Chính phủ nước tôi đã chặn kết nối VPN. Tôi nên dùng gì?

Một quốc gia chặn cả VPN thì liệu có thể được gọi là quốc gia tự do hay không..

Trung Quốc, Indonesia, Anh, Úc, ... đây là một vấn đề xuất hiện ở nhiều nơi hơn tôi tưởng

Ý kiến trên Hacker News

• Tôi từng làm công việc vượt kiểm duyệt tại một nhà cung cấp VPN lớn vào đầu những năm 2020

  • Bước đầu tiên là lấy được phần mềm VPN và tệp cấu hình thật. Các nhà cung cấp quan tâm đến kiểm duyệt thường phân phối chương trình qua những kênh khó chặn như S3 và các gói đã được làm rối, đôi khi còn phối hợp với các tổ chức địa phương để phát hành an toàn
  • Nếu đã có phần mềm, tôi khuyên nên thêm một lớp làm rối để sử dụng
  • Một công cụ được dùng nhiều là Obfs4proxy, dùng khóa chia sẻ sẵn để ngụy trang lưu lượng thành thứ không đáng chú ý, đồng thời che cả bắt tay VPN. Không bảo mật hoàn hảo nhưng vượt qua được phần lớn DPI (kiểm tra gói sâu)
  • Shapeshifter (do Operator Foundation tạo ra) và các kiểu truyền tải cắm thêm khác cũng đáng thử. Tuy nhiên nhà cung cấp phải hỗ trợ các giao thức này
  • Về lâu dài, phần khó nhất là không để lộ việc bản thân đang dùng VPN. Phân tích thống kê dài hạn vẫn có thể phát hiện kết nối VPN ngay cả khi có làm rối, và nếu một quốc gia muốn giám sát thì chi phí triển khai cũng tương đối rẻ. Tôi không rõ tình hình ở Indonesia nên không thể đưa lời khuyên cụ thể
  • Tôi cho rằng Mullvad là một nhà cung cấp VPN đáng tin cậy và có năng lực kỹ thuật. (Tôi chưa từng làm ở Mullvad, thực ra còn là đối thủ. Tôi luôn tôn trọng cách tiếp cận của họ)

  • Tôi từng nghĩ sẽ thật hay nếu một nhà vận hành phát sóng sóng ngắn lớn nào đó phát chính gói VPN như một dịch vụ công cộng qua data broadcasting ra toàn thế giới

  • Bạn nói Obfs4proxy khiến lưu lượng trông như chẳng có gì đặc biệt, nhưng trên thực tế DPI có thể coi đó là luồng byte ngẫu nhiên, phân loại thành giao thức không xác định rồi chặn luôn. Lừa DPI tin rằng đó là HTTPS có lẽ lại có lợi hơn. Dĩ nhiên nếu HTTPS cũng bị chặn thì vô nghĩa

  • Tôi muốn biết bạn nghĩ gì về các hệ thống như DAITA của Mullvad, truyền với mẫu băng thông cố định để ngăn phân tích lưu lượng

  • Các mẹo như TLS phân mảnh (fragmented TLS) hoặc đảo thứ tự gói cũng có hiệu quả, và chỉ dùng transport HTTPS cơ bản cũng là điểm khởi đầu ổn ở đa số nơi. Hệ thống phân tán mã nguồn mở URnetwork cung cấp tất cả các tính năng này. Cũng có thể tải từ các store lớn hoặc F-Droid

  • Việc cài Obfs4proxy và Shapeshifter thực sự rất phiền và tốn thời gian

    • Tự thuê một VPS (ở châu Âu/Mỹ khoảng $10/năm là có thể có 2GB RAM, 40GB đĩa, lưu lượng hàng TB mỗi tháng), tôi khuyên chọn region châu Âu
    • Cài wireguard + công cụ làm rối, hoặc tailscale + máy chủ DERP tự host trên đó
    • Cách đơn giản hơn nữa là dùng cổng ssh -D làm máy chủ SOCKS. Hầu như không bị chặn nhưng đặc tính lưu lượng khiến nó dễ bị chú ý

• Tôi từng sống ở Trung Quốc một thời gian và đã trải qua nhiều đợt chặn VPN. Giờ thì phần lớn công ty VPN đã từ bỏ việc hỗ trợ các quốc gia chặn mạnh. VPN thương mại rồi sớm muộn cũng sẽ bị chặn

  • Cách tôi dùng là dựng máy chủ SOCKS5 trên EC2 miễn phí ở region nước ngoài rồi kết nối từ thiết bị của mình. Cloudflare VM có vẻ cũng hợp cho mục đích này
  • Chỉ có lưu lượng cá nhân đi qua nên mức độ nổi bật thấp, và trong vô số máy chủ ở region đó, nhà nước khó phân biệt ra
  • Mẹo sinh tồn trong môi trường internet không tự do: GitHub không bị chặn (ít nhất ở Trung Quốc), nên kỹ sư địa phương thường đăng tài liệu liên quan và file tải lên đó
  • Nếu lo bị lộ danh tính do static IP, thì VM cũng chỉ là một máy tính, nên có thể nối thêm một VPN khác để tăng ẩn danh

  • Tôi từng nghe rằng các dải IP public của VPS đều đã được biết đến rộng rãi, nên ở Trung Quốc cách này không hiệu quả. Nghe nói đây không phải giải pháp dùng được với tường lửa Trung Quốc

  • Dùng instance VM làm đường hầm VPN là ý hay, nhưng băng thông internet thực sự vào/ra Trung Quốc bị hạn chế quá mức nên có giới hạn xử lý lưu lượng. Cấu hình tốt hơn là có VM ở cả hai phía tường lửa, rồi dùng peering giữa VM trong và ngoài trên cùng một dịch vụ hosting (ví dụ Alibaba Cloud). VM phía trong có thể làm rất đơn giản bằng các công cụ như socat hoặc netfilter

    • Cũng nên nhất định dùng công cụ làm rối
    • Khi bị chặn, chỉ cần đổi IP VPN phía ngoài rồi cập nhật cấu hình. IP VM phía trong gần như không cần đổi

  • Tôi cũng từng làm việc ở Trung Quốc trước đây (không sống lâu nhưng vào khá thường xuyên), và tôi mở OpenVPN trên cổng 443 hoặc 22 trên máy chủ do mình sở hữu, nhờ đó phần lớn thời gian kết nối không vấn đề gì

  • Hai năm trước ở Indonesia GitHub cũng từng bị chặn tạm thời, và có lúc một trong các nhà mạng lớn cũng tạm chặn SSH

• Với tư cách người đang sống ở Indonesia, tôi không nhớ đã thấy tin gần đây nói X (Twitter)/Discord bị chặn. Năm 2024 từng có nói rằng X có thể bị chặn vì nội dung người lớn

  • Bạn có thể tự kiểm tra trạng thái chặn theo thời gian thực tại trang này
  • Bạn nói VPN không kết nối được, đúng là một số nhà cung cấp từng bị chặn trước đây, nhưng 5 năm gần đây thì không có chuyện như vậy
  • Vì vậy một cách là thử đổi nhà cung cấp internet (nhà mạng)

• Tôi nghĩ nơi này (Hacker News) không phải chỗ phù hợp cho câu hỏi về vượt kiểm duyệt

  • Mọi người có xu hướng chỉ khuyên tự dựng như Tor, Tailscale, VPN dựa trên Wireguard, Mullvad, nhưng có vẻ thiếu trải nghiệm thực tế
  • Chỉ cần tìm VPN chuyên cho Trung Quốc/Nga/Iran. Quyền riêng tư có thể không bằng Mullvad nhưng chắc chắn hoạt động

  • Nếu tôi là cơ quan tình báo Trung Quốc, Nga hay Iran, tôi sẽ ngụy trang thành một nhà cung cấp VPN chuyên cho các nước rủi ro như vậy và dùng nó như honeypot để thu thập thông tin người bất đồng chính kiến

  • Theo tôi, với cá nhân có tự tin kỹ thuật, cách an toàn nhất là dựng một instance nhỏ trên cloud ở nước ngoài rồi dùng chuyển tiếp ssh + proxy để truy cập thông tin

    • Ví dụ có thể xem hướng dẫn cấu hình Squid Proxy
    • Chính phủ không chặn lưu lượng ssh, nên cách này vừa có quyền riêng tư cao vừa vượt chặn được

  • Tôi không đồng ý với việc cho rằng cứ khuyên các phương pháp hay nhà cung cấp nổi tiếng thì là không có kinh nghiệm vượt kiểm duyệt

    • Các nhà cung cấp vô danh, cách làm tạm bợ cuối cùng vẫn có thể bị tấn công watering hole

  • Nếu không tin tưởng bên ngoài, bạn cũng có thể lồng thêm một VPN khác ở phía trên

  • VPN quảng cáo rầm rộ đa phần là vì mục đích thương mại, nên khả năng cao có cơ quan gián điệp quốc gia nào đó dính vào

    • Ít nhất bề ngoài thì chúng hoạt động được (vào được các trang bị chặn).
    • Tùy cơ quan nào vận hành mà bạn có thể thực sự có được quyền riêng tư, hoặc ngược lại bị truy ngược đến người dùng cụ thể và lưu lại lưu lượng
    • Tôi nghĩ phần mềm miễn phí (mã nguồn mở) mà công ty không thể kiểm soát sẽ tốt hơn

• Tôi nghĩ Úc và Anh cũng có thể sớm đi theo con đường này

  • Điều chua chát là, dù chúng ta (người dùng HN) có thể tìm cách vượt qua, công dân bình thường thường không có ngân sách hay kỹ năng kỹ thuật, nên chính phủ/truyền thông lớn sẽ chặn báo chí công dân rất hiệu quả

  • Sáu tháng trước có lẽ tôi còn cười nhạo kiểu nói này, nhưng giờ thấy nó rất thật và đáng lo (ở Anh)

  • Ở Úc, từ trước tôi đã cảnh báo chuyện này sẽ xảy ra vì lý do chính trị

    • Đây không phải tranh luận kỹ thuật; chính trị không quan tâm đến kỹ thuật
    • Mọi người cần hiểu rằng chúng ta đang từ từ đi theo con đường này
    • Cuối năm 2017, Thủ tướng Malcolm Turnbull từng nói: "Điều quan trọng không phải là quy luật toán học mà chỉ là luật pháp Úc"

  • Tôi nghĩ không cần đánh giá thấp năng lực của xã hội.

    • Lớn lên ở khu nghèo tại Anh, quanh tôi luôn có "ông anh biết việc" lo chuyện mua máy tính/TV bất hợp pháp, đấu điện vòng, CD sao chép, băng video
    • Rồi cuối cùng cũng sẽ có kiểu "mỗi vài nhà lại có một người" cài proxy bằng phần cứng rẻ như Raspberry Pi
    • Nói thật, nếu tôi thất nghiệp khỏi ngành IT thì cũng tính làm vai đó

  • Một số bang bảo thủ ở Mỹ cũng có thể sớm thử. Luật xác minh danh tính với trang web khiêu dâm không hiệu quả, nên có thể họ sẽ tiến thêm bước nữa

  • 90% "báo chí công dân" thực ra không phải báo chí thật, cũng tương tự như khoa học công dân nghiên cứu vaccine

• Tor: thân thiện với người dùng, dễ cài, ẩn danh cao và miễn phí. Nhưng dễ thành mục tiêu kiểm duyệt, chậm, và exit node bị hầu hết trang web nghi ngờ

  • Tailscale + Mullvad exit: dễ đến mức chỉ cần cài và cấu hình, nhanh hơn Tor, cách dùng đa dạng. Nhược điểm là DPI có thể nhận diện lưu lượng Mullvad và có chi phí
  • Tự thuê VPS chạy Wireguard hoặc Tailscale: kiểm soát gần như mọi thứ, chọn được tốc độ, chia sẻ với người quen. Nhược điểm là cần chút kinh nghiệm vận hành, và chi phí hosting dự kiến từ 20~30 đô mỗi tháng trở lên

  • Tailscale chỉ cần khi OP (người hỏi) không thể vào Mullvad.net để đăng ký tài khoản

    • Nếu chính phủ Indonesia chặn các node Mullvad thì dùng mẹo gì cũng vô ích
    • Khi dùng VPS, ở phía ngoài (website) việc nhận diện là quá dễ vì IP cố định
    • Khuyến nghị của tôi là cài Mullvad hoặc Tor trên VPS ở nước ngoài rồi chuyển hướng lưu lượng qua VPS đó. Nếu muốn dùng đồng thời trên nhiều thiết bị thì cách dễ nhất là biến VPS thành Tailscale exit node

  • VPS hỗ trợ Wireguard có giá chỉ 20~30 đô một năm, nên 20~30 đô một tháng có vẻ là lỗi gõ. Có thể tìm VPS rẻ ở vpspricetracker.com

  • NordVPN hay ProtonVPN cũng ở vị trí tương tự Mullvad. Nếu miễn phí thì bạn chính là sản phẩm; kể cả trả phí thì lưu lượng vẫn đi tới các máy chủ VPN đã được biết công khai, nên ở một số nước chỉ riêng metadata đó cũng đã có thể nguy hiểm

    • Nhất định phải dùng một cách thận trọng

  • IP VPS không phải IP dân dụng, nên với một số trang web/dịch vụ, truy cập từ VPS có thể bị chặn hoặc yêu cầu xác minh thêm

    • Không có giải pháp tốt hơn, nhưng đây là điểm cần lưu ý

  • Tor cũng có các công nghệ chống kiểm duyệt như snowflake. Nếu mức độ chặn rất mạnh thì Tor có thể là cách hiệu quả nhất

• Tôi thường xuyên làm việc ở Trung Quốc, và VPN WireGuard của tôi (cài ở nhà) đến giờ vẫn chưa từng bị chặn

  • Tên miền máy chủ VPN cũng host thêm dịch vụ HTTPS, điều này có thể giúp ích
  • Trước đây tôi dùng shadowsocks (proxy mã nguồn mở) và obfs (làm rối) trên DO droplet, còn dạo này xu hướng là v2ray + vmess/vless + reality
  • Cái này không phải VPN mà là proxy, nên dễ ngụy trang bản chất hơn và hiệu quả vượt chặn tốt hơn
  • Nếu host trên VPS public thì việc chặn cả AWS, DO là khá khó chịu nên có tính ẩn mình, nhưng ngược lại cũng có thể nổi bật theo mẫu lưu lượng vì là endpoint VPN rõ ràng
  • Reddit r/dumbclub vẫn còn chút thông tin cập nhật để tham khảo
  • Cũng cần lưu ý là tự dựng kiểu này không hề dễ. Tôi cũng thấy việc WireGuard của mình vẫn chạy được giống như phép màu
  • Có một lựa chọn đặc biệt là SIM roaming. Vì roaming vốn dĩ đường truyền được tunnel về trụ sở nhà mạng gốc nên ở Trung Quốc không bị chặn. Hữu ích khi cần vào máy chủ hay cấu hình proxy trong tình huống khẩn cấp

• Tôi đang du lịch ở Uzbekistan và đã ngạc nhiên khi chính giao thức wireguard bị chặn

  • Bình thường việc kết nối bằng wireguard tới máy chủ của tôi không có vấn đề, nhưng đây là lần đầu tôi thấy cả giao thức bị chặn toàn bộ
  • Quan trọng là phải kiểm tra trước xem cái gì bị chặn và bị chặn như thế nào rồi mới chọn nhà cung cấp VPN

  • Ở nơi wireguard bị chặn, tôi từng vượt qua bằng cách chạy wireguard qua wstunnel

  • Bản thân wireguard có mẫu mạng khá dễ nhận ra, và cũng không theo đuổi việc làm rối

    • Một số công cụ sẽ ngụy trang lưu lượng thành 443/TCP

  • Thật lạ khi chính phủ lại chặn chỉ một giao thức dùng để hai máy tính tạo đường hầm an toàn với nhau

  • Tôi nghĩ việc chặn giao thức wireguard cũng có thể sớm thành hiện thực ở Anh

    • Vai trò của hacker từ nay sẽ còn quan trọng hơn nhiều

• XRay/XTLS-Reality/VLESS cũng hoạt động khá tốt. Nghe nói ngay cả ở Trung Quốc cũng khó bị phát hiện

  • Chỉ cần làm theo hướng dẫn này, và có thể tham khảo thêm ví dụ cấu hình ở đây

  • Nhờ tường lửa Trung Quốc mà công nghệ vượt kiểm duyệt đã phát triển đáng kể. Gặp người nhắc XRay thấy vui thật!

    • Trang chính thức của V2Ray hay Truy cập internet ở Trung Quốc bằng V2Ray và caddy cũng đáng tham khảo
    • Proxy dựa trên V2Ray có thể hoạt động như một giải pháp thay VPN

  • Dự án sing-box cũng khá dùng được (liên kết dự án).

    • Cách tôi dùng là định tuyến khác nhau theo từng app/dịch vụ, ví dụ app ngân hàng đi qua modem 5G, ngân hàng ở Mỹ đi qua US residential proxy, còn lại đi qua VPN (không cần root Android)
    • Những tính năng nâng cao kiểu này cũng xuất hiện nhờ tường lửa Trung Quốc

  • Tôi có chút thắc mắc rằng nếu toàn bộ lưu lượng đều dồn về một website duy nhất thì bản thân điều đó có khiến người ta nghi ngờ hơn không

• Mastodon khó bị chính quyền chặn hoàn toàn, và đa số instance không chặn người dùng Tor.

  • Thực tế khi X bị chặn ở Brazil đã có làn sóng người dùng lớn đổ sang Mastodon
  • Có thể xem thêm thông tin tại joinmastodon.org

  • Có lo ngại rằng từng máy chủ riêng lẻ (như mastodon.social) chẳng phải cũng khá dễ bị chặn riêng hay sao

  • Chặn ở cấp giao thức cũng dễ hơn người ta tưởng. Các quốc gia chặn VPN có xu hướng nhanh chóng tiến từ chặn IP đơn thuần sang chặn giao thức