваться, нужно написать письмо в службу поддержки.

Обновление от 18 февраля 2012: Услуга SSH-туннеля стала слишком популярна и кто-то использовалл его для скачивания торрентов, поэтому ICDSoft приостановил его поддержку. Но вы можете попробовать найти другой хостинг с поддержкой shell.

Включаем shell на хостинге ICDSoft

Кликните “Support” в панеле управления хостингом, или перейдите прямо на сайт suresupport.com. Введите логин/пароль, если спросят. ((Этот логин/пароль может отличаться от того, по которому вы заходите в панель управления. Если вы до этого ни разу не обращались в саппорт, то нужно зарегистрироваться здесь — https://www2.suresupport.com/new.php))

Затем на странице “Post a ticket”, в блоке “Ticket details” выбираем доменное имя вашего сайта, пишем тему сообщения “SSH”, содержание следующее:

Hello!

Could you please migrated my account to an SSH-enabled server? But please make sure, that that new server is not blocked in China :)

Thanks!

Где-то через минут 20 вам ответят, что ваш сайт успешно переехал. Вам также могут выдать адреса новых NS-серверов, особенно в том случае, если вы регистрировали домен не у ICDSoft. Тогда вам нужно пойти в панель управления домена (не хостинга) и там прописать новые NS-сервера.

Подключаемся к свободе

Осталось совсем чуть-чуть. Для подключения к SSH-туннелю вы можете воспользоваться любым telnet/ssh-клиентом (PuTTY для PC, Terminal для Mac), или специальными программами (гуглите: ssh tunnel). Ниже описываю способ для мака, а остальных попрошу описывать способы открытия SSH-туннеля на других ОС в комментариях.

Способ для мака

  1. Качаем приложение SSHTunnel, бросаем в папку Applications.
  2. Запускам SSHTunnel, открываем вкладку “Servers”. Нажимаем “+” в нижнем левом углу и добавляем новый сервер.
  3. Заполняем пустые строки. Server: (здесь адрес сервера c SSH). Port: обычно 22. User и Password — логин и пароль соответственно. ((Пользователям ICDSoft нужно ввести адрес сервера, на который вас перенесли, а также логин и пароль от вашей панели управления хостингом.))
  4. Переходим на закладку “Sessions”. В левой колонке выбираем “Proxies” -> “Airport proxy”. В выпадающем меню “Use this server” выбираем наш.
  5. Нажимаем кнопку “On/Off”. Если соединение прошло успешно, то в левой колонке лампочка должна позеленеть. (Красная лампочка — нет соединения).

Safari, Mail, iTunes и многие другие “родные” программы автоматически станут работать через туннель. Поэтому прямо сейчас в Safari попробуйте открыть Youtube или Facebook, и проверить работает ли туннель. Некоторые другие программы (например, Firefox) могут игнорировать системные настройки прокси, и эту опцию нужно включать в настройках отдельно.

Способ для Windows

Обновление 24.06.11. В комментариях Bazilxp советует использовать PuTTy и рассказывает подробности. А с помощью гугла можно найти альтернативы SSHTunnel для Windows, но порекомендовать что-нибудь конкретное я не могу.


С радостью отвечу на все вопросы в комментариях. Пожалуйста, присылайте свои способы подключения к SSH, я буду периодически добавлять их в пост.

Если пост вам показался интересным, то пожалуйста воспользуйтесь социальными кнопками внизу, чтобы поделиться ссылкой на него с друзьями.

Спасибо.

Дополнительная литература

Orphus: Нашли опечатку? Нажмите Ctrl+Enter

Автор: Александр Мальцев

Основатель и главный редактор Магазеты. Со-ведущий "Laowaicast". Автор многочисленных интернет-проектов связанных с Китаем. Живет и работает в Ханчжоу.

bazilxp
2011-06-23 10:48:03
ssh -i key.pem [email protected] -D 1080 так будет слушать SOCKS прокся работает из Mac,Unix лучше конечно с ключом ходить на серваке ~/.ssh/authorized_keys публичная часть key.pem(Приватная часть у себя) :-) man ssh-keygen добро пожаловать в мир ключей. С Точки зрения безопасности каждый протокол имеет Finger Print, четкий отпечаток . Скажем так некоторые "бесплатные решения" оставляют след в милю. Протоколы вроде XL2TP нуждаются в допольнительном транспорте IPSEC, pptp без GRE не работает(кстати забанен в китае) :) Т.е. на стороне провайдера можно сказать однозначно какого типа трафик идет.В Случае с ssh оно хорошо если не долго, иначе по объемам и по времени просто можно сказать ага тунель и отрезать его ножницами=)
bazilxp
2011-06-23 10:56:36
Основная проблема интернета, это не стенка. А Некоторые параметры соединения. Берем час пик и среднего провайдера на xxx пользователей. В Китае да мы гарантируем к примеру доступ 3МБит . А что же происходит если мы идем в рунет. Ну первое что может слететь к примеру DNS на провайдере,dig ya.ru будет показывать айпишник с 3-4 раза. Альтернативные бесплатные ситуацию не спасают, весь трафик тут ходит через 5-6 шлюзов на всю страну. Другая проблема канал наружу он имеет параметры вроде Cкорость,Время отклика,И кол-во соедений. 256kBit к Примеру расчитано на не более 200 соединений если мы говорим о ADSL. То есть в час пик инетрнет не работает потому что нет нормальной балансировки трафика, внешний канал просто падает из за кол-ва соединений,он тип есть,но кто первый тот и успел:) Отсюда еще один ответ почему тунель якобы ускоряет работу,так как весь трафик идет физически через одно занятое соединение:) Если упала наземная маршрутизация как ни пичально, тунель не спасет...
Лера
2011-06-23 14:04:44
+1
Artemis-x
2011-06-23 14:07:06
Ура! Вот оно! Ну, держись блогпост!
bazilxp
2011-06-23 14:08:12
понеслась карусель :)
bazilxp
2011-06-23 14:08:40
Новый дизайн стильно выглядит
йцу
2011-06-23 15:32:24
сокс - унылое говно, лучше сделать туннель, единственное - нужно иметь на серверном конце tun/tap интерфейс принадлежащий вашему юзеру
Александр Мальцев
2011-06-24 08:14:15
Спасибо. А для windows что-нибудь посоветуешь?
Александр Мальцев
2011-06-24 08:15:52
Поудалял оффтоп в комментариях. Обсуждение дизайна происходит тут - http://magazeta.com/insider/2011/06/18/reloaded/
bazilxp
2011-06-24 10:17:57
Для windows самый простой способ putty, Но там нужны костыли... вроде так hosting +squid , а putty localhost 8080 -> squid 3128. Главное о чем должен помнит солдат, Flash/Java имеют привычку иногда ходить мимо Proxy(прямой dns трафик), так что нужно понимать что тунель в простом варианте HTTP+SSH не может гарантировать 100% защиты. Как я писал выше, ssh это временное решение, у меня был случай в CНГ про кинули туннель по SSH с другом в МОСКВУ, тунель убили через 15 минут после объема более 50МБ. SSH если делает много трафика сильно привлекает внимание. Общий совет иметь Два браузера например Firefox + FoxyProxy , и Хром. Один пускать через тунель , а другим обычный интернет:) Самый разумный вариант, например если кому нужно видео с тубика, http://rg3.github.com/youtube-dl/ качать данным скриптом на хостинг напрямую типа ./ydl.py xxxxxx?id=yyyyyy а дальше забирать по обычному HTTP протоколу с хостинга. по HTTP качать файлы - привлекать меньше внимания, шаблон поведения попадает под 99% пользователей , 1% как раз тунельщики=) Мак или Линукс лучше всего, там всё работает с коробки :)
Андрей
2011-06-24 17:33:52
Статью о вывозе миллиардов сняли или заблокировали? Не прошла проверку?
Александр Мальцев
2011-06-24 19:01:22
Чоэ?
veisong
2011-06-24 20:24:55
Спасибо за статью! Это правда чистой воды, что туннели очень сильно привлекают внимание, как и любой шифрованный и не попадающий под шаблонное поведение траффик. Зачастую провайдеры в Китае разу стараюстя ограничить любые Ваши возможности по созданию тоннелей или нормальной работе тора, некоторых других реализаций и протоколов. На своей машинке под GNU/Linux использую сервис VPN от компании overplay. Стандартный networkmanager настраивается очень легко. О консольных вариантах даже упоминать не стоит. Кому надо, тот и так умеет =) Стоит 8-10 баксов в месяц, работа стабильная и очень быстрая. Из плюсов: - Поддержка openVPN c 128-bit CBC-Blowfish, PPTP, L2TP с MPPE и IPSec - Наличие серверов по всему миру, то есть вы можете "перемещаться" для локальных серверов в любую точку мира. Полезно, например, для доступа к некоторым забугорным сервисам, которые принимают Вас за "своего". Это ни в коем случае не реклама, просто сам нашел, что этот сервис правда стоит своих денег, даже если Вы не в Китае. Возможность "быть" в другом месте это того стоит. Конечно для "праведной" активности в сети. =)
司马骏
2011-06-27 11:33:26
Спасибо за overplay.net! Как раз искал сервис, который будет нормально работать под GNU/Linux.
Родной
2011-06-27 14:52:16
Был Хороший VPN Express для iPhone,iPad работал забанили.. Периодически вносят в черный список . Internet Your Freedom Забанен. Это вопрос времени,банят так на каком нить блоги "родные" пишут я вот перепрыгнул стенку ура товарищи. Реакция понятно предсказуемая.
вов89
2011-06-29 15:27:24
Насчет скорости не знаю, не падает она..
вов89
2011-06-28 21:39:03
Без обид, но... что за извращения?? Есть программка freegate, бесплатная, самобновляющаяся, без рекламы, от нее не падает скорость, а все что нужно - это запустить ее и все будет отрываться, все идельно работает
Александр Мальцев
2011-06-28 23:24:40
Во-первых, freegate только под windows. Во-вторых, скорость в десятки раз ниже, чем у SSH/VPN-способов. В-третьих, есть сообщения об опасности этой программы - http://en.wikipedia.org/wiki/Freegate
Сергей
2011-07-29 11:53:43
В настоящий момент суппорт из вышеозначенного провайдера задает нетривиальный вопрос - "а зачем вам SSH?", а через пару сообщений прямо говорит, мол не пытайтесь устроить туннель, ибо у нас за это строгача можно схватить. По указанному варианту (для Мак) популярные сервисы не работают (ни фейс, ни 443 гмайл, ни ютуб). С Сервером соединяется (и через туннельную прогу и через терминал), но вот ничего не происходит, все как было уныло, так и осталось, даже что работало стало либо плохо работать, либо вообще перестало. 443 прописал в сервисах, но не помогло.
Александр Мальцев
2011-07-30 19:15:24
У меня и у моих друзей, которые пользуются этим способом всё нормально до сих пор.
Антон
2011-09-08 12:16:28
А можно более подробно написать про "костыли" для Putty, или статейку посоветовать? Перекопал уйму материала по настройке Putty на Win 7, но решения так и не нашел. Думаю другим тоже будет полезно. Спасибо
Сергей
2011-09-22 09:05:31
Все зависит опять же от провайдера: 1. В отеле неизвестный мне провайдер (а может просто стоит какой-нибудь веб-сенс), туннель не работает вообще. 2. На работе другой (China Telecom), проблем нет, все как часы. Так что решение нормальное для серфинга, но не идеальное. Радует только нормальный доступ к Gmail, остальное не столь важно.
Виктор Ширяев
2011-09-22 11:44:52
кирдык freegate'у, похоже. пользовался стабильно, и вот уже пару недель вообще не подсоединяется, а даже если и подсоединяется, ничего не открывает. пичалька. впрочем, у меня домен на ICDSoft, наконец дошли руки попробовать способ из поста.
Виктор Ширяев
2011-09-22 16:33:51
Скачал putty, создал туннель, но что-то фигово коннектит через браузер. форвард через порт 8080 идет, действительно. Присоединяюсь к просьбе рассказать про костыли подробнее, в нете что-то толком не найти.
Владимир Zh
2012-08-08 12:56:56
А может кто подскажет нормальный платный vpn? Все отзывы да статьи в сети какие-то несвежие.
Александр Мальцев
2012-02-18 23:02:11
<ins datetime="2012-02-18T14:57:18+00:00">Обновление от 18 февраля 2012: Услуга SSH-туннеля стала слишком популярна и кто-то использовалл его для скачивания торрентов, поэтому ICDSoft приостановил его поддержку.</ins>
dirazhablya
2012-10-16 13:25:55
"...в блоке “Ticket details” выбираем доменное имя ВАШЕГО САЙТА, пишем тему сообщения “SSH”..." - не совсем понял, эта фишка только для тех у кого свой сайт или для обычных пользователей, чтобы браузить ютуб и фб? ссылка на en.wikipedia.org/wiki/Freegate - не открывается, я так понимаю фригейт без предупреждения сохраняет введенные пароли?
Александр Мальцев
2012-10-16 16:11:03
Рекомендую Astrill и JimSERVER(точка)com
Александр Мальцев
2012-10-16 16:11:37
обратите внимание на комментарий от 18 февраля.