Обрисуйте еще раз свою схему подключения. Выше Вы скидывали дебаг с пк с ipfrag (это был шнур от провайдера воткнут в пк напрямую, без роутера?), а сейчас был дебаг с роутера при включении warp через конфиг WG и через приложение? Я так понимаю что ВГ с роутера не работает? Это кинетик? Покажите еще раз строчку NFQWS_OPT_DESYNC_QUIC из конфига запрета в роутере, покажите строчку с портами которые идут на nfqws. У вас 100% что-то настроено не так по ощущениям.
Всем привет.
BlockCheck сразу кидает алёрт что DNS HIJACK DETECTED. Я правильно понимаю что нужно поставить dnscrypt-proxy+dnsmasq и убедиться что blockcheck не жалуется на DNS прежде чем приступать к дальнейшии действиям?
Спасибо
не совсем
жаловаться он не перестанет. он сравнивает системный днс и публичные. разница останется. определить где правда он не может, поскольку у него нет средств обратиться к эталону
но dnscrypt или doh поставить надо
Скажите пожалуйста, а можно как-то tpws запустить в режиме прокси на windows? Или это нереально?
только под wsl
см docs/windows.txt
Понятно, спасибо!
Привет еще раз.
Что-то я немного уже забамбузлился. Роутер буквально вчера перезагрузился от моргания света и с того момента что бы я ни сделал - работать не хочет.
dnsmasq есть. dnscrypt-proxy уже включён. (есть ли железобетон как проверить что они действительно дают нужный эффект?)
Начинаю подозревать что я как-то не так вбиваю настройки и в первый раз я просто на удаче как-то правильно занёс.
Думаю оператор подкинул палку в колёса, начал собирать новый алгоритм.
blockcheck находит мне конфигурацию и выдает с следующей информацией:
!!! curl_test_https_tls13: working strategy found for ipv4 rutracker.org : nfqws --dpi-desync=split2 !!!
clearing nfqws redirection
- SUMMARY
ipv4 rutracker.org curl_test_http : tpws --split-http-req=method --hostcase --oob
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake --dpi-desync-ttl=2
ipv4 rutracker.org curl_test_https_tls12 : tpws --split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=split2
ipv4 rutracker.org curl_test_https_tls13 : tpws --split-pos=2
ipv4 rutracker.org curl_test_https_tls13 : nfqws --dpi-desync=split2
Можете подсказать как должен выглядеть итоговый файл с настройками?
Я понял полученный результат вот так:
NFQWS_OPT_DESYNC=“–dpi-desync=fake --dpi-desync-ttl=2”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_HTTPS=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_HTTP6=“”
NFQWS_OPT_DESYNC_HTTPS6=“”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_QUIC6=“”
Спасибо.
У меня NFQWS_OPT_DESYNC применяется ко всем протоколам, остальное всё закоменчено кроме квика
Мне кажется подбирать под каждый это прям специфичная задача
по dns, блокчек вроде бы в начале проверяет наличие подмены у провайдера и репортует если есть проблема
через nslookup глянуть будет юзаться прокся
сайт https://www.dnsleaktest.com
Попробуй убрать значения у этих параметров:
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split2”
NFQWS_OPT_DESYNC_HTTPS=“–dpi-desync=split2”
PS: и проверь, что запрет вообще запущен. Сам когда ставил, забыл автозапуск подключить и когда свет моргнул он естественно отвалился.
Вы определяете стратегию, а потом в следующих двух строчках переопределяете ее (заменяете на другую). Если вы оставите только самую верхнюю строчку, убедитесь, что эта стратегия у вас работает не только для http, но и для https.
Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2,udplen,tamper.
Всем привет.
Благодарю dark_spirit, easyone11, wigeance за ответы выше.
Попробовал поставить только первую строчку с результатом блокчера - лучший результат, пока что, то что я смог курлануть рутрекер, но в вебе он все равно не грузился, ютуб продолжал лагать.
Опишу последовательность действий, которые были предприняты позже по порядку т.к. возможно загвоздка где-то в других деталях.
-
Полный вайп ПО роутера.
-
Создание нового PPPoE соединения с добавлением портов в пул. Добавлял интерфейсы в пул wan, wan6 - всё работает. Если добавлять lan - почему-то работает всё наполовину, будто половина сайтов не резолвились - здесь я не совсем понимаю что так, добавил в пул wan, wan6 т.к. с ними всё ок.
-
Установка dnscrypt-proxy2, который при старте жалуется что нет конфига. Запускал позже с --config с указанием пути - жаловался на 53-й порт, занят DNSMASQ’ом.
-
Стартовал DNSMASQ - фейлился при старте с ошибой udhcp no lease, failing. Где-то пишут в сети что она не критичная и не аффектит вас никак если у вас PPPoE, подтвердить, это, я конечно же не могу.
После таких-то манипуялций из двух пунктов выше сделал вывод что связка не работает. -
Позже решил что надо какой-то путь попроще и поискал видео на ютубе, нашел видео от Van Tech Corner про DoH(https-dns-proxy + dnsmasq), вайпнул с нуля, сделал как по гайду с установой luci-app, с виду всё работает, но не уверен решает ли это проблему, о которой предупреждает blockckeck при старте.
-
Ищу новый алгоритм. Нашлось --dpi-desync=disorder2.
-
Запускаю install_easy. NFQWS, поле с QUIC оставляю как есть, остальные стираю, ставлю первой строчкой NFQWS_OPT_DESYNC=“–dpi-desync=disorder2”.
-
Дальше протыкиваю всё Y. Качаем хостлист, пункт 3.
-
Курлую рутрекер - есть ответ в курле, в вебе не работает.
По пунктам 3 и 4 путём гуглежки в интернете выяснил что есть 3 конфига - .toml файл dnscrypt-proxy, dnsmasq.conf, и udhcp конфиг. Я правильно понимаю что сейчас вся беда в том что связка из пунктов 3 и 4 не работает и нужно править конфига? Или их установкой и неверной конфигурацией я и сам zapret ломаю?
P.S. Делал zapret начистую без манипуляций с днскриптом и днсмаском - не работало.
На данном этапе могу сделать всё с полного нуля с вайпами т.к. уже отладил процесс до буквально тройки минут.
Буду благодарен за любой совет.
Спасибо.
- По DNS, могу посоветовать сделать как у меня, это наверно не бестпрактикс, но в данном случае у меня работает
ставишь https-dns-proxy
удаляешь в HTTPS DNS Proxy - Instances существующие
добавляешь в самом низу Custom данный DOH https://dns.controld.com/comss
проверить работает или нет по ссылке www.dnsleaktest.com и Configuration Status
я этот doh добавлял для работы chatpgt, по идеи клауд и гугл тоже рабочие - Тестируй доступность заблокированных сайтов в режиме none или autohostlist, это исключит ошибки с имена доменов в твоём лист, как всё оттестишь можно превестись в hostlist
- В браузере F12 и смотри закладку network, будешь видеть куда обращается сайт
- Поиск рабочей стратегии это самый геморой уже, либо перебором из того что блокчек выдаёт по разным сайтам, либо читать что каждый параметр значит и в этом разбираться после чего подставлять нужные
А можно для каждого хоста свою стратегию прописать?
Или в будущем может реализуется такая возможность?
обычно такое желание возникает из-за непонимания как работают стратегии и следовательно от неумения находить общий знаменатель
но и правда бывают случаи, когда это нужно
возможно, осенью сделаю
Ростелеком, Омск - умер ютуб. Сервера rr9---sn-n8v7snl7.googlevideo.com rr2---sn-gvnuxaxjvh-vhnl.googlevideo.com i.ytimg.com - ns_binding_aborted
Я читал, что для гуглвидео блокчек запускать нет смысла, тогда какой у меня алгоритм для поиска решения? Пока что остальные заблокированные сайты открываются - да тот же нтц пати.
rr9, rr2 - пингуются, так что, наверно, это не блокировка по ip?
В командной строке проверьте вот так curl -sv -o NUL https://rr*--- и там адрес проблемных серверов вставьте.
В соседней теме пишут что начали фильтровать --wrong-seq, так что попробуйте другую стратегию.
Если используете GoodByeDPI, то:
В батнике (.cmd) прописать вместо -9 надо -7, либо -q -f 2 -k 2 -n -e 2 --reverse-frag --wrong-chksum --max-payload
Начали фильтровать --wrong-seq
* Host rr9---sn-n8v7snl7.googlevideo.com:80 was resolved.
* IPv6: (none)
* IPv4: 173.194.151.27
* Trying 173.194.151.27:80...
* Connected to rr9---sn-n8v7snl7.googlevideo.com (173.194.151.27) port 80
> GET / HTTP/1.1
> Host: rr9---sn-n8v7snl7.googlevideo.com
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
< HTTP/1.1 404 Not Found
< Date: Thu, 12 Sep 2024 12:38:19 GMT
< Content-Type: text/html; charset=UTF-8
< Server: gvs 1.0
< Content-Length: 1561
< X-XSS-Protection: 0
< X-Frame-Options: SAMEORIGIN
<
{ [1561 bytes data]
* Connection #0 to host rr9---sn-n8v7snl7.googlevideo.com left intact
Остальные дают такой же ответ.
Если бы я пользовался GoodByeDPI, я бы написал в соответствующий раздел. Впрочем, сейчас попробую ваши параметры.
Сорян, я не заметил что это раздел запрета.
Https используйте, он у вас через 80 порт курлится. Какая у вас стратегия? Попробуйте md5sig добавить. Возможно badseq фильтровать начали.