Zapret: обсуждение

TesterTi · August 19, 2024, 2:24pm

Спасибо. А на windows это сработает? Я запускаю через winws.exe

bolvan · August 19, 2024, 5:25pm

сработает
лучше запускать с cygwin prompt, чтобы был | tee

tim1ch · August 21, 2024, 3:39pm

Всем привет! Пару дней назад поставил себе на роутер Zapret, доволен был до того момента, пока инет не стал пропадать. В одном из Telegram-чатов мне сказали, что дело скорее всего в том что Zapret имеет много утечек памяти. Я пробовал отключать Zapret и инет не пропадал. Возможно это совпадение, а может и нет.

wigeance · August 21, 2024, 4:14pm

На кинетик ставили? Если да, то из-за особенностей NDM там есть утечка памяти при использовании запрета. При чисто v4 проблема заметна не сильно, при v4+v6 может меньше чем за сутки забить ОЗУ в роутере

bolvan · August 21, 2024, 4:43pm

если кинетик, то я его не поддерживаю
и судя по всему там течет патченое ядро, а не zapret
всем, кто может, рекомендую слезать со стока на openwrt

tim1ch · August 22, 2024, 1:35pm

Да, Keenetic. Интернет IPv4, но отключений больше не было. Думаю что провайдер (РТО-Дон) менял ТСПУ.

tim1ch · August 22, 2024, 1:35pm

Понял, приму к сведению.

ivanixa333 · August 22, 2024, 7:18pm

добрый вечер перестали работать конфигурационные файлы варп впн сама программа подключается варп а вот файл конфига не подключается все остальные впны работают включенным запретом

bolvan · August 23, 2024, 5:14am

подробности. как запущен zapret, с какими параметрами
какой протокол VPN (wireguard ?), конфиг wireguard (без индивидуальных приватных ключей, если такие есть)

для WG есть только вариант fake. иногда надо делать repeats >=6, иногда >=12
ipfrag2 помочь может только со своими серверами
на ТСПУ могут включать stateless режим для некоторых известных диапазонов IP, чтобы сделать фейки нерабочими.

ivanixa333 · August 23, 2024, 11:33am

Ну допустим, у меня вчера включили stateless . Как с ним бороться Дo вчерашнего дня… Всё работало

ivanixa333 · August 23, 2024, 11:38am

. И Что странно. Только warp . Конфигураторы . Не работают. Сама программа 1.1.1.1 WARP работает

bolvan · August 23, 2024, 11:53am

Мало что понятно из такого обьяснения. Я не знаю что такое конфигураторы.
Мне надо знать какой VPN протокол используется и на какие IP адреса нацелен, а так же как настроен zapret для противодействия предполагаемой проблеме

ivanixa333 · August 23, 2024, 12:01pm

Interface]
PrivateKey = удалено
Address = 172.16.0.2/32, fd01:5ca1:ab1e:8c88:472d:77ce:3f:8a48/128
DNS = 1.1.1.1

[Peer]
PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 162.159.193.5:500
Протокол wireguard Провайдер . Таттелеком

ivanixa333 · August 23, 2024, 12:04pm

override ports

#HTTP_PORTS=1-65535
HTTPS_PORTS=83-65535
QUIC_PORTS=21,83-65535

CHOOSE OPERATION MODE

MODE : nfqws,tpws,tpws-socks,filter,custom

nfqws : nfqws for dpi desync

tpws : tpws transparent mode

tpws-socks : tpws socks mode

filter : no daemon, just create ipset or download hostlist

custom : custom mode. should modify custom init script and add your own code

MODE=custom

apply fooling to http

MODE_HTTP=1

for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet

MODE_HTTP_KEEPALIVE=1

apply fooling to https

MODE_HTTPS=1

apply fooling to quic

MODE_QUIC=1

none,ipset,hostlist

MODE_FILTER=none

CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run “nfq/nfqws --help” for option list

DESYNC_MARK=0x40000000
#NFQWS_OPT_DESYNC=“–dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=fake,disorder --dpi-desync-ttl=9 --dpi-desync-fake-http=0x00000000”
NFQWS_OPT_DESYNC_HTTPS=“–dpi-desync=fake,disorder2 --dpi-desync-ttl=9 --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=6 --dpi-desync-fooling=md5sig,badsum”
#NFQWS_OPT_DESYNC_HTTP6=“–dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none”
#NFQWS_OPT_DESYNC_HTTPS6=“–dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig --dpi-desync-any-protocol=1 --dpi-desync-cutoff=d2”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig --dpi-desync-any-protocol=1 --dpi-desync-cutoff=d2 --dpi-desync-repeats=6”
#NFQWS_OPT_DESYNC_QUIC6=“–dpi-desync=hopbyhop”

ivanixa333 · August 23, 2024, 12:07pm

this custom script in addition to MODE=nfqws runs desync to all QUIC initial packets, without ipset/hostlist filtering

need to add to config : NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake”

NOTE : do not use TTL fooling. chromium QUIC engine breaks sessions if TTL expired in transit received

QNUM2=$(($QNUM+10))

zapret_custom_daemons()
{
# $1 - 1 - run, 0 - stop

local MODE_OVERRIDE=nfqws
local opt

zapret_do_daemons $1

opt="--qnum=$QNUM2 $NFQWS_OPT_BASE $NFQWS_OPT_DESYNC_QUIC"
do_nfqws $1 100 "$opt"

}
zapret_custom_firewall_nft()
{
# stop logic is not required

local MODE_OVERRIDE=nfqws
local f
local first_packets_only="$nft_connbytes 1-3"
local desync="mark and $DESYNC_MARK == 0"

zapret_apply_firewall_rules_nft

f="udp dport {$QUIC_PORTS}"
nft_fw_nfqws_post "$f $desync $first_packets_only" "$f $desync $first_packets_only" $QNUM2

}
zapret_custom_firewall()
{
# $1 - 1 - run, 0 - stop

    local MODE_OVERRIDE=nfqws
    local f
    local first_packets_only="-m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:3"
    local desync="-m mark ! --mark $DESYNC_MARK/$DESYNC_MARK"

    zapret_do_firewall_rules_ipt $1

    f="-p udp --dport 443"
    fw_nfqws_post $1 "$f $desync $first_packets_only" "$f $desync $first_packets_only" $QNUM2
    
    # fix NDM kernel masquerade for nfqws
    ipta_add_del $1 _NDM_MASQ -t nat -o ovpn_br5 -j MASQUERADE
    ipta_add_del $1 _NDM_MASQ -t nat -o ppp0 -j MASQUERADE
    ipta_add_del $1 _NDM_MASQ -t nat -o ovpn_br6 -j MASQUERADE
    ipta_add_del $1 _NDM_MASQ -t nat -o apcli0 -j MASQUERADE

}

wigeance · August 23, 2024, 2:09pm

Похоже вы на кинетике пытаетесь запустить? В кинетике нет и не было nftables. Зачем вам маскарад не на ван интерфейсах? Кинетик не поддерживается автором, плюс имеет проблему с udp. Зачем disorder2 в “NFQWS_OPT_DESYNC_QUIC”? Посмотрите список стратегий для tcp и udp.

bolvan · August 23, 2024, 2:31pm

NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig --dpi-desync-any-protocol=1 --dpi-desync-cutoff=d2 --dpi-desync-repeats=6”

вот тут все, кроме fake и repeats не нужно. nfqws может распознавать wireguard handshake, ему не нужно any protocol. остальные параметры относятся только к tcp и никак не влияют на udp

custom был содран с какого-то старого поста видимо.
сейчас QUIC уже давно забит в основные скрипты и использует QNUM 210
повторный запуск из custom с QNUM 210 не сработает, потому что основная часть уже запустит nfqws на этой очереди
правило перенаправления на udp 443 так же дублиует основное правило QUIC_PORTS=21,83-65535

непонятно зачем задан такой широкий диапазон портов QUIC и HTTPS. лучше фиксировать порты и не заставлять бедный nfqws и слабенький роутер процессить всякие торенты

этот кадавр как-то работал только потому, что в итоге порт wireguard перенаправлялся на инстанс nfqws, отвечающий за quic, и в нем была стратегия fake с repeats

видимо она перестала работать

и да. 162.159.193.5 относится к cloudflare, и именно там я замечал включение stateless на части диапазонов

ipfrag2 возможно помог бы. cloudflare его не режет. но его невозможно запустить на iptables для проходящего трафика. требуются nftables. следовательно кинетик на отдых

конфиг wg проверил на моем провайдере. просто так не работает, одиночный fake пробивает блок, stateless не наблюдаю. но не факт, что на некоторых других тспу его не включили

ivanixa333 · August 23, 2024, 3:38pm

Можно ли прошить. . Этот роутер. На openwrt Или он не поддаётся. Перепрошивки

bolvan · August 23, 2024, 3:40pm

https://openwrt.org/toh/start
вот тут вбиваем model keenetic и проверяем по названию и ревизии

тут обсуждают у многих отвалилось

ivanixa333 · August 23, 2024, 4:40pm

А на Windows. Он сработает