Блокировки на российских серверах Cloudflare (CDN/DNS/WARP)

Internet censorship all around the world Russia
1

Тема посвящена блокировке веб-сайтов на российских серверах Cloudflare (DME, KJA, LED).

На данном моменте известно о блокировке следующих веб-сайтов:

Веб-сайт Тип блокировки Ошибка Комментарии
gelbooru.com SNI&IP Timeout после handshake
hetzner.com SNI&IP EOF после ClientHello
imhentai.xxx SNI&IP Timeout после handshake
mailfence.com IP (?) Timeout после ClientHello Очень редко пробивается другими SNI
mullvad.net SNI&IP Timeout после ClientHello
ntc.party SNI&IP Timeout после ClientHello Блок только по IPv4
protonmail.ch, protonmail.com, proton.me DNS SERVFAIL Блокируется nameserver ns3 по IP
rezka.ag SNI&IP Timeout после ClientHello
themoscowtimes.com SNI&IP Timeout после handshake
tuta.com IP (?) Timeout после ClientHello Блок только по IPv4

В случае блока по SNI&IP или подмена SNI, или подмена IP-адреса даёт подключиться к конечному серверу.

Соответствующие темы на форуме Cloudflare Community:

2

Это уже обсуждалось в соседней теме. На стыке между CF и 12-99 поставили ТСПУ

3

У меня еще и rutracker с goodreads через Варп не работают. Можно это как-то обойти без VPN?

4

Сначала расскажите что у вас за варп клиент и на какой ОС?

Например, у меня системный awg, весь трафик идёт через варп. А если что-то не открывается под варпом (из-за геоблока, например) у меня браузерное расширение Proxy SwitchyOmega пускает проблемные домены через дополнительный shadowsocks-libev (ss-local). Т.е. получается проблемные домены ходят warp > shadowsocks.

Всё-таки хоть варп подрезали, но не настолько сильно там ТСПУ зверствует, чтобы прокси протоколы внутри варпа не работали.

Но на мобильных могут быть совсем другие клиенты. И то, что легко делается на компе (как у меня) может быть очень нетривиально на мобильных.

Поэтому я и спрашиваю о том, какой клиент и ОС.

5

На ПК - клиент (форк) AmneziaWG 1.5, Win7. На телефоне - последняя версия AWG. У меня большая часть браузерных прокси-расширений работает плохо, плюс везде реклама, низкая скорость, и призывы купить премиум. Proxy SwitchyOmega никогда не пробовал, туда нужно какие-то свои прокси прописывать, или все само работает?

6

Туда надо прописывать локальный прокси, который поднимает shadowsocks клиент в системе. А в shadowsocks уже надо указать какой-нибудь прокси вида ss://

Здесь требуется две вещи:

  1. Найти подходящий shadowsocks клиент. Они бывают консольные и графические. С консольными сложнее. Зато их можно запускать батником.
  2. Найти публичный бесплатный shadowsocks сервер (ss:// ссылку). Например, на 4pda после регистрации, в телеграме или гугле.

При этом shadowsocks внутри варпа будет работать нормально. Ведь его скорее всего не тронет ТСПУ. Рекламу не показывает. А скорость да, может быть ниже.

На мобильном так не получится. Там можно попробовать запустить tor браузер после запуска Амнезии.

7

Подробной информации, к сожалению, не удалось найти. Если действительно поставили ТСПУ, то оно странно себя ведёт, поскольку другие заблокированные сайты (по типу Instagram, X) нормально открываются.

8

Смотрите трассировки до сайтов. То, что идет через 12-99 подвергается блокировкам. Трафик идущий другими маршрутами пока не фильтруется

9

Что за 12-99?

10

Twelve99 (AS1299) Arelion ex.Telia

11

Тот же hetzner.com не идёт через 1299, но всё равно блокируется.

$ mtr -r -z --no-dns hetzner.com
Start: 2026-03-02T10:54:48+0300
HOST:                             Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. AS13335  104.28.0.0           0.0%    10   15.9  18.5   9.8  33.3   8.2
  2. AS13335  172.69.50.1          0.0%    10   13.5  13.1   9.0  21.4   3.7
  3. AS13335  172.68.8.50          0.0%    10   23.5  15.2   9.4  28.7   6.7
  4. AS???    109.239.136.184      0.0%    10   64.0  52.1  47.2  67.0   7.3
  5. AS24940  213.239.224.177      0.0%    10   65.6  57.2  48.2  87.4  12.1
  6. AS24940  213.239.245.34       0.0%    10   53.1  59.7  49.2  95.7  13.7
  7. AS???    ???                 100.0    10    0.0   0.0   0.0   0.0   0.0
  8. AS24940  213.133.116.44       0.0%    10   52.6  57.9  49.6  95.9  13.9
12

Сейчас весь список ТС доступен через DME, IP РФ, WARP+. Заход на DME выполняется из ДЦ в РФ, где доступ еще без дурилок есть.
Соглашусь только, что mullvad через раз работает, если потыкать F5, рано или поздно загрузится.

13

С моей стороны блокировки всё ещё наблюдаются (но у меня обычный WARP, а не WARP+).

$ curl -v --connect-timeout 5 -o /dev/null https://mailfence.com
  % Total    % Received % Xferd  Average Speed  Time    Time    Time   Current
                                 Dload  Upload  Total   Spent   Left   Speed
  0      0   0      0   0      0      0      0                              0* Host mailfence.com:443 was resolved.
* IPv6: (none)
* IPv4: 212.3.242.80
*   Trying 212.3.242.80:443...
* ALPN: curl offers h2,http/1.1
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [1564 bytes data]
* SSL Trust Anchors:
*   CAfile: /data/data/com.termux/files/usr/etc/tls/cert.pem
*   CApath: /data/data/com.termux/files/usr/etc/tls/certs
  0      0   0      0   0      0      0      0           00:04              0* Connection timed out after 5002 milliseconds

* closing connection #0
curl: (28) Connection timed out after 5002 milliseconds

$ curl -v --connect-timeout 5 -o /dev/null https://mullvad.net
  % Total    % Received % Xferd  Average Speed  Time    Time    Time   Current
                                 Dload  Upload  Total   Spent   Left   Speed
  0      0   0      0   0      0      0      0                              0* Host mullvad.net:443 was resolved.
* IPv6: (none)
* IPv4: 45.83.223.209
*   Trying 45.83.223.209:443...
* ALPN: curl offers h2,http/1.1
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [1562 bytes data]
* SSL Trust Anchors:
*   CAfile: /data/data/com.termux/files/usr/etc/tls/cert.pem
*   CApath: /data/data/com.termux/files/usr/etc/tls/certs
  0      0   0      0   0      0      0      0           00:04              0* Connection timed out after 5003 milliseconds

* closing connection #0
curl: (28) Connection timed out after 5003 milliseconds

Edit: Наблюдается перебойный доступ к mailfence.com, hetzner.com.

14

еще в dme блокируется с вероятностью 50% 7tv.app (hetzner) и с вероятностью 100% по ip rutor.info
в обоих случаях трассировка идет через билайн

я так понимаю, warp+ имеет собственную маршрутизацию CF>CF и поэтому не подвергается блокировкам?)

15

У себя с ZeroTrust не вижу изменений, обходится только если другой sni

 ~ $ gocurl --tls-servername=example.org -k https://mailfence.com | wc -c
164056
16

echofm.online тоже у меня не работает через warp. Но оно тоже на hetzner хостится. Warp в конфиге clash от лимоникса + FlClashX

17

mailfence.com снова наглухо блокируется, в моём случае подмена SNI не помогает Edit: снова перебойный доступ. Зато как будто к hetzner.com снова есть доступ. Edit: блок по IPv4 по-прежнему есть, только по IPv6 идёт подключение.

Могу подтвердить со своей стороны.

А вот он у меня открывается без проблем.

18

Делаю командой

curl -x socks5://127.0.0.1:7890 -v https://7tv.app 2>&1 | grep -E "(sni|Server Name|handshake|error)"

Не знаю правильно или нет поправляйте.
7tv - через раз, как и сказали вроде 50\50
rutor.info - 10\10 прошел
mailfence.com - большая задержка, но скрепя загружается
hetzner.com - не проходит

19

Кажется, у hetzner.com блок только по IPv4. По IPv6 подключение идёт без перебоев.

20

У меня наверное в FlClashX выключен ipv6 но как-нибудь посмотрю проверю тоже