Учитывая массовые замедления большинства CDN, на сегодня уже проще прописывать целые ipset’ы вместо отдельных хостов. Но уже плавно подходим к тому, что придётся всё пропускать через Zapret кроме небольшого исключения сайтов.
Это наследие времён борьбы за вайбер, ВА и телегу средствами запрета. В итоге сдался и отправил их в ВПН. После этого да, уже не особо актуально, только как резерв. Но суть не в том, было просто не ясно где искать проблему, т.к. источник её вообще в левой по отношению к ресурсу стратегии.
Боюсь что плавно подходим уже не к этому, а к тому что придётся всё заворачивать в тоннель, а тоннель протаскивать запретом.
Так и сделал у себя. Весь трафик идет через Zapret. Стратегии для ip-set-ов с помощью custom-scripts, в основном конфиге - только выборочные, для отдельных доменов. Ip-set-ы регулярно обновляются. Нужную мне половину инета разблокировал ))
Да походу все пользователи ntc так сделали. Вообще не представляю как сейчас можно пользоваться интернетом без запрета или ВПН. Но так как ВПН блочат повсеместно. Запрет стал как приложение по умолчанию.
А если в браузере отключить ECH?
Да никак, можно констатировать факт, что интернет в России сломан, работать будут только чебурнетные, локальные внутри страны ресурсы, которые естественно не заменят глобальный интернет. Я думаю, в принципе, что если перестанут работать все впн и средства обхода блокировок, то за интернет можно будет уже не платить провайдерам, т.к. этот чебурнет мне не нужен и не интересен, совсем…
По-моему всего возможно 3 варианта:
- отключить TLS 1.3 - худший вариант. может могут быть недоступны сервера, использующие только протокол TLS 1.3 и отключившие поддержку TLS 1.2
- отключить ECH. Тогда придется записывать в hostlist все нужные домены на CF
- записать в hostlist строку
cloudflare-ech.comТогда в hostlist нужно будет вносить только те сайты, которые сами отключили ECH.
Тут тоже 2 варианта)
- сделать стратегию с ipset CF - тогда не придется записывать домены
- сделать стратегию без hostlist / ipset вообще - подобрать такой sni , который пробивает большинство cdn. На моем прове это
russianfood.com. А раньше у меня вообще работала стратегия без sni--dpi-desync-fooling=ts --dpi-desync=fake --dpi-desync-fake-tls-mod=rnd
Работать-то они работают, но ломают много всего в рунете, а вести списки чебурнет-исключений тоже мало желания.
Пока пришёл к такому подходу:
- выделенная стратегия под ipset’ы основных хостингов/CDN (они не очень большие, памяти на роутере хватает без проблем, это не адские хостлисты по 80к строк на базе списков РКН, которые не понятно вообще как использовать, при этом в них 95+% мусора)
- дефолтная стратегия с автохостлистом - для собственно заблокированных в явном виде сайтов (а не сдохших потому что прибили CDN/хостинг)
- отдельные стратегии для ютуба, ВА и телеги (на случай если прибьют ВПН, чтобы хоть как-то связь ползала)
- podkop с тематическими списками (news, телега, ВА, дискорд, туда же список хостов и IP вайбера), это всё идёт в VLESS. Сюда же отправил CF и Amazon, т.к. от меня они неуверенно пробиваются запретом.
Сюда же завожу мобилки через вайргард, когда они вне дома, чтобы не админить отдельно на них обходы - ибо задолбало.
Списки брал в основном отсюда: GitHub - 123jjck/cdn-ip-ranges: IP address ranges for proxying · GitHub
Если есть варианты получше - буду благодарен.
что будет если дважды указать --dpi-desync-fooling= в 1й --new ?
не том смысле что через запятую а именно дважды(трижды) --dpi-desync-fooling=
-применится самая правая (последняя)?
-склеится из 2х(3х) какбудто через запятую?
-сломается в принципе?
помимо того что это васянство так делать в проде, другого способа для блокчека кроме как PKTWS_EXTRA=‘–dpi-desync-fooling=badseq,badsum’ не вижу чтоб потестить то что мне надо
Судя по коду они обьединяются в одном профиле.
в этом репозитории они не совсем полные, лучше по ASN отсюда
О, тоже полезное. Хотя для конечного потребителя формат представления конечно так себе.
Калининград, Тис-диалог. Товарищи из РКН вновь атакуют ютуб. GGC начинают таймаутить (Если смотреть во вкладке Network) и, соответственно, ролики не грузятся. При этом сам ютуб, аватарки, и вообще всё остальное что пропускается через запрет, работает. У меня есть теория, что они ограничивают не мне доступ к провайдерским GGC, а провайдерским GGC доступ во внешний интернет, для кеширования видео. Они так уже делали раньше, потом откатили, а сейчас вновь начали это делать. И это прям чётко заметно, ибо в основном русскоязычные ролики проигрываются без проблем, а с иностранными (Да и вообщее всеми, которых точно нет на провайдерских GGC) проблема. И самое странное, спрашивал нескольких людей с запретами из разных городов, проблема только у меня. Я так понимаю это уже не вылечить запретом, только проксировать? Или может просто заблочить все провайдерские GGC через hosts, чтобы ютуб пытался тянуть ролики сразу с зарубежных GGC. Никто вообще с подобным не сталкивался?
И второй момент. Никто не пробовал чинить замедление телеграмма запретом, хотя бы веб версию? Там замедляют по CIDR?
Да
Наткнулся на такое решение, но только для веб версии. Пока не проверял.
Не все айпишники замедлены на данный момент, думаю это не на долго
Посмотрите, что именно происходит по F12. Возможно от вас нет доступа до “дальних“ GGC, а на ближних нет нужного вам ролика, пока он туда прогрузится - ничего не показывает. Может помочь ручная проверка нескольких недоступных GGC через блокчек и их засовывание в стратегию по-отдельности.
Стратегия у вас с фейком? Нужен фейк от сайтов из белого списка.