Обход замедления youtube в России

[bol-van]

РКН замедляет некоторые домены youtube как на https, так и на quic.

Проверка на youtube android app показывает замедление или блокировку следующих доменов (включая поддомены, если таковые есть) :

googlevideo.com
youtubei.googleapis.com
i.ytimg.com
yt3.ggpht.com

blockcheck прогонять бесполезно. он не предназначен для детектирования замедления сайтов, а обращение напрямую к домену 2 уровня googlevideo.com не предусмотрено сайтом

Для обхода https с tls 1.3 работает split2 (split-pos 1 или 2, выше - не работает. 2 = по умолчанию) или любая более сложная магия : split, disorder2, disorder, fake, tlsrec, oob.
Для обхода quic работает fake на провайдерах, где quic полностью не заблокирован.
С tls 1.2 ситуация сложнее, поскольку ТСПУ сечет домен из ответа сервера, который в tls 1.3 зашифрован, а в 1.2 - нет.
Для обмана требуется или применять фейки (только nfqws, предпочительно), или сплитать ответ сервера (--wssize 1:6 для nfqws, --mss 88 для tpws). Второй вариант существенно хуже, поскольку сам по себе режет скорость и может что-то поломать, в добавок не фильтруется через hostlist.
Типичная стратегия обмана TLS 1.2 - --dpi-desync=fake,split2 или fake,disorder2. Естественно, нужны ограничители типа ttl, fooling. Если вы впишите без них, вы только сломаете все подключения.
tls 1.2 - это характерная проблема не слишком новых теликов. На компе работает, на телике нет. Проверяйте стратегию обхода на TLS 1.2 !
На некоторых провайдерах могут блокироваться дополнительные домены youtube, из-за чего могут не подгружаться превьюшки или что-то еще.

Недавно РКН стал блокировать некоторые GGC сервера особенным образом. Фейки не работают с любыми SNI, кроме гугловских.
Вместе с fake можно применять оцпию : --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin
Это поможет разблокировать и заблокированные сайты, и youtube.

Типичная настройка /opt/zapret/config для обхода только замедления youtube 👍

MODE=nfqws
NFQWS_OPT_DESYNC="--dpi-desync=split2"
NFQWS_OPT_DESYNC_HTTP=""
NFQWS_OPT_DESYNC_HTTPS=""
NFQWS_OPT_DESYNC_HTTP6=""
NFQWS_OPT_DESYNC_HTTPS6=""
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6"
MODE_HTTP=0
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=hostlist

в режиме tpws требуется отключить quic в броузере или заблокировать порт udp:443 на выход в инет на шлюзе средствами iptables/nftables/openwrt (аналог опции -q GoodbyeDPI)

MODE=tpws
TPWS_OPT="--split-pos=2"
MODE_HTTP=0
MODE_HTTPS=1
MODE_QUIC=0
MODE_FILTER=hostlist

Это не примеры готовых конфигов. Не надо их копи-пастить в /opt/zapret/config. Это список переменных, которые там нужно поправить. Либо указание какие пункты выбирать в инсталяторе.

В файл /opt/zapret/ipset/zapret-hosts-user.txt следует внести означенные выше домены, после чего перезапустить zapret.
Или сделать это до прогона инсталятора

Если вам нужно сочетать обход блокировок и замедления youtube, то убедитесь, что домен googlevideo.com проходит по вашему фильтру ipset или hostlist. Практически все методы обхода блокировки будут достаточны и для обхода youtube.
Если у вас используются фейки (fake, split, disorder) и ограничитель TTL, то вероятно будет необходимо дописать еще один ограничитель : --dpi-desync-fooling=md5sig. Поскольку сервера google cache часто находятся очень близко к провайдеру, ваш TTL может их сломать. Если TTL не используется, ничего дописывать не надо.

Для кинетиков : zapret частенько используют на кинетиках, хотя автор официально не поддерживают их стоковую прошивку. Там есть целый ряд "нюансов", скажем так. И один из этих нюансов изложен тут : https://ntc.party/t/zapret-whats-new/61/71

Для windows :

echo googlevideo.com>youtube.txt
winws --wf-tcp=443 --dpi-desync=split2 --hostlist=youtube.txt
winws --wf-udp=443 --dpi-desync=fake --hostlist=youtube.txt

В броузерах доступна кнопка F12. Вкладка сеть. Добавить поле "протокол". h3/http3 - означает QUIC. Все остальное означает tls over tcp (https). Если броузер тупит и слабо качает, смотрим какой протокол он использует.
Если вдруг это quic, и обход quic не срабатывает, то попробуйте отключить quic в броузере
Если не срабатывает обход https, попробуйте поиграть со стратегией. Попробуйте --dpi-desync=disorder2 для nfqws и --split-pos=2 --disorder для tpws.

Поступает информация, что обход quic может не срабатывать на некоторых устройствах или приложениях. ТСПУ может по-разному реагировать на пакеты quic от разных библиотек.
Если не хотите закрывать quic для всех устройств, можно зафиксировать ip и закрыть порт udp:443 только для них.

Проверка обхода через curl :

curl -4 -o /dev/null -k --connect-to ::speedtest.selectel.ru https://test.googlevideo.com/10MB -w %{speed_download}
curl --tls-max 1.2 -4 -o /dev/null -k --connect-to ::speedtest.selectel.ru https://test.googlevideo.com/10MB -w %{speed_download}

На windows замените /dev/null на nul
Первый вариант для https с той максимальной версией TLS, которую поддерживает ваш curl (на openwrt curl с mbed tls не поддерживает tls 1.3 !)
Второй вариант понижает версию до tls 1.2, если криптолиба от curl поддерживает этот параметр (openssl поддерживает).

[MarkuSasen]

Всё работает, спасибо!

[Deddomosu]

И как это делать? Я чет нифига не понимаю

[z0mb1e-kgd]

Спасибо за труды, @bol-van
Поставил zapret на роутер Xiaomi 4A Gigabit с MT7621 (MIPS 32bit), 16 ROM / 128 RAM, OpenWRT 23.05, сконфигурировал по первому способу (nfqws и split2), всё работает. Однако есть вопрос: у меня в роутер идет основной WAN по PPPoE, плюс в локалке есть одноплатник с Arch, в который через USB воткнут смартфон в режиме модема. На роутере настроил Policy Based Routing, при применении которого пакеты от некоторых устройств во внешнюю сеть пересылаются на локальный адрес одноплатника как на шлюз, а тот роутит его в интерфейс смартфона (тупо через nftables, ip saddr LAN_SUBNET/24 ip daddr != LAN_SUBNET/24 oifname MOBILE masquerade), т.е. получается дополнительный WAN через мобильного оператора, но обход блокировки ютуба в таком случае для трафика от этих устройств не происходит. Можете подсказать, как быть в таком случае? Спасибо.

[samvova]

Заработало на телевизоре Самсунг?

сомневаюсь я. Да обход вроде уже понятен для TLS 1.3. Надо просто TCP пакет с Hello разбить на два. Автор же вверху написал --split-pos=2
GoodbyeDPI также с одним параметром работала: -e 2
А люди еще экспериментируют.
ggpht.com у меня вообще с первого дня в списке

А с самсунгом там посложнее.

[Tombaster]

Тоже самое хотел узнать. Пробовал по инструкции - не получается, т.к. не зватает места на роутере. Установлен OpenWrt 23.05.4 r24012-d8dd03c46f / LuCI openwrt-23.05 branch git-24.086.45142-09d5a38

У меня было подобное. Сделал git clone на большой комп, удалил лишние бинарники из binaries, потом скопировал на роутер через scr -r.

Подскажите какие файлы надо оставить ) я новичок, только знакомлюсь и изучаю. Не пинайте пожалуйста )

[UrbanTrip96]

Заработало на телевизоре Самсунг?

На удивление, да. Если что провайдер Ростелеком. На другом может и не заработает

[RomanKozyrev]

Спасибо за труды, @bol-van Поставил zapret на роутер Xiaomi 4A Gigabit с MT7621 (MIPS 32bit), 16 ROM / 128 RAM, OpenWRT 23.05, сконфигурировал по первому способу (nfqws и split2), всё работает. Однако есть вопрос: у меня в роутер идет основной WAN по PPPoE, плюс в локалке есть одноплатник с Arch, в который через USB воткнут смартфон в режиме модема. На роутере настроил Policy Based Routing, при применении которого пакеты от некоторых устройств во внешнюю сеть пересылаются на локальный адрес одноплатника как на шлюз, а тот роутит его в интерфейс смартфона (тупо через nftables, ip saddr LAN_SUBNET/24 ip daddr != LAN_SUBNET/24 oifname MOBILE masquerade), т.е. получается дополнительный WAN через мобильного оператора, но обход блокировки ютуба в таком случае для трафика от этих устройств не происходит. Можете подсказать, как быть в таком случае? Спасибо.

Подскажите какую версию брать? на 4pda две модели.Охото меньше манипуляций.

[z0mb1e-kgd]

Подскажите какую версию брать? на 4pda две модели.Охото меньше манипуляций.

@RomanKozyrev, есть на руках обе версии. Особой разницы нет. Ломается одним и тем же скриптом. Правда, v1 почему-то перестал работать на OpenWRT через пару месяцев (тупо отвалились с концами интернеты, перепрошивка не помогла), пришлось возвращать его на сток и вешать как проводной WiFi-репитер, а с v2 проделать обратную операцию и поставить роутером.

[trin4ik]

Спасибо тебе, милый человек!
Сдул пыль со своего NanoPi R5C, настроил его как bridge и поставил "запрет". Всё прекрасно пашет. На выходе получаем коробку, которую можно воткнуть между любым роутером и свичем и получим износилованный tcpip.

[fox1047]

О, как раз такой то вариант мне и нужен. Попробую завтра раскатать на виртуалку между двумя вланами.

[MIC1196]

объясните тупому куда это накатывать

[trin4ik]

объясните тупому куда это накатывать

какое у вас устройство?

[kfomichev]

@bol-van , спасибо за ваш труд, поставил zapret (пока на отдельный роутер, находящийся за домашним основным), ютуб работает отлично.
@trin4ik это просто замечательно, что вы сюда это запостили, я как раз искал способ сделать девайс, чтобы оставить основной роутер с его настройками, и что-то воткнуть между основным роутером и провайдером, но чтобы это "что-то" не влияло ни на какой трафик, кроме разблокируемого.
Хчоу попробовать повторить, но что-то никак не могу мозг в порядок привести. У меня провайдер раздает публичный WAN IP роутеру через DHCP. Причем MAC адрес привязан к аккаунту. Если я ставлю промежуточную коробочку, у нее есть свой МАС? И как в таком случае обрабатывется запрос DHCP от роутера провайдеру и ответ? И как ARP работает тогда? Или MAC отсутвует, как у простого свича? Тогда как коробочкой управлять? Благодарю заранее за помощь.

[yudelex]

Спасибо тебе, милый человек! Сдул пыль со своего NanoPi R5C, настроил его как bridge и поставил "запрет". Всё прекрасно пашет. На выходе получаем коробку, которую можно воткнуть между любым роутером и свичем и получим износилованный tcpip.

Вы подключались к нему для настройки по ssh или по ip до изменения конфигов или после тоже? Потому что после того как "удалил все интерфейсы и девайсы из нетворка, создал один интерфейс с типом bridge, поместил в него eth0 eth1 (wan и lan), удалил коробочные настройки фаера про зоны/nat, и всё завелось" приконнектиться не получится.

[yongcrypt]

Большое спасибо! По-моему просто идеально:

Единственное, раз уж пошли танцы с бубном из-за скорости, то хотелось бы заодно решить проблему с загрузкой мини-изображений профилей. Почему-то какие-то загружает, а какие-то нет. Точнее в разделе "Подписки" со списком каналов вроде отображаются, в самих каналах тоже, но в целом на превьюшках почему-то нет...

В файл zapret-hosts-user.txt добавил ytimg.com (подглядел в GoodbyeDPI) - не помогает.

Глянул в YouTube где находятся аватарки. Выходит так: в самих каналах, если открыть, они на https://yt3.googleusercontent.com и открываются без проблем отдельно по прямой ссылке в т.ч, а мини-аватарки на превьюшках по идее на https://yt3.ggpht.com. Вот с этим проблемы. Попробовал тоже добавить в список, всё равно нет. Причём некоторые даже прогруженные (т.е отображаются на YouTube) мини-аватарки не открываются по прямой ссылке, выдаёт ERR_CONNECTION_RESET (по VPN всё норм).

Есть идеи?

[MashinaMashina]

На следующий день перестали работать конфиги с tpws на ютубе.
Подобрал такое:

MODE=nfqws
MODE_HTTP=1
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=hostlist
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=1 --dpi-desync-split-pos=1"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6"

В файле /opt/zapret/ipset/zapret-hosts-user.txt:

nonexistent.domain
googlevideo.com
rutracker.org
medium.com
ggpht.com

[pwd491]

И добавьте сюда ещё домен с миниатюрами yt3.ggpht.com :)

[pwd491]

И добавьте сюда ещё домен с миниатюрами yt3.ggpht.com :)

На самом деле yt3.ggpht.com это алиас (псевдоним) и является каноническим именем (CNAME) для домена wide-youtube.l.google.com

Интересно, спасибо! У меня заработало только после добавления yt3.ggpht.com напрямую

[alexekoz]

Приложение на телеке LG Заработало только после того как я добавил в статические маршруты
216.58.192.0 255.255.192.0/18
2ip Говорит что это домен hem09s02-in-f14.1e100.net
Ну справедливости ради, я еще добавил такие домены через ipset + dns
googleapis.com
googlevideo.com
i.ytimg.com
i9.ytimg.com
wide-youtube.l.google.com
youtu.be
youtube.com
youtube.googleapis.com
yt3.ggpht.com
yt3.googleusercontent.com

[ShevaS]

Приложение на телеке LG Заработало только после того как я добавил в статические маршруты 216.58.192.0 255.255.192.0/18 2ip Говорит что это домен hem09s02-in-f14.1e100.net Ну справедливости ради, я еще добавил такие домены через ipset + dns googleapis.com googlevideo.com i.ytimg.com i9.ytimg.com wide-youtube.l.google.com youtu.be youtube.com youtube.googleapis.com yt3.ggpht.com yt3.googleusercontent.com

Можете поделиться командами/скриптом? В приложении на телефоне и телевизоре не грузит.

[almirus]

debian 11 завершается мгновенно с 0

root@proxy:~# curl  -v4s -o/dev/null -k --connect-to ::google.com -k -H Host:\ metsalehti-staging-s4uzwwd6nq-lz.a.run.app https://test.googlevideo.com/app/uploads/2021/11/2022-mediakortti.pdf -w %{speed_download}
* Connecting to hostname: google.com
*   Trying 142.250.74.110:443...
* Connected to google.com (142.250.74.110) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [512 bytes data]
* OpenSSL SSL_connect: Connection reset by peer in connection to test.googlevideo.com:443 
* Closing connection 0
0

[almirus]

https://test.blabla.com

19785127

[almirus]

может и я косякнул, сейчас так:

# override firewall type : iptables,nftables,ipfw
FWTYPE=iptables

MODE=nfqws
# apply fooling to http
MODE_HTTP=0
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=0
# apply fooling to https
MODE_HTTPS=1
# apply fooling to quic
MODE_QUIC=1
# none,ipset,hostlist,autohostlist
MODE_FILTER=hostlist

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=split2"
#NFQWS_OPT_DESYNC_HTTP=
#NFQWS_OPT_DESYNC_HTTPS=
#NFQWS_OPT_DESYNC_HTTP6=
#NFQWS_OPT_DESYNC_HTTPS6=
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6"
#NFQWS_OPT_DESYNC_QUIC6=

# CHOOSE TPWS DAEMON OPTIONS. run "tpws/tpws --help" for option list
TPWS_OPT="--hostspell=HOST --split-http-req=method --split-pos=3 --oob"

zapret-hosts-user.txt

nonexistent.domain
googlevideo.com

Цель завести на AndroidTV, поэтому поверх всего этого поставил squid

PS

ipv4 rutracker.org curl_test_http : tpws --split-http-req=method --oob
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-ttl=10
ipv4 rutracker.org curl_test_https_tls12 : tpws not working
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=2 --dpi-desync-split-pos=1

ipv4 navalny.com curl_test_http : tpws --split-http-req=method --oob
ipv4 navalny.com curl_test_http : nfqws --dpi-desync=split --dpi-desync-fooling=md5sig
ipv4 navalny.com curl_test_https_tls12 : tpws not working
ipv4 navalny.com curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=5 --dpi-desync-split-pos=1

[almirus]

@bol-van в итоге поборол замедление с настройками которые в первом посте! несмотря на то что проверочный curl мгновенно возвращает 0
вот такой конфиг
NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig"
возвращает быстро большую цифру, но видео в плеере вообще не грузится

[trin4ik]

@bol-van в итоге поборол замедление с настройками которые в первом посте! несмотря на то что проверочный curl мгновенно возвращает 0 вот такой конфиг NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig" возвращает быстро большую цифру, но видео в плеере вообще не грузится

у меня мало опыта пока в обходе dpi, но на моих тестах политика fake хорошо работает только с quic.
но всё зависит от провайдера, конечно

[salova322]

• OpenSSL SSL_connect: Connection reset by peer in connection to test.googlevideo.com:443
• Closing connection 0
  0

у меня тоже самое, работает только на QUIC

[Glazami]

У меня даже ру сайты многие грузятся с зависанием, да даже Яндекс задумчиво грузится. (При отличной скорости интернета и том что устройство произволительное и раньше норм грузилось.) Видимо уже надо ко всему прикручивать запрет...

[trin4ik]

Накинул запрет на основной роутер, все домашние заметили, что вообще все сайты стали работать быстро

[vldsr]

Поднял nfqws на роутере Asus с прошивкой Merlin, тест скорости youtube на рутере проходит мгновенно и доступ к запрещенке есть, НО при этом с других устройств (windows/android) доступа нет и youtube тормозит

Посмотрел с помощью debug=1 на все пакеты исхощящие с клиентов пишет pass unmodified (пакеты к тому же хосту но с самого роутера модифицируются)

Куда копать? в чем может быть причина?

[crazyaxl]

У вас теперь обход для всех сайтов

Да вот нет. На nnmclub.to например не могу попасть. Использую для этого tor с obfuscate. А еще юзаю comssDNS который позволяет спокойно работать с chatGPT ну и виндовому помощнику тоже, Как то короче так.

И на meta.com не могу попасть без tor (владелец vr шлема от них). И да все это крутится на роутере и доступно всем устройствам в доме.

[Andycar]

modprobe xt_NFQUEUE

@vldsr Может, подскажете где этот модуль взять? На моей asuswrt 3004.388.8_2 такого нет

> modprobe -l | grep xt_
kernel/net/netfilter/xt_hl.ko
kernel/net/netfilter/xt_TPROXY.ko
kernel/net/netfilter/xt_hashlimit.ko
kernel/net/netfilter/xt_length.ko
kernel/net/netfilter/xt_HL.ko
kernel/net/netfilter/xt_set.ko
kernel/net/netfilter/xt_socket.ko
kernel/net/netfilter/xt_quota.ko
kernel/net/netfilter/xt_blog.ko
kernel/net/netfilter/xt_condition.ko
kernel/net/netfilter/xt_TEE.ko
kernel/net/netfilter/xt_flowlabel.ko
kernel/net/netfilter/xt_geoip.ko
kernel/net/netfilter/xt_comment.ko

Перерыл весь интернет уже)) Только на аналогичные вопросы наткнулся пока:
https://www.snbforums.com/threads/ax58u-nfqueue.91276/

В репозитории Entware таких модулей нет...

> opkg install kmod-ipt-nfqueue
 Unknown package 'kmod-ipt-nfqueue'.

в репе https://downloads.openwrt.org/releases/23.05.4/targets/armsr/armv7/kmods/5.15.162-1-b6fa2002ee7aad946166a76ce2e129c3/
есть модуль kmod-ipt-nfqueue_5.15.162-1_arm_cortex-a15_neon-vfpv4.ipk но он под другую архитектуру (Cortex A15)
А у меня роутер AX58U (тоже ARMv7, но Cortex A7)

[vldsr]

Откуда он у меня уже не помню, я еще когда то давно с ним игрался...

У меня RT-AC88U на прошивке 380.70.1_HGG-RC2
Подозреваю что модуль из прошивки, судя по тому что все модули одной датой:

admin@INFINITY:/tmp/home/root# ll /lib/modules/2.6.36.4brcmarm/kernel/net/netfilter/
drwxr-xr-x    2 admin    root           505 Jul 22  2018 ipset/
-rw-r--r--    1 admin    root          9536 Jul 22  2018 nf_conntrack_ftp.ko
-rw-r--r--    1 admin    root         43632 Jul 22  2018 nf_conntrack_h323.ko
-rw-r--r--    1 admin    root          9936 Jul 22  2018 nf_conntrack_pptp.ko
-rw-r--r--    1 admin    root          9652 Jul 22  2018 nf_conntrack_proto_gre.ko
-rw-r--r--    1 admin    root         11560 Jul 22  2018 nf_conntrack_rtsp.ko
-rw-r--r--    1 admin    root         27228 Jul 22  2018 nf_conntrack_sip.ko
-rw-r--r--    1 admin    root          4708 Jul 22  2018 nf_tproxy_core.ko
-rw-r--r--    1 admin    root          4652 Jul 22  2018 xt_HL.ko
-rw-r--r--    1 admin    root          4592 Jul 22  2018 xt_NFQUEUE.ko
-rw-r--r--    1 admin    root          4372 Jul 22  2018 xt_TPROXY.ko
-rw-r--r--    1 admin    root          3060 Jul 22  2018 xt_comment.ko
-rw-r--r--    1 admin    root          7672 Jul 22  2018 xt_condition.ko
-rw-r--r--    1 admin    root          4124 Jul 22  2018 xt_dscp.ko
-rw-r--r--    1 admin    root          5744 Jul 22  2018 xt_geoip.ko
-rw-r--r--    1 admin    root         15392 Jul 22  2018 xt_hashlimit.ko
-rw-r--r--    1 admin    root          3556 Jul 22  2018 xt_hl.ko
-rw-r--r--    1 admin    root          3328 Jul 22  2018 xt_length.ko
-rw-r--r--    1 admin    root          3932 Jul 22  2018 xt_quota.ko
-rw-r--r--    1 admin    root         13072 Jul 22  2018 xt_set.ko
-rw-r--r--    1 admin    root          4764 Jul 22  2018 xt_socket.ko

Если нужно могу скинуть модуль, у меня вот такое ядро:

admin@INFINITY:/tmp/home/root# uname -r
2.6.36.4brcmarm

[Rokudze]

А где посмотреть дебаг?

[Hi-Angel]

А где посмотреть дебаг?

В /opt/zapret/config добавить параметр --debug=… в параметры tpws или nfqws, systemctl restart zapret и journalctl -fu zapret.

[dgrechk]

[dgrechk]

Исходники "вирусов" тут есть - почитай их, скомпилируй, сделай выводы.

шо, а почему до этого их не было и все работало?

[dgrechk]

скачивал версию до момента популярности и публикации в тг каналах, вирустотал не жаловался. теперь же на вирустотале жалуется аж 16 антивирусов. делайте выводы.

РКН, перелогиньтесь

сорян, ща

[waere00]

Так хотя бы ссылку на отчёт надо прикладывать. Непонятно, о каком конкретно файле речь и о какой платформе.

[bol-van]

я периодически обновляю upx. бинарики пакуются последним
еще появился winws. там виндиверт и цигвин длл + он упакован упх
это все может вызывать реакцию

[Oxdeadc0de]

я периодически обновляю upx. бинарики пакуются последним еще появился winws. там виндиверт и цигвин длл + он упакован упх это все может вызывать реакцию

А зачем ты пакуешь бинарники upx'ом? Килобайты экономишь? Или для отмазки от virustotal?
Про сборку исходников можешь не начинать (ну только если не скинешь сертификат для подписи виндиверта Ж))) )

[micle7]

У меня не работает, рутрекер и прочее работает, а ютуб не получается обойти. С 1 августа зарезали на магистральном канале который до провайдера идет.
`% curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 100M 100 100M 0 0 9308k 0 0:00:11 0:00:11 --:--:-- 9464k
`
Скорость нормальную показывает, рутрекеры и прочее на уровне провайдера тоже обходится, а ютуб глючит. Что-то открывает с задержкой и более менее показывает, а некоторые видео даже не начинает воспроизводить.

[RootKeet]

Удалось решить? Такая же ситуация

[sam0x2b]

Удалось решить? Такая же ситуация

попробуйте #200 (comment)

[yohabi]

Возможно, вопрос покажется глупым, но подскажите, будет ли работать схема: LAN <---> роутер OpenWrt + nfqws <---> роутер <---> WAN
Технически с точки зрения сетевых потоков, такое решение жизнеспособно, если не брать во внимание типы блокировок?

[bol-van]

2 роутера ? да, но верхний роутер может ограничить набор работающих вариантов

[ghost]

[relil]

Cкиньте вывод
sh /opt/zapret/blockcheck.sh

[PeterRunich]

Было похожее на keenetic extra 2. У него автоматом не грузились некоторые модули ядра.

insmod /lib/modules/4.9-ndm-4/xt_multiport.ko
insmod /lib/modules/4.9-ndm-4/xt_connbytes.ko
insmod /lib/modules/4.9-ndm-4/xt_NFQUEUE.ko

Вместо 4.9-ndm-4, у вас скорее всего будет другая версия вашего ядра.

Посмотреть загруженные модули
lsmod

Посмотреть все модули которые есть
ls /lib/modules/4.9-ndm-4

После проделанного, iptables: No chain/target/match by that name., должно починиться.

[smyagkiy]

PeterRunich подскажите пожалуйста Вам удалось обойти замедление на keenetic? Запустил модули ядра которые вы написали и проблема с iptables ушла, но после установки и запуска скрипта тормоза остались, я так понимаю еще нужно писать скрипт iptables? Не особо силен в этом ...

[PeterRunich]

@smyagkiy Да удалось, дополнил ответ #208, можете попробовать.

[sam0x2b]

кажется случайно подобрали рабочие для себя значения: NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=4 --dpi-desync-ttl6=2 --dpi-desync-split-pos=1 --wssize 1:6 --dpi-desync-fooling=md5sig"
очень стыдно, ведь всё делалось абсолютным методом тыка...
PS. делалось специально чтобы и не замедляло, и обходило. под Ростелеком где-то в районе Ростова-на-Дону
PPS. вижу, что работает у многих, но это не панацея! я не пытались выдать эти настройки за "волшебную таблетку", и если у вас есть хоть немного времени/сил/желания -- курим мануал!

[Yorenson]

Ростелеком 12 регион, с таким конфигом заработал и на компе и на Smart TV Vidaa. До этого бился с выложенным ниже конфигом для Архангельска, с ним на компе ютуб работал, а на smart tv нет. Пробовал блокировать порт UDP 443 - безрезультатно. На этом конфиге работает и без блокировки UDP 443 порта.
Но, так же как и на конфиге для Архангельска не работает обход заблокированных сайтов. Для теста использую рутрекер и рутор. Первый грузит медленно и без графики, второй вообще не грузит. Подскажите кому-то удалось подружить обход замедления ютуба и блокировки сайтов?

[alex161rus]

Спасибо, работает в Ростовской области

[barbanevosa]

У меня с такими параметрами заработало без проблем в 4к. Телик самсунг тизен 21 года. Прошивка на телевизоре от мая этого года. Приложение ютуб обновлено в апреле этого года. Все достаточно свежее. В конфиге убрал quic оставил только http и https. Провайдер ростелеком. GPON. Ярославская область. Вот мой конфиг:

MODE=nfqws
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=4 --dpi-desync-ttl6=2 --dpi-desync-split-pos=1 --wssize 1:6 --dpi-desync-fooling=md5sig"
MODE_HTTP=1
MODE_HTTPS=1
MODE_FILTER=hostlist
DISABLE_IPV6=1

Это содержимое zapret-hosts-user.txt:

googlevideo.com
ggpht.com
ytimg.com
l.google.com
youtube.com
play.google.com
1e100.net
googleusercontent.com
gstatic.com
nhacmp3youtube.com
youtubei.googleapis.com 
youtu.be

Тоже Ростелеком, Ярославская обл, FTTB. И тоже Samsung Tizen. QUIC (UDP/443) на роутере блочили? И что по IPV6-трафику?
У меня на ПК работает и через tpws, и через nfws, причем с абсолютно разными настройками дурения, а на ТВ - проблема.
И получается, что через OpenWRT-роутер браузерный (Chrome) Youtube ходит замечательно, а на ТВ - нет. Первое, что приходит в голову: в Chrome встроена поддержка DoH, а в ТВ - маловероятно. Поднял DoH на роутере - все равно не помогло. Куда дальше двигаться - не знаю.

удп 443 вначале блочил, до того как этот конфиг попробовал, не помогало. tpws тоже помогал только браузерам. С таким конфигом все работает. ipv6 отключен

Низкий поклон - все на Tizen заработало наконец-то и у меня :-) Возможно, поиграюсь немного с настройками, чтобы найти те, которые действительно являются game changer.

[sam0x2b]

я везде пишу что нет универсальной таблетки не стоит выдавать ваш конфиг за нее

а я и не пытались... обновили коммент как смогли >.<

[almirus]

@bol-van возможно стоит обратить внимание на Waujito/youtubeUnblock#59 (comment) для поддержки Android TV

[brightkill]

Тестил рабочие способы при помощи blockcheck на OpenWRT 22. Ставил все в крайне ограниченном размере ROM, поэтому из бинарника только nfqws

./nfqws --user=nfqws --pidfile=/tmp/.nfqws.pid --hostlist=zapret_hosts.txt --dpi-desync=fake --dpi-desync-ttl=5 --qnum 200
iptables -t mangle -I POSTROUTING -o pppoe-wan -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass

Все работает, спасибо. Я так понимаю, все, что не указано в hostlist файле, те пакеты nfqws не трогает?

[Evgenyis777]

Тестил рабочие способы при помощи blockcheck на OpenWRT 22. Ставил все в крайне ограниченном размере ROM, поэтому из бинарника только nfqws
Товарищ
У тебя есть разьем USB в твоем роутере?
Если нет разьема USB в твоем роутере то покупай дешманский переходник RJ45(USB МАМА) и любую Флешку
1)далее: заходишь Сюда
https://github.com/amirhosseinchoghaei/Increase-openwrt-disk-space
2)После 1 шага следуешь инструкции и вуаля!У тебя очень,очень много свободного места под /root /overlay и прочее и даже под SWAP!
3.)Качаешь программы на свой роутер и радуешься!
ГЛАВНОЕ! ЭТО С 1 по 3 ШАГ!
Далее можно обмазываться множеством софта
Не благодари
Добра тебе и Удачи!
ПРОВЕРЕНО!ДАННЫЙ МЕТОД РАБОТАЕТ ДАЖЕ НА DIR615!

[brightkill]

Если нет разьема USB в твоем роутере то покупай дешманский переходник RJ45(USB МАМА)

вот это ты мощно задвинул конечно)

[sabian4ik]

Тестил рабочие способы при помощи blockcheck на OpenWRT 22. Ставил все в крайне ограниченном размере ROM, поэтому из бинарника только nfqws
Товарищ
У тебя есть разьем USB в твоем роутере?
Если нет разьема USB в твоем роутере то покупай дешманский переходник RJ45(USB МАМА) и любую Флешку
1)далее: заходишь Сюда
https://github.com/amirhosseinchoghaei/Increase-openwrt-disk-space
2)После 1 шага следуешь инструкции и вуаля!У тебя очень,очень много свободного места под /root /overlay и прочее и даже под SWAP!
3.)Качаешь программы на свой роутер и радуешься!
ГЛАВНОЕ! ЭТО С 1 по 3 ШАГ!
Далее можно обмазываться множеством софта
Не благодари
Добра тебе и Удачи!
ПРОВЕРЕНО!ДАННЫЙ МЕТОД РАБОТАЕТ ДАЖЕ НА DIR615!

А что, так можно было?🤣

[bol-van]

Воткнуть невтыкуемое. Нужен переходник. Нет переходника ? Проблему решает молоток побольше.

[Evgenyis777]

Тестил рабочие способы при помощи blockcheck на OpenWRT 22. Ставил все в крайне ограниченном размере ROM, поэтому из бинарника только nfqws
Товарищ
У тебя есть разьем USB в твоем роутере?
Если нет разьема USB в твоем роутере то покупай дешманский переходник RJ45(USB МАМА) и любую Флешку
1)далее: заходишь Сюда
https://github.com/amirhosseinchoghaei/Increase-openwrt-disk-space
2)После 1 шага следуешь инструкции и вуаля!У тебя очень,очень много свободного места под /root /overlay и прочее и даже под SWAP!
3.)Качаешь программы на свой роутер и радуешься!
ГЛАВНОЕ! ЭТО С 1 по 3 ШАГ!
Далее можно обмазываться множеством софта
Не благодари
Добра тебе и Удачи!
ПРОВЕРЕНО!ДАННЫЙ МЕТОД РАБОТАЕТ ДАЖЕ НА DIR615!

А что, так можно было?🤣

Да,совершенно верно!
Dir620,Dir 615,TL-WR840N,Xiaomi ac2100(для него usb сетевая карта с входом rj45)
Проверено,работает!Уже стабильно 4 месяца без танцев с бубном!
Главное разметку под Swap желательно 300 МБ делать если использовать USB накопитель обьемом 2Гб

[Quqas]

а в режиме quic по настоящему у кого-нибудь заработало?

выбор то всего из 2х вариков. fake или ipfrag2

оба с тытрубом не работают. а именно само видео по h3\udp тупо перестаёт работать - переключается в tcp http-1.1 т.е. даже не h2

и именно видеофрагменты. какаято мелочь по h3 таки грузится

без winws по h3 лагает

на выбор или в броузере отрубать quic либо не вырубать но тогда тоже самое делает winws. по факту только за счёт tcp и возвращается скорость.

[Quqas]

мистика

вчера весь день не работал h3 на тытрубе

а сегодня вновь заработал и с winws

\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=80,443,22222,22224,25735,25500 --dpi-desync=fake,disorder2 --dpi-desync-ttl=9 --dpi-desync-fooling=datanoack --wf-udp=443

толи полностью сам по себе толи после экспериментов в браузере с user-agent. говорят - сменить его тоже помогает- но это неточно

суть шас по h3 и буфер не пустеет. но такое впечатление что по tcp всёравно быстрей...

[bol-van]

ттл из стратегии удп стоит убрать
фокс сглотнет
хром может отвал
2 инстанса это нормально

[Quqas]

ттл из стратегии удп стоит убрать фокс сглотнет хром может отвал 2 инстанса это нормально

хром старый тоже работает

другое дело спустя полдня h3 осталось вживых а вот фрагменты по нему теперь однозначно в 5-10 раз дольше по времени грузятся чем по h1.1. но при этом всёравно хватает .... покачто

т.е. будто снова gbd а не winws

..............

очистка основного инстанса от udp и запуск второго только fake для udp ничего не меняют в плане спида

т.е. на лету чегото чебурнетят
за сутки несколько раз сменились результаты

---

проверил - совсем без winws по h3 точно также как и с ним
быстрее только без quic и с winws
но при этом покачто до нуля и в фулхд не падает - хотя буквально вчера падало

[ivanhub]

TPWS_OPT="--split-pos=2"
это забыл добавить, но и без этого параметра зашуршало!
)

[bol-van]

без этого получается пустые опции ? с пустыми он ничего не делает. голый прокси
скорее всего там в конфиге по умолчанию опции остались
или используется режим nfqws

[Onotot]

Здравствуйте. Спасибо за вашу работу. Не совсем понимаю как решить возникшую проблему, может подскажете в каком направление копать. Zapret настроен на роутере c Openwrt, с такими опциями в режиме Hostlist:

NFQWS_OPT="
--filter-tcp=80 --dpi-desync=split2 --dpi-desync-fooling=badseq <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=fake,split --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=1 --dpi-     desync-fooling=badseq,md5sig <HOSTLIST> --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-quic=/opt/zapret/files/fake/ quic_initial_www_google_com.bin <HOSTLIST_NOAUTO>"

# Так же работает и проверено с такими опциями:
 --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-fooling=badseq --dpi-desync-ttl=4 --dpi-desync- ttl6=0 --dpi-desync-repeats=3 --dpi-desync-split-pos=1 --dpi-desync-fake-tls=/opt/zapret/files/fake/     tls_clienthello_www_google_com.bin <HOSTLIST> --new

У меня две системы, Linux и Windows 10. На обеих стоит Firefox, но в Linux youtube работает хорошо, а в Windows через раз или совсем не загружается видео. Пробовал в браузере отключать quic - не помогло. В браузере Edge в Windows все работает, discord, так же настроенный через zapret, мгновенно открывается. Пробовал экспериментировать с опциями, но единственное что явно заметил, это что discord был нужен split, иначе висело на 'Check update'. На устройствах с Android youtube тоже работает хорошо. Хотелось бы понять проблема в опциях, в браузере или в чем-то еще?

[NewUse]

проверь, что отключены на роутере получение днс от провайдера

[Onotot]

проверь, что отключены на роутере получение днс от провайдера

Отключены, в качестве DNS используется stubby на роутере, и у всех клиентов он в качестве DNS-сервера. Ну и я бы понял, если б у меня DNS в FF в Windows был включен, а так какая-то магия. Я подумал что из-за обновления Firefox что сломалось в Windows, пробовал Libre Wolf на его базе, но это тоже не дало ничего. Открыаешь FF, а рядом Edge, в Edge все работает, а в FF - нет.

[NewUse]

В настройках браузера есть DoH, сравни.

[Onotot]

В настройках браузера есть DoH, сравни.

Они отключены везде.

[Gy9vin]

У меня сложилось впечатление что мой провайдер для блокировок использует ИИ. Как только найду рабочий метод обхода замедления. живет не больше 2х часов и все снова не пашет... Последний рабочий конфиг был

--filter-udp=443 --dpi-desync=fake,disorder2 --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin
--filter-tcp=80 --dpi-desync=fake,multidisorder --dpi-desync-ttl=1 --dpi-desync-autottl=2 --dpi-desync-split-pos=method+2 --dpi-desync-fake-http=0x00000000 --dpi-desync-fooling=md5sig,badseq
--filter-tcp=443 --dpi-desync=fake --dpi-desync-ttl=12 --dpi-desync-autottl=1 --dpi-desync-fooling=md5sig,badseq"

[NewUse]

днс провайдеров отключены?

[bol-van]

autottl может быть нестабилен

[Tombaster]

этот конфиг у меня работает на компе и на телефоне все ок, но на телевизоре SONY (не андройд) не работает ) Какие настройки относятся к телевизору ?

[TurboKirill]

изи, меняй провайдера, у которого есть рабочая схема обхода))

[rezidentOS]

Кто-то может помочь настроить запрет?Установил,но подбор стратегий хромает,хотя на пк работает)

[rezidentOS]

по умолчанию у меня не работал,пришел оригинал пробовать)
Вообще на роутере,но минут как 5 был скачок и роутер в бесконечной загрузке- сейчас кирпич восстановлю и на нем надо настроить запрет)
Кирпич поднял

[rezidentOS]

Снова поставил запрет по вашей ссылке - по вифи работает на телевизоре хз почему а на телефоне и компе(снова включил запрет на пк)нет)Непонятности

[electrifying]

а на телефоне и компе(снова включил запрет на пк)нет)Непонятности

Берите блокчек, запустите несколько прогонов(5-6), смотрите что выдаст и подбираете стратегию под своего провайдера

[borikakox]

rezidentOS
Подскажи, пожалуйста, ты при установке https://github.com/remittor/zapret-openwrt какую архитектуру процессора выбирал?
У меня роутер почти как у тебя, но платформа указана как mipsel_24kc, а в релизах такой нету.

[RomanKozyrev]

@borikakox нажите show all assets.

[Evgenyis777]

Уважаемый Bol_Van прошу совета с blockcheck.sh он не работает в v69-20241123
выдает следущее:

root@OpenWrt:~# /opt/zapret/blockcheck.sh

• checking system
  Linux detected
  firewall type is nftables
• checking already running DPI bypass processes
• checking privileges
• checking prerequisites
  /opt/zapret/nfq/nfqws or /opt/zapret/tpws/tpws or /opt/zapret/mdig/mdig is not available. run "/opt/zapret/install_bin.sh" or `make -C "/opt/zapret"
  Хотя в инструкции говорилось что нужно удалять ране установленный zapret через uninstall.sh
  в папке opt/zapret есть blockcheck.sh
  но всегда выдает это

[bol-van]

релиз надо брать
в репе бинарей больше нет

[Evgenyis777]

релиз надо брать в репе бинарей больше нет

Признателен и примного благодарен!

[RogerUkka]

Прошу помощи у гуру, сам ни в зуб ногой.
Нужна помощь в настройке для обхода трафика дискорда и только блин дискорда, ибо часть приложений шлет меня далеко.
Ютуп идет к черту, нужен исключительно дискордный трафик.

[electrifying]

Прошу помощи у гуру, сам ни в зуб ногой. Нужна помощь в настройке для обхода трафика дискорда и только блин дискорда, ибо часть приложений шлет меня далеко. Ютуп идет к черту, нужен исключительно дискордный трафик.

для голоса есть готовый скрипт, для самого приложения дискорда все равно придется добавлять его адреса в хотлист

[RogerUkka]

У меня режется подключение к игре по какой-то причине, а сам я не кодер ни в одном месте( Я больше по математике

[RogerUkka]

start "zapret: http,https,quic" /min "%~dp0winws.exe" ^
--wf-tcp=80,443 ^
--wf-udp=443,50000-65535 ^
--filter-udp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake,tamper --dpi-desync-repeats=11 --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new ^
--filter-udp=443 --dpi-desync=fake,tamper --dpi-desync-autottl=2 --dpi-desync-repeats=11 --new ^
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-autottl=2 --dpi-desync-repeats=11 --new ^
--filter-tcp=80 --dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=badseq --new ^
--filter-tcp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=badseq --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --new ^
--dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-autottl=2 --dpi-desync-fooling=badseq --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin"

Если поможет - то в пресете вот такое

[TurboKirill]

если только дискорд нужен, то поставь на винду просто service_goodbye_discord.bat

[puyebu]

Провайдер ростелеком, в последние пару дней вообще не получается ничего сделать с ютубом, в лучшем случае прогружает первый фрагмент видео с --dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/#tls_clienthello_www_google_com.bin --dpi-desync-repeats=12, но отваливается на остальных.

Блокчек прогонять пытался, но на каждый хост ютуба типа rr2---sn-q4flrne7.googlevideo.com выходят свои стратегии и не каждая из них работает.

Как ни странно, остальные сайты работают без каких-либо проблем, такая проблема только с ютубом.

Сам не понимаю что можно с эти сделать, разве что делать свою стратегию для каждого домена гугловидео, но это звучит сложно, у них их явно много.

[TurboKirill]

Провайдер ростелеком, в последние пару дней вообще не получается ничего сделать с ютубом, в лучшем случае прогружает первый фрагмент видео с --dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/#tls_clienthello_www_google_com.bin --dpi-desync-repeats=12, но отваливается на остальных.

Блокчек прогонять пытался, но на каждый хост ютуба типа rr2---sn-q4flrne7.googlevideo.com выходят свои стратегии и не каждая из них работает.

Как ни странно, остальные сайты работают без каких-либо проблем, такая проблема только с ютубом.

Сам не понимаю что можно с эти сделать, разве что делать свою стратегию для каждого домена гугловидео, но это звучит сложно, у них их явно много.

попробуй убрать сплит2

[puyebu]

По какой-то причине некоторое время назад начало работать и со сплитом, где-то дня три-четыре назад.
Зато отвалился archlinux.org.

[Max-1666]

Всем привет! Помогите разобраться в чем проблема, пытаюсь сделать коробочку на убунте, которая подключится к роутеру одним проводом и будет ускорять ютуб). Схема такая: на роутере как и на убунте по 2 vlan interface: vlan10 и vlan20(10.10.10.0/30 и 10.20.20.0/30), роутер микротик заворачивает весь трафик до гугла в next-hop ip адрес убунты 10.10.10.2, а у убунты default gateway через vlan20 (10.20.20.1) обратно в роутер, и там уже маршрутизируется как обычно. Трафик ходит через коробку но походу zapret его не детектит как нужный трафик для модификации, в чем может быть причина?

вот так запущен:
/opt/zapret/nfq/nfqws --user=tpws --dpi-desync-fwmark=0x40000000 --qnum=200 --debug=@/opt/zapret/zapret.log --filter-tcp=443 --dpi-desync=fake split2 --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt

в логе все время вижу pass unmodified, l7proto=unknown hostname='' и ни одной строки типа l7proto=tls или http и ни одного hostname

кусочек лога, все записи примерно такие же:

IP4: 172.18.0.192 => 64.233.162.138 proto=tcp ttl=61 sport=44240 dport=443 flags=S seq=799826567 ack_seq=0
desync profile search for tcp target=64.233.162.138:443 l7proto=unknown hostname=''
desync profile 0 matches
packet: id=342 pass unmodified
packet: id=343 len=60 mark=00000000
IP4: 172.18.0.192 => 178.176.151.236 proto=tcp ttl=61 sport=41362 dport=443 flags=S seq=133918479 ack_seq=0
desync profile search for tcp target=178.176.151.236:443 l7proto=unknown hostname=''
desync profile 0 matches
packet: id=343 pass unmodified
packet: id=344 len=91 mark=00000000
IP4: 172.18.0.192 => 142.251.1.198 proto=tcp ttl=61 sport=45790 dport=443 flags=AP seq=1812053042 ack_seq=2627031881
TCP: len=39 : 17 03 03 00 22 0E E9 41 45 E2 4E 0E BF 81 48 25 B5 09 83 AB C2 94 88 89 8D BC 53 21 37 D1 E4 FD ... : ...."..AE.N...H%..........S!7... ...
desync profile search for tcp target=142.251.1.198:443 l7proto=unknown hostname=''
desync profile 0 matches
not applying tampering to unknown protocol
packet: id=344 pass unmodified
packet: id=345 len=91 mark=00000000
IP4: 172.18.0.192 => 142.251.1.198 proto=tcp ttl=61 sport=45790 dport=443 flags=AP seq=1812053042 ack_seq=2627031881
TCP: len=39 : 17 03 03 00 22 0E E9 41 45 E2 4E 0E BF 81 48 25 B5 09 83 AB C2 94 88 89 8D BC 53 21 37 D1 E4 FD ... : ...."..AE.N...H%..........S!7... ...
desync profile search for tcp target=142.251.1.198:443 l7proto=unknown hostname=''
desync profile 0 matches
not applying tampering to unknown protocol
packet: id=345 pass unmodified
packet: id=346 len=885 mark=00000000
IP4: 172.18.0.192 => 142.251.1.198 proto=tcp ttl=61 sport=45790 dport=443 flags=AP seq=1812053081 ack_seq=2627031881
TCP: len=833 : 17 03 03 03 3C 6A F7 F8 DC 7B FD EE 9D 12 91 4D 0F 7A 4A 41 A0 84 05 4A F6 DC 99 E4 F7 34 5E 7E ... : ....<j...{.....M.zJA...J.....4^~ ...
desync profile search for tcp target=142.251.1.198:443 l7proto=unknown hostname=''
desync profile 0 matches
not applying tampering to unknown protocol
packet: id=346 pass unmodified```

если нужно могу приложить pcap со входа или с выхода

[Max-1666]

Строка запуска выше это из ps копипаст. В конфиге вот так
NFQWS_OPT="--debug=@/opt/zapret/zapret.log --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin <HOSTLIST>" MODE_FILTER=hostlist

А по поводу трафика - так и есть, через коробку идет только исходящий трафик... И про бридж не понял, чистая маршрутизация вроде и есть. Для гугловских адресов получается роутер шлет не провайдеру, а роутится в коробку типо route-to 10.10.10.2. У коробки же выход в инет через шлюз по умолчанию 10.20.20.1 - который тот же роутер откуда и пришел трафик... Но это два разных влан с разной адресацией . Получается если я в коробку направляю только исходящий трафик, а входящего оно не видит, то работать такая схема никак не будет?

[bol-van]

Можно отказаться от скриптов и запускать руками. Без connbytes, но обязательно с desync mark check.
Будет повышенная нагрузка из-за перенаправления всех исходящих.
Возможно, можно как-то заставить коннтрак работать на только исходящих, может какой-то sysctl есть.
вроде что-то такое ValdikSS делал, но я не помню

[Evgenyis777]

Можно отказаться от скриптов и запускать руками. Без connbytes, но обязательно с desync mark check. Будет повышенная нагрузка из-за перенаправления всех исходящих. Возможно, можно как-то заставить коннтрак работать на только исходящих, может какой-то sysctl есть. вроде что-то такое ValdikSS делал, но я не помню

Забавный факт!В remittor/zapret используется в конфиге по дефолду host_google,собственно домены указаны в нем,работают по дефолту Ютуб и фейсбук с инстой!Но твиттер,дискорд,твич и википедия нет!
В конфиге поправил вместо zapret_host_google на zapret_host_user со своими адресами!
Работает потом все но минут 20 с autohostlist
В autohostlist появляется список доменов всяких
Затем переписываю на zapret_host_google и начинает работать все стабильно.
Странно,но добавление адресов в host_google ничего не дает...
Вот такая странная ситуация

[Max-1666]

Можно отказаться от скриптов и запускать руками. Без connbytes, но обязательно с desync mark check. Будет повышенная нагрузка из-за перенаправления всех исходящих. Возможно, можно как-то заставить коннтрак работать на только исходящих, может какой-то sysctl есть. вроде что-то такое ValdikSS делал, но я не помню

А не подскажите как надо делать без connbytes? Вот так не работает:

sudo iptables -t mangle -A FORWARD -i vlan10 -p tcp -m multiport --sports 80,443 -m set ! --match-set nozapret src -j NFQUEUE --queue-num 200 --queue-bypass

sudo iptables -t mangle -A POSTROUTING -o vlan20 -p tcp -m mark ! --mark 0x40000000/0x40000000 -m multiport --dports 80,443 -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass

[bol-van]

Без скриптов запуска не будет сета nozapret.
Надо же смотреть какие ошибки возникают.
Без марка легко нарваться на проблемы и подвисания.

Любые нестандартные манипуляции неплохо проверять --debug логом

-A добавляет в конец. Если все-же скрипты запуска не были убраны, от них остались правила выше, которые забирают на себя nfqueue

[Evenyit]

"Попутно", видимо , ради перегона на "родные" карманам православных сынов высших олигархов во власти на аналогичные сервисы с кучей рекламы , начинают блокировать https://ss-iptv.com, где реклама только при запуске (одна штука:))). Коллеги, поделитесь опытом восстановления доступа. Ping 'и traceroute проходят, DNS , работают подходящие для DC, трубы... Очевидно, что все по схеме - на загрузку с ресурса(получение листа и т.д. ) - болт... Хотя, возможно, зря грешу, на сынов фигур :) Может просто тупо, немцы - блокируют.

[Goosegit11]

это мб поможет? https://github.com/Fredolx/open-tv
а это только для десктопов, бля

[Evenyit]

это мб поможет? https://github.com/Fredolx/open-tv а это только для десктопов, бля
https://ss-iptv.com/ - эта "нежадная тема" для SmartTV. В этом -то и беда . На ОС - все ровно(через IPTV плеер - без изврата), Тут именно приложение для смартТВ нужно "оживить". Чисто для использования "муёвины" с провайдера на 250 каналов. Варианты есть на лампу уйти+ плагины, но ,возможно, есть мнения по этому вопросу. Приложение было очень удобное.

[eokarm]

Вот такой конфиг на телефонах и планшетах iso и android и на пк показывает видео на телевизорах с android нет. Куда копать?

--filter-udp=443 --dpi-desync=fake,disorder2 --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin
--filter-tcp=80 --dpi-desync=fake,multidisorder --dpi-desync-ttl=1 --dpi-desync-autottl=2 --dpi-desync-split-pos=method+2 --dpi-desync-fake-http=0x00000000 --dpi-desync-fooling=md5sig,badseq
--filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-ttl=12 --dpi-desync-autottl=1 --dpi-desync-fooling=md5sig,badseq
"

[olegizvozchik]

Отличный рабочий вариант. На webOS протестировал, ютуб летает. Оператор Билайн мобильный Мск.
Использую nfqws. Там есть нюанс. Всю эту стратегию надо присвоить переменной NFQWS_ARGS_QUIC, предварительно скачав файл quic_initial_www_google_com.bin в папку на роутере /opt/etc/nfqws и подправив в стратегии путь.

[LimpingK]

Использую nfqws.

Кстати у меня там по-дефолту прописано в nfqws-keenetic:
NFQWS_ARGS_QUIC="--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=/opt/etc/nfqws/quic_initial.bin"

[M-A-M-B-A]

Использую nfqws.

Кстати у меня там по-дефолту прописано в nfqws-keenetic: NFQWS_ARGS_QUIC="--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=/opt/etc/nfqws/quic_initial.bin"

Где вы взяли параметр NFQWS_ARGS_QUIC .ю? Не нашёл в мануале.

[LimpingK]

Где вы взяли параметр NFQWS_ARGS_QUIC .ю? Не нашёл в мануале.

По дефолту был прописан при установке из
https://github.com/Anonym-tsk/nfqws-keenetic

[M-A-M-B-A]

Удалил yoytube с телика, перегрузил, переустановил и работает. Магия наверное будет недолго Ж)) upd будет писать что нет сети, пару раз перегрузить и перезайти в аккаунт. Приятного просмотра на тв!!!

NFQWS_OPT=" --filter-udp=443 --dpi-desync=fake,disorder2 --dpi-desync-repeats=20 --dpi-desync-ttl=12 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --filter-udp=443 --dpi-desync=fake,multidisorder --dpi-desync-ttl=1 --dpi-desync-autottl=4 --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=20 --dpi-desync-fooling=md5sig --filter-tcp=80 --dpi-desync=fake,multidisorder --dpi-desync-ttl=1 --dpi-desync-autottl=2 --dpi-desync-split-pos=method+2 --dpi-desync-fake-http=0x00000000 --dpi-desync-fooling=md5sig,badseq --filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-ttl=12 --dpi-desync-autottl=1 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badseq "

Разве в --filter-udp=443 сочетаются параметры fake,disorder2/fake,multidisorder?

[PaWill68]

Подскажите куда копать. В целом ютуб и прочие дискорды работают. Не могу достучаться до инстаграма. Ни с какими настройками. Даже не пингуется.

C:\Users\User>ping instagram.com
Обмен пакетами с instagram.com [31.13.72.174] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 31.13.72.174:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

[bol-van]

zapret не открывает пинги. он не может пробить блокировку по IP

[PaWill68]

Чудеса какие то. Лог спустя час. Или не все IP занесены в ЧС. Значит hosts.

 C:\Users\User>ping instagram.com
 Обмен пакетами с instagram.com [157.240.252.174] с 32 байтами данных:
 Ответ от 157.240.252.174: число байт=32 время=51мс TTL=52
 Ответ от 157.240.252.174: число байт=32 время=50мс TTL=52
 Ответ от 157.240.252.174: число байт=32 время=50мс TTL=52
 Ответ от 157.240.252.174: число байт=32 время=50мс TTL=52
 
 Статистика Ping для 157.240.252.174:
     Пакетов: отправлено = 4, получено = 4, потеряно = 0
     (0% потерь)
 Приблизительное время приема-передачи в мс:
     Минимальное = 50мсек, Максимальное = 51 мсек, Среднее = 50 мсек

[bol-van]

Это не чудеса, а прыгающие IP адреса, часть из которых заблокировано по IP.
Нужно внести в hosts работающий IP

[TurboKirill]

Зайди под VPN, сделай пинг instagram.com через cmd, и внеси полученный IP адрес в Windows/system32/drivers/etc/hosts

[Evgenyis777]

Зайди под VPN, сделай пинг instagram.com через cmd, и внеси полученный IP адрес в Windows/system32/drivers/etc/hosts

или тоже самое в роутере?
у меня не прокатило,а проблема та же

[frostoffskiy]

Добрый вечер. Подскажите пожалуйста, с 12.12 ютуб перестал работать дольше 50 секунд. Установлен Zapret v69.20241206.


Куда копать, какие настройки поменять?

[frostoffskiy]

Вот все мои настройки:




и вот итог:

[Evgenyis777]

Вот все мои настройки: !

Dns Proxy устанавливал?

https://github.com/remittor/zapret-openwrt/wiki/Tune‐up-DNS‐over‐HTTPS

Обязательно кстати для большинства провайдеров

[frostoffskiy]

Да, это установил. Но настройки никакие не менял.
Вот так выглядят:

[frostoffskiy]

Вот все мои настройки: !

Dns Proxy устанавливал?

https://github.com/remittor/zapret-openwrt/wiki/Tune‐up-DNS‐over‐HTTPS

Обязательно кстати для большинства операторов

сегодня 13.12, с запретом, и с измененным User Agent на ios, все заработало, Ютуб, Инстаграм, Рутрэкер. Проверял специально выключал запрет, без него ничего из этого не грузило. Теперь работает.

[arhvodolaz]

Чтоб лишние темы не плодить, спрошу здесь, как раз про dns proxy. Имею роутер Xiaomi Redmi AC2100, шитый на последнюю OpenWRT, антизапрет тоже последний с дефолтными настройками и вроде все работает. Решил по совету выше накатить HTTPS DNS Proxy, и блин, началось. Включаю прокси, отваливается инет на телефонах, пишет "подключено, без доступа в интернет", причем не на всех, конкретно на Huawei Mate20X и Samsung A51. При этом у ребенка на Redmi подключается нормально. Ставлю в openwrt настройки dns от провайдера, все нормально. Почему так? При этом в сети есть еще усилитель сигнала TPLink RE450, так вот, к нему половина устройств тоже перестала подключаться. Бред какой то

[trebla240]

13.12
с 12.12 и до сейчас - не грузит ютуб, если грузит то 1 минуту и "что то пошло не так". Другие сайты по типу твиттера, блюскай, дискорда и других сайтов - работают, проблема, у меня лично, только с ютубом.
Использую авто-хостлист из запрета. Потому что более ничего не умею, простите. Что делать кроме как идти изучать матчасть не знаю.

[Taf-21]

Это значит, что запросы к googleapis.com я отправляю через прокси сервер (через VPN, если так понятнее). Для этого (если вы смотрите youtube на компьютере) можете воспользоваться к примеру расширением для браузера Censor Tracker. В его настройках параметр Регион нужно отключить (чтобы отключить предлагаемый расширением список заблокированного в России и не гонять кучу траффика через прокси), а в параметре Мой список проксируемых сайтов указать googleapis.com. Таким образом у меня youtube заработал.
Вот с форума ntc.party комментарий:

Установить расширение Censor Tracker в браузер, в настройках выбрать страну Россия, но лучше выключить галку “Открывать сайты из реестра”, чтоб не прогонять весь лист. В список проксируемых сайтов добавить jnn-pa.googleapis.com 14, далее почистить куки и кэш в браузере (но может и не обязательно).

[trebla240]

Это значит, что запросы к googleapis.com я отправляю через прокси сервер (через VPN, если так понятнее). Для этого (если вы смотрите youtube на компьютере) можете воспользоваться к примеру расширением для браузера Censor Tracker. В его настройках параметр Регион нужно отключить (чтобы отключить предлагаемый расширением список заблокированного в России и не гонять кучу траффика через прокси), а в параметре Мой список проксируемых сайтов указать googleapis.com. Таким образом у меня youtube заработал. Вот с форума ntc.party комментарий:

Установить расширение Censor Tracker в браузер, в настройках выбрать страну Россия, но лучше выключить галку “Открывать сайты из реестра”, чтоб не прогонять весь лист. В список проксируемых сайтов добавить jnn-pa.googleapis.com 14, далее почистить куки и кэш в браузере (но может и не обязательно).

Спасибо, как освобожусь попробую и напишу, помогло или нет.
В любом случае спасибо что подробно разжевали хлебушку как и куда тыкать.

[trebla240]

Это значит, что запросы к googleapis.com я отправляю через прокси сервер (через VPN, если так понятнее). Для этого (если вы смотрите youtube на компьютере) можете воспользоваться к примеру расширением для браузера Censor Tracker. В его настройках параметр Регион нужно отключить (чтобы отключить предлагаемый расширением список заблокированного в России и не гонять кучу траффика через прокси), а в параметре Мой список проксируемых сайтов указать googleapis.com. Таким образом у меня youtube заработал. Вот с форума ntc.party комментарий:

Установить расширение Censor Tracker в браузер, в настройках выбрать страну Россия, но лучше выключить галку “Открывать сайты из реестра”, чтоб не прогонять весь лист. В список проксируемых сайтов добавить jnn-pa.googleapis.com 14, далее почистить куки и кэш в браузере (но может и не обязательно).

Только что сделал, как вы сказали, всё заработало, на данный момент. Ютуб починился. Спасибо вам огромное! Вы мне очень помогли! Надеюсь это поможет и другим с такой же проблемой.

[artemklevtsov]

Пожалуйста, подскажите наиболее простой вариант проксирования на роутере с OpenWRT, чтобы на всех устройствах в сети по Wi-Fi также корректно работала труба.

Наиболее простой способ, имхо - это sing-box PBR.

[frostoffskiy]

Это значит, что запросы к googleapis.com я отправляю через прокси сервер (через VPN, если так понятнее). Для этого (если вы смотрите youtube на компьютере) можете воспользоваться к примеру расширением для браузера Censor Tracker. В его настройках параметр Регион нужно отключить (чтобы отключить предлагаемый расширением список заблокированного в России и не гонять кучу траффика через прокси), а в параметре Мой список проксируемых сайтов указать googleapis.com. Таким образом у меня youtube заработал. Вот с форума ntc.party комментарий:

Установить расширение Censor Tracker в браузер, в настройках выбрать страну Россия, но лучше выключить галку “Открывать сайты из реестра”, чтоб не прогонять весь лист. В список проксируемых сайтов добавить jnn-pa.googleapis.com 14, далее почистить куки и кэш в браузере (но может и не обязательно).

Спасибо большое за ответ от всех работяг! Все работает отлично!

[NegativeFreak]

Привет!

Прошу помощи, застрял. До недавнего времени всё работало без нареканий, использую Zapret на роутере с OpenWRT. Но вчера что-то произошло, часов 7 скорость интернета от провайдера была 1-2 mbps. Утверждают, что происходила DDOS-атака. Скорость восстановилась, а вот YouTube ровно после этого перестал работать совсем.

Открываются рутрекер, инстаграм, сайт/приложение ютуба прогружается отлично, картинки есть, превью роликов. Даже если тыкать по «полоске» видео, то видно, на каком таймкоде какой кадр должен быть. Но вот сами ролики не воспроизводятся ни в какую, ни на одном устройстве. Вот мои настройки, прошу строго не судить, я обычный подпивас

--filter-tcp=80 ˂HOSTLIST˃
--dpi-desync=fake,split
--dpi-desync-autottl=2
--dpi-desync-fooling=md5sig
--new

--filter-tcp=443
--hostlist=/opt/zapret/ipset/zapret-hosts-google.txt
--dpi-desync=fake,disorder2
--dpi-desync-split-pos=1,midsld
--dpi-desync-repeats=6
--dpi-desync-fooling=md5sig,badsum
--dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin
--new

--filter-udp=443
--hostlist=/opt/zapret/ipset/zapret-hosts-google.txt
--dpi-desync=fake,split
--dpi-desync-repeats=6
--dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin
--new

--filter-udp=443 ˂HOSTLIST_NOAUTO˃
--dpi-desync=fake,split
--dpi-desync-repeats=6
--new

--filter-tcp=443 ˂HOSTLIST˃
--dpi-desync=fake,split
--dpi-desync-split-pos=midsld
--dpi-desync-repeats=6
--dpi-desync-fooling=badseq,md5sig

Помогите, пожалуйста, советом, а то я совсем в тупике

[NegativeFreak]

с ума сойти, у запрета появился вебинтерфейс для опенврт? я не знаю как это сделать в вебинтерфейсе, но возможно поможет прогнать ещё разок блокчек вставив в него адрес ггц и если параметры обхода изменились то запустить руками установочный скрипт и скопипастить туда параметры из блокчека. возможно это можно сделать и из вебморды, но я честно говоря не знаю как, ни разу её не устанавливал.

Я сам только сегодня установил вариант с интерфейсом) В нём, вроде, при установке дополнительных пакетов, тоже есть возможность крутить конфиг руками и запускать скрипты. Но работать у меня перестало ещё на классической версии. А адрес ггц — это о чём?

[Evgenyis777]

с ума сойти, у запрета появился вебинтерфейс для опенврт? я не знаю как это сделать в вебинтерфейсе, но возможно поможет прогнать ещё разок блокчек вставив в него адрес ггц и если параметры обхода изменились то запустить руками установочный скрипт и скопипастить туда параметры из блокчека. возможно это можно сделать и из вебморды, но я честно говоря не знаю как, ни разу её не устанавливал.

У релиза запрета возможностей больше
Особенно с конфигами и адресами в host листах
В remitter пока что есть свои проблемы в частности списка(его объёма),ограничен

[kotsmotritnastul]

ггц это google global cache именно его адрес надо совать в блокчек.

[artemklevtsov]

У опакченная версия для OpenWRT не заработала. Подозреваю из-за выставленных в 0 keepalive, которые в оригинальном запрете по умолчанию выключены.

[NegativeFreak]

Спасибо всем за ответы! Как я говорил ранее, работать перестало ещё на оригинальной версии, версию с интерфейсом я накатил позже. И вот, сегодня всё заработало само по себе на тех настройках, которые на скринах. Ничего не добавлял. Даже интересно теперь, что это было. Имел ли место дудос или это был какой-то тест чебурнета...

[Gopnik1255]

Здравствуйте! Пожалуйсто, скиньте свой конфиг который у вас работает с ютубом.

[eokarm]

На ТВ видео начинает и потом зависает?

[MikroByaruS]

На ТВ видео начинает и потом зависает?

даже не начинает показывать, тупо черный экран.

[bol-van]

На ТВ нужна поддержка протокола GQUIC, который сейчас nfqws не распознается.

[eokarm]

Попробуйте удалить youtube с телека, выключите по питанию. Установите заново попытка не пытка.

[eokarm]

в конфиге MODE_FILTER=hostlist ?

[NEKTO606]

Всем привет! Два дня назад перестал рабоать Youtube. Все остальное отлично работает. Использовал в конфиге эту строку:

--filter-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=15 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new

Все работало с параметром --dpi-desync-ttl=6, значение менял от 0 до 12. Теперь по ощущениям этот параметр вообще не влияет на блокировку. Может я упускаю какие-то параметры?
Версия запрета 68, провайдер ЯОЛ, Москва.

[bol-van]

* port block tests ipv4 rr1---sn-q4fl6ndl.googlevideo.com:443
nc -z -w 2 173.194.141.6 443
173.194.141.6 connects

- IP block tests (requires manual interpretation)
> testing iana.org on it's original ip
!!!!! AVAILABLE !!!!!
> testing rr1---sn-q4fl6ndl.googlevideo.com on 192.0.43.8 (iana.org)
curl: (28) Connection timed out after 2001 milliseconds
> testing iana.org on 173.194.141.6 (rr1---sn-q4fl6ndl.googlevideo.com)
curl: (28) Connection timed out after 2001 milliseconds

Порт подключается. Но как видите он на незаблокированный хост тоже виснет.
Это ip-protocol block
Можно заменить iana.org на что угодно

UNBLOCKED_DOM=vk.com ./blockcheck.sh
и дождаться только IP блок теста, остальное не надо

Надо нарыть побольше GGC и их прогнать на блок тест. Если тоже самое, сразу снимать, тк ждать бесполезно. Стену лбом не пробьешь.
Если какие-то работают, значит надо блокировать нерабочие через hosts

[bol-van]

Это может означать белый список социально-значимых ресурсов.
Что на IP от вконтакта проходит даже заблокированный гуглевидео
Вот на таких вещах и выявляются алгоритмы работы DPI. Кто с чутьем - подмечает

[NEKTO606]

С включенным запретом результат по серверам гугла получился такой:

WORKING https://rr1---sn-jvhnu5g-n8ve7.googlevideo.com[ip:212.188.37.140]
WORKING https://rr4---sn-jvhnu5g-c35d.googlevideo.com[ip:212.188.37.15]
WORKING https://rr16---sn-axq7sn76.googlevideo.com[ip:172.217.130.160]
WORKING https://rr1---sn-8ph2xajvh-5xge.googlevideo.com[ip:195.68.132.76]
WORKING https://rr1---sn-ug5onuxaxjvh-n8v6.googlevideo.com[ip:188.43.61.140]
WORKING https://rr2---sn-hgn7ynek.googlevideo.com[ip:173.194.18.39]
WORKING https://play.google.com[ip:216.58.209.14]
WORKING https://jnn-pa.googleapis.com[ip:142.250.203.202]
WORKING https://i.ytimg.com[ip:142.250.75.22]
WORKING https://rr1---sn-u5uuxaxjvhg0-ocje.googlevideo.com[ip:217.118.183.12]
WORKING https://manifest.googlevideo.com[ip:142.250.186.206]
WORKING https://signaler-pa.youtube.com[ip:142.250.203.206]
WORKING https://rr4---sn-q4flrnsl.googlevideo.com[ip:173.194.57.73]
WORKING https://rr2---sn-q4fl6ndl.googlevideo.com[ip:173.194.141.7]
WORKING https://rr1---sn-q4fl6n6y.googlevideo.com[ip:173.194.140.166]
WORKING https://www.youtube.com[ip:142.250.75.14]
WORKING https://yt4.ggpht.com[ip:142.250.203.129]
WORKING https://yt3.ggpht.com[ip:142.250.186.193]
NOT WORKING https://rr1---sn-hvguvo-n8vs.googlevideo.com[ip:]
NOT WORKING https://rr1---sn-4axm-n8vs.googlevideo.com[ip:]
NOT WORKING https://rr1---sn-gvnuxaxjvh-o8ge.googlevideo.com[ip:]
NOT WORKING https://rr1---sn-ug5onuxaxjvh-p3ul.googlevideo.com[ip:]
NOT WORKING https://rr1---sn-gvnuxaxjvh-aome.googlevideo.com[ip:]
NOT WORKING https://rr2---sn-ubpouxgg5-n8ml.googlevideo.com[ip:]
NOT WORKING https://rr10---sn-gvnuxaxjvh-304z.googlevideo.com[ip:]
NOT WORKING https://rr4---sn-n3toxu-axql.googlevideo.com[ip:]
NOT WORKING https://rr14---sn-n8v7kn7r.googlevideo.com[ip:]
NOT WORKING https://rr1---sn-gvnuxaxjvh-5gie.googlevideo.com[ip:]
NOT WORKING https://rr12---sn-gvnuxaxjvh-bvwz.googlevideo.com[ip:]
NOT WORKING https://rr5---sn-n8v7knez.googlevideo.com[ip:]
NOT WORKING https://rr5---sn-gvnuxaxjvh-n8vk.googlevideo.com[ip:]

Без запрета результат соотвественно 0 рабочих.
Есть варианты перенаправить запросы с нерабочих серверов на рабочие? Или только блокировка нерабочих в hosts?

[co4ega87]

ЕКБ МТС https://rr4---sn-jvhnu5g-n8me.googlevideo.com
стратегию пока не подобрал

[bol-van]

Судя по сообщениям некоторые GGC могут быть полностью по IP зарублены.
Может даже конектиться на 443, но дальше вис на любые SNI
Первым делом стоит проверять IP block test в блокчеке. Оне не автоматический и требует ручной интерпретации.
Если iana.org на ip ggc вешается, значит скорее всего именно такой блок
Можно попробовать прогнать UNBLOCKED_DOM=www.google.com | ./blockcheck.sh
Если срабатывает, то дальше гнать фейк tls client hello от www.google.com