Ülkemin hükümeti VPN erişimini engelledi. Ne kullanmalıyım?

 (news.ycombinator.com)
5 puan yazan GN⁺ 2025-08-29 | 3 yorum | WhatsApp'ta paylaş
  • Endonezya şu anda kargaşa içinde ve bugün sabah hükümet Twitter ve Discord erişimini engelledi
  • Bunun nedeni, haberlerin çoğunlukla bu kanallar üzerinden yayıldığını bilmeleriydi
  • Normalde Cloudflare'in WARP'ını kullanarak engeli aşabiliyordum, ancak bugün ona erişim de engellendi. Hangi alternatifi kullanmalıyım?

İlgili okumalar

3 yorum

 
bju2000 2025-09-08

VPN’i bile engelleyen bir ülkenin gerçekten özgür bir ülke sayılıp sayılamayacağı tartışılır..
 
roxie 2025-09-08

Çin, Endonezya, Birleşik Krallık, Avustralya, ... düşündüğünüzden daha yaygın bir sorun gibi görünüyor.
 
GN⁺ 2025-08-29
Hacker News görüşü

  • Ben 2020’lerin başında büyük VPN sağlayıcılarında sansürü aşma üzerine çalışmıştım

    • İlk adım, gerçek VPN yazılımını ve yapılandırma dosyalarını edinmek. Sansürü ciddiye alan sağlayıcılar programı S3 gibi engellenmesi zor kanallardan ve obfuscation uygulanmış paketlerle dağıtır; bazen de güvenli dağıtım için yerel gruplarla iş birliği yapar
    • Yazılımı edindiyseniz, üstüne bir obfuscation katmanı ekleyerek kullanmanızı öneririm
    • Obfs4proxy adlı araç yaygın kullanılıyor; önceden paylaşılan anahtarlarla trafiği sıradan bir şeymiş gibi gösteriyor ve VPN handshake’ini de gizliyor. Kusursuz güvenlik sağlamasa da çoğu DPI’ı (derin paket inceleme) aşar
    • Shapeshifter (Operator Foundation tarafından yapıldı) ve diğer pluggable transport yöntemlerini de denemeye değer. Ama sağlayıcının bu protokolleri desteklemesi gerekir
    • Uzun vadede en zor kısım, VPN kullandığınızın fark edilmemesi. Uzun dönemli istatistiksel analizlerde obfuscation olsa bile VPN bağlantıları tespit edilebilir ve bir devlet bunu gözetliyorsa nispeten düşük maliyetle uygulayabilir. Endonezya’daki durumu iyi bilmiyorum, bu yüzden spesifik tavsiye veremem
    • Mullvad’ın güvenilir ve teknik olarak güçlü bir VPN şirketi olduğunu düşünüyorum. (Mullvad’da hiç çalışmadım; hatta aslında rakip bir firmadaydım. Yaklaşımlarına hep saygı duydum)

    • Büyük kısa dalga yayıncılarından biri keşke VPN paketlerinin kendisini küresel olarak, bir kamu hizmeti gibi veri yayını üzerinden dağıtsa diye düşünüyorum

    • Obfs4proxy’nin trafiği sıradan bir şey gibi gösterdiği söylendi ama gerçekte DPI bunu rastgele bayt akışı olarak algılayıp bilinmeyen bir protokol diye sınıflandırarak engelleyebilir. DPI’ı bunun HTTPS olduğuna inandıracak hileler kullanmak daha avantajlı olabilir. Tabii HTTPS’yi de engelliyorlarsa bunun da faydası kalmaz

    • Mullvad’ın DAITA’sı gibi, trafik analizini engellemek için sabit bant genişliği kalıplarıyla iletim yapan sistemler hakkında ne düşündüğünüzü merak ediyorum

    • Bölünmüş TLS (fragmented TLS) ya da paket sırasını ters çevirme gibi hileler de etkili oluyor; hatta sadece temel HTTPS taşıması bile çoğu yerde başlangıç için yeterince iyi. URnetwork adlı açık kaynak dağıtık sistem bunların hepsini sunuyor. Büyük mağazalardan ve F-Droid’den de indirilebiliyor

    • Obfs4proxy ve Shapeshifter kurulumu gerçekten zahmetli ve çok zaman alıyor

      • Kendi VPS’inizi alın (Avrupa/ABD’de yıllık yaklaşık $10’a 2GB RAM, 40GB disk ve aylık TB düzeyinde trafik bulunabiliyor); Avrupa bölgesini öneririm
      • Üzerine wireguard+obfuscation aracı ya da tailscale+özel DERP sunucusu kurun
      • Daha da basit olarak ssh -D portunu SOCKS sunucusu şeklinde kullanabilirsiniz. Genelde engellenmez ama trafik özellikleri nedeniyle kolay fark edilir

  • Bir süre Çin’de yaşadım ve birkaç kez VPN engelleme dalgası gördüm. Artık çoğu VPN şirketi engelli ülkeleri desteklemekten vazgeçti. Ticari VPN’ler eninde sonunda mutlaka engelleniyor

    • Benim kullandığım yöntem, denizaşırı bir bölgede ücretsiz bir EC2 üzerinde SOCKS5 sunucusu kurup cihazımdan ona bağlanmaktı. Cloudflare VM de bu iş için uygun olabilir
    • Sadece kişisel trafiğiniz geçtiği için profiliniz düşük olur ve o bölgedeki sayısız sunucu arasında devletin bunu kolayca ayırt etmesi zordur
    • Özgür olmayan internet ortamında hayatta kalma ipucu: GitHub engellenmiyorsa (Çin’de öyleydi), yerel mühendisler ilgili materyalleri ve indirmeleri oraya yüklüyor
    • Statik IP nedeniyle kimliğiniz konusunda endişeniz varsa, VM de sonuçta bir bilgisayar olduğundan üstüne ek bir VPN bağlayarak anonimliğinizi artırabilirsiniz

    • VPS’lerin genel IP blokları iyi biliniyor; bu yüzden Çin’de bu yöntemin işe yaramadığını duymuştum. Çin güvenlik duvarına karşı pek işe yarayan bir çözüm olmadığı söyleniyor

    • VM instance’ını VPN tüneli olarak kullanmak iyi ama Çin’le dış dünya arasındaki gerçek internet bant genişliği zaten çok sınırlı, bu da trafik kapasitesini kısıtlıyor. Daha iyi kurulum, güvenlik duvarının iki tarafında da VM bulundurup aynı barındırma hizmeti içinde iç ve dış VM’ler arasında peering kullanmak (örneğin Alibaba Cloud). İç VM, socat ya da netfilter gibi araçlarla basitçe kurulabilir

      • Obfuscation araçlarını da mutlaka kullanmak iyi olur
      • Engelleme gelirse sadece dış VPN IP’sini değiştirip yapılandırmayı güncellemeniz yeterli olur. İç VM IP’sini neredeyse hiç değiştirmeniz gerekmez

    • Ben de eskiden Çin’de çalışırken (uzun süre yaşamadım ama sık gidip gelirdim) sahip olduğum bir sunucuda OpenVPN’i 443 ya da 22 portunda açardım ve bununla çoğu zaman sorunsuz bağlanırdım

    • İki yıl önce Endonezya’da GitHub da kısa süreliğine engellenmişti; büyük telekom operatörlerinden biri SSH’yi de geçici olarak kapatmıştı

  • Endonezya’da yaşayan biri olarak X (Twitter) / Discord’un yakın zamanda engellendiğine dair bir haber hatırlamıyorum. 2024’te yetişkin içerik nedeniyle X’in engellenebileceği söylenmişti

    • Engelleme durumunu doğrudan bu siteden gerçek zamanlı kontrol edebilirsiniz
    • VPN bağlantılarının çalışmadığını söylemişsiniz ama bazı sağlayıcılar geçmişte engellenmiş olsa da son 5 yılda böyle bir durum olmadı
    • O yüzden farklı bir internet sağlayıcısını (operatörü) deneyebilirsiniz

  • Sansürü aşma ile ilgili sorular için buranın (Hacker News) pek doğru yer olmadığını düşünüyorum

    • İnsanlar Tor, Tailscale, Wireguard tabanlı VPN’ler, Mullvad vb. kendi kurduğun çözümleri önerme eğiliminde ama pratik deneyimleri azmış gibi duruyor
    • Sadece Çin / Rusya / İran için çalışan VPN’lere bakın. Gizlilik açısından Mullvad kadar iyi olmayabilirler ama çalışırlar

    • Eğer Çin, Rusya ya da İran istihbaratından biri olsaydım, bu riskli ülkeler için özel VPN şirketlerini muhaliflerin bilgilerini toplamak üzere birer honeypot olarak kullanırdım

    • Bana göre teknik olarak yetkin bireyler için en güvenli yöntem, yurtdışında bulut üzerinde küçük bir sunucu açıp ssh yönlendirme + proxy ile bilgiye erişmek

      • Örnek olarak Squid Proxy kurulum rehberi kullanılabilir
      • Devlet ssh trafiğini engellemiyorsa bu yöntem hem yüksek gizlilik hem de engeli aşma sağlar

    • İnsanların bilinen yöntemleri veya şirketleri önermesini, sansürü aşma deneyimleri yokmuş gibi görmek doğru değil

      • Anonim şirketler ve geçici yöntemler sonunda watering hole saldırılarına açık olabilir

    • Dış katmana güvenmiyorsanız, onun üstüne bir VPN daha zincirleyerek kullanabilirsiniz

    • Reklam yapan VPN’ler ticari amaçlıdır; bu yüzden çoğunda devlet istihbaratının bir şekilde işin içinde olma ihtimali yüksektir

      • En azından görünürde çalışırlar (engelli sitelere erişebilirsiniz).
      • Hangi istihbarat servisinin işlettiğine bağlı olarak gerçekten gizlilik sağlayabilir ya da tam tersine belirli kullanıcıları işaretleyip trafiği kaydedebilirler
      • Ben, bir şirketin kontrol edemeyeceği ücretsiz (açık kaynak) yazılımın daha iyi olduğunu düşünüyorum

  • Avustralya ve Birleşik Krallık da yakında bu yola girebilir diye düşünüyorum

    • Acı olan şu ki, biz (HN kullanıcıları) bir çözüm yolu bulsak bile sıradan vatandaşların bütçesi ya da teknik becerisi yetmeyecek ve hükümet / büyük medya böylece yurttaş gazeteciliğini etkili biçimde bastırabilecek

    • Altı ay önce böyle şeyler söyleyenlere gülerdim sanırım ama artık gerçek geliyor ve endişeliyim (BK)

    • Avustralya’da bunun siyasi nedenlerle olacağı konusunda uzun zamandır uyarılar vardı

      • Bu, teknik bir tartışma değil; siyaset teknolojiyle ilgilenmez
      • Herkes bunun yavaş yavaş bu yöne gittiğini anlamalı
      • Başbakan Malcolm Turnbull 2017’nin sonunda şöyle demişti: "Önemli olan matematik yasaları değil, yalnızca Avustralya yasalarıdır"

    • Toplumun becerisini küçümsememek gerektiğini düşünüyorum

      • BK’de yoksul bölgelerde büyürken çevremde hep kaçak bilgisayar/TV bulan, elektriğe kaçak hat çeken, korsan CD ve video sağlayan “öyle bir tanıdık abi” vardı
      • Sonunda Raspberry Pi gibi ucuz donanımlarla proxy kuran “her iki evden birinde biri” ortaya çıkar
      • Dürüst olmak gerekirse, ben de IT sektöründe işsiz kalırsam böyle bir rol üstlenmeyi düşünebilirim

    • ABD’deki bazı muhafazakâr eyaletler de yakında bunu deneyecek gibi görünüyor. Porno siteleri için kimlik doğrulama yasaları etkisiz kalınca bir sonraki adıma geçebilirler

    • “Yurttaş gazeteciliğinin” %90’ı aslında gerçek gazetecilik değil; aşı araştıran vatandaş bilimi kadar güvenilir

  • Tor: kullanıcı dostu, kurulumu kolay, anonimlik yüksek ve ücretsiz. Ama sansürün sık hedefi oluyor, yavaş ve exit node’larına neredeyse tüm siteler güvenmiyor

    • Tailscale + Mullvad exit: kurulum ve ayardan sonra çok kolay, Tor’dan hızlı ve kullanım alanı geniş. Dezavantajı, DPI ile Mullvad trafiğinin tanınabilmesi ve ücretli olması
    • Kendi VPS’inizde Wireguard veya Tailscale: neredeyse her şeyi kontrol edersiniz, hız seçebilirsiniz, tanıdıklarla paylaşabilirsiniz. Dezavantajları biraz işletim tecrübesi gerektirmesi ve aylık 20-30 dolar ya da üzeri barındırma maliyeti

    • Tailscale, ancak OP (soruyu soran kişi) Mullvad.net’e erişip hesap açamıyorsa gerekli

      • Endonezya hükümeti Mullvad düğümlerini engellerse ne kadar hile yaparsanız yapın işe yaramaz
      • VPS yaklaşımında dış taraftaki (web siteleri için) sabit IP nedeniyle tespit edilmeniz çok kolay olur
      • Benim önerim, yurtdışındaki bir VPS’e Mullvad ya da Tor kurup trafiği önce o VPS’e yönlendirmek. Bunu birden fazla cihazda aynı anda kullanmak istiyorsanız VPS’i Tailscale exit node yapmak en kolayı

    • Wireguard destekli VPS’ler yılda $20-30’a bulunabiliyor; yani 20-30 dolar/ay muhtemelen yazım hatası. Ucuz VPS bulmak için vpspricetracker.com kullanılabilir

    • NordVPN ve ProtonVPN de Mullvad’la benzer konumda. Ücretsizse ürün sizsiniz; ücretli olsa bile trafik kamuya açık şekilde bilinen VPN sunucularına gider, bu da bazı ülkelerde sadece bu metadata yüzünden bile risk yaratabilir

      • Bu yüzden çok dikkatli kullanmak gerekir

    • VPS IP’si ev IP’niz olmadığı için bazı site ve hizmetler VPS üzerinden erişimi engelleyebilir ya da ek doğrulama isteyebilir

      • Daha iyi bir çözüm yok ama bunu bilmekte fayda var

    • Tor’un snowflake gibi sansür karşıtı teknolojileri de var. Engelleme çok sertse Tor en etkili seçenek olabilir

  • Sık sık Çin’de çalışıyorum ve kendi evime kurduğum WireGuard VPN’im hâlâ engellenmedi

    • VPN sunucusunun alan adı üzerinde HTTPS hizmeti de barındırılması yardımcı olabilir
    • Eskiden DO droplet üzerinde shadowsocks (açık kaynak proxy) ve obfs (obfuscation) kullanıyordum, bugünlerde ise v2ray+vmess/vless+reality öne çıkıyor
    • Bu yapı VPN değil proxy olduğu için özünü gizlemek daha kolay; bu da engelleri aşmada iyi sonuç veriyor
    • Herkese açık VPS’te barındırırsanız AWS ya da DO’yu engellemek pahalıya mal olacağından biraz görünmezlik sağlar; ama aynı zamanda bariz bir VPN endpoint’i olduğu için trafik deseniyle dikkat çekebilir
    • Güncel bilgi için reddit’teki r/dumbclub’a bakılabilir
    • Bu tür kurulumların kendisinin zor olduğunu hesaba katmak gerekir. Ben bile WireGuard’ın hâlâ çalışıyor olmasını biraz mucize gibi görüyorum
    • Özel bir seçenek olarak roaming SIM var. Roaming’de trafik doğal olarak operatörünüzün ana ağına tünellenir; bu yüzden Çin’de de engellenmez. Sunuculara erişim ya da proxy ayarlamak gibi acil durumlarda yararlı olur

  • Özbekistan’da seyahatteyken wireguard protokolünün kendisinin engellendiğini görüp şaşırdım

    • Kendi sunucuma wireguard ile bağlanmak normalde sorun olmazdı ama ilk kez tüm protokolün engellendiğini gördüm
    • Nelerin, nasıl engellendiğini önceden kontrol edip VPN sağlayıcınızı ona göre seçmek önemli

    • Wireguard’ın engellendiği yerlerde wireguard’ı wstunnel üzerinden geçirerek aşmışlığım var

    • Wireguard’ın kendisi ağ kalıbı açısından belirgin; zaten obfuscation hedefi de taşımıyor

      • Bazı araçlar trafiği 443/TCP gibi göstermeye çalışıyor

    • İki bilgisayarın güvenli şekilde tünel kurmasını sağlayan tek bir protokolün devlet tarafından engellenmesi gerçekten tuhaf

    • Wireguard protokolünün engellenmesi yakında BK’de de gerçek olabilir diye düşünüyorum

      • Hacker’ların rolü gelecekte çok daha önemli olacak

  • XRay/XTLS-Reality/VLESS de oldukça iyi çalışıyor. Hatta Çin’de bile tespit edilmesinin zor olduğu söyleniyor

    • Bu rehberi izleyebilirsiniz; ek yapılandırma örnekleri için de şuraya bakılabilir

    • Çin güvenlik duvarı sayesinde sansürü aşma teknolojileri epey gelişti. XRay’den bahseden birini görmek sevindirici!

    • sing-box adlı proje de işe yarıyor (proje bağlantısı).

      • Ben bunu uygulama/hizmet bazında farklı yönlendirme yapmak için kullanıyorum; örneğin bankacılık uygulaması 5G modemden, ABD’deki banka için US residential proxy’den, geri kalan her şey de VPN’den geçiyor (Android’de root gerekmiyor)
      • Böyle gelişmiş özellikler de Çin güvenlik duvarı sayesinde ortaya çıktı

    • Tüm trafik tek bir web sitesine yığılırsa, bunun kendi başına şüphe çekip çekmeyeceğini merak ediyorum

  • Mastodon’un bir rejim tarafından tamamen engellenmesi zor ve çoğu instance Tor kullanımını engellemiyor

    • Nitekim Brezilya’da X engellendiğinde Mastodon’a büyük bir akın olmuştu
    • Daha fazla bilgi için joinmastodon.org adresine bakılabilir

    • Tek tek sunucuların (mastodon.social gibi) ayrı ayrı kolayca engellenebileceğine dair bir endişe var

    • Protokol seviyesinde engelleme de sanıldığı kadar zor değil. VPN engelleyen ülkeler, basit IP bloklamadan hızla protokol engellemeye geçme eğiliminde oluyor