[Решено] Как CloudFlare определяет страну?

Возможно уже обсуждалось, но не нашёл. Сайты за CloudFlare точно определяют страну, даже если я маршрутизирую доступ к доменам через VPN. Например чатгпт. В настройках роутинга VLESS у меня стоят все openai домены, сам chatgpt.com открывается, но при попытке авторизоваться, я вижу сообщение, что для РФ это недоступно, хотя точно знаю, что на эти домены маршрутизируюсь через VLESS. При этом если я оборачиваю весь трафик через VPN, то всё прекрасно работает.
Может кто сталкивался с подобным?

через куки

сплит туннелировние сильно проигрывает из-за этого где клаудфлейр тебя помнит не зависимо от твоего ip

поэтому я люблю firefox браузеры, там можно профили делать на все случаи жизни

тоже думал что через куки, всё вычистил, зашёл в инкогнито – один фиг. нашёл от браузера заголовок с ru языком, убрал – один фиг cloudflare каким-то образом точно знает, что я из РФ. При этом повторю, если я оборачиваю весь трафик в тот же VPN, а не только конкретные домены, то всё ок. и с куками и с Ru в заголовках от браузера

fingerprint, попробуй виртуальную машину

fingerprint чего? повторю, один и тот же браузер, маршрутизирую только определённые ресурсы через vpn – CF определяет меня как РФ. оборачиваю весь свой трафик через тот же самый VPN, просто обновляю страницу, в том же браузере, с теми же куками итп – всё ок, доступ есть, я теперь в Австрии

Ну cf имеет лучший fingerpint чем другой сервис и поэтому определяет, возможно

ну можно вангануть, что не все нужные домены “обёрнуты”. возможно посмотреть снифером куда ещё коннект лезет. и его обернуть…

Странная ситуация, не сталкивался с таким даже при выборочном туннелировании. В целом Cloudflare не зацикливается на фингерпринтах и прочих сложных вещах, почти уверен, что дело в другом.

Посмотрите, что говорит pixelscan.net о вашем браузере, может что найдете.

Тоже рассматривал бы как один из наиболее вероятных вариантов.

И какие это домены? Меня пускает когда

*.chatgpt.com
*.oaistatic.com
*.oaiusercontent.com
*.openai.com

идут через варп.

Для мистраля кстати достаточно *.mistral.ai пустить.

https://chatgpt.com/cdn-cgi/trace какую страну выдает?

Как вариант, все айпи клаудфлейра занести в список. Посмотрите сниффером куда он подключается и если в IP Ranges есть этот айпи, занесите все айпишники в этот список

ну раз гадания продолжаются то напишу и своё: возможно у автора темы впска с ipv4 который определяется как RU и ipv6 который определяется как EU, и с его настройками при частичном роутинге chatgpt идёт через ipv4.

fl=555f76
h=chatgpt.com
ip=5.35.44.56
ts=1736352061.93
visit_scheme=https
uag=Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
colo=AMS
sliver=none
http=http/2
loc=NL
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off
kex=X25519MLKEM768

Собственно, это VPN, т.е. то что я и хочу. Однако auth.openai.com выдаёт другое

fl=637f216
h=auth.openai.com
ip=213.109.*.*
ts=1736352115.187
visit_scheme=https
uag=Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
colo=FRA
sliver=none
http=http/3
loc=RU
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off
kex=X25519MLKEM768

Судя по всему, ответ кроется в http=http/3, спасибо. Не уверен, что я оборачиваю udp трафик в VPN.
Круто )

Еее! @wigeance спасибо!
Проверил, в лисе quic выключен и всё пашет как надо. Проблема решена, надо просто оборачивать в VPN в том числе и UDP трафик для этих доменов.

Хоть ответ уже и нашли, упомяну интересный факт: если пользователь сидит через WARP от CF, то сайтам, которые сами пользуются услугами CF, он передаёт оригинальный IP пользователя.

таки нет, ну или это не точно. только что забанил свой ip на своем сайте в панели клауда и доступ туда пропал, включаю warp и доступ появляется. но страну он пытается передать, есть даже geoip turkmenistan если вы каким то образом подключитесь оттуда

скрин

Ну так он его передаёт в каком-то там заголовке, X-Forwarded-For, ЕМНИП.

Странно, что он сам не банит в таком случае. Но интересно, @0ka а глянь если удобно, что там в x-real-ip, x-forwarded-for и подобных заголовках?

Вспомнил. У них это было раньше написано в блоге.

Вот обсуждение по этому поводу, там же приведены заголовки, которые видит сайт, сидящий за CF
https://www.reddit.com/r/CloudFlare/comments/ddbber/warp_and_hiding_true_ip_address/

Но в 2022 году они уже про это не упоминают, мол, мы заменяем ваш адрес на наш, который достаточно точно отражает ваше положение, сайты видят его и предоставляют вам контент, соответствующей вашей геолокации, при этом ваш адрес не видят и приватность не страдает.

А это уже дело самого сайта, отказывать в подключении клиенту из определенной страны или выдать ему какой-то иной контент. Например, некоторые сайты не банят россиян (именно что не отказывают в подключении), а вместо этого просто вместо контента выдают какую-нибудь заглушку с каким-нибудь воодушевляющим текстом.