Zapret: обсуждение

elf50001 · February 7, 2026, 11:49am

sni корректный (в разных вариантах либо 16кб блок, либо вообще ошибка подключения - т.е. он значимо влияет на результат), но любые стратегии без ts не проходят для замены sni, может на уровне провайдера (до dpi) строже фильтрация

V3nilla · February 7, 2026, 11:49am

Для чего бомбить трафик лишними репитами, когда можно просто с cutoff поиграться и добиться того, что UDP будет пробиваться и без них? тот-же d2 или n2 уже позволяет этого добиться.

g4jCbms · February 7, 2026, 1:11pm

В целом ведь что репиты, что ограничение фейков на пакет об одном и том же - о количестве мусора на начало соединения. Одно дело, когда на один пакет 9 мусорных, а другое, когда на 9 обычных следом 9 мусорных друг за другом. Я пробовал флудить коннект вообще без репитов и без ограничения cutoff, но тогда сам сервер уже не устанавливает соединение, потому что слишком много мусора, видимо.
Буду играться и подбирать оптимальное решение.
упд: cutoff я использую всегда, вне зависимости от репитов или без них. Я же не дурак.

Quqas · February 7, 2026, 1:29pm

ты сам себе противоречишь

если 16 с “правильным” значит sni не является таким
хотябы классика otus.ru

про то как обойти детект фулингов не ts тоже написано, кабы ты то читал…

elf50001 · February 7, 2026, 3:41pm

противоречия нет, при наличии ts есть зависимость от того какой sni, с нужным sni все работает
без ts какой бы sni не указывался - не работает, причем даже соединения не просходит к большинству cdn
при замене ts на badsum,badseq и при наличии dup

p.s. кстати, попутно вопрос - какого-то видимого контроля за правильностью конфига в части стратегий нет? т.е. при рестарте в консоли ошибок не будет если какие-то директивы из конфига нераспарсились, просто перестает работать?

Quqas · February 7, 2026, 5:19pm

неумеешь их готовить. комбинируй. это не все фулинги кроме ts, dup увеличь

совсем тупорогие ошибки =не запустится служба\процесс. васянство внутри не понимает. ориентироваться чтоб хотяб запуск был

serj888 · February 8, 2026, 6:20pm

Не могу понять, не работает https://forum.openwrt.org/ причём уже давно, ip правильный приходит и ещё некоторые сайты, на разных провах, что с обходом что без, не работает, только впн. Дали в руки идиотам рулить трафиком и спроса с них никакого и можно конечно позвонить и нагрузить прова, но они и так там в шоке. Вчера один знакомый говорит, я за что я плачу за мобильный нэт, если нихрена не работает, я ему, а за что ты платишь, точнее зачем, всё равно не работает )) Люди проверьте, у вас работает этот сайт ? Или это только в моей дыре так происходит

loop · February 8, 2026, 7:27pm

С подключением, это блокировка CDN. В данном случае это DigitalOcean, подробнее здесь https://ntc.party/t/блокировка-cloudflare-ovh-hetzner-digitalocean-09062025-xxxxxxxx/

loop · February 8, 2026, 11:08pm

Кто может подсказать как можно исправить “недогрузки” ресурсов за пробитым 16кб блоком на CDN Akamai. Сейчас использую такую стратегию:

Спойлер

–dpi-desync=fake,hostfakesplit
–dup=1
–dup-cutoff=n2
–dpi-desync-split-pos=midsld
–dpi-desync-fake-tls-mod=rnd,dupsid,sni=steamcommunity.com
–dpi-desync-fooling=badseq

Тест blockcheck проходит успешно, но при реальном использовании часто получаю RST от сервера. tcpdump в Wireshark показывает:

Transmission Control Protocol, Src Port: 50662, Dst Port: 443, Seq: 1, Ack: 1, Len: 0 Flags: 0x014 (RST, ACK)

А в браузере это ERR_CONNECTION_RESET 200 (OK)

Galuha196 · February 9, 2026, 4:41pm

То есть, если не добавят какой-нибудь сайт в вайтлисты, открыть доступ к сайтам размещённым на хостинге Frantech Solutions не маскируя свой IP-адрес не выйдет? На FTS хостится GazelleGames, у них требования к логину на сайт через VPN жёсткие. Включённая 2FA и одобренный VPN с выделенным статичным IP-адресом. Иначе, бан аккаунта.

Провайдер мне ответил что “Со своей стороны блокировки мы не производим. Трассировка проходит до ресурса. На наших серверах все в порядке.”

yatolkosprosit · February 11, 2026, 12:04am

Что будет, если российские DNS-сервера не будут выдавать IP заблокированых ресурсов, а публичные иностранные сервера, например гугловские, сами будут заблокированы? Программа ведь работать не будет. Вносить записи вручную в hosts? Но IP-адреса доменных имен периодически меняются, а у Ютуба, например, вообще непонятно какие IP. Какое есть решение?

SagePtr · February 11, 2026, 12:10am

Ими давно уже нельзя пользоваться, а с введением закона о поиске экстремизма - ещё и опасно для жизни. Так что ничего не меняется, на крайняк ничего не мешает на своём сервере поднять DoH (это одним proxy_pass в nginx делается) и использовать его, а если полностью отрубят в России доступ к внешнему интернету - то никакие DNS-сервера уже не понадобятся.

yatolkosprosit · February 11, 2026, 12:13am

У кого есть свой сервер, тот скорее всего, пользуется другими способами обхода. Ему zapret не нужен. А если есть только zapret ?

SagePtr · February 11, 2026, 12:15am

То пробивать запретом доступ к серверу DoH, логично же

yatolkosprosit · February 11, 2026, 12:24am

И как его пробить, если сервер DoH будет заблокирован по IP-адресу?

SagePtr · February 11, 2026, 12:31am

На Cloudflare любой сервер ответит, если ему скормить нужный SNI и запрос, там железно не прибит резольвер к отдельным адресам. А если по CIDR блокнут Cloudflare, то тут уже по любому придётся использовать другие методы кроме Zapret, потому что 2/3 интернета перестанут пробиваться вообще.

И более того, если DNS будут востребованы, то найдутся энтузиасты, которые будут массово содержать их, ибо эта технология много трафика и ресурсов не жрёт, в отличие от туннелирования всего трафика.

ErVitaly · February 11, 2026, 6:50am

Чисто теоретически это возможно. Но в каком-то отдалённом будущем. Начнём с того, что в РФ нет ни одного полноценного root dns сервера. Только реплики. И то их не густо. Без связи с базовыми источниками самостоятельно они могут обслуживать только зону .ru. Вот когда в РФ прекратит существование Internet и его место займёт Рунет - вот тогда всё, что угодно. Но “по щелчку” на сегодняшний момент это невозможно.

bolvan · February 11, 2026, 8:13am

Свой сервер - это дополнение к zapret. Что можно напрямую, что нет - в полиси роутинг

Что касается российского DNS право-халяльного, то есть он уже. забыл как называется.
Он должен как бы работать в условиях изоляции рунета и есс-но не выдает рутракер и прочие.
Но провайдеры его не особо используют, тк обязывающего закона нет, а клиентам не понравится.
Но тем не менее все провайдеры равны, а некоторые равнее, поэтому они могут на книгалицо выдать 127.0.0.1, а на рутракер нет. Которые самые равные - могут перехватить DNS и подменять на заглушку

На счет наказаний по DNS - сомневаюсь. Ресолвинг экстремисткого домена еще не значит доступ к информации по этому домену и тем более не значит, что он преднамеренный. На любом сайте можно разместить реквест в жаваскрипт на этот домен, и тогда будет не только DNS, а еще и обращение со SNI

yatolkosprosit · February 11, 2026, 8:53am

Я немного другое имел в виду. Я не говорю сайчас о полном закукливании Рунета и отключении от мировой сети.

Если провайдерские DNS и другие российские просто перестанут выдавать реальный IP-адрес заблокированных ресурсов. А публичные DNS типа 8.8.8.8 , 1.1.1.1 и т.п. сами попадут под блокировки, то можно ли будет как-то подключаться напрямую к зарубежным DNS-серверам более высокого уровня, например к корневым? Или это так не работает?

Хотя даже если возможно, это не спасет от перехвата таких запросов провайдером.

bolvan · February 11, 2026, 9:08am

Корневые сервера обслуживают только TLD. Они не выдадут конечные A или AAAA записи типа www.rutracker.org.
В описанной ситуации, когда нет доступа к обычным DNS, останется только тунеллировать DNS через что-то другое. doh, dot, dnscrypt, vpn, xray, возможно к своим серверам или малоизвестным.
Один из вариантов к своему серверу - z2 с обоих концов в режиме обфускации