Возможно уже обсуждалось, но не нашёл. Сайты за CloudFlare точно определяют страну, даже если я маршрутизирую доступ к доменам через VPN. Например чатгпт. В настройках роутинга VLESS у меня стоят все openai домены, сам chatgpt.com открывается, но при попытке авторизоваться, я вижу сообщение, что для РФ это недоступно, хотя точно знаю, что на эти домены маршрутизируюсь через VLESS. При этом если я оборачиваю весь трафик через VPN, то всё прекрасно работает.
Может кто сталкивался с подобным?

через куки

сплит туннелировние сильно проигрывает из-за этого где клаудфлейр тебя помнит не зависимо от твоего ip

поэтому я люблю firefox браузеры, там можно профили делать на все случаи жизни

тоже думал что через куки, всё вычистил, зашёл в инкогнито – один фиг. нашёл от браузера заголовок с ru языком, убрал – один фиг cloudflare каким-то образом точно знает, что я из РФ. При этом повторю, если я оборачиваю весь трафик в тот же VPN, а не только конкретные домены, то всё ок. и с куками и с Ru в заголовках от браузера

fingerprint, попробуй виртуальную машину

fingerprint чего? повторю, один и тот же браузер, маршрутизирую только определённые ресурсы через vpn – CF определяет меня как РФ. оборачиваю весь свой трафик через тот же самый VPN, просто обновляю страницу, в том же браузере, с теми же куками итп – всё ок, доступ есть, я теперь в Австрии

Ну cf имеет лучший fingerpint чем другой сервис и поэтому определяет, возможно

ну можно вангануть, что не все нужные домены “обёрнуты”. возможно посмотреть снифером куда ещё коннект лезет. и его обернуть…

Странная ситуация, не сталкивался с таким даже при выборочном туннелировании. В целом Cloudflare не зацикливается на фингерпринтах и прочих сложных вещах, почти уверен, что дело в другом.

Посмотрите, что говорит pixelscan.net о вашем браузере, может что найдете.

Тоже рассматривал бы как один из наиболее вероятных вариантов.

И какие это домены? Меня пускает когда

*.chatgpt.com
*.oaistatic.com
*.oaiusercontent.com
*.openai.com

идут через варп.

Для мистраля кстати достаточно *.mistral.ai пустить.

https://chatgpt.com/cdn-cgi/trace какую страну выдает?

Как вариант, все айпи клаудфлейра занести в список. Посмотрите сниффером куда он подключается и если в IP Ranges есть этот айпи, занесите все айпишники в этот список

ну раз гадания продолжаются то напишу и своё: возможно у автора темы впска с ipv4 который определяется как RU и ipv6 который определяется как EU, и с его настройками при частичном роутинге chatgpt идёт через ipv4.

fl=555f76
h=chatgpt.com
ip=5.35.44.56
ts=1736352061.93
visit_scheme=https
uag=Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
colo=AMS
sliver=none
http=http/2
loc=NL
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off
kex=X25519MLKEM768

Собственно, это VPN, т.е. то что я и хочу. Однако auth.openai.com выдаёт другое

fl=637f216
h=auth.openai.com
ip=213.109.*.*
ts=1736352115.187
visit_scheme=https
uag=Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
colo=FRA
sliver=none
http=http/3
loc=RU
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off
kex=X25519MLKEM768

Судя по всему, ответ кроется в http=http/3, спасибо. Не уверен, что я оборачиваю udp трафик в VPN.
Круто )

Еее! @wigeance спасибо!
Проверил, в лисе quic выключен и всё пашет как надо. Проблема решена, надо просто оборачивать в VPN в том числе и UDP трафик для этих доменов.

image693×361 26.7 KB

Хоть ответ уже и нашли, упомяну интересный факт: если пользователь сидит через WARP от CF, то сайтам, которые сами пользуются услугами CF, он передаёт оригинальный IP пользователя.

таки нет, ну или это не точно. только что забанил свой ip на своем сайте в панели клауда и доступ туда пропал, включаю warp и доступ появляется. но страну он пытается передать, есть даже geoip turkmenistan если вы каким то образом подключитесь оттуда

скрин

image582×1085 43.4 KB

Ну так он его передаёт в каком-то там заголовке, X-Forwarded-For, ЕМНИП.

Странно, что он сам не банит в таком случае. Но интересно, @0ka а глянь если удобно, что там в x-real-ip, x-forwarded-for и подобных заголовках?

Вспомнил. У них это было раньше написано в блоге.

Вот обсуждение по этому поводу, там же приведены заголовки, которые видит сайт, сидящий за CF
https://www.reddit.com/r/CloudFlare/comments/ddbber/warp_and_hiding_true_ip_address/

Но в 2022 году они уже про это не упоминают, мол, мы заменяем ваш адрес на наш, который достаточно точно отражает ваше положение, сайты видят его и предоставляют вам контент, соответствующей вашей геолокации, при этом ваш адрес не видят и приватность не страдает.

А это уже дело самого сайта, отказывать в подключении клиенту из определенной страны или выдать ему какой-то иной контент. Например, некоторые сайты не банят россиян (именно что не отказывают в подключении), а вместо этого просто вместо контента выдают какую-нибудь заглушку с каким-нибудь воодушевляющим текстом.

реальный ip клиента не передаётся, независимо за клаудом сайт или нет, заголовок x-forwarded-for есть, но там ip cf

Я думаю CloudFlare нам не друзья, поэтому лучше спрыгивайте с этой темы, плюс она слишком известная, каждый школьник наслышан

cf крупнейший трафик-провайдер, делают интернет безопасней, быстрее и стабильней. с каких пор сетевые энтузиасты не друзья сетевым энтузиастам?

один из бывших сотрудников cloudflare писал на Hacker News, что у них была специальная система для китайских служб (чтобы они могли удобнее смотреть кто куда заходил). ссыль потерял, может кто-то надёт?

Я к тому, что это дело сайта, но сайту в панеле CF явно указали, что данный IP пускать не надо ) и если CF может прокидывать реальный ip через заголовки, то странно, что он не банит его на сетевом уровне.

Забавно если так. Интересно, как это кореллируется с такими штуками как encrypted clienthello

И не враги.

CF делает много хорошего для Интернета. Конечно, есть и не очень приятные вещи, наподобие той истории, когда они выгнали имиджборду просто потому, что “вы гадкие и вы нам не нравитесь”. Но есть и положительные стороны, когда они продвигают ECH, дают бесплатно WARP, защищают от DDoS и так далее.

ECH мы можем пощупать и убедиться. А вот слова, пусть даже и бывшего сотрудника, проверить не можем.

Del

То, что крупные игроки “заигрывают” со спецслужбами по своей инициативе или даже против своего выбора, это естественно. Более того, крупные организации не всегда могут контролировать деяствия команд “снизу”. Лично как по мне, CF большие молодцы и во многом “просветители”. И уж точно не враги )

А расскажи сеттинг? Мы говорим о том, что даже если ты скрываешь свой ip за vpn, но пользуешься варпом, сайты на cf могут получать реальный ip пользователя благодаря варпу, в твоём случае это именно так? Т.е. даже под vpn но с варпом сайты под CF видят твой реальный ip? Кажется, выше мы пришли к тому, что это уже не так.

Прошу великодушного прощения, я спросонья не отключил исключения VPN. А так нет, не видит реальный. И у меня не warp, еще раз прошу прощения.

это уже не так

Да, это уже не так. Только город. Но раньше в заголовках X-Forwarded-For на whoer действительно видел свой IP. Теперь это в прошлом.

Судя по всему, ответ кроется в http=http/3

Так и думал.

Я думаю CloudFlare нам не друзья
продвигают ECH, дают бесплатно WARP, защищают от DDoS

Кстати, не первый раз замечаю, что идеология российских борцов за свободу, активистов, скажем так, отличается от западных борцов за свободу. Несколько примеров:

1. У нас любят CF (за исключением пользователей старых браузеров на руборде, которые страдают от непроходимой капчи), а на западе это a. дракон, который пожирает интернет, b. разработчики и пользователи Pale Moon и Basilisk браузеров (ответвление классического Firefox) не любят CF опять же за то, что капча не очень то жалует их маргинальные браузеры.
2. Российские либералы любят Израиль, а западные либералы любят Палестину. Помню как-то (относительно давно) зашёл в IRC канал фемок (изучал их). Говорю по глупости и наивности “мне нравится Израиль”, а мне “здесь мало кто такие взгляды разделяет”.
3. Французские линуксоиды (борцы за свободу софта) не любят Amazon (т.к. корпорация, слежка), а у меня лично, по крайней мере, хорошое отношение. Т.к. 10 и более лет назад неоднократно заказывал диски. И возвращали стоимость или переотправляли, если на почте воровали. Или вот те же европейские линуксоиды не очень-то любят Canonical и Ubuntu (корпорация, snap, привязанный к ней, связь с Amazon в прошлом), а мне запомнилось, как раньше бесплатно отправляли диски с убунтой. Во времена диалапов.
4. У нас Telegram основной мессенджер для всего, а на западе маргинальный, с проституцией и наркотой.

Я к чему это говорю всё, чтобы вы помнили, если попадёте в другое общество, там может быть совсем другой менталитет и взгляды. Осторожней с этим.
Различия во вглядах понятно почему. У людей в разных странах разные проблемы. Например, европейским и американским пользователям Pale Moon нет дела до цензуры провайдера и государства, но раздражает повсеместность капчи. И т.д.

Cf сейчас единственные чьи DNS имеют сервера в Москве а следовательно самое быстрое время доступа

Не знал, что незашифрованные пакеты от их Edge сервера до конечной точки — это безопасность.
В учебниках такое обычно называют MitM атакой, пускай и вынужденной, ведь иначе никак не предоставишь сервис

Конечной точки чего? Edge это же локальный кеш, как GGC, как ретрекеры rutracker.org почти в любом крупном провайдере, как сервера opera turbo (и в последствии аналога от яши) итп.
Не ну да, давайте ещё и браузеры будем обвинять в mitm, они тоже кешируют контент, ещё и пароли сохраняют.

Нормальные браузеры это делают локально, а не на чьём-либо сервере.
Cloudflare хранит кэш у себя, в этом как бы и суть CDN

Я вообще не представляю кто их любит, ониж все подключения с тора ломают

Строго говоря, во многих браузерах не mitm, а бэкдоры (удалённые настройки, удалённый контроль). Пруфы? Как это проверить: например, если Brave 1.61.120 пустить в интернет (т.е. на его сервера), то он подгружает новомодные парящие вкладки после перезапуска.

Те, кто не используют тор?)

Да сам факт этого… фубекака

[quote=“denium, post:54, topic:14419”]

• разработчики и пользователи Pale Moon и Basilisk браузеров (ответвление классического Firefox) не любят CF опять же за то, что капча не очень то жалует их маргинальные браузеры.
  [/quote]отключите js или сделайте нестандартные заголовки на любом браузере и вы увидите каптчу

Каптча не жалует и обычную Лису, чуть подкрученную в плане безопасности и минимизации утекаемых данных.

Вроде, зависит от настроек сайта. Насколько там накручено. Но я не знаю какие дефолты. Я помню когда-то очень давно пиратская бухта пускала тор браузер, но не пускала другой браузер с торовским IP (нужны заголовки как у тор браузера). А сейчас смотрю даже с нестандартным user agent’ом пускает.

Кстати, гуглокапча тоже сильнее достаёт лисобраузеры, чем хромобраузеры, по моему.
Что касается Pale Moon, там была проблема с проверкой фич браузера (признавался как бот). Шерстяной общался с поддержкой, вроде поправили. Потом опять сломалось, потом починили. Так и живут.

Ну, это вполне логично, что свой браузер доставать она будет меньше. Все же знают, что в том же Хроме тебе уже при скачивании установщика присваивается уникальный ID и прописывается в этот установщик. С этих пор ты уже на крючке у гугла - каптчи как-бы и не особо нужны.
Или бывают обратные ситуации - например в хромоногах через прокси CT не утекает вебртс с твоим российским IP, а вот в лисе - пожалуйста.

Они в целом не любят бигтех, но я сомневаюсь, что это следствие именно проблем взаимодействия браузера с CF.

Например, есть такой форк Firefox - Librewolf, там комьюнити тоже на голову ушибленное в отношении бигтеха, теорий заговора, слежки и так далее. Настолько, что даже человек, который занимается вопросом усиления приватности Firefox, считает их поехавшими.

Не, не прокатывает. Оно даже при блокировке каких-то видов фингерпринтигна на сайт не пускает и даже капчу решить не дает, причем это даже не отключение javascript

Librewolf - тоже отсылает данные при старте на сайт mozilla, так что плохие из них параноики.
Лучший форк firefox - icecat, его даже обновлять стали, ван лав так сказать

that’s why https://habr.com/ru/companies/ruvds/articles/493852/ какие они нах энтузиасты business as usual
но к ихней чести могу сказать что они одни из немногих западных контор которые говорили что росии нужно больше интернета а не меньше, кокда всё ето началось в 22 году, меньше интернета ето правители хотят нам делать

я как делаю кокда мне надо чатжпт зайти - подрубайю tun mode и default outbound ставлю в proxy вместо bypass’а чтобы не разбираться какие у их там домемы или щто

статья с кричащим названием, а из претензий по существу сбой 30 минут и каптча