Zapret: обсуждение

А я вот когда переключил, как на втором месседже, что произошло? А wireshark SNI стали корректными и заработали сайты, которые раньше не работали без исключения. Просто именно такая комбинация обходит почти все блокировки.

Вопрос. Никто не совмещал zapret с проектом kvas или подобным? Хочется, чтобы рядом была поднята маршрутизация, которая будет определенный список доменов заворачивать в VPN соединение.

Пробегая глазами, не заметил. Скопировать весь лог, для более тщательной проверки уже не подумал, потому что уже стало ясно, что проблема решаема. Про диск тоже не исключаю, я разметил систему по другому.
Установка проходила там у меня таким образом, но это не единственный способ. Грузишься с сд карты и шьёшь в нанд, грузишься с нанда и шьёшь еммс. Прошить еммс с сд нельзья, они сидят на одном интерфейсе SoC. Потом грузишься с еммс, и можешь расширить раздел, потому что тебе почти ничего не доступно из 8 гб. И этот раздел довольно странно описан на странице опенврт.
Когда я шился второй раз, я просто прошился в нанд. С нанда отформатировал и сделал разметку еммс и ничего туда не шил. Фстабом примонтировал 4 гб для /opt и ещё половину оставил, пока не решив куда.
Шиться отдельно на еммс довольно странно. Это скорее стратегия для полноценных линуксов, и в доке на сайте самого банана там шьют его на убунту. Нужно было сразу чуть больше думать головой, а не слепо следовать инструкциям, но нужно сказать, на сайте опенврт, там тоже есть указание еще и шить на еммс и зачем-то криво после расширять разделы.

А что значит “совмещал”? Объединить в один проект? zapret и kvas в keenetic дружно живут и дополняют друг друга без каких-либо конфликтов. В kvas поднят ss, настроена выборочная маршрутизация (chatgpt и т.п.), а все остальное идет через zapret. Все ставилось по стандартным инструкциям, ничего дополнительного не настраивалось.

А что вообще со стандартными курлами, почему во всех репах линуксов и стандартных бинарниках, они не поддерживают http3? Нужно собирать самому или искать бинарник на гите с поддержкой.

OpenSSL? В дебиане недавно добавили поддержку http3 после миграции на GnuTLS. Хотя дебиан консервативен.

Думаю вы правы, бегло пробежался глазами, что пишут. Опенссалом не довольны. Когда был другой роутер, читал инструкцию библиотеки вульфссл, как скомпилировать курл с ней, для поддержки. В дебиане завезли поддержку, опять же выбросив опенссл.

Тут тогда вопрос, зачем другие, включая опенврт, тянут опенссл для этого.

Блокчек перестает тестировать некоторые варианты, которые уже заведомо бессмысленны.
Например, если сработал split2 , то нет смысла тестить fake, split2 fake,split .
Если сработал disorder2, не нужен тест на disorder
Если сработал TTL=3, то нет смысла гнать TTL=4,5,6

TLS1.3 отличается с точки зрения DPI только тем, что в ServerHello нет сертификата, по которому можно понять домен. И это облегчает жизнь обманщикам , потому что появлиять на ответ сервера гораздо сложнее, чем изуродовать запрос клиента.

Да, я имел ввиду, что рядом поставить kvas + zapret.

Шарк не всегда показывает в кратком виде то, что там есть на самом деле
Надо делать follow tcp stream и смотреть отдельные пакеты.
В частности те, что tcp.flags.syn==1

Если бы разбирались - то не задавали бы подобных вопросов, а самостоятельно прогнали blockcheck и нашли новые параметры.

Если кому-то интересно развитие ситуации - например на этот сервер rr2---sn-4g5lznl6.googlevideo.com помог достучаться tls clienthello от drive.google.com снятый при помощи Wireshark. Я не на столько специалист, чтоб провести анализ и сравнить его с коробочным tls_clienthello_www_google_com.bin, но по личным ощущениям ютуб стал стабильнее достукиваться до серверов.

Поделитесь файлом?

Подскажите, как на запрете включить обратную фрагментацию со значением 2, по типу как на гудбае ? Какой параметр, покажите на примере как это сделать, если конечно в нём есть такая функция

tpws --split-pos=2 --disorder
nfqws --dpi-desync=disorder2

curl + netcat : Capture TLS Client Hello · GitHub

tls_clienthello_drive_google_com.zip (594 байта)

1 Like

Благодарю. А если под quic подправить скрипт, корректно снимется?

Не работает или я что то делаю не так. На роуторе в запрете просто ставлю
на nfqws
NFQWS_OPT_DESYNC_HTTPS_SUFFIX=“–dpi-desync=disorder2”
запускаю вайбер на пк, не работает, включаю на компе гудбай с обратной фрагментацией 2, больше ничего не добавлял, вайбер на пк работает
пробовал разные варианты на роуторе и ничего не получилось
остальные наверно почти все сайты работают и работают хорошо на пк, включая даже этот без гудбая

Почему SUFFIX ? Он нужен только для тех десинхронизаций нулевой фазы, которые отсекаются по hostlist из-за незнания имени хоста на тот момент