Насколько я понимаю, tls-crypt-v2 меняет только процедуру генерации соответствующего ключа. Никакие дополнительные метаданные по сравнению с tls-crypt не шифрует.
Я разобрался, почему никто не говорит про проблемы с докерным NAT и MTProto proxy. Их не то чтоб нет, но они маловероятны.
Официальный прокси мультиплексирует несколько пользователей в одно исходящее соединение. Т.е. исходящих соединений сравнительно немного.
Выбор исходящего портавнутри контейнера зависит от port_offset, который зависит от IP клиента. У каждого контейнера свой внутренний IP, поэтому при небольшом числе контейнеров и небольшом числе соединений конфликтов по исходящим TCP портам не случается.
SNAT и MASQUERADE, через которые трафик из контейнера уходит в интернет, не меняют порт при отсутствии конфликтов: where possible, no port alteration will occur.
Да-да. Так и должно быть. Но если это так, это означает, что инструкция имени schors по запуску telegrammessenger/proxy намного лучше, чем официальная. Что довольно забавно :-)
Да, на chaos communication congress в Германии :-)
См. https://bugzilla.mozilla.org/show_bug.cgi?id=1567114#c21
Вы перепутали корневой и промежуточный сертификаты в цепочке.
Порой, да.
К слову о.
Ссылка раз.
Ссыла два.
На уделке вчера под ногами валялись "конверты" от SIM'ок десятками :-)
Его докерную сборку обновили не так давно.
По идее, сейчас должен уметь.
В Корее, говорят, заблокировали ESNI.
Про Yota — недавно был опубликован прекрасный костыль.
Который тоже пока работает :-)
Насколько я понимаю,
tls-crypt-v2
меняет только процедуру генерации соответствующего ключа. Никакие дополнительные метаданные по сравнению сtls-crypt
не шифрует.TLS-handshake обфусцирует. Но там остаётся перманентный Session ID, опкоды и т.п. Для блокировки этого может быть достаточно.
В нём есть видео в кружочке же. :-)
Не то чтоб это было новостью :-)
"Мне нельзя в Бельдяжки". Уж извините, если разочаровал кого отсутствием агитпропа :-)
Конечно, может. И может как минимум ещё ограничивать число запросов в единицу времени.
Почитайте подробнее, как работает туннелирование в DNS. Ему не требуется доступ до "остальных" IP адресов, только до DNS-сервера провайдера.
Да. Судя по эксперименту, примерно так и есть.
С socks5 — работает нормально, а с mtproto — шейпится.
Грузятся. Но ужасающе медленно. Моя гипотеза, что йота MTProto шейпит как "нераспознанный" трафик. Но времени проверить пока не было.
Я разобрался, почему никто не говорит про проблемы с докерным NAT и MTProto proxy. Их не то чтоб нет, но они маловероятны.
port_offset
, который зависит от IP клиента. У каждого контейнера свой внутренний IP, поэтому при небольшом числе контейнеров и небольшом числе соединений конфликтов по исходящим TCP портам не случается.Да-да. Так и должно быть. Но если это так, это означает, что инструкция имени schors по запуску
telegrammessenger/proxy
намного лучше, чем официальная. Что довольно забавно :-)