Комментарии 26
Вы же в курсе, что в РФ QUIC заблокирован... ?
Можете сами проверить, взять свежий curl 8.11.1 с поддержкой HTTP3 и запросить
curl --http3-only https://example.org
Я вот как-то этот момент упустил. А где он заблокирован? У меня сайт на HTTP3 вроде исправно работает.
Да, именно протокол никто не блочит)
https://ntc.party/t/ограничение-http3-quic/1823/
Одно время его резали полностью, пока не научились расшифровывать.
Текущая ситуация по QUIC примерно такая. Опробовано порядка 12 провайдеров в RU из разных городов. На большинстве из них QUIC блокируется путем анализа SNI из расшифрованного QUIC initial. Если SNI плохой, то блокируется stateful все udp “соединение”. Анализируется только udp port 443.
Не заблокирован. Я полагаю вы хотели сказать что блокируются потоки, которые используются ECL (Encrypted Client Hello) - расширение для TLS протокола, которое позволяет шифровать запрашиваемый сайт. Так как QUIC использует TLS, то если TLS идущий поверх QUIC использует ECL, то такой поток скорее всего будет заблокирован.
Лучше конечно бы опцией в конфиге.
Для мимикрирования под общение веб сайта и клиента вебсайта нужен сетевой стек браузера либо сам браузер. Не имеет никакого смысла писать обертку вг прямо в квик. Фаерволл легко составит отпечаток поведения этой обертки, дифференцирует этот отпечаток от отпечатка сетевого стека браузера и забанит его. Я почти уверен, что китайский фаерволл уже сделал это, причём сделал сразу как только патч опубликовали.
QUIC в РФ действительно блокируют, просто не очень активно. В зависимости от провайдера, могут либо резать вообще long header, либо фильтровать по SNI из QUIC initial. У некоторых QUIC рубится конкретно в Chrome.
Но суть такова, что QUIC в РФ уже при смерти. Разворачивать на нем что-то нецелесообразно, отключат окончательно в любой момент. Для РКН нет смысла держать его рабочим, он дороже анализируется.
вот лишь бы сломать, лишь бы испортить...
а ведь создавалась эта контора как раз наоборот, типа для борьбы с недобросовестными провайдерами, которые развлекались прозрачными прокси с блокировкой всего что не нравилось (экономия трафика, жалобы обеспокоенных родителей и т.д.)
QUIC не причем. Дело в TLS ECL расширении. QUIC сам по себе это всего лишь транспорт. Сейчас львиная доля трафика в сети что провайдеров, что мобильных операторов идет с использованием QUIC.
Для мимикрирования под общение веб сайта и клиента вебсайта нужен сетевой стек браузера либо сам браузер. Не имеет никакого смысла писать обертку вг прямо в квик. Фаерволл легко составит отпечаток поведения этой обертки, дифференцирует этот отпечаток от отпечатка сетевого стека браузера и забанит его. Я почти уверен, что китайский фаерволл уже сделал это, причём сделал сразу как только патч опубликовали.
Вы сделали офигенную штуку.
AWG делается для OpenWRT автоматически через Github, может, и вы так же могли бы?
Не совсем понял о чем речь?)
Спасибо, что разбанили) уж искал, как с вами связаться
Для AWG есть пайплайны в Github для сбора под любую архитектуру OpenWRT например
посмотрю, но я сделал скрипт, который при наличии линукса без проблем соберет под ваш роутер, просто надо указать его ssh имя)
WireGuard и QUIC