Zapret: обсуждение

Hentay · February 23, 2026, 8:18pm

Как оказалось стратегия не виновата в том, что мы обходим. Виноват SNI , что применяется в стратегиях.
Порой оказывается из-за действий РКН (прибили очередной белый SNI из-за массового использования к CIDR) очередной SNI стал бесполезнее чем нужно…

Поэтому как роутер его можно использовать только там, где он уже куплен. Как репитер есть дешёвые аналоги, а расширитель сети можно поставить другой.
Правда если не ряд но… То можно было забыть о данном производителе.

Правильный белый SNI для CDN и все стало доступно… Но тут благодаря РКН каждый день что-то умирает и становиться бесполезным. Но можно просто перекинуть куда-то не доступные домены (проксировать/редиректить). Запрет лишь один из способов обхода

HasherLoc · February 23, 2026, 8:24pm

А можно примеры таких сайтов которые блочат по ип? Если трассировка до сайта доходит то никакого блока нет, если застревает прям на as провайдера то блок есть. И есть сайты работающие с tls1.2 вот с ними проблема, тспу видит что там в sni и блочит )

3ph · February 23, 2026, 8:30pm

Здесь был пример такого сайта: windscribe.com

elf50001 · February 23, 2026, 8:31pm

А если там ECH то не блочит?

Hentay · February 23, 2026, 8:33pm

Только почему-то клин сошелся на tls1.3
С 1.2 более-менее мягко все. (хотя такое может быть только у моего.. Риторический вопрос)

Блочат расширение SNI. Но зависит от локации, провайдера и что курили блокировщики
Слишком уж поздно появилось такая защита от подглядывания

HasherLoc · February 23, 2026, 8:56pm

Я добавил домены в свой хостлист и сайт открылся )

Quqas · February 24, 2026, 3:05am

печально.

ибо что то подобное и наблюдается.

в http блокчек при каждом новом запуске с оверлапом то дырявит то нет. tls1.3 норм. а tls1.2 никак совсем…

bolvan · February 24, 2026, 6:47am

Бывают частичные блоки.
Не обязательно рубить все ip к определенному ip.
Можно рубить tcp:443, остальное не рубить.
Можно не рубить tcp:443, а рубить any tls to 443 или any tls to all
И это тоже ip блоки, потому что на соседних ip такого нет. Или на других AS такого нет.
Критерий IP блока, неважно частичного или полного, является использование dest ip в качестве условия для ограничения трафика

PirateSkull · February 25, 2026, 4:44pm

Приветствую. очень жестко заблочили сайты на клаудфлер. рутрекер https://www.cloudflare.com/ вообще не в какую. Для Aol,bbc,yt стратегию нашел. ошибки в хроме следующие ERR_QUIC_PROTOCOL_ERROR ERR_SSL_PROTOCOL_ERROR ERR_SSL_VERSION_OR_CIPHER_MISMATCH. неужели маленький провайдер смог побороть zapret.

SeamniZ · February 25, 2026, 5:15pm

Это из-за стратегии

PirateSkull · February 25, 2026, 5:27pm

Так я пробывал разные стратегии . Ошибки те же. Еще блокчек любезно меня уведомил что заблочены doh гугла и CF.

TesterTi · February 25, 2026, 8:32pm

А можешь плс привести пример хотя б одной стратегии, которая дает такие ошибки в хроме? Кстати, только в хроме? Или в любых браузерах?

PirateSkull · February 25, 2026, 9:01pm

-filter-tcp=443 --dpi-desync=fake,multisplit --dpi-desync-fooling=badsum --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=4

в фаефокс тоже не работает, ошибка естественно другая

SagePtr · February 25, 2026, 9:01pm

Badsum давно же уже сломали, нет? Притом в случае с badsum сумма автоматически выправляется, и фейк долетает до сервера, потому и ошибки SSL

PirateSkull · February 25, 2026, 9:15pm

На этом провайдере badsum и badseq работает хорошо. Но такую жесть которую они сотворили с CF я еще не встречал. Видать хотят медаль получить за лучшую блокировку. варп тоже убили конфиги по этой ссылке не работают.

А что тогда можете посоветовать кроме badsum, baseq? я еще datanoack пробывал но это не спасло.

TesterTi · February 25, 2026, 10:42pm

А у тебя в браузере не doh случайно? У меня конфиг с badsum ломает doh, приходится добавлять --hostlist-exclude=exclude.txt, а в exclude.txt адреса doh. Хотя не… ошибки были бы совсем др.
Такой конфиг у тебя не работает с CF?

--dpi-desync-fooling=ts --dpi-desync=fake --dpi-desync-fake-tls-mod=sni=4pda.to,rnd

d3nN · February 25, 2026, 11:00pm

del

PirateSkull · February 26, 2026, 5:13am

В chrome doh comss. В фаерфокс без doh. вашу стратегию попробывал но не помогло, еще попробывал multisplit без фейка. Мне на самом деле не особо нужен CF сайт, но на его основе много сайтов, тот же варп. Просто такой жесткой блокировки еще не встречал. Решил тут об этом написать.

Понятно что на крупных провайдерах типа РТК, пчеле, и яйце. с клаудфлаир тоже идет борьба. Но не на столько жесткая. Тут они как будто взяли пул адресов и заблокировали по ip. Но нафига это делать на мелком провайдере непонятно. Они же всех клиентов потяряют. В чем смысл непонятно.

Possessed · February 26, 2026, 5:38am

а что означает статус блокчека: winws not working ?

проверял несколько сайтов, для пары вот такое выдал

bolvan · February 26, 2026, 5:53am

Не найдено ни одной рабочей стратегии по протоколу для домена