پیدا کردن sni تمیز و روش مستقیم

[ashkan-moghadasi]

سلام روز بخیر
میشه راجع به نحوه استفاده از این برنامه در روش مستقیم چند خط توضیح بدید .موضوع پیدا کردن sni تمیز هم خیلی خیلی مهمه چه جوری میشه بدست آورد . و اینکه کانفیگ کاربر هم از sni ای که تو برنامه تنظیم کردیم استفاده کنیم یا خیر اصلا تاثیری داره یا خیر

[radkesvat]

ببینید کانفیگ کاربر نمیتونه از هر sni استفاده کنه بسته به پروتوکل هست اگه tls ساده فعال کردین مثل تروجان ، باید دقیقا دامنه خودتون که روش سرتیفکیت گرفتید بزارید برای sni کانفیگ v2ray

ولی مبحث sni برای این برنامه بیشتر چیز دیگه ایه، میشه گفت هر دامنه ای که در مرورگر باز میشه و سایت روش هست رو به عنوان sni برای تونل استفاده کرد و تونل با کانفیگ v2ray که شما میخواهید استفاده کنید ارتباط خاصی نداره و دیتا رو به هسته عبور میده

[radkesvat]

برای استفاده مستقیم فعلا این رو مطالعه کنید

#23 (comment)

[radkesvat]

برای پیدا کردن sni میشه هنگام وبگردی از تب نتورک کروم کمک گرفت همچینی میتونید سرچ کنید top 100 websites

و ان هارو تست کنید و همچینین ساب ها هم تست کنید

[ashkan-moghadasi]

من روی ایرانسل و رایتل با تنظیم یه sni یه سایت داخلی و تنظیم فیلد allow in secure =true سرعت خیلی خوبی دارم .
اما مشکل همراه اول و فیلتر کردن سه سوته آیپی و دامنه باعث شد به تانل فکر کنم . برای کانفیگ هام vmess + tcp+http header استفاده می کنم .
با تست های متعدد دارم می بینم که هم sni که تو کانفیگ کاربر می زنیم و هم sni تو برنامه شما در پینگ دریافتی خیلی موثر هست .
با توجه به اینکه allow in secure رو true می کنم شاید بشه گفت tls توی کانفیگم تشریفات الکی هست

[ashkan-moghadasi]

در صورتی که در sni نام دامنه خودمون رو تنظیم کنیم چون به صورت پلین ارسال میشه در tls ساده از این جهت فیلتر میشه .
قدیم همراه اول فقط ساب دامین مربوطه رو فیلتر می کرد و شما می تونستی بری یه ساب جدید تعریف کنی رو دامنه ولی این سری دو هفته پیش نام دامنه من بلکل فیلتر شد

[amirh55]

دامنه من هم دوهفته پیش به کل بلاک شد.
اگر از http header استفاده کنم مزیتی داره؟

[radkesvat]

وقتی allow insecure رو روشن کنید ، هند شیک هر دامنه ای بیاد از سایت مقصد هم دامنشو میپذیره و هم پابلیک کی از ca وریفای نمیشه و در نتیجه فایروال میتونه از ۲ روش تشخیص بده این حالت را و سرور خارج را بلاک کنه

[ashkan-moghadasi]

چند تا نکته :
1.در این حالت که شما فرمودید sni برابر نام دامنه خودمون باشه چون می دونم که این اطلاعات Plain تو بسته شما ذکر می شه در ترافیک بالا موجب فیلتر نام دامنه شما نمیشه ؟ من الان یه آیپی دارم همراه اول خودش فیلتر کرده ولی من از سرور آسیاتک هم پینگ دارم هم ssh پس اینکه فیلترینگ فقط لب مرز هست جسارتا به نظرم اشتباه هست
2.به نظرم با توجه به اینکه موضوع کانفیگ هم به عنوان یه قطعه از این پازل اهمیت زیادی داره (در ترافیک داخل قبل از خروج از کشور) یه راهنمایی بفرمایید دقیق چی استفاده بشه بهتره
3. من متوجه منظور شما از دو روشی که در بالا فرمودید فایروال فیلتر میکنه نشدم اگر مزاحم وقت شریف شما نمی شیم یه توضیح بیشتر بفرمایید ممنون می شم
4. ظاهرا مهندس رنج آیپی ها هم به شدت در فیلتر شدن یا نشدن سرور ها بسیار مهم هست

[ashkan-moghadasi]

تشکر از این که قابلیت مولتی پورت رو گذاشتید فقط اگر ممکنه بفرمایید اگر روی دو تا پورت مثلا 2096 و 2083 برای مثال کانفیگ داشته باشیم دستورات به چه شکلی میشن ؟

[radkesvat]

ببینید الان برنامه بازه ی پورت قبول میکنه مثلا میتونید بگید
--lport:2083-2096

پورت های مابغی روی سرور خارج بسته هستن در نتیجه دیتا روی اون پورت ها به جایی نمیرسن و قطع میشه کانکشن

[radkesvat]

ببینید sni به خودی خود دلیل بر فیلترینگ نیست ولی هر دامنه ای رد نمیشه از فایروال برای همین ما از sni دامنه های معروف استفاده میکنیم

به روش های reality, faketls , allow insecure

ولی روش allow insecure به سادگی قابل تشخیص هست توسط هم active detection و هم passive detection

مثلا فایروال میبینه با یه sni به خارج برای هند شیک فرستاده میشه و بعد سرتیفیکیت یه دامنه دیگه بر میگرده و با این حال (به خاطر allow insecure ) هند شیک تکمیل میشه در نتیجه این حالت رو Vpn تشخیص میده و میبنده

[ashkan-moghadasi]

سلام و روز شما بخیر
مهندس من دیشب نسخه قبلی رو تست کردم و خوب جواب گرفتم با sni که خودتون معرفی کردید .پینگ تقریبا زیر هزار بود.
امروز نسخه جدید رو روی یه سرور جدید داخلی همون دیتاسنتر نصب کردم
تنها تفاوت نسبت به دیروز این هست که bbr استاندارد رو نصب کردم . وهمچنین رنج آیپی داخلی از 193 دیروز شد 87
ولی متاسفانه اصلا جواب نیست برای sni هم از همون چیزی که خودت تو صفحه اول گفتی استفاده کردم.
به نظرت مشکل از کجا هست ؟ رنج آیپی داخل
از سرور ایران پینگ خوب دارم به خارج و ارتباط ssh هم بر قرار هست ولی از هر 10 تا پکت یکیش شاد جواب بده

[radkesvat]

والا پینگ من تست میکنم عادی هست حدود ۱۲۰

اگه واقعا پینگ بالای هزار هست و بعد با sni های مختلف نتیجه نمیگیرید مشکل آیپی هست و متاسافنه آیپی ها چند نوع فلگ دارند ایپی کثیف هست که وصل میشه ولی سرعت و پینگ و جیتر نابوده و ایپی هم هست که اصلا نمیشه بهش وصل شد

این sni هارو هم تست کنید

alexa.com

superuser.com

i.stack.imgur.com

oops.redditmedia.com

[ashkan-moghadasi]

منظورتون آیپی سرور ایران هست ؟ چون آیپی سرور خارج تغییری نکرده . ارتباطی به نصب bbr نداره ؟ و اینکه اون sni که توصفحه اول خودتون نوشتید تمیزه الان ؟

[radkesvat]

اونو چند روزی هست تست نکردم شاید هنوز تمیز باشه
منظورم ایپی سرور خارج بود و اینکه سرور ایران بسته به دیتا سنتر و فایروالی که روشه میتونه رفتار متفاوتی نصبت به یه ایپی خارج نشون بده
نصب bbr توصیه میشه خوبه

[radkesvat]

بعد اینکه اگه واقعا فکر میکنید مشکل از اپدیت هست ؛ نسخه قبلی رو دانلود و تست کنید ولی خیلی بعیده این مشکل باشه چون من و یه نفر دیگه کامل این نسخه رو تست کردیم بعد منتشر کردیم بخصوص کانکشن اش رو

[radkesvat]

علی ایها الحال
تونل معکوس هم به زودی آماده میشه که میشه گفت نیازی به sni و تمیز پیدا کردن نداره و sni سایت های داخلی مثل snapp.ir براش استفاده میشه . اعلام میشه وقتی به اتمام رسید و برای سرور های خارج که فیلتر هست میتونه مفید باشه

[ashkan-moghadasi]

من حالات مختلف رو تست می کنم اطلاع می دم بهتون

[radkesvat]

تشکر

[ashkan-moghadasi]

سلام مجدد
من تست های مختلفی انجام دادم به نظرم مشکل از رنج آیپی سرور داخل هست که ارتباط خوبی (حداقل با چند نمونه sni که شما معرفی فرمودید ) نمی تونه با سرور مقصد بگیره .
علت هم این هست چون همین تست ها رو روی یک سرور داخل دیگه با رنج آیپی 193 انجام دادم و سرعت مناسبی گرفتم . هر دو سرور داخلی که تست روشون انجام شد تقریبا خام هستند پس مشکل از bbr نیست . متاسفانه شرکت سرویس دهنده نیز زیر بار تعویض آیپی نمی رود

[ashkan-moghadasi]

به نظرتون ممکنه اشکال در تفاوت تنظیمات دو سرور باشه چون هر ذو از یک دیتا سنتر هستند ولی از دو جای مختلف گرفتم . که متاسفانه اونی که جواب میده تست یک روزه هست

[ashkan-moghadasi]

سرور داخل و خارج به صورت دو طرفه پینگ و ssh هم رو دارند
کانفیگ های مختلفی رو هم تست کردم هیچ یک رو نتونستم به نتیجه برسم
لاگ های نرم افزار شما نشون دهنده برقراری ارتباط بین سرور مبدا و مقصد می باشد ولی در نرم افزار قند شکن پینگ دریافت نمیشه و Fail میشه

ویژگی مالتی پورت به نظر اوکی بود

[radkesvat]

الان با iptable ساده تونل میکنید نتیجه چیه ؟ جواب میده؟ یا سرعت و پینگ مناسب نیست یا اصلا وصل نمیشه؟

[rezalx]

سلام لطفا چند sni باز هم معرفی میکنین ؟

[HoMa431]

سلام و تشکر بابت زحماتتون
من یه پیشنهاد دارم و نمیدونم اصلا شدنیه یا نه ،
میخواستم بگم اگه ممکنه یه لیست از sni توی سرور مشخص بشه و برای کلاینت بشه از هر کدوم که نیاز باشه استفاده کرد (البته این برای مواردی که مثل من توی ترموکس ران میکنن بهتره میشه با تغییر شبکه یا اینترنت sni رو روی کلاینت تغییر داد و دیگه نیاز نباشه روی سرور دستکاری کنیم )
یه خاصیت دیگه ش هم اینه که چند تا کابر میتونن ازش استفاده کنن ..

[Arzenow]

سلام من از روش شما ReverseTlsTunnel استفاده کردم امروز استارتشو زدم .
فقط یه سوال امکانش هست یه موقع divar.ir که در هنگام ران کردن سرورها استفاده کردیم به مشکلی بخوره و تمام کانفیگ‌ها قطع بشه؟؟

[radkesvat]

نه بعیده ؛ کلا روی معکوس هنوز لیمیت خاصی از نوع sni نداریم فقط ایپی خارج در کیفیت تاثیر گذاره

[Arzenow]

سلام من تانل هیچ وقت انجام نمی‌دادم تا اینکه مشکل همراه اول پیش اومد و از تکنیک شما انجام دادیم که همه چی هم عالی پیش میره .
دستتونم درد نکنه