[Хочется странного] Посоветуйте дешёвый VPS
Что тебя не устраивает в текущей ситуации?
Делать в pppoe шифрованние данных никакой вменяемый провайдер не будет - это слишком дорого при текущих скоростях интернетов.
Снифать твой трафик могут везде, где пробегает твой пакет, поэтому защищаться на этапе выхода в эти самые интернеты также бесполезно - если тут слушают тебя школьники, то там - могут совсем не школьники слушать.
Итого - все нормальные операции проводятся через шифованное соединение, (https, etc) - это и так выполняется во всех вменяемых местах.
Остальной трафик в шифровании и/или какой-нить защите не нуждается.
А уж если говорить о том, чтобы тебя "искали" - ты им нахрен не сдался. А если вдруг сдашься - то тебя никакие VPNы не спасут против паяльника. В жопе.
Делать в pppoe шифрованние данных никакой вменяемый провайдер не будет - это слишком дорого при текущих скоростях интернетов.
Снифать твой трафик могут везде, где пробегает твой пакет, поэтому защищаться на этапе выхода в эти самые интернеты также бесполезно - если тут слушают тебя школьники, то там - могут совсем не школьники слушать.
Итого - все нормальные операции проводятся через шифованное соединение, (https, etc) - это и так выполняется во всех вменяемых местах.
Остальной трафик в шифровании и/или какой-нить защите не нуждается.
А уж если говорить о том, чтобы тебя "искали" - ты им нахрен не сдался. А если вдруг сдашься - то тебя никакие VPNы не спасут против паяльника. В жопе.
Итого - все нормальные операции проводятся через шифованное соединение, (https, etc) - это и так выполняется во всех вменяемых местах.допустим на этом форуме - https нет, но если школьники упрут пароль - будет неприятно.
Остальной трафик в шифровании и/или какой-нить защите не нуждается.
т.е. я к тому, что есть куча сайтов - которые имеют дело в том числе и с деньгами - но никакого https, там и в помине нет.
Сайты, имеющие дело с деньгами без https идут лесом.
Для этого форума, пожалуй, можно заюзать tor. Но вот торренты гонять через шифрованный VPN - верх странности.
Для этого форума, пожалуй, можно заюзать tor. Но вот торренты гонять через шифрованный VPN - верх странности.
Снифать твой трафик могут везде, где пробегает твой пакетМой пакет до, к примеру, форума пробегает по моей квартире, через провайдерскую сеть со школьниками, идёт в магистральную сеть комкора, оттуда - в транстелеком, затем в runnet (академическая сеть затем - непосредственно в форум. Сомневаюсь, что мои пакеты будут слушать в комкоре или транстелекоме; да и насчёт runnet-а у меня есть сомнения - остаётся только СНТО и сам форум. Но там и пакеты слушать необязательно, шаллер и без того что угодно сделать может.
если тут слушают тебя школьники, то там - могут совсем не школьники слушатьЕсли мой пароль к форуму/почте/жж сопрут школьники из соседней квартиры - это будет очень неприятно. А совсем не школьникам из дойче телеком нахрен не нужны эти пароли.
Итого - все нормальные операции проводятся через шифованное соединение, (https, etc) - это и так выполняется во всех вменяемых местах.ЖЖ, форум, почта. Даже если где-то есть авторизация по https - дальнейшая работа в большинстве случаев всё равно идёт по http, а значит, школьник может спереть мою сессию - и хотя ящик не украдёт (пароль не знает всё равно сможет писать и читать письма.
Кроме того, неприятно даже когда школьники всего лишь знают, какими ресурсами ты пользуешься.
А уж если говорить о том, чтобы тебя "искали" - ты им нахрен не сдался. А если вдруг сдашься - то тебя никакие VPNы не спасут против паяльника. В жопе.Если кому-то ударит моча в голову и он решит устроить показательную расправу над десятком торрентораздавальщиков - то, если уровень моей защиты будет выше, чем у большинства, за свою жопу я могу быть спокоен. Нахрен им не надо со мной возиться и чего-то там отслеживать через германию и через общий внешний айпишник моего провайдера, если можно взять соседнего пользователя и отыметь его без всякого геморроя.
куча сайтов - которые имеют дело в том числе и с деньгами - но никакого https, там и в помине нетСайтами, имеющими дело с деньгами, но работающими без https, пользоваться нельзя. С такими сайтами ты вообще понятия не имеешь, кто получит твои данные.
Но дело не только в деньгах (те же форумы/жж/почта).
Но вот торренты гонять через шифрованный VPN - верх странностиДумаешь, "300 Mhz CPU" не осилят шифровать какой-то там 1 мегабит в секунду?
А если уж шифровать, то почему не всё, если мощность позволяет?
>Если кому-то ударит моча в голову и он решит устроить показательную расправу над десятком торрентораздавальщиков
Хочу заметить, что для того, чтобы устроить расправу над торрентораздавальщиком нужно доказательство нанесения ущерба более чем на 50 тыс.рублей. В силу принципов работы сети БитТоррент доказать, что именно ЭТОТ человек раздал контент "нужное" число раз практически невозможно. Даже имея доступ к трафику пользователя на уровне его провайдера. Вот трекер, зарегистрированый и живущий в РФ "приложить" можно.
Хочу заметить, что для того, чтобы устроить расправу над торрентораздавальщиком нужно доказательство нанесения ущерба более чем на 50 тыс.рублей. В силу принципов работы сети БитТоррент доказать, что именно ЭТОТ человек раздал контент "нужное" число раз практически невозможно. Даже имея доступ к трафику пользователя на уровне его провайдера. Вот трекер, зарегистрированый и живущий в РФ "приложить" можно.
Сайтами, имеющими дело с деньгами, но работающими без https, пользоваться нельзя. С такими сайтами ты вообще понятия не имеешь, кто получит твои данные.ввод пластиковой карты, да, идет через https
но вывод денег почти всегда без https
да, и всякие инет-магазины, игры и т.д. - т.е. все сайты где деньги можно положить на некий баланс, а потом куда-нибудь потратить - тоже часто идут без всякого https-а.
нужно доказательство нанесения ущерба более чем на 50 тыс.рублейАфаик в случае ущерба больше 50к рублей просто органы могут и сами начать травлю, без просьб со стороны правообладателя.
Или, может быть, я и в милицию не могу прийти и написать заявление о том, что у меня украли кошелёк, если там было меньше 50 тысяч рублей на каждого вора?
300-мегагерцовый комп, конечно, осилит шифрование одного мегабита по какому-нибудь алгоритму. Но той же самой мощности хватало для управления потоками информации между ФДС-4 и ФДС-7 года три назад. Чтобы крутить шифрованные потоки от тысяч пользователей (не одному ж тебе шифрования хочется провайдеру нужны основательные вычислительные мощности. Само собой, разумный провайдер делать этого бесплатно не будет.
300MHz - это гарантированная мощность на этой VPS.
Я сейчас ради интереса запустил сейчас архивирование большого файла в 7-zip с шифрованием AES-256 - процессорного времени уходит одна секунда на гигабит, это при частоте 3200. Конечно, у них мегагерцы слабее будут - но сомневаюсь, что шифрование мегабита в секунду выжрет эту гарантированную производительность хотя бы на 10%.
Опять же, никто не говорит про бесплатно, 2.90 евро в месяц, кажется, вполне нормальные деньги (если учесть, что на среднем старом говносервере, купленном за полштуки, таких пользователей можно крутить пару-тройку десятков).
Я сейчас ради интереса запустил сейчас архивирование большого файла в 7-zip с шифрованием AES-256 - процессорного времени уходит одна секунда на гигабит, это при частоте 3200. Конечно, у них мегагерцы слабее будут - но сомневаюсь, что шифрование мегабита в секунду выжрет эту гарантированную производительность хотя бы на 10%.
Чтобы крутить шифрованные потоки от тысяч пользователейКто сказал про тысячи пользователей? Если хостер продаёт тысячи VPS с гарантированной производительностью по 300MHz на одном мелком 3ггц-сервере - сам виноват.
Опять же, никто не говорит про бесплатно, 2.90 евро в месяц, кажется, вполне нормальные деньги (если учесть, что на среднем старом говносервере, купленном за полштуки, таких пользователей можно крутить пару-тройку десятков).
> Думаешь, "300 Mhz CPU" не осилят шифровать какой-то там 1 мегабит в секунду?
Я не думаю - я знаю. Если бы провайдеру нужно было бы шифровать 1мбит - он бы это делал. Но реалии таковы, что ты предлагаешь шифровать трафик уровня 10Gbit full duplex. А этого твой "300 Mhz CPU" не осилит. Для этого нужно поставить стойку, набитую какими-нить Nehalem'ами, и большую циску в качестве switch fabric к ним в придачу. И питание, охлаждение, прочие накладные расходы.
Я не думаю - я знаю. Если бы провайдеру нужно было бы шифровать 1мбит - он бы это делал. Но реалии таковы, что ты предлагаешь шифровать трафик уровня 10Gbit full duplex. А этого твой "300 Mhz CPU" не осилит. Для этого нужно поставить стойку, набитую какими-нить Nehalem'ами, и большую циску в качестве switch fabric к ним в придачу. И питание, охлаждение, прочие накладные расходы.
А, только понял, что ты почему-то перешёл на моего провайдера. Мы, кажется, говорили про шифрование на стороне моего компьютера и далёкой VPS?
Но даже с шифрованием на стороне провайдера могу тебя разочаровать. Я подключался к нему год назад, и мой номер - в районе 300-400. Даже если за год количество пользователей выросло втрое, и все они сидят на самом дорогом анлиме (тот самый 1мбпс и загружают его на 100% - провайдеру понадобится шифровать какой-то гигабит в секунду (ну ладно, два гигабита - входящий и исходящий). Если это шифрование AES-256 - справится один Core 2 с частотой 3.2ггц.
А ведь это очень завышенные цифры. Лично я крайне сомневаюсь, что у моего провайдера вообще есть гигабитный линк до комкора - скорее всего, это какие-нибудь 100мбпс. Тут вообще можно о процессоре особо не думать - 600мгц производительности одного ядра conroe, или полтора ядра атома.
Так что конкретно моему провайдеру не составило бы никакого труда сделать это шифрование. Просто интернетом там занимается действительно какой-то школьник.
Но даже с шифрованием на стороне провайдера могу тебя разочаровать. Я подключался к нему год назад, и мой номер - в районе 300-400. Даже если за год количество пользователей выросло втрое, и все они сидят на самом дорогом анлиме (тот самый 1мбпс и загружают его на 100% - провайдеру понадобится шифровать какой-то гигабит в секунду (ну ладно, два гигабита - входящий и исходящий). Если это шифрование AES-256 - справится один Core 2 с частотой 3.2ггц.
А ведь это очень завышенные цифры. Лично я крайне сомневаюсь, что у моего провайдера вообще есть гигабитный линк до комкора - скорее всего, это какие-нибудь 100мбпс. Тут вообще можно о процессоре особо не думать - 600мгц производительности одного ядра conroe, или полтора ядра атома.
Так что конкретно моему провайдеру не составило бы никакого труда сделать это шифрование. Просто интернетом там занимается действительно какой-то школьник.
глянул я на fastvps.ru одним глазом - можно там торренты качать на определенных тарифах, а про запуск VPN-сервера вообще ничего не вижу.
Хотя "скрипт torrent" наводит на нехорошие мысли.
Хотя "скрипт torrent" наводит на нехорошие мысли.
можно там торренты качать на определенных тарифахТакое ощущение, что эти "определённые тарифы" предназначены _только_ для торрентов.
а про запуск VPN-сервера вообще ничего не вижуХм, действительно:
7.7. Запрещено размещение open proxy, open VPN, других общедоступных сервисов (в том числе с платным или приватным доступом которые могут служить вспомогательными средствами для противоправных действий в сети Интернет.Я как-то не заметил слово open.
А, только понял, что ты почему-то перешёл на моего провайдера. Мы, кажется, говорили про шифрование на стороне моего компьютера и далёкой VPS?Ты, кажется, разговор начал с того, что в твоем провайдере работают школьники, которые (о, казлы никчемные!) не осилили тебе поднять шифрованный доступ в интернет.
А вообще, если ты такой умный - где твои деньги? (с) Шифрование на одном задохлом сервере не работает. Для этого нужна нормально построенная архитектура с резервированием и хорошим запасом.
что в твоем провайдере работают школьникиНе школьники, а один школьник. Ну или мб студент-младшекурсник, хз. Это - факт.
Шифрование на одном задохлом сервере не работаетПочему?
Моя задохлая персоналка осиливает шифрование с помощью AES-256 двух гигабит в секунду (это если говорить о процессоре; так, конечно, всё упирается в винчестер). Трафик, проходящий через провайдера, скорее всего - на порядок ниже, да и особо мощные алгоритмы там не нужны.
А вообще, если ты такой умный - где твои деньги?Я их ношу провайдеру. Каждый месяц.
Довольно ощутимые деньги, кстати - если учесть, что мой провайдер ещё получает кучу бабла с телефонных пользователей, с подключением по 10к и нехилой такой абоненткой.
Покачену. Потому что шифрование "для себя" и "на продажу" по себестоимости отличаются на несколько (!) порядков.
шифрование "для себя" и "на продажу" по себестоимости отличаютсяЧем же отличаются?
Ну и ты, кажется, всё-таки не понял, что у меня за провайдер. С аптаймом в 90% можно и шифрование "для себя" использовать.
Чем же отличаются?См выше.
задай все эти вопросы своему провайдеру, а не нам.
Тем более зачем ему морочиться с каким-то шифрованием, если без него все замечательно работает.
Тем более зачем ему морочиться с каким-то шифрованием, если без него все замечательно работает.
См выше."Выше" не сказано ничего по делу. Только какие-то фантазии про десятки гигабит и стойки с нехалемами.
задай все эти вопросы своему провайдеру, а не нам.Вам я задаю вопрос "где бы найти такой VPS?", а не "почему мой провайдер не использует шифрование?". Ну и ещё "так чем же отличаются домашнее и провайдерское шифрование?" в ответ на неаргументированное "провайдерское шифрование требует на два порядка больше мощностей, чем домашнее".
Только какие-то фантазии про десятки гигабит и стойки с нехалемами.Как было бы круто, если бы это были в действительности фантазии.
ссылка для протрезвления - трафик через сеть msk-ix, между крупными провайдерами, как правило, выстроены отдельные стыки.
трафик через сеть msk-ixТы уж определись, ты про PPPoE от моего компьютера до моего провайдера говоришь, или про MSK-IX?
Тебе не кажется, что диалог
- Для шифрования десятков гигабит в секунду нужны стойки с нехалемамине имеет смысла?
- Моему провайдеру хватило бы и слабенького атома, у него 100мбпс
- Нифига, провайдерские решения на два порядка домашних
- Чем же они отличаются?
- На MSK-IX 50гбпс
Ещё раз повторю. Моему провайдеру, с его 100мбпс каналом до вышестоящего провайдера, хватило бы и слабенького атома. Почему ты с этим не согласен, и причём тут MSK-IX?
На всякий случай процитирую твои посты:
Так что не фантазируй тут о стойках с нехалемами и десятках гигабит. Ну или попробуй сказать моему провайдеру "вам для шифрования трафика нужна стойка нехалемов и ведро цисок, потому что мы рассчитываем на трафик в десятки гигабит" - как думаешь, что тебе ответят?
Но реалии таковы, что ты предлагаешь шифровать трафик уровня 10Gbit full duplex. А этого твой "300 Mhz CPU" не осилит. Для этого нужно поставить стойку, набитую какими-нить Nehalem'ами, и большую циску в качестве switch fabric к ним в придачу. И питание, охлаждение, прочие накладные расходы.
Шифрование на одном задохлом сервере не работает. Для этого нужна нормально построенная архитектура с резервированием и хорошим запасом.
шифрование "для себя" и "на продажу" по себестоимости отличаются на несколько (!) порядковЭто, конечно, здорово, что ты знаешь о существовании сайта MSK-IX, статистики трафика на нём, и всяких понтовых решений на цисках - но речь идёт о моём провайдере, а я всё-таки пока что не напрямую к MSK-IX подключаюсь. Как я тут уже говорил - прошлой весной у моего провайдера было меньше 400 пользователей, а самый дорогой анлим сейчас - 1мбпс. Как я уже говорил - я крайне сомневаюсь, что у моего провайдера аплинк в гигабит - скорее всего, у него до комкора только 100мбпс (потому что больше нахрен не нужно).
Так что не фантазируй тут о стойках с нехалемами и десятках гигабит. Ну или попробуй сказать моему провайдеру "вам для шифрования трафика нужна стойка нехалемов и ведро цисок, потому что мы рассчитываем на трафик в десятки гигабит" - как думаешь, что тебе ответят?
7.7. Запрещено размещение open proxy, open VPN, других общедоступных сервисов (в том числе с платным или приватным доступом которые могут служить вспомогательными средствами для противоправных действий в сети Интернет.И всё-таки я не совсем понимаю этот пункт: если я установлю этот самый openvpn только для себя - это будет противоречить этому пункту или нет?
Собственно у меня задача отличная от penantura. Мой провайдер не даёт белые IP. Сменить провайдера - не вариант (я не в МСК). Так вот мне можно или нельзя использовать самый дешевый тариф, чтобы гнать свой трафик (и входящие соединения на ftp,http,torrent) через эту VPS-ку?
Ну мне тоже хочется белый айпи - по этой же причине. Брать белый айпи у провайдера я, естественно, не буду - это полнейшая деанонимизация, за одним айпишником с ещё несколькими сотнями пользователей как-то спокойнее. Вот если этот айпи - где-то в германии, на vps, арендованном непонятно кем - другое дело.
если я установлю этот самый openvpn только для себяopen vpn у них пишется раздельно. Видимо, имеется в виду, что поднимешь vpn-сервер, не требующий логина и пароля (или если эти логин/пароль будут где-то доступны в интернете).
Так вот мне можно или нельзя использовать самый дешевый тариф, чтобы гнать свой трафик (и входящие соединения на ftp,http,torrent) через эту VPS-ку?Тебе трафик гнать необязательно, достаточно через этот vpn только принимать входящие соединения. Исходящие соединения могут устанавливаться и напрмую.
Тебе трафик гнать необязательно, достаточно через этот vpn только принимать входящие соединения. Исходящие соединения могут устанавливаться и напрмую.Я понимаю, что мой личный входящий трафик я не буду пускать через VPS-ку, но ведь если кто-то захочет зайти на мой Apache/FTP-сервер или приконектиться к моему торрент-клиетну, то ведь такой исходящий трафик уже пойдет через VPS?
И что-то я не понял, как они считают трафик. Те обещанные 1000Gb/мес - это входящий+исходящий с VPS? т.е. в случае vpn-тунеля с меня получится скачать только 500Gb?
т.е. в случае vpn-тунеля с меня получится скачать только 500Gb?Видимо, 1000 всего - например, 900 входящего и 100 исходящего, или наоборот.
Часть торрентов будет с тебя скачиваться, когда соединение будет инициировано с твоей стороны к другому владельцу белого ip. Тогда этот трафик не будет идти через vpn (если так настроить).
советую сразу посмотреть на технологии реализации VPS. В большинстве случаев это реализация: несколько воркспейсов на одном ядре, где в оное добавляют специфичные патчи для изоляции воркспейсов. Отсюда следует, что своё ядро накатить ты туда не сможешь, а некоторые фичи, вроде иптаблесов, туннелей и прочего требуют поддержки в kernel-space. Так что в большинстве случаев тебе придётся тестировать ядро на совместимость, и в случае её отсутствия искать другой vps. First-VDS по этой причине не рекомендую.
OpenVZ, вроде бы, работает по такому же принципу, но:
Each container is a separate entity, and behaves largely as a physical server would. Each has its own:
Files
System libraries, applications, virtualized /proc and /sys, virtualized locks etc.
Users and groups
Each container has its own root users, as well as other users and groups.
Process tree
A container only sees its own processes (starting from init). PIDs are virtualized, so that the init PID is 1 as it should be.
Network
Virtual network device, which allows a container to have its own IP addresses, as well as a set of netfilter (iptables) and routing rules.
Devices
If needed, any container can be granted access to real devices like network interfaces, serial ports, disk partitions, etc.
IPC objects
Shared memory, semaphores, messages.
Я не понимаю, зачем тебе VPN. Большинство программ будут работать через прокси, установленный на другом конце SSH-тунеля.
ага. Он позволяет хранить iptables отдельно, это разумно. Вопрос в том, что всё это работает на базе основного ядра, и какие возможности в него включать - это решают хозяева хостинга. И иногда они туда не включают модули, необходимые для работы openvpn.
update: продолжая свою мысль, замечу, что эти досадные мелочи они в спецификациях тарифов не указывают, и узнавать о них приходится в период тестирования
update: продолжая свою мысль, замечу, что эти досадные мелочи они в спецификациях тарифов не указывают, и узнавать о них приходится в период тестирования
Большинство программХочется, чтобы не "большинство программ", а тупо завернуть вообще весь трафик в этот туннель.
То есть, на OpenVZ смотреть не надо?
Какие ещё решения мне подходят, кроме XEN?
Какие ещё решения мне подходят, кроме XEN?
нет, смотреть надо. Я про то, что там заранее не угадаешь. То есть нужно получить аккаунт и проверить работоспособность ихнего конфига ядра, своё ты всё равно запихать туда не сможешь. А можно на форумах походить, отзывы почитать - скорее всего узнаешь какие именно фичи то ядро поддерживает.
если честно - не знаю ни одного vds/vps прова, который бы вставлял туновские модули в свое ядро
2пенартур по теме: можешь написать мне в приват
2пенартур по теме: можешь написать мне в приват
Еще можно в сторону Tor посмотреть.
Он медленный 
Ну да. Но что ж поделать.
Уже нашёл решение. Несмотря на слова -а, VPS, но всё работает. 75 евро за полгода.
ЗЫ: Лол, вот я протупил, 100 входящего + 300 исходящего - это выходит по 400 входящего и исходящего, трафик-то удвоится из-за vpn.
ЗЫ: Лол, вот я протупил, 100 входящего + 300 исходящего - это выходит по 400 входящего и исходящего, трафик-то удвоится из-за vpn.
Оставить комментарий
kruzer25
Похоже, школьники, подключенные к моему провайдеру, снифают трафик других школьников (ну и меня заодно); у провайдера всё очень печально - интернетом там занимается один школьник, никакого шифрования трафика в pppoe-соединении до провайдерского сервера нет, а сеть незащищена настолько, что я пару раз, пытаясь зайти в веб-интерфейс своего модема, попадал на чужие, которые были настроены на работу на том же 192.168.1.1.Во всяком случае, у меня есть веские основания полагать, что мой трафик как мниимум несколько раз попадал в чужие грязные ручонки.
Поэтому, хочется пустить интернет через VPN, заканчивающийся в сети, где у провайдера прямые руки, а школьников нет. Беглый гуглинг дал ссылку, например, на fastvps.ru (вообще замечательно - базовый тариф с белым айпишником стоит всего лишь чуть больше, чем аренда белого айпишника у моего провайдера, которой я не пользуюсь из соображений безопасности; с ограничениями по трафику тоже всё ок; сервер относительно рядом - интернет от меня в 20мс, а этот openvps.ru - в 35мс); но там в пользовательском соглашении явно сказано, что нельзя использовать хостинг в качестве vpn-сервера. Поэтому ищется что-то, удовлетворяющее следующим условиям:
1) Дёшево (вместе со стоимостью белого ip-адреса, если он там отдельной услугой);
2) Близко к москве (конкретно - к комкору);
3) Без существенных ограничений по трафику (100 входящих/300 исходящих в месяц - подойдёт);
4) Без контроля типа трафика (чтобы хостеру было пофигу, есть ли у меня там vpn-туннель, качаю ли я через этот сервер торренты, раздаю ли их - про это в соглашении fastvps.ru тоже явно сказано);
5) Крайне желательно - находящееся не в россии. Насколько я понимаю, тогда в случае каких-либо претензий со стороны наших органов им легче будет забить на меня и найти кого-нибудь полегче; а в случае претензий в той стране им, опять же, лень будет искать меня в россии, и в худшем случае просто отключат хостинг.
6) Как дополнение к 5 - чтобы не требовалось указывать реальные данные при регистрации (реальный номер телефона - его требуют на fastvps.ru, номер паспорта итд); чтобы можно было оплатить более-менее анонимными деньгами (например, яндекс.деньги).