Если порассуждать немного…
Большинство DPI заблокируют стрим при первом же пакете с данными от клиента, где http запрос или TLS client hello.
Значит действовать надо уже на этапе 3-way handshake.
Можно попытаться сделать реверс-десинхронизацию, базируясь на пришедшем TTL. Или badsum, badseq
Чтобы desync пакеты доходили до DPI, но не доходили до клиента.
Попробовать от сервера послать RST. Как будто сервер сбросил конект. Но чтобы не дошло до клиента. Или послать какой-то левый пакет данных, например левый http response.
Возможно, какие-то DPI это задурит
По IP можно определить провайдера, и имея базу провайдеров что работает на каком, изменять тип реверс-дурения
Как запускать custom-скрипты, такие как custom-nfqws-dht4all? Хотелось бы подробную иструкцию для работы со скриптами.
Попробная инструкция написана в readme. Раздел “вариант custom”.
Готовые скрипты включаются копированием соотв. файла в файл “custom” с его замещением, затем выбор в config MODE=custom.
Код скрипта следует прочитать, там в коментах пишу необходимые дополнительные переменные в config.
dht скрипт наследует режим nfqws, потому вся остальная конфигурация ему соответствует.
Можно прогнать install_easy с MODE=nfqws, настроить, убедиться в работоспособности, затем перейти на custom
после того как попробовал гудбайдпи на винде и на моё удивление проканало, решил попробовать запрет на линуксе сначала он (вместе со мной)) как то приуныл (UNAVAILABLE) а потом как попёрли (AVAILABLE!!!) и ведь риально работает, спасибо вам всем за титаникстический труд!
ps
к сожительению после 24 февраля автономный обход блокировок становется всё меннее актуально всвязи с тем что ето уже нетолько лиш у нас но и на той стороне начали блокировать с росийских айпишники
pps
и в тоже самое время автономный обход блокировок не теряет свой актульности так как ркн усилили методы борьбы с впнами и прочим шифротрафиком который идёт через границу как я понел
Потому у меня и создана система “ipban”. Потому что все автономно обойти невозможно.
Но это только хелпер, основа - руками
Интересно, что смотрит ответ только если SNI нет, но TLS выявлен. При наличии SNI блокирует или прекращает следить.
nice
Добрый день.
Прошу помощи в настройке zapret в такой конфигурации домашней сети:
клиенты - virtual box (192.168.199.65, openWrt, установлен zapret) - основной роутер - интернет.
Чтобы можно было указать в качестве прокси на клиентах (ПК, смартфоны) IP и порт виртуальной машины (я предпочитаю использовать privoxy, 192.168.199.65:8118).
Можно ли так настроить, если да, то как это сделать?
Или как можно настроить в подобной конфигурации?
Если после запуска файла blockcheck.sh в сводке доступных способов обхода есть строка:
ipv4 rutracker.org curl_test_http : tpws --methodeol
можно ли мне выбрать при настройке (install_easy.sh) в качестве способа обхода tpws и потом указать в файле
TPWS_OPT=“–methodeol”
Будет ли так работать?
После настройки zapret у меня запускается, как процесс, виден в htop
/opt/zapret/tpws/tpws --user=daemon --bind addr=127.0.0.127 --port=988 --methodeol
Буду благодарна за помощь.
Если вопросы некорректны, то прошу прощения - только начала с этим разбираться.
GoodByeDPI на Windows у меня работает, теперь пробую настроить на openWrt.
Если получится настроить на виртуальной машине, потом так же сделаю на роутере.
Сеть не должна быть в режиме NAT. Нужен bridge. Иначе почти никакие методы не будут работать.
Можно, но такая настройка zapret не касается, а ликбезом по linux я не занимаюсь. Ищите информацию в сети.
Если вкратце, то zapret обходит блокировки в тч на локальном устройстве. Значит надо установить любой прокси на то же устройство, и соединения с него пойдут через zapret.
Хотя такая конфигурация и не очень логична, правильнее было бы использовать маршрутизацию
Будет для http , ломая значительное количество сайтов. Для https не будет.
Спасибо Вам за ответ
У меня в настройках виртуальной машины в разделе “Сеть” выбран “Тип подключения” - “Сетевой мост”, речь, наверное, об этом?
Тогда какие выбрать настройки для install_easy.sh, если у меня такие способы обхода:
ipv4 rutracker.org curl_test_http : tpws --methodeol
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-ttl=8
ipv4 rutracker.org curl_test_https_tls12 : tpws not working
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=4
Те, что с nfqws, раздельно для http и https
Спасибо Вам огромное за помощь. Все работает, сайты открываются. Замечательный скрипт.
* SUMMARY
ipv4 instagram.com curl_test_https_tls12 : tpws not working
ipv4 instagram.com curl_test_https_tls12 : nfqws not working
ipv4 instagram.com curl_test_https_tls13 : tpws not working
ipv4 instagram.com curl_test_https_tls13 : nfqws not working
не то чтобы он мне сильно нужон, просто интересно как такойе возможно, другие сайты открывает норм
а может быть такойе что например дпи оно пробивает но сам ихний веб-сервер дропает видоизменённые несоответствующие не одному стандарту пакеты?
У таких сайтов обычно прыгающие IP, и часть из них может быть заблокирована по IP
У меня норм обходит
Заметил интересную особенность, сайт windscribe.com на 99% провайдеров не имеет рабочей стратегии обхода блокировки. Блокировки по ip нет нигде, но стратегию все равно найти не удалось.
Заработало только на AS12695 DINET-AS, причем для всех заблокированных сайтов достаточно обычного fake на TCP TLS 1.2, а для windscribe.com нужен
–dpi-desync=fake,split2 --dpi-desync-split-pos=1
И заработало на NAT64 мобильного мегафона через fake,split2. На том же мегафоне без NAT64 стратегии обхода нет
Как выше описал, на магафоне NAT64 и небольшом провайдере в Москве zapret срабатывает на windcribe.com, на остальных провайдерах где тестировал - нет
Видимо блок по v4 именно на порт 443 на большинстве провайдеров. Хотя просто пинги до сайта ходят. Если необходимо могу поднять ВПН и дать Вам временный доступ для теста к этой точке которую выше описывал (AS12695 DINET-AS) 85.192.51.Х
блокируется по ip только порт 443
на 80 http работает даже без обхода
del
Добрый день.
Настроил на роутере keenetic zapret c nfqws и wireguard сервер
Нужно чтобы через zapret проходил только трафик с wireguard