Zapret: обсуждение

bolvan · August 25, 2024, 5:53am

я не понял вопроса. кто что дропает ?

G7ZmNT · August 25, 2024, 7:09am

@bolvan
Здравствуйте. Подскажите, пожалуйста, есть ли рабочая стратегия под OpenVPN UDP и Lightway UDP/TCP. Lightway это протокол от ExpressVPN (GitHub - expressvpn/lightway-core: Lightway Core is a modern VPN protocol by ExpressVPN, to deliver a VPN experience that’s faster, more secure, and more reliable.)
Для wireguard уже составил и всё прекрасно работает, спасибо за инструмент этот. Под windows 10 интересует подходящее решение.

bolvan · August 25, 2024, 7:29am

Для UDP есть только fake, ipfrag2, udplen и tamper.
fake самый универсальный , ipfrag для точечного пробития
udplen только для протоколов, не ругающихся на дописки в конец пакета (чтобы DPI не увидел длину)
tamper только для протоколов, которые можно переписывать на лету (пока только DHT)

если протокол не распознается , надо использовать --dpi-desync-any-protocol и --dpi-desync-cutoff. в последнем указывать dX или nX, где X - конечный номер пакета, на котором обрываем десинхронизацию, нумерация с 1. Например, d2 значит только первый пакет, а на 2-м уже стоп

easyone11 · August 27, 2024, 4:22am

Как лучше всего обновлять программу чтобы она не трогала созданные ранее рабочие настройки?
При установке поверх через изи инсталл скрипт же не видит что программы стоит и работает и на сколько помню всё равно предлагает настройку как новую?
Можно ли просто убив демона, распаковать новый zapret-master.zip и заменить все файлы через шару на роутере?

bolvan · August 27, 2024, 5:32am

С винды права могут угробиться.
Лучше через распаковку в /tmp и easy_install или через git pull, если есть extroot
Если точно известно, что никакие файлы новые не создаются, а пишется поверх имеющихся, то можно и копированием. Например, заменить бинарики

easyone11 · August 27, 2024, 5:41am

предварительно сохранив рабочий конфиг и не важно что отвечать на вопросы в изи инстале, а после установки просто заменить конфиг?

easyone11 · August 27, 2024, 5:46am

у вас написано в ридмишки что права восстановятся если в opt кидать, или я не так понял

Система простой инсталяции заточена на любое умышленное или неумышленное изменение прав доступа на файлы.
Устойчива к репаку под windows. После копирования в /opt права будут принудительно восстановлены.

bolvan · August 27, 2024, 5:57am

после_копирования_в_opt
инсталятором

когда установка производится из другого места происходит уничтожение /opt/zapret с опциональным сохранением конфигов, копирование новой версии с принудительным выставлением прав, восстановление конфигов
если запускать инсталятор из /opt/zapret, восстановления не будет
так же не будет восстановления волшебного просто от копирования

makoda · August 27, 2024, 10:20am

Кстати, адрес putinhuylo.com (захардкоженный в blockcheck-е) не резолвится)) Может, чем-нибудь заменить?

Ещё при конфигурировании blockcheck-а вылазит такая штука:

specify domain(s) to test. multiple domains are space separated.
domain(s) (default: rutracker.org) : 
ping: connect: Сеть недоступна

Это, если правильно понимаю, жалоба на отсутствие IPv6?

bolvan · August 27, 2024, 11:46am

Да, все верно.
Путин уже не … Домен умер
заменено на ntc.party

ananas · August 28, 2024, 6:47am

Всем привет.

На устройстве с OpenWRT всё поставилось. Благодарю за проделанную работу.

Есть вопрос: Почему-то обход работает только на одном порту(или на одном клиенте) с которого я и заходил в роутер через ssh.

Можете подсказать как сделать чтобы обход работал и на других портах?

Спасибо.

bolvan · August 28, 2024, 7:05am

Я не думаю, что это связано с портами свитча. Совпадение, причина в другом.
Но стоит проверить на всякий случай не включен ли offloading в настройках фаервола.

Иначе надо поднимать логгинг (–debug в tpws, nfqws - см доку) и смотреть заворачивается ли трафик

ananas · August 28, 2024, 8:41am

Благодарю за ответ.

Кажется вы правы, может быть причина в другом.

На устройстве с OpenWrt всего 3 порта - Wan и 2 Lan. Десктоп(с которого всё работает), и второй LAN занял еще один роутер - возможно беда в нём. Буду смотреть в сторону его настроек. Может что-то надо сделать в настройках DHCP.

Потыкаюсь.

Еще раз спасибо.

ivanixa333 · August 28, 2024, 11:12am

Здравствуйте. Можете подсказать. По какому Принцип работы. Приложение 1.1.1.1 warp cloudflare Почему она обходится zapret И спокойно Работает. А вот wg warp config cloudflare Не обходится zapret

spv82 · August 28, 2024, 2:35pm

Про приложение не в курсе. У меня нет проблем с WG Warp в связке с nfqws. Смотрите --debug или что там происходит.

ivanixa333 · August 28, 2024, 4:09pm

Как использовать в роутере keenetic

easyone11 · August 28, 2024, 4:17pm

если у вас послед версия запрета
то можно попробовать вот так, будет выгружаться в файл, путь указывайте куда вам надо

NFQWS_OPT_DESYNC=“-debug=@/opt/zapret/log.txt --dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-ttl=3 --dpi-desync-fooling=md5sig”

ivanixa333 · August 28, 2024, 5:12pm

вот wg config

initializing conntrack with timeouts tcp=60:300:60 udp=60
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue ‘0’
setting copy_packet mode
initializing raw sockets bind-fix4=0 bind-fix6=0
set_socket_buffers fd=5 rcvbuf=2048 sndbuf=32768
fd=5 SO_RCVBUF=4096
fd=5 SO_SNDBUF=65536
set_socket_buffers fd=6 rcvbuf=2048 sndbuf=32768
fd=6 SO_RCVBUF=4096
fd=6 SO_SNDBUF=65536
seccomp: Invalid argument
seccomp: this can be safely ignored if kernel does not support seccomp
Running as UID=65534 GID=65534
set_socket_buffers fd=4 rcvbuf=65536 sndbuf=32768
fd=4 SO_RCVBUF=131072
fd=4 SO_SNDBUF=65536
packet: id=1 len=176 mark=00000000
IP4: 192.168.40.35 => 162.159.192.9 proto=udp ttl=127 sport=55477 dport=4500
UDP: 01 00 00 00 70 E9 2F DF E4 82 DF 73 D2 0D B2 D0 9B 97 66 CE 9C DF C4 24 15 82 F5 37 4D 80 3A 60 … : …p./…s…f…$…7M.:` …
desync-cutoff not reached (mode d): 1/2
packet contains wireguard handshake initiation
dpi desync src=192.168.40.35:55477 dst=162.159.192.9:4500
sending fake request : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 … : … …
reinjecting original packet. len=176 len_payload=148
applying linux postnat conntrack workaround
packet: id=1 pass modified. len=28

вот само приложение cloudflare warp
initializing conntrack with timeouts tcp=60:300:60 udp=60
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue ‘0’
setting copy_packet mode
initializing raw sockets bind-fix4=0 bind-fix6=0
set_socket_buffers fd=5 rcvbuf=2048 sndbuf=32768
fd=5 SO_RCVBUF=4096
fd=5 SO_SNDBUF=65536
set_socket_buffers fd=6 rcvbuf=2048 sndbuf=32768
fd=6 SO_RCVBUF=4096
fd=6 SO_SNDBUF=65536
seccomp: Invalid argument
seccomp: this can be safely ignored if kernel does not support seccomp
Running as UID=65534 GID=65534
set_socket_buffers fd=4 rcvbuf=65536 sndbuf=32768
fd=4 SO_RCVBUF=131072
fd=4 SO_SNDBUF=65536
packet: id=1 len=311 mark=00000000
IP4: 192.168.40.35 => 162.159.192.6 proto=udp ttl=127 sport=52444 dport=2408
UDP: C1 03 87 00 24 46 D6 01 5F 44 C9 AD 71 FE BC C7 64 F0 35 DC C5 B1 76 0E E1 70 FE 94 3D A1 1E 0D … : …$F…_D…q…d.5…v…p…=… …
desync-cutoff not reached (mode d): 1/2
applying tampering to unknown protocol
dpi desync src=192.168.40.35:52444 dst=162.159.192.6:2408
sending fake request : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 … : … …
reinjecting original packet. len=311 len_payload=283
applying linux postnat conntrack workaround
packet: id=1 pass modified. len=28

wigeance · August 28, 2024, 6:31pm

Так в первом случае идет соединение по wg:

Во втором по какому-то неизвестному протоколу (видимо что-то кастомное внутри приложения warp)

Скорее всего вг режется на ТСПУ, а второй протокол нет

ivanixa333 · August 28, 2024, 6:50pm

Короче я так понял wg Cloudflare zapretom Больше не открыть. Всё прикрыли лавочку