Yggdrasil. Возможное средство от Чебурнета.

Поиск гуглом по tabun.everypony.ru показал, что об этом здесь вроде ещё не писали.



Нашёл тут интересную штуку, попробовал, решил поделиться.

Есть такая скрытая распределённая IPv6 mesh-сеть — Yggdrasil. О теории можно почитать по ссылкам на Хабре.

Коротко: в обычной сети клиенты подключаются к общему серверу. Если он недоступен — связи нет.

В mesh-сети каждый узел обеспечивает связность со всеми другими узлами сети. Поэтому её сложнее нарушить или заблокировать.

---

UPD. Меня в комментах поправили:
Имеется в виду, что если какой-то сервис завязан на центральный сервер, то его блокировка лишает связи всех его пользователей. Как, собственно, произошло с Дискордом. Кто смог обойти, тот остался на связи, кто не смог, тот отвалился.
Если же используется распределённая система, контролируемая самими пользователями, её заблочить намного сложнее.

---

То есть, каждый из нас может присоединиться к этой сети, либо организовать собственную сеть, с Блэкджек и понями. :)
Немного про WiregardБезусловно, сломать и заблокировать можно что угодно. Yggdrasil использует протокол Wiregard, тот же, что использует известное приложение из трёх букв, название которого намекает на потерю памяти :) Wiregard ранее уже блокировали, однако умные дяденьки сумели найти решение

Необходимо помнить:
1. Yggdrasil это НЕ СРЕДСТВО ОБХОДА БЛОКИРОВОК. Сеть без дополнительных сервисов НЕ ОБЕСПЕЧИВАЕТ выход в общий интернет, она работает как «сеть внутри интернета». Хотя есть возможность поднять такой шлюз, и в сети Yggdrasil он есть.
2. Yggdrasil НЕ ОБЕСПЕЧИВАЕТ анонимность. Весь его траффик шифруется, но он основан на использовании статических адресов IPv6 в неиспользуемом (deprecated) диапазоне 0200: За счёт избыточной адресации каждое устройство внутри сети Yggdrasil получает свой статичный IPv6 адрес, по которому к нему можно обратиться. Т.е. ваш статический IPv6 адрес будет виден. DNS в сети есть, но она работает и без DNS. То есть для распространения чего-либо запрещённого оно не подойдёт. И это хорошо, потому что не надо такое распространять. :)
Если вам нужна анонимность, смотреть надо в сторону I2p, Freenet и прочего.

Если это не средство обхода блокировок, то нафига он нужен? А вот:
Поскольку все адреса статические, можно поднять домашний веб-сервер, или зеркало какого-то сервиса, т.е. поднять локальный сайт, который будет виден по статическому IPv6 адресу, jabber-сервер для общения группы, передавать файлы как по локальной сети, настроить торренты через трекер внутри сети Yggdrasil.
В публичных сервисах сети Yggdrasil доступны зеркала rutracker.org, kinozal.tv, flibusta, librarian, wiki по Yggdrasil, торрент-трекер, прокси-шлюз в общедоступный интернет, шлюзы в I2p и TOR, IRC-сервер, личные страницы отдельных пользователей. Публичные ресурсы открываются достаточно быстро, особых подтупливаний не замечал.

То есть, если даже весь интернет внутри РФ будет физически отрезан от зарубежного интернета, и работать будут только Госуслуги, VK и «Одноклассники», к чему, похоже, всё и идёт, Yggdrasil будет работать хотя бы внутри РФ. Если будет хоть какой-то выход наружу, он будет работать по всему миру — ноды есть и в США, и в Латинской Америке, и в ЮАР. Каждая нода знает обо всех нодах и имеет с ними связь, если она подключена хоть к одной публичной ноде, лучше к нескольким, для лучшей связности.

Если будет заблочен Wiregard, что тоже возможно, Yggdrasil будет работать в локальных сетях. Чувствую, что впереди нас ждёт расцвет внутридомовых и местечковых локальных сетей, как в начале 2000-х, но на новом технологическом уровне, поскольку современные роутеры позволяют организовать mesh-сеть через Wi-Fi без протягивания кабелей, а направленную Wi-Fi антенну для передачи сигнала от одного многоквартирного дома к другому можно сделать и своими руками, если очень сильно припрёт. «Жить захочешь — не так раскорячишься» ©

Для справок
https://howto.yggno.de/
https://yggdrasil-network.github.io/documentation.html

Как это настроить?
На компе:1. Качаем инсталлятор под свою систему https://github.com/yggdrasil-network/yggdrasil-go/releases/tag/v0.5.12
Для установки на Android / iOS читаем тут https://howto.yggno.de/yggdrasil:mobile_clients
Для Android описание дано ниже

2. Устанавливаем. Ставится молча без выбора в C:\Program Files\Yggdrasil
3. Идем в эту папку. Находим файл updateconfig.bat и запускаем через cmd. Он генерит конфиг в скрытой папке C:\ProgramData\Yggdrasil
4. Открываем конфиг, находим секцию Peers: []
5. Открываем страницу https://publicpeers.neilalexander.dev/ ищем географически ближайшие адреса, выбираем те, у кого Uptime неделя и больше, заполняем 3-5 адресов в секцию Peers примерно вот так:

Peers: [
"tcp://ip4.01.msk.ru.dioni.su:9002",
"tcp://srv.itrus.su:7991",
"tcp://yggno.de:18226",
]

Эти пиры позволяют вам соединяться с сетью
6. Открываем диспетчер задач, Вкладка Службы, внизу Yggdrasil Service, правой кнопкой «Перезапустить»
Если забыть кавычки или запятую в конфиге, служба остановится при перезапуске.

---

7. В папке C:\Program Files\Yggdrasil через cmd запускаем

yggdrasilctl getself

По wiki надо запускать от администратора, но у меня и так сработало
Вывод копируем в текстовый файл и сохраняем куда-нибудь, где не потеряется. Это ваш IPv6 адрес, порт и публичный ключ шифрования.
Туда же сохраняем настроенный конфиг, потому что в нём ваш приватный ключ. Если их потерять, потом придётся всем абонентам сообщать новые ключи, а им придётся перенастраивать

---

Ваш публичный ключ шифрования можно и нужно отправить тому, с кем вы собираетесь связываться через Yggdrasil напрямую, к примеру, качать файлы с чьего-то сервера, чтобы получить доступ. К публичным серверам Yggdrasil, типа торрент-трекеров, ключ для доступа не нужен, но обладатель собственного сервера может ограничить доступ только разрешённым пользователям, введя в секцию AllowedPublicKeys [] их публичные ключи

---

8. Проверяем настроенные публичные пиры: в папке C:\Program Files\Yggdrasil запускаем в cmd

yggdrasilctl getpeers

Смотрим, если написано Down и ошибки — меняем адрес в конфиге на другой из списка, сохраняем, перезапускаем службу
Если написано Up — адрес рабочий
Когда всё настроено, в секцию AllowedPublicKeys ВРЕМЕННО вписываем свой публичный ключ.

AllowedPublicKeys: [
"ххххххххххххххххххххххххххххххххххххххххх",
]

Зачем нужно: если секция пустая, к вам из сети Yggdrasil может подключиться кто угодно, и не факт, что не нахулиганит. Если вставить туда определённые публичные ключи, подключиться смогут только обладатели пары публичный+приватный ключ.
Это временная мера на период настройки, потом надо настраивать Firewall и закрывать порты.

---

9. Идем в Панель управления -> Центр управления сетями и общим доступом -> Yggdrasil -> Под надписью «Без доступа к сети» тыкаем ссылку -> Свойства -> IP версии 6 (TCP/IPv6) -> Свойства
Там скорее всего уже будет заполнен ваш IPv6 адрес, начинающийся с 200
и Длина префикса подсети 7
Если нет — заполняем из сохранённого файла вместе с номером порта
Шлюз и DNS оставляем пустыми — мы сами себе теперь шлюз, а DNS нам не нужен, адреса в сети статические

---

10. Можно проверить адреса пиров командой ping. Главное меню, в поиске пишем cmd, пишем, например, что-то подобное, из тех адресов, что вписывали в config:

ping ip4.01.msk.ru.dioni.su

— без номера порта, квадратных скобок, http и прочего.
11. Настраиваем браузер. Я использовал отдельный Portable Firefox.
У кого Chrome или что-то на его основе — настраиваем по https://howto.yggno.de/yggdrasil:web-browsers:chrome_with_yggdrasil
В строке адреса набираем about:config и устанавливаем

это позволит нормально открывать IPv6-only сайты:

network.http.fast-fallback-to-IPv4 = false

данная опция отключит автоматический редирект с http на https: (именно поэтому настраиваем отдельный браузер)

browser.fixup.fallback-to-https = false

а это позволит выключить автоматическую подстановку домена www:

browser.fixup.alternate.enabled = false

И создаем ещё 2 настройки, без которых не заработает: вводим строку, нажимаем кнопку с + устанавливаем логическое значение
Это позволит вводить .ygg адреса без ввода протокола http, и браузер не будет открывать поисковик вместо сайта:

browser.fixup.domainsuffixwhitelist.ygg = true

аналогично для .mesh:

browser.fixup.domainsuffixwhitelist.mesh = true

Без этого при вводе адреса будет открываться гугл

---

У кого Chrome (актуально для смартфонов) — читаем тут https://howto.yggno.de/yggdrasil:web-browsers:chrome_with_yggdrasil
Коротко: у Chrome проблема с доменными адресами Yggdrasil, он их не понимает. Переходы по адресам IPv6 работают, проверял.

---

Идём на страницу https://yggdrasil-network.github.io/services.html
Открываем Yggdrasil Web directory http://[21e:a51c:885b:7db0:166e:927:98cd:d186]/ — (эта ссылка откроется только внутри Yggdrasil)
Или по ссылке, или копируем всё от http до / вместе с [] в адресную строку
Если видим таблицу, всё настроено верно.
Дальнейшая настройка по wiki

Настройка FirewallНа свежеустановленный Yggdrasil сразу вешаются несколько служб Windows и слушают порты. Зачем это происходит — вопросы к Microsoft, а нам надо эту дыру закрыть
Главное меню, в поиске пишем cmd, открывается терминал. В нём пишем:

netstat -ano | findstr LISTENING

| — кто не знает / никогда не пользовался cmd — это «вертикальная палочка», как правило где-то рядом с клавишей Enter, на разных клавиатурах положение может различаться. :)

Ищем строки вида

TCP    [::]:135               [::]:0                 LISTENING       1168
TCP    [::]:445               [::]:0                 LISTENING       4

Их будет много. Во второй колонке номера портов, которые надо закрыть, в последней — номера процессов, которые их слушают. Ищем номер процесса Yggdrasil — (Диспетчер задач, вкладка «Службы», 2я колонка). Обычно Yggdrasil слушает свой «админский» порт 9001 и удаленный, порт отмеченный длинным IPv6 адресом, их НЕ БЛОКИРУЕМ.
Остальные надо закрыть. Службы Windows всё равно будут их слушать, но Firewall к ним ничего снаружи не пропустит.

Главное меню, в поиске набираем firewall видим что-то вроде «Брандмауэр и безопасность сети». Тыкаем.
В открывшемся окне — «Дополнительные параметры». Открывается окно из трёх частей.
Слева: «Правила для входящих подключений», тык. Справа — «создать правило» -> «для порта» ->«Далее» -> «Протокол TCP» «Определённые локальные порты» и тут указываем через запятую все порты, которые хотите закрыть, например 135, 445, 49665-49669 -> «Далее» -> «Блокировать подключение» -> «Далее» -> Снимаем галки «Доменный» и «Частный» (Yggdrasil у нас публичная сеть) -> «Далее» Задаём говорящее имя для правила, чтобы его легко потом найти, что -то вроде «Yggdrasil закрытые порты»

Дальше, если планируете передавать файлы посредством запуска Web-сервера, надо определиться, на каком порту его будете открывать. Из того же списка netstat -ano выбираем порт, который не используется и легко запомнить, например 8000

Создаем аналогично правило Yggdrasil web-server для этого порта, но уже пишем только порт 8000 и выбираем «Разрешить»
Всё, теперь лишние порты закрыты.

---

Дополнения от специалистов приветствуются. Я не админ, мог что-то указать неправильно или ошибиться.

---

Установка на AndroidУстановка на Android. https://github.com/yggdrasil-network/yggdrasil-android/releases
Официальный клиент заброшен и уже давно не обновляется, но пока нормально работает. Если в основном Yggdrasil в будущем произойдут серьёзные изменения, будем надеяться, что мобильный клиент кто-нибудь форкнет и доделает. Пока им можно пользоваться

1. Качаем релиз по ссылке. Устанавливаем (возможно, понадобится разрешить установку из неизвестных источников), запускаем
2. В разделе «Конфигурация» тыкаем «Пиры»
3. Сверху справа плюсик в кружочке. Добавляем те же адреса пиров, что добавляли в конфиг на компе.
4. Возвращаемся на главную страницу и тыкаем «Включить Yggdrasil». Если пиры доступны — появится надпись «подключено», если нет, меняем на доступные.
5. Открываем Chrome и копируем в строку поиска адрес

http://[21e:a51c:885b:7db0:166e:927:98cd:d186]/

со страницы https://yggdrasil-network.github.io/services.html
Если всё работает, должна появиться таблица со списком доступных сервисов.

Настроили. Теперь как проверить, к примеру, возможность дать другу скачать через Yggdrasil многогигабайтный файл?
Я проверял так:1. Устанавливаем python. У меня он был установлен вместе с MS VisualStudio 2022, можно установить отдельно.
2. Создаём тестовую папку, в неё кладём какой-нибудь маленький файлик.
3. Запускаем cmd и переходим в тестовую папку, к примеру, если она на диске Е:

e:

cd /TestFolder

4. В тестовой папке запускаем встроенный питоновкий Web-сервер. Команда зависит от версии python и откуда он был установлен. Это может быть

python3 -m http.server 8000

или

py -3 -m http.server 8000

У меня сработала вторая команда. 8000 это порт, который будет слушать сервер. Можете выбрать другой свободный. Занятые порты покажет команда

netstat -ano | findstr LISTENING

Правильно запустившийся сервер должен выдать что-то вроде

Serving HTTP on :: port 8000 (http://[::]:8000/) ...

Выключить сервер можно, нажав в терминале Ctrl+C
5. Теперь включаем Yggdrasil на смартфоне, и заходим по своему адресу, который выдала команда

yggdrasilctl getself

с портом 8000 или тем, что указали при запуске сервера. Т.е. в строку поиска Chrome на смартфоне вводим что-то вроде

http://[ваш:IPv6:адрес:выданный:Yggdrasil:номер порта выданный Yggdrasil]:8000/

Если всё сделано верно и всё работает, вы должны увидеть список файлов в тестовой папке, и можете для пробы скачать один из них.

Если кого-то заинтересовало — пробуйте, отписывайтесь в комментах. У меня оно заработало, как только подобрал работающих публичных пиров. На мой взгляд, готовиться к неприятным сюрпризам стоит заранее.
Если найдёте ошибки в изложенном — пишите, откорректирую.