Дом.ру (ЭР-Телеком): ERR_CERT_COMMON_NAME_INVALID *.ertelecom.ru (перенаправление DNS работает не всегда?)

[Athari]

Operating system / операционная система

Windows 10 Version 22H2 (Build 19045.4780)

Running as service / Запуск программы как сервис

I run it as a regular program / Запускаю программу обычным образом

Describe the bug / Опишите ошибку программы

Запускаю командой:

x86_64\goodbyedpi.exe -9 --dns-addr 77.88.8.8 --dns-port 1253 --dnsv6-addr 2a02:6b8::feed:0ff --dnsv6-port 1253 --blacklist C:\Apps\GoodbyeDPI\russia-blacklist.txt --blacklist C:\Apps\GoodbyeDPI\russia-youtube.txt

Ютуб и большинство сайтов работают, но на части сайтов периодически, без какой-либо закономерности, ловлю ошибку ERR_CERT_COMMON_NAME_INVALID, причём там не какие-то глюки с передачей сертификата как в #200, а преднамеренная замена на сертификат ЭР-Телекома.

Your connection isn't private

Attackers might be trying to steal your information from rezka.ag (for example, passwords, messages, or credit cards). Learn more about this warning

net::ERR_CERT_COMMON_NAME_INVALID

Subject: *.ertelecom.ru

Issuer: GlobalSign RSA OV SSL CA 2018

Expires on: Jul 15, 2024

Current date: Sep 10, 2024

PEM encoded chain:
-----BEGIN CERTIFICATE-----
MIIGlTCCBX2gAwIBAgIMEndQsZyDKj4WeKyUMA0GCSqGSIb3DQEBCwUAMFAxCzAJ
BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSYwJAYDVQQDEx1H
...

По ощущениям перенаправление DNS работает абсолютно случайно, и довольно часто домен резолвится в ertelecom.ru.

---

Если отключаю GoodbyDPI, то ловлю ошибку обрыва соединения:

Hmmm… can't reach this page

The connection was reset.
Try:

• Checking the connection
• Checking the proxy and the firewall

ERR_CONNECTION_RESET

---

Если отключаю перенаправление DNS и запускаю командой:

x86_64\goodbyedpi.exe -9 --blacklist C:\Apps\GoodbyeDPI\russia-blacklist.txt --blacklist C:\Apps\GoodbyeDPI\russia-youtube.txt

то ошибка сертификата в 80% случаев, в остальных обрыв.

Additional information / Дополнительная информация

Microsoft Edge 128.0.2739.67 (Official build) (64-bit)
Chromium version 128.0.6613.120
GoodbyeDPI v0.2.2 (0.2.3rc1-2)

[johnnyd-78]

С каких пор для ЭРа стал нужен -9, если там достаточно -e 2 --reverse-frag --wrong-seq + DoH в браузере, для верности

То есть goodbyedpi.exe -e 2 --reverse-frag --wrong-seq --blacklist ...

[Athari]

@johnnyd-78

-9 — сейчас опция по умолчанию, как я понимаю, поэтому выбрал её.

Попробовал -e 2 --reverse-frag --wrong-seq с редиректом DNS и без. На заблокированных сайтах симптомы прежние (то грузит, то ругается на сертификат *.ertelecom.ru), ютуб тормозит. Для ютуба дополнительные ключи нужны?

У долбаного Edge опция Secure DNS отваливается, если политики настроить, и мне было лень включать-выключать. Хотя я уже забыл, что я там с политиками мутил, можно отрубить...

[johnnyd-78]

Редирект не нужен, при использовании DoH это как 5-е колесо у телеги. Попробуйте этот
https://dns.comss.one/dns-query

Никаких доп. ключей не нужно, ни для ютуба, ни для других сайтов. Домруха отравляет DNS запросы, поэтому и нужен DoH, желательно не забаненный по IP и малоизвестный

[AKotov-dev]

@Athari
...как варианты?

1. Simple DNSCrypt + запуск 1_russia_blacklist.cmd
2. WARPActivator - если кругом задница и ничего не помогает

@johnnyd-78
Если Вас не затруднит, хотел бы поинтересоваться Вашим мнением, - почему в 1_russia_blacklist_dnsredir.cmd прописан редирект DNS на сервера яндекса? Это же моветон, поскольку y контролируется "нашими парнями" + вдобавок он сам себе ограничивает выдачу?

start "" goodbyedpi.exe -9 --dns-addr 77.88.8.8 --dns-port 1253 --dnsv6-addr 2a02:6b8::feed:0ff --dnsv6-port 1253 --blacklist ..\russia-blacklist.txt --blacklist ..\russia-youtube.txt

Т.е. редирект "из огня да в полымя" = goto в российскую юрисдикцию. Понятно, что фишка в изменении пакетов, но ведь первое место, куда полезут что-либо расчленять/блокировать - это в подконтрольное звено. Как Вы думаете, почему автор использовал yandex-DNS как опорные? Спасибо.

[johnnyd-78]

@AKotov-dev Я, если честно, сам не понимаю, почему выбор автора пал именно на тындекс, видимо у него были на то причины (возможно из-за скорости обработки запросов или т.п. или из-за наличия у сервера нестандартных портов).
Я DNS-редирект через GDPI не использую. И клиентам не настраиваю. И проблемы юрисдикции его серверов меня волнуют мало, если честно. На моем прове это все не нужно + у меня везде прописан DoH (и там у кого нужно - тоже) - хочешь в браузерах, хочешь на уровне системы через YogaDNS (реже).

[055110]

https://dns.comss.one/dns-query

Они вроде адрес DNS сменили, нет?

[johnnyd-78]

У них 2 адреса, через контролайди и этот. У меня этот и как видите, я здесь

[RandomNamelessUser]

С каких пор для ЭРа стал нужен -9, если там достаточно -e 2 --reverse-frag --wrong-seq + DoH в браузере, для верности
То есть goodbyedpi.exe -e 2 --reverse-frag --wrong-seq --blacklist ...

Без понятия в чём причина, но с такими настройками ютуб грузит видео прям сильно медленнее, чем если просто нагородить всего подряд, вроде такого:
-q -r -m -f 2 -e 2 --frag-by-sni --wrong-seq --reverse-frag --max-payload --dns-addr 77.88.8.8 --dns-port 1253 --dnsv6-addr 2a02:6b8::feed:0ff --dnsv6-port 1253 --blacklist ..\russia-blacklist.txt --blacklist ..\russia-youtube.txt

[johnnyd-78]

Вы мое сообщение читали внимательно? Догадаетесь, чего вы не сделали?

[RandomNamelessUser]

Вы мое сообщение читали внимательно? Догадаетесь, чего вы не сделали?

Такого нет. DoH включено, перепробовал разных поставщиков ДНС, и гугловский, и яндексовский, и от Cloudflare, и другой тут предложенный. Быстрее всего было с яндексовским, но всё равно видео периодически не успевало прогружаться в процессе просмотра, регулярно стопорясь на 1-2 секунды. И даже пробовал переключать DoH в браузере обратно на дефолтный, а настройки GoodbyeDPI дополнять редиректом на яндекс. Но с упомянутым выше комплектом настроек всё равно получается быстрее, фризы проявляются только при ооочень долгом просмотре какого-нибудь жирного видео, длиной в несколько часов, или стримов.

[johnnyd-78]

А после того, как вы их все перепробовали, вы, надеюсь, кэш DNS очищали? Если нет, то все понятно...

[AKotov-dev]

@johnnyd-78
Дружище, это мрак какой-то... Неужели с виндой столько проблем? Вроде вся эта ерунда с блокировками закончилась арендой vps в Гваделупе?

[johnnyd-78]

@AKotov-dev Ну, какой мрак? Один раз настроить по уму и пользуйся, пока трехбуквенная организация/провайдер чего нового не накрутят. Мрак разве что в том, что в огнелисых и хромоногих та же очистка кэша DNS делается по-разному и все это детально описывать просто уже надоело.
Да все уже давно арендовано, но не используется для просмотра ютупчика, ибо это бред - гонять такой объем траффика через зарубеж )

@RandomNamelessUser Кстати, попробуйте еще поиграться с --set-ttl начиная с 2 и увеличивая на 1. Где всего быстрее будет, то значение и оставьте. Это нужно, чтобы фейк-пакеты дальше коробки ТСПУ не слались, ибо они там нафиг не нужны.

[AKotov-dev]

@johnnyd-78
OMG...

ValdikSS придёт - всем морды набьёт... Тема ушла от темы. OMG. Но истина была рядом... Простите нас за бурное обсуждение...

https://www.youtube.com/watch?v=Lu3kZOoJc70&list=RDMM&index=3

[AKotov-dev]

@johnnyd-78
Думаю, это будет интересно почитать всем: XTLS/Xray-core#2599 Китайская модель... Методы... Как Вы понимаете - вектор всего этого один. Они говорят о мессии, об индивидуальных протоколах. Важен подтекст. Очень грамотное изложение происходящего от наших друзей из Поднебесной.

Думаю, ещё тогда, наши друзья дали понять, что должен появиться ValdikSS или кто-то ещё. Я стал религиозен с годами... Но результат... Шокирует.

Возможно DNS от яндекса в редиректах - это демонстрация работы в стане врага. Ну что тут скажешь - амбициозно. Но врага не стоит недооценивать. Финансовое превосходство очевидно. Интеллект против финансовой системы. Не знаю, чем всё это закончится... Знаю одно - ни чем хорошим после падения магистралей.

OpenVPN и WireGuard снесли. Дальше, по логике SSTP и SSH. ))) Ну нет более простого способа потерять управление собственными ТСПУ. Замедлять? SSH? К этому всё придёт... Элементарный платёж в сбер не сделать... Наличие vpn - гарантия перегрузки каналов. Если смотреть глобально - vpn добро, а не зло.

p.s. простите за утверждение. Мнение субъективное конечно же...
https://www.youtube.com/watch?v=Lm6CHLpfuok
...это вам для повышения тонуса сутра...
https://www.youtube.com/watch?v=8hVaAnFxtAY&list=RDMM&start_radio=1&rv=3DayhyLxZqM

[AKotov-dev]

https://www.youtube.com/shorts/zH5pidspVyc

[FireoNIS]

goodbyedpi(19092024lastvers)dnsmoddedyandex.zip
Попробуй там dns yadnex изменён, у меня заработало
Юзал cmd 1_russia_blacklist_YOUTUBE_ALT, но может сработать и 1_russia_blacklist_YOUTUBE

[malo4asov]

Помогите я не шарю, у меня дом.ру. Можете поэтапно прописать что куда тыкать чтобы нормально все заработало? Проблемы: к примеру запускаю 1_russia_blacklist_dnsredir сайты вообще не открывает. Запускаю 1_russia_blacklist или 1_russia_blacklist_YOUTUBE в ютубе видео грузит секунд на 10 и все приходится обновлять страницу тогда дальше работает и грузит, я не знаю как объяснить как будто буферизация не срабатывает в первый раз и приходится видео по 2 раза открывать. Также к примеру rutracker.net и kinozal4me.site вообще не открывает... Приходится Censor Tracker в хроме включать, с ним rutracker и пр.. работает, но тогда с ним начинаются проблемы с ютубом, видимо как-то конфликт с goodbyedpi я уже заебался...

[dezgasting]

Тоже дом.ру, менял настройки как мог. Некоторые заблоченные сайты (рутрекер, archive of our own, rentry) периодически дропают с ошибкой связанной с https/сертификатами. Включая телекомовский, хотя это реже и обычно ток при определённых (щас уже не вспомню) настройках.
Перезагрузка раз 10-20 (а того и больше) обычно позволит сайт загрузить и как правило сохраняется, но периодически слетает и приходится опять спамить f5/ctrl+f5 пока не загрузит.
Ютуб знаю уже GDPI не спасёт (много раз об этом говорили уже в issues), но с сертифами проблема подбешивает.

[AKotov-dev]

@johnnyd-78
Привет, дружище... Похоже грипп у меня, колотит всего... Оставлю здесь ссылку, я переделку затеял у себя на гите... Ссылку на последний WARPActivator. Там исходники и сетап... А то как-то неудобно получилось с удалением темы. Всё, пойду антибиотики искать. Чего то хреново мне прям, сори. 100 лет не болел, а здесь бэмз... и припёрло в общем. Удачи.

p.s. сидел вот ночью, клип смотрел про... про... как бы сказать... ну про них... в общем: https://www.youtube.com/watch?v=sM1LOMZjFJ4 жена на работе, а потом пошло-поехало... Советы эти: это то не бери, бери вот это... В итоге нихрена я не взял, а нужно было. Кошмар Собой некогда заняться... Ну, Вы понимаете.

Зачем тему убрал: моя тема - Linux, а эта болталась там без дела. Windows... Глядя на то, как Валдис наводит порядок, решил и у себя немного порядок навести. Хотя... Какой тут уже порядок... Мда...

Почему в проектах закрыты issues: связано с этим. Через сервис нотификаций на почту валилась всякая дрянь. Нотификации, а следовательно issues отключены. Не люблю "толкотню". Скрывать Россию, как место проживания - глупо. Старый уже. Есениным на ночь зачитываюсь. Вспоминаю... Ну или роман какой взять с полки: "Хромой бес", например. В общем - очки, книга, толчёк. Это у вас, у молодёжи там... Бывают какие то перемены... Наше дело - на лавочке штаны протирать...

На большинство вопросов в почту не ответил, прости Валдис... Про кошек и семью отвечать не стану... Люблю кошек и картины Магритта. Всё... Пошёл таблетки пить... Удачи Вашему проекту.

С уважением,
Алекс