Обновить

Как починить блокировку легальных сайтов РКН ТСПУ одной строчкой в Chrome

Уровень сложностиПростой
Время на прочтение2 мин
Охват и читатели90K
Всего голосов 112: ↑108 и ↓4+122
Комментарии77

Комментарии 77

ЗакрепленныеЗакреплённые комментарии

Нужно уточнить, что это может помочь при "сибирской блокировке" в вариации с учитыванием фингерпринта браузера, но не для других случаев (их довольно много). А так любопытная находка, спасибо.

Плюс, пригодится

Нет такого в обоих браузерах. Либо не совсем подробно описан способ активации.

В каких браузерах проверяете?
У меня это есть в Chrome версии:148.0.7778.217 (официальная сборка) (64 бит)
Обновил браузер до 149.0.7827.103 и тоже есть, поищите по названию CNSA

Сейчас проверил: есть в Brave, Chrome, Opera. В Edge нету - проверял на ПК.

Версия: 149.0.7827.54 (официальная сборка) (arm64) Сейчас попробовал еще - нет, видимо на MacOS свои заморочки.

Мне Хром нашел просто по CNSA

Если же Вы владелец сайта, то попробуйте отключить TLS 1.3 - это кому-то помогает. (я серьезно, хотя у многих со времен Cloudfalre отключен).

Ммм... Зачем отключать на сайтах поддержку современного TLS протокола?

К сожалению, он слишком современный для наших реалий. Надеюсь, что не придётся к WAP возвращаться. Его хотя бы ещё не блокируют, а могут.

https://habr.com/ru/news/856342/ - по крайней мере это ещё было актуально 2 года назад.

Вы можете и не отключать, но сейчас я сижу в профильных чатах и люди пишут что это им помогает, то есть не я рекомендовал, они сами писали - мол, отключили, работает.

Но это не решение полноценное. Просто с включенным TLS 1.3 РКН SNI зашифрован и не видно к какому сайту обращается пользователь. Я это понимаю так.

Даже с TLS 1.3 SNI передаётся в открытом виде. Просто РКН блокирует некоторые TLS отпечатки, а смена версии TLS тоже меняет отпечаток.

Не надо было протокол отключать, надо было надстройку Encrypted ClientHello (ECH) отключить в настройках cloudflare. Но сейчас вроде как в принципе весь cloudflare в чёрных списках.

Ага, а давайте вообще выбросим все эти сертификаты/шифрование и в заголовках сразу будем передавать паспортные данные и ходить только на белый список...

Отлично, так и напишем "по многочисленным просьбам граждан теперь запрещено шифрование на всех сайтах"

Некоторые православные балалайки очень своеобразно пропускают tls 1.3

Включил этот флаг, но те же alpinejs.dev и laravel-livewire.com (ну вряд ли же они в списках???) как грузились без ресурсов, так и грузятся. Может, оно другое что-то лечить должно?…

Подтверждаю, не сработало для данных сайтов (на пк и моб)

Может с той стороны блок?

Так это ж сайты не в РФ. По-любому у них статика за CDN. Практически все иностранные CDN в РФ в блоке.

Это другого класса проблема, 16-20 или просто блок по CIDR (L4) и/или по SNI (L7), например.

Эти сайты не грузятся из-за того, что они под Cloudflare.

Хабр, а в Файрфоксе настройка security.tls.version.min = 4 не то же самое делает?

Или она только повышает ТЛС до 1.3 и ничего больше?

Это кардинально меняет порядок шифров в TLS-отпечатке Chrome

И второй вопрос для знатоков шифрования: а можно ли подобный трюк провернуть в PuTTY? Чтобы работу SSH стабилизировать.

Я понимаю, что там нет TLS, но там тоже и набор разных шифров и алгоритмов обмена ключами, т.е. определённое пространство для манёвра имеется.

а в Файрфоксе настройка security.tls.version.min = 4 не то же самое делает?

Вроде только версию tls двигает. Типа если 4 стоит, то Коннект идёт только с сайтами, у которых tls 1.3 версии и никакой другой.

А по поводу putty не особо понял, если честно.. вы можете попробовать ssh во что-нибудь обернуть, чтобы рукопожатие было рандомное с разными отпечатками. Правда скорость потеряете.. да и вроде ssh пока работает стабильно.

Можно примерно по следующей схеме -

У вас есть сервак в РФ, к нему идёт wg или ovpn, а от сервака в РФ до другого уже ssh. По-сути это обмен данными с зарубежными сервисами (мало ли вам для работы :) ) и легковесно выйдет по идее.

Ну а про бс, вы итак, думаю, знаете.

Если не так понял, объясните, пожалуйста)

вы можете попробовать ssh во что-нибудь обернуть, чтобы рукопожатие было рандомное с разными отпечатками

Да, я понимаю, но для текстового протокола для управления серверами городить "отдельный огород" как-то не хочется.
Да и в какой-то степени моим "убеждениям противоречит" - ладно для посиделок в сети и ТГ, понятно - нужно принимать меры. Но для самого базового уровня рабочих задач... Прямо чешется изобрести что-то простое и изящное.

да и вроде ssh пока работает стабильно

Увы, у меня с конца марта агрессивно режут, да и до этого при передаче файлов обрывалось - из-за этого и пытаюсь разобраться.

У вас есть сервак в РФ, к нему идёт wg или ovpn, а от сервака в РФ до другого уже ssh

WG и OVPN не пробовал, но думаю, что их быстро задетектят, там же протоколы никак не скрываются. Схему, конечно, понимаю, ещё раз спасибо.

Кстати, если есть два сервера, то для SSH можно ещё внутри него самого ssh -J пробовать, но и тут уже первый канал обрезать могут :)

У меня самого есть ssh туннель на крайний случай - если айпишник не в бане, то работает, пока прокатывали. Во всяком случае, если использовать http injector. На ПК же, использовал shuttle с самодельной обёрткой и парой скриптов, вышло очень медленно, а потом он отвалился, к сожалению, причины не знаю, да и копаться времени не было, к сожалению.

А почему wg и ovpn предложил - внутри страны они не заболочены, а вот если идут за границу, то все, обруб. Во всяком случае пока так. Vless до сервера без какой-нибудь обфускации лучше не пускать, по опыту криворукому говорю) не нравится такой трафик тспу, вот блочить начали.

По поводу обрубки первого канала согласен, тут уж ничего не придумать. А так.. ну не знаю, я через ssh спокойно Ютуб в 4к смотрел (сейчас амнезия стоит) и норм. На телефоне конечно удобнее - маршрутизацию настроил и все. На ПК сложнее, но увы, реалии..

К слову, конечно не факт, что поможет, но попробуйте порт для ssh поменять, иногда помогает. А так, насколько помню, могут рубить, если долго сидишь к одному адресу подключенным. По идее, если получится сделать автопереподключение через n ное время, то может сработать. Ещё и смену порта автоматической сделать и как будто если ssh не будет в бане, то и фиг забанят

да и вроде ssh пока работает стабильно.

SSH легко попадает в 16к блок сейчас. Соответственно, сессия до сервера с неудачным адресом/хостингом будет регулярно подвисать и заставлять переподключаться. Если не используется tmux/screen - то с потерей контекста и убийством запущенного в сессии софта.

Включил, разницы не обнаружил

Попробуйте 2-й способ, опубликовал

Не помогло ничего. Все проверенные сайты по чебурчеку заблочены по пункту CDN.

Самая главная проблема этих долбаных блокировок в том что ты не понимаешь почему что-то отвалилось. То ли твой косяк, то ли блокируют наши, то ли блокируют западные, то ли просто так звёзды сошлись...

Например, сегодня перестала работать квн на iPad. На айфоне и Айподе работает один и тот же.

Что только не делал, не один клиент даже через тоннель в России так и не заработал. После перезагрузки устройства начинает чуток фурычить и перестаёт.

Когда они обход блокировок блокируют, это хоть как-то ожидаемо. Но когда узнаешь, что твой сайт у части аудитории недоступен и концов не найти - необычные ощущения.

Прочитал, будто сам написал. Ситуация 1в1. Просто пол дня в никуда. Все подергал, все что можно покрутил, до поддержки Тильды докопался, до провайдера тоже. Вспомнил, что кое-какая статика на внешке по счастливому случаю в Beget лежит. Отключил - сайт ожил. Пошел в Beget разбираться, а у них самих главная лежит. Позвонил, потом написал, подтвердили. Отлегло с одной стороны. С другой стороны надо куда-нибудь завтра переехать со статикой желательно с такой же стоимостью. Только куда, вопрос.

необычные ощущения

Не то слово. Чувствуешь себя как во сне. Бьёшься над этим и чувствуешь, что начинается какая-то легкая шизофазия. А потом вспоминаешь, что мы все так или иначе находимся в коматозном сне Жириновского, и вроде бы даже легче становится...

Основателям интернета не снилось что узлы будут не бомбить, а массово саботировать прямо в собственных сетях. РКН с его чудо-хреновинами было сложно предугадать.

Да ладно, истории с “вражескими голосами” тогда уже знали. С интернетом то же самое, только на “голоса” еще и отвечать стало можно.

Нужно уточнить, что это может помочь при "сибирской блокировке" в вариации с учитыванием фингерпринта браузера, но не для других случаев (их довольно много). А так любопытная находка, спасибо.

В Vivaldi не помогло (Spaceweb/Билайн)

Другой вариант попробуйте, добавил

HTTP/2 и был включен, а вот как раз ночью TLS 1.3 отключил - заработало. Но, на удивление, заработал и другой сайт на этой же VPS, где TLS 1.3 остался включен. Может быть просто совпадение и они включились даже не из-за этого.
Но может и нет - ведь тот, где я отключил TLS 1.3, намного более посещаемый, и возможно ТСПУ именно на него триггерился, если исходить из вашей версии про число соединений. А второй просто за компанию заблокировался, так как на том же IP.

"А второй просто за компанию заблокировался, так как на том же IP"
Блокируется не сайт, а Ваше соединение до сайта.

Скорее всего вы обращались к сайту где TLS 1.3 попадали в бан и не могли обратиться к другому сайту, так как тот же айпи. Там же по IP проверки. Я думаю было так.

Спасибо тебе, добрый человек!
С этим долбаным ковровым ТСПУ, зацепило и кучу вполне легитимных сайтов, reaa.ru например - а совет помог (chrome). Теперь туда можно зайти без квн.

Рад, что у Вас получилось

Очень хаотично работают блокировки. У меня, например, через Таттелеком в Firefox открывается сайт.

Билайн\Brave - Помогло, сам на бегет заходил.

Спасибо, сработало, (на пока). Chrome не открывал сайты через сервер dns. Причем на более старых Андроидах открывап, а на современном chrom / android не работало, пользовался другим браузером.

Автор, что именно ты пытаешься разблокировать ?
IP адреса Cloudflare CDN, Hetzner, OVH, Digital Ocean в чёрном списке, вся AS. Хоть как угодно меняй протоколы, как оно поможет то ?

с 5 июня: Массовый сбой сайтов на хостингах Beget, TimeWeb, Selectel и SpaceWeb из-за обновления настроек ТСПУ. Суть в том что на этих хостингах и других, пользователи просто не могут зайти на свои сайты, ну и клиенты тоже. Получают таймаут. Это решение.

Проблема никуда не делась. Я же писал в начале про Beget

Кстати вангую на 1dedic тоже может что-то будет с ним. Ибо вчера внезапно пропал доступ к нему у многих, но не у всех. И к серверам и к панели управления. У нас доступы пропадали именно через несколько дней после подобных казусов, на спринтхосте в начале апреля и вот на бегете в июне.

Потому что есть другие ресурсы, попавших под раздачу, и не находящихся за их CDN/AS.

Первое что приходит в голову: сайт производителя eltex, сайты некоторых местных магазинов и ТРК, которые теперь можно не роутить через VPN, благодаря автору.

Регион: Урал, если это имеет значение.

Например, yougile.com -- российский аналог Trello, хостятся на Селектеле в Москве, законы РФ соблюдают. Мы с ребятами перешли на него несколько лет назад ровно чтобы нас случайно не задели веерные блокировки. И сегодня надо же такому случиться! Его заблокировали! Соединение зависает после ClientHello, всё по классике. YouGile респект тоже, они довольно оперативно подняли зеркало в облаке Яндекса, скорее всего им это вышло в копеечку, но доступность частично восстановлена.

У нас еще прикольнее с блокировками. По крайней мере мы так думаем. У нас вебгл игра на яндексе мультиплеер. В один день хостинг с нашими серверами упал на некоторое время и поднялся. Потом через несколько дней у многих пользователей пропал доступ к нашим серверам (options, post, get запросы), ну мы подумали, что хостинг так себе и сменили. Спустя 2 месяца этот хостинг падает и через пару дней начинается та же проблема. Забавно так совпало конечно. При этом в обоих случаях всё работало, если включен VPN, или антивирус касперского (если его отключить - снова доступа нет) и еще присутствовал некий рандом, будет ли коннект или нет :)
Смотря в логи, я видел, что от клиента приходит запрос (например options перед post), сервер отвечает, но в браузере почему-то показывает, что ответ не пришёл и всё заканчивается таймаутом. Вот сегодня подняли прокси на яндекс клауде, пока живём. Теперь я хожу с мыслями, что хостинги падали не случайно)))

drweb.ru не починился (хотя он хостится в РФ). в chrome не открывается, в firefox открывается. macos если что

Понизил TLS до 1.2 - сайты везде заработали.

Да, это один из способов, главное чтобы у других тоже работало

Не работает

Попробуйте другой новый способ из статьи, по результату отпишитесь)

На работе попробовал - не работает

Добавил другой способ, попробуйте)

Жаль, что для Firefox эти специфические флаги не работают (их нет), так как это проприетарные механизмы Chromium. Я попробовал сделать что-то аналогичное (ArchLinux и MacOS):

  1. Принудительное использование конкретных шифров (аналог CNSA) и отключение TLS 1.3 с помощью security.tls.version.max =3 и все security.ssl3.*

  2. Изменение User-Agent и заголовков с помощью network.dns.echconfig.enabled = true и network.dns.http3_echconfig.enabled = true

  3. Аналога #enable-benchmarking не нашел

В общем, не работает. Может кто тоже пытался поиграться с настройками Firefox?

Дело в том что в Firefox в целом проблемные сайты работают (у меня и по сообщениям других).

Посмотрел Firefox:
security.tls.version.max 4 на 3 - меняет отпечаток JA4 и в целом по аналогии с хромом должно работать, но у меня нет проблемы чтобы произвести это детально

отключить использование протокола TLS 1.3 выставив в about:config параметр security.tls.version.max в значение “3”. При этом может быть нарушена работа с серверами, поддерживающими только протокол TLS 1.3 и отключившими поддержку TLS 1.2.

Возможно это зависит от региона и прова. На проводе и десктопе ArchLinux, Debian - Firefox открывает(из комментов: beget.com, alpinejs.dev, laravel-livewire.com, reaa.ru)

07.11.2024 Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ

network.dns.echconfig.enabled и network.dns.http3_echconfig.enabled в false
security.tls.version.max 4(TLS 1.3)
DNS over HTTPS https://dns10.quad9.net/dns-query
В Network-Manager DNS 9.9.9.10, 1.0.0.1, 8.8.4.4

Попробовал на яндекс-браузере второй вариант, теперь он не запускается... Че делать? Как вернуть обратно как было?

--disable-field-trial-config

Яндекс падает после включения ключа "benchmarking", да. Параметра стандарта CNSA во flags этого браузера нет.

Откройте в Notepad++ файл json "Local State" в папке профиля "User Data"

%LOCALAPPDATA%\Yandex\YandexBrowser\User Data\Local State

Найдите в этом файле строки "experiments" и удалите новые параметры по их аналогичным интуитивным именам. Нажмите по окончании "Сохранить" / "Save". Мне это помогло.

На крайняк, файл "Local State" можно удалить. Он будет пересоздан с потерей некоторых настроек браузера. Если ваш профиль синхронизируется с облаком Яндекса, то это не очень страшно imho

Не используйте Яндекс браузер, серьёзно не надо

Ищите Enable benchmarking - включаете Match Field Trial Testing Config

Делал это всё на Яндекс Браузере и после он сломался - не может запуститса, пишет ошыбку. Установить сверху не даёт, вылетает на 79%

Похоже, придётся переустанавливать.

Ага, помогла полная переустановка.

У меня нет яндекс браузера, но судя по информации с интернета: браузер работает на движке Blink. Способы из статьи для браузеров с движком на базе Chromium.

Ну так Chrimium под капотом Blink и юзает. Это часть проекта Chromium, базируется на движке WebKit, точнее форк WebKit

тогда без понятие, не знаком что там и кто юзает..) в моем понимании я браузер что-то чужое и непонятное)

Не используйте Яндекс браузер... Серьёзно, не надо

Заработал ЖЖ. Первый способ.

А что, и ЖЖ сломали? Стоило уехать в отпуск...

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации