|
|
|
@ -44,9 +44,9 @@ |
|
|
|
|
|
|
|
## Настройка |
|
|
|
|
|
|
|
1) Скачайте и распакуйте архив https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip. |
|
|
|
1. Скачайте и распакуйте архив https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip. |
|
|
|
|
|
|
|
2) Если у вас Windows 7 x64, однократно запустите `win7/install_win7.cmd`. Батник заменит файлы windivert на совместимую с Windows 7 версию. |
|
|
|
2. Если у вас Windows 7 x64, однократно запустите `win7/install_win7.cmd`. Батник заменит файлы windivert на совместимую с Windows 7 версию. |
|
|
|
|
|
|
|
> [!WARNING] |
|
|
|
> Для 32-битных систем Windows нет готового полного варианта. |
|
|
|
@ -59,15 +59,15 @@ |
|
|
|
> более-менее научились с ним дружить. |
|
|
|
> Если проблема имеет место , используйте исключения. Если не помогает - отключайте антивирус совсем. |
|
|
|
|
|
|
|
3) Убедитесь, что у вас отключены все средства обхода блокировок, в том числе и сам zapret. |
|
|
|
3. Убедитесь, что у вас отключены все средства обхода блокировок, в том числе и сам zapret. |
|
|
|
|
|
|
|
4) Если вы работаете в виртуальной машине, необходимо использовать соединение с сетью в режиме bridge. nat не подходит |
|
|
|
4. Если вы работаете в виртуальной машине, необходимо использовать соединение с сетью в режиме bridge. nat не подходит |
|
|
|
|
|
|
|
5) Запустите `blockcheck\blockcheck.cmd`. blockcheck в начале проверяет **DNS**. |
|
|
|
Если выводятся сообщения о подмене адресов, то нужно будет решить проблему с **DNS**. |
|
|
|
blockcheck перейдет в этом случае на **DoH** _(DNS over HTTPS)_ и будет пытаться получить и использовать реальные IP адреса. |
|
|
|
Но если вы не настроите решение этой проблемы, обход будет работать только для тех программ, |
|
|
|
которые сами реализуют механизмы SecureDNS. Для других программ обход работать не будет. |
|
|
|
5. Запустите `blockcheck\blockcheck.cmd`. blockcheck в начале проверяет **DNS**. |
|
|
|
Если выводятся сообщения о подмене адресов, то нужно будет решить проблему с **DNS**. |
|
|
|
blockcheck перейдет в этом случае на **DoH** _(DNS over HTTPS)_ и будет пытаться получить и использовать реальные IP адреса. |
|
|
|
Но если вы не настроите решение этой проблемы, обход будет работать только для тех программ, |
|
|
|
которые сами реализуют механизмы SecureDNS. Для других программ обход работать не будет. |
|
|
|
|
|
|
|
> Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо заменой DNS серверов |
|
|
|
> от провайдера на публичные (`1.1.1.1`, `8.8.8.8`), либо в случае перехвата провайдером обращений |
|
|
|
@ -79,20 +79,20 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT |
|
|
|
> |
|
|
|
> Тут все разжевано как и где это включается : https://hackware.ru/?p=13707 |
|
|
|
|
|
|
|
6) blockcheck позволяет выявить рабочую стратегию обхода блокировок. |
|
|
|
Лог скрипта будет сохранен в `blockcheck\blockcheck.log`. |
|
|
|
Запомните/перепишите найденные стратегии. |
|
|
|
|
|
|
|
Следует понимать, что скрипт проверяет доступность только конкретного |
|
|
|
домена, который вы вводите в начале, конкретной программой curl. |
|
|
|
У разных клиентов есть свой фингерпринт. У броузеров один, у curl другой. |
|
|
|
Может применяться или не применяться многопакетный TLS с постквантовой криптографией (kyber). |
|
|
|
От этого может зависеть работоспособность стратегий. |
|
|
|
Обычно остальные домены блокированы подобным образом, **но не факт**. |
|
|
|
Бывают специальные блокировки. Некоторые параметры требуют тюнинга под "общий знаменатель". |
|
|
|
В большинстве случаев можно объединить несколько стратегий в одну универсальную, и это **крайне |
|
|
|
желательно**, но это требует понимания как работают стратегии. zapret **не может |
|
|
|
пробить блокировку по IP адресу**. Для проверки нескольких доменов вводите их через пробел. |
|
|
|
6. blockcheck позволяет выявить рабочую стратегию обхода блокировок. |
|
|
|
Лог скрипта будет сохранен в `blockcheck\blockcheck.log`. |
|
|
|
Запомните/перепишите найденные стратегии. |
|
|
|
|
|
|
|
Следует понимать, что скрипт проверяет доступность только конкретного |
|
|
|
домена, который вы вводите в начале, конкретной программой curl. |
|
|
|
У разных клиентов есть свой фингерпринт. У броузеров один, у curl другой. |
|
|
|
Может применяться или не применяться многопакетный TLS с постквантовой криптографией (kyber). |
|
|
|
От этого может зависеть работоспособность стратегий. |
|
|
|
Обычно остальные домены блокированы подобным образом, **но не факт**. |
|
|
|
Бывают специальные блокировки. Некоторые параметры требуют тюнинга под "общий знаменатель". |
|
|
|
В большинстве случаев можно объединить несколько стратегий в одну универсальную, и это **крайне |
|
|
|
желательно**, но это требует понимания как работают стратегии. zapret **не может |
|
|
|
пробить блокировку по IP адресу**. Для проверки нескольких доменов вводите их через пробел. |
|
|
|
|
|
|
|
> Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у |
|
|
|
> вас может быть несколько маршрутов с различной длиной по ХОПам, с DPI на |
|
|
|
@ -174,11 +174,11 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT |
|
|
|
> Перебор всех комбинаций может привести к ожиданию неделями, поэтому выбран разумный |
|
|
|
> костяк проверки, на который вы можете навешивать свои кустомизации. |
|
|
|
|
|
|
|
7) Протестируйте найденные стратегии на winws. Winws следует брать из zapret-winws. |
|
|
|
Для этого откройте командную строку windows от имени администратора в директории zapret-winws. |
|
|
|
Проще всего это сделать через `_CMD_ADMIN.cmd`. Он сам поднимет права и зайдет в нужную директорию. |
|
|
|
7. Протестируйте найденные стратегии на winws. Winws следует брать из zapret-winws. |
|
|
|
Для этого откройте командную строку windows от имени администратора в директории zapret-winws. |
|
|
|
Проще всего это сделать через `_CMD_ADMIN.cmd`. Он сам поднимет права и зайдет в нужную директорию. |
|
|
|
|
|
|
|
8) Обеспечьте удобную загрузку обхода блокировок. |
|
|
|
8. Обеспечьте удобную загрузку обхода блокировок. |
|
|
|
|
|
|
|
> Есть 2 варианта. Ручной запуск через ярлык или автоматический при старте системы, вне контекста текущего пользователя. |
|
|
|
> Последний вариант разделяется на запуск через планировщик задач и через службы windows. |
|
|
|
@ -193,11 +193,11 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT |
|
|
|
> |
|
|
|
> Аналогично настраиваются и службы windows. Смотрите `service_*.cmd` |
|
|
|
|
|
|
|
9) Если ломаются отдельные незаблокированные ресурсы, нужно пользоваться ограничивающим |
|
|
|
ipset или хост листом. Читайте основной талмуд [readme.md](./readme.md) ради подробностей. |
|
|
|
Но еще лучше будет подбирать такие стратегии, которые ломают минимум. |
|
|
|
Есть стратегии довольно безобидные, а есть сильно ломающие, которые подходят только для точечного пробития отдельных ресурсов, |
|
|
|
когда ничего лучше нет. Хорошая стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков - ttl, fooling. |
|
|
|
9. Если ломаются отдельные незаблокированные ресурсы, нужно пользоваться ограничивающим |
|
|
|
ipset или хост листом. Читайте основной талмуд [readme.md](./readme.md) ради подробностей. |
|
|
|
Но еще лучше будет подбирать такие стратегии, которые ломают минимум. |
|
|
|
Есть стратегии довольно безобидные, а есть сильно ломающие, которые подходят только для точечного пробития отдельных ресурсов, |
|
|
|
когда ничего лучше нет. Хорошая стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков - ttl, fooling. |
|
|
|
|
|
|
|
> [!CAUTION] |
|
|
|
> Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея. |
|
|
|
|
bol-van
8 months ago