У вас фейлится именно tls 1.2, эта проблема проявилась в последнем гудбае, вы что-то не так настраиваете явно.
Попробовать с нуля всё установить?
Судя по всему на определенных адресах включили принидительную проверку ответа сервера, даже если клиент отправляет валидный фейк, то все равно проверяется ответ сервера.
Картинки у твиттера на этом домене только по tls1.2 работают, поэтому и не грузит (ответ сервера не шифрованный и дпи его режет). На tls 1.3 такой проблемы нет.
Пока видел этот фильтр на паре провайдеров на адресах твиттера и меты
У меня эта проблема тоже есть, но там вроде тупо наличие sni проверяется. Тот фейк который я дал со sni от гугл earth, он по идее должен проходить.
Наличие sni в ответе сервера. Если сервер отвечает сертификатом твиттера например, то соединение дропается
Клиент может запрашивать что угодно (хоть vk.com, хоть x.com), все равно смотрится ответ сервера
Ого, даже так.
157.240.202.174 (ip instagram.com)
~ # curl -v https://vk.com/ --connect-to ::157.240.202.174 --tlsv1.2 --tls-max 1.2
- TLSv1.2 (OUT), TLS handshake, Client hello (1):
Просто виснет соединение.
~ # curl -v https://whatsapp.net/ --connect-to ::157.240.202.174 --tlsv1.2 --tls-max 1.2
- TLSv1.2 (OUT), TLS handshake, Client hello (1):
- TLSv1.2 (IN), TLS handshake, Server hello (2):
- TLSv1.2 (IN), TLS handshake, Certificate (11):
- TLSv1.2 (IN), TLS handshake, Server key exchange (12):
- TLSv1.2 (IN), TLS handshake, Server finished (14):
- TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
- TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
- TLSv1.2 (OUT), TLS handshake, Finished (20):
- TLSv1.2 (IN), TLS handshake, Finished (20):
GET / HTTP/1.1
Host: whatsapp.net
User-Agent: curl/8.8.0
Accept: /< HTTP/1.1 400 default_vip_400
5xx Server Error
< Content-Type: text/html; charset=utf-8
< Access-Control-Allow-Origin: *
< Proxy-Status: proxy_internal_response; e_isproxyerr=“AcJcNLX0zfA6-c9ctuoBawNDLJX77IWcBsMvm1mL1COwSbGajRDhCgxkr7v2lQ”; e_proxy=“AcL-del_96EYDjYHppl4GM8r0kq6ByarYbiK63fcU93sukVklIg-hxDIXEAb4dSd-cghHThdpdBspno”; e_fb_binaryversion=“AcJKVdeSUPUahPpmqX5mlEWEmuSQjKJdv8i_RlXMaTjMD702cX09sZKWtI-fb6wy9T7c3ZJVTX-ECH4M__x3CXRX1PIcgvJGpYs”; e_fb_httpversion=“AcLf4Jb042kGDmNX0_wMVtaeKV7jNz73QOgI6iL_xm20UZa5UrbT7QWW5ssq”; e_fb_hostheader=“AcJyiXJxmT3dXgSXrpW4kqyWTUwqysgMgoxV_oLrU2er6Xra0LBuketuKv143kCvtjgzbjAI”; e_fb_requesttime=“AcJxWIvTLglCFiSp_vFNKkd62UlYQUVKsAGSsnQeIIb6FzUgFS9Gh0AT2HIfZIiNrOPAESmjHA”; e_fb_responsebytes=“AcJq-vZVUgwdEjgQlvgY5wy_9b3TSwz-2rioZJAHl1KNBqQUYlQxiXeNd_bT”; e_fb_requestsequencenumber=“AcJWlo-J_qH-PjiNmHnvAfYGMsY8nhnnaBP8imPfTDHDCpTk0kCmdECXYw”; e_fb_proxycode=“AcKTpPDIENylbYpeDb_pahR9r5sDY80RZs0AfuEaddh-Vd2q4TnvBL4PS0sp”; e_fb_builduser=“AcJNB0m1TM3oxsC_xdH_330uo2AX9Knn6ufZsl6YCs-2bfJpFq-s6axUQkAFOspGE1s”; e_fb_vipport=“AcJmPjZqkO0B9rcEEkwzHCPCmSIVzGFW8ZCVp0E8UpxvVQX44IVNzSyP3xS1”; e_clientaddr=“AcLJ9eo-e1h1V-MffFQH53R5qzkuPLEJTxcD6-iylgEZjmCc03mgVgn0U8zVpj_peHHRSWoG3alpMNU”; e_fb_vipaddr=“AcJpCqEY0WZRDTznY38QEp4LP3Foh08zeqiSgHSWXpkmjRt3ojFGUvHvv39siWF8zMLMRDa-LSNc”; e_fb_configversion=“AcJnQ2f_fmGhy5rO9MGU5SWKjo3PH4rDMLgGwB7pbQ_WOgZeme9ES8iCahS71w”
< Date: Tue, 17 Sep 2024 11:43:09 GMT
< Connection: close
< Content-Length: 105
<5xx Server Error
* TLSv1.2 (IN), TLS alert, close notify (256):
Все работает. Сечется ответ сервера независимо от того, какой sni отправлял клиент
Это получается что, я пока не смогу починить твиттер? Или всё таки есть какой способ?
А --wssize в запрете это дело контрит?
В лисе можно попробовать поставить security.tls.version.min в 4, для tls 1.3. В хроме хз как такое сделать.
Остается только перенаправления в hosts писать. И то это вариант только если есть альтернативы. У твиттера должны быть. Надо поискать.
Вот этот вариант с tls1.3
192.229.233.50 pbs.twing.com
152.199.21.141 abs.twimg.com
192.229.220.133 video.twimg.com
Просто wssize позволяет дергать незаблокированные домены с этого ip. Т.е.
Будет работать если поставить чисто wssize
В файле etc/hosts сделай перенаправления, как я написал выше и проверь. Желательно в хроме. В лисе там отдельный прикол с hosts.
192.229.233.50 pbs.twing.com
152.199.21.141 abs.twimg.com
192.229.220.133 video.twimg.com
Для abs-0.twimg.com походу нет альтернативы.
Какие ещё домены с tls1.2 твиттер использует я хз.
Любая стратегия без wssize, виснет на хендшейке
curl -v https://pbs.twimg.com/ --tlsv1.2 --tls-max 1.2 --connect-to ::192.229.233.50
- Connecting to hostname: 192.229.233.50
- Trying 192.229.233.50:443…
- Connected to 192.229.233.50 (192.229.233.50) port 443
- schannel: disabled automatic use of client certificate
- ALPN: curl offers http/1.1
Так на этом ip tls1.3 же. Я потому его и выбрал.
>curl -v https://pbs.twimg.com --tlsv1.3 --connect-to ::192.229.233.50
Note: Using embedded CA bundle, for proxies (228633 bytes)
* Connecting to hostname: 192.229.233.50
* Trying 192.229.233.50:443...
* Connected to 192.229.233.50 () port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: C:\Users\1\AppData\Local\Microsoft\WinGet\Packages\cURL.cURL_Microsoft.Winget.Source_8wekyb3d8bbwe\curl-8.10.0_1-win64-mingw\bin\curl-ca-bundle.crt
* CApath: none
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Unknown (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
Окно программы после запуска покажите
Вы попробовали то, что я вам выше предложил? Перенаправления через hosts?
Проморгал, сейчас попробую
А для лисы что вписывать?
В about:config в лисе есть параметр network.trr.exclude-etc-hosts который должен стоять в true. Попробуйте его туда-сюда пару раз переключить.
При этом в параметр network.trr.excluded-domains должны автоматом добавиться сайты из hosts. Если этого не произошло, то впишите их сами pbs.twing.com,abs.twimg.com,video.twimg.com.
Иначе при включенном DNS-over-HTTPS файл hosts будет игнорироваться.