From 46bdcb87b8efec0aeb7b47d8da64cbf04748cb17 Mon Sep 17 00:00:00 2001 From: bol-van Date: Sun, 3 Mar 2024 10:09:58 +0300 Subject: [PATCH] quick_start: reorganize --- docs/quick_start.txt | 61 ++++++++++++++++++++++---------------------- docs/readme.txt | 4 +++ 2 files changed, 35 insertions(+), 30 deletions(-) diff --git a/docs/quick_start.txt b/docs/quick_start.txt index 5e4cab8..06ddc57 100644 --- a/docs/quick_start.txt +++ b/docs/quick_start.txt @@ -42,11 +42,7 @@ install_prepreq.sh Вас могут спросить о типе фаервола (iptables/nftables) и использовании ipv6. Это нужно для установки правильных пакетов в ОС, чтобы не устанавливать лишнее. -6) Запустите blockcheck.sh. blockcheck позволяет выявить рабочую стратегию обхода блокировок -По результатам blockcheck нужно понять какой вариант будете использовать : nfqws или tpws -И запомнить найденные стратегии. - -7) blockcheck.sh в начале проверяет DNS. Если выводятся сообщения о подмене адресов, то +6) Запустите blockcheck.sh. blockcheck.sh в начале проверяет DNS. Если выводятся сообщения о подмене адресов, то первым делом нужно решить эту проблему, иначе ничего не будет работать. Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо заменой DNS серверов от провайдера на публичные (1.1.1.1, 8.8.8.8), либо в случае перехвата провайдером обращений @@ -81,27 +77,9 @@ config interface 'wan' Если это не подходит, можно перенаправлять обращения на udp и tcp порты 53 вашего DNS сервера на 77.88.8.88:1253 средствами iptables/nftables. В /etc/resolv.conf нельзя прописать DNS на нестандартном порту. -8) Запустите install_easy.sh. -Выберите nfqws или tpws, затем согласитесь на редактирование параметров. -Откроется редактор, куда впишите найденные стратегии. -Для nfqws отдельно настраиваются стратегии на http и https для ipv4 и ipv6. -То есть по максимуму 4 разных варианта. -NFQWS_OPT_DESYNC - это общая установка, которая применяется, если какой-либо уточняющий параметр не задан -NFQWS_OPT_DESYNC_HTTP и NFQWS_OPT_DESYNC_HTTPS заменяют стратегию для http и https. -Если у вас включен ipv6, то они так же будут применены и к ipv6. Если для ipv6 нужна другая стратегия, -то можно задать уточняющие параметры NFQWS_OPT_DESYNC_HTTP6 и NFQWS_OPT_DESYNC_HTTPS6. -Если стратегии для ipv4 и ipv6 отличаются лишь ttl, то в целях экономии ресурсов роутера (меньше процессов nfqws) -следует отказаться от использования специфических для ipv6 установок. Вместо них использовать параметры ---dpi-desync-ttl и --dpi-desync-ttl6 в общих установках. Таким способом можно заставить один процесс nfqws -обрабатывать трафик на ipv4 и на ipv6 с разным ttl. - -Важным вопросом является вопрос о поддержке http keep alive. -Отвечайте N. Если вдруг на http сайтах будут хаотические сбои типа то загружается, то заглушка или сброс, -попробуйте включить поддержку keep alive. Но просто "на всякий случай" не включайте - это увеличит нагрузку на роутер. - -Если это не помогает, или хаотичное поведение наблюдается и на https, то еще раз прогоните blockcheck -с установленным числом попыток проверки не менее 5. Возможно, ваш провайдер использует балансировку нагрузки, -где на разных путях установлен разный DPI. +7) blockcheck позволяет выявить рабочую стратегию обхода блокировок +По результатам blockcheck нужно понять какой вариант будете использовать : nfqws или tpws +И запомнить найденные стратегии. Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале. Вероятно, все остальные домены блокированы подобным образом, но не факт. @@ -123,14 +101,37 @@ badsum и вовсе перестал работать на многих про Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL с каждым из этих ограничителей. -Может понадобиться фильтрация по IP/хостам/autohostlist. -Короче, эта инструкция опять же не панацея, в некоторых случаях вы не обойдетесь без знаний и основного "толмуда" readme.txt -Он длинный, но он длинный не просто так. zapret - не простая удобная программа для пользователя, это довольно сложный метод. +При использовании autottl следует протестировать как можно больше разных доменов. Эта техника +может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах +она стабильна, на третьих полный хаос, и проще отказаться. + +8) Запустите install_easy.sh. +Выберите nfqws или tpws, затем согласитесь на редактирование параметров. +Откроется редактор, куда впишите найденные стратегии. +Для nfqws отдельно настраиваются стратегии на http и https для ipv4 и ipv6. +То есть по максимуму 4 разных варианта. +NFQWS_OPT_DESYNC - это общая установка, которая применяется, если какой-либо уточняющий параметр не задан +NFQWS_OPT_DESYNC_HTTP и NFQWS_OPT_DESYNC_HTTPS заменяют стратегию для http и https. +Если у вас включен ipv6, то они так же будут применены и к ipv6. Если для ipv6 нужна другая стратегия, +то можно задать уточняющие параметры NFQWS_OPT_DESYNC_HTTP6 и NFQWS_OPT_DESYNC_HTTPS6. +Если стратегии для ipv4 и ipv6 отличаются лишь ttl, то в целях экономии ресурсов роутера (меньше процессов nfqws) +следует отказаться от использования специфических для ipv6 установок. Вместо них использовать параметры +--dpi-desync-ttl и --dpi-desync-ttl6 в общих установках. Таким способом можно заставить один процесс nfqws +обрабатывать трафик на ipv4 и на ipv6 с разным ttl. + +Важным вопросом является вопрос о поддержке http keep alive. +Отвечайте N. Если вдруг на http сайтах будут хаотические сбои типа то загружается, то заглушка или сброс, +попробуйте включить поддержку keep alive. Но просто "на всякий случай" не включайте - это увеличит нагрузку на роутер. + +Если это не помогает, или хаотичное поведение наблюдается и на https, то еще раз прогоните blockcheck +с установленным числом попыток проверки не менее 5. Возможно, ваш провайдер использует балансировку нагрузки, +где на разных путях установлен разный DPI. 9) На все остальные вопросы install_easy.sh отвечайте согласно выводимой аннонтации. 10) Если ломаются отдельные незаблокированные ресурсы, следует вносить их в исключения, либо пользоваться ограничивающим ipset или хост листом. Читайте основной толмуд readme.txt ради подробностей. -Это минимальная инструкция, чтобы соориентироваться с чего начать. +Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея. +В некоторых случаях вы не обойдетесь без знаний и основного "толмуда". Подробности и полное техническое описание расписаны в readme.txt diff --git a/docs/readme.txt b/docs/readme.txt index d053eb4..ec350c3 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -1061,6 +1061,10 @@ install_easy.sh при апгрейде zapret сохраняет этот фа В этом случае задайте несколько повторов одного и того же теста. Тест будет считаться успешным только, если все попытки пройдут успешно. +При использовании autottl следует протестировать как можно больше разных доменов. Эта техника +может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах +она стабильна, на третьих полный хаос, и проще отказаться. + Выбор параметров ----------------