После обновления до 69.9 перестал открываться ютуб на самсунговских телевизорах

[Dager26reg]

Собственно до обновления интерфейс ютуба открывался на теликах, но после обновления до 69.9 на самсунгах через встроенный клиент ютуба перестал, варешарп показал что от телека идет запрос:
364 12.314700 192.168.1.143 64.233.165.198 TLSv1 272 Client Hello (SNI=www.youtube.com)

Transport Layer Security
TLSv1 Record Layer: Handshake Protocol: Client Hello
Content Type: Handshake (22)
Version: TLS 1.0 (0x0301)
Length: 201
Handshake Protocol: Client Hello
Handshake Type: Client Hello (1)
Length: 197
Version: TLS 1.2 (0x0303)
Random: 05932f382e47308921db3194d34ce43628e4ed9d4ef470caa95c40f567e27d50
Session ID Length: 0
Cipher Suites Length: 28
Cipher Suites (14 suites)
Compression Methods Length: 1
Compression Methods (1 method)
Extensions Length: 128
Extension: Reserved (GREASE) (len=0)
Extension: renegotiation_info (len=1)
Extension: server_name (len=20) name=www.youtube.com
Extension: extended_master_secret (len=0)
Extension: session_ticket (len=0)
Extension: signature_algorithms (len=20)
Extension: status_request (len=5)
Extension: signed_certificate_timestamp (len=0)
Extension: application_layer_protocol_negotiation (len=14)
Extension: ec_point_formats (len=2)
Extension: supported_groups (len=10)
Extension: compress_certificate (len=3)
Extension: Reserved (GREASE) (len=1)
Затем идет
365 12.314935 64.233.165.198 192.168.1.143 TCP 66 443 → 54393 [ACK] Seq=1 Ack=207 Win=30016 Len=0 TSval=18871 TSecr=557125
На что телек отвечает FIN,ASK и тишина.
Я правильно понимаю что nfqws не понимает протокол TLS 1.0? Из-за этого перестало работать соединение на старом протоколе? Или тут причина в чем-то другом? И почему на прошлых версиях работало? Что изменилось?
Как пофиксить проблему?

[Dager26reg]

361 12.307502 192.168.1.143 64.233.165.198 TCP 74 54393 → 443 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM TSval=557124 TSecr=0 WS=128
362 12.307885 64.233.165.198 192.168.1.143 TCP 74 443 → 54393 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1460 SACK_PERM TSval=18869 TSecr=557124 WS=1
363 12.309280 192.168.1.143 64.233.165.198 TCP 66 54393 → 443 [ACK] Seq=1 Ack=1 Win=29312 Len=0 TSval=557125 TSecr=18869
364 12.314700 192.168.1.143 64.233.165.198 TLSv1 272 Client Hello (SNI=www.youtube.com)
365 12.314935 64.233.165.198 192.168.1.143 TCP 66 443 → 54393 [ACK] Seq=1 Ack=207 Win=30016 Len=0 TSval=18871 TSecr=557125
877 42.310031 192.168.1.143 64.233.165.198 TCP 66 54393 → 443 [FIN, ACK] Seq=207 Ack=1 Win=29312 Len=0 TSval=564625 TSecr=18871
878 42.354332 64.233.165.198 192.168.1.143 TCP 66 443 → 54393 [ACK] Seq=1 Ack=208 Win=30016 Len=0 TSval=26381 TSecr=564625
Ну последняя строчка это как я понял ответ от сервака пришел до получения фина.

[eastone11]

если ты поставишь 69.8 то будет работать? конфиг какой?

[Dager26reg]

69.8 не знаю, предидущая система была еще со старым инсталятором. Я долго не обновлял. По поводу конфига - дефолтный конфиг, кромоме дополнительного правила для доменов ютуба в котором фейк отсылается гугл.ком. Остальное все стандартное. ПРи этом на андроиде и ПК отлично все работает. Но там Варешарп показывает запросы TLS1.3

[eastone11]

69.8 не знаю, предидущая система была еще со старым инсталятором. Я долго не обновлял. По поводу конфига - дефолтный конфиг, кромоме дополнительного правила для доменов ютуба в котором фейк отсылается гугл.ком. Остальное все стандартное. ПРи этом на андроиде и ПК отлично все работает. Но там Варешарп показывает запросы TLS1.3

кинь конфиг

[Dager26reg]

Если быть точным то предидущая сборка была установлена с мастерканала в котором еще присутствовали бинарники.

[Dager26reg]

кинь конфиг

Ты не в роскомнадзоре часом работаешь? )))))

[eastone11]

именно оттуда, скорей кидай, сейчас заблочу его!

[bol-van]

Информации минимум
С какой версии было обновление
какой конфиг ? еще с NFQWS_OPT_DESYNC ? тогда понятное дело ничего не заработает, инсталятор даже откажется его обновлять
параметры запуска, --debug лог

[Dager26reg]

С какой версии было обновление
какой конфиг ? еще с NFQWS_OPT_DESYNC ? тогда понятное дело ничего не заработает, инсталятор даже откажется его обновлять

Да, еще с такой строчкой конфигурации. Но новую я настраивал с 0, тоесть все снес, новую закачал, и провел скрипт инстал изи, и там по мастеру произвел конфигурациюс той лиш разницей что добавил еще строку для хостов ютуба - отсылать файк с тлс - ввв.гугл.ком. В броузере на ПК и на аднроиде ютуб открывает нормально. Варешарп при этом показывает КлиентХелло версии 1.3 а вот от самсунга идет как в сообщениях выше.

[bol-van]

Стратегию надо подбирать под TLS 1.2
От просекания ответа сервера спасают лучше всего правильно подобранные фейки, а как последнее средство - wssize
Еще надо резать googlevideo.com или повторять фейки, тк могут сечь stateless подстроку "googlevideo" в некотором количестве начальных пакетов

[Dager26reg]

Так под ТЛС1.2 и 1.3 все и работает как часы. ПРоблема как раз в том что телики самсунг, через встроенный смарт приложения ютуба шлют такие запросы. и на них ютуб не открывается. На других устройств нет проблем. А почему спросил что когда стояла старая версия запрета еще с конфигурацией NFQWS_OPT_DESYNC там для дурения googlevideo.com использовался фейк с ццц.гугл.ком и ттл = 0, и эта стратегия работала до поры до времени, но в последнее время ютуб стал глючить с ней, открывались не все видосы сразу и наблюдалось некоторое подвисание видео в начале секунд на 20, иногда видос не грузился совсем, но если наджать назад и снова выбрать ролик то играл без проблем. На новом запрете проблем и лагов не наблюдается совсем. Только вот с теликами самсунд беда.
Потому и написал спросить может можно как-то сделать чтоб и на самсунгах начало работать?

[ivdeveloper86]

Интересно как именно вы определили, что у вас TLS1.2 и 1.3 работает как часы? :)
На компе и телефоне обычно протокол QUIC либо TLS1.3
На телеках используется TLS1.2 который дурить сложнее всего, нужно подбирать стратегию с пробиванием ТСПУ пакетами с помощью --dpi-desync-repeats
Если вы не в состоянии сюда даже конфиг свой скинуть, то вряд ли вам кто-то поможет.

[Dager26reg]

Интересно как именно вы определили, что у вас TLS1.2 и 1.3 работает как часы? :) На компе и телефоне обычно протокол QUIC либо TLS1.3 На телеках используется TLS1.2 который дурить сложнее всего, нужно подбирать стратегию с пробиванием ТСПУ пакетами с помощью --dpi-desync-repeats Если вы не в состоянии сюда даже конфиг свой скинуть, то вряд ли вам кто-то поможет.

Waresharp показывает версию протокола. И насколько мне известно QUIC идет через UDP соединение, А там TCP.
Когда идут TLS1.2 и 1.3 - идет установка шифрованного соединения и происходит обмен ключами - так и определяю что работает как часы.
А на самом первом сообщении видно что запрос Варешарп пометил как TLSv1 без дроби. И ответа от сервера уже не приходит.
Кроме того curl можно заставить с командной строки ключами отправлять запрос на необходимом протоколе шифрования. И с помощью нее исследовать открывается ли сайт или нет.

[whitemagg]

Столкнулся с идентичной проблемой, только телевизор lg 2018 года. Также использует tls 1.0. на старом zaprete работает, на новой версии нет. Получилось ли решить?

[kpbicka]

на старом zaprete работает

это какая версия?

[Dager26reg]

на старом zaprete работает

это какая версия?

Была v.63
Но то была сборка еще со стаым конфигуратором. Со сточкой NFQWS_OPT_DESYNC

[Dager26reg]

Еще в автохост файле стали появляться записи таких доменов:
rr9---sn-n8v7znz7.googl
rr2---sn-n8v7znzl.googl
rr5---sn-n8v7znze.googl
clients1.goo
rr8---sn-n8v7zns7.googl
r1---sn-4g5e6ns6.googl
rr11---sn-n8v7kn7l.googl
r3---sn-4g5ednds.googl
rr4---sn-n8v7kn7s.googl
rr5---sn-n8v7znse.googl
r5---sn-n8v7znse.googl
rr15---sn-n8v7knee.googl
Как можно заметить это огрызки доменов, (1 их часть разрезанная посередине домена 2 уровня.)