вот еще очень простое решение образовалось.
Оказывается, usque одним своим ключом -s позволяет легко обойти блокировку по SNI для подключения к endpoint’у Cloudflare. Напомню, usque это консольный клиент, который умеет подключаться по MASQUE к CF. Доступно подключение через прокси, включая socks5, и через туннельный адаптер. На странице проекта в github довольно подробно расписаны все параметры командной строки. После регистрации, которую сейчас уже так просто не выполнить, и создания config.json доступно подключение к серверу CF по ip-адресу endpoint’а MASQUE 162.159.198.1 или 162.159.198.2 (это записано в config.json).
Достаточно дать команду:
./usque http-proxy -s ozon.ru -P 4500
и вы получите подключение к CF Warp по протоколу MASQUE по порту 4500 но только если у вас есть QUIC, к сожалению fallback to http2 не предусмотрен. Осталось вручную включить прокси по адресу 127.0.0.1 и порту 8000 (по умолчанию, но можно сменить через ключ в командной строке). Права администратора не требуются. Как вы догадываетесь, ключ -s позволяет подставить фейковый SNI.
Есть и возможность работы через туннельный адаптер, но маршруты добавлять придется вручную, и тут как раз права админа неизбежно потребуются.
Итак, единственная вещь, которая нужна и не получится “из коробки” это первоначальная регистрация. Дальше все работает без zapret, awg и тому подобных вещей.