Как оказалось, я не понимаю как применять стратегии. На прошлой неделе у меня config был сделан так:
NFQWS_OPT="
–filter-tcp=80 --dpi-desync=fake,multisplit --dpi-desync-split-pos=method+2 --dpi-desync-fooling=md5sig --new --dpi-desync=syndata,multisplit --wssize 1:6 --dpi-desync-split-pos=1,midsld
–filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-fooling=badseq,md5sig --new --dpi-desync=syndata,multisplit --wssize 1:6 --dpi-desync-split-pos=1,midsld
–filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=6 <HOSTLIST_NOAUTO> --dpi-desync=syndata,multisplit --wssize 1:6 --dpi-desync-split-pos=1,midsld
"
И всё это хорошо работало, x.com, matrix.org (Element), rutracker.org, всё работало отлично.
Но вот сейчас blockcheck нашёл новые стратегии, и сколько я не подставлял, ничего не работает из закрытого, кроме ютуба, будто я ничего и не меняю.
Старайтесь избегать параметра --wssize, может поломать половину сайтов, плюс может создать большую нагрузку на роутер, ну а почему не работает, возможно где ошибка в вашей стратегии, если у вас нет блэклиста и вы добавляете в ручную, то я сам бывает забываю добавить лист, если не добавить и в стратегии лист указан, то тоже ничего работать не будет
так же параметр --dpi-desync-fake-tls и подобные ему тоже ломает много сайтов, у меня он только для ютуба, для этого параметра обязательно должен быть блэклист, если на все сайты он работает, поломает их половину )
Во всех стратегиях я добавил в каждую стратегию параметр dpi-desync-ttl, то есть цифра к примеру если поставить 10 указывает на последний шлюз десятый по счёту, а дальше примеру на 11 уже стратегия не работает, идёт обычный трафик и какой там у вас, это надо вычислять, можно методом тыка, проверяя работает не работает, так же и обычные сайты, чтоб до них не добивало, это если как я, не использовать блэклист, срабатывает на всё, сложно настроить чтоб всё работало, но можно при желании
Что то ковыряюсь, не получается, только ютуб нормально работает, я даже пробовал полностью заменить на те стратегии что предлагает blockcheck, всё равно так же. Если что, то я рестарчу zapret когда меняю конфиг.
А есть какой ни будь скрипт, делающий такое: идешь на заблокированный сайт, zapret это понимает и начинает искать метод обхода, когда найдёт, то добавляет себе в какую ни будь базу (txt), что вот для конкретного сайта конкретно такой обход. И в следующий раз когда пойдёшь на этот же сайт, то zapret проверяет список и сразу берет готовый метод для обхода. Лично у меня openwrt x86 на xeon, прошивка на ssd, думаю такой скрипт без проблем потянулся бы
bol-van уже много раз писал, что однокнопочных решений от него не будет. Если кто-то возьмется за реализацию, тогда да. Но не у всех x86. В массе своем mips,arm.
Нет, просто когда на форумах поднимаю тему подъёма на openwrt чего то тяжёлого, то что бы не писали про нехватку мощности у роутера, сразу пишу, что хватит мощи. Да чем хвастаться? Ужаренным xeon с али на китайской материнке?
Очень жаль, получился бы мощный инструмент для нубов вроде меня. Не думаю что современные роутеры не потянут такой алгоритм. Ну да ладно. В общем, я не понимаю что не так делаю. Час сидел, перебирал методы, всё одно - ничего не работает кроме ютуба, с некоторыми методами даже и он не работает. Ну то есть вроде система не глючит, раз есть реакция на смену методов. Есть какой то способ поднять туннель конкретно для cloudflare? Пробовал тот что на сайте openwrt, так там нужна авторизация с openwrt машины, а значит не получится это сделать + не понятно, работал бы этот туннель ввиду блокировок разных vpn протоколов
А какой вам надо скрипт и на какое устройство? Есть уже NFQWS почти однокнопочный. Изначально создавался для Keenetic+Entware, но и на OpenWRT нормально работает. Можно через WUI домены добавлять. Проще уже по-моему не бывает…
пакет luci-app-https-dns-proxy
вот это первое что должен освоить, понять что это и для чего, тогда как минимум 50% всех вопросов уйдёт само по себе, а так начиная сразу с конца, пропустив начало, сразу запрет и чтоб всё работало ) У вас просто нет фантазии и это что я показал вот, это просто можно сказать что ничего не показал из всего что нужно знать и только потом уже запрет нужно осваивать, чтоб хоть примерно понимать что делаешь, нужно в целом смотреть, а так, что попало и как попало, вроде что то там заработало и забил дуло и побежал по своим делам )
Нужно понимать что делаешь, не хвататься за фразы “не могу найти алгоритм для разблокировки CF” а смотреть на вещи своими глазами, просто один кто то ляпнул и все подхватили, а по факту никто не разобрался и борются с тем чего не существует или существует, но не правильно это поняли, в любом случаи надо хоть немного понимать как работает нэт в целом
Можно и без кастом, в файле --ipset= адреса указать. Но похоже это все бесполезно если режется ответ сервера после нескольких кб после хендшейка. Или я не понял что здесь zapret может противопоставить.
Речь о запрете на роутере, там нежелательно использовать ipset вообще его не разрешалось флагом делать до 71 версии, потом болван разрешил но сразу написал для ипсетов лучше поднимать кастом скрипт и делать все на уровне ядра
