Попингайте или по MTRьте dest_ip:dest_port в udp режиме. Порт назначить явно.
Сравните с тем же самым в icmp режиме.
Если увидите, что icmp идет далеко, а udp обрывается где-то посередине, значит это блок.
wg давно пробиваю фейком. ipfrag2 тоже работает со своим сервером. если хостер не режет фрагменты
Нет никаких ограничений.
Можно хоть все обрабатывать, но тогда будет бесполезная нагрузка.
Лучше фильтровать через таблицы по пейлоаду. См custom script.
Для винды тоже можно сделать свой windivert filter. --wf-raw
я не оптимизировал конфиг и не проверял по специальным фильтрам, просто посмотрел пробивается или нет
в общем виде получается так, но тут можно и лучше сделать.
–filter-udp=X-Y --ipset-ip=X,Y --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-fake-unknown-udp=quic.bin --dpi-desync-ttl=X --dpi-desync-repeats=X --dpi-desync-cutoff=X
забавно, что поверх варпа может блокироваться doh (если стратегия на него для тспу подозрительная), в каком месте он течет- непонятно.
Нет, протон не пробивается квиком, к сожалению. Если бы всё было так просто. Возможно, нужен особый квик из белого списка. Впрочем, он тоже не помогал, вроде. Может, нужен особый квик разрешённого сайта с того же хостинга, что и впн, но таких и не найти.
ну вот этим например не получится?
убрал фейк, раз не помог
тут вообще взято с сайта, на котором отсутствует quic)
Протон пробивается через запрет на любых адресах, но на некоторых стоят особые фильтры, а на небольшом количестве айпи вообще стейтлесс на udp
Нет. Более того, с квиком вообще 0 B received.
Ну, мне не везёт. А что значит stateless на udp?
вобщем с wg непонятное
с одной стороны 146% понял что изначально я убогий сервер юзал. дело в нём а не в чебурнилах
нашёл другой
и 1 из 3х скаченых конф без всяких запретов взлетел.
но 2 других возвращают лишь 92 +230 байт = казалосьбы блок как он есть - но с запретом как ни меняю = возвращаемся к полному НОЛЬ ответных байт (также как с убогим серваком)
на всех 3х включая работающий и без запрета
а главное что вымораживает: я в снифире перестаю видеть хоть-чтото на заданном wg порту с включённым запретом
ОКАЗЫВАЕТСЯ
каким то бесом влияет
галка блочить нетуннельный трафф
если она стоит запрет не работает
если убрать и winws.exe --wf-l3=ipv4 --wf-udp=1024 --dpi-desync=ipfrag2 --dpi-desync-ipfrag-pos-udp=8 --filter-l7=wireguard
начинают работать 2 оставшихся
т.е. пробивка есть
неясно за галку
а главное сам WG избирательно блочат от ip чтоли зависит…
т.е. 1 то сервак и с галкой и без запрета могёт. он же до кучи самый быстрый
Либо сниф хороший, либо порт не доступен становиться
А без запрета считывается порт в снифе ?
Хотя можно запустить дебаг в запрете и посмотреть .
да
но в других-то случаях не с wg портами сниф всё видит. как CH меняется и т.п.
кажись понял на сниф влияет настройка блокировать нетунелированый траф. только причём тут запрет (т.е. только при запрете и галке сниф пустеет)
Всем привет, может кто нибудь объяснить из-за чего и почему происходит следующее
для примера стратегия(тестировался сайт CF и один заблоченный)
winws.exe ^
–wf-tcp=80,443 --wf-udp=443,50000-50090 ^
–filter-tcp=443 --dpi-desync=fake и тд
при применении, выдает браузер при загрузки страницы
DNS address could not be found… diagnosing the problem now. DNS_PROBE_STARTED
Но если в конце добавить дубликат то стратегия оживает и получаю доступ к ресурсу
winws.exe ^
–wf-tcp=80,443 --wf-udp=443,50000-50090 ^
–filter-tcp=443 --dpi-desync=fake и тд --dup=2 и тд
Может кто объяснить пару вопросов
Играет ли порядок передаваемых параметров в стратегии на ее работу?
В каких случаях нужно использовать фильтр –filter-udp?
Есть еще фильтры filter-l3 и filter-l7 для чего они нужны? и когда и как их нужно применять?
Внутри профиля не влияет.
Когда нужно, чтобы профиль работал с указанными udp портами и не работал с tcp и другими udp портами.
l3 - версия ip: ipv4 или ipv6
l7 - распознанный протокол уровня представления (L6) или прикладного уровня (L7). применять , когда по одним и тем же l4 протоколам и портам может идти разный протокол вышестоящего уровня
Можно привести пару примеров когда использовать фильтр udp?
Т е l3 это фильтр уточняющий с какими айпишниками работает профиль
не понял насчет l7?
quic, wireguard, dht, any protocol
l3 задает версию ip протокола. 4 или 6
изучайте OSI модель
@bolvan я правильно понимаю, что тспу может детектить наличие openvpn записей в пакетах? (пушто насколько я вижу они там в открытом виде)
у меня не получилось, к сожалению, пробить валдиковский антизапрет. максимум дошел до успешного server-hello
пока тестил один раз сумел словить полный блок ovh/hetzner/cf по айпи
это на мобильном - где активный 16 кб блок
openvpn протокол имеет распознаваемую сигнатуру. так что может
Да что там у тебя за блокировки такие? Неужели просто запрет не может пробить. Нужно еще и антизапрет использовать?
Могу два примера привести это quic udp для ютуба и голос в дискорде
Некоторые YouTube видео по протоколу quic открываются сразу, другие тоже открываются, но после задержки в несколько секунд. Не знаете с какими настройками стоит попробовать запустить запрет? Пробовал разные настройки, например такие, но существенной разницы не заметил.
--filter-udp=443 --hostlist=... --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-quic=...
--filter-udp=443 --hostlist=... --dpi-desync=fake,udplen --dpi-desync-udplen-increment=8 --dpi-desync-udplen-pattern=0x0F0F0E0F --dpi-desync-fake-quic=... --dpi-desync-cutoff=n3 --dpi-desync-repeats=2