Использую GDPI для доступа к ютубу с помощью фрагментации HTTPS пакетов. Полет нормальный. решил поставить на роутер чтоб все устройства имели доступ к ресурсу. Не работает как с nfqws
Как вы запускаете GoodbyeDPI?
Вы делали дамп трафика, смотрели, что конкретно делает nfqws/tpws? Быть может, в вашем случае только фрагментации недостаточно?
Опция wssize нужна для сервера, а не для клиента (для того, чтобы nfqws устанавливать на заблокированный сервер). Вам нужна опция wsize для фрагментации (но фрагментация изменением Window Size — устаревший и нерекомендуемый метод). dpi-desync-ttl=0 отключает отправку поддельного пакета, которая и так не активирована по умолчанию.
Вы можете мне дать готовую команду при которой будет только фрагментация пакетов по https со значением 1 и все. Так как на ПК GDPI именно так и работает с ключом -e 1 и все открывается.
Борьба продолжается.
Запустил отдельно с ключом как и подсказали.
./nfqws --wsize 1
получаем:
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue ‘0’
setting copy_packet mode
initializing raw sockets bind-fix4=0 bind-fix6=0
Running as UID=2147483647 GID=2147483647
всё должно работать, но нет.
так же как писал выше что использую свой хост файл как дополнительный и прописал его настройках роутера как дополнительный и всеравно тщетно.
Может подскажите в какую сторону двигаться, а то кроме вашего форума и почитать больше негде.
ПС. На компе все работает на УРА (с заменой хост файла на свой)
Забудьте про --wsize. Это устаревший параметр. Для его использования нужно пенеправлять 1 пакет SYN,ACK из входящего трафика, а не исходящего.
Тот же эффект и без побочных эффектов достигается при использовании параметра dpi-desync=split2.
Чтобы не гадать, для того и придумал blockcheck.sh . Прогоните его и не мучайтесь
–wssize нужен, чтобы заставить сервер разбить на части TLS ServerHello. Эта опция снижает скорость, использовать как последнее средство
Я бы с удовольствием прогнал blockcheck.sh еще в самом начале, но он постоянно жалуется на разные проблемы и не хочет запускаться вовсе. На данный момент жалуется на NFQUEUE:
NFQUEUE iptables or ip6tables target is missing. pls install modules.
Хотя все уже установлено и службы работают стабильно.
Система съедает команду iptables, и на этом все. Никаких изменений.
С ip6tables иначе, он не может принять ее так как полностью отсутствует поддержка ipv6.
Итак, на данный момент всё работает благодаря параметру dpi-desync=split2. За что огромная вам благодарность!
Однако, не сразу заметил так как работает ТОЛЬКО через браузер. Например, если зайти на сайт ютуба, то все будет работать безупречно, но если зайти в тюб через приложение (iOS, Android) то снова ничего работать не будет.
Возможно ли что приложение принудительно резолвится через гугловый днс? Так как гугловый днс в моем регионе забанен, то попахивает жареным.
Так как blockcheck.sh все еще не запускается посоветуйте еще возможные команды для пробы.
tpws --split-pos и nfqws --split2 выполняют одно и то же действие
blockcheck тестирует доступность ресурса, запуская tpws и nfqws, а не каким-то третьим методом
если не работает, значит что-то сделано не так
на счет ios, простых решений не ждите, придется вам делать дамп трафика и выкладывать или анализировать самому
приложение лезет к google api, а не корневому веб сайту youtube.com
я попробовал установить на android, но это не получилось всилу требования google apps, которые выпилены на всех моих устройствах. тем не менее до падения приложение успевает залезть на youtube.googleapis.com.
вообщем, можно ожидать использования несколько других доменов, чем в веб версии
цель - сдампать трафик и выделить эти домены из TLS Client Hello (с quic initial или с обычного tls), проверить их доступность