Это надо на форуме openwrt спрашивать, а не здесь.
В общем случае главных препятствий обычно всего несколько.
Отсутствие свободных драйверов, слабость железа, секуре бут и прочая верификация прошивок, недостаток ресурсов разработчиков
Это вам нужно обращаться к Linaro1985. Он в этом спец.
Так же попробуйте это: GitHub - Anonym-tsk/nfqws-keenetic
Вот свежий видос по установке всего этого дела на кинетики: https://www.youtube.com/watch?v=NNdGX3dUMoc
Свежий видос по установке на OpenWrt тоже гуглится: https://www.youtube.com/watch?v=OEaibYyCyn0
Вывод из видосов: устанавливать значительно проще на OpenWrt
Благодарю вас Это решение адекватно работает по udp на кинетике
@bolvan
Люди спрашивают как версию посмотреть.
Может добавить в талмуд как это сделать? или я слепой cntrk+f на нашёл
У комплекта zapret по-прежнему нет версии.
Версия есть только у EXEшников, и они ее выводят всегда при запуске.
юзаю в связке с доменами, поэтому не задело
но сейчас добавлю
@bolvan
Is --dpi-desync-fooling=ts
broken or uncompleted? The TSVal generated by dpi_desync_tcp_packet_play()
is likely too large ( equal to the TSVal of the TCP segment triggering prepare_tcp_segment()
), why not copy the TSVal of the <SYN>
segment or the TSecr of the <SYN,ACK>
segment?
Idea with ts is not working and code going to be removed
One-line PoC:
--- a/nfq/darkmagic.c
+++ b/nfq/darkmagic.c
@@ -131,7 +131,7 @@
tcpopt[t] = 8; // kind
tcpopt[t+1] = 10; // len
// forge only TSecr if orig timestamp is present
- *(uint32_t*)(tcpopt+t+2) = timestamps ? timestamps[0] : -1;
+ *(uint32_t*)(tcpopt+t+2) = timestamps ? htonl(ntohl(timestamps[0])-10000) : -1;
*(uint32_t*)(tcpopt+t+6) = (timestamps && !(fooling & FOOL_TS)) ? timestamps[1] : -1;
t+=10;
}
сегодня ркн чтото сделал, запрет вообще не может никак осилить конфиг подобрать
- SUMMARY
ipv4 discord.com curl_test_http : tpws not working
ipv4 discord.com curl_test_http : nfqws not working
ipv4 discord.com curl_test_https_tls12 : tpws not working
ipv4 discord.com curl_test_https_tls12 : nfqws not working
ipv4 discord.com curl_test_http3 : nfqws not working
ipv6 discord.com curl_test_http : test aborted, no reason to continue. curl code 6: could not resolve host
ipv6 discord.com curl_test_https_tls12 : test aborted, no reason to continue. curl code 6: could not resolve host
ipv6 discord.com curl_test_http3 : test aborted, no reason to continue. curl code 6: could not resolve host
DoH исправно работает на роутере, гарантированно
есть идеи?
UPD: перепроверено, запрет не может подобрать конфиги
UPD2 ожило само, мб маршруты или еще ччто не так было
Всем доброго. Вопрос по линуксу.
- Почему могут не загружаться приложения в терминале при запущенном запрете? Как только отключаю запрет проги грузят.
- возможно ли раздать интернет с компьютера на Линукс на другие устройства то есть сделать маршрутизатор с запретом.
Why did you only test TLS 1.2? As far as I know, TLS 1.3 is not blocked in Russia, and upstream curl doesn’t support encrypted client hello, the HTTPS DNS record (type 65) of discord.com
doesn’t even contain an ech field.
Moreover, I would rather use Zapret or other similar tools for all websites than disable encrypted client hello.
Could you try
nfqws --qnum 0 --dpi-desync=fakeddisorder --dpi-desync-autottl=1:1-10 --dpi-desync-autottl6=1:1-10 \
--dpi-desync-fooling=md5sig --dpi-desync-split-pos=2 \
--dpi-desync-fakedsplit-pattern=0x474554202f20485454502f312e310d0a486f73743a2031302e302e302e310d0a0d0a
Lastly, I think “fakeddisorder” mode can be simpler:
fake 2nd segment, 2nd segment, fake 2nd segment, fake 1st segment, 1st segment, fake 1st segment
---->
fake 1st segment, 2nd segment, 1st segment
or fake 1st segment, fake 2nd segment, 2nd segment, 1st segment
it wasnt Zapret’s fault, it was something else wrong with route or with bgp or with something else, none of possible tests was working, it was more like it was blocked by IP or even whole subnets
The next time this thing happens, please test other SNIs as well as discord.com
:
curl --connect-to '::discord.com:' https://cdnjs.cloudflare.com -v -I
It doesn’t look simplier. Current version is tested against russian DPI.
Previous variation “2nd, fake first, first, fake first” stopped working on some ISPs
I mean
"fake 1st segment, 2nd segment, 1st segment"or
"fake 1st segment, fake 2nd segment, 2nd segment, 1st segment"а вот теоретический вопрос про дурение с badsum которое нето линух не то рутер не должен пропускать…
сам запрет на компе. на роутере его пока не получается
но суть = если к роутеру по проводу то стратегия с badsum не работает - нет ошибки бесконечный белый экран в хроме на блоченных сайтах (неблоченные норм)
а стого же компа к томуже роутеру но по вайвай и опять всё работает
подозреваю разница что wifi через bridge прикручен а провод “просто” switch и в этом и разница но что более другое может влиять? и может есть идеи что по ssh на рутере подкрутить чтоб одинаково стало?
некоторые ethernet адаптеры режут сами бэдсум через оффлоад
и не везде это отключается
типичный пример - медиатек
генерить бадсум можно, а на прием режет железка
Здравствуйте, подскажите может есть где-то понятная инструкция по тому как перенести хорошую стратегию Запрета на OpenWrt.
Где-то тут или на гитхабе находил сборку запрета под винду с готовыми стратегиями, одна из них “30. Ультимейт конфиг ZL (разблокирует любые сайты, любые провайдеры)” показала себя отлично. Только с ней у меня завелся голосовой чат дискорда и вообще все сайты (кроме тех что по ip локнуты) поехали. Но на все устройства отдельно нет возможности запускать это вручную. Поставил на роутер прошивку wrt и на него дефолтный запрет (по инструкции Installing zapret‐openwrt package · remittor/zapret-openwrt Wiki · GitHub), с ним только ютаб отлично работает, дискорд без голосовухи и остальные сайты вообще не пашут.
Вот бы стратегию со сборки перенести… Но как это сделать?
"30" {
Invoke-ZapretStrategy -StrategyName "Ultimate Config ZL" -Arguments "--wf-tcp=80,443 --wf-udp=443,50000-50099 --filter-udp=443 --hostlist=""$LISTS\youtubeQ.txt"" --dpi-desync=fake --dpi-desync-fake-quic=""$BIN\quic_1.bin"" --dpi-desync-repeats=4 --new --filter-tcp=443 --hostlist=""$LISTS\youtubeGV.txt"" --dpi-desync=fakedsplit --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-ttl=4 --new --filter-tcp=443 --hostlist=""$LISTS\youtube.txt"" --dpi-desync=fake,multisplit --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=""$BIN\tls_clienthello_2.bin"" --dpi-desync-ttl=3 --new --filter-tcp=80 --hostlist=""$LISTS\other.txt"" --dpi-desync=fake,multisplit --dpi-desync-fooling=md5sig --new --filter-tcp=443 --hostlist=""$LISTS\other.txt"" --dpi-desync=fake,multisplit --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=1 --dpi-desync-fake-tls=""$BIN\tls_clienthello_2.bin"" --dpi-desync-ttl=5 --new --filter-tcp=443 --hostlist=""$LISTS\discord.txt"" --dpi-desync=fakedsplit --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new --filter-udp=443 --hostlist=""$LISTS\discord.txt"" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=""$BIN\quic_2.bin"" --dpi-desync-repeats=8 --dpi-desync-cutoff=n2 --new --filter-udp=50000-50099 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-fake-quic=""$BIN\quic_1.bin"""
}
Или может есть что-то подобное (готовая ультимативная стратегия) под wrt и инструкция с картинками?
Непонятно где в инструкции редактирование конфига? Если по классике ставить, то должен быть файл /opt/zapret/config . В нем редактируешь строчку NFQWS_OPT=“…” и туда переносишь свою стратегию без вот этих опций “–wf-tcp= --wf-udp=”
И эти все пути “–dpi-desync-fake-quic=”“$BIN\quic_1.bin”“”" тоже нужно написать полностью в юникс стиле:
–dpi-desync-fake-quic=/полный/путь/до/файла/quic_1.bin