Обход замедления youtube в России

[bol-van]

РКН замедляет некоторые домены youtube как на https, так и на quic.

Проверка на youtube android app показывает замедление или блокировку следующих доменов (включая поддомены, если таковые есть) :

googlevideo.com
youtubei.googleapis.com
i.ytimg.com
yt3.ggpht.com

blockcheck прогонять бесполезно. он не предназначен для детектирования замедления сайтов, а обращение напрямую к домену 2 уровня googlevideo.com не предусмотрено сайтом

Для обхода https с tls 1.3 работает split2 (split-pos 1 или 2, выше - не работает. 2 = по умолчанию) или любая более сложная магия : split, disorder2, disorder, fake, tlsrec, oob.
Для обхода quic работает fake на провайдерах, где quic полностью не заблокирован.
С tls 1.2 ситуация сложнее, поскольку ТСПУ сечет домен из ответа сервера, который в tls 1.3 зашифрован, а в 1.2 - нет.
Для обмана требуется или применять фейки (только nfqws, предпочительно), или сплитать ответ сервера (--wssize 1:6 для nfqws, --mss 88 для tpws). Второй вариант существенно хуже, поскольку сам по себе режет скорость и может что-то поломать, в добавок не фильтруется через hostlist.
Типичная стратегия обмана TLS 1.2 - --dpi-desync=fake,split2 или fake,disorder2. Естественно, нужны ограничители типа ttl, fooling. Если вы впишите без них, вы только сломаете все подключения.
tls 1.2 - это характерная проблема не слишком новых теликов. На компе работает, на телике нет. Проверяйте стратегию обхода на TLS 1.2 !
На некоторых провайдерах могут блокироваться дополнительные домены youtube, из-за чего могут не подгружаться превьюшки или что-то еще.

Недавно РКН стал блокировать некоторые GGC сервера особенным образом. Фейки не работают с любыми SNI, кроме гугловских.
Вместе с fake можно применять оцпию : --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin
Это поможет разблокировать и заблокированные сайты, и youtube.

Типичная настройка /opt/zapret/config для обхода только замедления youtube 👍

MODE=nfqws
NFQWS_OPT_DESYNC="--dpi-desync=split2"
NFQWS_OPT_DESYNC_HTTP=""
NFQWS_OPT_DESYNC_HTTPS=""
NFQWS_OPT_DESYNC_HTTP6=""
NFQWS_OPT_DESYNC_HTTPS6=""
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6"
MODE_HTTP=0
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=hostlist

в режиме tpws требуется отключить quic в броузере или заблокировать порт udp:443 на выход в инет на шлюзе средствами iptables/nftables/openwrt (аналог опции -q GoodbyeDPI)

MODE=tpws
TPWS_OPT="--split-pos=2"
MODE_HTTP=0
MODE_HTTPS=1
MODE_QUIC=0
MODE_FILTER=hostlist

Это не примеры готовых конфигов. Не надо их копи-пастить в /opt/zapret/config. Это список переменных, которые там нужно поправить. Либо указание какие пункты выбирать в инсталяторе.

В файл /opt/zapret/ipset/zapret-hosts-user.txt следует внести означенные выше домены, после чего перезапустить zapret.
Или сделать это до прогона инсталятора

Если вам нужно сочетать обход блокировок и замедления youtube, то убедитесь, что домен googlevideo.com проходит по вашему фильтру ipset или hostlist. Практически все методы обхода блокировки будут достаточны и для обхода youtube.
Если у вас используются фейки (fake, split, disorder) и ограничитель TTL, то вероятно будет необходимо дописать еще один ограничитель : --dpi-desync-fooling=md5sig. Поскольку сервера google cache часто находятся очень близко к провайдеру, ваш TTL может их сломать. Если TTL не используется, ничего дописывать не надо.

Для кинетиков : zapret частенько используют на кинетиках, хотя автор официально не поддерживают их стоковую прошивку. Там есть целый ряд "нюансов", скажем так. И один из этих нюансов изложен тут : https://ntc.party/t/zapret-whats-new/61/71

Для windows :

echo googlevideo.com>youtube.txt
winws --wf-tcp=443 --dpi-desync=split2 --hostlist=youtube.txt
winws --wf-udp=443 --dpi-desync=fake --hostlist=youtube.txt

В броузерах доступна кнопка F12. Вкладка сеть. Добавить поле "протокол". h3/http3 - означает QUIC. Все остальное означает tls over tcp (https). Если броузер тупит и слабо качает, смотрим какой протокол он использует.
Если вдруг это quic, и обход quic не срабатывает, то попробуйте отключить quic в броузере
Если не срабатывает обход https, попробуйте поиграть со стратегией. Попробуйте --dpi-desync=disorder2 для nfqws и --split-pos=2 --disorder для tpws.

Поступает информация, что обход quic может не срабатывать на некоторых устройствах или приложениях. ТСПУ может по-разному реагировать на пакеты quic от разных библиотек.
Если не хотите закрывать quic для всех устройств, можно зафиксировать ip и закрыть порт udp:443 только для них.

Проверка обхода через curl :

curl -4 -o /dev/null -k --connect-to ::speedtest.selectel.ru https://test.googlevideo.com/10MB -w %{speed_download}
curl --tls-max 1.2 -4 -o /dev/null -k --connect-to ::speedtest.selectel.ru https://test.googlevideo.com/10MB -w %{speed_download}

На windows замените /dev/null на nul
Первый вариант для https с той максимальной версией TLS, которую поддерживает ваш curl (на openwrt curl с mbed tls не поддерживает tls 1.3 !)
Второй вариант понижает версию до tls 1.2, если криптолиба от curl поддерживает этот параметр (openssl поддерживает).

[MarkuSasen]

Всё работает, спасибо!

[Deddomosu]

И как это делать? Я чет нифига не понимаю

[z0mb1e-kgd]

Спасибо за труды, @bol-van
Поставил zapret на роутер Xiaomi 4A Gigabit с MT7621 (MIPS 32bit), 16 ROM / 128 RAM, OpenWRT 23.05, сконфигурировал по первому способу (nfqws и split2), всё работает. Однако есть вопрос: у меня в роутер идет основной WAN по PPPoE, плюс в локалке есть одноплатник с Arch, в который через USB воткнут смартфон в режиме модема. На роутере настроил Policy Based Routing, при применении которого пакеты от некоторых устройств во внешнюю сеть пересылаются на локальный адрес одноплатника как на шлюз, а тот роутит его в интерфейс смартфона (тупо через nftables, ip saddr LAN_SUBNET/24 ip daddr != LAN_SUBNET/24 oifname MOBILE masquerade), т.е. получается дополнительный WAN через мобильного оператора, но обход блокировки ютуба в таком случае для трафика от этих устройств не происходит. Можете подсказать, как быть в таком случае? Спасибо.

[samvova]

Заработало на телевизоре Самсунг?

сомневаюсь я. Да обход вроде уже понятен для TLS 1.3. Надо просто TCP пакет с Hello разбить на два. Автор же вверху написал --split-pos=2
GoodbyeDPI также с одним параметром работала: -e 2
А люди еще экспериментируют.
ggpht.com у меня вообще с первого дня в списке

А с самсунгом там посложнее.

[Tombaster]

Тоже самое хотел узнать. Пробовал по инструкции - не получается, т.к. не зватает места на роутере. Установлен OpenWrt 23.05.4 r24012-d8dd03c46f / LuCI openwrt-23.05 branch git-24.086.45142-09d5a38

У меня было подобное. Сделал git clone на большой комп, удалил лишние бинарники из binaries, потом скопировал на роутер через scr -r.

Подскажите какие файлы надо оставить ) я новичок, только знакомлюсь и изучаю. Не пинайте пожалуйста )

[UrbanTrip96]

Заработало на телевизоре Самсунг?

На удивление, да. Если что провайдер Ростелеком. На другом может и не заработает

[RomanKozyrev]

Спасибо за труды, @bol-van Поставил zapret на роутер Xiaomi 4A Gigabit с MT7621 (MIPS 32bit), 16 ROM / 128 RAM, OpenWRT 23.05, сконфигурировал по первому способу (nfqws и split2), всё работает. Однако есть вопрос: у меня в роутер идет основной WAN по PPPoE, плюс в локалке есть одноплатник с Arch, в который через USB воткнут смартфон в режиме модема. На роутере настроил Policy Based Routing, при применении которого пакеты от некоторых устройств во внешнюю сеть пересылаются на локальный адрес одноплатника как на шлюз, а тот роутит его в интерфейс смартфона (тупо через nftables, ip saddr LAN_SUBNET/24 ip daddr != LAN_SUBNET/24 oifname MOBILE masquerade), т.е. получается дополнительный WAN через мобильного оператора, но обход блокировки ютуба в таком случае для трафика от этих устройств не происходит. Можете подсказать, как быть в таком случае? Спасибо.

Подскажите какую версию брать? на 4pda две модели.Охото меньше манипуляций.

[z0mb1e-kgd]

Подскажите какую версию брать? на 4pda две модели.Охото меньше манипуляций.

@RomanKozyrev, есть на руках обе версии. Особой разницы нет. Ломается одним и тем же скриптом. Правда, v1 почему-то перестал работать на OpenWRT через пару месяцев (тупо отвалились с концами интернеты, перепрошивка не помогла), пришлось возвращать его на сток и вешать как проводной WiFi-репитер, а с v2 проделать обратную операцию и поставить роутером.

[trin4ik]

Спасибо тебе, милый человек!
Сдул пыль со своего NanoPi R5C, настроил его как bridge и поставил "запрет". Всё прекрасно пашет. На выходе получаем коробку, которую можно воткнуть между любым роутером и свичем и получим износилованный tcpip.

[fox1047]

О, как раз такой то вариант мне и нужен. Попробую завтра раскатать на виртуалку между двумя вланами.

[MIC1196]

объясните тупому куда это накатывать

[trin4ik]

объясните тупому куда это накатывать

какое у вас устройство?

[kfomichev]

@bol-van , спасибо за ваш труд, поставил zapret (пока на отдельный роутер, находящийся за домашним основным), ютуб работает отлично.
@trin4ik это просто замечательно, что вы сюда это запостили, я как раз искал способ сделать девайс, чтобы оставить основной роутер с его настройками, и что-то воткнуть между основным роутером и провайдером, но чтобы это "что-то" не влияло ни на какой трафик, кроме разблокируемого.
Хчоу попробовать повторить, но что-то никак не могу мозг в порядок привести. У меня провайдер раздает публичный WAN IP роутеру через DHCP. Причем MAC адрес привязан к аккаунту. Если я ставлю промежуточную коробочку, у нее есть свой МАС? И как в таком случае обрабатывется запрос DHCP от роутера провайдеру и ответ? И как ARP работает тогда? Или MAC отсутвует, как у простого свича? Тогда как коробочкой управлять? Благодарю заранее за помощь.

[yudelex]

Спасибо тебе, милый человек! Сдул пыль со своего NanoPi R5C, настроил его как bridge и поставил "запрет". Всё прекрасно пашет. На выходе получаем коробку, которую можно воткнуть между любым роутером и свичем и получим износилованный tcpip.

Вы подключались к нему для настройки по ssh или по ip до изменения конфигов или после тоже? Потому что после того как "удалил все интерфейсы и девайсы из нетворка, создал один интерфейс с типом bridge, поместил в него eth0 eth1 (wan и lan), удалил коробочные настройки фаера про зоны/nat, и всё завелось" приконнектиться не получится.

[yongcrypt]

Большое спасибо! По-моему просто идеально:

Единственное, раз уж пошли танцы с бубном из-за скорости, то хотелось бы заодно решить проблему с загрузкой мини-изображений профилей. Почему-то какие-то загружает, а какие-то нет. Точнее в разделе "Подписки" со списком каналов вроде отображаются, в самих каналах тоже, но в целом на превьюшках почему-то нет...

В файл zapret-hosts-user.txt добавил ytimg.com (подглядел в GoodbyeDPI) - не помогает.

Глянул в YouTube где находятся аватарки. Выходит так: в самих каналах, если открыть, они на https://yt3.googleusercontent.com и открываются без проблем отдельно по прямой ссылке в т.ч, а мини-аватарки на превьюшках по идее на https://yt3.ggpht.com. Вот с этим проблемы. Попробовал тоже добавить в список, всё равно нет. Причём некоторые даже прогруженные (т.е отображаются на YouTube) мини-аватарки не открываются по прямой ссылке, выдаёт ERR_CONNECTION_RESET (по VPN всё норм).

Есть идеи?

[MashinaMashina]

На следующий день перестали работать конфиги с tpws на ютубе.
Подобрал такое:

MODE=nfqws
MODE_HTTP=1
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=hostlist
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=1 --dpi-desync-split-pos=1"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6"

В файле /opt/zapret/ipset/zapret-hosts-user.txt:

nonexistent.domain
googlevideo.com
rutracker.org
medium.com
ggpht.com

[pwd491]

И добавьте сюда ещё домен с миниатюрами yt3.ggpht.com :)

[pwd491]

И добавьте сюда ещё домен с миниатюрами yt3.ggpht.com :)

На самом деле yt3.ggpht.com это алиас (псевдоним) и является каноническим именем (CNAME) для домена wide-youtube.l.google.com

Интересно, спасибо! У меня заработало только после добавления yt3.ggpht.com напрямую

[alexekoz]

Приложение на телеке LG Заработало только после того как я добавил в статические маршруты
216.58.192.0 255.255.192.0/18
2ip Говорит что это домен hem09s02-in-f14.1e100.net
Ну справедливости ради, я еще добавил такие домены через ipset + dns
googleapis.com
googlevideo.com
i.ytimg.com
i9.ytimg.com
wide-youtube.l.google.com
youtu.be
youtube.com
youtube.googleapis.com
yt3.ggpht.com
yt3.googleusercontent.com

[ShevaS]

Приложение на телеке LG Заработало только после того как я добавил в статические маршруты 216.58.192.0 255.255.192.0/18 2ip Говорит что это домен hem09s02-in-f14.1e100.net Ну справедливости ради, я еще добавил такие домены через ipset + dns googleapis.com googlevideo.com i.ytimg.com i9.ytimg.com wide-youtube.l.google.com youtu.be youtube.com youtube.googleapis.com yt3.ggpht.com yt3.googleusercontent.com

Можете поделиться командами/скриптом? В приложении на телефоне и телевизоре не грузит.

[almirus]

debian 11 завершается мгновенно с 0

root@proxy:~# curl  -v4s -o/dev/null -k --connect-to ::google.com -k -H Host:\ metsalehti-staging-s4uzwwd6nq-lz.a.run.app https://test.googlevideo.com/app/uploads/2021/11/2022-mediakortti.pdf -w %{speed_download}
* Connecting to hostname: google.com
*   Trying 142.250.74.110:443...
* Connected to google.com (142.250.74.110) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [512 bytes data]
* OpenSSL SSL_connect: Connection reset by peer in connection to test.googlevideo.com:443 
* Closing connection 0
0

[almirus]

https://test.blabla.com

19785127

[almirus]

может и я косякнул, сейчас так:

# override firewall type : iptables,nftables,ipfw
FWTYPE=iptables

MODE=nfqws
# apply fooling to http
MODE_HTTP=0
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=0
# apply fooling to https
MODE_HTTPS=1
# apply fooling to quic
MODE_QUIC=1
# none,ipset,hostlist,autohostlist
MODE_FILTER=hostlist

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=split2"
#NFQWS_OPT_DESYNC_HTTP=
#NFQWS_OPT_DESYNC_HTTPS=
#NFQWS_OPT_DESYNC_HTTP6=
#NFQWS_OPT_DESYNC_HTTPS6=
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6"
#NFQWS_OPT_DESYNC_QUIC6=

# CHOOSE TPWS DAEMON OPTIONS. run "tpws/tpws --help" for option list
TPWS_OPT="--hostspell=HOST --split-http-req=method --split-pos=3 --oob"

zapret-hosts-user.txt

nonexistent.domain
googlevideo.com

Цель завести на AndroidTV, поэтому поверх всего этого поставил squid

PS

ipv4 rutracker.org curl_test_http : tpws --split-http-req=method --oob
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-ttl=10
ipv4 rutracker.org curl_test_https_tls12 : tpws not working
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=2 --dpi-desync-split-pos=1

ipv4 navalny.com curl_test_http : tpws --split-http-req=method --oob
ipv4 navalny.com curl_test_http : nfqws --dpi-desync=split --dpi-desync-fooling=md5sig
ipv4 navalny.com curl_test_https_tls12 : tpws not working
ipv4 navalny.com curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=5 --dpi-desync-split-pos=1

[almirus]

@bol-van в итоге поборол замедление с настройками которые в первом посте! несмотря на то что проверочный curl мгновенно возвращает 0
вот такой конфиг
NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig"
возвращает быстро большую цифру, но видео в плеере вообще не грузится

[trin4ik]

@bol-van в итоге поборол замедление с настройками которые в первом посте! несмотря на то что проверочный curl мгновенно возвращает 0 вот такой конфиг NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig" возвращает быстро большую цифру, но видео в плеере вообще не грузится

у меня мало опыта пока в обходе dpi, но на моих тестах политика fake хорошо работает только с quic.
но всё зависит от провайдера, конечно

[salova322]

• OpenSSL SSL_connect: Connection reset by peer in connection to test.googlevideo.com:443
• Closing connection 0
  0

у меня тоже самое, работает только на QUIC

[Glazami]

У меня даже ру сайты многие грузятся с зависанием, да даже Яндекс задумчиво грузится. (При отличной скорости интернета и том что устройство произволительное и раньше норм грузилось.) Видимо уже надо ко всему прикручивать запрет...

[trin4ik]

Накинул запрет на основной роутер, все домашние заметили, что вообще все сайты стали работать быстро

[vldsr]

Поднял nfqws на роутере Asus с прошивкой Merlin, тест скорости youtube на рутере проходит мгновенно и доступ к запрещенке есть, НО при этом с других устройств (windows/android) доступа нет и youtube тормозит

Посмотрел с помощью debug=1 на все пакеты исхощящие с клиентов пишет pass unmodified (пакеты к тому же хосту но с самого роутера модифицируются)

Куда копать? в чем может быть причина?

[crazyaxl]

У вас теперь обход для всех сайтов

Да вот нет. На nnmclub.to например не могу попасть. Использую для этого tor с obfuscate. А еще юзаю comssDNS который позволяет спокойно работать с chatGPT ну и виндовому помощнику тоже, Как то короче так.

И на meta.com не могу попасть без tor (владелец vr шлема от них). И да все это крутится на роутере и доступно всем устройствам в доме.

[Andycar]

modprobe xt_NFQUEUE

@vldsr Может, подскажете где этот модуль взять? На моей asuswrt 3004.388.8_2 такого нет

> modprobe -l | grep xt_
kernel/net/netfilter/xt_hl.ko
kernel/net/netfilter/xt_TPROXY.ko
kernel/net/netfilter/xt_hashlimit.ko
kernel/net/netfilter/xt_length.ko
kernel/net/netfilter/xt_HL.ko
kernel/net/netfilter/xt_set.ko
kernel/net/netfilter/xt_socket.ko
kernel/net/netfilter/xt_quota.ko
kernel/net/netfilter/xt_blog.ko
kernel/net/netfilter/xt_condition.ko
kernel/net/netfilter/xt_TEE.ko
kernel/net/netfilter/xt_flowlabel.ko
kernel/net/netfilter/xt_geoip.ko
kernel/net/netfilter/xt_comment.ko

Перерыл весь интернет уже)) Только на аналогичные вопросы наткнулся пока:
https://www.snbforums.com/threads/ax58u-nfqueue.91276/

В репозитории Entware таких модулей нет...

> opkg install kmod-ipt-nfqueue
 Unknown package 'kmod-ipt-nfqueue'.

в репе https://downloads.openwrt.org/releases/23.05.4/targets/armsr/armv7/kmods/5.15.162-1-b6fa2002ee7aad946166a76ce2e129c3/
есть модуль kmod-ipt-nfqueue_5.15.162-1_arm_cortex-a15_neon-vfpv4.ipk но он под другую архитектуру (Cortex A15)
А у меня роутер AX58U (тоже ARMv7, но Cortex A7)

[vldsr]

Откуда он у меня уже не помню, я еще когда то давно с ним игрался...

У меня RT-AC88U на прошивке 380.70.1_HGG-RC2
Подозреваю что модуль из прошивки, судя по тому что все модули одной датой:

admin@INFINITY:/tmp/home/root# ll /lib/modules/2.6.36.4brcmarm/kernel/net/netfilter/
drwxr-xr-x    2 admin    root           505 Jul 22  2018 ipset/
-rw-r--r--    1 admin    root          9536 Jul 22  2018 nf_conntrack_ftp.ko
-rw-r--r--    1 admin    root         43632 Jul 22  2018 nf_conntrack_h323.ko
-rw-r--r--    1 admin    root          9936 Jul 22  2018 nf_conntrack_pptp.ko
-rw-r--r--    1 admin    root          9652 Jul 22  2018 nf_conntrack_proto_gre.ko
-rw-r--r--    1 admin    root         11560 Jul 22  2018 nf_conntrack_rtsp.ko
-rw-r--r--    1 admin    root         27228 Jul 22  2018 nf_conntrack_sip.ko
-rw-r--r--    1 admin    root          4708 Jul 22  2018 nf_tproxy_core.ko
-rw-r--r--    1 admin    root          4652 Jul 22  2018 xt_HL.ko
-rw-r--r--    1 admin    root          4592 Jul 22  2018 xt_NFQUEUE.ko
-rw-r--r--    1 admin    root          4372 Jul 22  2018 xt_TPROXY.ko
-rw-r--r--    1 admin    root          3060 Jul 22  2018 xt_comment.ko
-rw-r--r--    1 admin    root          7672 Jul 22  2018 xt_condition.ko
-rw-r--r--    1 admin    root          4124 Jul 22  2018 xt_dscp.ko
-rw-r--r--    1 admin    root          5744 Jul 22  2018 xt_geoip.ko
-rw-r--r--    1 admin    root         15392 Jul 22  2018 xt_hashlimit.ko
-rw-r--r--    1 admin    root          3556 Jul 22  2018 xt_hl.ko
-rw-r--r--    1 admin    root          3328 Jul 22  2018 xt_length.ko
-rw-r--r--    1 admin    root          3932 Jul 22  2018 xt_quota.ko
-rw-r--r--    1 admin    root         13072 Jul 22  2018 xt_set.ko
-rw-r--r--    1 admin    root          4764 Jul 22  2018 xt_socket.ko

Если нужно могу скинуть модуль, у меня вот такое ядро:

admin@INFINITY:/tmp/home/root# uname -r
2.6.36.4brcmarm

[Rokudze]

А где посмотреть дебаг?

[Hi-Angel]

А где посмотреть дебаг?

В /opt/zapret/config добавить параметр --debug=… в параметры tpws или nfqws, systemctl restart zapret и journalctl -fu zapret.

[dgrechk]

[dgrechk]

Исходники "вирусов" тут есть - почитай их, скомпилируй, сделай выводы.

шо, а почему до этого их не было и все работало?

[dgrechk]

скачивал версию до момента популярности и публикации в тг каналах, вирустотал не жаловался. теперь же на вирустотале жалуется аж 16 антивирусов. делайте выводы.

РКН, перелогиньтесь

сорян, ща

[waere00]

Так хотя бы ссылку на отчёт надо прикладывать. Непонятно, о каком конкретно файле речь и о какой платформе.

[bol-van]

я периодически обновляю upx. бинарики пакуются последним
еще появился winws. там виндиверт и цигвин длл + он упакован упх
это все может вызывать реакцию

[Oxdeadc0de]

я периодически обновляю upx. бинарики пакуются последним еще появился winws. там виндиверт и цигвин длл + он упакован упх это все может вызывать реакцию

А зачем ты пакуешь бинарники upx'ом? Килобайты экономишь? Или для отмазки от virustotal?
Про сборку исходников можешь не начинать (ну только если не скинешь сертификат для подписи виндиверта Ж))) )

[micle7]

У меня не работает, рутрекер и прочее работает, а ютуб не получается обойти. С 1 августа зарезали на магистральном канале который до провайдера идет.
`% curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 100M 100 100M 0 0 9308k 0 0:00:11 0:00:11 --:--:-- 9464k
`
Скорость нормальную показывает, рутрекеры и прочее на уровне провайдера тоже обходится, а ютуб глючит. Что-то открывает с задержкой и более менее показывает, а некоторые видео даже не начинает воспроизводить.

[RootKeet]

Удалось решить? Такая же ситуация

[sam0x2b]

Удалось решить? Такая же ситуация

попробуйте #200 (comment)

[yohabi]

Возможно, вопрос покажется глупым, но подскажите, будет ли работать схема: LAN <---> роутер OpenWrt + nfqws <---> роутер <---> WAN
Технически с точки зрения сетевых потоков, такое решение жизнеспособно, если не брать во внимание типы блокировок?

[bol-van]

2 роутера ? да, но верхний роутер может ограничить набор работающих вариантов

[ghost]

[relil]

Cкиньте вывод
sh /opt/zapret/blockcheck.sh

[PeterRunich]

Было похожее на keenetic extra 2. У него автоматом не грузились некоторые модули ядра.

insmod /lib/modules/4.9-ndm-4/xt_multiport.ko
insmod /lib/modules/4.9-ndm-4/xt_connbytes.ko
insmod /lib/modules/4.9-ndm-4/xt_NFQUEUE.ko

Вместо 4.9-ndm-4, у вас скорее всего будет другая версия вашего ядра.

Посмотреть загруженные модули
lsmod

Посмотреть все модули которые есть
ls /lib/modules/4.9-ndm-4

После проделанного, iptables: No chain/target/match by that name., должно починиться.

[smyagkiy]

PeterRunich подскажите пожалуйста Вам удалось обойти замедление на keenetic? Запустил модули ядра которые вы написали и проблема с iptables ушла, но после установки и запуска скрипта тормоза остались, я так понимаю еще нужно писать скрипт iptables? Не особо силен в этом ...

[PeterRunich]

@smyagkiy Да удалось, дополнил ответ #208, можете попробовать.

[sam0x2b]

кажется случайно подобрали рабочие для себя значения: NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=4 --dpi-desync-ttl6=2 --dpi-desync-split-pos=1 --wssize 1:6 --dpi-desync-fooling=md5sig"
очень стыдно, ведь всё делалось абсолютным методом тыка...
PS. делалось специально чтобы и не замедляло, и обходило. под Ростелеком где-то в районе Ростова-на-Дону
PPS. вижу, что работает у многих, но это не панацея! я не пытались выдать эти настройки за "волшебную таблетку", и если у вас есть хоть немного времени/сил/желания -- курим мануал!

[Yorenson]

Ростелеком 12 регион, с таким конфигом заработал и на компе и на Smart TV Vidaa. До этого бился с выложенным ниже конфигом для Архангельска, с ним на компе ютуб работал, а на smart tv нет. Пробовал блокировать порт UDP 443 - безрезультатно. На этом конфиге работает и без блокировки UDP 443 порта.
Но, так же как и на конфиге для Архангельска не работает обход заблокированных сайтов. Для теста использую рутрекер и рутор. Первый грузит медленно и без графики, второй вообще не грузит. Подскажите кому-то удалось подружить обход замедления ютуба и блокировки сайтов?

[alex161rus]

Спасибо, работает в Ростовской области

[barbanevosa]

У меня с такими параметрами заработало без проблем в 4к. Телик самсунг тизен 21 года. Прошивка на телевизоре от мая этого года. Приложение ютуб обновлено в апреле этого года. Все достаточно свежее. В конфиге убрал quic оставил только http и https. Провайдер ростелеком. GPON. Ярославская область. Вот мой конфиг:

MODE=nfqws
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=4 --dpi-desync-ttl6=2 --dpi-desync-split-pos=1 --wssize 1:6 --dpi-desync-fooling=md5sig"
MODE_HTTP=1
MODE_HTTPS=1
MODE_FILTER=hostlist
DISABLE_IPV6=1

Это содержимое zapret-hosts-user.txt:

googlevideo.com
ggpht.com
ytimg.com
l.google.com
youtube.com
play.google.com
1e100.net
googleusercontent.com
gstatic.com
nhacmp3youtube.com
youtubei.googleapis.com 
youtu.be

Тоже Ростелеком, Ярославская обл, FTTB. И тоже Samsung Tizen. QUIC (UDP/443) на роутере блочили? И что по IPV6-трафику?
У меня на ПК работает и через tpws, и через nfws, причем с абсолютно разными настройками дурения, а на ТВ - проблема.
И получается, что через OpenWRT-роутер браузерный (Chrome) Youtube ходит замечательно, а на ТВ - нет. Первое, что приходит в голову: в Chrome встроена поддержка DoH, а в ТВ - маловероятно. Поднял DoH на роутере - все равно не помогло. Куда дальше двигаться - не знаю.

удп 443 вначале блочил, до того как этот конфиг попробовал, не помогало. tpws тоже помогал только браузерам. С таким конфигом все работает. ipv6 отключен

Низкий поклон - все на Tizen заработало наконец-то и у меня :-) Возможно, поиграюсь немного с настройками, чтобы найти те, которые действительно являются game changer.

[sam0x2b]

я везде пишу что нет универсальной таблетки не стоит выдавать ваш конфиг за нее

а я и не пытались... обновили коммент как смогли >.<

[almirus]

@bol-van возможно стоит обратить внимание на Waujito/youtubeUnblock#59 (comment) для поддержки Android TV

[brightkill]

Тестил рабочие способы при помощи blockcheck на OpenWRT 22. Ставил все в крайне ограниченном размере ROM, поэтому из бинарника только nfqws

./nfqws --user=nfqws --pidfile=/tmp/.nfqws.pid --hostlist=zapret_hosts.txt --dpi-desync=fake --dpi-desync-ttl=5 --qnum 200
iptables -t mangle -I POSTROUTING -o pppoe-wan -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass

Все работает, спасибо. Я так понимаю, все, что не указано в hostlist файле, те пакеты nfqws не трогает?

[bol-van]

если хостлист не пуст, то трогает только те домены, что в нем. и поддомены

[ShNURoK42]

если хостлист не пуст, то трогает только те домены, что в нем. и поддомены

То есть получается нет смысла указывать поддомены, достаточного второго уровня?

[bol-van]

если надо применять обход к *.xxx.com, достаточно указать xxx.com

[ShNURoK42]

Что домены выше попадают, я про уровень зря спросил, иногда надо 3 уровня и выше открыть. Спасибо.

[Nuts-Underline]

если хостлист не пуст, то трогает только те домены, что в нем. и поддомены

вот это это бы вообще в readme.txt неплохо бы для ясности, люди тут приводят списки с именами и 2 и 3 уровня, ищут "волшебные" адреса, в случае ipset это может и оптимизация, но в случае hotlist - можно с запасом.

[Quqas]

а в режиме quic по настоящему у кого-нибудь заработало?

выбор то всего из 2х вариков. fake или ipfrag2

оба с тытрубом не работают. а именно само видео по h3\udp тупо перестаёт работать - переключается в tcp http-1.1 т.е. даже не h2

и именно видеофрагменты. какаято мелочь по h3 таки грузится

без winws по h3 лагает

на выбор или в броузере отрубать quic либо не вырубать но тогда тоже самое делает winws. по факту только за счёт tcp и возвращается скорость.

[Quqas]

мистика

вчера весь день не работал h3 на тытрубе

а сегодня вновь заработал и с winws

\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=80,443,22222,22224,25735,25500 --dpi-desync=fake,disorder2 --dpi-desync-ttl=9 --dpi-desync-fooling=datanoack --wf-udp=443

толи полностью сам по себе толи после экспериментов в браузере с user-agent. говорят - сменить его тоже помогает- но это неточно

суть шас по h3 и буфер не пустеет. но такое впечатление что по tcp всёравно быстрей...

[bol-van]

ттл из стратегии удп стоит убрать
фокс сглотнет
хром может отвал
2 инстанса это нормально

[Quqas]

ттл из стратегии удп стоит убрать фокс сглотнет хром может отвал 2 инстанса это нормально

хром старый тоже работает

другое дело спустя полдня h3 осталось вживых а вот фрагменты по нему теперь однозначно в 5-10 раз дольше по времени грузятся чем по h1.1. но при этом всёравно хватает .... покачто

т.е. будто снова gbd а не winws

..............

очистка основного инстанса от udp и запуск второго только fake для udp ничего не меняют в плане спида

т.е. на лету чегото чебурнетят
за сутки несколько раз сменились результаты

---

проверил - совсем без winws по h3 точно также как и с ним
быстрее только без quic и с winws
но при этом покачто до нуля и в фулхд не падает - хотя буквально вчера падало

[ivanhub]

TPWS_OPT="--split-pos=2"
это забыл добавить, но и без этого параметра зашуршало!
)

[bol-van]

без этого получается пустые опции ? с пустыми он ничего не делает. голый прокси
скорее всего там в конфиге по умолчанию опции остались
или используется режим nfqws

[stnnzp]

Какой то новый прикол от Ростелеком, постоянная смена ip адреса. У меня настроен в модеме определенный проброс портов. И там же в модеме у меня отображается мой внешний ip адрес. Я его использую (ну использовал до недавнего времеми) для подключения к самому себе по этому адресу и определенному порту. Теперь не могу мой вшенний ip адрес меняется примерно раз в минуту, об этом же и говорит сервис 2ip. Соедение интернета при этом не рвется. Как это реализовано на физическом уровне, я не знаю.

[stnnzp]

2024-10-08 19:50:00.108976 b'188.19.37.116' ok
2024-10-08 20:13:41.460882 b'188.18.235.173' ok
2024-10-08 20:34:19.338649 b'188.17.240.83' ok
2024-10-08 20:35:41.601830 b'188.17.10.139' ok
2024-10-08 20:36:43.378824 b'188.17.212.139' ok

Вот мой логер моих внешних ip, очередной вариант замедления?

[sam0x2b]

либо это какой-то способ дисциплинировать обходящих, либо не знаю... надеюсь не первое))

[stnnzp]

не знаю, у меня ещё скрипт с компа шлет на почту мой внешний ip, дак он теперь постоянно спамит. Я там писал раз в минуту, дак это как посмотреть, если нет сетевой активности, то молчит, а если что происходит - меняет его каждую минуту.

[dimarews]

Москва, провайдер М9КОМ на котором сидит полтора человека видимо, пробовал различные встроенные стратегии в последней win версии запрета, пробовал кастомную стратегию создать, до этого пробовал кучу разных конфигов гудбайдипиай, в итоге никогда ютуб не работал. Кажется, счастья мне не видать.
Последний раз пытался запуститься на пресете
--wf-tcp=80,443 ^ --wf-udp=443,50000-65535 ^
--filter-udp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake,tamper --dpi-desync-repeats=11 --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new ^
--filter-udp=443 --dpi-desync=fake,tamper --dpi-desync-autottl=2 --dpi-desync-repeats=11 --new ^
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-autottl=2 --dpi-desync-repeats=11 --new ^
--filter-tcp=80 --dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=badseq --new ^
--filter-tcp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=badseq --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --new ^
--dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-autottl=2 --dpi-desync-fooling=badseq --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin"

безрезультатно.

[M-A-M-B-A]

Каким образом можно прогнать проверку нескольких доменов одной командой? Указывать их через запятую?

[vik021]

Кто-то может подсказать, почему не работает Youtube при асинхронном маршруте? То есть запрос к Youtube идет через zapret, а ответ минуя zapret.

[sam0x2b]

по идее если у вас fake, то меняется clienthello. скорее всего туда копать надо

[vik021]

по идее если у вас fake, то меняется clienthello. скорее всего туда копать надо

Нет, fake не используется:
NFQWS_OPT_DESYNC="--dpi-desync=split --dpi-desync-fooling=badseq"

[cimon357]

Подскажите пожалуйста, команда
curl --connect-to ::speedtest.selectel.ru -o /dev/null -k https://rr1---sn-axq7sn7z.googlevideo.com/100MB
показывает, что zapret работает (скачивание идет только при запущенном zapret, а без него - все по нулям).

Но в броузере (пользуюсь Brave и Chrome) у меня крутится значок постоянной загрузки (могу только картинки превью смотреть), происходит ошибка при обращении к подобным сайтам. Как так получается и как можно это исправить?

zapret установлен на неттоп с openWrt 23.05.4, хожу с ПК через прокси IP_неттопа:3128
Буду благодарна за помощь в настройке.

[sam0x2b]

проверьте QUIС

[M-A-M-B-A]

проверьте QUIС

Как протестировать quick если версия curl на роутере не поддерживает https1.3?

[bol-van]

на curl.se можно найти статические бинарики
они толстые по 6-8 мб
если места нет положить в /tmp
chmod +x не забыть
использовать оверрайд
CURL=/tmp/curl /opt/zapret/blockcheck.sh

[spvkgn]

Как протестировать quick если версия curl на роутере не поддерживает https1.3?

https://github.com/stunnel/static-curl/releases

[cimon357]

Спасибо всем за помощь. Заработало наконец-то.
Надо было в NFQWS_OPT_DESYNC_HTTPS добавить опцию -dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin
у меня этого не было.

Программа замечательна, огромное спасибо автору.
Пойду проверять (смотреть видео).

[RomanKozyrev]

Привет, походу опять мутки мутят.

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
С таким конфигом ТТК через раз отдает поток на телек , тел и тв... но с затыками.
P/S ТТК сибирь.Одна правка вылечила больного. Вставил в свой конфиг и все ожили! --dpi-desync-repeats=20

[geor-over]

РТ юг к ночи проблема началась с ютубом в частности с мобилы вообще не воспроизводилось, с ПК через раз с задержками по 1-2 минуты. Поставил ваш конфиг и дописал к нему --dpi-desync-repeats=20 из сообщения ниже, пока всё работает. P.s: инста без проблем открывалась и открывается)

а как вы инсту оживили?

Можете пожйлуста ваш конфиг попросить полностью,2 день мучаюсь ничего не работает,заранее спасибо

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-repeats=12"
#NFQWS_OPT_DESYNC_HTTP=
#NFQWS_OPT_DESYNC_HTTPS=
#NFQWS_OPT_DESYNC_HTTP6=
#NFQWS_OPT_DESYNC_HTTPS6=
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=9 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"
#NFQWS_OPT_DESYNC_QUIC6=
NFQWS_OPT_DESYNC_DISCORD="--dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-any-protocol"
DISCORD_PORTS=50000-65535
DISCORD_SUBNETS="66.22.196.0/22 66.22.200.0/21 66.22.208.0/20 66.22.224.0/22 66.22.230.0/23 66.22.232.0/21 66.22.240.0/21 66.22.248.0/24"
#NFQWS_OPT_DESYNC_QUIC_SUFFIX="--dpi-desync=fake,tamper --dpi-desync-any-protocol"

CHOOSE TPWS DAEMON OPTIONS. run "tpws/tpws --help" for option list

TPWS_OPT="--split-pos=1 --oob"

---

p.s: тут Вы увидите новые строки связанные с дискорд, делал их в тестовом режиме по способу отсюда:
https://ntc.party/t/zapret-whats-new/61/156

---

Если они не нужны или вы используете способ с quick port, то удалите эти строки или закоментируйте

[geor-over]

РТ юг к ночи проблема началась с ютубом в частности с мобилы вообще не воспроизводилось, с ПК через раз с задержками по 1-2 минуты. Поставил ваш конфиг и дописал к нему --dpi-desync-repeats=20 из сообщения ниже, пока всё работает. P.s: инста без проблем открывалась и открывается)

а как вы инсту оживили?

домены связанные с инстой вписал в файлик "zapret-hosts-user.txt"
но работает в основном с мобильного приложения с ПК открывается иногда( хз с чем свявязано)

[XXsaltymors]

можете написать, пожалуйста домены инсты, которые писали?

[geor-over]

можете написать, пожалуйста домены инсты, которые писали?

imstagram.com imtagram.com instaadder.com instachecker.com instafallow.com instafollower.com instagainer.com instagda.com instagify.com instagmania.com instagor.com instagram-brand.com instagram-engineering.com instagram-help.com instagram-press.com instagram-press.net instagram.com instagramhashtags.net instagramhilecim.com instagramhilesi.org instagramium.com instagramizlenme.com instagramkusu.com instagramlogin.com instagrampartners.com instagramphoto.com instagramq.com instagramsepeti.com instagramtips.com instagramtr.com instagy.com instamgram.com instanttelegram.com instaplayer.net instastyle.tv instgram.com oninstagram.com online-instagram.com onlineinstagram.com web-instagram.net wwwinstagram.com

[XXsaltymors]

Благодарю.

[yolkispalkis]

Видимо сделали плавающее колво выборок clienthello, Давайте ссать в анализатор --dpi-desync-repeats=20!!!

[slavroman]

@slavroman А можешь всю папку скинуть свою? У меня тоже РТК и я недалеко от ДВ. Ютуб так и не смог починить по вашим конфигам, у меня там все не так и я не понимаю как поменять. Хочу сделать чтобы одновременно и дискорд и ютуб работали. Пробовал менять repeats на 20, но не помогло. А почему у вас структура кода другая у всех?

start "zapret: discord_youtube" /min "%BIN%winws.exe" ^
--wf-tcp=80,443 --wf-udp=443,50000-65535 ^
--filter-udp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^
--filter-tcp=80 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="%BIN%tls_clienthello_www_google_com.bin"

Вам с роутера папка целиком нужна? Если под Windows думаю придется модифицировать строку... Сильно не вникал, потому как проще на роутере поднять или домашнем сервере, чем на каждом устройстве колдовать...
P.S.> За Discord не скажу, он исторически или в силу возраста мимо меня прошел, мне нужен был только Youtube...
P.P.S.> Оставьте контакт, скину...

[slavroman]

@slavroman А можешь всю папку скинуть свою? У меня тоже РТК и я недалеко от ДВ. Ютуб так и не смог починить по вашим конфигам, у меня там все не так и я не понимаю как поменять. Хочу сделать чтобы одновременно и дискорд и ютуб работали. Пробовал менять repeats на 20, но не помогло. А почему у вас структура кода другая у всех?

start "zapret: discord_youtube" /min "%BIN%winws.exe" ^
--wf-tcp=80,443 --wf-udp=443,50000-65535 ^
--filter-udp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^
--filter-tcp=80 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="%BIN%tls_clienthello_www_google_com.bin"

у меня вот это работает на ростелекоме, но только под виндой. а на роутере то же самое не работает. на роутере у меня чет давно ничего не работает

Ну если у вас OpenWrt, то там ничего сложного нет... Разворачиваете zapret, меняете в конфиге параметры и добавляете файлы в hostlist...

[inkcmd]

@slavroman А можешь всю папку скинуть свою? У меня тоже РТК и я недалеко от ДВ. Ютуб так и не смог починить по вашим конфигам, у меня там все не так и я не понимаю как поменять. Хочу сделать чтобы одновременно и дискорд и ютуб работали. Пробовал менять repeats на 20, но не помогло. А почему у вас структура кода другая у всех?

start "zapret: discord_youtube" /min "%BIN%winws.exe" ^
--wf-tcp=80,443 --wf-udp=443,50000-65535 ^
--filter-udp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^
--filter-tcp=80 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="%BIN%tls_clienthello_www_google_com.bin"

у меня вот это работает на ростелекоме, но только под виндой. а на роутере то же самое не работает. на роутере у меня чет давно ничего не работает

Ну если у вас OpenWrt, то там ничего сложного нет... Разворачиваете zapret, меняете в конфиге параметры и добавляете файлы в hostlist...

MODE=custom
MODE_HTTP=1
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=none

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
#NFQWS_OPT_DESYNC=NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-ttl=0 --dpi-desync-repeats=7 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
#NFQWS_OPT_DESYNC_SUFFIX=
NFQWS_OPT_DESYNC_HTTP="--hostlist=/opt/zapret/youtube.txt --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig"
#NFQWS_OPT_DESYNC_HTTP_SUFFIX=
NFQWS_OPT_DESYNC_HTTPS="--hostlist=/opt/zapret/youtube.txt --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
#NFQWS_OPT_DESYNC_HTTPS_SUFFIX=
#NFQWS_OPT_DESYNC_HTTP6=
#NFQWS_OPT_DESYNC_HTTP6_SUFFIX=
#NFQWS_OPT_DESYNC_HTTPS6=
#NFQWS_OPT_DESYNC_HTTPS6_SUFFIX=
NFQWS_OPT_DESYNC_QUIC="--hostlist=/opt/zapret/youtube.txt --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/quic_initial_www_google_com.bin"
#NFQWS_OPT_DESYNC_QUIC_SUFFIX=
#NFQWS_OPT_DESYNC_QUIC6=
#NFQWS_OPT_DESYNC_QUIC6_SUFFIX=

у меня не работает дискорд и ютуб. в custom вбит конфиг под дискорд (остальное все закомментировал,крутится три демона)
Starting daemon 1: /opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync-fwmark=0x40000000
Starting daemon 10: /opt/zapret/nfq/nfqws --qnum=210 --user=daemon --dpi-desync-fwmark=0x40000000
Starting daemon 100: /opt/zapret/nfq/nfqws --qnum=210 --user=daemon --dpi-desync-fwmark=0x40000000 --filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin

с запущенным дополнительно под виндой запрет или гудбайдпи позволяет обойти блок дискорда и ютуба (они без обхода Udp 50000+).
если отключить запрет на винде, то висит подключение, ну и ютуб не грузится

ютуб понятно не грузится. включаешь запрет на винде снова - все работает. обход udp 50000+ для дискорда из CMD на винде тоже работает. это единственное, что работает. дописывать кастом для обхода остального, закоментировав все в config?
из ошибок разве что одну команду при установке не находит

с badseq та же фигня. не пашет. ща попробую что-то из блокчека прописать. мне странно, почему не работает на роутере и пашет под виндой одно и то же.

в блокчеке находятся довольно простые стратегии, по которым доступен r-----.googlevideo.com, ток ничего не работает. пару часов в день трачу на это, а толку нет. одно расстройство.
скачиваю еще раз архив и закидываю и устанавливаю. может что криво распаковалось
после переустановки пропал command not found, но все равно результат тот же. не пашет.

[RomanKozyrev]

Спасибо сударь за действенный метод. ТТК сибирь.Одна правка вылечила больного.

[VatruhinReal]

У меня badseq работает, но иногда задержка перед воспроизведением секунд 10-20 бывает. Приходится ждать, лучшего решения на данный момент нет. (Если что - Урал, РТК)

[M-A-M-B-A]

Возможна ли одновременная проварка нескольких доменов?

#200 (comment)

[fantomkas]

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=20 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=20 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin"

Как указать эти аргументы в командной строке?
и в случае с NFQWS_OPT_DESYNC и NFQWS_OPT_DESYNC_QUIC их указывать как новая стратегия через --new?

[slavroman]

В папке opt/zapret/ есть файл config в нем и меняете, . Читайте внимательно quic install в репозитории там все написано.

[fantomkas]

В папке opt/zapret/ есть файл config в нем и меняете, . Читайте внимательно quic install в репозитории там все написано.

у меня pfsence мне надо в строку

[slavroman]

Тогда не подскажу... Загуглите, у меня все это дело на OpenWrt крутится...

[MadSochi]

Уважаемые программисты, которые тут сидят и шарят больше остальных. Я только что увидел такую вещь, как BROWSER LOL. (https://browser.lol/)
Браузер внутри браузера. Через который я без всяких GoodbyeDPI и zapret смог спокойно зайти на YouTube и ДАЖЕ ЗАПУСТИТЬ видео, хотя на сегодняшний день GoodbyeDPI перестал запускать видео на YouTube, хотя и загружает страницу мгновенно.
Я не в курсе - знаете ли вы про такой способ или это для вас новость. Так вот, если новость - то быть может принцип работы данного сайта поможет вам как-то улучшить способы обхода РосКомПозора и вы добавите какие-то скрипты для новых вариантов.
Не кидайтесь помидорами, если я сейчас рассказал для вас какую-то банальщину. Я не разбираюсь в программном коде как вы.
Просто пытаюсь помочь, если это хоть на капельку приблизит вас к решению.

[unter223]

По сути это что-то типо прокси получается. Т.е. информация к вам приходит через посредника в лице удаленного сервера, который находится где-то за границей. Запрос к сайту идет там, где нет никаких блокировок, так что к теме обхода блокировок это никак не относится

[stnnzp]

Тут любое предложение ценное. Я вот сегодня с таким столкнулся, все стратегии перепробовал, все грузится мгновенно, но в firefox видео не стартует. Попробовал другой браузер - а там все нормально, хз в чем дело ) В firefox я все включал и выключал, даже переставил его.

[Kirihi147]

Тоже на firefox не работает, и именно сегодня

[RomanKozyrev]

--dpi-desync-repeats=20 лиса робит норм(роутер)

[Wergiley83]

Тут любое предложение ценное. Я вот сегодня с таким столкнулся, все стратегии перепробовал, все грузится мгновенно, но в firefox видео не стартует. Попробовал другой браузер - а там все нормально, хз в чем дело ) В firefox я все включал и выключал, даже переставил его.

DoH в браузере отключен?

[ebanutiy666]

Добрый вечер. На Северо-Западе Ростелеком смог победит кто-то?

[ebanutiy666]

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

А у Вас какой провайдер?

[RomanKozyrev]

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

А у Вас какой провайдер?
TTK irkutsk

[ebanutiy666]

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

А у Вас какой провайдер?
TTK irkutsk

не сработало к сожалению, ну я её и днем пробовал :(

[RomanKozyrev]

tls_clienthello_www_google_com.bin

есть в папке?

[ebanutiy666]

tls_clienthello_www_google_com.bin

есть в папке?

Всё заработало, даже на Тизен ОС на телеке, нужно было всего лишь сам запрет свежий поставить, спасибо большое

[inbalance]

Всем привет, кто-то пробовал или может знает — на практике это все работает на macOS?

[lazaretq]

И там и там Android 12 версии,стандартные приложения,нефига не пашут,загружается только автарка моего аккаунта и пипец(

[RomanKozyrev]

А у телека ось какая?мой host файл .У меня на приставке кастом и yt vanced/ а smart tube не работает, пробуйте разные варианты для андройда

И там и там Android 12 версии,стандартные приложения,нефига не пашут,загружается только автарка моего аккаунта и пипец(
А у телека ось какая?
googlevideo.com
youtube.com
ggpht.com
ytimg.com
l.google.com
youtube.com
play.google.com
youtubei.googleapis.com
youtu.be
nhacmp3youtube.com
googleusercontent.com
rutracker.org
googlevideo.com
ggpht.com
youtube.com
play.google.com
youtubei.googleapis.com.
youtu.be
nhacmp3youtube.com
googleusercontent.com
gstatic.com
nhacmp3youtube.com
youtu.begooglevideo.com
youtube.com
ggpht.com
ytimg.com
l.google.com
youtube.com
play.google.com
youtubei.googleapis.com
youtu.be
nhacmp3youtube.com
googleusercontent.com
rutracker.org
googlevideo.com
ggpht.com
youtube.com
play.google.com
youtubei.googleapis.com.
youtu.be
nhacmp3youtube.com
googleusercontent.com
gstatic.com
nhacmp3youtube.com
youtu.be
мой host файл

[ebanutiy666]

NFQWS_OPT_DESYNC_QUIC="

А эта строка что у вас в quic? спасибо вам еще раз

Вы обновляли запрет? Дело в том что, если у вас был установлен запрет с самого начала, то с того времени были добавлены бинарники, которые влияют на обход(tls_clienthello_www_google_com.bin) я обновлял. проверьте наличие бинарника в папке.

Роман, спасибо, я не обновлял его, как поставил ещё летом, так он и остался, на своём компе тоже, обновил запрет и всё заработало, спасибо за наводку.

[EugeneYakovenko]

Всем привет, кто-то пробовал или может знает — на практике это все работает на macOS?

работает...
связка privoxy + ./tpws --bind-addr=127.0.0.1 --port 1010 --socks --debug=1 --split-tls=sni --oob 2

Ростелеком

[RomanKozyrev]

NFQWS_OPT_DESYNC_QUIC="

А эта строка что у вас в quic? спасибо вам еще раз

Вы обновляли запрет? Дело в том что, если у вас был установлен запрет с самого начала, то с того времени были добавлены бинарники, которые влияют на обход(tls_clienthello_www_google_com.bin) я обновлял. проверьте наличие бинарника в папке.

Роман, спасибо, я не обновлял его, как поставил ещё летом, так он и остался, на своём компе тоже, обновил запрет и всё заработало, спасибо за наводку.

Я тоже так подкалывался, когда друзьям только конфиг обновлял. Удачи вам! В шапку бы такой кейс.

[Doziac]

Билайн (Краснодар) есть оптимальное решение?

NFQWS_OPT_DESYNC="--dpi-desync=split2 --dpi-desync-split-seqovl=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=20 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/dtls_clienthello_w3_org.bin"
#NFQWS_OPT_DESYNC_HTTP=""
#NFQWS_OPT_DESYNC_HTTPS=""
#NFQWS_OPT_DESYNC_HTTP6=""
#NFQWS_OPT_DESYNC_HTTPS6=""
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=split --dpi-desync-repeats=20 --dpi-desync-ttl=5 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum"

На компе и телефоне ютуб работает с огромной задержкой. Хотя на компе получше работает
Перепробовал способы предложенные выше. Результат либо такой же, либо хуже.

[jekahawk]

Билайн (Краснодар) есть оптимальное решение?

NFQWS_OPT_DESYNC="--dpi-desync=split2 --dpi-desync-split-seqovl=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=20 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/dtls_clienthello_w3_org.bin"
#NFQWS_OPT_DESYNC_HTTP=""
#NFQWS_OPT_DESYNC_HTTPS=""
#NFQWS_OPT_DESYNC_HTTP6=""
#NFQWS_OPT_DESYNC_HTTPS6=""
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=split --dpi-desync-repeats=20 --dpi-desync-ttl=5 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum"

На компе и телефоне ютуб работает с огромной задержкой. Хотя на компе получше работает Перепробовал способы предложенные выше. Результат либо такой же, либо хуже.

Билайн 37 регион (+Loveit МСК), работает без тормозов и практически без лагов на старте, на компах и iOS, ipadOS, смарт-тв не использую:

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=20 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=20 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"

[M-A-M-B-A]

Работает!

[pumi]

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=20 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=20 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"

Заработало на мгтс тоже.
QUIC не использую в браузерах, но файла quic_initial_google_com.bin нет в репозитарии, только quic_initial_www_google_com.bin . Это он?

[M-A-M-B-A]

Все дело в параметре "--dpi-desync-repeats=20".
Лишнее отбросил.

WS_OPT_DESYNC="--hostlist=/opt/zapret/ipset/youtube.txt --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig,badseq --dpi-desync-repeats=20 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

[fasimas88]

тоже ночью обрубило везде ютуб, провайдер Зеленая Точка 26-й регион
перепробовал из комментариев кучу способов, подобрал в итоге, на пк хром/сафари, ATV, IOS, LG WebOS в итоге летает все, быстро грузит видео.

MODE=nfqws
MODE_HTTP=0
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=hostlist

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new --dpi-desync=fake --dpi-desync-repeats=15"

zapret-hosts-user.txt

googleapis.com
googlevideo.com
i.ytimg.com
i9.ytimg.com
wide-youtube.l.google.com
youtu.be
youtube.com
youtube.googleapis.com
yt3.ggpht.com
yt3.googleusercontent.com
gvt1.com
video.google.com
youtube-nocookie.com
youtube-ui.l.google.com
youtubeeducation.com
youtubekids.com
ytimg.com
yt.be
redirector.googlevideo.com
ggpht.com
l.google.com
1e100.net
googleusercontent.com
gstatic.com
nhacmp3youtube.com
youtubei.googleapis.com 
yt4.ggpht.com
ytimg.l.google.com

[Doziac]

Билайн (Краснодар) заработал данный метод. До этого на телеке LG даже не работал ютуб. Сейчас всё отлично. Спасибо!

[lynxbites]

Не работает, прогружает только первые 20 секунд видео (РТК Благовещенск)

[Skymit]

Спасибо, работает!
Только http поддержку тоже включил.
Дом ру СПб.

[lynxbites]

Заработало наконец

Config:

MODE=nfqws
MODE_HTTP=0
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=hostlist

NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=1 --dpi-desync-ttl6=0 --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake,split2 --dpi-desync-repeats=15 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new --dpi-desync=fake --dpi-desync-repeats=15"

Спасибо пользователю fasimas88 за хостлист zapret-hosts-user.txt:

googleapis.com
googlevideo.com
i.ytimg.com
i9.ytimg.com
wide-youtube.l.google.com
youtu.be
youtube.com
youtube.googleapis.com
yt3.ggpht.com
yt3.googleusercontent.com
gvt1.com
video.google.com
youtube-nocookie.com
youtube-ui.l.google.com
youtubeeducation.com
youtubekids.com
ytimg.com
yt.be
redirector.googlevide
o.com
ggpht.com
l.google.com
1e100.net
googleusercontent.com
gstatic.com
nhacmp3youtube.com
youtubei.googleapis.com 
yt4.ggpht.com
ytimg.l.google.com