со вчерашнего дня перестал работать пол-интернета (использую dpi в роутере openwrt). Наглухо не пашут торрент-трекеры, частично - сайты. На yaplakal нет видео, вообще. Некоторые сайты открываются с задержкой минуту-две (pepper.ru например).
В общем живу как в северной корее.
Если есть решение - буду очень благодарен.
Отключить TLS 1.3 в браузере?
У меня было подобное было неделю или две назад, перестал работать дипсик и docs.redhat.com(и ещё много чего), это помогло.
Решение только одно - vpn. Понял это после еженедельного секса с телевизором с dpi, где постоянно отваливался youtube. И ты придёшь к этому пониманию, вопрос времени.
@echo off
chcp 65001 > nul
:: 65001 - UTF-8
cd /d "%~dp0"
call service_status.bat zapret
call check_updates.bat soft
echo:
set BIN=%~dp0bin\
start "zapret: general" /min "%BIN%winws.exe" --wf-tcp=80,443 --wf-udp=443,50000-50100 ^
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^
--filter-udp=50000-50100 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d3 --dpi-desync-repeats=6 --new ^
--filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --dpi-desync=fake,split --dpi-desync-autottl=2 --dpi-desync-repeats=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls="%BIN%tls_clienthello_www_google_com.bin"
Мне вот этот батник помогал в запрете отдельный, когда блочили CF
Аналогично, перестали работать все ресурсы, которые используют TLS1.3
Я использую nfqws-keenetic на keenetic роутере. Помогло обновление до последней версии и дефолтный конфиг в рамках стратегии udp для портов 443 и 50000-50099
параметр для дискорда оказался рабочим
–filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake
для 443 порта дефолтный конфиг
–filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=/opt/etc/nfqws/quic_initial.bin
провайдер - оптика ростелеком, северный кавказ
а у вас блок по итогу сняли? а то на ставрополье четвертый день лежит, а конца не видно. две недели назад откатили уже через пару дней
Да
Сэр, это гениально. Аплодирую стоя.
У тебя в конфиге запрета только udp. Значит виновать QUIC, отключи его в браузере. Будет ходить по TCP, как и должно быть без извр4щ3ний.
Главное чтобы торенты не заблочили. А все эти консоли и магазины и так каперам не нужны 
Сорян, я не ту строчу привел. Для TLS использую
–dpi-desync=fake,multisplit --dpi-desync-split-pos=1,midsld --dpi-desync-ttl=0 --dpi-desync-repeats=16 --dpi-desync-fooling=badseq,md5sig --dpi-desync-fake-tls=/opt/etc/nfqws/tls_clienthello.bin
с перечислением файлов с доменами, подлежащих обходу
Есть некоторая особенность отключения TLS 1.3 в браузере при использовании zapret’a для сайтов в списке блокировок. На примере рутрекера: я ограничил firefox максимальной версией TLS 1.2 в конфиге, перезапустил браузер, зашел на рутрекер и получил 403 ошибку от claudflare с доп ошибкой от самого firefox’а о недоверенном сертификате. Chrome, без отключенного TLS 1.3 нормально заходит. Вернул настройки в FF, тоже попал без проблем. Это особенность работы zapret, но вникать мне некогда, да и лень. Поэтому просто руками добавляю ресурсы в user.list, куда я хожу и у которых предпочтительным стоит TLS 1.3. Не так уж и много таких ресурсов у меня в пользовании.
а сколько длился блок? просто у нас почти неделя и я уже начинаю верить, что это не учения, а раскатка на постоянку
Если бы раскатка была на всех, то об этом бы уже писал весь интернет
так я про всех не говорю) в СКФО включили первыми, потом остальные) мы вечно как подопытные кролики
Не всегда. Cloudflare вот на сибиряках сначала тестировали.
как я понимаю в Сибири откатили довольно быстро, а у нас уже почти неделя как
может отдельные провайдеры чтото мутят
или на самом деле что то обкатывают
к примеру есть такое
Есть небольшой инсайд по работе ТСПУ с https. Но информация может быть неточной, источник так себе.
На данный момент https режется, но разрешаются отдельные сессии. Работает RAND, текущая настройка от 3 до 31. То есть, каждый от 3 до 31 запроса будет обслужен. После этого исходный адрес может иметь доступ к адресу назначения в течение 20-180 секунд, тоже RAND.
Такой счётчик для каждой пары “исходный адрес - адрес назначения”, поэтому сжирает память ТСПУ.
В СКФО, как я понял из слов пострадавших, зарубежные сайты и сервисы лежат только на Ростелекоме. У остальных вроде как все ровно.
ну у меня тоже Ростелеком правда Калуга (рядом с новой “москвой” кто не в курсе:)
и они к примеру то блокировали/резали скорость даже по IPv6 к googlevideo/etc
то вообще выдавали IPv4 по DHCP где ТСПУ не было (потом “починили”)
кстати по теме спотифая
В связи с санкциями в отношении РФ, некоторые зарубежные сервисы и сайты отказались обслуживать россиян. Это печалька.
Встали в позу, в частности, чат-бот ChatGPT с генеративным искусственным интеллектом, разработанный компанией OpenAI, и сервис музыкального стриминга Spotify.
Программа правит хостс, очищает кэш днс. Больше ничего.
Спотифи и Чатгпт в принципе и через Comss.DNS работает, у них там на всякие сервисы и почти все ИИ есть георазблокировка
со стороны Спотифая блок на spotify.com, и доступ к API – там просто 403 вроде, в общем обычное дело. А вот обложки и Canvas отлетают в таймаут время от времени, что не похоже на блок от Спотифая