Я поставил ваш конфиг без субдоменов, пробелов там нет, попробовал все 5 строчек без пробелов - тож самое
я что то не понял, у вас запрет стоит в люси ? прикольно, каким образом вы его туда поставили, что для этого нужно
я не пробовал, не знаю будет работать или нет, но для QUIC нужны ещё и эти пакеты
libnghttp3 libngtcp2
и весят они не мало, особенно если нет места
но без них QUIC работать не будет, curl естественно обязательно надо ставить в любом случаи.
а так как места у меня мало, пакеты эти я себе не ставил, просто заблокировал в роуторе порт udp 443 и в запрете QUIC отключил
это для nftables, для iptables я не знаю, там другие пакеты
Ну да, на уровне роутера, на всех устройствах сразу работает, openwrt накатил 23.05 и поставил запрет по инструкции с офф. гитхаба запрета
у вас работают трансляции ютуба ? у меня на одном из провайдеров 40 сек работает а потом пишет что то пошло не так и я так и не решил эту проблему, даже не знаю на что смотреть.
всё остальное работает нормально, только трансляции, в чём прикол я так и не понял.
а на другом провайдере, при тех же настройках работает, таже самая винда, тот же браузер.
и у меня места мало, я искал инструкцию для минимальной памяти, 2 дня ушло чтоб понять как это сделать причём на nftables, задача стояла не удалить нужные мне пакеты, некоторые заменил даже которые меньше весят.
на одном из своих роутеров вай фай мне не нужен и я удалил этот пакет wpad-basic-mbedtls и места сразу стало больше, даже ещё 500 кб осталось свободного ))
пакеты удалять только в сборке прошивки если что, то есть чтоб изначально это не было, некоторые думают что можно удалить из самого роутера, но это не так, место от этого не прибавится )
прочитал ваше readme, можно сказать пробежался и наткнулся на параметр
net.netfilter.nf_conntrack_tcp_be_liberal=1
включил и один сайт который открывался через раз, начал работать нормально,
почитал про этот параметр, ну типа если плохая связь то он решает проблему, в плане безопасности есть свои косяки, но в целом вроде нормально, надо потестировать ещё.
ну я был в шоке, от куда у вас столько знаний, для меня это жесть, столько инфы, которая для меня как тёмный лес
Да, все работает без проблем и на пк и на айфоне через вайфай и через приложение. У меня проблемы только с инстой и фейсбуком, сайты сами открываются, но никак не грузятся страницы людей и любые картинки / видео
а вы заблокируйте порт udp 443 в роуторе, если правильно заблокировать, то включая QUIC в браузере, к примеру настройка network.http.http3.enable в Firefox, затем кнопка F12 и не должны пролетать пакеты HTTP/3, если пролетают, значит плохо заблокировал, то есть ни одного пакета HTTP/3 пролететь не должно при правильной блокировки порта в роуторе.
и тогда все ваши устройства будут использовать только HTTP/2 и всё будет открываться.
настройка в запрете QUIC больше вам не понадобится, можно её смело отключать.
я у себя в 5ти местах заблокировал этот порт, наглухо и ни одного пакта не пролетает и на всех устройствах всё работает одинаково, ну почти одинаково
Отдельно либы ставить смысла нет.
Чтобы они использовались, libcurl должен быть с ними скомпилен.
Иначе они будут мертвым грузом.
Сам по себе этот параметр ничего не вылечит. В zapret он нужен для корректной работы авто хост листа в условиях российской действительности. Немного кривоватые RST от DPI
Не подскажите как правильно это сделать на openwrt?
ну не знаю, сайт открывается теперь всегда, та и связь вроде стала стабильней или мне так это показалось, авто хост листа я не использую, но я давно экспериментирую с настройками sysctl и этот параметр для меня новинка
через люси в файрволе - правила для трафика, только включить надо только для ipv4
а затем в raw_prerouting и ещё в raw_output через SSH если умеете и у меня только тогда перестал гулять этот трафик
хотя я может тут и не правильно сделал, сейчас перепроверю,
та не, вроде так, ну во всяком случаи у меня он не гуляет
В самом файрволе у меня так, offloading включён, без него плохо работает всё, медленно, в рекомендации его нужно отключать, но я не отключил и вроде всё работает
А ничего что у меня в запрете уже есть строки с 443? это никак не повлияет?
NFQWS_OPT_DESYNC="
--hostlist=/opt/zapret/zapret_lists/russia-youtubeQ.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-youtubeGV.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-ttl=4 --new
--hostlist=/opt/zapret/zapret_lists/russia-youtube.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=3 --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=5 --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=4"
https://ntc.party/t/%D1%81%D0%B1%D0%BE%D1%80%D0%BA%D0%B0-ytdisbystro-%D0%BD%D0%B0-%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5-zapret-%D1%82%D0%B5%D1%81%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B8-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BD%D0%B5-%D0%BF%D0%B8%D1%88%D0%B8%D1%82%D0%B5-%D1%81%D1%8E%D0%B4%D0%B0-%D0%BD%D0%B8-%D0%BF%D1%80%D0%BE-%D0%BA%D0%B0%D0%BA%D0%B8%D0%B5-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8-%D0%BD%D0%B5-%D0%BF%D1%80%D0%BE%D1%87%D0%B8%D1%82%D0%B0%D0%B2-1-%D0%B9-%D0%BF%D0%BE%D1%81%D1%82-%D1%82%D0%B5%D0%BC%D1%8B/11624/795
уобщем там ни всё так прост ети хостлисты и ети обходы https://github.com/bol-van/zapret/blob/master/docs/quick_start.txt#L107
повлияет только на udp трафик на 443 порту, это и есть QUIC
все ваши настройки на этот порт значения иметь больше не будут и может их больше не настраивать и QUIC в запрете отключите
можете и не отключать, он всё равно работать не будет, но лучше отключить, меньше будет нагрузка
можете удалить строки там где udp=443, отставить только те строки где tcp
дискорд не знаю, я не им не пользуюсь, но если бы и пользовался, то заставил бы его работать только на tcp или удалил бы его в противном случаи )
Хм, у меня не роутер, а просто WIndows. По поводу доменов - холодное открытие facebook/instagram добавило эти домены в hostlist-auto.
www.instagram.com
static.cdninstagram.com
scontent.cdninstagram.com
graph.instagram.com
gateway.instagram.com
scontent-hel3-1.cdninstagram.com
edge-chat.instagram.com
facebook.com
static.xx.fbcdn.net
scontent-hel3-1.xx.fbcdn.net
external-hel3-1.xx.fbcdn.net
И в hosts у меня вот так.
31.13.72.53 scontent-arn2-1.cdninstagram.com scontent.cdninstagram.com static.cdninstagram.com
157.240.225.174 instagram.com www.instagram.com i.instagram.com
Ну и в целом dns-over-https, конечно же, настроен.
Может вам как-то эта информация поможет 
Кстати, в последнем посте вашем не увидел стратегии для tcp=443 без хостлиста. Разве не надо на случай, если чего-то нет?
А можете показать как делать udp443 / udp443-2 и 3? У меня не получается в “любую зону” сделать. Можно в личку чтобы тут не мешать
это просто название, любое можно написать