ты сам понял что написал?
Возможно, глупый вопрос задам, но тулзы вроде zapret/byedpi/etc могут обходить белые списки из тех, что при отключениях мобильного интернета - или там без шансов всё заруливают на сетевом уровне, и обязательно надо какой-то туннель через облако тянуть, и будет работать только на определённых IP (из белого списка)? Или может, любой IP из РФ сойдёт?
Ок, последние вопросы не совсем по теме, отвечайте если только очень хочется, хе. Сам без проблем пользуюсь byedpi, но насколько я понимаю в сетях, настоящий фаервол оно не обойдёт, то есть вопрос в том, насколько серьёзно эти белые списки работают, сам до сих пор с ними не сталкивался, судя по сообщениям тут.
В моем регионе опсосы блочат по IP, соответственно zapret и внеБСный VPN отлетают
То есть даже пинги не проходят? Исключительно заданные ASN доступны?
Ничего не проходит.
Проходит ли граница по ASN не проверял.
Там ограничения не по ASN а по подсетям. Т.е. из достаточно обширных ASN принадлежащих яндексу, вк и прочих доступны L3 лишь немногие белые подсети. Их списки есть на гитхабе, но они постоянно устаревают. И даже в сторону этих подсетей проходит не любой трафик а строго разрешенный (TLS с подходящим SNI)
По крайней мере они пингаются, а значит icmp идет
Ясно, спасибо.
Проверил его, Timestamps поддерживает, вот сервер без Timestamps для тестов: blackhole.pushwoosh.com
в z1 нельзя, а z2 и был сделан для подобных вещей
Обнаружилась интересная особенность при использовании виндовой версии и частичного фильтра QUIC - --wf-raw-part=@windivert.filter\windivert_part.quic_initial_ietf.txt. Это проявляется если также используется AmneziaWG, в которой для дурения используется QUIC пакет.
В таком случае windivert перехватывает только этот пакет, и пока winws2 его обрабатывает, даже без стратегий, амнезия успевает напихать несколько следующих пакетов в сеть, а winws2 их не видит, так как они не соответствуют фильтру. В результате пакет уходит с опозданием, дурение ломается.
В соседних темах кто-то жаловался что дурение warp амнезией иногда не работает, так вот может быть из-за этого.
Здесь никакого ошибочного поведения нет.
Можно использовать --wf-raw-filter , где исключить port амнезии из дурения
raw-filter - это дополнительное AND условие
Можно плс уточнить, для чего использовать --wf-raw-part=@"windivert.filter\windivert_part.quic_initial_ietf.txt" если quic дурится и без этого фильтра?
Тоже уточню: а в Z2 есть какие-то доп. условия для дурения TLS без SNI?
Да, это не баг. Просто сразу не очевидно и может кому-то поможет это наблюдение. Еще можно просто дописать AND условие в существующий windivert_part.quic_initial_ietf.txt
С этим условием quic дурится по любому порту, а не quic наоборот не дурится даже по 443 udp, что позволяет экономить проц.
Спасибо, теперь понятно
Небольшое уточнение: по этому условию не непросредственно дурится, а перенаправляется в winws2, потом уже для дурения можно применить фильтр на пейлоад quic initial и стратегии.
nfqws2 сечет SNI только для хостлистов. больше ни для чего он там не нужен.
если нет фильтра по хостлисту, значит пройдет
большинству функций antidpi тоже плевать на SNI. если только не используется tls_mod с изменением sni или маркер позиции, завязанные на host. hostfakesplit отлетает по определению
SNI используется в auto для вычисления host record. circular не будет работать
интересные конечно статьи на хабре
я так понимаю, после разбора с максом теперь все программы будут проверять) новый тренд