у этого протокола не существует реализации как pluggable transport для Tor, поэтому использовать его не получится.
да и сильное “закручивание гаек” он скорее всего не переживет, потому что использует мессенджер (WhatsApp, Telegram, Signal, Slack) в качестве транспорта, а в случае чебурнета их тоже будут блокировать.
Писал выше, прокси не поддерживает webtunnel.
tor так не должен делать когда использует мост
Может неочевидная опция используется, что приводит к такому багу?
Погоди. Так это РКН нашли мега уязвимость и они смогли заблокировать вебтуннели?
Или это чья то другая вина?
Наконец, взялся за перебор своих параметров в torrc и нашёл у себя опцию, которая включает такое поведение:
[[ClientPreferIPv6ORPort]] **ClientPreferIPv6ORPort** **0**|**1**|**auto**::
If this option is set to 1, Tor prefers an OR port with an IPv6
address over one with IPv4 if a given entry node has both. (Tor also
prefers an IPv6 ORPort if IPv4Client is set to 0.) If this option is set
to auto, Tor bridge clients prefer the configured bridge address, and
other clients prefer IPv4. Other things may influence the choice. This
option breaks a tie to the favor of IPv6. (Default: auto)
У меня было ClientPreferIPv6ORPort 0, убрал и заработало как у остальных. Видимо, нужно ещё сделать патч транспорта для управления предподчением типа адреса подключения. Буду делать перетесты.
ну там все 3и иногда странно ведут с разными мостами/етк
было что ломается на
ClientUseIPv4 0
ClientUseIPv6 1
ClientPreferIPv6ORPort 1
или наоборот без UseIPv6 левые ошибки
Да, obfs4 работает нормально с ними, а webtunnel работает не так, как я ожидал.
Жаль, что я оказался прав, когда я говорил в прошлом году, что васянская сборка этого товарища только принесёт проблем и поможет переписать все мосты. Он ж так усердно их собирал в одну кучу и форсил на всех форумах подряд.
Эх.
Если по существу: я заметил, что в последние пару дней webtunnel начали блокировать изящнее, роняя сессию после 16 КБ - примерно так же как начали чуть ранее спуфить тулзы типа blockcheck, вызывая у них ложноположительные отрицательные результаты.
Это наблюдение может показаться слегка бесполезным с учетом того что многие мосты сидят вебом за Cloudflare и некоторыми другими CDN - но я наблюдал подобное поведение на двух мостах, которые гарантированно торчат в сеть напрямую. Будет здорово, если кто-то сможет подтвердить на своих подключениях.
Как определить какой webtunnel старый и какой новый?
Это было очевидно абсолютно всем кто дружит с головой )
Сейчас почти везде - включая Tor Expert Bundle - используется lyrebird, который поддерживает все мосты на свете. Но есть ещё и standalone-транспорт для webtunnel, который собирается в отдельный бинарник. Вероятно, речь о нём.
В случае с lyrebird настройки прокси для основного процесса tor передаются ему на лету, так что ему ничего подкладывать не нужно.
В стандартном tor браузере как я понимаю, старый механизм еще для вебтуннелей? Потому что сокс я запустить не смог никакими средствами, конфиг просто самоочищается от строки Socks5Proxy. Нужно тогда самому собирать из исходников с lyrebird или как? Я просто не очень хорошо в этом всем разбираюсь.
У Tor Browser все настройки прокси в графическом интерфейсе: Settings->Connection->Advanced->Settings. Дальше - только указать настройки прокси. Применяются кажется на лету.
Ничего руками там крутить не надо, собирать - тоже, во всех версиях браузера давным-давно lyrebird вместо отдельных плагинов для каждого из типа мостов.
Опа. Действительно. Я раньше просто искал в настройках “proxy” как для стандартного фаерфоккса и он ничего не выдавал. Мне казалось что это просто вырезали оттуда или спрятали в текстовый конфиг подальше от хомячков. Буду пробовать, надеюсь заработает. Спасибо что помог. Надеюсь что и сокс из GUI теперь тоже заработает 
Возможно там PQ/OVH/Hetzner и подобные хостеры, к которым РКН питает особую любовь в плане TLS-подключений
Ну такое себе. Полезность этих настроек сомнительна. Но мне пара человек писало что у них не работает подключение на моём собственном конфиге, в то время как у меня работает.
@Xunlei я сегодня целый час сидел с @NoPlagiarism по видеосвязи и изучал это дело. Выяснил что доступность СИЛЬНО зависит от sni. То есть у меня работало по yandex.ru, у него не заработало по yandex.ru, но у нас обоих заработало по stackoverflow.com.
Также Zapret прорывает эту блокировку, так что речь идёт о SNI. Речь о shallotfarm.
Сделал перетест, результаты следующие:
Из 65 уникальных (некоторые тунели имеют несколько доменых имён) рабочих мостов работают без ограничений — 19, из 46 заблокированных не поддерживают fake SNI — 15, заблокированы по IP — 3, и 28 поддерживают fake SNI. Итого имеется доступ к 47 мостам (72%).
Пока на стабильность не тестировал по отдельности.
Пока через byedpi не тестировал.
Он добавил его в autohostlist, он немного подумал и ожил. Интересно как разрабы Тора не додумались до полноценной реализации fake SNI в своих плагаблах. Вроде база которой сейчас занимаются Иваны настраивающие собственный сервер.
Я вообще, честно говоря, в шоке от разработчиков Tor уже не в первый год. У них есть финансирование - насколько я помню, они получают нормальные гранты, то есть работают за деньги. У них есть поддержка в виде исследователей из университетов, которые делают всякую аналитику и научные работы по изучению блокировок и способов их обхода. У них есть огромное коммьюнити.
И при всем при этом они на несколько лет отстают от группки китайцев, которые пилят всякие тулы для себя бесплатно на голом энтузиазме. Когда там появился v2ray-plugin c websocket-транспортом, лет так 7 назад? А они до WebTunnel’ов доперли только сейчас. uTLS в китайских прокси повсеместно появился года так два-три назад, если не больше - а в WebTunnel нормально не появился до сих пор (сначала его вообще не было, теперь он вроде как есть, но документация говорит что единственное доступное значение параметра там “none”). Через пару лет они наконец-то добавят TLS-фрагментирование и пакеты-обманки как в Zapret, или полноценный FakeTLS как в Reality. А еще через пару лет до них дойдет, что цензоры ловят вебсокетные подключения по http/1.1 в ALPN, и еще через пару лет они переизобретут что-то типа XHTTP.
С последним, кстати, забавно вышло - оригинальный meek, справедливости ради, запилили как раз в Tor. Но вот довели его до ума, чтобы он перестал быть крайне тормознутым и дорогим в использовании, опять-таки китайцы из XRay.