Все вопросы по поводу zapret пишите сюда.

Добрый день, использовал программу для Linux nfqws. До недавнего времени все работало. Но что то поменяли в настройках сети, либо придумали ещё что то мои настройки nfqws перестали работать. Использовали эти команды, также изменял размер пакета. ИСпользовал на линукс сервере.
iptables -A OUTPUT -p tcp -m tcp --sport 443 --tcp-flags SYN,ACK SYN,ACK -j NFQUEUE --queue-num 200 --queue-bypass
плюс изменял размер:
zapret/binaries/x86_64/nfqws --qnum=200 --wsize=8 --daemon
Но к сожалению это уже не работает. Выдает ошибку на у клиента опен transport error. Посоветуйте как можно изменить настройки этой проги

Фрагментация на сервере - не панацея. Этой технике уже много лет, она начала использоваться давным давно для борьбы с китайским фаерволом. Разумеется, сейчас это уже там не работает.
И у нас это сработает лишь на тех провайдерах, DPI которых достаточно для обмана лишь фрагментация TLS ClientHello. Такие провайдеры существуют, но их меньшинство.
DPI развиваются. Посмотрите какие техники используются в атаке десинхронизации. Вы не сможете без помощи со стороны клиента преодолеть такие DPI. И уж точно никогда не сможете сделать универсальную пиллюлю, которая работала бы везде и гарантированно.

Попробуйте посмотреть в сторону TLS 1.3+ESNI. Это тоже не панацея, требует поддержку в броузере (не всегда включено по умолчанию), спецификация еще не RFC, потому поддержки в веб серверах нет. Но уже есть proxy-поделки.

Думаю попробовать какие то другие техники, возможно помогут, или zapret уже не справиться с задачей которую я ставлю? Я могу с вами пообщаться в приватном чате? Или могу ли я написать вам в личку?

Как можно реализовать эту технологию? Мне в этом поможет программа zapret?

Я с этим не связывался сам, но полагаю у cloudflare можно заказать fronting с поддержкой ESNI.
Или ищите прокси-поделку для терминации TLS у себя на сервере. Где-то проскакивало, но не запомнил как называется.
zapret предназначен для обмана DPI на стороне клиента. даже не думал, что кто-то это будет использовать на сервере

Большинство DPI способно принять решение о запрете по первому пакету с данными от клиента. TLS client hello или http request. С сервера можно повлиять только на разбивку посредством wsize, но как уже сказал это далеко не всегда сработает

Возможно это поможет, мне? Пожалуйста подскажите как мне запустить этот парметр в nfqws. А то я немного затрудняюсь.Я хочу попробовать реализовать это на сервере.

Это ничем вам не поможет. Даже если вы разобьете ответ от сервера, клиент без специальных средств будет отсылать обычный ClientHello, на который тут же ополчится DPI. Вашему серверу даже отвечать не придется. DPI отрежет клиента до того, как серверу представится шанс что-то сделать

Это ничем вам не поможет. Вашему серверу даже отвечать не придется.

О каких способах обхода блокировки тогда могла идти речь в следующей теме?

Если порассуждать немного…
Большинство DPI заблокируют стрим при первом же пакете с данными от клиента, где http запрос или TLS client hello.
Значит действовать надо уже на этапе 3-way handshake.
Можно попытаться сделать реверс-десинхронизацию, базируясь на пришедшем TTL. Или badsum, badseq
Чтобы desync пакеты доходили до DPI, но не доходили до клиента.
Попробовать от сервера послать RST. Как будто сервер сбросил конект. Но чтобы не дошло до клиента. Или послать какой-то левый пакет данных, например левый http response.
Возможно, какие-то DPI это задурит
По IP можно определить провайдера, и имея базу провайдеров что работает на каком, изменять тип реверс-дурения

Как запускать custom-скрипты, такие как custom-nfqws-dht4all? Хотелось бы подробную иструкцию для работы со скриптами.

Попробная инструкция написана в readme. Раздел “вариант custom”.
Готовые скрипты включаются копированием соотв. файла в файл “custom” с его замещением, затем выбор в config MODE=custom.
Код скрипта следует прочитать, там в коментах пишу необходимые дополнительные переменные в config.
dht скрипт наследует режим nfqws, потому вся остальная конфигурация ему соответствует.
Можно прогнать install_easy с MODE=nfqws, настроить, убедиться в работоспособности, затем перейти на custom

после того как попробовал гудбайдпи на винде и на моё удивление проканало, решил попробовать запрет на линуксе сначала он (вместе со мной)) как то приуныл (UNAVAILABLE) а потом как попёрли (AVAILABLE!!!) и ведь риально работает, спасибо вам всем за титаникстический труд!

ps
к сожительению после 24 февраля автономный обход блокировок становется всё меннее актуально всвязи с тем что ето уже нетолько лиш у нас но и на той стороне начали блокировать с росийских айпишники

pps
и в тоже самое время автономный обход блокировок не теряет свой актульности так как ркн усилили методы борьбы с впнами и прочим шифротрафиком который идёт через границу как я понел

Потому у меня и создана система “ipban”. Потому что все автономно обойти невозможно.
Но это только хелпер, основа - руками

Интересно, что смотрит ответ только если SNI нет, но TLS выявлен. При наличии SNI блокирует или прекращает следить.

nice

Добрый день.

Прошу помощи в настройке zapret в такой конфигурации домашней сети:

клиенты - virtual box (192.168.199.65, openWrt, установлен zapret) - основной роутер - интернет.

Чтобы можно было указать в качестве прокси на клиентах (ПК, смартфоны) IP и порт виртуальной машины (я предпочитаю использовать privoxy, 192.168.199.65:8118).

Можно ли так настроить, если да, то как это сделать?
Или как можно настроить в подобной конфигурации?

Если после запуска файла blockcheck.sh в сводке доступных способов обхода есть строка:
ipv4 rutracker.org curl_test_http : tpws --methodeol
можно ли мне выбрать при настройке (install_easy.sh) в качестве способа обхода tpws и потом указать в файле
TPWS_OPT=“–methodeol”
Будет ли так работать?

После настройки zapret у меня запускается, как процесс, виден в htop
/opt/zapret/tpws/tpws --user=daemon --bind addr=127.0.0.127 --port=988 --methodeol

Буду благодарна за помощь.
Если вопросы некорректны, то прошу прощения - только начала с этим разбираться.
GoodByeDPI на Windows у меня работает, теперь пробую настроить на openWrt.
Если получится настроить на виртуальной машине, потом так же сделаю на роутере.

Сеть не должна быть в режиме NAT. Нужен bridge. Иначе почти никакие методы не будут работать.

Можно, но такая настройка zapret не касается, а ликбезом по linux я не занимаюсь. Ищите информацию в сети.
Если вкратце, то zapret обходит блокировки в тч на локальном устройстве. Значит надо установить любой прокси на то же устройство, и соединения с него пойдут через zapret.
Хотя такая конфигурация и не очень логична, правильнее было бы использовать маршрутизацию

Будет для http , ломая значительное количество сайтов. Для https не будет.

Спасибо Вам за ответ

У меня в настройках виртуальной машины в разделе “Сеть” выбран “Тип подключения” - “Сетевой мост”, речь, наверное, об этом?

Тогда какие выбрать настройки для install_easy.sh, если у меня такие способы обхода:

ipv4 rutracker.org curl_test_http : tpws --methodeol
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-ttl=8
ipv4 rutracker.org curl_test_https_tls12 : tpws not working
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=4

Те, что с nfqws, раздельно для http и https

Спасибо Вам огромное за помощь. Все работает, сайты открываются. Замечательный скрипт.

* SUMMARY
ipv4 instagram.com curl_test_https_tls12 : tpws not working
ipv4 instagram.com curl_test_https_tls12 : nfqws not working
ipv4 instagram.com curl_test_https_tls13 : tpws not working
ipv4 instagram.com curl_test_https_tls13 : nfqws not working

не то чтобы он мне сильно нужон, просто интересно как такойе возможно, другие сайты открывает норм
а может быть такойе что например дпи оно пробивает но сам ихний веб-сервер дропает видоизменённые несоответствующие не одному стандарту пакеты?

У таких сайтов обычно прыгающие IP, и часть из них может быть заблокирована по IP
У меня норм обходит

Заметил интересную особенность, сайт windscribe.com на 99% провайдеров не имеет рабочей стратегии обхода блокировки. Блокировки по ip нет нигде, но стратегию все равно найти не удалось.

Заработало только на AS12695 DINET-AS, причем для всех заблокированных сайтов достаточно обычного fake на TCP TLS 1.2, а для windscribe.com нужен

–dpi-desync=fake,split2 --dpi-desync-split-pos=1

И заработало на NAT64 мобильного мегафона через fake,split2. На том же мегафоне без NAT64 стратегии обхода нет

windscribe.com на 3 провайдерах не конектит на порт 443 вообще. таймаут
о каком zapret речь ?

Как выше описал, на магафоне NAT64 и небольшом провайдере в Москве zapret срабатывает на windcribe.com, на остальных провайдерах где тестировал - нет

Видимо блок по v4 именно на порт 443 на большинстве провайдеров. Хотя просто пинги до сайта ходят. Если необходимо могу поднять ВПН и дать Вам временный доступ для теста к этой точке которую выше описывал (AS12695 DINET-AS) 85.192.51.Х

блокируется по ip только порт 443
на 80 http работает даже без обхода

del

Добрый день.
Настроил на роутере keenetic zapret c nfqws и wireguard сервер

Нужно чтобы через zapret проходил только трафик с wireguard

Откажитесь от скриптов, сделайте все руками

а через /opt/zapret/init.d/sysv/custom никак?

Можно через custom script
Переписать логику nfqws и добавить фильтр -s 192.168.5.0/24 (подсеть wireguard)

Можно взять за основу это, только избавиться от tpws и заменить его на nfqws. nftables можно не писать.

А как. Зайти. Через Google Chrome По http Я пытался. Ну что-то не получается Автоматом. Заходит. По https

К слову. Я недавно проверял возможность запутыванию с помощью TFO. Если засунуть запрос в SYN, то можно пробить некоторые DPI, однако ТСПУ (под ним имею ввиду то, что замораживает соединение, даже если пробит первый DPI), может собрать такой запрос и заблокировать, но и он пробивается, если размер данных в SYN < 3 байт, притом split на тех же позициях не работает. Похоже, что он либо учитывает расширение tfo, либо грубо сканирует все первые пакеты, размер которых превышает некоторое число.

Сплит через TFO может работать только на серверах, поддерживающих TFO. А чтобы это узнать, придется отправить тестовый запрос, и если нет, то придется заново переподключаться, держа при этом клиента на связи
Действительно, я тоже замечал замораживание на http, но не на https. Под замораживанием я понимаю такое состояние, когда DPI в процессе своей грязной работы задерживает пакеты и правит sequence numbers, и в случае десинхронизации соединение ломается. Обычно это видно на disorder. Зависание. syndata так же может вызывать слом. На некоторых провайдерах норм, на других ломается.
На https TFO не пробовали ?

Смотря на результат, мы видим работу произвольного количества DPI на пути. Обычно их не один там, и разные могут вести себя по-разному

Да, а серверов поддерживающих TFO не так уж и много, но rutracker, например, поддерживает.

Не придется, ядро делает это прозрачно. Если у ядра есть сохранённый cookie, то он отправит данные в первом SYN, если же нет, то он отправит обычный SYN с расширением TFO, для получения первого cookie от сайта. Затем просто отправит запрос после рукопожатия. Если сервер прислал в ответ TFO, то впредь данные ему будут отправляться в первом SYN.

Как раз на нем и пробовал (несколько недель назад у меня перестал блокироваться HTTP на всех DPI). На обычных сайтах замораживания не было, только на заблокированных. Т.е. DPI умеет собирать такие запросы при условии, что полезной нагрузки > 2 байт.

Вот это и вводит неопределенность. Нельзя сделать обычными средствами так, чтобы всегда были данные в SYN. Или можно, сделав предварительный конект. Но можно ли узнать потом действительно ли сервер поддерживает TFO ?
Прозрачность удобна, но для наших целей засунуть данные в SYN может быть не очень удобна

Гуглится вот что :
The case that you are sure fast open was used is when you have a non-blocking socket, you already have a fast open cookie and sendto() does not return EINPROGRESS:
For non-blocking socket, it returns the number of bytes queued (and transmitted in the SYN-data packet) if cookie is available. If cookie is not available, it transmits a data-less SYN packet with Fast Open cookie request option and returns -EINPROGRESS like connect().

Если имеется ввиду и случаи, когда на сервере нет TFO, то похоже, что это невозможно. В Linux (начиная вроде с 4.11) есть такая опция - TCP_FASTOPEN_CONNECT. Если cookie у ядра есть, то connect мнгновенно вернет 0, если нет, то EINPROGRESS. Т.е. можно сделать предварительное подключение, не отправляя данные.

Возможно ли как-нибудь посредством zapretа реализовать блокировку quic (блокировка от провайдера то есть, то нет)? Максимально криво работает и единственным способом избежать проблем становится принудительное отключение quic в браузерах. Но хотелось бы найти способ заблокировать quic на домашних устройствах полностью

Закройте порт udp 443 на выход из домашней сети и никакого quic не будет

Попробуйте еще пробивать не --dpi-desync=fake, а с добавлением --dpi-desync-repeats=6
Вчера такую тему просек на sknt ipv6

Добрый день . Вчера заметил странные вещи . Вчера скачал . Последнюю версию zapret . На роутер . Кинетик пик . Он Почему-то запускается . От имени пользователя Starting daemon 1: /opt/zapret/nfq/nfqws --user=tpws И ничего не работает А должно быть Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody . Как. Это. Лечить . Или как скачать . Предыдущую версию

keenetic официально я не поддерживаю.
скрипты sysv пытаются добавить юзера tpws. если даже в entware и есть adduser, то он будет добавлять в /opt/etc/passwd, а tpws/nfqws будут читать из /etc/passwd и не найдут юзера tpws, потому они с ошибкой будут завершаться
/etc/passwd - это ссылка на /tmp, где прошивка динамически в tmpfs генерит слишком нестандартный и обрезаный passwd/group
сам же корень большинства стоковых прошивкок является readonly squashfs, что резко сокращает возможности по управлению ими, отчего и заточен zapret под openwrt

решается добавлением в config
WS_USER=nobody

Вроде предыдущих версиях такого не было

в предыдущих версиях обламывался useradd по причине отсутствия группы nogroup. я это поправил командой добавления группы. useradd перестал обламываться, скрипт стал думать, что юзер добавляется и использует его, что приводит к ошибке

добавил в базовый конфиг

# redefine user for zapret daemons. required on Keenetic
#WS_USER=nobody

Благодарю за Помощь всё заработало

bolvan, ваш метод, мягко говоря, не самый простой. И мне интересно какой результат он в итоге дает. Я понял только то, что нельзя обойти блокировку IP-адреса. Но можно ли вашим методом разблокировать, например, Рутрекер, Флибусту, Либген и т.п.? И что лучше использовать - любой десктопный дистрибутив или openwrt?

Да, вы правы. Если для вас все кажется слишком сложным, я рекомендую пройти мимо. Никогда не ставил себе задачу сделать это для всех одним нажатием кнопки.
А обходит практически все, кроме блоков по IP. Блоки по IP приходится заворачивать в VPN, для чего сделаны хелперы, но настройка еще сложнее в разы, чем сам zapret
Для роутеров только openwrt, для десктопа - практически любой linux. Хотя если можете сделать роутер из обычного linux, тоже ничто не мешает

Добрый день, а как можно обновиться на новую версию?

Скачать и распаковать в /tmp, дальше оттуда install_easy.sh

добрый у меня такой вопрос если сайт не обходится запретом и его ip не пингуется и не проходит трасировку это что значит блокировка или поломка сети

Если это блокировка . Что мешает . Все сайты таким образом заблокировать . И Запрет не будет работать

Проверьте из другой сети:

https://www.whatismyip.com/port-scanner/
https://dnschecker.org/port-scanner.php
https://check-host.net/
https://ping.pe/
https://looking.house/index.php

Если проходит, значит блокировка на стороне тспу или администратора сайта.

Ничего не мешает.

про CDN забыли? https://host.io/ip/104.21.68.2
или думаете что ркн они не мешают?

смотрите где заканчивается трассировка, если в РФ или в сети провайдера - ТСПУ, если за границей (cogent, telia, …) - админ сайта блочит вас

Первым делом в таком случае тестируется сама возможность подключения по TCP к 80 или 443.
Если она отсутствует, то zapret насиловать смысла нет. Он чудес не творит.
Дальше - написали выше. Неплохо сделать подключение с забугорного хоста на порт. Если нет VPSки, есть полно веб порт сканеров

я пытаюсь зайти вот сюда mail.proton.me запретом хотя сайт Proton Mail — конфиденциальная и надёжная почта с шифрованием | Proton Легко открывается запретом

Заблокировано по IP адресу на ТСПУ. Сразу идет RST на SYN. connection refused
Трейс на соседние IP нормальный, на этот обрыв на 7 хопе после провайдера.
Применение zapret бессмысленно, требуется перенаправление через сторонний хост

Как сделать Перенаправление сторонним хостом.Это Только VPN

Да, только VPN или прокси.
В zapret есть система ipban, облегчающая построение policy routing или выборочного прозрачного перенаправления на прокси. Но это непросто, требуется много понимания и работы руками
Простая альтренатива - только включение/выключение VPN или прокси

Но из реестра.

Результат блокировки почтовиков в ходе борьбы с лже-минерами. Борьбы была суровой, доставалось даже пейджерам.

Заработала . При смене DNS

Доброе утро А Можно ли добавить Ещё один старт в config например http Отдельно https Отдельно vpn Отдельно

Если запихать все редко желаемые хотелки в систему, то система станет перегруженой. Программы с кучей редко используемых неуниверсальных, частных функций и кнопок в тулбаре плохо юзабельны, поэтому я по такому пути не пойду.

Сейчас можно включить или выключить http, https, quic раздельно в конфиге.
Другие конфигурации, тем более VPN, где нет ни стандартного порта, ни стандартного протокола, реализуются либо custom скриптами, либо руками. Другого не дано

Спасибо. Всё понял. У меня при такой конфигурации работает

# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,tpws-socks,filter,custom
# nfqws : nfqws for dpi desync
# tpws : tpws transparent mode
# tpws-socks : tpws socks mode
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
MODE=custom
# apply fooling to http
MODE_HTTP=1
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=1
# apply fooling to https
MODE_HTTPS=1
# apply fooling to quic
MODE_QUIC=1
# none,ipset,hostlist
MODE_FILTER=none

# CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run "nfq/nfqws --help" for option list
DESYNC_MARK=0x40000000
#NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig"
NFQWS_OPT_DESYNC_HTTP="--dpi-desync=split --dpi-desync-fooling=md5sig --dpi-desync-fooling=badsum"
NFQWS_OPT_DESYNC_HTTPS="--dpi-desync=fake,disorder --dpi-desync-ttl=9 --dpi-desync-fooling=badsum --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=6"
#NFQWS_OPT_DESYNC_HTTP6="--dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
#NFQWS_OPT_DESYNC_HTTPS6="--wssize=1:6 --dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=6 --dpi-desync-ttl=9"
#NFQWS_OPT_DESYNC_QUIC6="--dpi-desync=hopbyhop"

Но хотелось бы Чтобы https Сайтaм не мешало

Если вы при этом ничего не делали с самим custom скриптом, то эта конфигурация не будет делать ровно ничего. Выбирать custom - это как бы для полупрограммистов. Нельзя просто так взять, сделать custom, и все заработало. Тут нет никакой простой и волшебной таблетки

Ну работает же Open VPN tcp udp работает wireguard работает ikev2 работает При такой конфигурации

в custom Я кое-какие поправки делаль для udp

Спасибо за zapret На Windows Всё отлично работает

Добрый день, запустил blockcheck.sh и получил такую информацию:

* SUMMARY
ipv4 twitter.com curl_test_http : working without bypass
ipv4 twitter.com curl_test_https_tls12 : tpws not working
ipv4 twitter.com curl_test_https_tls12 : nfqws --dpi-desync=syndata --dpi-desync-fake-syndata=/opt/zapret/files/fake/tls_clienthello_iana_org.bin
ipv4 twitter.com curl_test_https_tls13 : tpws not working
ipv4 twitter.com curl_test_https_tls13 : nfqws --dpi-desync=syndata --dpi-desync-fake-syndata=/opt/zapret/files/fake/tls_clienthello_iana_org.bin

Сейчас zapper запущен в режиме:
Starting daemon 1: /opt/zapret/tpws/tpws --user=tpws --bind-addr=127.0.0.127 --port=988 --hostspell=HOST --split-http-req=method --split-pos=3 --oob

Не совсем понятно, как перенастроить демон на работу с nfqws.

Был бы признателен, если ткните носом в какую сторону копать, спасибо!

блокчек был выполнен без остановки zapret ? странные результаты. если так, то это все неверно.
инсталятор позволяет все выбрать, что нужно

Прошу прощения за вопрос, не относящийся напрямую к теме…А что означает (как расшифровывается) суффикс ws в именах приложений? nfqws, tpws, winws

проект начинался в далеком 2016. тогда первой идеей была смена window size с целью фрагментации запроса. отсюда пошло название. дальше обросло фукнциями, а название осталось

Вопросы по настройке zapret’а в связке со Squid’ом: что нужно будет изменить в nftables? Нужно ли заварачивать трафик с кальмара в запрет или наоборот? Или это будет зависить от самого режима настроек прокси, а точнее от того, как он слушает трафик: 1. Браузер настроен жестко на работу с прокси через прописывание самого прокси и порта, 2. Браузер работает без настроек прокси, а трафик на калшьмар заварачивается средствами таблиц. Второй вариант предпочтительнее и интереснее, так как отпадает необходимость прописывать прокси на всех девайсах домашней сети. Буду признателен к паре-тройке примеров готовых правил табличек. Сам запрет крутится в режиме авто-хост листа, т.е. самоубучении возможным заблокированным сайтам и как следствие добавления оных в нужный лист обхода. Не нужно ли будет менять режим работы запрета при этом?

с nfqws проблем быть не должно в обоих случаях.
с tpws проблем нет в режиме squid как обычный прокси, но возможны проблемы в транспарент варианте. хотя и они решаются, но придется понять как оно все вместе.будет жить.
в чем смысл squid ?

Смысл в том, что из-за массовых блокировок подсетей на ТСПУ вынужден был поднять подключение к vpn через SoftetherVPN клиент (последний правда кривоватый и на openwrt стабильно работает только 4 версия, да и то, консольная vpncmd в режиме клиента не умеет подключаться к udp vpn серверам ни в какую, есть даже топик в issue у разрабов, но его почему-то закрыли как solved), соответственно хочу немного покэшировать трафик, который ползет через vpn через squid, так как zapret не может (что очевидно и было уже упомянуто) пробивать ip блокировки. Вообщем наверное это кривые костыли, но сейчас у меня работает все так - все что можно надурить zapret’ом идет напрямую в сеть, все что забанено по ip роутиться статическими маршрутами через vpn. А хочу еще и добавить прокси в эту цепочку. И как понимаю zapret точно должен быть после squid’а, так как вроде Вы говорили, что кальмар все пересобирает и дурение не будет работать если пустить трафик с zapret’а на него. Если конечно моя задумка вообще возможна практически к реализации. Проблем с местом и памятью не будет, так как все крутится на реальной машине с 8Гб оперативы и жирным ССД. Ах да, самое главное, что забыл указать, в zapret’е вертится у меня nfqws.

squid не может кэшировать https. plain http уже почти нет. да и смысл кэширования для пробивки ип блоков в чем?
ваша проблема решается через полиси роутинг. в запрете для этого существует ipban. есть и мануал по прикрутке к вирегард. но суть от замены впн не меняется

да запрет должен быть после прокси

Ах-да, конечно же Вы правы, как я мог забыть про https. Что бы кешировать https, это надо сувать самопальный сертификат в цепочку сервер - прокси - клиент, расшифровывать и зашифровывать им, да и плюс дырка это в безопасности будет. Тупо забыл, мой косяк. Эту затею видимо придется отбросить. Одно мне тогда не понятно (хоть и к запрету уже отношения не имеет) - как тогда работают обычные открытые прокси, использующиеся для обхода блокировок? Или там крутится что-то продвинутое или используются какие-то прокси, котрые умееют проксировать https трафик?

они проксят без дешифровки
для кэширования нужно лезть в содержимое под тлс

squid удобен только более или менее внятными и удобными настройками
и можно почти без гимора подсовывать все списки (от автора. от валдика. етк) чтобы заворачивать нужные домены/ИП куда то.
у меня IPv6+частьРФ DIRECT, чтото в VPN (socks5 через Privoxy), остальное вообще в TOR (через HTTPTunnelPort оно понимает/принимает только CONNECT)

на роутерах это тоже иногда можно сделать но ИМХО с большим гемороем
часть задумок можно завернуть через Безопасный HTTPS-прокси менее чем за 10 минут / Хабр (от автора opera/hola/etc-proxy)

в свое время интересовался и не нашел возможности заворачивать по сни в скуиде
это должен уметь хрей

у меня к сожалению 3.5.28 на windows10
он вообше многово не умеет. dst_as например и надо искать актуальные списки тех же cloudflare IP/network (причем непересекающиеся ибо squid достанет warning-ами)
но вот ваши списки раскидать в VPN/TOR/etc через cache_peer ИМХО удобно и просто. причем можно и завернуть на какой нибудь прокси на роутере с Запретом/АнтиЗапретом или на этой же машине наверно подобрать рабочие настройки как указано выше

У меня сейчас zapret работает на роутере (ImmortalWrt 21, Privoxy, переход с устройств по IP_роутера:8118), но хотелось бы еще сделать (если это возможно) переход на некоторых сайтах (например, intel.com, который закрыт с той стороны) через openVPN или что-то подобное.

Мне не хватает пошаговой инструкции, как это сделать. Может быть, кто-то, кто уже настроил у себя подобное, напишет такую инструкцию, была бы благодарна.

“просто” это врядли
тем более разные VPNы
для пользователей только варианты типа https://chromewebstore.google.com/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif
и там уже прописывать .PAC антизапрета. и разные socks/https прокси включая локальные наподобие TOR / Psiphon / etc

у меня например каждый список/прокси это куча правил в конфиге. я сам иногда в них путаюсь уже
acl TXT1 dstdomain “/etc/squid/_PKH1.LST”
cache_peer_access Opera allow TXT1
cache_peer_access Privoxy allow TXT1
acl PPP dstdomain “/etc/squid/_6_tor.LST”
cache_peer_access TOR deny PPP !C0NNECT
cache_peer_access TCP deny PPP !C0NNECT
cache_peer_access TOR allow PPP C0NNECT
cache_peer_access TCP allow PPP C0NNECT

писать пошаговые, конечно, не стану
но я бы решал этот вопрос через полиси роутинг и цепочку прокси
выборочно рулить на впн можно через таблицу маршрутизации, но она касается только ип адресов. либо через ip rule. а там можно выбирать в том числе по uid процесса.
если запустить под отдельным uid простой прокси типа tpws, заруливая с него на отдельную таблицу, а на сам tpws с привокси по набору фильтров, то эффект будет достигнут.
если привокси не может рулить по sni, можно использовать xray.
или если не надо обруливать сайты на cdn, то достаточно заруливания по ipset. см систему ipban в zapret
а для юзера это решается гораздо проще средствами броузера и расширениями типа фокси прокси

Вам огромное спасибо за замечательный zapret, который здорово выручает в наши дни.
Только сюда заходят люди, которые реализовали разные способы. Может быть, кто-то из них, кто уже настроил и пользуется, написал бы такую подробную инструкцию.
Лично я знаю пока один простой способ составлять списки (для пользователя начального уровня, вроде меня). Когда на устройстве с zapret настроены privoxy и tor. Тогда достаточно в конфигурационном файле privoxy указать:

forward-socks4a *.intel.com/ 192.168.199.10:9050 .

Такой способ у меня тоже работал. Проблема в том, что на маломощных роутерах (как у меня в данный момент времени) tor с obfs4proxy не запустишь. Вот и подумалось: может, есть какие-то другие способы как-то разделить трафик? Так-то удобно: у нас получается одно устройство в локальной сети, адрес которого можно прописать в том же FoxyProxy (в броузере) или на планшете, например, а оно уже разделяет трафик, что куда.

Так-то чувствуется, что инструмент мощный, только сложный в освоении.

Может завести отдельную тему на форуме, где люди будут делиться своими способами настройки (инструкциями)? Все равно их надо будет куда-то отдельно складывать. Хочется в итоге получить универсальное устройство, которое будет подключено к основному роутеру и через которое при необходимости можно пустить трафик со всех домашних устройств. (По моему, в преддверии грядущих тотальных блокировок это будет актуально).

в любом случае нужен внешний впн или прокси вне зоны ру. только выборочно рулить по домену проще через прокси. сопряжение этого с сетевым стеком ос требует дополнительных усилий, поскольку там имена доменов не используются, а ип адреса могут прыгать на цдн или по геоип.
если есть впс, то достаточно ssh. он сделает сокс прокси.

Таких тем уже несколько было. С инструкциями и способами. На intel.com хотя бы из тора заходит, в отличие от ti.com.

роутеры даже сейчас ИМХО не настолько круты по всем параметрам
CPU / RAM / SSD / “OS” (гибкость настроек и доступных пакетов)
самое “простое” и надежное если понимать что делать это ПК с линуксом
а уж на нем поднимать все нужное
причем сейчас есть довольно компактные хоть и дорогие “сборки”. на 4пда вроде были темы https://4pda.to/forum/index.php?showforum=1077
и самое главное тот же ЗАПРЕТ и другое работает без напильника

Что значит “без напильника”? По любому на разных провайдерах надо блокчек прогонять. У меня дома один провайдер (проводной), на даче другой (беспроводной) и “общий конфиг” не работает (пробовала).

У меня сейчас zapret работает на компактном (но маломощном) tl-mr3020 и я им очень даже довольна. (Эти роутеры мне за их дизайн нравятся, они маленькие и таких устройств можно раскидать где угодно: дома/на даче/у родственников и т.д., подключенными к основному роутеру). Только вот tor на нем не запустишь, а другие варианты настроить - пока тому не научена, не умею. Вот и ищу доступную инструкцию.
Мне с zapret-ом повезло, что удалось найти пошаговую инструкцию по настройке.

Можно неттоп с Linux использовать (я взяла б/у, подешевле…)
У меня была идея подключаться удаленно к моему домашнему неттопу и использовать его как прокси-сервер. Попробовать хотелось (интересно же…), но по некоторой причине не получилось (выключили тот неттоп).

Варианты разные могут быть. Сам zapret нетребователен к ресурсам и запускать его можно на любом подходящем оборудовании - как удобнее настроить.

Оставьте это на сервере и десктопе. На роутере онли OPNsense, на крайняк pfSense

С чего бы это? Путаете, наверное, что-то. То, что вы скинули больше похоже на роутер, чем чудовища франкештейна, которые впаривают людям недобросовестные провайдеры, где 4-в-1 модем+AP+роутер+свитч и арм проц хорошо если пятнадцатого года

не знаю чем так привлекает *sense
интерфейсом может быть?
на деле linux далеко обогнал bsd по возможностям
на фаерволах pf и ipfw очень много чего нельзя из того, что можно с netfilter, nftables, iproute

Тем, что это устоявшийся проект конкретно для роутеров, фаерволлов, и т.д.

Но в данном случае такой спорный их недостаток как отсутствие приемлемой дефолтной конфигурации перевешивает. Чтобы поставить OPNsense и настроить там VPN, Pi-hole, лоад балансинг и мб даже шейпинг трафика – много ума не надо, о лине такого не скажешь. Рядовой Вася не обязан иметь скиллы нетадмина для того, чтобы самому установить роутер. Да и помщников никаких нет в любом случае, самый очевидный претендент занят продажей китайских недоразумений с 256мб оперативы и флеш-памяти

Роутер – это почти такое же критическое звено в телекоммуникациях как браузер, так что нужны не возможности, а безопасность. В случае *sense её гарантируют и упомянутые выше дефолты, и компания Netgate, спонсирующая как сам проект, так и патчи CVE в используемых пакетах, и лицензия (нарушений меньше, чем у GPL, самое крупное от Sony, то есть вообще в другой плоскости). Вот где точно обогнал, так это в поддержке устройств (удачи на *BSD если сетевая карта с чипом не от intel) и беспроводной связи

Некорректно сравнивать appliance в веб мордой с голым linux.
Тогда уж с openwrt сравнивайте.
И прикиньте что будет, когда предложенных в морде возможностей станет недостаточно.
Когда станут нужны юниксоидные прикрутки через шелл. Нестандартные схемы. Хаки, борьба против системы.
zapret тот же. Очень это удобно будет ?
А тупо проNATить и раскидать инет может любая мыльница со стоком

Про перезапись в TCP.
Возьмем такие фейк-данные:
00 00 00 00 16 03
Если их отправить в пакете со смещением SEQ в -4 от предыдущего, то первые нули отбросятся, а 1603 попадет в приложение.
Таким образом можно объединить фейковые данные и полезную нагрузку в один пакет, так что DPI не сможет ни правильно спарсить его, ни проигнорировать, т.к. потеряет начало следующего пакета.
В nfqws можно сделать как-то так:
./nfqws --qnum=200 --dpi-desync=fake --dpi-desync-fake-tls=0x000000001603 --dpi-desync-fooling=badseq --dpi-desync-badack-increment=0 --dpi-desync-badseq-increment=-4
Однако второй пакет все-же будет целый + нужен кастомный фейк.
Было бы неплохо иметь некий параметр --fake-overwrite=n, который скопирует n байт в конец фейка и обрежет начало настоящего пакет на столько же.

Спасибо за идею. Будет время - рассмотрю этот вариант

Всем добрый день. Решил сегодня обновиться до свежей ветки и поломал себе весь обход. До сегодняшнего дня сидел со стратегией --dpi-desync=fake,disorder2 --dpi-desync-ttl=3 и всё прекрасно работало. Обновился до свежей, выставил в install_easy.sh --qnum=0 и свою прошлую стратегию. По итогу демон запускается с такими параметрами

/opt/zapret/nfq/nfqws --user=tpws --dpi-desync-fwmark=0x40000000 --qnum=200 --qnum=0 --dpi-desync=fake,disorder2 --dpi-desync-ttl=3

Обход не срабатывает. Сижу на Keenetic Viva (KN-1912)

а провайдер ничего не менял ?
тот же blockcheck все тоже самое предлагает ?

и меня кстати тут заинтересовало. это мой РТ что то чудит или все таки IPv6 блокируют хоть и не весь ?!
ipv6 rutracker.org curl_test_http : working without bypass
ipv6 rutracker.org curl_test_https_tls12 : working without bypass
ipv6 rutracker.org curl_test_https_tls13 : working without bypass
ipv6 rutracker.org curl_test_http3 : winws --wf-l3=ipv6 --wf-udp=443 --dpi-desync=fake --dpi-desync-repeats=2

Для keenetic’a user=nobody, а не tpws. Ну и если UDP нужно, то надо маскарад добавлять.

Возможно вы делали по одной из инструкций в инете, где советуют править скрипты без обьяснения сути и причины сего исправления. А потом накатили оригинальную версию без этой правки.
См здесь

С ipv6 у меня на провайдере какое-то скакание. То нужно тяжелым бить с fake,split. То работает простейший hostcase или split2. А бывает некоторые домены вообще перестают блокироваться

Думаю над вашей идеей. Если для первого пакета с данными от клиента или после L7 раундтрипа (запрос-ответ-запрос-атака_на_него), то вроде неплохо выглядит. Но если вдруг поток идет сплошняком. desync any protocol, допустим, или еще какой-то случай. если прошлый пакет еще не был выплюнут в сокет ? unix системы презервят ласт дата. Потому мы перепишем кусок полезной нагрузки ерундой, и это будет передано серверному приложению

ну меня немного удивило ибо
может я как то не так проверяю ?
curl -6 --http3 -v https://rutracker.org/myip
Connected to rutracker.org (2606:4700:3031::6815:2027) port 443
using HTTP/3
< HTTP/3 200
ip: 2a00:62c0: :2b23 RU

–http3-only. --http3 лезет по tcp сначала.
вообще на счет quic-а много неясностей.
запросы от разных libraries имеют разный эффект.
одно время на quiche вообще блокировка не действовала.
теперь на quiche не действует обход ни через fake, ни через ipfrag. и на curl от BSD систем тоже не действует.
а на ngtcp3 все норм. и на броузерах тоже.
на первый взгляд, сравнивая хедеры, различия видны. это и packet number length, и длина connection id, и наличие непустого destination id в initial клиента.
похоже, там кроме собственно фильтра, расшифровывающего SNI, стоит фингерпринт резалка. может быть против каких-то отдельных приложений, использующих quic. Псифон ? Им подобные ? Я не знаю.
На одном из доступных мне провайдеров, который подключен через globalnet, вообще блок любого quic на 443. Рудимент от магистрала не выключенный

Спасибо, помогло

Спасибо, помогло!

вот теперь вижу блокировку. спасибо за опцию

curl -6 --http3-only -v https://rutracker.org/myip
QUIC connection has been shut down
QUIC connect to 2606:4700:3031::6815:2027 port 443 failed: Couldn’t connect to server

Лучше это применять только для первого пакета, для последующих же делать как по прежнему.
Для потока нужна другая логика, например:
Оригинальный запрос: 01 02 03 04 05
Создаем первый пакет:
00 00 04 05
Отправляем этот пакет со смещением SEQ в +1.
Затем отправляем второй пакет со смещением 0:
01 02 03
Получается нечто схожее с fake+disorder2.
Недостатки:

• Есть небольшой риск, что первый пакет придет позже второго и все сломает, поэтому желательно отправлять второй только при ретрансмисии, это даст небольшую задержку.
• Размер фейка должен быть меньше размера запроса или же обрезаться до него, поэтому DPI может не клюнуть на него.

Достоинства:

• Экономится один пакет по сравнению с обычным fake2.
• Сложнее восстановить поток (более запутанно).
• Не нужно использовать fooling.

Можно назвать весь комплекс этих атак sequence overlap

да уж. навертели (с)(r)™
кстати Psiphon у меня вроде работает без проблем == не знаю чего они там тогда блочат

C:\ProgramData\chocolatey\bin\curl.exe --version
curl 8.8.0 (x86_64-w64-mingw32) libcurl/8.8.0 LibreSSL/3.9.2 zlib/1.3.1 brotli/1.1.0 zstd/1.5.6 WinIDN libpsl/0.21.5 libssh2/1.11.0 nghttp2/1.62.1 ngtcp2/1.5.0 nghttp3/1.3.0
Protocols: dict file ftp ftps gopher gophers http https imap imaps ipfs ipns ldap ldaps mqtt pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp ws wss
Features: alt-svc AsynchDNS brotli HSTS HTTP2 HTTP3 HTTPS-proxy IDN IPv6 Kerberos Largefile libz NTLM PSL SPNEGO SSL SSPI threadsafe UnixSockets zstd

M:_Microsoft_MSYS2\ucrt64\bin\curl.exe --version
curl 8.8.0 (Windows) libcurl/8.8.0 OpenSSL/3.3.1 zlib/1.3.1 brotli/1.1.0 zstd/1.5.6 libidn2/2.3.7 libpsl/0.21.5 libssh2/1.11.0 nghttp2/1.61.0 nghttp3/1.4.0
Protocols: dict file ftp ftps gopher gophers http https imap imaps ipfs ipns ldap ldaps mqtt pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: alt-svc AsynchDNS brotli HSTS HTTP2 HTTP3 HTTPS-proxy IDN IPv6 Kerberos Largefile libz NTLM PSL SPNEGO SSL SSPI threadsafe TLS-SRP UnixSockets zstd

C:\ProgramData\chocolatey\bin\curl.exe -6 --http3-only -v https://rutracker.org/myip

• ngtcp2_conn_handle_expiry returned error: ERR_HANDSHAKE_TIMEOUT
• using HTTP/3
  < HTTP/3 200

M:_Microsoft_MSYS2\ucrt64\bin\curl.exe -6 --http3-only -v https://rutracker.org/myip

• QUIC connection has been shut down
• QUIC connect to 2606:4700:3031::6815:2027 port 443 failed: Couldn’t connect to server
• QUIC connection has been shut down
• QUIC connect to 2606:4700:3034::ac43:b6c4 port 443 failed: Couldn’t connect to server
• Failed to connect to rutracker.org port 443 after 60064 ms: Couldn’t connect to server
• Closing connection
  curl: (7) QUIC connection has been shut down

По поводу autohostlist.
Что если изменить логику на такую:
После срабатывания сразу же начать обход (заносить во временный список). Обход будет длиться недолго, секунд 10, после отключается. После этого времени, если произойдет обращение к сайту и обнаружится блокировка, то вносить домен в постоянный список.
Так можно почти однозначно определить блокировку, исключив перегрузки и пр., а также быстрее открывать заблокированные сайт.

С обходом не понять есть ли блокировка или ее нет. А без обхода это носит вероятностный характер.
То ли блокировка, то ли проблемы на сервере. Поэтому и используется такая модель, чтобы юзер долбился. Несколько попыток подряд проблема - считаем, что блокировка.
Единственный вариант, когда можно сразу с 1 попытки что-то сказать уверенно, это http redirect. Зависание и RST могут легко и самим сервером генериться

Можно, конечно, пробовать через раз обход/без обхода, чтобы набрать какую-то статистику работает ли обход. Но во время набора статистики будет хаос для клиента. То пашет, то не пашет

Обход включается после обнаружения блокировки. После нескольких секунд выключается (за это время может быть несколько успешных обращений к сайту)
Если получается, что сначала недоступно, с обходом доступно, а без снова не работает, то это наверняка блокировка.
А что если сайт упал? Пользователь ломится, а он все не открывается. И с существующуей логикой zapret должен добавлять сайт лишь в том случае, когда после обхода сайт открылся. А так можно сэкономить время.

Зачем собственно этот список нужен. Не проще ли без него вообще ?
Он сделан, потому что обход сайты может ломать. Есть такие стратегии, которые ломают большое количество сайтов, и с ними без ограничителя плохо будет.
Если сайт ломающийся, то после первого сбоя ваш алгоритм его еще сильнее прижмет и заставит не работать дольше.
Кроме того, распознавание сломанных сайтов и блокировок различно, тк ответы разные получаются. Сломанный сайт распознать намного сложнее

Имеется ввиду случай, когда произошел обычный сбой, включился обход и произошел еще один сбой, но уже из-за нестабильного метода? Вероятность этого достаточно маленькая. Но даже если, это просто добавит одну лишнюю перезагрузку страницы.
Ах да, поломка может быть сложно обнаруживаемая, тогда сайт будет сломан некоторое время, но все же, блокировка обнаружится (этот список может быть потом полезен для других методов), рабочий сайт и так не попадет в список.

Если сайт ломающийся, то вероятность этого равна вероятности произойти обычному сбою.
У меня autolist гоняется с дебаг логом. Каждый день много такого :

16.07.2024 18:28:27 : widget.svk-native.ru : tcp retrans threshold reached
16.07.2024 18:28:27 : widget.svk-native.ru : fail counter 1/3
16.07.2024 22:00:10 : contile.services.mozilla.com : tcp retrans threshold reached
16.07.2024 22:00:10 : contile.services.mozilla.com : fail counter 1/3
16.07.2024 22:00:38 : versioncheck-bg.addons.mozilla.org : tcp retrans threshold reached
16.07.2024 22:00:38 : versioncheck-bg.addons.mozilla.org : fail counter 1/3
16.07.2024 22:36:53 : connectivitycheck.gstatic.com : tcp retrans threshold reached
16.07.2024 22:36:53 : connectivitycheck.gstatic.com : fail counter 1/3

там и мейл ру, и яндекс попадают. все, вообщем, известные нагруженные сайты время от времени сбоят. сюда можно еще добавить плохой конект по сотовой сети.

Если стратегия сильно ломающая, то проблемы будут
Даже если не сильно ломающая, и сломается какой-нибудь сбербанк, без которого никак
Таймауты обычно броузеры сами разруливают. фокс 2 раза пытается, хроме не меньше 3.
Но если там прилетит код 409 или SSL alert, то будет ругань и останов

Возможно задам глупый вопрос. Но поддерживает ли dvtws расшифровку quic clienthello и реассемблинг kyber?

Поддерживает

packet: id=0 len=1278 outbound IPv6=1 IPChecksum=1 TCPChecksum=1 UDPChecksum=0 IfIdx=5.0
IP6: xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx => 2a00:1450:4010:c0e::5e proto=udp ttl=64 sport=59280 dport=443
UDP: C7 00 00 00 01 08 0F E0 FA E2 ED 14 26 CE 00 00 44 BC 1B EC 83 5E 40 C6 11 70 26 41 00 E4 E2 4F ... : ............&...D....^@..p&A...O ...
packet contains QUIC initial
packet contains partial TLS ClientHello
starting reassemble. now we have 1195/16384
DELAY desync until reasm is complete (#1)
packet: id=14 drop
packet: id=15 len=1278 outbound IPv6=1 IPChecksum=1 TCPChecksum=1 UDPChecksum=0 IfIdx=5.0
IP6: xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx => 2a00:1450:4010:c0e::5e proto=udp ttl=64 sport=59280 dport=443
UDP: C3 00 00 00 01 08 0F E0 FA E2 ED 14 26 CE 00 00 44 BC 4B B1 F4 B0 CE 4B BA 57 AC 0C FE 4C B3 12 ... : ............&...D.K....K.W...L.. ...
packet contains QUIC initial
reassemble : feeding data payload size=1195. now we have 2390/16384
packet contains full TLS ClientHello
DELAY desync until reasm is complete (#2)
REPLAYING delayed packet #1 offset 0
REPLAY IP6: xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx => 2a00:1450:4010:c0e::5e proto=udp ttl=64 sport=59280 dport=443
UDP: C7 00 00 00 01 08 0F E0 FA E2 ED 14 26 CE 00 00 44 BC 1B EC 83 5E 40 C6 11 70 26 41 00 E4 E2 4F ... : ............&...D....^@..p&A...O ...
packet contains QUIC initial
packet contains full TLS ClientHello
hostname: update.googleapis.com
dpi desync src=[xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx]:59280 dst=[2a00:1450:4010:c0e::5e]:443
sending fake request : 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ... : @............................... ...
reinjecting original packet. len=1278 len_payload=1230
DROPPING delayed packet #1
REPLAYING delayed packet #2 offset 1230
REPLAY IP6: xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx => 2a00:1450:4010:c0e::5e proto=udp ttl=64 sport=59280 dport=443
UDP: C3 00 00 00 01 08 0F E0 FA E2 ED 14 26 CE 00 00 44 BC 4B B1 F4 B0 CE 4B BA 57 AC 0C FE 4C B3 12 ... : ............&...D.K....K.W...L.. ...
SENDING delayed packet #2 unmodified
reassemble session finished
packet: id=15 drop

Действительно, работает. Спасибо

Здравствуйте! Помогите настроить zapret на openwrt с nftables для обхода замедления ютуб. Установил его с помощью install_easy:

• firewall type : nftables
• ipv6 support: No
• MODE : nfqws
• NFQWS_OPT_DESYNC=“–dpi-desync=split2 --dpi-desync-split-pos=1” (остальные пустые)
• http suppport: No
• https support: Yes
• quic: No
• filtering : hostlist
• flow offloading : donttouch

Чтобы проверять отключил службу и запускаю вручную с --debug=1 но в выводе ничего нет, и я так понимаю что у меня вся проблема в том что роутер с openwrt используется в качестве точки доступа и подключен одним проводом в LAN порт, а в nftables в таблице zapret wanif и lanif - оба br-lan. По факту так и есть, и вход и выход в br-lan, но так не работает. Пробовал сносить все правила и добавлять все тоже самое но с lan - phy1-ap0(wifi) и wan eth0 - все равно в дебаге ничего нет. Подскажите, пожалуйста, что можно сделать?

Точка доступа - обычно это bridge. L2 соединение, а не L3.
iptables/nftables для zapret работают на уровне L3. Они не могут работать с bridge.
Чтобы они заработали, надо сделать routed конфигурацию (L3).
Сделайте отдельный bridge для wifi, если несколько SSID, иначе не надо делать.
Отдельный интерфейс для WAN. Настройте между ними маршрутизацию по IP.
На шлюзе тоже придется прописать статический маршрут до подсети wifi.

Например
inet - GW (192.168.1.1/24) - AP (192.168.1.2/24, 192.168.2.1/24)
На GW прописываем статик роуте 192.168.2.0/24 со шлюзом AP 192.168.1.2
Если надо , чтобы клиенты из 192.168.1.1/24 могли работать с wifi клиентами , можно использовать dhcp options с route

config dhcp 'lan'
  option interface 'lan'
  ....
  list dhcp_option '121,192.168.2.0/24,192.168.1.2'
  list dhcp_option '249,192.168.2.0/24,192.168.1.2'

Для упрощения или если на GW доступа нет можно использовать NAT. Но это не лучший варик.

Если надо ipv6 - с этим чуть посложнее. Зависит от того, как раздаются ip адреса - slaac или dhcpv6.
Если slaac, то надо, чтобы оба роутера выдавали в сеть router advertisement. точка доступа - только на свою подсеть без default route. С odhcpd это может не получиться. Может потребоваться использовать radvd. windows клиенты это подхватят, а в linux потребуется на каждом клиенте делать еще sysctl : sysctl -w net.ipv6.conf.$IFACE.accept_ra_rt_info_max_plen=64

У меня именно такая конфигурация дома, так что если что - пишите в личку, вопрос это не по теме zapret

Или если по уму - надо ставить запрет на сам GW. Если есть такая возможность. Тогда и выкрутасов не понадобится

Понял, спасибо, ipv6 не нужен, буду пробовать как то на l3 переделать.

Не получилось у меня установить запрет на flint ax1800. Выдает ошибку: * opkg_install_cmd: Cannot install package iptables-mod-nfqueue.
could not install prerequisites
Попробовал добавить несколько репозиториев, но в поиске все равно не появляется “iptables-mod-nfqueue.”

В toh openwrt нет такого устройства.
Чьи-то само-собиралки ? В самопалах часто отсутствует репозитории, модули ядра, так что неудивительно. К тому же явно какая-то старая версия, раз iptables используются.
Где-то найденный файлик на форумах. Репозитории могли давно протухнуть.
Или это вообще не openwrt, а мерлин какой-нибудь ?
Или даже отсебятина от производителя пре-инсталлед ? Тогда там наверняка все протухло

Это не совсем чистый openwrt, да.
Но может этот пакет
с iptables тут такая ситуация. Не знаю может я просто не нашел правильный репозиторий где есть пакет iptables-mod-nfqueue.

image1273×787 45.5 KB

Накатывать левые репозитории на систему = почти наверняка ее портить
Если даже каким-то чудом оно встанет, то оно никак не компенсирует отсутствие совместимых модулей ядра. Если их нет, это все

Да это продукция китайской фирмы GL-inet. У них OpenWRT из коробки идёт.
А коли ручки китайцев взялись, то на выходе получаем - Г.

У них явно magic у модулей ядра не совпадает с официальными релизными сборками OpenWRT.
А в из офф репозитория нету способа собрать прошивку для устройств на чипах qcom ipq6000.

Вот так всё плохо. Проще поменять роутер.

Можно похимичить с tpws в ручном режиме без скриптов.
Он ничего дополнительного не требует
Для ютубе точно хватит

blockcheck.sh поддерживает ли тест не заблокированных, но замедляемых доменов вроде googlevideo?
Пытался на линуксе протестить rr2---sn-hgn7rn7r.googlevideo.com, говорит доступно без байпаса и на этом останавливается, но замедление вроде есть.

rr2---sn-q4fl6nss.googlevideo.com начал тестировать, но там почему-то с таймаута началось. Видимо поэтому и начал, т.к. первичную проверку доступности не прошёл.

iptables, IPv4, http N, остальное дефолт

Не поддерживает

А можно ли принудительно заставить bloсkcheck.sh подбирать параметры для домена, если домен доступен?

Да, режим force при выборе quick/standard/force.
Но это не поможет протестировать замедление

А нужно ли поднимать два процесса под tcp и udp отдельно или можно обойтись одним?

Зависит от стратегии. Если они сочетаемы - да, иначе - нет
–dpi-desync=split2
–dpi-desync=fake

сочесть нельзя без дополнительных параметров, ограничивающих fake на tcp. и это не должен быть TTL
можно так сделать : winws --wf-tcp=443 --wf-udp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=badsum
на *nix перенаправить udp 443 и tcp 443 на одну очередь/divert port
но этот пример каксается только замедления ютуба без обхода блокировок

в целом multi-instance это нормальное явление в zapret. так и задумано

23 posts were split to a new topic: Подписи драйверов Windows 7 x64

Приветствую! Подскажите, если я запускаю zapret с дебагом и вижу что он обрабатывает пакеты - значить обход должен работать? Я его поставил ради Ютуба на ТВ, вижу что он вроде бы работает но поведение на ТВ какое-то странное, то играет видео в любом качестве, то другое видео уже не играет. Но самое частое: включаешь видео и через ± две минуты останавливается и приходится перезапускать проигрывание возвращаясь назад и включать по новой. Иногда можно качество поменьше выбрать и заиграет снова, но чаще это не помогает. zapret поднят на роутере с опенврт. Опенврт был настроен точкой доступа(кабель с инетом включен в lan, lan в бридже с wifi, dhcp отключен). Добавил второй бридж с другим wifi и с другой адресацией и dhcp сервером, телек подключен к нему по wifi. Второй бридж ходит в инет через первый получается. Zapret пробовал и со split2 и disorder2, split-pos 1 и 2. Во всех сочетаниях вижу что запрет пакеты обрабатывает но Ютуб скорее не работает чем работает… Подскажите что можно покрутить или какие логи приложить чтобы прояснить ситуацию.

Тот факт, что пакеты поступают на nfqws, говорит лишь о том, что они туда поступают, и ни о чем больше.
Если стратегия не работает, то и обход не будет работать.
Необходимы curl тесты, которые приведены тут : Обход замедления youtube в России · bol-van/zapret · Discussion #200 · GitHub

А я думал что тспу везде один и тот же и детектит и замедляет Ютуб везде одинаково и стратегия должна работать что и у всех… Провел тесты curl’oм - замедления как будто нет вообще, файл скачивается всегда на около тарифной скорости. В лисе на ПК все ок, и с quic и без него, на андроид приложение тоже все ок. Проверял все без обходов, а вот на двух разных телевизорах lg с webos приложение Ютуб так толком и не работает со вчерашнего дня(

Хотел отредактировать сообщение, а сделал дубликат

собрал вот такого кадавра

winws --wf-l3=ipv4 --wf-tcp=80,443 --dpi-desync=fake,disorder2 --dpi-desync-ttl=9 --dpi-desync-fooling=datanoack --wf-udp=443

на первый взляд открывает тоже что и gbd и не ломает то что gbd не ломает(но надо больше тестить)
из положительного теперь нет разницы h3 или h2 на тытрубе по таймингам в f12 и буферу в стате0дмина
единственно напрягает (не помню как допустим месяцы назад было) что videoplayback?expire= в network f12 минимум половина красные (с gbd также) т.е. половину таки режут? или по 2+ разу надо фрагменты запрашивать чтоб норм.скорость была…

но и другие вопросы остались
-как нибудь без указаний стапицот портов автодетект в tcp можно сделать? для holavpn. или точно также как в gbd сначала найти а потом перечислить? а ограниченье какое?

поправка по прову. теперь (в отличьи от gbd) на удивление открывает без ошибки серта кабинет. но просто ОООоочень долго

Нельзя сочетать quic и TTL ! Если это и работает, то вам повезло, что роутер на 9 хопе не шлет icmp expired in transit

Можно запустить весь диапазон 1-65535, но редирект трафика - дорогое удовольствие
Может начать жраться CPU при upload-ах.
Лучше зафиксировать порты

ок
значит ещё и везение…
просто показалось сранным чтоб больше одного процесса запускать

а какой сайт из лоченых знаешь чтоб там точно quic работал?

ну чтоб если и делать отдельно так с минимумом ключей

понял что вчера я плохо тестил

quic внезависимости от ttl бажит на тытрубе

если fake выставлять он именно видеофрагменты в h1.1 грузит вместо h3 (поэтому и буфер хороший)

а все остальные split\disorder h3 не ломают но и не ускоряют

H3 это udp, а split и disorder не работают на udp пакеты. Посмотрите в readme список поддерживаемых стратегий для каждого протокола

кроме fake ничего там не вижу

а fake ломает сам h3

покрайней мере на тытрубе = замкнутый круг

ещё ipfrag2 нашёл
но тоже самое
udp пропадает для видео
лишь какието картинки и незначительная петушь по h3 идёт
т.е. не на 100% отрубается. но для видео напрочь нехочет

fake вряд ли может ломать куик
если он правильно работает
всякие кинетики как раз и ломают куик при попытке его фейкнуть

но конечно может дпи плохо среагировать на фейк и начать в середине сеанса дропать
тогда будут подвисания и фоллбэк на тцп

ипфраг режется гуглом он на ютубе не работает. но работат на клоудфларе. если конечно ваш домашний роутео или пров с нат фрагменты не обьединят

тест обхода куик на рутракер ннм кинозал они все на клауде

Ростелеком, такая же история - рутрекер, ннм и проч открываются, но видео контент ютуба грузится http/1.1. --dpi-desync=fake --dpi-desync-repeats=6

Не может ли быть такого, что РКН тупо собрал подсети cdn гугла и режет трафик именно по принадлежности ip адреса к подсети

Да, такое подозрение есть:

Подскажите как исправить проблему.
Запускаю блокчек, но на все тесты пишет:

seccomp: Invalid argument
seccomp: this can be safely ignored if kernel does not support seccomp

Прошивка openwrt, из последних релизов.
Соответственно, итогом блокчека не находит стратегии обхода, хотя GoodByeDPI у меня отлично работает.

если у вас новый полноценный опенврт, а не что то запущеное в контейнере, то секкомп ядро поддерживает
но даже если нет, то это просто предупреждение. на функционал не влияет
причина неработы в другом

он мог бы, но тогда бы он прирезал их остальные сервисы
там ип скачут. выделить отдельно туб непросто

Оу, не полноценный опенврт. Сборка на базе NSS и в сонфиге билда seccomp отключен.
Насколько это критично для работы запрета и блокчека?
Так же, роутер подключен по WAN порту к другому роутеру, который уже подключен к интернету, так можно?
Если всё ок, будет ли работать если роутер с openwrt будет переведен в режим моста?

А какой quic initial отправляется по умолчанию? iana?

И почему для quic достаточно указать fake без fooling?

Вполне возможно, что NAT на втором роутере (который подключен к провайдеру) может ломать дурение

GoodByeDPI работает нормально. Или NAT может ломать запрет, но не трогать конечные устройства?

Типичный NAT смотрит только порты в заголовке. Ломать может высокоуровневый корпоративный брандмауэр.

Идеально было бы настроить zapret на основном роутере, а openwrt переключить в свитч, но там rt-n56u с padavan на борту и я тупо не понимаю, что там и как настраивать, инструкция под openwrt проще. И поменять их не могу, расположение и задачи у них разные

отправляется quic short
0x40 0x00 0x00 …

нат разные бывают
нат от вируалок ломает почти все
линуховый нат ломает некоторые методы
еще роутеры кое что могут ломать. бадсум не пропускать

недавно узнал что с модулем ядра br_netfilter можно работать с ип нф таблес на мостах
возможно и запрет пойдет без дополнительного л3 роутинга

Доступен пакет kmod-br-netfilter. Это оно? Без дополнительного роутинга - это просто переткнуть основной роутер в LAN и отключить DHCP?
Скорее всего проблема в моих нулевых знаниях OpenWrt и есть просто способ объединить сети двух роутеров через WAN. Мне всего-то нужен доступ ко всем устройствам в обоих сетях

да это оно. обьдинить через лан
дхцп откл на опенврт
на опенврт задать статик ип вне диапазона дхцп чтобы доступ не потерять без другого рутера

Збс, спасибо. Будем попробовать.
Получилось настроить сам запрет и всё отлично, но есть нюанс.
В хроме ютуб работает богически, протогол h3, изредка проглядывает h1.1
Огнелис мертв совсем, там h2 и h1.1 попеременно и ничего не грузит, пакеты теряются с ns_error_dom_bad_url
Телефон грузит хорошо, но с периодическими затупами.
Куда копать?
Настройки:

NFQWS_OPT_DESYNC=“–dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=badsum”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=fake --dpi-desync-ttl=3
NFQWS_OPT_DESYNC_HTTPS=”–dpi-desync=split2 --dpi-desync-split-pos=1"
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fooling=md5sig”

Провайдер прихвостень ЭР-телеком, dnscrypt обязательно
П.С. Спасибо за советы и саму прогу. С неё, конечно, ёжика родишь, пока настраиваешь, но работает магистрально.
П.П.С. В блокчек можно сразу несколько доменов закидывать? Если нет - функция нужная, ибо долго и проще штук 10 разных кинуть и забыть на пару часов, а потом текстовик изучить.

домены можно вводить через пробел в блокчеке

копать в исследование что происходит
ф12 и вирешарк + знания и голова
и эксперименты со стратегиями

таблетки волшебной нет на все случаи

Я например нашел настройки под GDI, можно ли как-то эти опции конвертировать в nfqs? Хотел конечно через blockcheck, но он у меня не работает под keenetic

можно но зачем ?
с компа прогнать блокчек
для роутера уменьшить ттл на 1 если он есть

Нашёл еденичные хосты GGC ютуба, к которым зависает TLS даже без SNI, пробивается только режимом syndata. Подскажите насколько он проблемный в режиме hostlist? Получается он поправляет все SYN-ы на 443 порт. На первый вгляд всё работает хорошо, но даже wireshark из-за этого пейлоада в конце, не может нормально отобразить флаги tcp.
UPD: К сожалению нашёл сайт который ломается этой стратегией.

синдата не работает с хостлистами

Я неверно сформулировал вопрос, я понимаю что не работает, имеется ввиду синдата как добавление к режиму хостилист. Но я уже понял, что вполне ломает некоторые сервисы. Нашёл сайт, нужный по работе, который даже при добавлении одного 0x00 в конец SYN, перестаёт реагировать на коннект.

фильтр по ип или ипсет
других вариантов не вижу

Хотелось бы узнать, а почему автор не советует использовать zapret на роутерах keenetic если он там работает и многие ставят? Или это относится только к определенным старым моделям устройств? Ютуб обходится, заблокированные сайты тоже, все дело в том что кинетик каким-то образом нарушает обход если включен квик?

там есть ряд проблем
используйте если хотите
автор лишь открещивается от любой поддержки этих устройств
все сами

Вопрос или идея может быть уже обсуждалась, но все же спрошу снова - возможна ли будующая реализация программы с применением разных правил для разных доменов? Дело в том, что провренные методы обхода не всегда работают для всех сайтов и иногда попадается варианты, где требуется более тонкая настройка для определенного домена, которая ломает или не срабатывает на остальных. Что-то из рода такого:
–dpi-desync=fake --domain-list=domainlist1.txt для domain1.com
–dpi-desync-disorder2 --domain-list=domainlist2.txt для domain2.txt
Все это для процесса nfwqs под linux’ом. Да и все конечно в одной строке, при одном запущенном zapret’е формат привел чисто как идею.
Или это можно реализовать через запуск нескольких процессов с разной очередью и правилами файервола? Сейчас приходится часть заворачивать в 6to4 туннель, для тех, которые имеют поддержку 6го протокола и АААА записи в ДНС, а 4ые в впн, по причинам разных методов обхода, которые не всегда четко срабатывают. И да, понимаю, что с автохостлистом сложности будут, но возможно тогда просто он будет отключен в новом режиме.

планирую это в ближаший месяц-два
сейчас только через подбор стоатегии класса общий знаменатель

Ко мне в конце недели придет роутер banana pi r4, сейчас самый лучший вариант для обхода dpi это zapret от болвана?

если интересует автономный обход, кроме запрета есть еще byedpi. и его можно прозрачно завернуть через redsocks или tun2socks
а других аналогичных решений под линух я и не знаю

Если я верно понял, программу можно установить запуская последовательно скрипты, а можно скомпиллировать из исходников. И я слышал, что эти варианты не равнозначны. А в чем разница?

есть готовые бинарики. собирать их на нетрадиционном линухе было бы мучением

есть скрипты установки и запуска. это один путь.
но можно их не использовать, а сделать все сасому. запускать бинарики и своими правилами редиректить трафик. это другой путь

А правила для Iptables нужны когда используется tpws или для nfqws они нужны тоже?

нужны для всего, кроме tpws socks mode

Если я возьму бинарик nfqws из x86_64, помещу его в произвольную директорию, добавлю в нее текстовый файл .txt со списком нужных доменов для опции --hostlist и запущу nfqws из командной строки, то этого будет достаточно? (+ правила Iptables + опции для “дурения”).

Опция --hostlist только с nfqws работает?

Да, достаточно запустить nfqws или tpws и настроить ip/nftables, чтобы тот направлял траффик в запрет

Хостлист есть и для tpws, чекай readme

Ув. @bolvan, в утилите tpws есть возможность применять пользовательский список типа ‘исключения’ (‘hostlist-exclude=’).
Есть ли возможность добавить опцию к этим спискам - не просто не применять ‘дурение’, а делать перенаправление на конкретный интерфейс?
Поясню, насколько могу судить, алгоритмы противодействия dpi полезны пока домен не попадет в блокировку по ip, поэтому бесполезно будет просто отправлять запрос из списка ‘исключений’ на произвол судьбы, а лучше отправить его в тунель vpn.
Да можно фильтровать не посредственно то что должно попасть в обработку к tpws, но предложенный мной вариант был бы полезен в некоторых ситуациях (например, когда проще настраивать списки по ip range - iptables перенаправят заросы по нему или в vpn тунель или в прокси - tpws, чем по конкретным ip адресам и может возникнуть ситуация, что какой то домен из ip range должен пойти в тунель vpn, а какой то домен, из того же ip range - лучше через ваш прокси).
Да это не функционал вашей утилиты, не для этого она предназначена, но это сильно упростит сосуществование с различными способами блокировки.

если что-то блочится по ip, с ним и надо разбираться по ip. а не по домену
заводим ипсет, по нему делаем марк, по марку выбор таблицы маршрутизации
и не нужны тут никакие юзер программы
все умеет ядро

а на уровне юзер прог итерфейсы не выбираются
xray умеет снифать хост из запроса и перенаправлять запрос на другой прокси
если сделать на локалхосте прокси, настроить на его uid правило на другую таблицу маршрутизации, то можно достигнуть желаемого

Для quic у меня работает (winws):

--wf-udp=443 --dpi-desync=fake

@bolvan какая стратегия параллельно к этому будет самой оптимальной для https?

// для всех заблокированных (использую сейчас)

--dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig

// либо для всех

--wf-tcp=80,443 --dpi-desync=syndata,disorder2 --dpi-desync-fake-syndata=tls_clienthello_iana_org.bin

// либо syndata для всех без YT и disorder2 отдельно для YT

--wf-tcp=80,443 --dpi-desync=syndata --dpi-desync-fake-syndata=tls_clienthello_iana_org.bin
--wf-tcp=80,443 --dpi-desync=disorder2

blockcheck нашел много рабочих стратегий, внутренний перфекционист не дает покоя.

ТСПУ обходится обычным fake с ттл до последнего провайдерского хопа (в данном случае имеются в виду все российские провайдеры на пути до последнего бордера магистрала). Если ттл не угадать, или он слишком длинный (например, криво настроенный cgnat), ТСПУ 100% ломает badseq. Т.е. --dpi-desync=fake --dpi-desync-fooling=badseq в большинстве случаев должен ломать тспу, а также дпи от vasexperts. Но может сломать и некоторые сайты не из списка, не все любят badseq. Замедление обходит split2, желательно поменять --dpi-desync-split-pos=1, т.к. с 2 по дефолту ютуб перестает выдавать список GGC кэшей и вы привязаны к провайдерским (причина этого пока не установлена, но выявлена на 3 провайдерах) Либо использовать disorder2, но он ломает некоторые не заблокированные сайты. В плане замедления ничего в тспу не менялось со времен замедления твиттера, как split2 это все обходил так и обходит. Если по каким-то причинам это не работает, нужно проверить адекватность выдоваемых вам днс ответов и что вы не находитель за каким-нибудь злым натом (типа мобильный интернет), и нужные вам сайты не забанены по ип вашим провайдером. Если провайдер вам гадит в трафик до такой степени, что вам приходится использовать какие-то лестницы из обхода блокировок - проще сменить провайдера, это никогда не будет работать хорошо без жестких списков исключений\включений.
TLDR
Если у вас тспу или скат, нужно начать с --dpi-desync=fake,disorder2 --dpi-desync-fooling=badseq и проверить ютуб, твиттер, рутрекер. Открылось, скорость норм? Убираем disorder2, добавляем split2 --dpi-desync-split-pos=1. Открылось, скорость норм? Убираем --dpi-desync-fooling=badseq, добавляем --dpi-desync-ttl=n --dpi-desync-fooling=md5sig, вместо n подбираем ттл, 4-5 обычно достаточно.
Я имел дело с тспу, с тройным тспу, с тспу+скат, из провайдеров ТТК, РТК, их клиенты. Вы себе этими конструкциями только хуже делаете, тспу обходится крайне просто.

Предполагаю, что вы отвечаете мне. У меня и обходится все просто, fake и md5sig для нужных сайтов, disorder2 для YT, и ttl подбирать не требуется.

Но почитал readme, там есть syndata, которая работает на этапе установки соединения и обходит у меня блокировку всех нужных сайтов кроме YT. Т.е. не нужно трогать/фейкать пакеты данных, все работает до их отправки. Разве это не лучший вариант? Плюс disorder2 или split2 пустить отдельно для YT.

syndata ломает сайты на DDOS guard точно, мб какие-то еще (у меня еще банковске приложение одно не прогружается с syndata). Как пример, попробуйте с syndata зайти на ixbt.com, он будет очень долго прогружать из-за анти-ддос защиты. А ограничить syndata по определенным доменам нельзя, т.к. она срабатывает раньше (в readme обозначено как 0 стадия).
На YT подкрутили фильтр ТСПУ пару дней назад буквально, там теперь просто fake лично у меня не срабатывает. Нужно еще например split2 докинуть.

Вот это смущает, конечно.

Только вот открывает все равно не все сайты, даже те что по айпи не забанены как,например, rutor.info(работает только по http) или torrentgalaxy.to. С остальными проблем нет, но все же будто чего-то не хватает. Хотя рутор в инкогнито открывает, а вот torrentgalaxy нет

может быть только порт 443 забанен на этом ip, поэтому по http все работает, а по https нет.
Проверьте curl с резрешенный доменом на адрес заблокированного сайта который по https не открывается, но работает по http

curl -v https://ya.ru --connect-to ::0.0.0.0 (ip заблоченного сайта)

Хотел попробовать обойтись без fake, не нашлось одинаковой стратегии для YT и остальных блокированных

Для блокированных работает:

--dpi-desync=disorder2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sni

Для YT:

--dpi-desync=disorder2 --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2

А запустить два winws с --wf-tcp=443 и разными стратегиями для разных блэклистов, естественно, нельзя.

Не удалось настроить работу youtube на тв самсунг (старый, 2015г).
Все устройства в сети работают (Windows, iOS, Android, Android TV и тп), но на тв самсунг - приложение открывается, доступный контент отображается корректно, но если начать воспроизводить - темный экран и бесконечная надпись ‘загрузка’.
При этом, если сделать перенаправление домена googlevideo.com в vpn тунель (остальные домены ютуба через zapret) - на тв начинает проигрывать ролики.
Т.е. проблема только с одним доменом и только со старыми тв самсунг.

Кому то удалось заставить работать на тв?
Проверял через прокси twps.

Запустите блокчек на заблокированный ресурс с параметром force и перебирайте все стратегии которые он выдаст, пока не найдете ту, которая и YT и сайты разблокирует

Так и делал. Без fake, т.е. только disorder2/split2, общей стратегии не нашлось.

Похоже, так оно и есть. Есть способ это обойти? У этого сайта нет http

curl -v https://torrentgalaxy.to --connect-to ::176.97.124.208

• Connecting to hostname: 176.97.124.208
• Trying 176.97.124.208:443…
• connect to 176.97.124.208 port 443 from 0.0.0.0 port 49600 failed: Timed out
• Failed to connect to 176.97.124.208 port 443 after 21055 ms: Couldn’t connect to server
• Closing connection
  curl: (28) Failed to connect to 176.97.124.208 port 443 after 21055 ms: Couldn’t connect to server

А вот сайт у которого только http, но он почему-то в основном профиле не открывается только через инкогнито

curl -v http://rutor.info --connect-to ::193.46.255.29

• Connecting to hostname: 193.46.255.29
• Trying 193.46.255.29:80…
• Connected to 193.46.255.29 (193.46.255.29) port 80
  GET / HTTP/1.1
  Host: rutor.info
  User-Agent: curl/8.8.0
  Accept: /
• Request completely sent off

Вам надо вызывать curl с НЕЗАБЛОКИРОВАННЫМ доменом на ip адресс заблокированного домена:

~ # curl -v https://ya.ru --connect-to ::176.97.124.208 --max-time 5

• Connection timed out after 5001 milliseconds
  curl: (28) Connection timed out after 5001 milliseconds

~ # curl -v https://ya.ru --connect-to ::193.46.255.29

• TLSv1.3 (OUT), TLS handshake, Client hello (1):
• TLSv1.3 (IN), TLS handshake, Server hello (2):
• TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
• TLSv1.3 (IN), TLS handshake, Certificate (11):
• TLSv1.3 (IN), TLS handshake, CERT verify (15):
• TLSv1.3 (IN), TLS handshake, Finished (20):
• TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
• TLSv1.3 (OUT), TLS handshake, Finished (20):
• SSL: no alternative certificate subject name matches target host name ‘ya.ru’
• TLSv1.3 (OUT), TLS alert, close notify (256):
  curl: (60) SSL: no alternative certificate subject name matches target host name ‘ya.ru’
  More details here: curl - SSL CA Certificates

Лично у меня torrentgalaxy заблокирован по ip, даже не пингуется. А rutor работает по http через zapret.

У вас всегда есть стратегия:

–dpi-desync=split2 --dpi-desync-split-seqovl=336 --dpi-desync-split-seqovl-pattern=/…/tls_clienthello_iana_org.bin

и еще стратегии с syndata и wssize.

Понял, я айпишник сайта внес в zapret-hosts-user-ipban но что-то все равно доступа нет.Этого недостаточно? Хотя на гитхабе запрета написано, что это не поможет если блок по ip, хотя файл для ipban есть

ipban это только хелпер для ведения ипсета
он ресолвит сам домены и пропускает ипшники и подсети как есть
но полиси роутинг на впн или редсокс на прокси это за вами

Добрый день! Подскажите, пожалуйста, что не так?
Запускаю с параметром --hostlist-auto=autohostlist.txt

winws.exe --wf-tcp=80,443 --dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --hostlist-auto=autohostlist.txt
В консоли сообщения
Loading hostlist autohostlist.txt
loading plain text list
Loaded 0 hosts from autohostlist.txt
windivert initialized. capture is started.

Недоступные сайты не грузятся, файл autohostlist.txt создается, но остается пустым.
Убираю --hostlist-auto=autohostlist.txt - все недоступные сайты прекрасно открываются

Прочитайте как работает autohostlist в readme. У вас в нем сейчас 0 сайтов. Чтобы они там появились надо или руками их туда записать или открывать заблокированные сайты несколько раз подряд за короткий промежуток времени.

Пытаюсь запустить скрипт blockcheck.sh под Windows 10:
Используя WSL установил Ubuntu и Debian
Клонировал репозиторий: git clone https://github.com/bol-van/zapret
Выполнил make -C "/home/andmail/zapret"

Выполнил ./install_bin.sh

Выполнил ./install_prereq.sh

Выполнил./blockcheck.sh

nftables v1.0.6 (Lester Gooch #5)
Подскажите, пожалуйста, что нужно для работы скрипта blockcheck.sh ?

Есть же набор для win:

zapret теоретически может заработать только под WSL2, который суть виртуалка с linux
но и там надо как-то сделать маршрутизацию, чтобы трафик шел через ядро linux
на WSL1 пойдет только tpws в режиме socks, не будут работать несколько опций - oob,mss,disorder
и придется отключить splice (–nosplice)
nfqws нет шансов
для этого есть нативная версия winws под винду

Спасибо. Все равно не могу понять, как это все работает. В readme

сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3)

Открываю десятки раз инстраграмм, рутрекер, рутор, кинозал. В итоге ни один из этих сайтов не открылся. В autohostlist добавились ютубовские домены, хотя ютуб-то как раз никто не открывал.

• clients3.google.com
• play-fe.googleapis.com
• yt3.ggpht.com

А у вас сайты просто по ip не забанены? Прочитайте в каких случаях автохостлист срабатывает

Неа, все пингуется. blockcheck выдал DNS подменяется, но провайдер не перехватывает обращения к сторонним DNS, поменяйте DNS на публичный. Сейчас стоит гугловский 8.8.8.8
Заблокированные сайты с параметром --hostlist-auto отваливаются по таймауту с сообщением о невозможности загрузить страницу. Без --hostlist-auto те же сайты прекрасно открываются с запущенным zapret. Ладно, видно не судьба в авторежиме список вести, буду вручную добавлять.

Небольшой отчет о проделанной работе. Хотел попробовать zapret. Решил установить Linux на флешку и его туда - типа как печочница В общем все установил, нифига не сработало, вынул флешку - оказалось я сломал компуктер и система теперь не запускается. То автоматом в BIOS, то черный экран с предложением установить загрузочный девайс. Так что я теперь тоже хакер. Но есть ньюанс. Хакеры ломают чужие системы, а я свою.

Дополнение
Вопрос. Сколько по времени занимает проверка блокчеком и стоит ли для проверки Рутрекер заменить на googlevideo?

Для песочницы используйте virtualbox (free), hyper-v (win10 pro), или vmware workstation (shareware). На торрентах есть даже готовые образы уже установленных linux дистрибутивов, для совсем ленивых.

Минут 20

Нет, не стоит. Block checker не определит замедление ресурса.

здесь важно предостеречь от использования нат на виртуалках. все поломает

сам googlevideo не предназначен для обращения. будет ошибка сертификата везде

у автолиста есть дебаг режим
лог файл что и почему он делает

NAT внутри одной подсети ничего не ломает. И разницы виртуалка/не виртуалка нет никакой.

Да, вот выше этот файл logfile.txt под спойлером Zapret: обсуждение - #211 by TesterTi
Там ютубовские хосты, которые не открывались. А сайтов, которые открывались десятки раз (к примеру, рутрекер, инстаграмм), там нет почему-то. И в итоге в автохостлист попали

• clients3.google.com
• play-fe.googleapis.com
• yt3.ggpht.com

Магия, в общем )

гипервизорный нат это не линух нат и не провайдерский. он ломает большинство методов
виртуалку только в бридж

А я про линуксовый NAT на самой виртуалке. Ни разу не тестил NAT от гипервизоров.

надо смотреть лог nfqws --debug
возможно блокировка идет не сразу
и метод детектирования не срабатывает

Спасибо. А на windows это сработает? Я запускаю через winws.exe

сработает
лучше запускать с cygwin prompt, чтобы был | tee

Всем привет! Пару дней назад поставил себе на роутер Zapret, доволен был до того момента, пока инет не стал пропадать. В одном из Telegram-чатов мне сказали, что дело скорее всего в том что Zapret имеет много утечек памяти. Я пробовал отключать Zapret и инет не пропадал. Возможно это совпадение, а может и нет.

На кинетик ставили? Если да, то из-за особенностей NDM там есть утечка памяти при использовании запрета. При чисто v4 проблема заметна не сильно, при v4+v6 может меньше чем за сутки забить ОЗУ в роутере

если кинетик, то я его не поддерживаю
и судя по всему там течет патченое ядро, а не zapret
всем, кто может, рекомендую слезать со стока на openwrt

Да, Keenetic. Интернет IPv4, но отключений больше не было. Думаю что провайдер (РТО-Дон) менял ТСПУ.

Понял, приму к сведению.

добрый вечер перестали работать конфигурационные файлы варп впн сама программа подключается варп а вот файл конфига не подключается все остальные впны работают включенным запретом

подробности. как запущен zapret, с какими параметрами
какой протокол VPN (wireguard ?), конфиг wireguard (без индивидуальных приватных ключей, если такие есть)

для WG есть только вариант fake. иногда надо делать repeats >=6, иногда >=12
ipfrag2 помочь может только со своими серверами
на ТСПУ могут включать stateless режим для некоторых известных диапазонов IP, чтобы сделать фейки нерабочими.

Ну допустим, у меня вчера включили stateless . Как с ним бороться Дo вчерашнего дня… Всё работало

. И Что странно. Только warp . Конфигураторы . Не работают. Сама программа 1.1.1.1 WARP работает

Мало что понятно из такого обьяснения. Я не знаю что такое конфигураторы.
Мне надо знать какой VPN протокол используется и на какие IP адреса нацелен, а так же как настроен zapret для противодействия предполагаемой проблеме

Interface]
PrivateKey = удалено
Address = 172.16.0.2/32, fd01:5ca1:ab1e:8c88:472d:77ce:3f:8a48/128
DNS = 1.1.1.1

[Peer]
PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 162.159.193.5:500
Протокол wireguard Провайдер . Таттелеком

override ports

#HTTP_PORTS=1-65535
HTTPS_PORTS=83-65535
QUIC_PORTS=21,83-65535

CHOOSE OPERATION MODE

MODE : nfqws,tpws,tpws-socks,filter,custom

nfqws : nfqws for dpi desync

tpws : tpws transparent mode

tpws-socks : tpws socks mode

filter : no daemon, just create ipset or download hostlist

custom : custom mode. should modify custom init script and add your own code

MODE=custom

apply fooling to http

MODE_HTTP=1

for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet

MODE_HTTP_KEEPALIVE=1

apply fooling to https

MODE_HTTPS=1

apply fooling to quic

MODE_QUIC=1

none,ipset,hostlist

MODE_FILTER=none

CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run “nfq/nfqws --help” for option list

DESYNC_MARK=0x40000000
#NFQWS_OPT_DESYNC=“–dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=fake,disorder --dpi-desync-ttl=9 --dpi-desync-fake-http=0x00000000”
NFQWS_OPT_DESYNC_HTTPS=“–dpi-desync=fake,disorder2 --dpi-desync-ttl=9 --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=6 --dpi-desync-fooling=md5sig,badsum”
#NFQWS_OPT_DESYNC_HTTP6=“–dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none”
#NFQWS_OPT_DESYNC_HTTPS6=“–dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig --dpi-desync-any-protocol=1 --dpi-desync-cutoff=d2”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig --dpi-desync-any-protocol=1 --dpi-desync-cutoff=d2 --dpi-desync-repeats=6”
#NFQWS_OPT_DESYNC_QUIC6=“–dpi-desync=hopbyhop”

this custom script in addition to MODE=nfqws runs desync to all QUIC initial packets, without ipset/hostlist filtering

need to add to config : NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake”

NOTE : do not use TTL fooling. chromium QUIC engine breaks sessions if TTL expired in transit received

QNUM2=$(($QNUM+10))

zapret_custom_daemons()
{
# $1 - 1 - run, 0 - stop

local MODE_OVERRIDE=nfqws
local opt

zapret_do_daemons $1

opt="--qnum=$QNUM2 $NFQWS_OPT_BASE $NFQWS_OPT_DESYNC_QUIC"
do_nfqws $1 100 "$opt"

}
zapret_custom_firewall_nft()
{
# stop logic is not required

local MODE_OVERRIDE=nfqws
local f
local first_packets_only="$nft_connbytes 1-3"
local desync="mark and $DESYNC_MARK == 0"

zapret_apply_firewall_rules_nft

f="udp dport {$QUIC_PORTS}"
nft_fw_nfqws_post "$f $desync $first_packets_only" "$f $desync $first_packets_only" $QNUM2

}
zapret_custom_firewall()
{
# $1 - 1 - run, 0 - stop

    local MODE_OVERRIDE=nfqws
    local f
    local first_packets_only="-m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:3"
    local desync="-m mark ! --mark $DESYNC_MARK/$DESYNC_MARK"

    zapret_do_firewall_rules_ipt $1

    f="-p udp --dport 443"
    fw_nfqws_post $1 "$f $desync $first_packets_only" "$f $desync $first_packets_only" $QNUM2
    
    # fix NDM kernel masquerade for nfqws
    ipta_add_del $1 _NDM_MASQ -t nat -o ovpn_br5 -j MASQUERADE
    ipta_add_del $1 _NDM_MASQ -t nat -o ppp0 -j MASQUERADE
    ipta_add_del $1 _NDM_MASQ -t nat -o ovpn_br6 -j MASQUERADE
    ipta_add_del $1 _NDM_MASQ -t nat -o apcli0 -j MASQUERADE

}

Похоже вы на кинетике пытаетесь запустить? В кинетике нет и не было nftables. Зачем вам маскарад не на ван интерфейсах? Кинетик не поддерживается автором, плюс имеет проблему с udp. Зачем disorder2 в “NFQWS_OPT_DESYNC_QUIC”? Посмотрите список стратегий для tcp и udp.

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig --dpi-desync-any-protocol=1 --dpi-desync-cutoff=d2 --dpi-desync-repeats=6”

вот тут все, кроме fake и repeats не нужно. nfqws может распознавать wireguard handshake, ему не нужно any protocol. остальные параметры относятся только к tcp и никак не влияют на udp

custom был содран с какого-то старого поста видимо.
сейчас QUIC уже давно забит в основные скрипты и использует QNUM 210
повторный запуск из custom с QNUM 210 не сработает, потому что основная часть уже запустит nfqws на этой очереди
правило перенаправления на udp 443 так же дублиует основное правило QUIC_PORTS=21,83-65535

непонятно зачем задан такой широкий диапазон портов QUIC и HTTPS. лучше фиксировать порты и не заставлять бедный nfqws и слабенький роутер процессить всякие торенты

этот кадавр как-то работал только потому, что в итоге порт wireguard перенаправлялся на инстанс nfqws, отвечающий за quic, и в нем была стратегия fake с repeats

видимо она перестала работать

и да. 162.159.193.5 относится к cloudflare, и именно там я замечал включение stateless на части диапазонов

ipfrag2 возможно помог бы. cloudflare его не режет. но его невозможно запустить на iptables для проходящего трафика. требуются nftables. следовательно кинетик на отдых

конфиг wg проверил на моем провайдере. просто так не работает, одиночный fake пробивает блок, stateless не наблюдаю. но не факт, что на некоторых других тспу его не включили

Можно ли прошить. . Этот роутер. На openwrt Или он не поддаётся. Перепрошивки

https://openwrt.org/toh/start
вот тут вбиваем model keenetic и проверяем по названию и ревизии

тут обсуждают у многих отвалилось

А на Windows. Он сработает

большая вероятность, что NAT подрежет или обьединит фрагменты.
ipfrag может потребовать внешнего IP на устройстве с zapret
вообще эта техника только для точечного пробива отдельных ресурсов и работает лишь иногда, а не как правило

можно попробовать прогнать блокчек на QUIC на rutracker.org
если ipfrag срабатывает, то шансы есть

Кто-нибудь сталкивался:
Zapret на компьютере и android tv - работает идеально.
На телефонах, планшетах - при старте каждого видео задержка 5-10 сек.
После того как видео уже запустилось, перематывается хорошо, без подгрузок

Zapret установлен на роутере (OpenWrt),
конфиг NFQWS_OPT_DESYNC=“–dpi-desync=fake,split2 --dpi-desync-ttl=2”

blockcheck показывает

preparing winws redirection

• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=fake
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=fake --dpi-desync-repeats=2
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=fake --dpi-desync-repeats=5
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=fake --dpi-desync-repeats=10
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=fake --dpi-desync-repeats=20
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=8
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=16
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=24
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=32
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=40
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-udp=443 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=64
  !!! AVAILABLE !!!

но winws открывает только сайт рутрекер на протоколы он не действует даже с теми стратегиями которые стоят в роутере

winws и nfqws на роутере мешать нельзя, они будут друг другу мешать

я отключал в роутере запрет Я запускал на Windows

не только рутракер. nnmclub, kinozal. те, что на cloudflare.
там не блокируют ip фрагменты udp
но вообще это неплохая новость, значит дурение с ipfrag помогает
да и fake тоже помогает. fake гораздо более живуч, чем ipfrag.
можно попробовать его напустить на wireguard на порт 500
лучше в командной строке с --debug, чтобы смотреть действительно ли идет дурение wireguard handshake

А как правильно. Запустить . Командной строке

точно так же, только порт заменить с 443 на 500
и --debug для проверки

А нет ли случайно сего чудного решения в формате докер образа? Хочется попробовать на некротик припарковать

Не будет работать. Там отдельный network namespace, ограниченные права и нехватка модулей ядра
Эта тема предназначена только для запуска сервисных приложений, но никак не для рулежки сетевой подсистемой

Окей, приниматся, под капотом некротики действительно странные. А если парковать на какую-нибудь малинку? А в контейнер положить WG сервер, который и будет входным интерфейсом для всего, что туда заворачивается?

Мне кажется смысла нет.
zapret разрабатывался изначально исходя из абсолютного минимума зависимостей.
Он работает на сильно обрезаных прошивках, так что к userland окружению совершенно нетребователен.
А вот к модулям ядра требователен, и их не подтянешь докером.
Традиционный linux обычно расчитан на загрузку модулей по мере надобности. Сами команды типа iptables, nftables их загружают. Что будет в контейнере, где эти команды не увидят модулей от основного ядра ? Наверно, придется их искусственно загружать перед запуском контейнера.
Но там же еще есть выбор iptables, nftables, и модули нужны разные. Все что ли загружать ? iptables есть еще nft и legacy. Старое ядро не потянет новые nftables даже если я положу nft в контейнер.

Звучит разумно. Жаль. Хотелось решение в формате “чёрного ящика”, не конфликтющего с уже навешанными правилами iptables и прочими накрученными чудесами в системе.

Черный ящик - это виртуалка. Требования к ней самые минимальные.
Но настраивать все равно придется

Тоже самое можно сделать и на паравиртуализации
network namespace это как отдельный хост
но придется руками разбираться с модулями ядра и настраивать мосты с хостом
Впрочем, на виртуалке тоже придется настраивать интерфейсы как-то

Почитал я readme.txt, поматерился, но так и не понял: как же сделать исключение для сайта? Любая фильтрация работает странно, но вкратце autohostlist работал, hostlist работал с добавленным сайтом, но сейчас пробуя то же — не получается. Ключ none для фильтрации срабатывает против замедления, но ломает сайт. Поделитесь, как вы делаете исключения?!

вот что происходит пакеты дропаются

winws.exe --wf-l3=ipv4 --wf-udp=2408 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=8 --debug
windivert filter size: 420
windivert filter:
!impostor and !loopback and ip and
((outbound and ((udp.DstPort == 2408)) and ((ip.DstAddr < 127.0.0.1 or ip.DstAddr > 127.255.255.255) and (ip.DstAddr < 10.0.0.0 or ip.DstAddr > 10.255.255.255) and (ip.DstAddr < 192.168.0.0 or ip.DstAddr > 192.168.255.255) and (ip.DstAddr < 172.16.0.0 or ip.DstAddr > 172.31.255.255) and (ip.DstAddr < 169.254.0.0 or ip.DstAddr > 169.254.255.255)))
or
(inbound and tcp and false))
initializing conntrack with timeouts tcp=60:300:60 udp=60
windivert initialized. capture is started.
packet: id=0 len=176 outbound IPv6=0 IPChecksum=1 TCPChecksum=1 UDPChecksum=1 IfIdx=19.0
IP4: 192.168.40.35 => 162.159.193.5 proto=udp ttl=128 sport=50682 dport=2408
UDP: 01 00 00 00 23 58 84 D1 F0 5B 80 F0 3D E0 F2 42 18 6F E4 EE FE A6 15 2A FE B1 EE BF 8B 2B 3C EF … : …#X…[…=…B.o……+<. …
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:50682 dst=162.159.193.5:2408
sending 1st ip fragment 0-7 ip_payload_len=8 : 45 00 00 1C 6D C1 20 00 80 11 60 9F C0 A8 28 23 A2 9F C1 05 C5 FA 09 68 00 9C 94 3B : E…m. …`…(#…h…;
sending 2nd ip fragment 8-155 ip_payload_len=148 : 45 00 00 A8 6D C1 00 01 80 11 80 12 C0 A8 28 23 A2 9F C1 05 01 00 00 00 23 58 84 D1 F0 5B 80 F0 3D E0 F2 42 18 6F E4 EE FE A6 15 2A FE B1 EE BF 8B 2B 3C EF A2 8A FD 00 17 96 EF 1F D3 B7 B0 1E 02 EF D8 A4 65 F2 33 DB 8E 6B DD 38 F4 19 12 3F … : E…m…(#…#X…[…=…B.o……+<…e.3…k.8…? …
packet: id=0 drop
packet: id=1 len=176 outbound IPv6=0 IPChecksum=1 TCPChecksum=1 UDPChecksum=1 IfIdx=19.0
IP4: 192.168.40.35 => 162.159.193.5 proto=udp ttl=128 sport=50682 dport=2408
UDP: 01 00 00 00 69 D8 AB 6A 2C F8 6C 59 CC B2 32 10 EA 4C 29 AC 47 D9 17 81 DC 4A C3 23 8B 1F DF D2 … : …i…j,.lY…2…L).G…J.#… …
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:50682 dst=162.159.193.5:2408
sending 1st ip fragment 0-7 ip_payload_len=8 : 45 00 00 1C 6D C2 20 00 80 11 60 9E C0 A8 28 23 A2 9F C1 05 C5 FA 09 68 00 9C 17 EC : E…m. …`…(#…h…
sending 2nd ip fragment 8-155 ip_payload_len=148 : 45 00 00 A8 6D C2 00 01 80 11 80 11 C0 A8 28 23 A2 9F C1 05 01 00 00 00 69 D8 AB 6A 2C F8 6C 59 CC B2 32 10 EA 4C 29 AC 47 D9 17 81 DC 4A C3 23 8B 1F DF D2 64 01 58 EA 71 DD AF 1F 63 98 48 D9 FE 51 06 43 38 96 47 D1 F4 1E B9 84 C8 A5 0A 61 … : E…m…(#…i…j,.lY…2…L).G…J.#…d.X.q…c.H…Q.C8.G…a …
packet: id=1 drop
packet: id=2 len=176 outbound IPv6=0 IPChecksum=1 TCPChecksum=1 UDPChecksum=1 IfIdx=19.0
IP4: 192.168.40.35 => 162.159.193.5 proto=udp ttl=128 sport=50682 dport=2408
UDP: 01 00 00 00 AB E3 F5 3A 45 EB E8 6E 2E 3A D8 93 2E DD 88 4A 6E E0 1E EC 7B E2 19 A7 AF D1 62 D1 … : …:E…n.:…Jn…{…b. …
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:50682 dst=162.159.193.5:2408
sending 1st ip fragment 0-7 ip_payload_len=8 : 45 00 00 1C 6D C3 20 00 80 11 60 9D C0 A8 28 23 A2 9F C1 05 C5 FA 09 68 00 9C 1F BF : E…m. …`…(#…h…
sending 2nd ip fragment 8-155 ip_payload_len=148 : 45 00 00 A8 6D C3 00 01 80 11 80 10 C0 A8 28 23 A2 9F C1 05 01 00 00 00 AB E3 F5 3A 45 EB E8 6E 2E 3A D8 93 2E DD 88 4A 6E E0 1E EC 7B E2 19 A7 AF D1 62 D1 DE 08 3D EA 6A 41 63 47 CE B2 CE 13 B8 95 60 60 A2 C9 A9 79 DA C5 E2 AE 24 E5 40 AB … : E…m…(#…:E…n.:…Jn…{…b…=.jAcG…``…y…$.@. …
packet: id=2 drop
packet: id=3 len=176 outbound IPv6=0 IPChecksum=1 TCPChecksum=1 UDPChecksum=1 IfIdx=19.0
IP4: 192.168.40.35 => 162.159.193.5 proto=udp ttl=128 sport=50682 dport=2408
UDP: 01 00 00 00 02 25 CA 25 25 B4 41 77 CB B6 F5 60 08 3A FC 83 E7 39 BC B7 EA C3 E0 CA 25 CC CA 91 … : …%.%%.Aw…`.:…9…%… …
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:50682 dst=162.159.193.5:2408
sending 1st ip fragment 0-7 ip_payload_len=8 : 45 00 00 1C 6D C4 20 00 80 11 60 9C C0 A8 28 23 A2 9F C1 05 C5 FA 09 68 00 9C 12 33 : E…m. …`…(#…h…3
sending 2nd ip fragment 8-155 ip_payload_len=148 : 45 00 00 A8 6D C4 00 01 80 11 80 0F C0 A8 28 23 A2 9F C1 05 01 00 00 00 02 25 CA 25 25 B4 41 77 CB B6 F5 60 08 3A FC 83 E7 39 BC B7 EA C3 E0 CA 25 CC CA 91 FD 86 EF FF 99 52 00 7F 49 FA 89 3E 16 5E CD F2 95 5F 1D F3 49 41 20 D0 94 D1 BF E8 … : E…m…(#…%.%%.Aw…`.:…9…%…R.I…>.^…_…IA … …
packet: id=3 drop
packet: id=4 len=176 outbound IPv6=0 IPChecksum=1 TCPChecksum=1 UDPChecksum=1 IfIdx=19.0
IP4: 192.168.40.35 => 162.159.193.5 proto=udp ttl=128 sport=64478 dport=2408
UDP: 01 00 00 00 49 45 60 B9 E4 E8 62 48 F9 78 E0 3C 3A FE A4 4E 63 7B 9D 50 C9 A3 38 9F CF 17 9E 75 … : …IE`…bH.x.<:…Nc{.P…8…u …
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:64478 dst=162.159.193.5:2408
sending 1st ip fragment 0-7 ip_payload_len=8 : 45 00 00 1C 6D C5 20 00 80 11 60 9B C0 A8 28 23 A2 9F C1 05 FB DE 09 68 00 9C DA E4 : E…m. …`…(#…h…
sending 2nd ip fragment 8-155 ip_payload_len=148 : 45 00 00 A8 6D C5 00 01 80 11 80 0E C0 A8 28 23 A2 9F C1 05 01 00 00 00 49 45 60 B9 E4 E8 62 48 F9 78 E0 3C 3A FE A4 4E 63 7B 9D 50 C9 A3 38 9F CF 17 9E 75 3E DF BE BE E4 6E 0F 18 1E 1C 42 F4 C9 9C 13 32 20 DD A0 F8 4C 0D 49 FC 47 07 B9 45 … : E…m…(#…IE`…bH.x.<:…Nc{.P…8…u>…n…B…2 …L.I.G…E …
packet: id=4 drop
packet: id=5 len=176 outbound IPv6=0 IPChecksum=1 TCPChecksum=1 UDPChecksum=1 IfIdx=19.0
IP4: 192.168.40.35 => 162.159.193.5 proto=udp ttl=128 sport=64478 dport=2408
UDP: 01 00 00 00 A7 36 24 06 CC 37 F7 3F 7F 8A AD EB 0A 1F 83 26 33 76 7F 9C FD A2 FA 9B A1 B8 8F 14 … : …6$…7.?..&3v… …
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:64478 dst=162.159.193.5:2408
sending 1st ip fragment 0-7 ip_payload_len=8 : 45 00 00 1C 6D C6 20 00 80 11 60 9A C0 A8 28 23 A2 9F C1 05 FB DE 09 68 00 9C 57 31 : E…m. …`…(#…h…W1
sending 2nd ip fragment 8-155 ip_payload_len=148 : 45 00 00 A8 6D C6 00 01 80 11 80 0D C0 A8 28 23 A2 9F C1 05 01 00 00 00 A7 36 24 06 CC 37 F7 3F 7F 8A AD EB 0A 1F 83 26 33 76 7F 9C FD A2 FA 9B A1 B8 8F 14 82 7F FF CB 6D E3 C4 22 F6 54 11 4D A0 6D 3B B3 A1 05 FE 90 22 AA 47 35 48 AB 10 85 … : E…m…(#…6$…7.?..&3v…m…“.T.M.m;…”.G5H… …
packet: id=5 drop
packet: id=6 len=176 outbound IPv6=0 IPChecksum=1 TCPChecksum=1 UDPChecksum=1 IfIdx=19.0
IP4: 192.168.40.35 => 162.159.193.5 proto=udp ttl=128 sport=64478 dport=2408
UDP: 01 00 00 00 D5 E1 E2 6A 1B D6 EA E7 4F 86 79 9D 6C 47 41 87 77 64 6B F6 B5 E5 60 EF BB 6E FD C5 … : …j…O.y.lGA.wdk…`…n… …
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:64478 dst=162.159.193.5:2408
sending 1st ip fragment 0-7 ip_payload_len=8 : 45 00 00 1C 6D C7 20 00 80 11 60 99 C0 A8 28 23 A2 9F C1 05 FB DE 09 68 00 9C B9 BB : E…m. …`…(#…h…
sending 2nd ip fragment 8-155 ip_payload_len=148 : 45 00 00 A8 6D C7 00 01 80 11 80 0C C0 A8 28 23 A2 9F C1 05 01 00 00 00 D5 E1 E2 6A 1B D6 EA E7 4F 86 79 9D 6C 47 41 87 77 64 6B F6 B5 E5 60 EF BB 6E FD C5 33 19 4D 93 93 86 DF 12 5D EE 13 3C DC E5 61 A7 41 69 81 39 C0 22 12 C5 A3 24 EB C9 … : E…m…(#…j…O.y.lGA.wdk…`…n…3.M…]…<…a.Ai.9."…$… …
packet: id=6 drop

Не работает выходит. drop это нормально. дропнутый пакет заменяется собственными отсылаемыми фрагментами. Но они фильтруются. Значит не взлетело.
Идет периодическая отсылка запроса wireguard без ответа.
Порт 500 стремноват немного. Он используется IKE. Если возможно лучше бы заменить порт на другой. Хоть на 443.
Но скорее всего IP warp в бане, либо если они прыгающие, применена тактика усиленной блокировки (любое подозрительное убиваем, используем более сложные методы обнаружения, stateless режим) на диапазоне IP. Возможно, с фильтром по порту

но сайт с включенным kyber открывается

На kyber идет фрагментация на уровне application protocol, а ipfrag - фрагментация на уровне IP.

тогда почему дропаются на моих настройка которые на роутере прекрасно работают а на виндоусе дропают

я не понял вопроса. кто что дропает ?

@bolvan
Здравствуйте. Подскажите, пожалуйста, есть ли рабочая стратегия под OpenVPN UDP и Lightway UDP/TCP. Lightway это протокол от ExpressVPN (GitHub - expressvpn/lightway-core: Lightway Core is a modern VPN protocol by ExpressVPN, to deliver a VPN experience that’s faster, more secure, and more reliable.)
Для wireguard уже составил и всё прекрасно работает, спасибо за инструмент этот. Под windows 10 интересует подходящее решение.

Для UDP есть только fake, ipfrag2, udplen и tamper.
fake самый универсальный , ipfrag для точечного пробития
udplen только для протоколов, не ругающихся на дописки в конец пакета (чтобы DPI не увидел длину)
tamper только для протоколов, которые можно переписывать на лету (пока только DHT)

если протокол не распознается , надо использовать --dpi-desync-any-protocol и --dpi-desync-cutoff. в последнем указывать dX или nX, где X - конечный номер пакета, на котором обрываем десинхронизацию, нумерация с 1. Например, d2 значит только первый пакет, а на 2-м уже стоп

Как лучше всего обновлять программу чтобы она не трогала созданные ранее рабочие настройки?
При установке поверх через изи инсталл скрипт же не видит что программы стоит и работает и на сколько помню всё равно предлагает настройку как новую?
Можно ли просто убив демона, распаковать новый zapret-master.zip и заменить все файлы через шару на роутере?

С винды права могут угробиться.
Лучше через распаковку в /tmp и easy_install или через git pull, если есть extroot
Если точно известно, что никакие файлы новые не создаются, а пишется поверх имеющихся, то можно и копированием. Например, заменить бинарики

предварительно сохранив рабочий конфиг и не важно что отвечать на вопросы в изи инстале, а после установки просто заменить конфиг?

у вас написано в ридмишки что права восстановятся если в opt кидать, или я не так понял

Система простой инсталяции заточена на любое умышленное или неумышленное изменение прав доступа на файлы.
Устойчива к репаку под windows. После копирования в /opt права будут принудительно восстановлены.

после_копирования_в_opt
инсталятором

когда установка производится из другого места происходит уничтожение /opt/zapret с опциональным сохранением конфигов, копирование новой версии с принудительным выставлением прав, восстановление конфигов
если запускать инсталятор из /opt/zapret, восстановления не будет
так же не будет восстановления волшебного просто от копирования

Кстати, адрес putinhuylo.com (захардкоженный в blockcheck-е) не резолвится)) Может, чем-нибудь заменить?

Ещё при конфигурировании blockcheck-а вылазит такая штука:

specify domain(s) to test. multiple domains are space separated.
domain(s) (default: rutracker.org) : 
ping: connect: Сеть недоступна

Это, если правильно понимаю, жалоба на отсутствие IPv6?

Да, все верно.
Путин уже не … Домен умер
заменено на ntc.party

Всем привет.

На устройстве с OpenWRT всё поставилось. Благодарю за проделанную работу.

Есть вопрос: Почему-то обход работает только на одном порту(или на одном клиенте) с которого я и заходил в роутер через ssh.

Можете подсказать как сделать чтобы обход работал и на других портах?

Спасибо.

Я не думаю, что это связано с портами свитча. Совпадение, причина в другом.
Но стоит проверить на всякий случай не включен ли offloading в настройках фаервола.

Иначе надо поднимать логгинг (–debug в tpws, nfqws - см доку) и смотреть заворачивается ли трафик

Благодарю за ответ.

Кажется вы правы, может быть причина в другом.

На устройстве с OpenWrt всего 3 порта - Wan и 2 Lan. Десктоп(с которого всё работает), и второй LAN занял еще один роутер - возможно беда в нём. Буду смотреть в сторону его настроек. Может что-то надо сделать в настройках DHCP.

Потыкаюсь.

Еще раз спасибо.

Здравствуйте. Можете подсказать. По какому Принцип работы. Приложение 1.1.1.1 warp cloudflare Почему она обходится zapret И спокойно Работает. А вот wg warp config cloudflare Не обходится zapret

Про приложение не в курсе. У меня нет проблем с WG Warp в связке с nfqws. Смотрите --debug или что там происходит.

Как использовать в роутере keenetic

если у вас послед версия запрета
то можно попробовать вот так, будет выгружаться в файл, путь указывайте куда вам надо

NFQWS_OPT_DESYNC=“-debug=@/opt/zapret/log.txt --dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-ttl=3 --dpi-desync-fooling=md5sig”

вот wg config

initializing conntrack with timeouts tcp=60:300:60 udp=60
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue ‘0’
setting copy_packet mode
initializing raw sockets bind-fix4=0 bind-fix6=0
set_socket_buffers fd=5 rcvbuf=2048 sndbuf=32768
fd=5 SO_RCVBUF=4096
fd=5 SO_SNDBUF=65536
set_socket_buffers fd=6 rcvbuf=2048 sndbuf=32768
fd=6 SO_RCVBUF=4096
fd=6 SO_SNDBUF=65536
seccomp: Invalid argument
seccomp: this can be safely ignored if kernel does not support seccomp
Running as UID=65534 GID=65534
set_socket_buffers fd=4 rcvbuf=65536 sndbuf=32768
fd=4 SO_RCVBUF=131072
fd=4 SO_SNDBUF=65536
packet: id=1 len=176 mark=00000000
IP4: 192.168.40.35 => 162.159.192.9 proto=udp ttl=127 sport=55477 dport=4500
UDP: 01 00 00 00 70 E9 2F DF E4 82 DF 73 D2 0D B2 D0 9B 97 66 CE 9C DF C4 24 15 82 F5 37 4D 80 3A 60 … : …p./…s…f…$…7M.:` …
desync-cutoff not reached (mode d): 1/2
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:55477 dst=162.159.192.9:4500
sending fake request : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 … : … …
reinjecting original packet. len=176 len_payload=148
applying linux postnat conntrack workaround
packet: id=1 pass modified. len=28

вот само приложение cloudflare warp
initializing conntrack with timeouts tcp=60:300:60 udp=60
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue ‘0’
setting copy_packet mode
initializing raw sockets bind-fix4=0 bind-fix6=0
set_socket_buffers fd=5 rcvbuf=2048 sndbuf=32768
fd=5 SO_RCVBUF=4096
fd=5 SO_SNDBUF=65536
set_socket_buffers fd=6 rcvbuf=2048 sndbuf=32768
fd=6 SO_RCVBUF=4096
fd=6 SO_SNDBUF=65536
seccomp: Invalid argument
seccomp: this can be safely ignored if kernel does not support seccomp
Running as UID=65534 GID=65534
set_socket_buffers fd=4 rcvbuf=65536 sndbuf=32768
fd=4 SO_RCVBUF=131072
fd=4 SO_SNDBUF=65536
packet: id=1 len=311 mark=00000000
IP4: 192.168.40.35 => 162.159.192.6 proto=udp ttl=127 sport=52444 dport=2408
UDP: C1 03 87 00 24 46 D6 01 5F 44 C9 AD 71 FE BC C7 64 F0 35 DC C5 B1 76 0E E1 70 FE 94 3D A1 1E 0D … : …$F…_D…q…d.5…v…p…=… …
desync-cutoff not reached (mode d): 1/2
applying tampering to unknown protocol
dpi desync src=192.168.40.35:52444 dst=162.159.192.6:2408
sending fake request : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 … : … …
reinjecting original packet. len=311 len_payload=283
applying linux postnat conntrack workaround
packet: id=1 pass modified. len=28

Так в первом случае идет соединение по wg:

Во втором по какому-то неизвестному протоколу (видимо что-то кастомное внутри приложения warp)

Скорее всего вг режется на ТСПУ, а второй протокол нет

Короче я так понял wg Cloudflare zapretom Больше не открыть. Всё прикрыли лавочку

Обрисуйте еще раз свою схему подключения. Выше Вы скидывали дебаг с пк с ipfrag (это был шнур от провайдера воткнут в пк напрямую, без роутера?), а сейчас был дебаг с роутера при включении warp через конфиг WG и через приложение? Я так понимаю что ВГ с роутера не работает? Это кинетик? Покажите еще раз строчку NFQWS_OPT_DESYNC_QUIC из конфига запрета в роутере, покажите строчку с портами которые идут на nfqws. У вас 100% что-то настроено не так по ощущениям.

Всем привет.

BlockCheck сразу кидает алёрт что DNS HIJACK DETECTED. Я правильно понимаю что нужно поставить dnscrypt-proxy+dnsmasq и убедиться что blockcheck не жалуется на DNS прежде чем приступать к дальнейшии действиям?

Спасибо

не совсем
жаловаться он не перестанет. он сравнивает системный днс и публичные. разница останется. определить где правда он не может, поскольку у него нет средств обратиться к эталону
но dnscrypt или doh поставить надо

Скажите пожалуйста, а можно как-то tpws запустить в режиме прокси на windows? Или это нереально?

только под wsl
см docs/windows.txt

Понятно, спасибо!

Привет еще раз.

Что-то я немного уже забамбузлился. Роутер буквально вчера перезагрузился от моргания света и с того момента что бы я ни сделал - работать не хочет.

dnsmasq есть. dnscrypt-proxy уже включён. (есть ли железобетон как проверить что они действительно дают нужный эффект?)

Начинаю подозревать что я как-то не так вбиваю настройки и в первый раз я просто на удаче как-то правильно занёс.

Думаю оператор подкинул палку в колёса, начал собирать новый алгоритм.

blockcheck находит мне конфигурацию и выдает с следующей информацией:

!!! curl_test_https_tls13: working strategy found for ipv4 rutracker.org : nfqws --dpi-desync=split2 !!!

clearing nfqws redirection

• SUMMARY
  ipv4 rutracker.org curl_test_http : tpws --split-http-req=method --hostcase --oob
  ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake --dpi-desync-ttl=2
  ipv4 rutracker.org curl_test_https_tls12 : tpws --split-pos=1
  ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=split2
  ipv4 rutracker.org curl_test_https_tls13 : tpws --split-pos=2
  ipv4 rutracker.org curl_test_https_tls13 : nfqws --dpi-desync=split2

Можете подсказать как должен выглядеть итоговый файл с настройками?

Я понял полученный результат вот так:

NFQWS_OPT_DESYNC=“–dpi-desync=fake --dpi-desync-ttl=2”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_HTTPS=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_HTTP6=“”
NFQWS_OPT_DESYNC_HTTPS6=“”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_QUIC6=“”

Спасибо.

У меня NFQWS_OPT_DESYNC применяется ко всем протоколам, остальное всё закоменчено кроме квика
Мне кажется подбирать под каждый это прям специфичная задача

по dns, блокчек вроде бы в начале проверяет наличие подмены у провайдера и репортует если есть проблема
через nslookup глянуть будет юзаться прокся
сайт https://www.dnsleaktest.com

Попробуй убрать значения у этих параметров:

NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_HTTPS=“–dpi-desync=split2”

PS: и проверь, что запрет вообще запущен. Сам когда ставил, забыл автозапуск подключить и когда свет моргнул он естественно отвалился.

Вы определяете стратегию, а потом в следующих двух строчках переопределяете ее (заменяете на другую). Если вы оставите только самую верхнюю строчку, убедитесь, что эта стратегия у вас работает не только для http, но и для https.

Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2,udplen,tamper.

Всем привет.

Благодарю dark_spirit, easyone11, wigeance за ответы выше.

Попробовал поставить только первую строчку с результатом блокчера - лучший результат, пока что, то что я смог курлануть рутрекер, но в вебе он все равно не грузился, ютуб продолжал лагать.

Опишу последовательность действий, которые были предприняты позже по порядку т.к. возможно загвоздка где-то в других деталях.

1. Полный вайп ПО роутера.

2. Создание нового PPPoE соединения с добавлением портов в пул. Добавлял интерфейсы в пул wan, wan6 - всё работает. Если добавлять lan - почему-то работает всё наполовину, будто половина сайтов не резолвились - здесь я не совсем понимаю что так, добавил в пул wan, wan6 т.к. с ними всё ок.

3. Установка dnscrypt-proxy2, который при старте жалуется что нет конфига. Запускал позже с --config с указанием пути - жаловался на 53-й порт, занят DNSMASQ’ом.

4. Стартовал DNSMASQ - фейлился при старте с ошибой udhcp no lease, failing. Где-то пишут в сети что она не критичная и не аффектит вас никак если у вас PPPoE, подтвердить, это, я конечно же не могу.
   После таких-то манипуялций из двух пунктов выше сделал вывод что связка не работает.

5. Позже решил что надо какой-то путь попроще и поискал видео на ютубе, нашел видео от Van Tech Corner про DoH(https-dns-proxy + dnsmasq), вайпнул с нуля, сделал как по гайду с установой luci-app, с виду всё работает, но не уверен решает ли это проблему, о которой предупреждает blockckeck при старте.

6. Ищу новый алгоритм. Нашлось --dpi-desync=disorder2.

7. Запускаю install_easy. NFQWS, поле с QUIC оставляю как есть, остальные стираю, ставлю первой строчкой NFQWS_OPT_DESYNC=“–dpi-desync=disorder2”.

8. Дальше протыкиваю всё Y. Качаем хостлист, пункт 3.

9. Курлую рутрекер - есть ответ в курле, в вебе не работает.

По пунктам 3 и 4 путём гуглежки в интернете выяснил что есть 3 конфига - .toml файл dnscrypt-proxy, dnsmasq.conf, и udhcp конфиг. Я правильно понимаю что сейчас вся беда в том что связка из пунктов 3 и 4 не работает и нужно править конфига? Или их установкой и неверной конфигурацией я и сам zapret ломаю?

P.S. Делал zapret начистую без манипуляций с днскриптом и днсмаском - не работало.

На данном этапе могу сделать всё с полного нуля с вайпами т.к. уже отладил процесс до буквально тройки минут.

Буду благодарен за любой совет.

Спасибо.

1. По DNS, могу посоветовать сделать как у меня, это наверно не бестпрактикс, но в данном случае у меня работает
   ставишь https-dns-proxy
   удаляешь в HTTPS DNS Proxy - Instances существующие
   добавляешь в самом низу Custom данный DOH https://dns.controld.com/comss
   проверить работает или нет по ссылке www.dnsleaktest.com и Configuration Status
   я этот doh добавлял для работы chatpgt, по идеи клауд и гугл тоже рабочие
2. Тестируй доступность заблокированных сайтов в режиме none или autohostlist, это исключит ошибки с имена доменов в твоём лист, как всё оттестишь можно превестись в hostlist
3. В браузере F12 и смотри закладку network, будешь видеть куда обращается сайт
4. Поиск рабочей стратегии это самый геморой уже, либо перебором из того что блокчек выдаёт по разным сайтам, либо читать что каждый параметр значит и в этом разбираться после чего подставлять нужные

А можно для каждого хоста свою стратегию прописать?
Или в будущем может реализуется такая возможность?

обычно такое желание возникает из-за непонимания как работают стратегии и следовательно от неумения находить общий знаменатель
но и правда бывают случаи, когда это нужно
возможно, осенью сделаю

Ростелеком, Омск - умер ютуб. Сервера rr9---sn-n8v7snl7.googlevideo.com rr2---sn-gvnuxaxjvh-vhnl.googlevideo.com i.ytimg.com - ns_binding_aborted

Я читал, что для гуглвидео блокчек запускать нет смысла, тогда какой у меня алгоритм для поиска решения? Пока что остальные заблокированные сайты открываются - да тот же нтц пати.

rr9, rr2 - пингуются, так что, наверно, это не блокировка по ip?

В командной строке проверьте вот так curl -sv -o NUL https://rr*--- и там адрес проблемных серверов вставьте.

В соседней теме пишут что начали фильтровать --wrong-seq, так что попробуйте другую стратегию.

Если используете GoodByeDPI, то:
В батнике (.cmd) прописать вместо -9 надо -7, либо -q -f 2 -k 2 -n -e 2 --reverse-frag --wrong-chksum --max-payload
Начали фильтровать --wrong-seq

* Host rr9---sn-n8v7snl7.googlevideo.com:80 was resolved.
* IPv6: (none)
* IPv4: 173.194.151.27
*   Trying 173.194.151.27:80...
* Connected to rr9---sn-n8v7snl7.googlevideo.com (173.194.151.27) port 80
> GET / HTTP/1.1
> Host: rr9---sn-n8v7snl7.googlevideo.com
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
< HTTP/1.1 404 Not Found
< Date: Thu, 12 Sep 2024 12:38:19 GMT
< Content-Type: text/html; charset=UTF-8
< Server: gvs 1.0
< Content-Length: 1561
< X-XSS-Protection: 0
< X-Frame-Options: SAMEORIGIN
<
{ [1561 bytes data]
* Connection #0 to host rr9---sn-n8v7snl7.googlevideo.com left intact

Остальные дают такой же ответ.

Если бы я пользовался GoodByeDPI, я бы написал в соответствующий раздел. Впрочем, сейчас попробую ваши параметры.

Сорян, я не заметил что это раздел запрета.

Https используйте, он у вас через 80 порт курлится. Какая у вас стратегия? Попробуйте md5sig добавить. Возможно badseq фильтровать начали.

--wf-tcp=80,443 --dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig
--wf-udp=443 --dpi-desync=fake --dpi-desync-repeats=11  --dpi-desync-fooling=md5sig

дефолтная рекомендация, насколько я понимаю

Попробуйте -dpi-desync=fake,disorder --dpi-desync-fooling=badseq или -dpi-desync=fake,disorder --dpi-desync-fooling=badsum для начала. И сделайте нормально curl, прописав адрес с https в начале. Отключите quic и kyber, если не отключали.

оплошался, да

* Host rr2---sn-gvnuxaxjvh-vhnl.googlevideo.com:443 was resolved.
* IPv6: (none)
* IPv4: 79.133.76.13
*   Trying 79.133.76.13:443...
* Connected to rr2---sn-gvnuxaxjvh-vhnl.googlevideo.com (79.133.76.13) port 443
* schannel: disabled automatic use of client certificate
* ALPN: curl offers http/1.1
* Recv failure: Connection was reset
* schannel: failed to receive handshake, SSL/TLS connection failed
* Closing connection
* schannel: shutting down SSL/TLS connection with rr2---sn-gvnuxaxjvh-vhnl.googlevideo.com port 443
* Send failure: Connection was reset
* schannel: failed to send close msg: Failed sending data to the peer (bytes written: -1)

к сожалению, без изменений

У вас какой-то непонятный курл. Вы можете последнюю версию скачать и с ней повторить? Посмотрите соседнюю тему про gdpi, может это тоже ваш случай.

Они включили stateless и на TCP.
Тут писал про udp, но с сегодняшнего дня и на tcp stateless режим. Можно хоть 20 фейков отправить на TCP все равно дропает соединение. Обычный сплит или дисордер работает прекрасно.

Можно хоть 20 фейков отправить на TCP все равно дропает соединение. Обычный сплит или дисордер работает прекрасно.

Спасибо!

Приветствую ! Только разбираюсь с zapret, нататил на кинетик и радовался какое-то время. Ситуация аналогичная, Ростелеком, Омск. Вам удалось пофиксить сегодняшний отвал ?
Спасибо

Ну для самого гуглвидео - да, понятно, а если для конкретного ggc rr9---sn-n8v7snl7.googlevideo.com ?
Мне выдал вот такое
ipv4 rr9---sn-n8v7snl7.googlevideo.com curl_test_https_tls13 : winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split2

Обычный сплит или дисордер работает прекрасно.

Т.е вполне рабочий способ через blockcheck

Попробуйте тоже конфиг без фейков

--dpi-desync=disorder2
--dpi-desync=split2

Ну или подберите свой через blockcheck. Когда спросит

specify domain(s) to test. multiple domains are space separated.
domain(s) (default: rutracker.org) :

Вставьте там свой ggc вида rr*…googlevideo.com

Свой конфиг я оставлял выше. Если у вас такой же, убрать фейк для хттп(с) или вместо него добавить сплит, для юдп вместо fake - split. Можно поэкспериментировать со split2 как вам написали выше.

Мне казалось, что там нюанс с тем, что на ютуб не блокировка, а замедление, но если работает, значит я неверно понял. Буду знать, в случае новых проблем сразу начну с блокчека.

Так на udp сплит не работает же, вроде?
Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2,udplen,tamper. из readme.
Ну или я опять не так понял

Спасибо ! Зашелестело.

Все правильно вы поняли, на udp есть только эти режимы. При чем ipfrag1,ipfrag2 еще и требуют доп настроек или nftables.

Господа, подскажите пожалуйста что поменять? Просто fake убрать? Или вместо него split2?
NFQWS_OPT_DESYNC=“–dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4”

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum”

Спасибочки! Без fake заработало.

Так оставили?
NFQWS_OPT_DESYNC=“–dpi-desync=disorder2

Да, убрать fake и добавить split. У меня с таким конфигом заработало
NFQWS_OPT_DESYNC=“–dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4”

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=disorder2 —dpi-desync=split --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum”

Не, я в своем конфиге fake убрал. Мой так выглядит (подсмотрел на гите в обсуждении):
NFQWS_OPT_DESYNC="--dpi-desync=split2 --dpi-desync-autottl=1:1-10 --dpi-desync-fooling=md5sig"
Работает на телефоне, пк и самсунг-тв

нет, вы верно прочитали, это я ридми не читал вообще.

Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2,udplen,tamper.

при этом

Режимы десинхронизации hopbyhop, destopt и ipfrag1 (не путать с fooling !) относятся только к ipv6
Режим tamper … На текущий момент работает только с DHT.

fake, как сказали выше, не работает при statless dpi, что объясняет тот факт, что у меня никогда при включенном запрете http3 и не работал, весь трафик ютуба был h1 h2. Получается для экспериментов, остается ipfrag2 и udplen.

С ipfrag2 тоже нюансы

кое-где бывает, что режут и фрагментированный udp.
Роутеры на базе linux могут самопроизвольно собирать или перефрагментировать пакеты.

Может быть, сработает -dpi-desync-fooling, тоже нужны эксперименты. Но пока что у меня работает сплит, а то, что QUIC не работает - с этим можно жить.

Спасибо а это какой провайдер?

спс
мгтс мск, заработало
PS
на компе и телефоне пашет, на телеке нет

тоже вот на приставке отвалилось, если просто fake убрать

split вместо fake добавить? NFQWS_OPT_DESYNC="–dpi-desync=split,disorder2

Подскажите ваши настройки?

МГТС, МСК
Под linux: NFQWS_OPT_DESYNC=“–dpi-desync=disorder2 --dpi-desync=split2 --dpi-desync-ttl=3 --dpi-desync-split-pos=1”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split --dpi-desync-fooling=md5sig”
На этой машине работает проксик microsocks, через него вроде всё работает.
Под windows с теми же настройками нормально работает youtube, но rutracker и другие сайты не открываются.
win 7 64, браузер chrome, quick отключен.
Что я упустил?

А blockcheck что вам советует для rutracker на win 7?

* SUMMARY
ipv4 rutracker.org curl_test_http : winws --wf-l3=ipv4 --wf-tcp=80 --dpi-desync=split --dpi-desync-fooling=md5sig
ipv4 rutracker.org curl_test_https_tls12 : winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=badseq --dpi-desync-split-pos=1

NFQWS не предлагает ( Неужели дело в проксике?

Честно говоря, не знаю. Это же виндовый blockcheck
У вас такой конфиг работает для ютуба и рутрекера одновременно?
--dpi-desync=fake,split2 --dpi-desync-fooling=badseq --dpi-desync-split-pos=1

Начали блокировать стандартный payload фейка. Достаточно поменять payload на какой-нибудь другой, например, так:
--dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_sberbank_ru.bin

Для рутрекера - да. Для ютуба - нет.

Ростелеком

Получается, для ютуба

NFQWS_OPT_DESYNC=“–dpi-desync=disorder2 --dpi-desync=split2 --dpi-desync-ttl=3 --dpi-desync-split-pos=1”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split --dpi-desync-fooling=md5sig”

а для рутрекера

winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=badseq --dpi-desync-split-pos=1
winws --wf-l3=ipv4 --wf-tcp=80 --dpi-desync=split --dpi-desync-fooling=md5sig

Спасибо тебе, Anon1!
Заработало, РТК Мос. обл.

Fake убрал, но с таким конфигом у меня не заовдится ютюб
NFQWS_OPT_DESYNC=“–dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4”

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=disorder2 —dpi-desync=split --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum”

Спасибо, мудрый человек. Итоговый конфиг:
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_sberbank_ru.bin"
Работает и для винды, и для linux, и ютуб, и рутрекер, и даже этот форум.

А без запрета они у вас не грузятся что ли? ОО

все варианты из ветки перепробовал… странно

Грузятся, но видео тормозит. Я думал роскомпозор постарался…

А если их в список исключений запихнуть? --hostlist-exclude=“exclude.txt”

Они тормозят независимо от провайдера, методов обхода и страны. Особенно видосы 10-летней давности. Сорри за оффтоп.

Что-то не получается, и fake убрал и autottl пробовал. Мтсу не помог.

Перестал работать для ютуба. Теперь работает такой:
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-fooling=badsum --dpi-desync-split-pos=1 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_sberbank_ru.bin"

Странно. Вечером помогло для ютуба. Сейчас утром не работает с ютубом. Остальное как работало, так и работает.

на моих провайдерах стандартный фейк не портит googlevideo.com
но в целом раз они начали охоту, придется делать рандомизированый фейк
по шаблону фокса
из гудбая тоже секут фейк ?

С гудбая и начали. Запрет у меня еще работает со стандартным пейлоадом, а гудбай уже нет. Но это только гуглвидео касается, остальное продолжает работать как раньше.

На одном прове продолжает работать:
--dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig
только ролики стартуют через пару секунд.

На втором прове пришлось поменять на:
--dpi-desync=disorder --dpi-desync-fooling=md5sig

Вот если ба winws умел применять разные стратегии для разных наборов доменов…

надо поменять фейк пейлоад как выше рассказали
скоро сделаю рандомизацию дефолтного пейлоада
разные стратегии будут еще не скоро

То есть на ТСПУ РКН заблочил (научился находить) определённый fake?

А как скоро ждать апдейт?

как пишут - похоже на то
мера не особо эффективная
легко исправляется
правда, в гудбае вроде нет кустомизации пейлоада
так что без исправления кода никак
либо найти в коде проги этот запрос и исправить в хекс эдиторе

но главная новость не в этом
недавно вышли статьи, где говорится, что выделяют 60 лярдов на тспу
значит текущие мощности не позволяют люто фильтровать все методы дурения
потому делают затычки как эта

рандомизацию - в выходные сделаю скорее всего
а разные стратегии там надо выделить несколько дней, чтобы не отвлекаться
пока не могу
осенью видимо в октябре

У меня изначально был vk, когда ночью все начало отваливаться у меня работало, но с утра и vk отвалился.
Работает без fake, только фрагментация.
Возможно еще и ttl смотрят.

с нестандартным фейком тоже не пашет ?

если в openssl создать tls1.0 clienthello (openssl s_client -connect domain.ru:443 -msg -tls1), вывод получается всего на 75 байт, можно поправить первые байты (16 03 01 02 00 (до размера 528 как в примерах), далее добить нулями - такой payload для всех доменов кроме googlevideo работает

Мне интересно какой % людей используют метод дурения трафика для обхода блокировок, судя по своему окружению это примерно никто (за исключением людей работающих в айти сфере), что ркн считает это проблемой такого маштаба что на это тратит силы и средства.
Если конечно vpn не используют такие же методы и в целом идёт борьба против vpn (вот как раз vpn юзают на право и не лево)

Пейлоад vk.com на tcp не работает. Стоит убрать fake как трафик сразу проходит
Пейлоад iana.org тоже не проходит

Похоже РКН просто скопировали пейлоады байт в байт и добавили в фильтр

Пейлоады на udp проходят нормально

еще попробовать стоит скрытый фейк с seqovl с паттерном в виде фейкового клиентхелло и сплит позицией под размер паттерна

провы некоторые начали дурить
один похвастался на гитхабе
я написл ему все что думаю об этом
тут же смылся, удалив комент
идиоты. ради сиюминутного бонуса портят всю малину
нихрена особо не достигнув

а если свой пейлоад записать в шарке от фокса без кибера ?
на неблоченый домен.
важно понять они тупо внесли стандартные пейлоады из запрета
или универсальный детект фейка сделали
у кого-то работал фейк с гос услугами
и убедитесь, что фейк не доходит до сервера
ограничитель достаточен

@bolvan не подскажите, что можно сделать на кинетике? Провайдер МТС, удаление fake не помогает.

NFQWS_OPT_DESYNC=“–dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4”

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum”

Мне помогло следующее:

• убрал fake
• изменил ttl на 112
• перезапустил службу командой /opt/zapret/init.d/sysv/zapret restart

Ютуб руботает и на телеках, и на компах, и на приставках

через блокчек попробовать найти другие стратегии и их перебирать не пробовали?

для начала этот бред перестать копипастить
дальше экспериментировать
у меня нет готовых рецептов и доступа к прову

это значит что ттл вообще не нужен
если нет фейков - не нужны и ограничители

да я весь день экспериментирую, всё, что людям помогает, тут отказывается работать.

нет способа делать блокчек на два домена (т.е. в автомате найти вариант при котором оба будут работать)?

Записал свой пейлоад для https. С ним работает. Похоже они просто внесли дефолтные пейлоады

ну судя по опциям нет))
делать поочерёдно и сопоставлять видимо только, сопоставить в автоматическом режиме поможет chatgpt какой нибудь

попробовал без смены ттл тоже работает. обязательно надо перезапускать NFQWS иначе не работает.

Что, если они отслеживают способы, какие используют люди, и постепенно начинают бороться с ними (а отслеживать могут по техническим ресурсам, например, что именно там люди обсуждают). И потом, может для них это совсем не сложно, просто очередную строку добавить в свои фильтры.

Какой домен? Не популярный? Я попробовал с gosuslugi.ru - не прокатило.

безусловно отслеживают как и из форумов\сайтов так и через внутр анализ, закрыть все дыры одной строчкой? ну хзхз + тесты + согласования + риски как будут работать другие сайты и тд и тп
не так всё просто, но это так, размышления обывателя, может я и не прав

habr. com
Firefox, без kyber

Я с хрома делал без кайбера, экспорт шарком. Не работает даже если домен малопосещяемый, щас попробую фокс.

Где взять “tls_clienthello_sberbank_ru.bin”?

Похоже обманул я Вас. Патч goodbyedpi.exe tlsclienthello vk.com или gosuslugi.ru мне не помог.

а можно ссылку на руководство как создавать свои пейлоады через фаирфокс?

Я понял в чем дело. Добавьте --dpi-desync-repeats
Одной отправки фейка не достаточно!

Возможно заработает даже с дефолтным пейлоадом. Щас проверю - нет, не работает!!

Так что общая стратегия такая - свой пейлоад + многократная отправка

можно 2 отдельно протестить
экспертной функции обьединения стратегий нет. на человека с понималкой расчитано

вроде бы рдпшный дпи жует фейк только если сни идет первым экстенжином. нужен фокс

zapret\files\fake

спасибо, будем ждать. Как я понимаю в этом случаи каждому пользователю нужно будет вставить собственный домен, при том можно и не существующий?
Ещё было бы очень не плохо иметь возможность одновременной работы в разных режимах: На список ютуба -7 и на остальное стандартный -9. Ведь не выйдет просто запустить 2 программы одновременно?

Сделал фоксом, SNI идёт первым, добавил репиты 1…2…16. Не работает.

если разделить по ипсетам с АСками - выйдет
но это не очень удобно и не просто

А без повторов с 1 фейком работает? Точно нет ошибки относительно того, что с кастомным доменом заработало а не по другой причине которая наложилась?

На rr****.googlevideo.com не проходит стандартный фейк точно, не стандартные вчера ходили, сегодня еще не смотрел. Если оно видело фейк, то сразу блочило соединение, при этом ходил фейк 0х00000000 и после можно было split просто сделать и все заводилось.

Еще работает вариант syndata (дефолт 0х00000000), потом фейк (iana) и split2. Срабатывает и гуглвидео и все остальное.

По поводу ТВ у кого они не заводятся, нужна стратегия такая, чтобы и play.google.com и *.googlevideo.com заводились одновременно. Тогда все работает.

На некоторых гуглвидео этого фильтра нет, но вот тут точно он есть (https://rr3---sn-n8v7kn7k.googlevideo.com/).

UPD: да, нестандартные пейлоады тоже прикрыли. Надо проверять кастомный

Нет не работает. Специально оставил только fake
Проверял на googlevideo домене

Тоже самое кстати с quic. Фейк проходит только с повторениями. Но хватает дефолтного фейка

На моем провайдере (спб, скайнет) пока вообще всё работает с --dpi-desync=fake,disorder2 --dpi-desync-fooling=badseq. А вот питерские ggc ростелекома rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com с такими настройками уже не курлятся. Решилось заменой fake на rst.

кастомный (tls1.2 или 1.3) к разным доменам из firefox - для googlevideo не прокатывает

У меня блокчек запрета вообще не находит сейчас рабочей стратегии для этого домена. Приходится заворачивать в впн. РТ МСК. Ай-пи “белый”. Временно это (тесят они что-ли опять) или на совсем теперь это уже другой вопрос. Не исключаю, что перебанят и по аи-пи все скоро. Этим уродам это сделать проще, и им похрен, что отвалится еще что-нибудь. Главное кремлин ру что-бы для них работал.

ttl не причем, с любым любой фейк в пролете
работает стратегия без фейков, disorder2 и больше ничего не нужно
на гудбай работает тоже, если без фейков (-e 2 --reverse-frag --blacklist youtube.txt)
но не факт, что повсеместно

Поддерживаю. Сегодня ночью работал через “disorder2”

Необходио отметить, что детект fake работает только при обращении к ip CDN ютуба, это говорит о том, что есть сформированнный список ip адресов для которых изменены правила. Тогда неясно, что мешает им дропнуть коннекты на 443 порт на этот список. Возможно то, что на части адресов размещены ещё какие-то сервисы гугла. Таким образом можно попробовать понять какие, и попробовать подкинуть фейковый payload с соседним доменом гугла. Проверьте кому не лень.

вчера вечером у меня в целом перестали открываться сайты под запретом используя fake, точно только для ютуба применяться стали?

Fake больше не работает, еще сегодня с утра работала замена tls clienthello.
Сейчас ни кастомный не срабатывает, ни из списка

Пользуюсь winws (windows 10). Ночью запустил blockcheck с доменом rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com - выдало, что fake вообще не нужен. Работает сейчас с такими параметрами - --dpi-desync=disorder2 --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2
Остальные заблокированные сайты тоже нормально себя чувствуют.
Провайдер - Prometey Home, Питер.

Да, disorder2 работает,
но у меня с fake работали телевизоры с QUIC

На первом прове добавил --dpi-desync-fake-tls=0x00000000, задержки у роликов при старте исчезли.

Перед тем как писать предыдущий пост проверял, с fake,disorder2 работали обычные блокнутые домены, ютубовские нет. Сейчас займусь более глубоким изуением.

по крайней мере так было вчера вечером (мгтс мск)
сейчас на работе, проверить не могу

Вот мои параметры обхода ютуб летает + заблокированные сайты
–dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-fake-tls=0x00000000 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig

Как по мне немного задержка загрузки страницы ютуба есть в остальном все отлично

Догадка подтвердилась. С tls payload www.google.com fake не мешает. Файл приложил.
tls_clienthello_google_com.bin (517 байтов)

а можно ссылку на руководство как создавать свои пейлоады через фаирфокс?

Потестил, вот такие варианты у меня рабочие. Мой тспу, похоже, пока фейки не блочит яхз. Проверял через курл к ростелекомовскому гуглвидео. Вместо fooling можно ttl указать, тоже работает. Обычный фейк и дефолтные пейлоады заблочены.

winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=disorder2

winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=rst,disorder2 --dpi-desync-fooling=md5sig
winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=rst,disorder2 --dpi-desync-fooling=badseq

winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-fake-tls=0x00000000  --dpi-desync-fooling=md5sig
winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-fake-tls=0x00000000  --dpi-desync-fooling=badseq


winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split2 --dpi-desync-split-seqovl=1

winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=rst,split2 --dpi-desync-split-seqovl=1 --dpi-desync-fooling=md5sig
winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=rst,split2 --dpi-desync-split-seqovl=1 --dpi-desync-fooling=badseq

winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fake-tls=0x00000000 --dpi-desync-fooling=md5sig
winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fake-tls=0x00000000 --dpi-desync-fooling=badseq

Оно почти с любым кастомным пейлоадом не мешает. Там просто руками забанили популярные пейлоады (те что в репозитории запрета лежат).

Wireshark, захватить трафик при открытии сайта нужного домена, найти строку с Client Hello с нужным SNI=домену, Внизу выделить секцию данных в пакете TLS v… record layer, справа в хексе выделится кусок данных, начало должно быть с 16 03 и до конца. Дальше правой кнопкой - Экспортировать данные пакета. Это и будет payload для фейка.

Я пробовал со своим доменом который мало кому известен - блочат. Также не работает хабр, госуслуги, которых не было в репозиториях. Больше не проверял. И кстати. dpi-desync-repeats оказался не нужен.

не понял с google fake работает?
я тоже создал пару нештатных - сразу блок включается
там, что у них whitelist что ли

Проверил у себя, тоже самое. Пейлоад от мейлру не прошел, а от гуглдрайва прошел. Забавно.

спс, получилось

А не подскажете, почему все готовые пейлоады в папке запрета в случае tls_clienthello равны 517 байт из которых примерно 200 последних забиты нулями, а если самому снимать, то пакеты получаются разной длины, с данными до самого конца пакета и обычно длиннее, около 650 байт?

стандарт фокса

Запрос Curl-ом тоже 517 байт, может зависит от браузера?

Привет всем. Есть телек с ОС VIDAA. Не могу никак подобрать стратегию, чтобы на нем работал youtube. Как и у всех со вчерашнего дня ютуб перестал работать на всех устройствах. На данный момент использую такую стратегию

–dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_gosuslugi_ru.bin --dpi-desync-ttl=6 --dpi-desync-fooling=md5sig,badsum --dpi-desync=disorder

При такой стратегии работает ютуб и все остальное, но только на смартах и ПК, а вот на ТВ при запуске приложения “черный экран”. При этом если, например, поставить --dpi-desync=disorder2 вместо --dpi-desync=disorder, то на ТВ инет вообще пропадает.

Проблема в том, что роутер стоит не у меня и оперативно проверять работоспособность я не могу. Может кто-то уже возился с VIDAA и знает, в чем проблема?

Да. Наверное Curl-ом эти 517 байт и делались, а не лисой.

Не понимаю, что именно является стандартом - готовые 517 байт или те ~650, которые я вижу в шарке при запросе фаерфоксом v130.0?

517 с нулями в конце это curl. Более жирный с ECH это ФФ.

Тут наглядно The Illustrated TLS 1.3 Connection: Every Byte Explained

Спасибо )

Скажите пожалуйста если использовать фейк который маскируется под tls clienthello другого сайта то ключ --dpi-desync= должен быть как,например, fake,split2 или просто как split2 без fake? так как будет использоваться ключ --dpi-desync-fake-tls=путь до пейлоада с нужным сайтом?

disorder2 и split2 не предполагают отсылку фейк пакетов, поэтому опции ttl и fooling неактуальны

Насколько понимаю, disorder2 и split2 фейки сами по себе не отправляют, т.е. нужно указывать fake,split2

Объясните пожалуйста, в чем смысл --dpi-desync-ttl=0. Это работает, но не понимаю как, нам ведь надо чтобы фейк пакет дошел до DPI, т.е .по идее значение должно быть положительным числом.

это значит не применять ограничитель по ттл
работает другой ограничитель fooling
или в стратегии нет методов отсылкой фейков

без fake кастомный пейлоад ничего небудет делать
от относится только к фейку

видимо подрос размер. раньше фф выдавал 517

омск. дом.ру. Вроде отрабатывае эта стратегия. Но потребовалось дополнительно ставить dns-proxy2.
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC=“–dpi-desync=split2 --dpi-desync-ttl=4”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split2 --dpi-desync-ttl=4”
NFQWS_OPT_DESYNC_HTTPS=“–dpi-desync=split2 --dpi-desync-ttl=4”
#NFQWS_OPT_DESYNC_HTTP6=
#NFQWS_OPT_DESYNC_HTTPS6=
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=split2 --dpi-desync-repeats=6”
#NFQWS_OPT_DESYNC_QUIC6=

А если этот параметр не указывать, то ограничитель по TTL применяться не будет или будет применено какое-то дефолтное значение?

То есть если сделаю флаг --dpi-desync=fake,split2 и --dpi-desync-fake-tls с кастомным пейлоадем он будет работать

а если --dpi-desync=split2 и --dpi-desync-fake-tls то уже нет. Все правильно?

Да, именно так

В split2 нет фейка как и в disorder2. Точнее tls helo есть в fake

Конец недели…

верно

не будет
он делает лишь то, что ему сказали
даже если это поломает конект
никаких шаблонов

split не работает с удп
куик не дурится

ясно, спасибо

Тест

Никто не сталкивался с проблемой на ТВ с ОС vidaa?

Хочу попробовать наконец-то zapret на Linux, но совершенно запутался в документации. Я для начала хочу просто попробовать запустить программу указав путь до файла в коммандной строке. Подскажите с какими параметрами нужно ее запустить на данный момент конкретно для Ютуба.
И какие оптимальные правила для nftables использовать? Здесь тоже запутался.

китайцы вообще для оптимизации, если сами что-то рожают, отклоняются от стандартов, поэтому можете ожидать, что угодно
видел их оборудование, которое с частью оборудования по 100-1000BASE линк толком не могли поднять
HDMI порты без питания
вероятно и с ip у них может упрощено до минимума, чтобы работало только в идеальных условиях
мой совет на будущее, берите просто хороший ТВ, а смарт к нему докупайте в виде Андроид (кому и яблоко) ТВ приставки, только опять же не лютый китай, а нормальные, я для себя выделил Mi Box (да, Китай, но качественный), родные от Google и т.п.
либо (я так понял ОС linux) ищите способ зайти как-то в его консоль (как это по нашему) и поставить запрет прям на телек )

Ну а смысл у некоторых людей и на lg и на самсунгах обходы не работают

я имею ввиду просто хороший ТВ (матрица, звук, но без смарт)… хотя не уверен, есть ли сейчас такие
но даже если у вас со смарт, никто не запрещает добавить ТВ box и пользоваться им, вместо встроенного
хотя, даже у родной гугл приставки я нашел косяк (видимо разные бригады работают) ipv4 протокол приоритетней чем ipv6

@bolvan Подскажите, пожалуйста, можно ли подобрать через blockcheck стратегию обхода для конкретного GGC (типа rr…googlevideo.com)? И если да - верно ли написана инcтрукция https://ntc.party/t/подбор-рабочего-конфига-для-ggc-ютуба-через-blockcheck/ ?

у меня сейчас ютуб работает с такими параметрами --dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-any-protocol. Если убрать --dpi-desync-any-protocol, то сайт зависает при открытии. Если это не quic, то на какой протокол срабатывает этот параметр?

Помогите понять картину. Сегодня при разных стратегиях zapret наблюдаю следующее:

Грузится где-то каждое пятое видео, может реже.

Если для видео предлагается хотя бы один GCS вида rrN—sn-5goXXX, то видео проигрывается. Например:
rr1---sn-5goeenes.googlevideo.com 74.125.108.230
rr1---sn-5go7ynlk.googlevideo.com 173.194.6.6
rr1---sn-5go7ynl6.googlevideo.com 74.125.111.38
rr2---sn-5go7ynlk.googlevideo.com 173.194.6.7
rr3---sn-5goeenes.googlevideo.com 74.125.108.232
rr3---sn-5go7ynld.googlevideo.com 74.125.111.72
rr4---sn-5go7ynl6.googlevideo.com 74.125.111.41

Если оба предложенных GCS имеют вид rrN—n8v7XXXX, то видео не проигрывается. Запросы висят несколько секунд и дропаются по таймауту. Например:
rr15---sn-n8v7knel.googlevideo.com 173.194.180.97
rr12---sn-n8v7znzl.googlevideo.com 74.125.153.156
rr12---sn-n8v7kne7.googlevideo.com 173.194.177.222
rr1---sn-n8v7knee.googlevideo.com 173.194.178.19
rr10---sn-n8v7znly.googlevideo.com 173.194.178.220
rr9---sn-n8v7zns7.googlevideo.com 173.194.179.27
rr9---sn-n8v7knes.googlevideo.com 173.194.180.155
rr6---sn-n8v7znly.googlevideo.com 173.194.178.216

Причем, если пинговать адреса из первой группы, с которыми все ок, то для них всех из России пинги ~20мс, из Голландии ~25мс.

Если пинговать проблемные адреса, то из России пинги <3мс, а из Голландии >40мс.

ip у всех вроде американские.

Вчера все работало нормально.

А почему вам вообще адреса из Швеции подсовывает? Вы какой-нибудь ВПН или цензортрекер используете?
Попробуйте через командную строку curl -sv -o NUL https://rr и сюда пару адресов из первой группы и пару из второй.

Нет, не американские. В первой группе у вас Швеция, во второй - Москва.
https://www.nslookup.io/domains/rr1—sn-5goeenes.googlevideo.com/dns-records/

Попробуйте стратегии из вот этого поста.

На адресах ggc стоящих в рф и стыках google в РФ они включили тот самый фильтр что режет фейки. До адресов вне РФ у них руки не дошли.
Поэтому адреса в РФ пробиваются одной стратегией, адреса вне РФ другой.

У меня вообще адреса из обоих списков без обхода достаются

Хорошие:

curl -sv -o NUL https://rr1---sn-5goeenes.googlevideo.com
* Host rr1---sn-5goeenes.googlevideo.com:443 was resolved.
* IPv6: 2a00:1450:400f::6
* IPv4: 74.125.108.230
*   Trying 74.125.108.230:443...
* Connected to rr1---sn-5goeenes.googlevideo.com (74.125.108.230) port 443
* GnuTLS ciphers: NORMAL:-ARCFOUR-128:-CTYPE-ALL:+CTYPE-X509:-VERS-SSL3.0
* found 171 certificates in /etc/ssl/certs/ca-certificates.crt
* found 515 certificates in /etc/ssl/certs
* SSL connection using TLS1.3 / ECDHE_RSA_AES_256_GCM_SHA384
*   server certificate verification OK
*   server certificate status verification SKIPPED
*   common name: *.c.docs.google.com (matched)
*   server certificate expiration date OK
*   server certificate activation date OK
*   certificate public key: EC/ECDSA
*   certificate version: #3
*   subject: CN=*.c.docs.google.com
*   start date: Tue, 27 Aug 2024 14:31:13 GMT
*   expire date: Tue, 05 Nov 2024 14:31:12 GMT
*   issuer: C=US,O=Google Trust Services,CN=WR2
* ALPN: server did not agree on a protocol. Uses default.
* using HTTP/1.x
> GET / HTTP/1.1
> Host: rr1---sn-5goeenes.googlevideo.com
> User-Agent: curl/8.8.0
> Accept: */*
>
* Request completely sent off
< HTTP/1.1 404 Not Found
< Date: Fri, 13 Sep 2024 23:25:14 GMT
< Content-Type: text/html; charset=UTF-8
< Server: gvs 1.0
< Content-Length: 1561
< X-XSS-Protection: 0
< X-Frame-Options: SAMEORIGIN
<
{ [1561 bytes data]
* Connection #0 to host rr1---sn-5goeenes.googlevideo.com left intact

curl -sv -o NUL https://rr1---sn-5go7ynlk.googlevideo.com
* Host rr1---sn-5go7ynlk.googlevideo.com:443 was resolved.
* IPv6: 2a00:1450:400f:8::6
* IPv4: 173.194.6.6
*   Trying 173.194.6.6:443...
* Connected to rr1---sn-5go7ynlk.googlevideo.com (173.194.6.6) port 443
* GnuTLS ciphers: NORMAL:-ARCFOUR-128:-CTYPE-ALL:+CTYPE-X509:-VERS-SSL3.0
* found 171 certificates in /etc/ssl/certs/ca-certificates.crt
* found 515 certificates in /etc/ssl/certs
* SSL connection using TLS1.3 / ECDHE_RSA_AES_256_GCM_SHA384
*   server certificate verification OK
*   server certificate status verification SKIPPED
*   common name: *.c.docs.google.com (matched)
*   server certificate expiration date OK
*   server certificate activation date OK
*   certificate public key: EC/ECDSA
*   certificate version: #3
*   subject: CN=*.c.docs.google.com
*   start date: Tue, 27 Aug 2024 14:31:13 GMT
*   expire date: Tue, 05 Nov 2024 14:31:12 GMT
*   issuer: C=US,O=Google Trust Services,CN=WR2
* ALPN: server did not agree on a protocol. Uses default.
* using HTTP/1.x
> GET / HTTP/1.1
> Host: rr1---sn-5go7ynlk.googlevideo.com
> User-Agent: curl/8.8.0
> Accept: */*
>
* Request completely sent off
< HTTP/1.1 404 Not Found
< Date: Fri, 13 Sep 2024 23:25:19 GMT
< Content-Type: text/html; charset=UTF-8
< Server: gvs 1.0
< Content-Length: 1561
< X-XSS-Protection: 0
< X-Frame-Options: SAMEORIGIN
<
{ [1561 bytes data]
* Connection #0 to host rr1---sn-5go7ynlk.googlevideo.com left intact

Плохие:

curl -sv -o NUL https://rr15---sn-n8v7knel.googlevideo.com
* Host rr15---sn-n8v7knel.googlevideo.com:443 was resolved.
* IPv6: 2a00:1450:4011:4f::21
* IPv4: 173.194.180.97
*   Trying 173.194.180.97:443...
* Connected to rr15---sn-n8v7knel.googlevideo.com (173.194.180.97) port 443
* GnuTLS ciphers: NORMAL:-ARCFOUR-128:-CTYPE-ALL:+CTYPE-X509:-VERS-SSL3.0
* found 171 certificates in /etc/ssl/certs/ca-certificates.crt
* found 515 certificates in /etc/ssl/certs

curl -sv -o NUL https://rr12---sn-n8v7znzl.googlevideo.com
* Host rr12---sn-n8v7znzl.googlevideo.com:443 was resolved.
* IPv6: 2a00:1450:4011:38::1c
* IPv4: 74.125.153.156
*   Trying 74.125.153.156:443...
* Connected to rr12---sn-n8v7znzl.googlevideo.com (74.125.153.156) port 443
* GnuTLS ciphers: NORMAL:-ARCFOUR-128:-CTYPE-ALL:+CTYPE-X509:-VERS-SSL3.0
* found 171 certificates in /etc/ssl/certs/ca-certificates.crt
* found 515 certificates in /etc/ssl/certs

У меня настроена раздельная маршрутизация, и youtube идет не через vpn.

Ну это не объясняет почему вам выдаются серваки из Швеции и из Москвы одновременно. Я такое наблюдал, когда youtube.com пустил через прокси, а googlevideo.com напрямую.

Попробуйте стратегию --dpi-desync=disorder2 или --dpi-desync=split2 --dpi-desync-split-seqovl=1 без всего остального. Там начали фейки блочить недавно, так что у большинства работает только без них.

Попробовал эти две стратегии и все стратегии из вашего поста выше.
Картина везде одинаковая.
Редкие видео грузятся, когда из двух предложенных адресов GCS один “шведский”, а второй “московский”.

Почему он предлагает их одновременно, не знаю.

До вчерашнего дня все работало с параметрами
--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig

А если rst вместо fake в вашу прошлую стратегию запихнуть. Ещё можно фейковый пейлоад свой попробовать. Я пейлоад от гугл диска использую и он вроде проходит. Вот тут написано как.

Если не помогает - проверить нерабочий сервер через blockcheck.

Если всё еще не помогает - заблочить нерабочие сервера через ublock/adblock вот по такой схеме:

||rr*---sn-n8v7*.googlevideo.com^

Возможно, станет лучше.

C rst картина аналогичная.

Про пейлоады вроде выше bol-van писал, что это нерабочая тема.
Пробовал с госуслугами и кастомным google.com с аналогичным результатом, а точнее его отсутствием.

blockcheck предлагает просто disorder2.

Про блокировку через ublock тред читал, но как я понимаю, это поможет только, если в видео хотя бы один из двух предлагаемых GCS адресов рабочий. Второй будет отваливаться быстрее по ublockу, и видео будет грузиться с рабочего. Когда почти в каждом видео оба адреса нерабочие, то это не поможет. Но может я неправильно это понимаю.

К тому же у вас, как я понял, дело решилось добавлением двух блоков из 8 адресов в правила ublock. Я пинговал неработающие адреса и соседние по нумерации, и там счет быстро перевалил за 100.

Может завтра сутра свежим взглядом увижу, чего не замечаю.

У меня вариант с кастомным пэйлоадом пока работает, хз.

Пустите сам youtube.com через впн, вам должно больше иностранных серверов начать подкидывать. Трафик идет с googlevideo.com, так что на ВПНе не скажется.

Ну или можно извратиться и смотреть через внешний плеер, если прокси сделать. В mpv, например, прописываете в conf файл:

script-opts=ytdl_hook-ytdl_path=D:\Soft\YT-DLP\yt-dlp.exe
ytdl-raw-options=proxy=[socks5h://127.0.0.1:8888]
ytdl-format='bestvideo+bestaudio/best'
rtsp-transport=tcp
hwdec=auto

Он будет получать ссылки через прокси, а тянуть напрямую.

В mpc-hc тоже можно сделать. Про другие плееры не знаю, не пробовал.

Как это с раздельной маршрутизацией реализуется хз.

На этом мои предложения всё.

2 день не могу победить МТС - вроде бы пишут что эта рабочая-
NFQWS_OPT_DESYNC=“–dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/dtls_clienthello_w3_org.bin”
Но и она не помогла. Вроде бы уже все перебрал, до 12 работало все идеально. Меняя параметры то рутрекер работает, то нет, но ютюб все 2 дня одинаково не работает (либо вообще сайт не открывается, либо открывается со скрипом но видео не грузит).

Жесть ты нагородил. Это до ненужного усложненная стратегия. Попробуй вот из этого поста.

А вообще, просто ищите несколько заблоченных сайтов, прогоняете их через блокчек и пытаетесь совместить найденные стратегии. Касаемо ютуба, под него лучше отдельную стратегию без фейков, тупо disorder2, например. Потому что там нынче блочатся фейки.

Почему до ненужного? У меня как раз такая сейчас работает, только со стандартным пейлоадом. Для многих ресурсов мне хватает --dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-any-protocol, но некоторые эта стратегия ломает. А с вышеуказанной работает почти все, в т.ч. и инста. Совет с блокчеком правильный, вот только знать бы еще как совместить несколько результатов в одном чтобы работало все. )

Попробовал все 6 из поста сейчас - рутрекер открывается, а ютюб нет, либо со скрипом загружает превьюхи, а самое видео нет.
Какие я только не пробовал за 2 дня, просто все тут не перечислю, по ютюбу результат нулевой. А вот рутрекер то отваливался то работал при переборе стратегий.
Пока перебирал так этот сайт отвалился, так как он в списке есть. Пока вернул старую

Инста по айпи заблочена на большей части территории. Она открывается если тебе dns другой айпи подсовывает. От gdpi это не зависит. Я уже об этом писал.
Стратегия реально слишком сложная. --dpi-desync=fake,disorder2 --dpi-desync-fooling=badseq должно хватать. Если badseq блочится, то md5sig. Если фейк блочится, то rst. Или кастомный пейлоад. Или --dpi-desync-fake-tls=0x00000000
Для googlevideo.com отдельный инстанс с --dpi-desync=disorder2 без всего.

Мне днс выдает 157.240.205.174, причем в браузере открывается, а curl-ом не цепляется, возможно блокировка по user-agent.

157.240.225.174 доступен, а другой их айпи 31.13.72.174 - нет. О том и речь. Это рулетка, какой тебе айпи подсунет dns. И этот айпи тоже заблочен.
Он даже не пингуется.
В браузере чтобы проверять блокировки надо обновлять страницу через ctrl+F5, иначе она просто из кэша может загрузиться.

Через курл проверка вот так делается: curl -sv -o NUL https://www.instagram.com --resolve www.instagram.com:443:157.240.225.174

Ну вот это тоже прямо сейчас перебрал, рестартил, затем пытался зайти - сюда и на рутрекер без проблем, ютюб то грузит превью, то нет, но видео совсем нет.

Вы хостлист используете же? Не надо весь трафик пускать через zapret. Сам youtube.com и ytimg.com сейчас вроде не блочат. Это может помочь с превьюхами.

А для видосов надо пробовать тупо disorder2 для googlevideo.com. Там блочат фейки. Поэтому видосы и не пашут. Это только для этого домена.

Если у тебя нет хостлиста, то можно сделать автоматический --hostlist-auto="hostlist.txt" который будет сам наполняться доменами, которые не открываются.

В СПб этот адрес не заблокирован, видимо поэтому у меня он открывается.
С вашей командой результат такой проверки:

• Recv failure: Connection was reset
• schannel: failed to receive handshake, SSL/TLS connection failed
  А в браузере нормально открывается, но видео по прямой ссылке могут со 2-3 раза открываться, наверное из-за попадания на заблокированные диапазоны ip.

Ну это вам RST пакет присылают в подарок от РКН, он разрывает соединение. Попробуйте с тем айпи, который вы сами давали: curl -sv -o NUL https://www.instagram.com --resolve www.instagram.com:443:157.240.205.174
И заодно ping 157.240.205.174

Да хостлист. youtube.com и ytimg.com нет в хостлисте. До видео у меня редко доходит, которое не грузится при любой стратегии. Пробовал без хостлиста - с ютюбом тоже самое.

bolvan
вот вы говорите, не нужно слепо копипастить, тут разбираться нужно. А как тут разобраться, если ничего не понятно? Я пытался использовать nfqws, а с меня в ответ требуют задать значение --qnum. Я обращаюсь к документации и нахожу там следующее --qnum=N номер очереди N. Сразу возникают вопросы какой номер? какой очереди? какими эти номера вообще бывают и как выбрать себе подходящий? Ответов нет. В итоге я ищу готовое решение и копипастю его. --qnum=200 А что это такое и почему именно 200 я хз до сих пор.

Пробовали без хостлиста просто --dpi-desync=disorder2 без ничего? Либо --dpi-desync=split2 --dpi-desync-split-seqovl=1 без ничего. Именно видео сами затестить.

Я не совсем вник в вопрос, но если у вас не работает Ютуб, попробуйте только опции для nfqws --dpi-desync=disorder2 --dpi-desync-split-pos=1 --hostlist=somefile.txt

СКОПИПАСТИЛ это из Интернета. У меня работает. Я, правда запускаю все это вручную из командной строки и еще указываю --qnum=200 (не знаю что это )

connect to 157.240.205.174 port 443 from 0.0.0.0 port 44008 failed: Timed out
Не пингуется. Что интересно - в лисе открывается, а в хроме нет, хотя doh у них одинаковый прописан.

Есть небольшие сдвиги. Отключил hostlist (брал его от гудбайдпи вчера) поставил none. При --dpi-desync=disorder2 теперь при заходе на ютюб пишет нет подключения к интернету (до видео не добраться). При --dpi-desync=split2 --dpi-desync-split-seqovl=1 начал быстро открываться ютюб и сами ролики. Убрал none, включил hostlist, работает. Но это только для ютюба, теперь некоторые другие сайты отвалились, некоторые трекеры и инстаграм. Да и ютюб похоже только в браузере открывается, на андроид приставке не грузит.

Я тестил через курл и мне клаудфлеровский doh 2 разных айпи по очереди подсовывал curl -sv -o NUL --doh-url https://one.one.one.one/dns-query https://www.instagram.com. Я хз как это работает

я бы с радостью попробовал, но я в конфиге кинетика настраиваю, и куда --qnum=200 вписать я не знаю
Попробовал вашу стратегию, видео снова поломались и не грузятся.

Сделайте 2 хостлиста. В первом googlevideo.com и ytimg.com. Второй всё остальное.
Потом просто запустите отдельно 2 копии запрета. Первую для ютуба, а вторую как у вас раньше было.

Ещё можно попробовать добавить что-нибудь в стратегию, которая работает для ютуба, например:

--dpi-desync=split2 --dpi-desync-split-seqovl=1 --dpi-desync-ttl=6
--dpi-desync=split2 --dpi-desync-split-seqovl=1 --dpi-desync-fooling=md5sig
--dpi-desync=rst,split2 --dpi-desync-split-seqovl=1
--dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-fake-tls=0x00000000

Может быть, все-таки заведется и будет работать и там, и там… но вряд ли.

1.1.1.1

OpenDNS

К сожалению на приставке (андроид) не идет ютюб ни стандартный ни другой клиент. Возможно нужно NFQWS_OPT_DESYNC_QUIC поправить? Там тоже длинная стратегия, но до 12 сентября работала.

Через quic грузится только сам интерфейс ютуба. Сейчас он вроде доступен без обхода. А видеопоток с quic не связан, насколько я понял.
Попробуйте значение в --dpi-desync-split-seqovl= поменять, может что-то изменится. Ещё можно --dpi-desync-split-pos= присобачить.

@newb1e

C:\Users\1>curl -sv -o NUL --doh-url https://one.one.one.one/dns-query https://www.instagram.com
* Host www.instagram.com:443 was resolved.
* IPv6: 2a03:2880:f20a:e5:face:b00c:0:4420
* IPv4: 31.13.72.174
*   Trying [2a03:2880:f20a:e5:face:b00c:0:4420]:443...
* connect to 2a03:2880:f20a:e5:face:b00c:0:4420 port 443 from :: port 10384 failed: Network unreachable
*   Trying 31.13.72.174:443...
^C
C:\Users\1>curl -sv -o NUL --doh-url https://doh.opendns.com/dns-query https://www.instagram.com
* Host www.instagram.com:443 was resolved.
* IPv6: 2a03:2880:f213:e4:face:b00c:0:4420
* IPv4: 157.240.205.174
*   Trying [2a03:2880:f213:e4:face:b00c:0:4420]:443...
* connect to 2a03:2880:f213:e4:face:b00c:0:4420 port 443 from :: port 10389 failed: Network unreachable
*   Trying 157.240.205.174:443...
^C
C:\Users\1>

Вот так можно альтернативные айпишники попробовать поискать. В сабнет указываем какой-нибудь забугорный адрес. Или вообще рандомный.

C:\Users\1>curl "https://dns.google/resolve?name=www.instagram.com&type=A&edns_client_subnet=124.233.190.94"
{"Status":0,"TC":false,"RD":true,"RA":true,"AD":false,"CD":false,"Question":[{"name":"www.instagram.com.","type":1}],"Answer":[{"name":"www.instagram.com.","type":5,"TTL":607,"data":"z-p42-instagram.c10r.instagram.com."},{"name":"z-p42-instagram.c10r.instagram.com.","type":1,"TTL":60,"data":"163.70.158.174"}],"edns_client_subnet":"124.233.190.94/16","Comment":"Response from 2a03:2880:f1fd:c:face:b00c:0:35."}
C:\Users\1>curl -sv -o NUL https://www.instagram.com --resolve www.instagram.com:443:163.70.158.174
* Added www.instagram.com:443:163.70.158.174 to DNS cache
* Hostname www.instagram.com was found in DNS cache
*   Trying 163.70.158.174:443...
* Connected to www.instagram.com () port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [312 bytes data]
*  CAfile: C:\Users\1\AppData\Local\Microsoft\WinGet\Packages\cURL.cURL_Microsoft.Winget.Source_8wekyb3d8bbwe\curl-8.10.0_1-win64-mingw\bin\curl-ca-bundle.crt
*  CApath: none
* TLSv1.3 (IN), TLS handshake, Server hello (2):
{ [122 bytes data]
* TLSv1.3 (IN), TLS handshake, Unknown (8):
{ [15 bytes data]
* TLSv1.3 (IN), TLS handshake, Certificate (11):
{ [2989 bytes data]
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
{ [264 bytes data]
* TLSv1.3 (IN), TLS handshake, Finished (20):
{ [36 bytes data]
* TLSv1.3 (OUT), TLS handshake, Finished (20):
} [36 bytes data]
* SSL connection using TLSv1.3 / TLS_CHACHA20_POLY1305_SHA256 / [blank] / UNDEF
* ALPN: server accepted h2
* Server certificate:
*  subject: C=US; ST=California; L=Menlo Park; O=Meta Platforms, Inc.; CN=*.www.instagram.com
*  start date: Jun 23 00:00:00 2024 GMT
*  expire date: Sep 21 23:59:59 2024 GMT
*  subjectAltName: host "www.instagram.com" matched cert's "www.instagram.com"
*  issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA
*  SSL certificate verify ok.
*   Certificate level 0: Public key type ? (2048/112 Bits/secBits), signed using sha256WithRSAEncryption
*   Certificate level 1: Public key type ? (2048/112 Bits/secBits), signed using sha256WithRSAEncryption
*   Certificate level 2: Public key type ? (2048/112 Bits/secBits), signed using sha1WithRSAEncryption
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://www.instagram.com/
* [HTTP/2] [1] [:method: GET]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: www.instagram.com]
* [HTTP/2] [1] [:path: /]
* [HTTP/2] [1] [user-agent: curl/8.10.0]
* [HTTP/2] [1] [accept: */*]
> GET / HTTP/2
> Host: www.instagram.com
> User-Agent: curl/8.10.0
> Accept: */*
>
* Request completely sent off

при использовании 1-2 варианта все так же (на пк работает на приставке андроид нет)
при использовании 3-4 варианта ломаются и не грузятся снова видео на ПК (превью есть), вечная загрузка. На андроид приставке нет подключения к сети.

А если --dpi-desync=split2 --dpi-desync-split-seqovl=1 --dpi-desync-fooling=badseq?
Или --dpi-desync=split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fooling=md5sig

Возможно это реально из-за quic или из-за ipv6, хз… Без понятия насчет андроид приставок и как там настроить.

Спасибо, но мне инста вообще-то не нужна, так, к слову пришлась.

Любопытно, я такого у себя не видел. Разных курлов слишком много
Возможно это вот так правильно делается curl -H "Content-Type: application/dns-message" "https://dns.google/resolve?name=www.instagram.com&type=A&edns_client_subnet=64.233.190.94"
Ну или добавить --insecure.

Ну да пофиг)

Попробовал и то и то, на ПК так же, а на приставке мертво. На телефоне андроид нормально, а вот на приставке глухо на всех клиентах. IPV6 вроде как нет.
Автор статьи писал ранее " Предложенный в комментариях вариант убрать режим fake - да это поможет на компьютере и телефоне, но не будет тогда работать телевизорах (по крайней мере тех, которые работают на устаревшем https с tls 1.2), так как только стратегия fake позволяет пробить блокировку с tls 1.2."

bolvan
Я для nfqws скопипастил из интернета команду вида

iptables -I OUTPUT -o <network_interface> -p tcp --dport 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass

И как я понял, там применены различные ухищрения и финифлюшки, чтобы не гнать весь трафик, а только то, что необходимо. Но сейчас повсеместно используется nftables. Вы сами говорили, что nftables в некоторых аспектах значительно превосходит iptables. И вот для nftables правила выглядят подозрительно простыми

nft add rule inet ztest post tcp dport "{80,443}" ct original packets 1-12 queue num 200 bypass
nft add rule inet ztest post udp dport 443 ct original packets 1-4 queue num 200 bypass

А мне хочется не абы какие правила, а САМЫЕ ЛУЧШИЕ! Возможно как-то улучшить правила для nftables или же они уже безупречны?

Печально. Могу разве что предложить вам попробовать сделать свой фейковый пейлоад вот по этой инструкции. Я себе сделал пейлоад от сайта гуглдиска, пока не заблочили, коннект до гуглвидео с ним проходит. Это, наверное, единственный вариант фейка который имеет шансы на работоспособность.

Большое спасибо за помощь и ответы, вы мне очень помогли, половину получилось решить, осталось восстановить только на андроид приставке. Буду дальше думать, премного благодарен.

fooling или ttl нужны для fake и rst, соответственно можно попробовать что-то вроде --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-fooling=md5sig,badsum

Так работает )

Это все прописано, сейчас как раз сделал, на пк и телефоне все хорошо, а на андроид приставке нет, надо делать фейковый пейлоад и пробовать.

так не работает вроде fake с Ютубом со вчерашнего дня. Соответственно и ttl не нужен

fake перед split2 точно прописан?

Вот вам пейлоад от google earth, например. Попробуйте его подцепить через --dpi-desync-fake-tls= и вписать опцию fake в --dpi-desync= И проверьте будет ли работать ютуб.
~тут что то было, а теперь нет~

fake не для ютуба нужен, а для других доменов

NFQWS_OPT_DESYNC=“–dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_earth_google_com_01.bin”
Вот сделал такую, теперь и на ПК работает и на приставке и на телефоне. Возможно что то лишнее добавил в стратегию?

Это не нужно. Ну и списки можно добавить, чтобы запрет все пакеты не колбасил.

Поздравляю
По стратегии, я всё еще считаю её до ненадобности сложной, но, как говорится, работает - не трогай.
И вам надо самому освоить метод создания пейлоадов, потому что их банят и нужны будут новые. Главное используйте для пейлоада домены смежные с гуглвидео: гугл докс, гугл диск, гугл переводчик и т.д.

Он у меня сейчас по hostlist работает.

Почему только их? Фейки же не только при запросе к ютубовским доменам отсылаются.

Огромная благодарность за отзывчивость и помощь. Теперь можно будет дальше смотреть котиков и песиков на ютюбе:) Пэйлоады можно делать по той инструкции что вы выше кидали? И с каких сайтов лучше делать, только смежные с гугл докс, гугл диск, гугл переводчик и т.д? Я просто сейчас использовал ваш, чтобы проверить и сказать каков результат.

Тоже благодарю за содействие. У меня кстати и инстаграм заработал.

Рад был помочь. )

Тебя же зовут “я только спросить”, милок, неужто в очереди никогда не стоял и не знаешь, что это за напасть такая? Ну вот представь, пришёл ты в банк за пенсией, а там две тысячи людей. Кто-то из них new, хотят клиентами стать, кто-то established - у них с уже существующими кредитами вопросы, кто-то related - наследство получить пришли, а кто-то вообще invalid послевоенный, выплату свою законную хочет.
И у каждого своя цель, своя история, и денег у всех по-разному. Если всем одинаковый талончик раздать и в порядке живой очереди обслуживать - времени уйдёт уйма! А помещение-то не резиновое, перегрузится - начнётся переполнение, и клиентов, кто не успел, дропать начнут, мол, приходите завтра.
Негоже это. Вот для того и есть базовые правила фильтрации. Новых клиентов сначала на проверку отправить надо, вдруг они враги народа, да ещё и в неположенные порты ломятся. К текущим клиентам и их родственникам можно попроще отнестись - по ним-то уже вся информация в базе. А вот инвалидов, знаешь, и дропать можно, как говорится, пусть делают что хотят.

Но если тебе “только спросить”, зачем тебе в одной очереди с остальными стоять? На всех таких никакого QoS не напасёшься! Для этого очереди и разделяют, чтобы в разных окошках по разным вопросам консультировали, операции проводили, и на всякие запросы отвечали. А чтобы не путаться, каждой очереди номерок свой присваивают.

А уж какие номера давать - это от тебя зависит. Хочешь - два, а хочешь - двести. Можешь и несколько очередей для одного приложения завести, балансировка нагрузки называется. Ты не ленись, почитай, как подсистема nfnetlink_queue работает. Она ж ещё с 2.6 ядра существует. Глянь документацию, если что непонятно - в код загляни, там всё с комментариями, не запутаешься.

Вот тут написано почему.

Я тебе программист что ли?

Так я глянул --qnum=N номер очереди N ПАРАМ ПАРАМ ПАМ ВСЕ!

Я давно пришел к выводу, что умение объяснять даже очень простые вещи - это особый, вероятно врожденный талант. Не каждому дано. Есть те, которые не могут ничего, кроме как пробурчать себе под нос что-нибудь неразборчивое. Другие так увлекаются малозначительными второстепенными деталями, что в итоге не могут сказать главного. Третьи толкут воду в ступе и переливают из пустого в порожнее. Слов много, а толку мало. Вы вот, например, что сказать-то хотели? Столько много букв израсходавали а смысл?

так может вам тогда к ним не обращаться?

Вчера потестил с пейлодом от гугла, в целом работало, но через час перестали открываться часть сайтов, в том числа и пати, вернулся на дисордер.

Скинь плс конфиг свой для пейлоада еще потестю ради интереса.

Я к болвану обращался. Колобок сам ко мне подкатил.

Попустись, дружище. Тебе на блюдечке принесли полный ответ на твой вопрос, а ты всё продолжаешь гнуть палку “я ничаво нипанимаю”. Не понял один раз — читай. Не понял второй — читай снова. И так до того, пока не станет “понятно”. Документация у zapret хорошая, если и встречается что-то незнакомое, то это сразу гуглится

Так он в инструкции на гитхабе сразу написал, что способ не для простых обывателей и надо разбираться, а после как запрет завирусился пошли инструкции альтернативные для разных устройств, даже альтернативные решения где почти все сделано за вас. Но проблема в том, что вы как и человек выше просто откуда-то копипастите готовый конфиг а потом бегаете по форуму и обвиняете автора, что у вас ничего не работает, хотя можно было бы хоть чуть-чуть прочитать доку, прогнать блокчек и найти себе стратегию под своего провайдера

У меня была проблема на ТВ с ОС TIzen. Её тут описывали на форуме в другой ветке: при использовании split2 либо disorder2 на домен youtube.com перестаёт открывать приложение ютуба на тв, даже просто сам сайт в браузере не открывается. По итогу я нашёл такое решение проблемы:

NFQWS_OPT_DESYNC_HTTPS="--dpi-desync=fake,split2 --dpi-desync-fooling=badsum --dpi-desync-split-pos=1 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_google_com.bin"

NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_google_com.bin"

tls_clienthello_google_com.bin взял в этой теме, спасибо @disappointed

Надо ли было добавлять его в NFQWS_OPT_DESYNC_QUIC не знаю, но сделал это на всякий случай. С таким конфигом работает и на ТВ, и на пк в браузере, и на смартфоне в приложении.

Ещё прикреплю свой
zapret-hosts-user.txt (190 байтов)

Так будет же рандомизация фейков скоро

А я так сразу и написал, что в его инструкции невозможно разобраться.

Я не обвинял автора, что у меня ничего не работает. Я скопипастил, и у меня работает.

Моя святая вера в том что любая программа должна или работать из коробки по запуску, или иметь ГУИ. У запрета ни того ни другого. Он для красноглазиков.

Многие красноглазики не только писать не умеют, но и читать. Я где-то требовал ГУИ и работу из коробки? Я всего лишь тонко намекнул, что руководство пользователя могло бы быть написано чуть лучше.

Не должна, как автор захотел так и будет

ну так покупайте однокнопочное впн решение, там все из коробки работает и гуи есть. Но вы же за это платить не хотите, надо что бы было бесплатно из коробки с гуи

zapret/docs/quick_start_windows.txt at master · bol-van/zapret (github.com)

Всё остальное стоит забыть как страшный сон. Readme в формате Войны и мира писать не принято. Вот то что здесь по ссылке должно быть в релизах. Но Запрет именно потому хорош что умная прога. У автора интеллект выше чем суммарный у всех операторов ТСПУ - этих муравьёв раздавят просто)

Я впн покупал для того чтобы на пэйпале зарегать казахскую карту с казахским же ip - Запрет казахские ip давать я подозреваю не умеет, не для того нужен. А в повседневном режиме я гораздо более простыми вещами пользуюсь.

zapret создавался для шарющих людей в 1ую очередь, автор готов помогать и делает это (судя по его активности) для средне\мало шарющих, но желающих разобраться, остальные ему не интересны) и это его право.
ps
это я к тому что переделки инструкции не будет с его стороны, если только кто то из вне это не сделает.

Ну да нельзя лезть в чужой дом со своим уставом.

Вот зачем мне zapret на Windows? Там GoodbyeDPI работает.

Я тоже не верю, что автор сможет это переделать в что-то принципиально разборчивое. Значит будем дальше копипастить.

Должна быть такая же штука но для Линукса.

Основной readme это Талмуд и даже сам автор говорит что это именно Талмуд.

Вот для Линукса.
zapret/docs/quick_start.txt at master · bol-van/zapret (github.com)

Он падал недавно и не у всех сейчас работает.

Ну это моветон. Запуск скриптов, которые делают все волшебство автоматически, противоречит здешней догме, что надо самому во все вникать и разбираться.

Они все на одних принципах и техниках основаны. Упадет один, упадет и другой.

bolvan
посмотрите мой вопрос а то он уже затерялся.

Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до сервера. Берутся базовые значения TTL 64,128,255, смотрится входящий пакет (да, требуется направить первый входящий пакет на nfqws !). Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию), то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученный TTL больше длины пути, то автоматизм не сработал и берутся фиксированные значения TTL

Можно подробнее про механизм работы autottl? Как долго хранится рабочее значение, по каким событиям пересчитывается? Интересно в привязке к MultiWAN конфигурации.

Вот зачем мне zapret на Windows? Там GoodbyeDPI работает.

Под виндой у неё тоже есть преимущества по сравнению с GoodbyeDPI:

1. Дружит нормально с Kyber и QUIC, не надо ничего отключать в браузерах
2. Автоматический список доменов, который сам пополняется в реальном времени, при обнаружении нового заблоченного не надо его руками вносить в текстовик и перезапускать программу

Как и предполагал, сутра на свежую голову быстро нашел проблему.
Редактировался один файл с настройками nfqws, а запускался другой. Facepalm.

Зато теперь знаю, что на моем прове где-то 5% шведских GCS, а не только российские.

Естественно, заработали все предложенные стратегии без fake, включая голый disorder2, который изначально предлагал blockcheck.

Но пришлось добавить fake и кастомный пейлоад от google.com, чтобы завелся yt на android tv.

Итого, рабочая страта для всех моих устройств сейчас:
--dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=tls_clienthello_google_com.bin --hostlist=youtube.txt

Спасибо за помощь

На гитхабе файл с ECH экстеншном фаерфокса. У меня в посте - без него.

А это сильно как-то влияет на качество дурения dpi?

Скорее всего никак не влияет. Они на SNI смотрят.

А в чем вы измеряете “лучшесть” ? В килограмах или в сантиметрах ?
Правила пишутся под конкретную задачу.
docs/nftables.txt и docs/iptables.txt содержат лишь шпаргалку для тестов
в реальности там может быть масса других нюансов
Разные режимы могут требовать дополнительных правил
ipfrag, autohostlist

На счет ютуба.
Как выяснилось, на моем провайдере старый фейк работает по ipv4, но не работает по ipv6.
На другом провайдере не работает по ipv4.
Причем на некоторых GGC серверах (видимо тех, что нытьем и катанием собирал РКН от провайдеров) не работает, а на некоторых работает.
Запостил в git files/fake/tls_clienthello_www_google_com.bin
Его можно применять для обмана всех сайтов, включая и youtube

А рандомизацию фейков решили не делать?

Сделаю для профилактики. Но как выясняется, это не поможет в данном случае.
Тут надо мультистратегию делать. Пока еще можно без нее. ГуглоСНИ работает.
Но дальше могут начаться такие приколы, что уже никак
Если по той же схеме заблочат еще какой-то ресурс, уже будет не совместить без вывертов с ipset-ами

Какие ваши прогнозы по дурению дпи сколько еще сможет это все держаться, стоит ли уже сейчас озадачиваться покупкой впс?

В новости о выделении 60 лярдов значатся сроки 25-30 годы
Сейчас у них , похоже, не хватает мощностей, чтобы везде круто все заблочить
Но знать что делать надо уже сейчас.
Уметь хотя бы себе xray поднять. Знать чем оплачивать VPS. Иметь какой-то запас биткоинов. Не все будут принимать рублевые карты.
Не лишним будет настроить себе пожарный вариант на VPS. dnstt, например.
dnstt можно сделать ipv6-only, даже если провайдер не предоставляет ipv6 клиентам, но сам к нему подключен, и VPS тоже.
Так можно выжить в случае блокировки IP vps

bolvan
Я ознакомился с вашим мнением на Гитхабе, касательно предложения одного из пользователей отредактировать документацию. Обсуждение этого вопроса меня немного удивило и местами позабавило. Я даже написал ответ, потом передумал и стер.

Ну хорошо, я могу понять и принять вашу позицию. Вы не хотите, чтобы священные тайные знания достались профанам, чайникам и всяким Васянам-скуфидонам. Я понял и даже не осуждаю. Но речь не про упрощенчество, не про то, чтобы любая домохозяйка могла запустить программу нажатием одной кнопки. Но нужно как-то, упорядочить информацию. Где-то описать функциональность более подробно, где-то убрать лишнее, структурировать. Сейчас все изложено как-то путанно и бессистемно.

Я вообще-то ничего с вас не требую. Это так… информация к сведению. Вы высказали свое мнение, я посчитал, что в таком случае имею моральное право высказать свое.

Поэтому я и не отказался от помощи того товарища.
Но на счет безсистемности я не соглашусь.
Система есть. Только она техно-центрирована, а не юзеро-центрирована.
Она пляшет от того, КАК ЭТО РАБОТАЕТ, а не КАК ПРОСТО СДЕЛАТЬ
for educational purposes так сказать

В принципе можно, если там идет блокировка.
Но как выяснилось , для пробития фейком нужен фейк от доменов гугла
blockcheck это пробовать не будет. слишком частно.
А без фейков для tls 1.2 могут предложить не очень хорошие стратегии

Ясно, спасибо. А дефолтный фейк это теперь /opt/zapret/files/fake/tls_clienthello_www_google_com.bin ? Или он не менялся?

Менялся, но дефолтный не сработает. Там whitelist на группу IP адресов некоторых GGC.
См в теме whats new

Что-то не найду здесь про whitelist Zapret: what's new - #148 by bolvan. Или это на гитхабе?

У меня просто fake, disorder2 + badseq, ничего особенного. Ну и пейлоад от гуглдиска + хостлист свой. Вчера ещё все работало, сегодня на первый взгляд тоже, но пока особо не тестил.

угу, я пересел с wssize на fake с пейлоадом, всё робит хорошо

С дополнением от ValdikSS Замедление/блокировка YouTube в России - #196 by ValdikSS стал понятен и ваш пост, спасибо!

Что-то обновленный blockcheck на win у меня стал находить значительно меньше рабочих стратегий. При том, что найденное предыдущей версией и не найденное этой продолжает работать.

с wssize 1:6 (похоже при любых стратегиях) начинаются проблемы с формами логина или ввода данных, напр. проблема залогиниться на госуслуги. при использовании wssize только переход на hostlist или есть другие варианты?

wssize игнорит хостлист и вообще его лучше не использовать, если есть возможность.

В блокчеке ничего особо не менялось.
Но был заменен фейк в nfqws и сделана его рандомизация.
Те стратегии, что работали раньше, и не нашлись сейчас, содержат фейк ?

заменен на tls_clienthello_www_google_com.bin? а рандомизация в чем заключается?

И так, и сяк. Причем, разные запуски чека выдают отличающиеся результаты.
Например, чек не нашел ни одной стратегии для xvideos, но запускаю службу с --dpi-desync=fake,disorder2 --dpi-desync-fooling=badseq/md5sig, и сайт прекрасно открывается.

Для googlevideo вообще только одну нашел --dpi-desync=disorder2 --dpi-desync-split-pos=1, хотя работают и другие, например, --dpi-desync=disorder --dpi-desync-fooling=badseq/md5sig.

Блокчек проверяет TLS 1.2, что является более тяжелым случаем
Броузер использует TLS 1.3. Видимо в этом разница состоит

Разные чеки разный результат - это балансировка. Надо использовать множественные попытки в блокчеке

Читаем соседнюю тему whatsnew
менять на google.com не буду в коде, поскольку это частная затычка под конкретную проблему

На моих провайдерах принципиально результаты блокчек не поменялись после замены фейка в коде
Виндовый и на роутере тоже не отличаются, кроме TTL

Я обычно чекаю и tls1.2, и tls1.3 на нескольких разных заблокированных доменах, потом собираю успешные стратегии в кучу и конструирую одну, которая подойдет для всех. Сегодня обратил внимание, что блокчек стал выдавать менее постоянные результаты на моем прове, разница между запусками сильно заметная, чего раньше не было.

Я не очень-то понимаю как создать вот этот . Файл tls_earth_google_com_01.bin

А как xvideos может открываться, он же даже не пингуется? В браузере там просто редиректит на другой домен. Через check-host.net он ниоткуда не пингуется тоже.

Пинговаться никто не обязан. icmp могут фильтровать.
важен конект на 443, и он есть

Я как-то даже не думал о таком. Мне казалось, раз пинга нет - то заблочено. Буду знать.
С другой стороны, теперь я не понимаю в чем смысл фильтровать icmp.

@ivanixa333
Вот так, через wireshark:

Спойлер

Снимок экрана (6387)1524×969 90.1 KB

Анти ддос.
Система не должна быть источником амплификации атаки.
Любые ответы сверх меры вредны.

А почему все сервера поголовно тогда у себя icmp не блокируют, раз это потенциальный вектор атаки. Я просто впервые такое вижу вообще.

Потому что tunnel over icmp существует. Ркн скоро и этот протокол будет фильтровать если станет мейнстримом

Пинги блокировали кое-где еще в 90-е годы. Этому вопросу 100 лет.
Где-то лимитируют ответы. типа не более 10 в секунду.
Погуглите вопрос, если интересно, это не касается темы

Окей, спасибо за разъяснение.

Вопрос по теме у меня тоже есть. В блокчеке днс-запрос каждый раз делается заново, или только 1 раз в самом начале тестов и потом только этот айпи используется?

@bolvan
не поясните про механизм работы autottl? вычисляется для каждого соединения или сохраняется на какое-то время? интересно в привязке к MultiWAN конфигурации

В readme описано. Ищите по строке “autottl”, пока не наткнетесь на описание

Понимаю, что 90% вопросов заслуживают ответа “проверьте включена ли вилка в розетку”… но

–dpi-desync-autottl=[[:[-]]] ; режим auto ttl для ipv4 и ipv6. по умолчанию: 1:3-20. delta=0 отключает функцию.
–dpi-desync-autottl6=[[:[-]]] ; переопределение предыдущего параметра для ipv6

autottl. Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до сервера. Берутся базовые значения TTL 64,128,255, смотрится входящий пакет (да, требуется направить первый входящий пакет на nfqws !). Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию), то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученный TTL больше длины пути, то автоматизм не сработал и берутся фиксированные значения TTL для атаки.
Техника позволяет решить вопрос, когда вся сеть перегорожена шлагбаумами (DPI, ТСПУ) везде где только можно, включая магистралов. Но потенциально может давать сбои.
Например, при асимметрии входящего и исходящего канала до конкретного сервера.
На каких-то провайдерах эта техника будет работать неплохо, на других доставит больше проблем, чем пользы. Где-то может потребоваться тюнинг параметров. Лучше использовать с дополнительным ограничителем.

При использовании autottl следует протестировать как можно больше разных доменов. Эта техника может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах она стабильна, на третьих полный хаос, и проще отказаться.

Понятного ответа на вопрос: “вычисляется для каждого соединения или сохраняется на какое-то время?” из readme не следует, если притягивать за уши фразу:

(да, требуется направить первый входящий пакет на nfqws !)

Остается вопрос - первый входящий от кого? От заблокированного сервера? От клиента?

Входящий из инета , то есть ответ сервера на SYN - SYN,ACK.
Да, вычисляется для соединения после прихода первого пакета от сервера.
Сохраняется в памяти nfqws в рамках системы conntrack.
conntrack позволяет nfqws по любому пакету найти контекст соединения и использовать stateful информацию
Сама логика подсказывает, что TTL не вычислить по пакетом от клиента, потому что неизвестно расстояние в хопах до сервера. О расстоянии можно судить только по ответам сервера.

С некоторой версии уже довольно давно используется кэширование DNS
Повторно запросы не отправляются. При каждом запросе выбирается случайный ответ по этому домену и версии IP из кэша. Тем самым имитируется выборка случайного ответа из DNS.

А почему? Если сейчас вы добавили рандомизацию или у ркн вайтлист и он даже со стандартным рандомом не пройдет в ютубе?

Вайтлист. Рандомизация добавлена, чтобы не было искушения заблокировать фиксированный пейлоад.
На всякий случай и для других стран.

Блочат кстати любой пейлоад который начинается на байты 0x16 0x03, но если будет потом в этом пакете SNI: google.com, то блок не срабатывает. Пейлоады начинающиеся не на 0x16 0x03 работают и блок пробивают (даже 0x00000000 работает)
А вот 0x1603000000000000000 и тд (до нужного размера пакета) будет заблочен

но такой пейлоад не универсальный…

может просто игнорируют и срабатывает следующая стратегия?
без 16 03 и еще 2-3 байт это вообще не clienthello

Именно блок если пакет начинается на 16 03, дальше может быть все что угодно, абсолютно рандомные данные или просто 0, все равно блок

я имею ввиду вот это игнорируется, есть еще стратегия после fake?
мне просто проверять лень, себе подобрал и теперь до следующей поломки )

6 нулевых фейков нужно чтобы пробить, один нулевой не пробивает

Что есть по вашему пробитие? Может вас просто проигнорировали?

Вот это (пробитие блока на ТСПУ имеется ввиду) (–dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-tls=0x00000000 … +fooling)

root@OpenWrt:~# curl -v https://rr3---sn-n8v7kn7k.googlevideo.com/
> GET / HTTP/1.1
> Host: rr3---sn-n8v7kn7k.googlevideo.com
> User-Agent: curl/8.7.1
> Accept: */*
> 
< HTTP/1.1 404 Not Found
< Date: Sun, 15 Sep 2024 15:15:01 GMT
< Content-Type: text/html; charset=UTF-8
< Server: gvs 1.0
< Content-Length: 1561
< X-XSS-Protection: 0
< X-Frame-Options: SAMEORIGIN
< 
<!DOCTYPE html>
<html lang=en>
  <meta charset=utf-8>
  <meta name=viewport content="initial-scale=1, minimum-scale=1, width=device-width">
  <title>Error 404 (Not Found)!!1</title>
  <style>
    *{margin:0;padding:0}html,code{font:15px/22px arial,sans-serif}html{background:#fff;color:#222;padding:15px}body{margin:7% auto 0;max-width:390px;min-height:180px;padding:30px 0 15px}* > body{background:url(//www.google.com/images/errors/robot.png) 100% 5px no-repeat;padding-right:205px}p{margin:11px 0 22px;overflow:hidden}ins{color:#777;text-decoration:none}a img{border:0}@media screen and (max-width:772px){body{background:none;margin-top:0;max-width:none;padding-right:0}}#logo{background:url(//www.google.com/images/branding/googlelogo/1x/googlelogo_color_150x54dp.png) no-repeat;margin-left:-5px}@media only screen and (min-resolution:192dpi){#logo{background:url(//www.google.com/images/branding/googlelogo/2x/googlelogo_color_150x54dp.png) no-repeat 0% 0%/100% 100%;-moz-border-image:url(//www.google.com/images/branding/googlelogo/2x/googlelogo_color_150x54dp.png) 0}}@media only screen and (-webkit-min-device-pixel-ratio:2){#logo{background:url(//www.google.com/images/branding/googlelogo/2x/googlelogo_color_150x54dp.png) no-repeat;-webkit-background-size:100% 100%}}#logo{display:inline-block;height:54px;width:150px}
  </style>
  <a href=//www.google.com/><span id=logo aria-label=Google></span></a>
  <p><b>404.</b> <ins>That’s an error.</ins>
  <p>The requested URL <code>/</code> was not found on this server.  <ins>That’s all we know.</ins>

А без повторов?
А лучше даже в варешарке посмотреть есть ли там ретрансмишены или ещё чего. Чем автохостлист набивается по документации

Здравствуйте как совместить в единую стратегию
–wf-l3=ipv6 --wf-tcp=443 --dpi-desync=split2
–wf-tcp=80,443 --wf-udp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-autottl=2 --dpi-desync-ttl=2 --dpi-desync-fooling=md5sig

Я не использую листы, без 6 повторов зависает соединение после отправки clienthello

во 2-м варианте нет ограничителя по l3 (ipv4/ipv6), в первом есть.
это специализация ? то есть нужно, чтобы для tcp 443 по ipv6 был split2 ?
disorder2 и split2 - вещи взаимоисключающие. на ipv6 fake,disorder2 не работает ?

Кажется я понял о чем вы. только как совместить split2 fake и disorder2

Вы не отправляете clienthello, вы отправляете мусор. Clienthello должно начинаться с 16. Поэтому у вас и зависает. А пробиваетесь вы с повторами потому, что этот ресурс не блокируют, а тормозят.
@bolvan рассудите

По вашему curl не отправляет clienthello?
я вам говорю про то, что отправка одного нулевого фейка и следом clienthello не пробивает блокировку
а отправка 6 нулевых фейков и следом clienthello пробивает

мы же говорим о пробитии, значит то, что отправляет curl не важно, только фейк, а фейк у вас с мусором, а не с clienthello

так вся суть пробивки тспу в данном случае в том, чтобы у нас clienthello ушел, а serverhello пришел
Как раз таки отправка 6 нулевых фейков позволяет дергать с ip ggc любой sni

ну тогда вы нашли универсальное решение, задосить проход

Никак, они не совместимы.
Если это действительно нужно, придется разносить по инстансам.
Множественные инстансы с разными непересекающимися windivert фильтрами допустимы.
Это аналог специализаций для http/https/http6/https6 в конфиге для linux

Действительно, у меня блокчек на одном из провов дает положительные результаты на мусор фейках там, где clienthello фейки не срабатывают.
Видимо мы имеем дело с множественными DPI, у каждого из которых разные алгоритмы работы.
ТСПУ - это РДП РУ, еще есть скат, хрен знает что там еще на пути стоит
Вот всех их и надо пробить, и вариации бывают очень разные и причудливые

Понятно. А где можно узнать про совместимость --dpi-desync может я сам попробую подобрать.

В доке, где же еще. Там описано что они все делают.
split2 делит запрос на 2 сегмента и отправляет в прямом порядке
disorder2 делит запрос на 2 сегмента и отправляет в обратном порядке
как можно отправить и в прямом, и в обратном одновременно ?

Всех приветствую. Ютуб перестал работать, zapret раньше не пробовал никогда, помогите пожалуйста разобраться с ним, ничего не понимаю, винда 10.

Начать стоит с winws
–wf-tcp=443 --dpi-desync=split2
если нет, то
–wf-tcp=443 --dpi-desync=disorder2

ютубу этого может хватить на компе в броузере

Спасибо, попробую🙏

У меня ютуб работает на split2 а остальная запрещенка на disorder2

Пока разносить стратегии по хостам нельзя, но это задача на ближайшее время, тк сильно назрело
Сейчас можно сделать ярлычки и запускать их по необходимости. Только не забывать прибивать другой вариант. Можно написать батник с taskkill /f /im winws.exe

Ок спасибо вам за замечательную прогу. И что объяснили как это работает

А если мы про openwrt говорим, то можно же по идее повесить tpws чисто для сплита с листом *.googlevideo.com, а nfqws для всего остального с fake,split2 и list-exclude *.googlevideo.com?

И еще вопрос syndata сильно садит скорость, даже если стратегия просто --dpi-desync=syndata, сразу видно падение скорости (даже на спидтесте, но и сайты заметно медленнее грузит). Это всегда так или я что-то упускаю?

я так думаю у вас проблема неработы этой стратегии на ютубе в дефолтном фейке

стоит так попробовать
–wf-tcp=80,443 --wf-udp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-autottl=2 --dpi-desync-ttl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=<PATH_TO>\tls_clienthello_www_google_com.bin

файл tls_clienthello_www_google_com.bin есть в последнем win bundle в blockcheck/zapret/files/fake

В принципе можно, но придется или писать кастом скрипт , или руками это запускать

не должно. syndata не ограничивается hostlist, но скорость садить не должна
это просто посылка липы в SYN пакете, которая игнорится серваком

Возможно глупый вопрос, но всё же.
А я правильно понял, что --dpi-desync-split-seqovl-pattern это аналог --dpi-desync-fake-tls, но в случае использования --dpi-desync-split-seqovl, а не fake ?

nfqws поддерживает опцию --hostlist, так что можно просто второй экземпляр запустить, внучок.

Почти. Только целый файл - это целый файл определенного размера. Он и передается.
А паттерн - это повторяющийся шаблон, который размазывается на размер, определяемый другими параметрами

Не все так просто, дедушка

Думаю, можно запустить два (и более) инстанса nfqws с разными стратегиями и hostlist на разных nft очередях и в nftables прописать последовательное применение этих очередей.

Но это, конечно, не то же самое, как если бы один инстанс nfqws сам разруливал какую стратегию ему применять в зависимости от host. Для этого надо видимо какой-то развесистый json конфиг прикручивать.

Нельзя повесить 2 очереди. NFQUEUE - final target
А если бы и можно было, то это хреновый оверхед.
Я щас делаю мультистратегию. Будет типа такого.

–hostlist a --dpi-desync=split2 --new --hostlist b --dpi-desync=disorder2 …
будет еще фильтр по портам и версиям ip
так что можно будет все запихнуть в 1 инстанс, даже автолисты

плохо только, что народ начнет злоупотреблять этим
там, где стратегии можно было бы обьединить, они начнут писать крокодилов

Да, видимо только через разные ipset’ы.

Элегантно. А дефолтную стратегию при этом можно будет задать? Для хостов не из a, b, …?

Поиск идет до первого match.
Если не написать никаких фильтров, то match всегда true.
Это и есть дефолтная стратегия

Понял. Не воспринял сразу, что разделителем стратегий является --new.
Думал, что --hostlist

Подскажите, а можно ли для каждого сайта делать свои настройки обхода?
А то blockcheck нашел для одного сайта 1 вариант настроек, я для другого сайта другой… и получается так что: или один сайт работает или другой.
Обьединение настроек не дает эффекта для одного из сайтов, все равно не работает. А по раздельности если прописывать варианты настроек, то работают то один то другой в зависимости какие настройки были прописаны.

Вот выше про это и написано. У @bolvan в планах реализовать мультистратегию, чтобы можно было к разным наборам хостов применять свою стратегию.

Прямо сейчас из коробки нельзя, как я понимаю. Надо либо использовать одновременно nfqws и tpws для разных хостов, либо колдовать с несколькими инстансами nfqws и ipset’ами.

окей… ждемс!

Хм, спасибо. То есть в целом такая конструкция адекватна?
"C:\Users\sora\Downloads\Soft\git\zapret-win-bundle\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=disorder2 --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern=C:\Users\sora\Downloads\Soft\git\zapret-win-bundle\blockcheck\zapret\files\fake\tls_clienthello_www_google_com.bin

Неадекватна

seqovl добавляет в начало первой отсылаемой части оригинального пакета (1 часть для split и 2 часть для disorder) seqovl байт со смещенным в минус sequence number на величину seqovl.

Из файла будет использован лишь 1 байт

Скрытый фейк обычно так делается
–dpi-desync=split2 --dpi-desync-split-seqovl=652 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern= tls_clienthello_www_google_com.bin

652 - размер полезных данных из файла. в данном случае там все данные полезны, потому =размеру файла

О, спасибо больше за разъяснение. А что вообще можно почитать в качестве технической базы по сетям в контексте блокировок и их обхода? Необязательно на русском.

О, спасибо Поизучаю.

Нашел два живучих конфига под ютуб

А в чём загвоздка-то? Если в ядре NF_DUP включён, так клонируй исходящий пакет, каждому свою метку присвой и по разным очередям рассылай. А в этом случае, коли один хостлист короткий, можно и без клонирования обойтись: если пакет новый да домен американского видеосервиса содержит - сразу пихай сюды, а если нет - туды отправляй, там разберутся. Всяко веселей, чем прокси со своими причудами и опциями. Или, может, я какую-то другую проблему упускаю?

Не нужен этот изврат, скоро будут мульти-профили

Свежеустановленный Zapret на OpenWRT на роутере, попытки посмотреть Youtube без успеха.
(на ноуте и смартфоне)
Хотя на телефоне ByeDPI пробивает легко при split в позиции 2.

Zapret status = running. При вводе iptables -L не показывает ни одного правила (может так и должно быть? не знаю…)

В zapret пробовал параметры
–dpi-desync=split --dpi-desync-split-pos=2
–dpi-desync=split2 --dpi-desync-split-pos=2
–dpi-desync=split2 --dpi-desync-split-pos=10
–dpi-desync=split2 --dpi-desync-split-tls=sni
из них последние два варианта рекомендованы после blockcheck.
stop_fw не влияет

Что еще можно посмотреть, где искать причину?

Я пока остановился на этом:
NFQWS_OPT_DESYNC=“–dpi-desync=disorder2 --dpi-desync-fooling=badsum”
билайн, одна строка

iptables -nvL POSTROUTING -t mangle

Еще у nfqws есть --debug=@/path/to/logfile

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 NFQUEUE    tcp  --  *      br-lan  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 connbytes 1:6 connbytes mode packets connbytes direction original mark match ! 0x40000000/0x40000000 ! match-set nozapret dst NFQUEUE num 200 bypass
    0     0 NFQUEUE    tcp  --  *      br-lan  0.0.0.0/0            0.0.0.0/0            multiport dports 443 connbytes 1:6 connbytes mode packets connbytes direction original mark match ! 0x40000000/0x40000000 ! match-set nozapret dst NFQUEUE num 200 bypass
    0     0 NFQUEUE    tcp  --  *      br-lan  0.0.0.0/0            0.0.0.0/0            multiport dports 80 mark match ! 0x40000000/0x40000000 ! match-set nozapret dst NFQUEUE num 200 bypass

да, так показывает
всё ли здесь правильно?

На новом openwrt используются nftables. Если были выбраны iptables - это плохо.

Без ограничителей split 100% ломает соединение, поскольку отсылкает фейки.
split2 фейков не отсылает и не нуждается в ограничителях

Надо смотреть дебаг log nfqws

Спасибо вам, маэстро, что помогаете! Всем спасибо.

сейчас с логом разберемся, пока ничего не трогаю, и поменяю на nftables.

вот так?
/opt/zapret/binaries/mips32r1-lsb/nfqws “–qnum=1 --debug=syslog --dpi-desync=split2 --dpi-desync-split-pos=2”

данная команда выдала в терминал

opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue ‘1’
setting copy_packet mode
initializing raw sockets bind-fix4=0 bind-fix6=0
Running as UID=******* GID=********

…и остановилась, не закрылась. Ничего не происходит. Прервал по Ctrl+C.

Так нормально. Запустилась и работает, тестируйте.
Хотите иметь фоном - устанавливайте по полной форме, в README описано.

сислог читается по logread в openwrt
можно так : logread | grep nfqws
если надо на консоль, то надо было --debug без параметров указывать

Скрипт для тех, кто хочет сделать свой собственный fake пакет с TLS ClientHello с определённым доменом.
Вариант использования: ./capture_tls_client_hello.sh example.com
capture_tls_clienthello.sh (1.1 KB)

Круто, спасибо!

а под openwrt такое не получится?

Попробуйте накатить curl, tshark, jq самостоятельно и удалите строчки с apt install. В пакетах на openwrt не разбираюсь, не знаю есть ли tshark (jq вроде как должен быть)

(nc -l -p 4343 > hello.bin) & curl https://www.google.com --connect-to ::127.0.0.1:4343 -m 1

Подскажи пожалуйста, четвертый день мучаюсь с подбором стабильного конфига в итоге после очередного изменения и перезапуска:
service zapret stop
service zapret start

проверка по curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null перестала показывать скорость и ютюб перестал быстро открывать видео.
С tpws вроде работает, но тоже нестабильно.

Снес скрипт полностью, установил заново с выбором nfqws, не помогло.
Вот лог, если правильно снял, не разобрался как запускать /opt/zapret/binaries/aarch64/nfqws --debug=@/tmp
пишет - cannot create /tmp

root@OpenWrt:/# logread | grep nfqws
Tue Sep 17 19:42:28 2024 daemon.notice procd: /etc/rc.d/S21zapret: Starting daemon 2: /opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync-fwmark=0x40000000 --dpi-desync=rst,disorder2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=badsum --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
Tue Sep 17 19:42:28 2024 daemon.notice procd: /etc/rc.d/S21zapret: Starting daemon 10: /opt/zapret/nfq/nfqws --qnum=210 --user=daemon --dpi-desync-fwmark=0x40000000 --dpi-desync=fake --dpi-desync-repeats=6 --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
Tue Sep 17 19:42:28 2024 daemon.notice procd: /etc/rc.d/S21zapret: Adding nftables ipv4 rule for nfqws postrouting (qnum 200) : tcp dport {443} ct original packets 1-6 mark and 0x40000000 == 0
Tue Sep 17 19:42:28 2024 daemon.notice procd: /etc/rc.d/S21zapret: Adding nftables ipv4 rule for nfqws prerouting (qnum 200) : tcp sport {443} ct reply packets 1
Tue Sep 17 19:42:28 2024 daemon.notice procd: /etc/rc.d/S21zapret: Adding nftables ipv4 rule for nfqws postrouting (qnum 210) : udp dport {443} ct original packets 1-6 mark and 0x40000000 == 0

zapret-hosts-user.txt заполнен по инструкции “Обход замедления youtube в России”
Провайдер домру Казань

до этого работало не стабильно, то 50,000-170,000 kbps скорость, то падает до 4000 kbps. Протокол в основном http/1.1 во вкладке сеть в хроме, или по h3 пытается загрузить.

nc_tls_clienthello.sh (712 Bytes)

Чем больше я пытаюсь разобраться в логике работы программы, тем меньше я понимаю. Например, блокчек выдал такой результат для nfqws

nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=3

1. fake и split2 можно применять вместе, но НУЖНО ЛИ? или лучше/достаточно выбрать что-то одно?

2. почему с опциями nfqws --dpi-desync=fake,split2 программа запускается, но если fake и split2 поменять местами: nfqws --dpi-desync=split2,fake, программа выдает ошибку invalid desync combo : split2+fake

3. Блокчек выдал значение --dpi-desync-ttl=3, но в руководстве при этом написано следующее:

Опции nfqws для атаки десинхронизации DPI :

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="–dpi-desync=fake –dpi-desync-ttl=0

Что вообще значит ttl=0 ? (и -dpi-desync-ttl=5 для ip v6)

split2 режет пакеты, но не отправляет фейки. split режет пакеты и отправляет фейки. но эти фейки - просто пустые пакеты. поэтому fake нужен для отправки конкретных фейков (можно указать пакет при помощи --dpi-desync-fake-tls), чтобы обойти проверку по sni в случае ютуба, например. так что эти режимы можно применять как вместе, так и отдельно - всё зависит от требуемой стратегии.

читаем про комбинирование, там указанj какой метод на какой позиции можно применять

я тоже не совсем понимаю зачем указывать нулевой ttl, ведь по умолчанию zapret не модифицирует ttl, по идее
но в целом, касательно опции --dpi-desync-ttl, она применяется для того, чтобы фейковые пакеты не ушли дальше dpi. её значение надо подбирать исходя из того как устроена маршрутизация у твоего конкретного провайдера. также эту опцию можно комбинировать с --dpi-desync-fooling. или наоборот, использовать fooling без ttl (как раз вариант с ttl=0).
для ipv6 опция, кстати, другая --dpi-desync-ttl6

Спасибо вам за всё, в том числе за эти разъяснения и “фейковый фейк” для обхода SNI и за обновление с мультипрофилями.

Это совсем не очевидно. Ведь написано:

Параметры манипуляции могут сочетаться в любых комбинациях.

Я под любыми комбинациями понимаю и любой порядок тоже. Про эти фазы не расписано что они из себя представляют. Поэтому непонятно если split2 разрезает пакет на части, но не отправляет фейки, а fake отправляет фейки, то почему fake + split2 не равно split, который и разрезает пакеты и отправляет фейки? Логика работы мне не ясна. Вот это я и имел в виду, когда говорил, что мануал написан путанно.

Ааа, вот оно что! split - это разрезанный пакет и неконкретные фейки, а fake+split2 - это порезанный пакет и КОНКРЕТНЫЕ фейки! Яснее не стало.

@bolvan winws падает в такой конфигурации при попытке открыть сайт из последнего профиля:

.\winws_multi --wf-udp=443 --wf-tcp=443 --filter-udp=443 --hostlist=hosts_all.txt --hostlist=hosts_yt.txt --dpi-desync=fake --new --filter-tcp=443 --hostlist=hosts_yt.txt --dpi-desync=disorder2 --new --filter-tcp=443 --hostlist=hosts_all.txt --dpi-desync=disorder2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sni

Если в последнем профиле использовать --dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig, то работает.

Предыдущая версия без мультипрофилей с --dpi-desync=disorder2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sni работает без падений.

И каким образом он начнет писать лог прямо в директорию, а не в файл ?
Конечно, каннот

Только ради того, чтобы в любой момент подредактировать 1 циферку и не вспоминать как зовется опция.
Так же как и fooling=none

метод нулевой фазы - это то, что делается на этапе установления соединения, еще до запросов и известного hostname
метод первой фазы - это то, что делается до отправки значимой части запроса. такой, как tls clienthello или http request или wireguard handshake initiation и тд
метод второй фазы - это то, что делается непосредственно со значимой частью запроса. как издеваться над ней

fake : fake TLS, real TLS
fake, split2 : fake TLS, кусок 1 real TLS, кусок 2 real TLS
fake, split : fake TLS, нули в размере 1 куска real TLS, кусок 1 real TLS, нули в размере 2 куска real TLS, 2 кусок real TLS
split2 : кусок 1 real TLS, кусок 2 real TLS
split : нули в размере 1 куска real TLS, кусок 1 real TLS, нули в размере 2 куска real TLS, 2 кусок real TLS

сейчас бы я называл split = split4. но так исторически сложилось, а ломать уже настроенные конфиги не хочется

Итак, в продолжение вчерашней темы с zapret на роутере с OpenWRT ради Youtube:

• –debug ничего не показал, ошибок в логе нет
• проверки blockcheck выдают более-менее одинаковые результаты, всегда похожие на –dpi-desync=fake --dpi-desync-ttl=3 и –dpi-desync=split2 --dpi-desync-split-pos=5
• при активном zapret с настройкой –dpi-desync=fake,split2 --dpi-desync-split-pos=2 --dpi-desync-ttl=3 проверка blockcheck всегда утверждает, что домены Ютуба доступны и не нуждаются в bypass
• но Ютуб не работает (проверяю на компе и смартфоне)
• при этом стандартный goodbyedpi.exe -9 --blacklist на компе и ByDPI на смартфоне с split 2 справляются легко

О чем это говорит?

Это говорит о том, что Ютуб у нас никто не блокировал, а только замедлял. Поэтому blockcheck успешно находит стратегии

Попробуйте оставить только --dpi-desync=split2 --dpi-desync-split-pos=1

попробуй так Подбор рабочего конфига для GGC ютуба через blockcheck - #20 by TesterTi

Компьютер и телефон подключены по WiFI к роутеру с zapret. Пробую вашу строку параметров.

На компе результат никакой (((

На смартфоне медленно открылась главная страница Ютуба (которая с поиском и без рекомендаций). Затем поиск даже выдал какие-то результаты, потом через время появились превью видео, но произвольно выбранное видео не открылось. Вернулся к результатам поиска, а вот обновить страничку уже не вышло - висит с серыми блоками вместо превью…(((
И всё это очень медленно…

Чего-то явно не хватает в параметрах, только вот чего?

Ок, спасибо, попробую!

Спасибо. fixed

Это значит ничего и не происходит. Он ничего не обрабатывает.

/opt/zapret/binaries/mips32r1-lsb/nfqws “–qnum=1 --debug=syslog --dpi-desync=split2 --dpi-desync-split-pos=2”

С чего взят номер очереди 1 ?

/etc/init.d/zapret stop
/etc/init.d/zapret start_fw

и номер очереди должен быть 200, если не заданы уточняющие параметры для HTTP,HTTPS
если уж запускаете в консоли, то можно и без syslog. с syslog он ничего в консоль не выведет.
или в файл --debug=@/tmp/log.txt

выяснить точнее что запускается скриптами zapret можно через
/etc/init.d/zapret start_daemons
/etc/init.d/zapret stop_daemons

Фильтра по хостлисту или ipset нет ?

Мультипрофили - это вещь хорошая, я вот твою программку попробовала, скомпилировала с коммита 85de6f. За пару минут стратегии для одного провайдера настроила, трёхфазный nfqws как часики швейцарские заработал. И крёстный ход на Ютюбе посмотреть можно, и как молодёжь кувыркается - тоже.
Работает прямо из коробки, без всяких мудрёных шелл-скриптов, благо были запасные очереди с флагом bypass для, так сказать, горячей замены. Молодец!

Но всё же, очередь - она и в Африке очередь. Даже если многопоточно обрабатывать, вход и выход-то у неё последовательные. Значит, малейшая задержка может сразу на всё повлиять, особенно если настройки слишком мудрёные придётся применять. Один пользователь программку не нагрузит, а вот если это шлюз?
Поэтому лучше очереди делить - хотя бы по адресам распределять, или numgen приспособить. А в идеале по хостам, чтобы у каждого фильтра был свой pid. А там уж хоть nice им ставь, хоть через cgroups политики настраивай, чтобы лайвстримы в реальном времени без задержек шли, а форумы, как этот, уж как получится.
Это я к тому говорю, что на будущее стоит об этом подумать, особенно если стратегии сложнее станут. И для масштабирования, где возможность есть, и для алгоритмов, чтобы сеть не сломалась, когда одна TCP сессия по разным процессам разлетится.

Если в linux *tables настроены правильно с ограничителем по connbytes, то вряд ли оно сильно нагрузит. Оно будет обрабатывать по 10-20 пакетов на каждое соединение, что вообще ни о чем по нагрузке на CPU.
Но если у вас получится сделать так, чтобы на каждое tcp соединение (connmark) пакеты будут приходить одному инстансу nfqws, то это тоже вариант.

Можно не использовать хостлист фильтры, а только ipset.
Загонять в ipset целые ASки проблемных ресурсов с прыгающими IP.
ASN google, ASN meta corp и тд
Остальное загонять через ресолв листа.
Тогда nfqws вообще не будет трогать ничего остального, и оно не сможет сломаться.

Апните репу, пересоберите проект, добавьте к правилам с fake следующий параметр

 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin

и в теории это всё, что требуется, что обойти текущие блокировки (в смысле текущие проблемы с fake, т.к. как я понял в данный момент fake не работает только с GGC, остальные сайты с ним прекрасно открываются)

Ох, спасибо вам, уважаемые. И особенно респект автору за скрипт и техподдержку!

Номер очереди ставил и 200. Результат такой же. (увидел на гитхабе чьи-то дампы с –qnum=1 и –qnum=200 и делал как попугай

нет

Вот у меня тоже такие подозрения…

С --debug я не никогда не видел больше чем это после запуска/перезапуска, и при посещении сайтов там строки не добавляются:
initializing conntrack with timeouts tcp=60:300:60 udp=60
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue ‘200’
setting copy_packet mode
initializing raw sockets bind-fix4=0 bind-fix6=0
set_socket_buffers fd=5 rcvbuf=2048 sndbuf=32768
fd=5 SO_RCVBUF=4096
fd=5 SO_SNDBUF=65536
set_socket_buffers fd=6 rcvbuf=2048 sndbuf=32768
fd=6 SO_RCVBUF=4096
fd=6 SO_SNDBUF=65536
Running as UID=1 GID=1
set_socket_buffers fd=4 rcvbuf=65536 sndbuf=32768
fd=4 SO_RCVBUF=131072
fd=4 SO_SNDBUF=65536

Доктор, скажите - есть ли шансы?

Такое вряд ли может быть, если не сделано что-то совсем не то
Надо выбрать в сетапе нфтаблес, пройтесь по всему заново
Остановить демоны
/etc/init.d/zapret stop_daemons
Запустить в консоли nfqws --qnum 200 --debug (без =syslog)
Дергать сайты
Еще посмотреть
nft list table inet zapret
Если были установлены iptables, то снести все правила
iptables -F
iptables -F -t mangle
iptables -F -t nat
ip6tables -F
ip6tables -F -t mangle
ipt6ables -F -t nat
И вообще лучше переделать весь роутер заново, раз такие безумные попытки были с iptables
firstboot

Это само собой разумеется, даже ct original packets < 7 вполне хватает, но порою столько короткоживущих соединений открывается - хоть вешайся.

Свой остаточный фильтр я так организовала: беру хеш от L3 адресов и портов (для IPv4 это 12 байт всего), выбираю из него три бита (ибо обработчиков у меня восемь) и ставлю меткой, а потом уже по метке выбираю очередь (ct mark vmap { 0 : 666, 1 : 667, 2 : 668, 3 : 669, 4 : 670, 5 : 671, 6 : 672, 7 : 673} queue flags bypass). Но ума в этом, конечно, немного - простая слепая балансировка, никакого QoS.
В простейшем случае думаю, что можно третий бит сделать управляющим: пускать 5-8 очереди на соединения по известным признакам (те же сеты ip, еле ворочающиеся при большом количестве в одной группе, или даже SNI распознавать), а 1-4 - по остаточному принципу. Либо процессов побольше запустить - параллелизьм в этом деле никогда не навредит. Вот бы и с QUIC новомодным всё так просто было, как с TCP…

Боюсь я, что такая мера слишком темпоральненькая и от обновлений зависимая. Время нынче такое, час от часу не легче, глядишь - вся 0/0 проблемной окажется…

А мне вот кажется, это от лукавого всё. Пущай и трогает, и ломает. Мы же ничего не нарушаем, TCP спецификацию чтим и соблюдаем. Сами сломались - сами пускай и чинятся, нечего им конкурентное преимущество давать только за то, что их слуги сатаны блокировать не хотят. То бишь, говоря терминологией мультипрофилей - последний, fallback профиль, должен работать без --hostlist вовсе. Но это, разумеется, каждый должен сам за себя решить.

Пожалуйста подскажите как суммировать в конфиге данный метод вместе с "disorder2 ". Заранее спасибо!

--dpi-desync=fake,disorder2 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin

Привет!
Подскажите пожалуйста, пытаюсь найти аналог byedpi для корректной работы дискорд. с bdpi приложение запускается, но дальнейшее подключение к vc (звонку) остаётся не возможным. (не подлючается, либо на стадии “connecting” or “connecting to RTC”. Без bdpi приложение соответственно вообще не работает. Сюда собственно пришёл по референсу (см. скриншот).

По сути дела, вопрос прост, есть ли возможность решить вышеописаную проблему с zapret?

image833×210 4.98 KB

Вы уже пробовали preset_russia.cmd, в вашем случае не решает?

Только что буквально в процессе воспроизведения ютуба сломалась стратегия disorder2, которая нормально работала даже после того, как сломали дефолтный fake. К счастью, preset_russia.cmd из свежего zapret-winws заработал без проблем.

То же самое. Пришлось переключить профиль для YT на split2.

у меня наоборот, ещё прошлой ночью перестал работать режим fake,split2 (как с рандомным фейком, так и гугловским). помогло переключение на disorder2 и пока работает (речь про tcp, на udp я забил). но с этим режимом не грузятся видео с твиттера, интересно почему

Тоже отвалился disorder2 до ростелекомовских ggc (спб).
Работает --dpi-desync=split2 --dpi-desync-split-seqovl=1.

Новосибирск, новотелеком, мин 10 назад тоже начал блочиться googlevideo.com --dpi-desync=disorder2

Да, похоже сборку TLS из сегментов порезанных по границе второго байта не осилили. На этом все и держится. Пока.

просто disorder2 на split2 меняем и едем

Сейчас работает с:
list-youtube.txt (384 байта)
NFQWS_OPT_DESYNC=“–hostlist=/opt/zapret_lists/list-youtube.txt --dpi-desync=split2 --dpi-desync-split-seqovl=1 --new --dpi-desync=disorder2”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=split2”

это бессмысленно

а seqovl только у меня с hostlist не работает?
вчера убирал заблоченые домены из листа и на них всё равно заходилось если стратегия --dpi-desync=split2 --dpi-desync-split-seqovl=1

(/opt/zapret/ipset/./clear_lists.sh + /opt/zapret/ipset/./get_config.sh делал)

с хостлистом имеют проблемы только wssize, syndata и synack, остальные - нет

да вот я тоже так понимал по ридмишки, странная фигня ну да ладно
ps
делал /etc/init.d/zapret restart после изменений в конфиге, может правильней как то по другому

Всегда можно --debug сделать и посмотреть что делается по отношению к “сайту под вопросом”

Прошу разъяснить почему. Спасибо.

Из readme:

Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2,udplen,tamper.

Разбивка UDP на пакеты теоретически возможна по пейлоаду, вот только это сломает почти каждое приложение. Проги, работающие с UDP, ожидают доставку датаграмм в том виде, в каком они отправлялись. С тем же размером. Автоматической состыковки в единый поток на уровне ОС нет, а в приложении даже если такая состыковка есть, то она построена на своей логике. Логика состыковки QUIC основана на содержимом пакетов, а не просто “в ряд” один за одним. Ведь там могут быть и потери, и disorder. Состыковать в правильном порядке просто по факту получения пакетов невозможно. Приложение вынуждено придумывать свои схемы управления потоком, и единственная информация, которая поможет это сделать, закодирована в самом пейлоаде. И если мы это порежем, мы сломаем протокол.
Можно резать на уровне IP. --dpi-desync=ipfrag2. Но это работает далеко не на всех ресурсах, поскольку фрагменты часто режутся системами защиты от атак.

Вчера работало, сегодня уже нет. Апстрим весткол.

Подскажите, чтобы включить вывод логов в syslog, нужно в опции ‘NFQWS_OPT_DESYNC="–debug’ добавить? Что-то readme читаю, не могу понять, логи не выводятся…

–debug=syslog

мгтс мск на android tv заработало ток в таком виде + hostlist

Тоже работает эта стратегия.

Спасибо! Работает.

Завирусилось )

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=split2”

только вот это бред

Спасибо. Понял ошибку. Закомментирую

Прошу подсказать почему это не рабочая конструкция. вторая часть не работает и бесполезна…

–dpi-desync=split2 --dpi-desync-split-seqovl=1 --new --dpi-desync=disorder2

Потому что если в первой части нет фильтров (по протоколу, ip, хостлисту и т.д.), то под нее подпадает все и вторая часть ни на что не влияет.

Здесь все правильно?
NFQWS_OPT_DESYNC=“–hostlist=/opt/zapret_lists/list-youtube.txt --dpi-desync=split2 --dpi-desync-split-seqovl=1 --new --dpi-desync=disorder2”

да

здравствуйте,скажите list-youtube.txt в какую папку класть?

В Windows он уже лежит там, где надо - в папке zapret-winws.

Репостну тут. Не удалось достать до ростелекомовских серверов (rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com) по udp с дефолтным fake или с комплектными пейлоадами - таймаутится. Тестил так:
curl -sv -o NUL --http3-only -X POST https://rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com

Решил вопрос кастомным пейлоадом от гугла и --dpi-desync-repeats=2. Без повторов не проходит и без своего пэйлоада - тоже не проходит. Такие дела.

У меня этот адрес никаким пейлоадом не пробивается с любым кол-вом попыток.
Остальные пробиваются, этот - нет.
Пробивается даже запрос на свой VPSник с initial 'rr2—sn-gvnuxaxjvh-o8ge.googlevideo.com`
Двумя фейками.
Но на оригинальном адресе ответа нет.
Если на оригинальный адрес слать другие initial, то ответ сервера есть с ошибкой сертификата.

Делаю вероятный вывод, что на группе адресов некоторых GGC включен stateless режим

Ну у меня вроде работает, хз. Или я не туда смотрю и потому не вижу ошибки.

curl -sv -o NUL --http3-only -X POST https://rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com
* Host rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com:443 was resolved.
* IPv6: (none)
* IPv4: 178.66.83.173
*   Trying 178.66.83.173:443...
*  CAfile: C:\Users\1\AppData\Local\Microsoft\WinGet\Packages\cURL.cURL_Microsoft.Winget.Source_8wekyb3d8bbwe\curl-8.10.0_1-win64-mingw\bin\curl-ca-bundle.crt
*  CApath: none
* Server certificate:
*  subject: CN=*.googlevideo.com
*  start date: Aug 27 14:31:18 2024 GMT
*  expire date: Nov  5 14:31:17 2024 GMT
*  subjectAltName: host "rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com" matched cert's "*.googlevideo.com"
*  issuer: C=US; O=Google Trust Services; CN=WR2
*  SSL certificate verify ok.
*   Certificate level 0: Public key type ? (256/128 Bits/secBits), signed using sha256WithRSAEncryption
*   Certificate level 1: Public key type ? (2048/112 Bits/secBits), signed using sha256WithRSAEncryption
*   Certificate level 2: Public key type ? (4096/128 Bits/secBits), signed using sha384WithRSAEncryption
* Connected to rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com () port 443
* using HTTP/3
* [HTTP/3] [0] OPENED stream for https://rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com/
* [HTTP/3] [0] [:method: POST]
* [HTTP/3] [0] [:scheme: https]
* [HTTP/3] [0] [:authority: rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com]
* [HTTP/3] [0] [:path: /]
* [HTTP/3] [0] [user-agent: curl/8.10.0]
* [HTTP/3] [0] [accept: */*]
> POST / HTTP/3
> Host: rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com
> User-Agent: curl/8.10.0
> Accept: */*
>
* Request completely sent off
< HTTP/3 404
< date: Thu, 19 Sep 2024 16:23:08 GMT
< content-type: text/html; charset=UTF-8
< server: gvs 1.0
* HTTP/3 stream 0 reset by server
* Connection #0 to host rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com left intact

На разных провах по-разному видимо

У человека с ТТК из темы что я репостнул выше тоже quic завелся на его адресах. Его сервера мне тоже не удавалось достать.

Если при install_easy не спрашивает LAN и WAN - это ведь ненормально?
Почему такое может быть?

Может это быть когда второй роутер (в который ставится zapret), своим портом lan1 подключен к lan-порту первого (основного/ведущего) роутера?

Вот тут я еще писал про стейтлесс на некоторых провайдерах на некоторые айпишники ggc

У меня соединение с сервером из этого поста прошло с моим новым пэйлоадом

C:\Users\1>curl -v --http3-only https://rr3---sn-n8v7kn7k.googlevideo.com
Note: Using embedded CA bundle, for proxies (228633 bytes)
* Host rr3---sn-n8v7kn7k.googlevideo.com:443 was resolved.
* IPv6: (none)
* IPv4: 173.194.177.21
*   Trying 173.194.177.21:443...
*  CAfile: C:\Users\1\AppData\Local\Microsoft\WinGet\Packages\cURL.cURL_Microsoft.Winget.Source_8wekyb3d8bbwe\curl-8.10.0_1-win64-mingw\bin\curl-ca-bundle.crt
*  CApath: none
* Server certificate:
*  subject: CN=*.googlevideo.com
*  start date: Aug 27 14:31:18 2024 GMT
*  expire date: Nov  5 14:31:17 2024 GMT
*  subjectAltName: host "rr3---sn-n8v7kn7k.googlevideo.com" matched cert's "*.googlevideo.com"
*  issuer: C=US; O=Google Trust Services; CN=WR2
*  SSL certificate verify ok.
*   Certificate level 0: Public key type ? (256/128 Bits/secBits), signed using sha256WithRSAEncryption
*   Certificate level 1: Public key type ? (2048/112 Bits/secBits), signed using sha256WithRSAEncryption
*   Certificate level 2: Public key type ? (4096/128 Bits/secBits), signed using sha384WithRSAEncryption
* Connected to rr3---sn-n8v7kn7k.googlevideo.com () port 443
* using HTTP/3
* [HTTP/3] [0] OPENED stream for https://rr3---sn-n8v7kn7k.googlevideo.com/
* [HTTP/3] [0] [:method: GET]
* [HTTP/3] [0] [:scheme: https]
* [HTTP/3] [0] [:authority: rr3---sn-n8v7kn7k.googlevideo.com]
* [HTTP/3] [0] [:path: /]
* [HTTP/3] [0] [user-agent: curl/8.10.0]
* [HTTP/3] [0] [accept: */*]
> GET / HTTP/3
> Host: rr3---sn-n8v7kn7k.googlevideo.com
> User-Agent: curl/8.10.0
> Accept: */*
>
* Request completely sent off
< HTTP/3 404
< date: Thu, 19 Sep 2024 17:47:50 GMT
< content-type: text/html; charset=UTF-8
< server: gvs 1.0
* HTTP/3 stream 0 reset by server
* Connection #0 to host rr3---sn-n8v7kn7k.googlevideo.com left intact
curl: (95) HTTP/3 stream 0 reset by server

Если openwrt, то он и не должен спрашивать. автоматом определяется.
В linux спрашивает wan, если nfqws и lan, если tpws.

Есть ли наглядный способ проверки стратегии QUIC для googlevideo по аналогии с curl+speedtest?

Тоже так заработал

Подскажите, для LG Webos есть какое-то решение?

через cf и google это имя вообще не ресолвится

упс, скопировалось криво, все нормально

На данной настройке часть видео очень долго кэшируется, часть нет. Куда копать?

Ну сам факт соединения можно проверить добавив --http3-only в курле, как я писал выше. А вот со скоростью хз как.

curl -sv -o NUL --http3-only -X POST https://rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com

-X POST хз нужен или нет. Просто запросы на ютубе по нему идут, так что я добавил.

@MAMBA А раньше было нормально? Смотрите что у вас в консоли в браузере.

попробуйте google fake + disorder2 + свой ttl или fooling

disorder2 со вчерашнего вечера не работает.

когда alone да, но с google fake у меня нормально
и у вас там quic был со сплитом, кроме комментария еще установите MODE_QUIC=0
нужно в чистоте держать любой конфиг

Можно попробовать split2 + dpi-desync-split-seqovl-pattern=пэйлоад от гугла + dpi-desync-split-seqovl=размер пэйлоада гугла в байтах

скажите на роутер какой конфиг заработает?

запусти blockcheck и узнай

Прошу сильно не пинать и подсказать - поставил zapret на keenetic, хочу попробовать мультистратегию. Куда ее прописывать - в строчку в config NFQWS_OPT_DESYNC=“–dpi-desync=fake --new --dpi-desync=split2” и тд или как-то по другому?

Господа, работает 5 минут и отваливается.
Попробуйте у себя
NFQWS_OPT_DESYNC=“–dpi-desync=fake,split2 --wssize 1:6 --dpi-desync-autottl=1:1-10 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin”`

wssize вроде вообще лучше не использовать (если есть такая возможность).
У меня сейчас такой вариант работает - может и у вас приживётся (сам пользуюсь winws, так что адаптировал команду под ваше).

NFQWS_OPT_DESYNC="--dpi-desync=split2 --dpi-desync-split-seqovl=652 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

Спасибо огромное, пошел тестить

И ваше зависает минут через 5-8. Что ему вдруг надо через 5 минут то

Ребята, благодаря Zapret открыл доступ к ресурсам, забаненным при помощи DPI (Ютуб, Инста, Флибуста, nnmclub и т.п.), конфиг --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=6 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=files/fake/quic_initial_google_com.bin --wssize 1:6 --wf-l3=ipv4 --wf-tcp=1-65535 --wf-udp=1-65535, спасибо неравнодушным людям за конфиг. Запускаю на винде через winws.
Но вот беда, перестают грузиться картинки в Телеге, пока не отключишь winws. Ни у кого нет мыслей, как побороть проблему?

Зачем на все порты повесили winws? Сделайте так --wf-tcp=443,80 --wf-udp=443
–dpi-desync-ttl=6 попробуйте убрать, md5sig и badseq должно хватать в теории.
wssize по возможности отключите. Он тормозит инет.
Зачем вы в fake-tls засунули фейк для quic? Там должно быть tls_clienthello_www_google_com
Для quic есть --dpi-desync-fake-quic

--wf-l3=ipv4 --wf-tcp=80,443 --wf-udp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=files/fake/tls_clienthello_www_google_com.bin --dpi-desync-fake-quic=files/fake/quic_initial_google_com.bin

Согласен, с портами лишку дал. Но вот что касается Вашего набора флагов, с ним ни Ютуб, ни Инста и т.п. не завелись, с тем же, что выше сбросил, работают и перечисленные ресурсы, и этот форум, но беда с загрузкой картинок и видео в Телеграме (сами сообщения без картинок в Телеге грузятся).

Ютуб у вас скорее всего из-за wssize работает. Он эффективный, но лучше его не использовать. Попробуйте его обратно добавить.

Можете так попробовать, если у вас плюс-минус как на других провайдерах:
--wf-l3=ipv4 --wf-tcp=80,443 --wf-udp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=files/fake/tls_clienthello_www_google_com.bin --dpi-desync-fake-quic=files/fake/quic_initial_google_com.bin

Спасибо! Теперь и картинки с видео в Телеге грузиться стали. А проблема с Телегой была в --dpi-desync=fake,disorder2 (вместо split2) или в отсутствии --dpi-desync-split-seqovl=1?

Без понятия. Я бы предположил что в wssize проблема была. Возможно, телега с ним не очень работала.

Попробовал blockcheck на трекеры rutracker’a (bt*.t-ru.org) - ни одной рабочей стратегии. По итогу плюнул, настроил через proxifier. Я правильно понял, что zapret в данном случае не помощник?

Эти трекеры раньше были заблокированы по ip. Сейчас они вроде бы не заблокированы, но они размещаются где-то в инфраструктуре Cloudflare и из-за этого возникают переодически проблемы с доступом. В общем, я дкмаю, что bt*.t-ru.org - неверный выбор. Лучше попробовать сам Rutracker.

Вы хотите чтобы трекеры нормально работали? Если их снова заблокировали по ip, то ни zapret, ни GDPI не помогут. Если с ними проблемы из-за Cloudflare, то эти программы тоже здесь не при делах.

Да, я ознакомился, что тут ещё с cloudflare дело.
И да, сам-то форум (rutracker.org) у меня отлично работает, дело именно в аннонсерах.
В-общем, похоже да, тут только с прокси. Спасибо за ответ.

А как такой создать

Да. OpenWRT.
Ребята, у кого тоже два роутера по Lan-Lan соединены - может какие-то нюансы надо учесть? Может какие-то интерфейсы дописать? Что-то никак zapret у меня не начнет обрабатывать пакеты и лог при debug не наполняется статистикой трафика… Роутер с OpenWRT и zapret стоит вторым.

Оффтопик, но для контекста: у рутрекера вечная проблема с доступностью анонсеров именно через Cloudflare, на их форуме есть отдельная нитка на этот счёт.

Это не специфично для пользователей в РФ, оно везде так работает, иногда отваливаясь в ошибки 1010\1012 по версии CF. Потом их рандомно отпускает.

При этом там есть второй набор непубличных анонсеров, которыми пользуются несколько релизных групп - они тоже спрятаны за Cloudflare, однако работают корректно.

Корректно?
NFQWS_OPT_DESYNC=“–dpi-desync=split2 --dpi-desync-split-seqovl-pattern=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin” --dpi-desync-split-seqovl=“307021”–-hostlist=/opt/zapret_lists/list-youtube.txt --new --dpi-desync=disorder2”

нет, конечно. Откуда такой большой размер ?

Так посоветоавали

Есть предложение добавить регулировку длины таймаута в блокчеке. Мне кажется 2000 мсек это много, хватило бы и 500, что увеличило бы скорость проверки в 4 раза.

Уже есть
CURL_MAX_TIME=1 ./blockcheck.sh
время указывается в секундах
но на некоторых запросах, особенно quic, 1 секунды может быть мало

Сорри, у меня win-bundle.

Тогда стоит запускать из cygwin prompt as admin.
Там среда, похожая на unix
blockcheck команда сразу готова без путей, задан alias

CURL_MAX_TIME=1 blockcheck
или если нужен лог
CURL_MAX_TIME=1 blockcheck | tee blockcheck.log

Спасибо, попробую.

Спасибо вам, маэстро!
Вот бы еще понять, как это установить теперь… Как-то непросто.

вариант 1
root@OpenWrt:~# opkg install kmod-br-netfilter
Unknown package ‘kmod-br-netfilter’.
UPD: снаала надо делать opkg update а потом усанавливать

вариант 2
на гитхабе OpenWRT такой файл не нашел.

вариант 3
Нашел в репозитории OpenWrt Downloads
Скачал, устанавливаю вручную, получаю ошибку
UPD: не угадал с архитектурой

opkg update вначале
листы пакетов качаются в /tmp и теряются при ребуте
если все равно нет, значит установлена snapshot или неофициальная версия. надо избавляться от

Можно просто дописать в blockcheck\zapret\blog.sh

CURL_MAX_TIME=1 "$EXEDIR/blockcheck.sh" | tee "$EXEDIR/../blockcheck.log"

И запускать blockcheck.cmd как и раньше.

Спасибо, так удобнее.

Откуда вы такую огромную цифру вытащили? Я советовал использовать размер пэйлоада в байтах (652 на картинке):

31378×509 11.3 KB

Всем шалом!

С 19 сентября перестал работать ютуб с прежним конфигом

NFQWS_OPT_DESYNC=“–dpi-desync=split2 --dpi-desync-repeats=4 --dpi-desync-fooling=badsum --dpi-desync-cutoff=5”

Как сейчас можно пофиксить? Все что предлагали выше не помогло.

Эти параметры вообще лишние

А тут нужно указать n, d или s и потом уже значение (например --dpi-desync-cutoff=d5)

спасибо.

А есть рабочие конфиги после изменений конторы от 19 сентября?

Если у вас utorrent , то там с dht проблема Блокировка BitTorrent DHT - #73 by Frrienwrvale
А анонсеры рутрекера по идее доступны Обход блокировки bt*. трекеров (основные инструкции) :: RuTracker.org
Ну или в hosts можно прописать рабочие ip DNS Checker - DNS Check Propagation Tool

Вы самую последнюю сборку zapret используете? preset_russia.cmd пробовали на ней?

конечно, последняя версия. нет не пробовал

У меня qbittorrent.
В принципе вариант с hosts тоже учту, но proxifier надёжнее на случай если айпишник смениться. Так не надо за этим следить

Можно устанавливать удаленное подключение после первых данных от клиента. В режиме transparent он их почти сразу высылает, в режиме socks можно отправить ответ об успешном соединении (тогда, конечно, теряется возможность сообщить об ошибке, если подключение не удалось).

Это похоже на sniff в x-ray. Задержка соединения в надежде на получение какой-то инфы, по которой можно принимать решения.
Теоретически возможно, но в tpws это не реализовано. Да и метод --mss не настолько ценен, чтобы ради него заморачиваться. Ломает многое, скорость режет зверско. Он сделан для точечного пробития, когда ничего больше не помогает.
–wssize в nfqws достигает тех же целей с гораздо меньшими проблемами.

Возвращаясь к теме вероятного stateless. Я тут ещё потестировал на трех особо проблемных серверах.

curl -sv -o NUL --http3-only -X POST https://rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com
curl -sv -o NUL --http3-only -X POST https://rr6---sn-ug5onuxaxjvh-n8v6.googlevideo.com
curl -sv -o NUL --http3-only -X POST https://rr3---sn-ug5onuxaxjvh-p3ul.googlevideo.com

В итоге, с двойной отправкой, у меня проходят вот такие пейлоады, состоящие, в основном, из мусора:
quic_test_00.bin (144 байта)
quic_test_FF.bin (144 байта)

Можно сделать определенные выводы по поводу того, что именно проверяется в пейлоаде, а что можно зарандомить:

Спойлер

ff976×610 22.3 KB

Там где потенциальный stateless у меня еще как-то через раз на в6 ipfrag1 срабатывает. Причем как-то очень странно, если делать curl -v --http3-only ,то первая попытка уйдет по таймауту, а вторая или третья пройдет

Здравствуйте,я так понял это все для винды конфиги,а есть ли для роутера keenetic рабочий вариант zapret или не существует?

Действительно, эти пробиваются initial-ом с 2 раза.
А остальным надо 11 раз initial кормить, чтобы пробить.
Если же остальным кормить дефолт short header, то с 2 раза пробивается или даже с 1
Причем на ipv4 и ipv6 поведение разное но моем прове

Кто-то прикручивает, но это неофициально. Автор этим не занимается. У них и спрашивайте.

Подскажите пожалуйста, чего-то я не догоняю. Есть вот такая рабочая стратегия:

С ней работает yuotube нормально и почти все сайты, большинство неработающих начинает работать, если заменить “split2” на “disorder2”. Есть еще один ресурс, которому нужно “–dpi-desync=fake,disorder2 --dpi-desync-ttl=5”. Пробую написать мультистратегию, чтобы работало все сразу. Получается вот так:

Так работает все, кроме ютуба, даже главная страница не грузится. Не могу понять где ошибка.

ВАЖНО : множественные стратегии создавались только для случаев, когда невозможно обьединить имеющиеся стратегии для разных ресурсов. Копирование стратегий из blockcheck для разных сайтов во множество профилей без понимания как они работают приведет к нагромождению параметров, которые все равно не покроют все возможные заблокированные ресурсы. Вы только увязните в этой каше.

смотря на спойлер ньюбая вспомнил эти слова)

Моя не из блокчека изначально, а из мануала найденного на просторах сети. И оттуда почти нечего выкидывать, разве что “cutoff=d4” и “badsum”, но это ничего не меняет. Если выкинуть что-то еще, то она работать перестанет.

Выкиньте из вашей первой стратегии --dpi-desync-ttl=0 который ничего не делает, попробуйте заменить badsum на badseq, добавьте --dpi-desync-split-seqovl=1 к варианту со split2 (попробуйте убрать --dpi-desync-split-pos=1, либо заменить 1 на 2). cutoff тоже попробуйте выкинуть. В теории у вас и ютуб и “еще один ресурс, которому нужно” могут завестись и без мультистратегий.

Так работает все, кроме того самого одного ресурса, ему нужно рубить фейки по TTL, по-другому никак.

На первый взгляд прическа выглядит так :

start “zapret: http,https,quic,hostlist” /min “%~dp0winws.exe” --wf-tcp=80,443 --wf-udp=443 ^
--filter-udp=443 --hostlist=“%~dp0#youtube-list.txt” --dpi-desync=fake --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --dpi-desync-repeats=2 --new ^
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=2 --new ^
--filter-tcp=443 --hostlist=“%~dp0#minimum-impact-list.txt” --dpi-desync=fake,disorder2 --dpi-desync-ttl=5 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist=“%~dp0#youtube-list.txt” --dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-tls=“%~dp0tls_clienthello_www_google_com.bin” --new ^
--filter-tcp=80 --hostlist=“%~dp0#youtube-list.txt” --dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig,badsum --new ^
--hostlist=“%~dp0#russia-list.txt” --hostlist=“%~dp0#russia-additional-list.txt” --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig,badsum

Тут добавляется файл quic_initial_www_google_com.bin
Сегодня выяснили, что особые GGC не пробиваются стандартным фейком
Но, разумеется, это не пиллюля. Не факт, что стратегии работают.
Надо смотреть дебаг куда в какой профиль что лезет и броузер F12 на предмет затыков
И все тщательно проверить курлом с разными протоколами.

Попробуйте в своей изначальной стратегии заменить md5sig,badsum на badseq банально. Самое простое объяснение по которой что-то конкретное не открывается - это что оно не на линукс-сервере стоит. Тот же порнхаб с md5sig не открывается.

Ну, конечно, дело хозяйское. Я прост советую…

badsum работает на любых серваках, кроме очень немногих. cloudflare, например, почему-то не проверяет сумму. видимо ddos оборудование ее фиксит в процессе исследования. или какой-то оффлоад. но md5sig срабатывает.
но badsum может стать и проблемой, если пропускается через домашний роутер.
если там не openwrt или чипсет медиатек и подключение через кабель, вероятно порежет фейк

У меня badsum с 443 портом вообще не работает. Я полагал что из-за роутера моего как раз. Но при этом с 80 работает прекрасно. Хз почему так. Роутер кинетик гига, стоковая прошивка.

на некоторых провайдерах почему-то не работает. может DPI сечет бадсум и игнорирует
вообще пакеты с бадсум доходят до моего VPS

Можно в личку настройки для мобильного Би чтобы ютуб тянул, заранее признателен?

Попробовал, не помогло. Ресурс, если что - pimpletv.ru

Спасибо, но не помогло, ютуб также зависает на открытии главной страницы. Надо debug включать и разбираться. Дело не в пейлоаде quic, старый конфиг без него работает, но если из него убрать “–dpi-desync-any-protocol”, то ютуб отваливается.

Фиг знает, у меня ваш сайт открылся достаточно легко, может у меня блокировки слабее. Вот с таким пробовал, слегка переделанная ваша изначальная стратегия для tcp.
winws --wf-tcp=80,443 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig,badsum --dpi-desync-split-seqovl=1 --dpi-desync-fake-tls="tls_clienthello_www_google_com.bin"

Я менял еще md5sig,badsum на badseq, может в этом дело было. Сейчас все работает с таким конфигом:

Спасибо за помощь.
Мультистратегию пока можно отложить. Включил дебаг для нее, но по-моему он работает не так как положено, там везде hostname=' ' и desync profile 0 matches.

Я Developers Tools на вкладке “Сеть” немного понаблюдал за тем что происходит во время просмотра Ютуба. Для адресов вида https://rr---что-то-там. googlevideo.com заметил такую особенность. Часто у них статус 204 или 403. Наверное это не связона с блокировками. Но также встречаю случаи, когда какой-то адрес сначала заблокирован, а потом он же имеет статус 200. Например:

Screenshot_20240921_0332141437×141 39.9 KB

Screenshot_20240921_0339171406×111 25 KB

В одном случае имеем NS_BINDING_ABORTED, в другом - Blocked, а затем у них же статус 200. Не уверен, но по-моему когда эти адреса заблокированы, у меня приостанавливается воспроизведение видео, а через некоторое время продолжается. Что это могло бы значить?

Здравствуйте. Zapret запущен на роутере, стратегии сейчас такие:
NFQWS_OPT_DESYNC=“–dpi-desync=fake,split2 --dpi-desync-ttl=5 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin”

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6”

Ютуб работает через вай-фай на телефонах, на компе в опере и в edge, но не работает в firefox и в chrome. Пробовал в них включать/отключать QUIC, разницы нет. С чем это может быть связано?

Уважаемые, посоветуйте какой сейчас есть рабочий конфиг для обхода ютуба?

NFQWS_OPT_DESYNC=“–dpi-desync=fake,split2 --dpi-desync-ttl=5 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin”

С таким конфигом не работает. Какие есть варианты еще?

У меня заработал с
NFQWS_OPT_DESYNC=“–dpi-desync=split2 --dpi-desync-split-seqovl=1 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=badsum”
Не знаю насколько тут все корректно, но все сайты открываются. Использую автохостлист.

desync-any-protocol без ограничителей включает мощное изнасилование вашего соединения
каждый исходящий пакет будет извращен
это то, что задумывалось ?

Включил дебаг для нее, но по-моему он работает не так как положено, там везде hostname=' ' и desync profile 0 matches.

Дебаг лог и параметры в студию, а так же содержимое хост листов

blocked не из-за блокировок
в первых строчках ясно сказано “blocked by ublock origin”. блокировщик рекламы
что такое blocked во втором случае - неизвестно. но очень сомнительно, что это какая-то магическая определилка блокировки провайдером. у мозиллы сообщения часто путают.
NS_BINDING_ABORTED многие воспринимают как ошибка DNS. на самом деле это какой-то разрыв соединения вроде бы. а может и не только

Ворк! Спасибо

Насилие как я понимаю ограничено хостами из листов? Если так, то пусть. Если этот параметр убрать, ютуб перестает работать у меня. cutoff=d4 ограничивает насилие первыми 4 пакетами данных?

Параметры были такие:

листы и дебаг тут один из них великоват, чтобы его сюда вставлять. Дебаг я снимал открыв страницу ютуба и подождав пока она попытается открыться. Возможно он неполный, т.к. копировал его из консоли, не знаю как под cygwin включить перенаправление в файл. Добавлять desync-any-protocol в мультистратегию пробовал, не помогло, страница ютуба открывается но видео все равно не грузятся.

да, но для этих хостов будет каждый исходящий пакет мучаться
d4 - 4 тут означает номер пакета данных, на котором обрезается. 3 пакета будет изнасиловано.

я неоднократно встречал это нечто с cutoff=d4, назвал его крокодилом
все это бездумно копируют, но мне так и непонятно что он дает
если брать TLS сессию, то в исходящих пакетах идет с пейлоадом идет

1. ClientHello
2. Client key exchange, Change cipher spec, Encrypted handshake message
3. Application data

Без any protocol 1 и так насилуется
2 содержит параметры diffie-hellman и прочую ересь для настройки шифрования. идет и так с каждым TLS соединением вне зависимости от домена и блокировки
в 3+ уже идут зашифрованные данные и ничего больше

что дает разрезание 2 и 3 и отсылка фейков TLS ClientHello уже после прохода реального TLS ClientHello ?

Мне приходил на ум только 1 вариант. Что некоторые TLS ClientHello не распознаются nfqws как таковые. Такое уже было со старыми теликами самсунг, но эта проблема давно пофиксена.
Зачем d4 так и не понятно.

Если снять any protocol, в --debug он реагирует на TLS ClientHello ?

Я это тоже скопировал. По-моему смысл в том, чтобы ограничить насилие первыми пакетами, а почему именно 3 не в курсе. Надо будет попробовать уменьшить.

Без any protocol насилие ограничивается только пакетами с известным содержимым

Можете подсказать, что тут можно исправить, чтобы было по-человечески?

Я так понимаю, что --dpi-desync-ttl6=0 можно убрать, если не используется ipv6
–dpi-desync-fooling=badsum тоже можно оставить, пока работает? Вижу, что у людей используется md5sig, но как понимаю, это не особо принципиально пока оно работает. У меня zapret установлен на роутере keenetic.
Хотелось бы не иметь в конфигах ничего лишнего.

Подскажите, если я при установке указал использование автохостлиста, то читается только zapret-host-auto? К остальным файлам хостлистов программа не обращается? Не нашел в конфиге указание на файлы с хостлистами

Установка на Кинетик - реально рабочий вариант. Проверено на своем роутере GIGA KN-1010 и GIGA3

Убрал any-protocol, запустил с таким конфигом:

Остановил windivert, запустил новое приватное окно фокса, открыл youtube.com и через 4,5 минуты получил это Дебаг там неполный, только конец, начало консоль обрезала.
Судя по строке с fonts.googleapis.com разделение по профилям работает. Но ютубу это не помогает. И раньше на goodbyedpi он у меня открывался только с опцией allow-no-sni, это тамошний аналог any-protocol. А все остальное нормально открывается.

ttl6 - это специализация ttl для ipv6. можно убрать
удивительно, но cloudflare принимает пакеты с badsum, поэтому на нем этого ограничителя мало. md5sig позволяет запустить cloudflare. badsum - не linux серваки.
но как показывает практика, badsum не работает на всех провайдерах. DPI секут суммы кое-где

Нет. autohostlist - это дополнение к hostlist. файлы для обычного хостлист тоже берутся
exclude работает как недопущение работы с автолистом

packet: id=60 reinject unmodified
packet: id=61 len=42 outbound IPv6=0 IPChecksum=1 TCPChecksum=0 UDPChecksum=1 IfIdx=12.0
IP4: 192.168.219.103 => 142.250.186.163 proto=tcp ttl=128 sport=14216 dport=80 flags=A seq=3930759458 ack_seq=274232449
TCP: 50 4F : PO
using cached desync profile 0
packet: id=62 reinject unmodified
packet: id=63 len=509 outbound IPv6=0 IPChecksum=1 TCPChecksum=0 UDPChecksum=1 IfIdx=12.0
IP4: 192.168.219.103 => 142.250.186.163 proto=tcp ttl=128 sport=14216 dport=80 flags=AP seq=3930759460 ack_seq=274232449
TCP: 53 54 20 2F 77 72 32 20 48 54 54 50 2F 31 2E 31 0D 0A 48 6F 73 74 3A 20 6F 2E 70 6B 69 2E 67 6F ... : ST /wr2 HTTP/1.1..Host: o.pki.go ...

Видимо запущено 2 копии winws с пересекающимся фильтром или гудбай DPI или еще что-то подобное
На вход winws идет уже резаный трафик, потому и не детектируется
Обманываем обманывалку

Если это и есть причина создания крокодилаа с катоффом, то это горе от ума

Я так понимаю, мне нужно написать –dpi-desync-fooling=badsum –dpi-desync-fooling=md5sig? 2 аргумента через запятую он не поймет?
У меня сейчас все работает идеально, просто по возможности хотелось бы избавиться от того, что не нужно
Не будет проблем если я все хосты буду прописывать в host-auto, а host оставлю пустым?

Через запятую поймет. В вашем написании badsum замещается md5sig и не случается

Нет, один winws в процессах, гудбай не запущен.
По-моему дело в фаерфоксе. Я на всякий случай перезагрузился, запустил ютуб в хроме - работает, в фоксе нет, перезапустил его в безопасном режиме чтобы исключить влияние расширений - все равно не работает…

Дамп то не может врать.
Надо снять все обманывалки, запустить шарк и убедиться в нем, что пакеты резаные
фокс их точно резать не будет

может какая-то служба когда-то ставилась и была забыта

Сдампил попытки открыть ютуб в фоксе и в хроме. Службы гудбая и запрета устанавливались раньше, но уже несколько дней удалены. На всякий случай удалил еще и расширение Browsec из хрома, но ничего не изменилось. В хроме и эдже ютуб открывается с этим конфигом, в фоксе нет.

zzzzzzz1266×204 67.6 KB

Я не знаю что режет, но броузер это делать не может. По крайней мере в оригинальном варианте, если исключить гипотетическую переделку васяна на обман DPI

zzzzzzz1262×415 88.6 KB

Тут меняется window size на входящем пакете. Неизбирательно для всех доменов.
Это аналог параметра --wsize (не --wssize) zapret или goodbyedpi без --native-frag.
Если на компе ничего нет, могу предположить, что это действия провайдера по ускорению youtube для своих клиентов, которые перестали работать в связи с противодействием РКН, а так же сломали zapret/GDPI.
Если на рутере тоже ничего не стоит, можно попробовать на чистой системе.
Загрузиться в Linux live USB flash и дампануть оттуда шарк.
Если и там будет тоже самое, значит точно провайдер

Если действительно окажется провайдер, можно попробовать полечить контр-мерой --wsize 1500.
wsize - это тоже метод нулевой фазы десинхронизации, не совместимый с хостлистами.
использовать в профиле без фильтра на хостлист

Есть у кого smartube на тв боксе отъехал с кастомным пейлоадом от гугла?

А это не запрет режет пакеты? Я же дамп снимал, когда он был включен.
На роутере ничего нет, попробовал на другом компе с win10 - та же картина. Попозже скачаю линукс, попробую на нем запустить.

Надо было выключить все как я просил.
Но даже этой информации мне достаточно, чтобы исключить с большой вероятностью средства обхода на компе.
wireshark берет инфу непосредственно с сетевого адаптера еще до модификации zapret/GDPI. Там светится то, что пришло из сети. Я пробовал смотреть с winws --wssize 2, и увидел там 65535.
Потому скорее всего это провайдер.
И народ стал придумывать этих катоффдилов , потому что провайдеры ставили wssize, и zapret в этой ситуации не работал. Не понимая как это лучше обыграть, они нашли что нашли хоть как-то работающее, и потом это понеслось по просторам сети. Крокодила стали применять с надобностью и без надобности. Испорченный телефон без обьяснения причин сделал свое дело.
Но если причина именно в таком надругательстве со стороны провайдера, то проблема решается гораздо эффективнее не методом лома по-крокодильи, а установкой своего контр --wsize. Он позволит поправить вред от провайдера - заместит значение window size своим, которое не будет вынуждать винду резать исходящий трафик на короткие пакеты.
Да, режет именно сама винда, а не какая-то прога.
Но применять --wsize без выяснения надо это делать или нет сродни глотанию всех подряд таблеток в аптеке - авось что-то вылечит.

start “zapret: http,https,quic,hostlist”

А почему после quic идет hostlist или autohoslist - что это дает практически и в каких случаях нужно применять?

Это просто заголовок окна. Какой хотите, такой и втыкайте

Понятно. Просто заголовок.

Вы можете посоветовать какие-то книги/статьи/материалы в интернете, которые помогут разобраться в синтаксисе Запрета достаточно глубоко, чтобы можно было самостоятельно разрабатывать стратегии дурения провайдера?

Та инструкция, что есть, лично мне непонятна, как ни пытался разобраться. Может я слишком глуп, не знаю. Очень сложно понять, если ты не программист или сетевой инженер. Нужно учить “матчасть”. А где, по каким книгам и материалам? Посоветуйте.
Хочется на практике понимать, как работает та или иная строчка или цифра кода.

Даже не знаю.
У меня это профильное образование по вычислительной технике + много опыта и собственное изучение по мере надобности.
Но я бы начал вообще с понимания как работают сети. Какие в них есть уровни (OSI model), как передаются пакетики (L2,L3). Как строятся протоколы более высокого уровня - L4-L7.
И практические эксперименты с просмотром в wireshark
У нас в инсте был отдельный курс по сетям. Там примерно это и рассказывали.

Прошу прощения, хотел показать разницу дурения между хромом и фоксом.Сделал чистый дамп, без обхода. Похоже и правда провайдер заботится о пользователях, потому что ютуб работает и без обхода блокировок, но только не в фоксе. Странно, что приложения по-разному реагируют на манипуляции на уровне TCP.

С режимом --dpi-desync=fake теперь обязательно нужно использовать опцию
–dpi-desync-fake-tls=tls_clienthello_www_google_com.bin

и еще для Ютуба
–dpi-desync-fake-quic=quic_initial_www_google_com.bin

и еще ttl=3

Прав я или нет?

У меня для Рутрекера блокчек выдал такое:

nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=3

а для rr---что-то-там.googlevideo.com следующее:

nfqws --dpi-desync=fake --dpi-desync-ttl=3

Вот теперь думаю какого крокодила из всего этого мне слепить.

фокс по умолчанию работает без kyber. броузеры на базе движка chromium - с кибером.
в дампе видны мощные потери пакетов и ретрансмиссии на хосте www.youtube.com
DPI распознает , что это youtube.
Возможно, они собирают лишь 2 сегмента, а 3 уже не умеют. С кибером и wsize=2 будет 3 сегмента.
Можно попрбовать в фоксе включить кибер в about:config
Поиск по ключу kyber. Там везде enable, потом рестарт броузера

Но есть еще одна проблема. Они без разбора всегда ставят wsize=2, не только на ютубе.
Сам по себе сплит неспособен в большинстве случае пробить остальные блокировки.
И заодно ломает zapret/gdpi. Нужны контр-меры с wsize, чтобы восстановить работу winws.

Какой провайдер у вас ? Чисто для статистики

ttl с фейком в QUIC противопоказан
в последних версиях такой крокодил налеплен в binaries/win64/zapret-winws/preset_russia.cmd

Может настройка kyber отличается? Или doh/ech ? Какие-то расширения?

Я раньше и в последние два дня много часов потратил на Блокчек - прогонял запрещенные сайты. Результат всегда одинаковый - утилита выдает нечто с ttl=(цифра) в конце. Даже я понимаю, ни разу не спец, что это хорошо для пробивки конкретного сайта и ПЛОХО для универсальной стратегии: нужны не частные решения как с ttl и циферкой в конце, а более общие (универсальные) решения, способные ПРОБИВАТЬ большинство заблокированных НЕ по IP сайтов.
То есть пользы от Блокчека мало, если смотреть только на * SUMMARY (РЕЗУЛЬТАТ).
Нужно зайти после прогона в полный лог (blockcheck.log) и смотреть на все надписи AVAILABLE (ДОСТУПНО). Конкретный пример таких универсальных решений без ttl:

• checking winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-fooling=badseq
  !!! AVAILABLE !!!
• checking winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig
  !!! AVAILABLE !!!

Включил kyber в фоксе - не помогло. Добавил --wsize=2 в конфиг - тоже не помогло.

Поздравляю ! До вас дошел смысл фраз в quick_start и приписки в конце блокчека, от которых многие плюются.
Цель в том, чтобы донести до сервера оригинал сообщения, отправляемого клиентом и одновременно задурить мозги DPI, чтобы он не мог воспроизвести оригинал сообщения в таком виде, который позволил бы ему принять решение о блокировке (начало readme, от которого тоже плюются).
Фейки - один из механизмов для реализации этой цели. Нужно, чтобы фейки дошли до DPI и были им приняты для анализа, но не дошли или были проигнорированы сервером.
И все эти методы имеют плюсы и минусы. О них подробно рассказано в readme. Чем они хороши и плохи. А еще если грамотно их сочетать, плюсы одного могут покрыть минусы другого.

Наоборот ! надо избавляться от window size от провайдера !
–wsize=1500 во все профили с tcp без хостлиста или с автолистом
Если таковых нет, удовлетворяющих фильтру tcp, надо создать.
Не знаю , может пров и не шлет wsize на не-443 портах. Надо бы проверить.
И тогда лучше wsize не применять к другим портам

del

Добавил профиль с фильтром tcp=443 и wsize=1500 без хостлистов, т.к. таковых не было. Не понимаю правда как это поможет с ютубом, если он должен обрабатываться по другому профилю. Не помогло.

Надо смотреть лог исчезла ли разбивка на входе и стал ли обрабатываться траф

до получения имени хоста профиль с хостлистом не задействуется

Нет, все равно встречаются пакеты с размером окна 2. Не знаю, как посмотреть, обрабатывается ли трафик, но ютуб не открывается.

В шарке это не будет видно. Там будет по-прежнему 2.
В дебаг логе не должны больше быть пакеты размера 2 с содержимым HEX 16 03
Должны быть надписи типа packet contains tls client hello

Пакетов длиной 2 нет, youtube как-будто обрабатывается:

Во. Что и требовалось. Дурку провайдера преодолели.
Дальше дело за поиском рабочей стратегии

Кстати, стратегию можно искать блокчеком на каком-нибудь домене GGC, который не загружается через curl без обхода блокировок. При этом параллельно надо запустить winws --wf-tcp=443 --wsize 1500.

например такие домены
rr4---sn-n8v7znsk.googlevideo.com
rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com

Понятно, спасибо за помощь. Буду пробовать.

С помощью блокчека я выявил вышеописанные «универсальные дурилки», которые пробивают большинство заблокированных сайтов моего провайдера. Но их все равно много — десятки вариаций. Как их дальше сократить до нескольких самых пробивных, самых быстрых и эффективных? Блокчек тут уже не помощник.

Если взять множество вариаций с TTL, то надо брать TTL максимальный из минимально рабочих.
К TTL добавить дополнительный ограничитель. Это можно быть любой из рабочих - datanoack, md5sig, badsum, badseq.
datanoack - вообще самая ультимативная штука, но не работает через домашний роутер. Работает только с него. Если работает, то никаких TTL и фулингов вообще не надо.

Следует избегать wssize, syndata, ipfrag,
Стараться уложиться в fake,split2,split.
disorder применять только, если не работают вариант split2 или split.

Обращать внимание на особенности стратегий с http и https. Например, на наших ТСПУ badseq часто вызывает зависание на http, но работает надежно на https.

При необходимости делить стратегии по ipv4/ipv6 http/https.

Если с TLS 1.2 все плохо, смириться с использованием лишь TLS 1.3 стратегий. Если нет критических девайсов типа телика, которые не умеют TLS 1.3

Для QUIC не использовать TTL с фейк.

Пробовать особенные пейлоады с фейк. Это прежде всего ClientHello с www.google.com для youtube доменов по TLS, quic initial с www.google.com с 2-кратным повторением - для QUIC.

И таких правил может быть много. В зависимости от множества факторов , провайдера и общей ситуации вокруг.
Ни автор, ни кто-либо еще не может дать готовый рецепт для любых случаев. Это все дышит, и везде ситуация может быть уникальна. А завтра - поменяться

Спасибо за обстоятельный ответ!

Ещё возникли вопросы.
Некоторые товарищи советуют забить болт на tcp 80 (http) и прописать только стратегии с портом 443 (https). Это хорошая идея или всё же стратегию и для 80 лучше прописывать?

Второй вопрос: у меня datanoack, md5sig, badsum, badseq — часто проходит с домашним роутером, если верить блокчеку. Например такой вариант: --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake --dpi-desync-fooling=datanoack

Получается, мне его можно использовать, несмотря на роутер? И всегда ли из четырех вариантов лучше выбирать datanoack?

В блокчеке есть такое предостережение: “ВНИМАНИЕ! Хотя одурачивание datanoack работало, оно может сломать NAT и работать только с внешними IP. Кроме того, для корректной работы может потребоваться nftables”.

Все. У меня голова уже крУгом. Я думал, что tls_clienthello_www_google_com.bin НУЖНО использовать для доступа КО ВСЕМ сайтам, если используется fake, а quic_initial_www_google_com.bin - только для Ютуба.
Как сделать двухкратное повторение для QUIC? Я только нашел опцию --dpi-desync-repeats=<N>. В ваших пресетах, кстати, значение =11. Где вообще используется QUIC? Разве не с Ютубом? и почему с ним нельзя использовать ttl? И куда лепить --qnum=200 при использвании мультистратегии?

Вот у меня:
nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=3 для Рутрекера
и
nfqws --dpi-desync=split2 --dpi-desync-split-pos=1 для rr4---sn-n8v7znsk.googlevideo.com

Роутера нет. Есть командная строка в Linux и nftables. Как из всего этого слепить крокодила?

Мои крокодилы просто ради шутки:
nfqws --qnum=200 --filter-tcp=443 --hostlist=/youtube.txt --dpi-desync=split2 --dpi-desync-split-pos=1 --dpi-desync-fake-tls=clienthello_www_google_com.bin --new --filter-udp=443 --hostlist=/youtube.txt --dpi-desync=split2 --dpi-desync-split-pos=1 --dpi-desync-fake-quic=initial_www_google_com.bin" --dpi-desync-repeats=2 --new --filter-tcp=443 --dpi-desync=fake --hostlist=/some_file.txt --dpi-desync-fooling=datanoack

2-й - все то же самое, но в конце вместо --dpi-desync-fooling=datanoack указать --dpi-desync-ttl=3

Дополнение.
Похоже не работают они. Крокодил не ловится, не растет кокос.

Есть вопрос по дополнительным правилам nftables для обхода блокировок WireGuard. У меня сейчас установлен nfqws через install_easy.sh на Debian (systemd). Так-то не проблема дописать правила на нужные порты UDP когда уже всё запущено (с направлением пакетов на очередь инстанса nfqws для QUIC), и это работает. Но как и куда эти правила лучше всего дописать, чтобы работало после ребута? Я так подозреваю, что в принципе можно дописать в /etc/nftables.conf. Или есть более элегантный способ?
UPD: заметил QUIC_PORTS в конфиге, в целом неплохой компромиссный вариант. @bolvan, а зачем для QUIC перехватываются пакеты с 1 по 6, там же по идее 1 достаточно? Или это необходимо для логики --hostlist-auto?

Также хотелось бы отдельно настроить --wssize для конкретного IP. Я так понимаю это надо будет поднимать ещё один инстанс nfqws для этого? Опять же вопрос как это лучше организовать в рамках уже установленного сервиса.

И ещё, в какой-то момент я буду переносить это на OpenWRT. Насколько сильно будет отличаться настройка вышеописанного для этой системы?

Вроде починил ютуб сайты этим методом тоже работают
–dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-fake-tls=0x00000000 --dpi-desync-fooling=md5sig

Если сайт новый для броузера, он может залезть на оба варианта http и https одновременно.
Если не увидит STS хедеров, то может показать http версию. И там будет заглушка.
По возможности надо дурить. Но нерабочая стратегия хуже, чем ее полное отсутствие.

Если он работает, то это лучший вариант. Все остальное - выбросить.

верно. linux nat на домашних роутерах обычно не проходит.
может проходить, если на роутере включено аппаратное ускорение. на стоках это вероятный случай.
тогда пакеты данных идут мимо linux, а тупая логика свитча настолько тупа, что не проверяет этот неправильный случай.
но только для кабеля. для wifi может не работать. И тогда получается работает с кабеля, с wifi - нет.
conntrack такие пакеты всегда помечает INVALID и не делает NAT на них.
провайдерский NAT так же обычно пропускает, но может и не пропускать в каких-то случаях.

профиль 1 : ничего не нужно для split2 из написанных параметров. они игнорятся
профиль 2 : split2 для udp не работает. пустой профиль
профиль 3 : может сработать, но обычно к нему еще split2 нужен. datanoack требует проверки.

поиск рабочей стратегии ложится на юзера, автор ничего подсказать не может.
если совсем печально, см binaries/win64/zapret-winws/preset_russia.cmd. на авось

Да, именно для нее. Правда, она не всегда срабатывает на QUIC. Потому что некоторые библиотеки не повторяют CRYPTO, а шлют PING при отсутствии ответа.

Но как и куда эти правила лучше всего дописать, чтобы работало после ребута?

QUIC_PORTS можно использовать, хотя это и не лучшее решение.
если стратегии QUIC и WG отличаются, можно использовать профили с фильтром по --filter-udp. Только надо понимать, что скрипты zapret будут добавлять листы в конце строчки NFQWS_OPT_DESYNC_QUIC. Профили надо писать с учетом этого понимания. Есть еще SUFFIX. Он будет дописан после листов.
WG вообще никогда ни по каким листам не пройдет.
Плохая идея мешать QUIC в скриптах запрет и правила без скриптов запрет. Лучше тогда идти путем custom script в init.d/sysv/custom

Также хотелось бы отдельно настроить --wssize для конкретного IP. Я так понимаю это надо будет поднимать ещё один инстанс nfqws для этого? Опять же вопрос как это лучше организовать в рамках уже установленного сервиса.

Тут уже по любому светит custom script в рамках скриптов zapret, либо отсебятина отдельно.
Если это dest ip, проблем с фильтром нет.
Если source ip, то в postnat схеме прямая фильтрация невозможна. Надо маркировать битом на входе и фильтровать по этому биту на выходе.

И ещё, в какой-то момент я буду переносить это на OpenWRT. Насколько сильно будет отличаться настройка вышеописанного для этой системы?

Если остебятина - будет довольно сильно отличаться в плане правильной прикрутки к системе. Чтобы без конфликтов и гонок, а не тяп-ляп через rc.local.
Если custom script, то они немного отличаются в openwrt. По части запуска демонов. Правила FW можно копировать 1:1

tls - это tls, а quic - это quic
Зачем использовать пейлоад одного для другого ? Это очень разные протоколы. tls работает по tcp, quic - по udp.
Мой недавний тест на своем провайдере и чьи-то наблюдения отсюда говорят, что для googlevideo, а возможно и других youtube доменов, для tls надо использовать tls_client_www_google_com, для quic - quic_initial_www_google_com.
В остальных случаях оставить по умолчанию

вот такой у меня конфиг. Не таблетка, не панацея !

NFQWS_OPT_DESYNC="--hostlist=/opt/zapret_lists/list-youtube.txt --dpi-desync=split2 --new --dpi-desync=fake,split --dpi-desync-fooling=datanoack"
NFQWS_OPT_DESYNC_HTTP6="--hostlist=/opt/zapret_lists/list-youtube.txt --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack"
NFQWS_OPT_DESYNC_HTTPS6="--hostlist=/opt/zapret_lists/list-youtube.txt --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack"
NFQWS_OPT_DESYNC_QUIC="--hostlist=/opt/zapret_lists/list-youtube.txt --dpi-desync=fake --dpi-desync-repeats=2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new --dpi-desync=fake --dpi-desync-repeats=2"
MODE_FILTER=autohostlist

cat /opt/zapret_lists/list-youtube.txt 
googlevideo.com
youtubei.googleapis.com
i.ytimg.com

Проверил. Отлично работает.
Спс.

Почему в вашем конфиге для NFQWS_OPT_DESYNC= нет tls_client_www_google_com, а для NFQWS_OPT_DESYNC_HTTP6 и NFQWS_OPT_DESYNC_HTTPS6 есть? И почему к HTTP вообще применяется TLS?

Потому что на моем провайдере и так работает по ipv4, но не работает по ipv6.

Оно не применяется. Сделано, чтобы сократить количество инстансов из-за разных параметров

NFQWS_OPT_DESYNC="--hostlist=/opt/zapret-misc/list-youtube.txt --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack"

Так тоже все работает. Без спец инстансов. Так даже лучше

Хочу уточнить по настройкам роутера (в моем случае это ноутбук с дебиан, установленный между интернетом и домашним роутером).

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j NFQUEUE --queue-num 0
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j NFQUEUE --queue-num 0

/opt/zapret/nfqws --qnum=0 --user=zapret --debug --hostlist=/opt/zapret/list-youtube.txt --dpi-desync=дальше_что_то_там

googlevideo.com
youtubei.googleapis.com
i.ytimg.com

Второй день уже пытаюсь запустить ютуб но не работает ничего. (Точнее работает все прекрасно, кроме собственно видео, которое просто не стартует.)

До этого жил с byedpi, но 3 дня назад оный перестал помогать.

nfqws обычно вешается на POSTROUTING
а найти за вас стратегию - никто не найдет

Еще вопрос, это нормально что такие надписи в консоли?:
Hostlist check for rr7---sn-axq7sn7z.googlevideo.com : negative
Hostlist check for googlevideo.com : positive

Почему адрес кэша гугла negative ?

У меня zapret пока работает. Я скопипастил пример у ValdikSS и правила для nftables у вас. Но это ПОКА работает. И GDPI и byedpi периодически отваливаются у людей и им приходится искать новые пути. Поэтому я просто стараюсь понять локику работы zapret. Чтобы не быть похожим на мартышку, которая случайно лупит по клавишам печатной машинке в попытке написать “Войну и мир”.

Скинь свои правила для nftables. Ну и строчку для nfqws тоже

Это не GDPI и byeDPI отваливаются, а правила меняются, запрет точно так же перестает работать и точно так же приходится искать новые пути.
Чтобы не мудохаться с nftables оставь как есть что там тебе скрипт установки сделал. Вместо этого поставь squid (благо это делается в несколько строчек) и с клиентов тыкайся в прокси сервер.

Потому что в листе нет домена 3 уровня, но есть 2-го.
Поиск идет с максимального уровня до минимального

Здесь только понимание как оно работает решает. Иначе только методом тыка с обычно хреновым результатом

Я думал о том, чтобы сделать прокси сервер, потому что это делает пакеты как бы исходящими от компьютера с nqws. В комментариях прочитал, что это полезно для опции --dpi-desync-fooling=datanoack.

Но вот на правила бы посмотрел, потому что скрипт установки я не запускал - просто скачал бинарник и положил в папку /opt/zapret.

Прокси это только для неумех совсем.
Нет особой разницы настроить для проходящего или исходящего трафика.
Правила чуть могут отличаться , и все. И сам роутер надо уметь настроить.
прокси - это нежелательное явление. не все проги его понимают, надо везде прописывать
zapret создавался для работы на шлюзе

Как это пофиксить?

Это не надо фиксить. Это нормальное поведение.

i.like.beer.com будет проверяться по

i.like.beer.com
like.beer.com
beer.com
com

при первом же совпадении вердикт чека по листу положительный
это сделано для автоматического учета поддоменов в листах

всякие фишки типа *.beer.com или *eer.com не работают

согласен. В будущем разберемся с этой datanoack если потребуется

Зачем гонять весь трафик через запрет, если по сути нужен только ютуб. С таким же успехом можно весь трафик в впн заворачивать. И для работы на шлюзе не подходит т.к. шлюз должен быть уровня “настроил и забыл”, а тут через день нужно лезть что-то править.

Не совсем. Через nfqws прогоняется лишь мизерная доля трафика при правильной настройке tables.

Через день надо править обычно если стратегия неустойчива.
Надо собирать все, что работало каждый день, и искать общий знаменатель.
Или гонять блокчек с несколькими попытками. Но это только поможет, если балансировка идет оперативно. Если все меняется с интервалом день - придется собирать варианты и понимать что происходит, искать общий рабочий вариант.

Я крайне редко на своих провайдерах менял стратегии. За годы ну может раза 3.
Неустойчивость с большим интервалом тоже была. То простой сплит работает, то лишь более сложный крокодил. Скорее всего это связано с включением или выключением из пути отдельных DPI, которых стоит несколько. В итоге оставлялся крокодил, который работал долго.

Если нужен только ютуб - нет проблем. Выбираем режим ipset, загоняем туда все подсети гугла.
Или вешаем ipset hook script, запрашивающий эту информацию по whois и сохраняющий копию на случай ошибки запроса. Тогда nfqws даже не притронется к остальному

В прошлой жизни (с byedpi), когда встал вопрос, что же заворачивать в прокси (redsocks), а что пропускать, первая пришедшая мысль была - выцеплять информацию об ip адресах из dns ответов. Объяснил это чату гпт, и тот написал на питоне парсер вывода tcpdump.
dns_monitor.py (3,0 КБ)
Он извлекал адреса ютуба, добавлял их в ipset и сохранял в файл, который при перезагрузке тоже добавлялся в ipset.
Но оказалось, что список строится, но зачастую лиса и хром клиента успевают так быстро получить ответ от днс и начать устанавливать соединение, что ipset не успевал сработать и приходилось два раза открывать страничку в браузере.
По этому я попросил чатгпт написать днс сервер, который сначала точно добавит ip адрес в ipset и только потом отправит dns ответ клиенту.
dns_server.py (5,3 КБ)
Это оказалось гораздо лучше, но как все в целом работает мне не нравилось - иногда почему то не прогружались все привьюшки видео. По этому оказалось лучше прописать socks5 прокси в настройки лисы и так ходить через byedpi на все сайты.

Это метод топора. Есть куда более элегантное решение с dnsmasq.
При ресолвинге он добавляет в ipset.
Давным давно на хабре это описывали.

byedpi, кстати, теперь умеет transparent mode. redsocks ему не нужен

Вот по dest ip и нужно, теоретически это могло бы быть и отдельным профилем, но фильтра по IP там нет. Да и наверное это слишком частный случай, чтобы добавлять фильтр по IP для профилей, хотя было бы неплохо.

Переносить функционал ipset в nfqws теоретически имело бы только смысл на винде.
На остальных это в ядре есть в виде таблиц или сетов различных.
Все делается через custom script

Поэтому я и взял старый ноут и на нем экспериментирую. Работает - хорошо, не работает и хрен с ним, в один клик свичнул прокси в браузере и ни в одном глазу. Экспериментировать на роутере, который просто работает и от которого я ни логина, ни пароля уже не помню, никакого желания нет.
Потихоньку соберу своего крокодила тогда и можно будет переселить или на роутер или, скорее всего, на отдельный все же одноплатник.

@bolvan Спасибо за грандиозную работу!
У вас, как у автора zapret’а, хотел уточнить пару моментов, если позволите:

Используется padavan со включёнными модулями xt_NFQUEUE и nfnetlink_queue, nfqws заводится с успехом, но решил перенастроить S51nfqws под себя. Ваш пакет через install_* не ставил, воткнул бинарники, настроил соответствующие пути и всё, кроме ютуб, работает.

Хочу завести по вашей ссылке, но встал вопрос: как значение NFQWS_OPT_DESYNC передаётся для собственного запускаемого бинарника из шелл файла? Параллельно с NFQWS_ARGS или подменяется его значение?

Вопрос в следующем контексте, чтобы передавать для запуска разные параметры, оформил функцией

_startup_args() {
  local args="--filter-tcp=443"

  # All
  args="$args $NFQWS_ARGS $NFQWS_EXTRA_ARGS"

  # Fake
  if [ "$NFQWS_ARGS_FAKE" != "" ]; then
    args="$args --new --filter-tcp=443 $NFQWS_ARGS_FAKE"
  fi
   
  # QUIC
  if [ "$QUIC_ENABLED" -eq "1" ]; then
    args="$args --new --filter-udp=443 $NFQWS_ARGS_QUIC"
#    args="$args $NFQWS_ARGS_FAKE_QUIC"
  fi

  # DESYNC
  if [ "$NFQWS_OPT_DESYNC" != "" ]; then
    args="$args --filter-tcp=443 $NFQWS_OPT_DESYNC"

    if [ -z "$IPV6_ENABLED" ] || [ "$IPV6_ENABLED" -eq "1" ]; then
      args="$args NFQWS_OPT_DESYNC_HTTPS6"
    fi 
  fi
  echo "$args"
}

А уже в сам бинарник запускается через

$NFQWS_BIN --daemon $LOGGING --pidfile=$PIDFILE $(_startup_args)

Как корректнее дополнить основной блок обхода DPI (чтобы работали inst, twi, прочие сайта) отдельным блоком только под ютуб?

Извините за сумбурное изложение вопроса

Хм. Что то меня тогда отпугнуло от dnsmasq - наверное просто не понял как он работает, потому что чукча не читатель, а писатель (с помощью чата гпт). Сейчас попробовал - действительно добавляет в ipset (по логам из dnsmasq это видно). Правда протестировать полноценно не могу, потому что собственно ютуб не работает.

Это правильная стратегия, потому что старый ноут есть у многих, и ноуты стандартны (IBM совместимы), а роутеры всякие разные - как в них openwrt полезет, х.з…

Эти скрипты я не писал, так что про них ничего сказать не могу.
Мои скрипты заполняют базовые параметры сами.
Потом добавляют $NFQWS_OPT_DESYNC. За ним идет блок хостлистов. В конце идет “–new $NFQWS_OPT_DESYNC_SUFFIX”, если суффикс определен. В суффикс пишуются в основном только несовместимые с хостлистами стратегии.
Вот пример процесса на моей системе
/home/opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync-fwmark=0x40000000 --hostlist=/opt/zapret_lists/list-youtube.txt --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack --hostlist=/home/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/home/opt/zapret/ipset/zapret-hosts-user-exclude.txt --hostlist-auto=/home/opt/zapret/ipset/zapret-hosts-auto.txt --hostlist-auto-fail-threshold=3 --hostlist-auto-fail-time=60 --hostlist-auto-retrans-threshold=3 --hostlist-auto-debug=/home/opt/zapret/ipset/zapret-hosts-auto-debug.log

Подскажите, в zapret есть функция HEX как в goodbyedpi? Если да, то какой должен быть конфиг?

nfqws --qnum=200 --dpi-desync=split2 --dpi-desync-split-pos=1 --hostlist=/youtubet.txt

nft create table inet ztest
nft add chain inet ztest post "{type filter hook postrouting priority mangle;}"
nft add rule inet ztest post tcp dport "{80,443}" ct original packets 1-12 queue num 200 bypass
nft add rule inet ztest post udp dport 443 ct original packets 1-4 queue num 200 bypass

В целом работает удовлетворительно. Иногда бывают некоторые затыки, в первую очередь в прямых эфирах.

Спасибо, попробовал конфигурацию (тупо перезатёр $args вашим кодом), ютуб стал запускать очень медленно (пчелайн), в роликах даже страница не прогружается

Я четко означил, что это не копипаста. Копипаста не работает

Если речь о --fake-from-hex, то фейки в nfqws загружаются отдельно из файлов для каждого известного типа протокола и для неизвестных протоколов. Можно и в HEX, но HEX константам должно предшествовать 0x. См опции командной строки.
Фейк для TLS по умолчанию радномизируется на предмет SNI, session id и random полей TLS ClientHello. Если указаны внешние данные - они шлются как есть.

Хм, а чем так плохо использовать zapret для вообще всех хостов? Замедления интернета у себя не заметил.
И ещё интересно насколько часта ситуация, что реально не объединить несколько стратегий в одну - и из-за этого приходится такие длинные конструкции писать.

Такая необходимость у меня реально возникла только для youtube.
Раньше жили без мультистратегий, и все было норм.

Добрый день.
роутер с openwrt. установлен zapret.
долго пытался подобрать различные варианты чтобы работало приложение smarttube на android tv (на пк ютуб работает отлично). Блокировал 443 порт udp - не помогло. в итоге запустил эмулятор андроида и там установил smarttube. естественно так же не работало. но когда еще параллельно запустил на этом же пк zapret-winws с базовой настройкой, увидел что в приложении smarttube начали появляться хотя бы окошки с видео, но не воспроизводились. в итоге решил из конфига win версии потихоньку выкидывал рандомно ключи и в один прекрасный момент smarttube заработал. когда отключил zapret на роутере естественно smarttube перестал работать. вопрос в том, как теперь правильно объединить конфиги в один на роутере чтобы smarttube на android tv и ютуб на компе работали?

конфиг на win версии

конфиг на роутере

+1, тоже только с таким конфигом на ПК работает и то, половина GGC возвращают 403, а на тв (WebOS) как будто сами видео грузятся, а остальной фронт - нет
upd: android и iOS тоже работают
upd2: завелось с этим конфигом везде

start “zapret: http,https,quic” /min “%~dp0winws.exe” --wf-tcp=80,443 --wf-udp=443 --filter-udp=443 --new --filter-tcp=443 --dpi-desync=fake --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=“%~dp0tls_clienthello_www_google_com.bin” --new --dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig

Зачем делать пустой профиль с udp ? Надо убрать перехват udp из windivert фильтра.
Тоже самое касается и 80 tcp.
Тогда фильтр tcp вообще не нужен будет

start “zapret: http,https,quic” /min “%~dp0winws.exe” --wf-tcp=443 --dpi-desync=fake --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=“%~dp0tls_clienthello_www_google_com.bin” --new --dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig

В роутер пишется тоже самое, но без windivert. wf-tcp не сработает и не нужен
Да, еще пути поправить, конечно

@bolvan Подскажите, пожалуйста, правильно ли понимаю, что в блокчеке:

1. при проверке http и tls используется фейк=0x00000000?
2. при проверке quic фейк вообще не используется?

И можно ли сделать, чтоб использовался tls_clienthello_translate_google_com.bin в 1-ом случае и quic_ietf_google_com_2.bin во 2-ом?

Наличие фейка зависит не от опции --dpi-desync-fake-tls, а от --dpi-desync=fake.
там есть фейк по умолчанию для каждого известного протокола. для tls делается некоторая рандомизация фейка по умолчанию.

что касается специализированных не общих пейлоадов, то я не буду скакать за веяниями текущего момента и вносить частные случаи в блокчек как “простое решение” из коробки
кому надо - допишите параметр в код скрипта. это делается достаточно просто

сделал переменные PKTWS_EXTRA, TPWS_EXTRA
чтобы эти параметры добавлялись всегда к параметрам запуска соотв демонов
и туда уже вносите что угодно
см тему whats new

Большое вам спасибо!

Можно еще уточнить плс, PKTWS_EXTRA="--dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin" ./blockcheck.sh нужно самому добавить в начало скрипта blockcheck.sh, так? Или в blog.sh?

Спасибо! Правила к себе скопипастил - кажется они редиректят нормально, но ютуб стабилен давно и одинаково - просто стоит колом.

Нет смысла в скрипт blockcheck`а добавить опцию “/etc/init.d/zapret stop” и “start” после его окончания?
Ведь это требуется для его более корректной работы, а про это узнаешь не из ридмишки а от тебя либо других людей на форуме.
зы
наверняка умные люди и так это будут понимать, но вот не очень умных как я не мало )

Такие правила верные?

#!/bin/bash
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

#Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Проверяем наличие таблицы
if nft list tables | grep -q "ztest"; then
    # Если таблица существует, удаляем ее
    echo "Таблица ztest существует. Удаляю..."
fi
# Создаем новую таблицу
nft create table inet ztest
nft add chain inet ztest post "{type filter hook postrouting priority mangle;}"
nft add rule inet ztest post tcp dport "{80,443}" ct original packets 1-12 queue num 200 bypass

Запускаю затем уже /opt/zapret/nfqws --qnum=200 --user=zapret --debug --dpi-desync=всякое

Берем коммит до добавления мультистратегий, все работает:

Берем последний коммит, и ничего не работает:

Почему search for hostname=‘’ не показывает домен из файла, который он должен искать? Вроде же старые правила не должны были измениться при добавлении функции мультистратегий. В xvideos.txt находится только xvideos.com.

На GPON MTS какое-то странное поведение с большинством стратегий, например:

• checking nfqws --dpi-desync=fake,split --dpi-desync-ttl=3 --dpi-desync-split-pos=1
  [attempt 1] curl: (35) Recv failure: Connection reset by peer
  [attempt 2] AVAILABLE
  [attempt 3] curl: (28) Connection timed out after 2002 milliseconds
  [attempt 4] AVAILABLE
  [attempt 5] curl: (35) Recv failure: Connection reset by peer

Чередуется timed out и connection reset.
Второй ТСПУ или какой-то фильтр на пути в зависимости от балансировки?

А ютуб работает в хроме без обхода блокировок? У меня наблюдалось похожее поведение блокчека из-за манипуляций провайдера с размером TCP окна. Вылечилось добавлением в конфиг параметра --wsize=1500.

Сегодня для YT у меня отвалился --dpi-desycn=split2, который работал после отвала disorder2.
Блокчек показал гораздо меньше рабочих стратегий. Пока завелось на:
--dpi-desync=split --dpi-desync-fooling=badseq

Здравствуйте, подобрал рабочие параметры на windows в cmd файле с ними ютуб работает:
winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split2 --dpi-desync-fake-tls=tls_clienthello_www_google_com.bin, Но мне нужно поставить их в роутер,

# CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run "nfq/nfqws --help" for option list
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=split2 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
#NFQWS_OPT_DESYNC_HTTP=
#NFQWS_OPT_DESYNC_HTTPS=
#NFQWS_OPT_DESYNC_HTTP6=
#NFQWS_OPT_DESYNC_HTTPS6=
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=split2 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
#NFQWS_OPT_DESYNC_QUIC6=

С этими параметрами не работает, как их адаптировать под роутер? --wf-l3=ipv4 --wf-tcp=443 - нужно ли писать?

У split2 нет фейков, следовательно -fake-tls ничего не делает.
Для quic нет стратегии split2, а -fake-tls он для tls, а не для quic.
Т.е. по идее у вас можно попробовать как-то так:

NFQWS_OPT_DESYNC="--dpi-desync=split2"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=$"

$ подобрать от 2 до 11.

Попробовал, без изменений.
Как будто бы стратегии с badseq или md5sig работают стабильнее.

Его надо в самый конец добавлять. У меня вот так сейчас:

На обычный http (80 порт) я забил, и в общем у меня конструкция как-то значительно проще получилась, и без мульти-стратегий (в exclude пока чисто одинокий домен гос-услуг).

"C:\Users\sora\Downloads\Soft\git\zapret-win-bundle\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=443 --wf-udp=443 --dpi-desync=split2 --dpi-desync-fooling=badseq --dpi-desync-split-seqovl=652 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern=C:\Users\sora\Downloads\Soft\git\zapret-win-bundle\blockcheck\zapret\files\fake\tls_clienthello_www_google_com.bin --hostlist-exclude=C:\Users\sora\Downloads\Soft\git\zapret-win-bundle\zapret-winws\exclude.txt --wsize=1500

Можно и без полных путей, лишь бы все файлы в той же папке лежали. И если не путаю, то со split2 фейк не используется, а с udp не работает, т.е. можно и еще подсократить:
winws.exe --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split2 --dpi-desync-split-seqovl=652 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern=tls_clienthello_www_google_com.bin --hostlist-exclude=exclude.txt --wsize=1500
Ну либо добавить перед split2 фейк, если он нужен:
winws.exe --wf-l3=ipv4 --wf-tcp=443 --wf-udp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=badseq --dpi-desync-split-seqovl=652 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern=tls_clienthello_www_google_com.bin --hostlist-exclude=exclude.txt --wsize=1500

Перепробовал все --dpi-desync-repeats c 2 по 11, но не работает
А почему -fake-tls не нужен? Я делал по гайду Подбор рабочего конфига для GGC ютуба через blockcheck - #39 by shiko

Дак вот это и есть же fake-часть Просто чуть иначе прописана у меня, чем это обычно тут делают.
А насчёт полных путей - без разницы по сути, у меня работает как служба и это никак не мешает. Ну и да, насчёт udp вы правы, это точно лишнее тут.

И работает? В ридми сказано, что dpi-desync-split-seqovl обязательно должен быть меньше, чем dpi-desync-split-pos.

Тогда что это из вывода blockcheck’a? Зачем он это проверяет?

- checking winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=badsum
!!!!! AVAILABLE !!!!!
- checking winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=badseq
!!!!! AVAILABLE !!!!!
- checking winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=datanoack
!!!!! AVAILABLE !!!!!
- checking winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig
!!!!! AVAILABLE !!!!!

Ну да, отлично работает. И ютуб без тормозов, и всё остальное открывается.
Собственно поправил меня насчёт dpi-desync-split-seqovl как раз @bolvan

Acindaz абсолютно правильно написал, в инструкции неточность, прошу прощения, пойду исправлять

Обратите внимание, что перед split2 стоит fake

А, ну да. Для меня просто как-то само-собой разумеющееся было, что будет использован и fake Не так понял, похоже.

Ну тут столько разных параметров, причем у запрета свои, у gdpi свои и т.д, что немудрено запутаться)

ясно, спасибо

* SUMMARY
ipv4 rr3---sn-oxuctoxu-jnte.googlevideo.com curl_test_http : working without bypass
ipv4 rr3---sn-oxuctoxu-jnte.googlevideo.com curl_test_https_tls12 : tpws --split-pos=1
ipv4 rr3---sn-oxuctoxu-jnte.googlevideo.com curl_test_https_tls12 : nfqws --dpi-desync=split2
ipv4 rr3---sn-oxuctoxu-jnte.googlevideo.com curl_test_https_tls13 : tpws --split-pos=1
ipv4 rr3---sn-oxuctoxu-jnte.googlevideo.com curl_test_https_tls13 : nfqws --dpi-desync=split2

Как подобрать параметры для QUIC? И можно ли его вообще отключить?

Сейчас проверил работу без “–dpi-desync-fake-tls=tls_clienthello_www_google_com.bin” - ничего не работает
winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split2

Но если вернуть обратно, то ютуб начинает работать
winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split2 --dpi-desync-fake-tls=tls_clienthello_www_google_com.bin

Хм, интересно… Чего-то видимо в ридми zapret/docs/readme.txt at master · bol-van/zapret · GitHub забыли указать)

Режим split очень похож на disorder, только нет изменения порядка следования сегментов :

1. поддельная 1-я часть пакета, поле данных заполнено нулями
2. 1-я часть пакета
3. поддельная 1-я часть пакета, поле данных заполнено нулями. отсылка 2-й раз.
4. 2-я часть пакета

Режим split2 отключает отправку поддельных частей.
Он может быть использован как более быстрая альтернатива --wsize.
disorder2 и split2 не предполагают отсылку фейк пакетов, поэтому опции ttl и fooling неактуальны

Возможно что, когда работает, то работает по quic. Проверьте по F12 - Network. Если там у videoplayback протокол h3, то это оно.
Для quic можно также указать фейк:
--dpi-desync-fake-quic=<путь...>/quic_initial_www_google_com.bin

У меня РКН как будто по несколько раз в день меняет настройки, приходится по несколько раз в день переписывать правила.
У всех так?

Вот лог за последнии несколько дней:

Да фиг его знает, может, они там у себя тоже параметр с рандомным значением прикрутили, типо как fake-gen в gdpi. Не думаю, что сидят и меняют что-то вручную)

Ну для таких вот адресов у вас стабильно working without bypass во все дни.
А для таких

ipv4 rr9---sn-axq7sn7s.googlevideo.com curl_test_https_tls12 : winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split --dpi-desync-ttl=4
ipv4 rr9---sn-axq7sn7s.googlevideo.com curl_test_https_tls13 : winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split --dpi-desync-ttl=4

работает split.
На вашем месте я б попробовал так: адреса вида rrX---sn-ov8vuxaxjvh-v8ce.googlevideo.com
оставить как есть, без обхода, адреса вида rrX---sn-axq7sn7s.googlevideo.com добавить в хостлист с правилом winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split --dpi-desync-fooling=badseq --dpi-desync-autottl=1:3-20 (если такой обход работает, конечно)
Остальные адреса ютуба (youtube.com, ggpht.com, ytimg.com, play.google.com ), чтобы не париться с правилами, пустить через прокси, любой, можно даже не скоростной , главное, чтоб он был настраиваемым.

Это понятно что не ручками это делают
Если прописать --dpi-desync-autottl без параметров то по умолчанию ttl будет подбираться от 3 до 20? Или оно так вобще незаработает?

Похоже на то:

–dpi-desync-autottl=[[:[-]]] ; режим auto ttl для ipv4 и ipv6. по умолчанию: 1:3-20. delta=0 отключает функцию.

• autottl. Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до
  сервера. Берутся базовые значения TTL 64,128,255, смотрится входящий пакет
  (да, требуется направить первый входящий пакет на nfqws !).
  Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию),
  то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученный TTL больше длины пути,
  то автоматизм не сработал и берутся фиксированные значения TTL для атаки.
  Техника позволяет решить вопрос, когда вся сеть перегорожена шлагбаумами (DPI, ТСПУ) везде где только можно,
  включая магистралов. Но потенциально может давать сбои.
  Например, при асимметрии входящего и исходящего канала до конкретного сервера.
  На каких-то провайдерах эта техника будет работать неплохо, на других доставит больше проблем, чем пользы.
  Где-то может потребоваться тюнинг параметров. Лучше использовать с дополнительным ограничителем.

И еще вопрос, если --dpi-desync-ttl=4 то ящик с тспу стоит где-то внутри провайдера, а если ttl=9 то где-то на магистрали, я правильно понимаю?

По логике - да. Но то, что у вас так скачет ttl, вообще ломает всю логику… Хотя, нет, вроде ttl=4, может, такой и добавить. либо вообще без ttl ?

у меня на билайне ttl=2 убрал задержку у магистральных серверов.
(местные и без ttl работали)
но, возможно, в данном случае магистральные сервера билайновские, то есть тоже внутри сети провайдера, но по 2ip определяются анонимными гугловскими из мск

PKTWS_EXTRA=“–dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin” ./blockcheck.sh

Кто-нибудь уже догадался как это использовать и для чего?

Ну по идее перед запуском блокчека нужно добавить в blockcheck\zapret\blog.sh
PKTWS_EXTRA="–dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin" ./blockcheck.sh
Или в начало blockcheck\zapret\blockcheck.sh
PKTWS_EXTRA="–dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"
bolvan пока не ответил, как правильней

А я думаю что надо в системе задавать переменные окружения.

Возможно. Потому что если добавить в blockcheck\zapret\blockcheck.sh
PKTWS_EXTRA="--dpi-desync-fake-tls="$ZAPRET_BASE/files/fake/tls_clienthello_www_google_com.bin""
То будет ошибка

• checking winws --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=split2 --dpi-desync-spli
  t-pos=5 --dpi-desync-fake-tls=/cygdrive/d/My Documents/Программы/Интернет/anon/A
  ntiDPI/Zapret/zapret4/blockcheck/zapret/files/fake/tls_clienthello_www_google_co
  m.bin
  could not read /cygdrive/d/My

Ошибка из-за того, что путь с пробелом не обернут в кавычки.

А как его обернуть? Что здесь добавить?

PKTWS_EXTRA="--dpi-desync-fake-tls=\"$ZAPRET_BASE/files/fake/tls_clienthello_www_google_com.bin\""

К сожалению, не помогло( В логе теперь пишет
--dpi-desync-fake-tls="/cygdrive/d/My Documents/Программы/Интернет/anon/AntiDPI/Zapret/zapret4/blockcheck/zapret/files/fake/tls_clienthello_www_google_com.bin"
Но в консоли все равно

--dpi-desync-fake-tls="/cygdrive/d/My Documents/Программы/Интернет/anon/AntiDPI/
Zapret/zapret4/blockcheck/zapret/files/fake/tls_clienthello_www_google_com.bin"
could not read "/cygdrive/d/My

Файл tls_clienthello_www_google_com.bin по этому пути есть, если что

Тогда лучше указывать в blog.sh
Там действительно какой-то затуп с кавычками. Даже добился оборачивания, он все равно рвет путь по пробелу.

А так блокчек запускается без этого параметра. Как же его передать-то?

Проще просто перенести в папку, в пути до которой не будет пробелов вовсе.

Спойлер

bash_KpWmlHSal0979×512 34.2 KB

sublime_text_mGA95bjZCt798×569 54.4 KB

Как перезапустить zapret (nfqws) чтоб config применился после изменений? Пробовал sudo systemctl restart zapret.service, но чет не помогает.

upd: походу sudo /opt/zapret/init.d/sysv zapret restart работает

upd2: или нет? Ввожу zapret stop, но этот сайт продолжает открываться, а некоторые другие выдают ошибку https, то есть он как будто продолжает работать.

Например, "D:\Soft\Internet" и далее

Это слишком просто))

Вот строка из blog.sh у меня, параметр учитывается, путь с пробелами, ошибок нет:

PKTWS_EXTRA="–dpi-desync-fake-tls=$EXEDIR/files/fake/tls_clienthello_www_google_com.bin" CURL_MAX_TIME=1 "$EXEDIR/blockcheck.sh" | tee "$EXEDIR/../blockcheck.log"

О, так ошибок нет, спасибо!

Неа, рано обрадовались, так тоже ошибка. Просто в опции
–dpi-desync-fake-tls=, а должно быть
--dpi-desync-fake-tls=.
И из-за этого блокчек ее просто не учитывал.

Вариант для винды. Кидаете пейлоад рядом с blockcheck.cmd, запускаете командную строку от админа. Переходите в папку с блокчеком через cd /d адрес. Ставите переменную и запускаете:

set "PKTWS_EXTRA=--dpi-desync-fake-quic=quic_initial_google_com.bin"
blockcheck

Всяко лучше чем в файлах лезть менять.

Кстати, мне кажется ошибку 95 для quic можно не расценивать как ошибку. У меня quic работает без проблем, а курл все равно ошибку 95 для гуглвидео выдает.

Это не решает проблемы с пробелом в пути

Есть альтернативный вариант? Вроде видосы грузит, но то быстро, то медленно.

NFQWS_OPT_DESYNC=“–dpi-desync=fake,split2 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin”

upd, вот вроде нормальный вариант, если кому надо:

–dpi-desync=split2 --dpi-desync-split-seqovl=4 --dpi-desync-split-pos=5 --wssize 1:6

В винде пути через обратный слеш пишутся, а не через прямой.

upd Нет, все нормально. Спасибо! Нужно в сам blockcheck.cmd добавить после
cd /d "%~dp0"

set "PKTWS_EXTRA=--dpi-desync-fake-tls=tls_clienthello_www_google_com.bin --dpi-desync-fake-quic=quic_initial_google_com.bin"

И оба файла в ту же папку. И все-таки это костыль) Должно работать и с пробелом, у bolvan работает для других файлов с фейками в том же скрипте. Как - не понимаю…

Тут параметр передается для скрипта на bash, запускаемый на cygwin

–dpi-desync-fake-tls=“\cygdrive\d\My Documents\Программы\Интернет\anon\AntiDPI
Zapret\zapret4\blockcheck\zapret\files\fake\tls_clienthello_www_google_com.bin”
И корень там может не так обозначаться, и пробел может требовать экрана и еще чего-нибудь. Обмажутся своими виндами…

У вас все хорошо?)

У меня более-менее хорошо, спасибо что интересуетесь. А у вас парсер строки о пробел ломается.

Пожалуйста) Это не мой парсер и ломается у всех, у кого пробел в пути. При этом в другом месте скрипта точно такой же путь работает. У меня чисто спортивный интерес, не более. Вы знаете решение?

“/cygdrive/d/My\ Documents/Программы/Интернет/anon/AntiDPI/
Zapret/zapret4/blockcheck/zapret/files/fake/tls_clienthello_www_google_com.bin” это второй вариант, мне проверить негде