Скрытый obfs4-мост на VPS: раздача bridge-line только своим

Tor по умолчанию раздаёт мосты через централизованную базу BridgeDB. Вы запрашиваете мост на bridges.torproject.org или у бота в Telegram - и получаете bridge-line. Проблема в том, что ровно тот же путь открыт и для РКН: достаточно слать в BridgeDB массовые запросы с разных IP и разных подсетей, собирая адреса мостов в реестр на блокировку. Раздача через email и капчу замедляет сбор, но не делает его невозможным - крупный противник с ботнетом и бюджетом перебирает базу методично.

Из-за этого жизненный цикл публичного obfs4-моста в России короткий: сегодня он отдаёт bridge-line, через неделю-другую его IP уже в фильтре ТСПУ. Встроенные мосты Tor Browser (built-in bridges) ещё хуже - их адреса зашиты в каждый дистрибутив, публичны по определению и блокируются в первую очередь.

Личный мост ломает эту логику в корне. Если адрес моста никогда не попадает в BridgeDB, то его нельзя оттуда выгрузить. Остаётся только активное сканирование самого сервера - и именно от него защищает obfs4.

Обычный мост при запуске отправляет свой дескриптор (IP, порт, ключи, параметры obfs4) на bridge authority - сервер, который затем кормит BridgeDB. Чтобы мост остался невидимым, эту отправку надо отключить одной строкой в torrc:

PublishServerDescriptor 0

С этим флагом мост полностью функционален, но не сообщает о себе ни в одну централизованную базу. Его не выдаст ни веб-форма, ни Telegram-бот, ни email-раздача - потому что Tor-проект о нём попросту не знает. Единственный способ узнать bridge-line - получить его напрямую от владельца сервера. Это и есть private (unpublished) bridge.

Минимальный /etc/tor/torrc для скрытого obfs4-моста на офшорной VPS:

BridgeRelay 1
ORPort 443
ExtORPort auto
ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy
ServerTransportListenAddr obfs4 0.0.0.0:8443
# не публиковать дескриптор - мост остаётся скрытым
PublishServerDescriptor 0
# контакт можно оставить нейтральным или убрать
ContactInfo private
Nickname mybridge
# не быть обычным relay/exit
ExitRelay 0
SocksPort 0

Порт ORPort на 443 и obfs4 на 8443 даны как пример - стоит выбрать нестандартные значения, не повторяя популярные гайды (одинаковые порты у тысяч мостов сами по себе становятся слабым сигнатурным признаком).

obfs4 - это pluggable transport, который маскирует Tor-трафик под поток случайных байтов без узнаваемой структуры. У потока нет фиксированного заголовка, нет характерной длины пакетов, нет SNI - DPI не за что зацепиться при пассивном анализе. Главное же свойство obfs4 для скрытого моста - защита от активного зондирования: чтобы сервер вообще ответил, зонд должен предъявить секрет из bridge-line (поле cert). У сканера РКН этого секрета нет, поэтому на его подключение мост не отвечает ничем осмысленным - порт выглядит мёртвым.

На свежей Debian/Ubuntu VPS установка занимает несколько минут:

# репозиторий и пакеты
apt update
apt install -y tor obfs4proxy

# вписать конфиг из раздела выше
nano /etc/tor/torrc

# запустить и поставить в автозагрузку
systemctl enable --now tor

# проверить, что мост поднялся
journalctl -u tor -n 50 --no-pager | grep -i bridge

После запуска Tor сам сформирует bridge-line. Найти его можно в файле состояния:

cat /var/lib/tor/pt_state/obfs4_bridgeline.txt

Вы увидите строку вида Bridge obfs4 <IP>:<port> <FINGERPRINT> cert=<...> iat-mode=0. Подставьте реальный внешний IP вашей VPS вместо плейсхолдера в начале - это и есть та самая bridge-line, которую вы будете раздавать вручную.

Скрытность дескриптора защищает от BridgeDB-сканирования, obfs4 - от DPI и активного зондирования. Но остаётся физика: выходной IP моста принадлежит серверу. Если поставить мост на VPS в российском дата-центре, смысл теряется - трафик не покидает зону фильтрации, а провайдер подчиняется тем же предписаниям, что и операторы с ТСПУ, включая требования о раскрытии данных. Мост обязан стоять вне РФ.

Наши офшорные VPS в Финляндии, Исландии и Румынии дают чистый выходной IP, не числившийся в VPN- и Tor-реестрах, root-доступ сразу после оплаты и юрисдикцию вне досягаемости российских предписаний. Финляндия - минимальная задержка до европейской части РФ; Исландия - наилучшая приватность; Румыния - дешёвый вход для одного-двух пользователей. Для семьи или небольшой группы хватает базового тарифа: один мост почти не нагружает CPU, упирается только в трафик. Если нужна постоянная нагрузка на десятки человек - смотрите выделенный сервер с гарантированными ядрами. Регистрация по одному email, без KYC; оплата Bitcoin, Monero и USDT TRC-20.

Если вы только знакомитесь с pluggable transports и хотите сперва понять механику публичных мостов, начните с нашего руководства по obfs4-мостам, а затем возвращайтесь сюда за приватным сценарием.

Скрытый мост ровно настолько надёжен, насколько дисциплинирована раздача его bridge-line. Один человек, скопировавший строку в публичный чат, форум или скриншот, обнуляет всю защиту: после этого адрес попадает в сканеры так же, как публичный мост. Базовые правила раздачи доверенному кругу в РФ:

• Передавайте только лично и по защищённому каналу. Signal, сессия в Tor, личная встреча. Никаких публичных чатов, общих каналов и групп, где состав участников вам не подконтролен.
• Не публикуйте bridge-line на скриншотах и в открытых документах. Картинку легко распознать OCR-ом, а индексаторы соцсетей делают это автоматически.
• Держите круг узким. Чем больше людей знают строку, тем выше шанс случайной утечки. Для большой группы лучше поднять несколько мостов и раздать разные строки разным подгруппам - тогда утечка одной не валит остальные.
• Заведите запасной мост. Если адрес всё-таки утёк и IP попал в фильтр, у получателей должна быть заранее розданная вторая bridge-line на другом IP, чтобы переключиться без паники.
• Не смешивайте скрытый мост с публичной активностью. Тот же IP, светящийся как обычный сайт или другой сервис, проще связать с вами.

На стороне клиента получатель добавляет строку в Tor Browser вручную: Настройки -> Подключение -> Мосты -> Добавить мост вручную -> вставить bridge-line. Никакого запроса в BridgeDB при этом не происходит, поэтому даже факт использования именно вашего моста наружу не уходит.