Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

МТС М/О - "Ошибка при установлении защищённого соединения" #59

Closed
Demos25 opened this issue Feb 17, 2018 · 15 comments
Closed

МТС М/О - "Ошибка при установлении защищённого соединения" #59

Demos25 opened this issue Feb 17, 2018 · 15 comments

Comments

@Demos25
Copy link

Demos25 commented Feb 17, 2018

Начиная с 16 февраля сайты из чёрного списка выдают "Ошибка при установлении защищённого соединения", независимо от режима goodbyedpi
Кажись, прикрыли лавочку.
@ValdikSS
Copy link
Owner

ValdikSS commented Feb 17, 2018
edited

https://nnm-club.me/forum/viewtopic.php?p=9516064#9516064

@Demos25
Copy link
Author

Demos25 commented Feb 17, 2018

Ясненько.

@Demos25
Copy link
Author

Demos25 commented Feb 17, 2018
edited

На всякий случай оставляю свой результат проверки blockcheck-0.0.9.6:
[⚠] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра.
[⚠] У вашего провайдера "обычный" DPI. Вам поможет HTTPS/Socks прокси, VPN или Tor.

Хотя, наверно, и так всё ясно.

Сейчас настроил свой ФФ на использование https://antizapret.prostovpn.org/proxy.pac
В качестве альтернативы на ближайшее время.

@Kuroyuki1
Copy link

Мм, тоже само от того же самого провайдера.
Хотя интересный факт, на http://danbooru.donmai.us/ пускает спокойно, а на тот же рутрекер и т.д нет.

Жду фикса, если он вообще возможен.

@ValdikSS
Copy link
Owner

Жду фикса, если он вообще возможен.

Поэкспериментируйте с параметром -e. Попробуйте установить его в значения от 1 до 40.

@Kuroyuki1
Copy link

Никак не хочет пропускать, да, пробовал менять флаги и ставить очень не очевидные значения.

@ValdikSS
Copy link
Owner

Попробуйте использовать только -e 40, без остальных параметров, и тестируйте только на HTTPS-сайтах, желательно на нескольких, чтобы исключить блокировку по IP-адресу.
Если есть возможность, потестируйте диапазон значений от 1 до 40, чтобы понимать, что конкретно предпринял ваш провайдер.

@Kuroyuki1
Copy link

Абсолютно ничего, всё такая же вечная загрузка. Тестировал на HTTPS сайтах.

@ValdikSS
Copy link
Owner

А без GoodbyeDPI что происходит? Вечная загрузка, или разрыв соединения, или что-то другое?
Пожалуйста, предоставьте дампы pcap. Нужно:

  1. Скачать и установить Wireshark. Нужна полная версия, портативная не подойдет.
  2. Определить адрес блокируемого сайта командой nslookup [адрес сайта]. Выполнять из-под командной строки.
  3. Выбрать сетевой интерфейс, ввести в поле "…using this filter" строку вида:
    host [IP-адрес]
  4. Если адресов несколько, нужно объединить их словом "or":
    host [IP-адрес 1] or [IP-адрес 2]
    После чего нажать enter, чтобы запустить захват трафика.
  5. Зайти на заблокированный сайт по HTTPS.
  6. Остановить захват трафика кнопкой с иконкой красного квадрата на панели. Нажать file → save as, сохранить в файл.
  7. Отправить мне на iam@valdikss.org.ru

Проделать это дважды, с запущенным GoodbyeDPI и без.

@Kuroyuki1
Copy link

Как бы всё это было не печально, но у меня не видит интерфейсы, просто весит в not found и всё. Советы из интернета конечно же не помогли.

@ValdikSS
Copy link
Owner

Вы точно установили winpcap, и скачали инсталлятор, а не портативную версию?
Запускать нужно от имени администратора. Может еще помочь вот это: https://osqa-ask.wireshark.org/questions/12192/usb-to-ethernet-adapter-doesnt-show-under-interfaces

@Kuroyuki1
Copy link

Хм, что-то пошло не так, неизвестно что, но банальная установка помогла, хотя до этого и ставил winpcap и не портатив. Файлы отправил.

@Demos25
Copy link
Author

Demos25 commented Feb 18, 2018
edited

@ValdikSS при использовании -e 40 у меня выскакивает новый, доселе невиданный вид заглушки на http сайтах, https не грузит. Попробую другие параметры.

@ValdikSS
Copy link
Owner

Если кто-то может предоставить VPN или SSH к интернет-каналу, где HTTPS-сайты перестали открываться, напишите мне.

@ValdikSS ValdikSS mentioned this issue Apr 16, 2018
Closed
@ValdikSS
Copy link
Owner

Исправлено функцией fake packet в 2019.

ValdikSS added a commit that referenced this issue Dec 24, 2021
@ValdikSS
Send native-fragged fragments in the reversed order
e28cb52 
Some websites (or more precisely, TLS terminators/balancers) can't
handle segmented TLS ClientHello packet properly, requiring the whole
ClientHello in a single segment, otherwise the connection gets dropped.

However they still operate with a proper TCP stack.
Cheat on them: send the latter segment first (with TCP SEQ "in the future"),
the former segment second (with "current" SEQ), allowing OS TCP
stack to combine it in a single TCP read().

This fixes long-standing number of TCP fragmentation issues:
Fixes #4, #158, #224, #59, #192 and many others.
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@ValdikSS @Demos25 @Kuroyuki1