Конец халяве: I Also Know What You Download (часть 2)

Примерно с месяц назад я написал пост про один нехороший сервис, которой отслеживает скаченные торренты. Появился повод написать небольшое продолжение.

NOTE: далее немного воды, и про баржу, и про канал, так что можно сразу переходить к разделу «Переходим к сути».

Не смотря на то, что многие писали, что по их ip-адресам статистика «левая», у меня все было очень даже правильно. Нет, речь не про Ст.242 УК, а про Ст.146.2. Но всё равно неприятно, когда на тебя собирают такую статистику. Поэтому вопрос о необходимости постепенного переползания на VPN для меня был очевиден, оставалось только решить на какой именно.
В этом пути и возникло интересное продолжение по теме.

image
DISCLAIMER: Я конечно никаких фильмов не качаю, и вообще всё выдумал.

Сначала небольшие лирические отступления.
Стоит отметить, что включение шифрования в торрент-клиенте не помогает против слежки. Если не связываться с совсем брутальными вариантами Tor/I2P, то фактически у нас есть два варианта: использовать VPN сервис и арендовать машину в облаке и качать через нее (не суть с нее или поднять там VPN-сервер). Недавно мне попалась на глаза хорошая статья Свой VPN-сервер: плюсы, минусы и инструкция (юзера samat). Там приводится список проектов-скриптов, с помощью которых можно с нуля поднять VPN-сервер. Это настолько просто (реально запуск одной команды), что можно даже писать об этом тут, а не на Хабре:). Но в любом случае продолжение логичней писать там же, где начало.
Попробовав один VPN-сервис, ссылку на который я давал в прошлый раз (за промо), я оказался не в восторге. Тормозит. Сервера общие и бывают сильно перегружены. А торренты вообще поддерживают не все. Да, есть VPN-сервисы, которые предоставляют выделенные сервера. Но ценник там сильно выше. Очевидно, это должно быть дороже, чем поднять самому сервер. Поэтому решил развернуть свой сервер. Благо это стало тривиально с такими скриптами. Я когда-то делал это вручную с OpenVPN в AWS, но это было давно, на винде, и на Free Tier (не вариант из-за ограничения трафика), а ценообразование AWS для меня не очень понятно.

Но сначала надо было выбрать хостиг. В этой же статье упоминался сервис Scaleway за 3$ в месяц. Просто купившись на цену, с него я и начал. Это не реклама, мне ничего с этого. Напомню поисковик дешевых VPS — lowendstock.com.

За эти 3$ имеем 2×86 ядра, 2Гб, 50Гб и неограниченный трафик. Похоже на сказку. Правда вот прям в момент написания поста, эти машины были временно недоступны: «VC1S servers are temporary out of stock».

Все три скрипта я не пробовал, я взял hwdsl2/setup-ipsec-vpn  ( IPsec/L2TP, Cisco IPsec VPN, IKEv2). Работает как мэджик.
Через 2 минуты у вас свой VPN-сервер, к которому можно подключится встроенными средствами Windows (а также всех остальных ОС), не надо никаких OpenVPN.

Важно: скрипт hwdsl2/setup-ipsec-vpn не работает с OpenVZ, только KVM/Xen!
Если будете использовать связку Scaleway + hwdsl2/setup-ipsec-vpn, то необходимо иметь в виду, что ядро Linux, которое будет по умолчанию на машине (оно у них свое, модифицированное), не совместимо с IPSec. Его надо поменять. К счастью сделать это можно прям в Web-интерфейсе (надо выбрать 4.8 вместо 4.4):
image

Потом я вспомнил, что у меня вообще-то есть подписка Azure и чего же я будет тратить 3$, когда можно бесплатно.

Повторил процедуру в Azure. В этот момент, кстати, я понял, почему никто не пользуется Азуром. Ну надо просто сравнить юзабилити создания вирутальных машин на Azure и других сервисах. Заполнял шаблон машины в Azure, сразу настроил правила firewall — для IPSec надо открыть два порта 500 и 4500. Azure требует ввести приоритет правила, я ввел для обоих 100. Все сохранилось. Запустил деплоймент. Он упал. Почему? А потому, что нельзя для правил задавать одинаковый приоритет. Нет слов. Ладно, хочу исправить и перезапустить. Но того мастера уже нет. Теперь надо лезть в json-шаблон и править там. В общем, пользоваться можно только за бесплатно, либо по нужде.

Но я отвлекся. В общем заработал VPN-сервер на Azure. Я довольный, теперь у меня два VPN: один в Амстердаме, другой в Дублине. Круто. Но не совсем. Ping для Scaleway-Амстердаме-based — 50 мс, ping для Azure-Дублин-based — 60 мс. Печаль.

Вопрос к знатокам: 50–60 мс — это нормально для IPSec VPN-сервера в Европе?

На самом деле, это всё было затянувшееся вступление.

Переходим к сути


Проверил как качаются торренты через VPN в Azure. 7 Мб/с. Ну, отлично.

DISCLAIMER: Я конечно фильм не качал, чисто попробовал, не докачал и удалил. Ну вы поняли.

Спустя сутки приходит письмо от Microsoft Azure Safeguards Team о том, что я нарушил Digital Millennium Copyright Act, т.к. на мой сервер (его адрес) поступила жалоба от агента Paramount.
Письмо следующего содержания:

Action Required: Digital Millennium Copyright Act (DMCA) Violation

This message is to notify you that the Microsoft Azure Safeguards Team recently received a complaint under the Digital Millennium Copyright Act (DMCA) of copyright infringement originating from your Azure deployment. Attached is a copy of the original complaint. Failure to respond to this complaint within two business days or continued violation of the Microsoft Azure Acceptable Use Policy may result in suspension of your deployment.

Copyright infringement violates the Acceptable Use Policy, which prohibits any use that is prohibited by law, regulation or governmental order or that violate[s] the rights of others. You are responsible for addressing complaints of copyright infringement originating from your Microsoft Azure deployment. The Microsoft Azure Services Terms and other agreement terms can be found at azure.microsoft.com/en-us/support/legal.

Please take the appropriate next step to resolve this notice:
· Please remove the materials identified in the complaint or take other appropriate action to resolve the complaint within two business days and inform us that you have done so by replying to this email.
· If you dispute that you have infringed a valid copyright, please file a counter notice and inform us that you have done so by replying to this email. Consult the DMCA’s requirements for counter notices included below.
· If you are surprised by this activity, have additional questions, or believe you have been identified by mistake, please reply to this email and let us know.

Thank you,
Microsoft Azure Safeguards Team
Cyber Defense Operations Center

В аттаче собственно жалоба. Жалуется агент Paramount Pictures, будь они не ладны.
image

Т.е. некто Адриан из конторы IP-Echelon, являющейся агентом Paramount Pictures из Голливуда Лос-Анджелес США, прислал маляву, что дескать с указанного IP-адреса, принадлежащего Azure, кто-то раздавал файлы с видео контентом, эксклюзивно принадлежащем Парамаунт.

Выводы, как говориться, делайте сами.

В комментариях предлагаю поделиться опытом, сталкивался ли кто-то с подобным на других сервисах?

© Geektimes