NS-сервер на домене path3_new.qcomgeo2.com обрабатывает EDNS Client Subnet, и возвращает embargo независимо от того, где расположен сам резолвер, так что нужен какой-то резолвер, который не добавляет IP-адрес клиента в запросы.
mkfs.ext4 -O '^resize_inode' отключит резервные inode, которые выделяются для возможности их добавления при ресайзе диска в сторону увеличения. Если вы не собираетесь ресайзить файловую систему, то эту опцию можно безболезненно отключить.
mkfs.ext4 -N 1000000 статически задаст количество inode'ов — это основной элемент, «расходующий» свободное место диска и увеличивающийся с его размером.
mkfs.ext4 -T largefile задаст тип файловой системы в "largefile" — оптимизация распределения и количества inode'ов под конкретный сценарий использования. Возможные значения и их конкретные параметры смотреть в /etc/mke2fs.conf.
У меня есть только один канал, где не подключается IPsec: Корбина/Билайн Екатеринбург (as3253).
На этом канале блокируются все UDP-пакеты длиной более 1366 байт, независимо от содержания и порта. IPsec работает по UDP и использует пакеты более 1366 байт, поэтому не подключается. При этом, на канале нет каких-либо проблем с MTU или с прохождением фрагментированных IP-пакетов (например, ping -s 1600 работает в обе стороны, т.е. и уходят, и приходят два IP-фрагмента, как и TCP с MTU 1500, без уменьшения TCP MSS на какой-либо из сторон).
сегодня всё чаще закрывают не из РФ, а от РФ, так что этого недостаточно. поддерживать и постоянно актуализировать список всех заблокированных с обеих сторон ресурсов — то ещё удовольствие.
Для этого существует разделение на distro-список, который поставляет автор контейнера, и custom-список, который пользователь может редактировать самостоятельно.
К тому же, это решение можно использовать и на стороне сервера, машрутизируя разные домены в разные VPN-каналы на сервере, а не на клиенте (у клиента один конфиг к одному серверу, а сервер сам решает, через какую страну маршрутизировать).
Есть подозрение, что блокируют не конкретно IPsec, а набор байтов, который совпадает с одним из пакетов IPsec.
Если у кого-то продолжается фильтрация, запишите дамп трафика в формате PCAP. Необходимо установить Wireshark, установить фильтр "port 500 or port 4500", начать запись дампа, попробовать подключиться к IPsec, дождаться ошибки, остановить запись дампа и сохранить в файл.
В отличие от обычных VPN, осуществляющих перенаправление отдельных IP-адресов или диапазонов средствами маршрутизации ОС, VPN АнтиЗапрета использует маршрутизацию на основе доменных имен, с помощью специального DNS-сервера, созданного для этой цели.
На VPN-сервере запущен специальный DNS-резолвер, устанавливающий отображение (соответствие, маппинг) настоящего IP-адреса домена в свободный IP-адрес большой внутренней подсети, и отдающий запрашиваемому клиенту адрес из внутренней подсети.
У такого подхода есть множество преимуществ:
Клиенту устанавливается только один или несколько маршрутов, вместо десятков тысяч маршрутов;
Маршрутизируются только заблокированные домены, а не все сайты на заблокированном IP-адресе;
Возможность обновления списка заблокированных сайтов без переподключения клиента;
Корректная работа с доменами, постоянно меняющими IP-адреса, и с CDN-сервисами;
Корректная работа с провайдерами, блокирующими все поддомены заблокированного домена (блокировка всей DNS-зоны). Пример такого провайдера — Yota.
Но есть и минусы:
Необходимо использовать только DNS-сервер внутри VPN. С другими DNS-серверами работать не будет.
Работает только для заблокированных доменов и программ, использующих доменные имена. Для заблокированных IP-адресов необходимо использовать обычную маршрутизацию.
Используйте Secure Web Proxy (HTTPS-прокси) / shadowsocks / любую другую технологию. Системы DPI у многих провайдеров анализируют трафик даже в незашифрованных прокси.
Готово.
Когда ввели платные файлы, я прошелся кнопкой «пожаловаться» по всем своим с просьбой их все удалить, но администратор их не удалил.
Inoi_101_FW_hackedgames_nofunbox.zip
Inoi_101_FW_hackedgames_nofunbox_fixvolume.zip
https://buildroot.org/
Spreadtrum firmware dumper for Linux (SC6531E/SC6531DA)
https://github.com/ilyakurdyukov/spreadtrum_flash
NS-серверы домена также блокируют и резолверы, расположенные в России.
В примере выше в качестве Client Subnet указан адрес резолвера Google в России, а не клиентский диапазон IP-адресов какого-либо из провайдеров РФ.
Вполне нормальный вариант.
См. принцип https://bitbucket.org/anticensority/antizapret-vpn-container/src/
NS-сервер на домене
path3_new.qcomgeo2.com
обрабатывает EDNS Client Subnet, и возвращает embargo независимо от того, где расположен сам резолвер, так что нужен какой-то резолвер, который не добавляет IP-адрес клиента в запросы.https://dns.google/query?name=path3_new.qcomgeo2.com&rr_type=A&ecs=172.68.12.0%2F24
Я не слежу за full-mesh VPN'ами, но из современных слышал о Tailscale и Zerotier, попробуйте их.
https://bitbucket.org/anticensority/russian-unlisted-blocks/src/master/readme.txt
Также на Philips E182, Philips E109 встречается прошивка с бекдором.
Чтобы убедиться в этом, наберите *#8375#. Если в "[BUILD TIME]" стоит 23 или 24 декабря 2019 года — прошивка с вирусом. Если май или июнь — чистая.
@Vitan1сообщает об отправке СМС на модели DIGMA LINX A102:
https://market.yandex.ru/product--telefon-digma-linx-a102-2g/1969392616/reviews
Возможно, это: https://bugzilla.kernel.org/show_bug.cgi?id=212185
mkfs.ext4 -O '^resize_inode'
отключит резервные inode, которые выделяются для возможности их добавления при ресайзе диска в сторону увеличения. Если вы не собираетесь ресайзить файловую систему, то эту опцию можно безболезненно отключить.mkfs.ext4 -N 1000000
статически задаст количество inode'ов — это основной элемент, «расходующий» свободное место диска и увеличивающийся с его размером.mkfs.ext4 -T largefile
задаст тип файловой системы в "largefile" — оптимизация распределения и количества inode'ов под конкретный сценарий использования. Возможные значения и их конкретные параметры смотреть в /etc/mke2fs.conf.У меня есть только один канал, где не подключается IPsec: Корбина/Билайн Екатеринбург (as3253).
На этом канале блокируются все UDP-пакеты длиной более 1366 байт, независимо от содержания и порта. IPsec работает по UDP и использует пакеты более 1366 байт, поэтому не подключается.
При этом, на канале нет каких-либо проблем с MTU или с прохождением фрагментированных IP-пакетов (например, ping -s 1600 работает в обе стороны, т.е. и уходят, и приходят два IP-фрагмента, как и TCP с MTU 1500, без уменьшения TCP MSS на какой-либо из сторон).
Для этого существует разделение на distro-список, который поставляет автор контейнера, и custom-список, который пользователь может редактировать самостоятельно.
К тому же, это решение можно использовать и на стороне сервера, машрутизируя разные домены в разные VPN-каналы на сервере, а не на клиенте (у клиента один конфиг к одному серверу, а сервер сам решает, через какую страну маршрутизировать).
Есть подозрение, что блокируют не конкретно IPsec, а набор байтов, который совпадает с одним из пакетов IPsec.
Если у кого-то продолжается фильтрация, запишите дамп трафика в формате PCAP. Необходимо установить Wireshark, установить фильтр "port 500 or port 4500", начать запись дампа, попробовать подключиться к IPsec, дождаться ошибки, остановить запись дампа и сохранить в файл.
Задача решена эффективно и конкретно под Россию на голову выше предлагаемых альтернатив: https://bitbucket.org/anticensority/antizapret-vpn-container/src/
Не понимаю, почему её никто не крадёт.
Особенности VPN
Нестандартный способ маршрутизации
В отличие от обычных VPN, осуществляющих перенаправление отдельных IP-адресов или диапазонов средствами маршрутизации ОС, VPN АнтиЗапрета использует маршрутизацию на основе доменных имен, с помощью специального DNS-сервера, созданного для этой цели.
На VPN-сервере запущен специальный DNS-резолвер, устанавливающий отображение (соответствие, маппинг) настоящего IP-адреса домена в свободный IP-адрес большой внутренней подсети, и отдающий запрашиваемому клиенту адрес из внутренней подсети.
У такого подхода есть множество преимуществ:
Клиенту устанавливается только один или несколько маршрутов, вместо десятков тысяч маршрутов;
Маршрутизируются только заблокированные домены, а не все сайты на заблокированном IP-адресе;
Возможность обновления списка заблокированных сайтов без переподключения клиента;
Корректная работа с доменами, постоянно меняющими IP-адреса, и с CDN-сервисами;
Корректная работа с провайдерами, блокирующими все поддомены заблокированного домена (блокировка всей DNS-зоны). Пример такого провайдера — Yota.
Но есть и минусы:
Необходимо использовать только DNS-сервер внутри VPN. С другими DNS-серверами работать не будет.
Работает только для заблокированных доменов и программ, использующих доменные имена. Для заблокированных IP-адресов необходимо использовать обычную маршрутизацию.
Схематичное представление:
Обычная способ маршрутизации также применяется, но только для больших диапазонов заблокированных адресов (всего несколько маршрутов).
Используйте Secure Web Proxy (HTTPS-прокси) / shadowsocks / любую другую технологию. Системы DPI у многих провайдеров анализируют трафик даже в незашифрованных прокси.
https://ntc.party/t/youtube/2476/