Обход блокировки протокола obfs4

Здравствуйте, кто-то может пожалуйста проверить если у них работают obfs4 мосты (не заблоканные по IP) с такой ByeDPI командой? (В России, известно что на мобильных сетях блокируют протокол obfs4, про стационарное подключение - незнаю.)

(./ciadpi) --split 1 +s +h 1:0.7:3 --tlsrec 1+s --disorder 1.1 --ttl 8 --ip 127.0.0.1 -p 1080

Первая команда - надеюсь работает, вторая мб работает (просто с убранным –disorder).

(./ciadpi) --split 1 +s +h 1:0.7:3 --tlsrec 1+s --ttl 8 --ip 127.0.0.1 -p 1080

(./ciadpi - больше как напоминание для тех, кто использует в терминале)

Теперь на мобильных операторах (или на моём) сам по себе –split вроде не чинит obfs4, да и даже с –disorder совместно тоже не работает, каким-то образом эта команда (первая думаю что лучше) починила. Да, понятно что есть мосты которые по IP заблокали, чтобы найти рабочие (больше как не заблоканные по IP), можете использовать свои скрипты или приложение InviZible Pro чтобы найти рабочие мосты (всмысле живые со стороны оператора моста и не заблокированные по IP). Там есть список по-дефолту, или можно добавить свои, если заблокан по IP, то будет пинг-результат > 1 s , зелёные/жёлтые - должны быть хорошие. (точно не знаю если > 1 s включает в себя и дохлые и заблоканные по айпи мосты). На Android если будете использовать с ByeDPI приложения Orbot или InviZible Pro в прокси-mode, то в моём опыте приложения ByeByeDPI и ByeDPI Android не работают с ними. (proxy-mode), VPN-mode ByeByeDPI’а и ByeDPI Android должен работать с Orbot и InviZible Pro(которые находятся) в режиме прокси. Tor Browser с *рабочим obfs4 мостом который раутится через ByeByeDPI (VPN-mode) - должен работать. (опять же, если команда сработает). Что работает для прокси-mode приложений Orbot и InviZible Pro, чтобы они использовали ByeDPI как прокси - можно запускать ByeDPI через Termux. А, ещё вопрос тогда будет - блокируется ли на стационарном интернете у вас протокол obfs4? Просто пока что вроде на мобильных операторах сильно блокируется. Там если что можно поднимать/опускать значение –split и –disorder, также придумывать другие значения сплитов (1:0.7:3 и т.д., ну короче можете кастоматизировать команду). Или может у кого-то есть другие рабочие команды для obfs4 (для разнообразия).

У кого-то на стационарном интернете может не быть блока на протокол obfs4, это можно выяснить попробуя подключиться к мосту без ByeDPI(если так просто сработает, то блока на протокол нет), потом с ним. Просто на обеих сетях, где есть блок на протокол, или нет, есть IP-блоки, разница в том, что есть сети где ещё дополнительно к блокам некоторых IP мостов, весь протокол блокается по дефолту(вроде в основном на мобильных сетях), то есть даже если вы настроили частный мост там, он будет блокироваться из-за протокола, а не из-за IP-блока.

Спасибо.

Я уже как-то поднимал эту тему, где рассказывал, что оказывается блок obfs4 и ss легко обходится в byedpi. Прошло не так много времени, как простые стратегии перестали помогать. Имхо, за тором большой надзор, приказано его душить. И ваши команды также могут вскоре накрыть. Если это не сильно нагрузит ТСПУ.

В целом же, мне кажется, tor не очень хорошее решение для обхода блокировок. Довольно медленный (пинг, скорость), очень грязные выходные IP, душат сильно.

не знаю что за регион/провайдеры
и откуда берете (получать через сам ТОР фиговый вариант.)
мой Ростелеком (ТСПУ) не особо и старается c obfs4. обычно банят только “новые” выдаваемые.
старые и много где засвеченные до сих пор работают

вот обычные IPv4 ноды (guard) банят довольно быстро как только появляются в консенсусе…

я вначале прогоняю старый список на 6800+ адресов что они вообще хоть как то отвечают (нет бана по ИП и еще живы по этому адресу)

No relays are reachable this try.

Try 1543/1705, We'll test the following 4 random relays:
{'transport': 'obfs4', 'or_addresses': ['99.79.161.167:16350'], 'fingerprint': 'B628D321A0A173248965CD92D94CD51D5220744A', 'params': 'cert=lR6nPZ4tTs19IViy+AkHfW7zDBNAXprfYd+IxKGL14VrLqonAUwJJ7nHO+M5UXi45+1BLw iat-mode=0'}
{'transport': 'obfs4', 'or_addresses': ['193.138.81.106:8443'], 'fingerprint': 'C94512A5874D9A1D5D1A7682A75DEB6D00430761', 'params': 'cert=KigNdR5llmRn1BF1ydeK3ZaI4ypBz2WjD5sH5//0ufav2RCv0Ue6VX/c4G76O9wyp3DyHw iat-mode=0'}
{'transport': 'obfs4', 'or_addresses': ['85.240.163.33:8080'], 'fingerprint': 'FB66444BA7AE90A160CA4AB50BBD766A496C6AE0', 'params': 'cert=AO7X+5oMoS0ONAAhcjSIEuLyGj8qCQ58lne11NrEeFpIZXkmtFNNh/GZ0Gkz2pYHNLNkHw iat-mode=0'}
{'transport': 'obfs4', 'or_addresses': ['195.15.241.181:3115'], 'fingerprint': '5A0A75F9980FEF01284CC9EB156E4BF510FB7FCF', 'params': 'cert=EFPdyWfYAQa1x5uGYEqD/X46ZD2n1wUte8xvUHQS0AQGCWspocQ0kT81SsTM2qs6qrqEXw iat-mode=0'}

Found 608 good relays so far. Test 1543/1705 started…

потом уже TorControlPanel проверяет что нет проблем с реальной работой (ибо бывают “неправильные” fingerprint/cert или еще что)

264 рабочих нашло

изображение774×583 60.7 KB

Не могу создать новую тему. Напишу здесь.

Настройка приватного моста TOR.

Инструкция для тех мест, где TOR блокируется, а иностранные серверы ещё нет. Предполагает VPS на территории с меньшей цензурой, использование Linux на клиенте и сервере.

Настройка сервера:

поставить tor и obfs4proxy, на Debian команда установки:

apt-get install tor obfs4proxy

отредактировать конфиг /etc/tor/torrc

BridgeRelay 1
AssumeReachable 1
ORPort 7755
BridgeDistribution none
PublishServerDescriptor 0
ExitPolicy reject *:*
ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy
ServerTransportListenAddr obfs4 0.0.0.0:1542
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
ExtORPort auto
ContactInfo myself@example.com
Nickname MyBridge

PublishServerDescriptor 0 — не публиковать bridge;

ServerTransportListenAddr obfs4 0.0.0.0:1542 — на каком порту принимать соединения от клиента;

после перезапуска сервиса tor

systemctl restart tor@default.service

скопировать из лога fingerprint

journalctl -e -u tor@default.service

из файла /var/lib/tor/pt_state/obfs4_bridgeline.txt информацию о сертификате.

Настройка клиента:

установить tor и obfs4proxy;

отредактировать конфиг /etc/tor/torrc

User tor
Log notice syslog
DataDirectory /var/lib/tor
UseBridges 1
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
ExitNodes {nl},{fr},{de}
Bridge obfs4 [server_IP:port] [fingerprint] cert=[cert] iat-mode=0

расположение obfs4proxy может отличаться в зависимости от ОС.

ExitNodes — выходные ноды каких стран использовать.

локальный socks5 прокси по умолчанию работает на 9050 порту.

РТК, центр. У меня на проводе obfs4 заблочены. Как минимум все что были у меня в списках включая довольно старые.

На многих vps запрещено использование tor, не будет это нарушением? Или то что транзитный трафик не будет идти через vps, ( и главное exit нода не включена) такое использование не нарушает запрет на эксплуатацию tor на vps?

Не будет т.к это приватный мост для личный целей

Когда массово начали блочить тор, у меня тоже мосты ранее сохранённые не заработали и новые тоже. Уже думал всё. Но подсказали, можно настроить yggdrasil (тем более у меня уже был) настроить на выдачу мостов из этой сети. По этой схеме, тор работает стабильно, иногда правда бывают лаги из-за того что мост не сразу выдаётся после простоя, минута может. Потом всё окей.

А что за способ выдачи мостов через ягу? Есть гайдик?

На слове yggdrasil - ссылка.

Спасибо почитаю

Это как настроить obfs4 мост на серере. Именно частный мост вам не поможет, если блокировка по протоколу. Но если во время подключения к ‘obfs4’ мосту возникают проблемы (после теста со многими публичными и даже настройки частного моста), то тут 3 вещи, которые могли произойти, как уже немного было описано:

1. Мост заблокировал ркн по IP/порт (если частный мост, то скорее всего нет)

2. Из-за “блокировки всех полностью зашифрованных протоколов“ не работает obfs4, также Shadowsocks, WireGuard и OpenVPN могут не работать, например, это не потому что именно obfs4 заблокировали по протоколу, а именно все супер-зашифрованные. Такое происходит на мобильных сетях (в основном), тут кто-то говорил про то, что у них не работает obfs4 на Ростолеком, то есть на стационарном тоже может быть такой вид блокировки?

(3. Может быть ‘неактивный’ мост, например публичный, старый - который больше не активен. Все мосты, которые вы берёте с официальной страницы Tor Project проверены их системой, которая выдаёт мосты на их активность.)

Пункт 1 - печальный, там скорее всего нельзя ничего сделать, он применяется только на некоторых публичных мостах.

3 - достаточно легко “преодолеть“

2 - самый интересный.

Его можно обойти (у меня получалось) с помощью ByeDPI. (Или ByeByeDPI для Android) Но для ByeDPI надо подобрать команду, чтобы она обходила блокировку всех ‘полностью зашифрованных протоколов’.

Можно попробовать эти команды (отдельно, по очереди) посмотреть, если они помогут:

-s1 +s +h 1:0.7:3 --ttl 8 --tlsrec 1+s (наверное лучшая…)

-s1 +s +h 1:0.7:3 7:4:2 --ttl 8 --tlsrec 1+s

+h1 -s1

+h1

-s1

И конечно вы можете их изменять немного. (или придумать свои даже)

На многих vps запрещено использование tor

Впервые слышу такое, скорее: многие хостинги запрещают размещать выходные узлы.

obfs4 выглядит как рандомный поток байт by design, его нельзя сигнатурно задетектить и заблочить
Если блочат, это либо:
1. Бан моста по айпи - ничего особо нельзя сделать
2. 16 кб блок - блочат любой трафик, если в начале не идёт client hello со sni из вайтлиста. Лечится подсовыванием фейков с нужным sni, например через запрет с --dpi-desync-any-protocol и ограничителями