это фактически хронология "блокировки" на IPv6 теорию читайте здесь
у меня ютуб работал всегда на IPv6, но примерно с конца сентября приходилось прикладывать некоторые усилия, какие... ну такие, что работникам РКН и в голову не пришли. однако смотрел без использования какких либо дополнительных утилит. что логично гудбайНельзяНазвать насколько я знаю IPv6 не умеет.
с 25 ноября труба стала работает без сучка и задоринки вообще без всего префикс 2a00:62c0:1b8f:1400::/56 - хуиз сделайте сами.
правда я бы не спешил бы радоваться. дело в том, что IPv6 адресов очень много и как правило сайты имеют свой собственный адрес. это значит можно блокировать определенные сайты тупо по IP старым добрым FireWall, так как блокировка при помощи DPI можно с уверенностью сказать что провалилась мало того, что можно легко обойти локально, так и внедрение технологий вроде ECH или разработка следующей версии TLS полностью обесценит этот метод. вообще, если я правильно понимаю, СТПУ= FireWall + DPI.
еще по теме:
P.S.
вот уже услышал про отключение России от интернета, правда я думаю распространяют эти слухи те же люди у которых "кеширующее оборудование гугл сломалось".
и видимо некоторые проблемы на IPv6 это инициатива рт-ком. там говорят кого-то арестовали — вопрос не изучал.
настроить IPv6 сейчас довольно просто. как правило для пользователя ничего настраивать в IPv6 не надо
- выясните предоставляет ли ваш провайдер интернет по IPv6
- выясните поддерживает ли ваш роутер IPv6
- если ответ на два верхних пункта "ДА" настройте роутер — у вас будет дуал стек: IPv4 и IPv6. не все сайты доступны только по IPv6. и не изобретайте велосипед: скорей всего вам нужно только поставить галку "IPv6 CP" в свойстве соединения на роутере.
ну и дожили: РКН начал блокировать сайты с ECH, что ожидаемо т.к. нет возможности блокировать по SNI (имя сайта к которому вы обращаетесь во время установки защищенного соединения) — метод блокировки YouTube. на сегодняшний момент (28.11.2024) YouTube работает даже на IPv4.
вроде бы "ура": РКН продул Internet'у в чистую так ничего и не смог толком запретить. но все сложнее. я думаю, что даже до работников РКН дошло, что единственный способ контролировать Internet это от него отключиться. с уверенностью можно сказать что российские чиновники не в восторге от того, что их с завидным постоянством шлют на болт. так что нас ожидают темные времена. только если опять Путин не вмешается лично.
P. P.S.
4.12.2024 на колу мочало начинай с начала, что-то похожее на блокировку, но теперь у меня уже рутовый доступ к машине. кого конкретно благодарить РКН или РТ-ком за проявленную инициативу не знаю, но факт остается фактом: "обычный" доступ опять несколько затруднен, что видно по "выпавшим" миниатюрам.
кроме того РКН блокирует сайты использующие ECH - например https://ifi-audio.com . что в общем не особая беда, как я уже отмечал когда-то интернет был http и при помощи DPI можно было выборочно блокировать страницы на сайте. про блокировку использующую модификацию DNS говорить смысла нет т.к. очень легко обходится локально.
сейчас же можно блокировать все сайты использующие ECH, конкретные сайты не использующие шифрованный SNI, ну и старая добрая блокировка по IP - блокирует все сайты на адресе чем скорей всего и займется РКН когда большинство сайтов станут использовать ECH и интернет станет IPv6.
это видно по законодательным инициативам РКН. обход такой блокировки локально невозможен. обход возможен только с помощью того или иного вида тоннеля. но надежно заблокировать тоннели технически крайне сложно. поэтому попробовали законодательно, но в существующим законе об информации о VPN я уже вижу массу дыр. так что единственный способ контролировать Internet это от него отключится, чем будет нанесен серьёзный удар по телекому.
хотя может убивать индустрию правительство России и лично президент Путин Владимир Владимирович таки и не хотят. Путин обещал разобраться с ситуацией и Хинштейн пакует чемоданы, попутно кого-то арестовали... так что что будет дальше предсказать сложно.
на (15:28:01 MSK) труба работает, но опять надо немного подшаманить чтоб труба работала в лучшем виде:
16.12.2024 что работы ведутся заметил 13.12.2024 как результат гугл опять послал РКН к какой-то матери. YouTube на IPv6 опять летает без каких либо подкручиваний. что впринципе уже случалось не раз. я просто об этих "оживляшках" не писал.
17.12.2024 труба опять работает нешустро но все же работает неплохо. РКН/РТ-ком снова отсасывают.
18.12.2024 труба стала тормозить: собрал утилитку с неким именем. и случилось страшное - пришлось читать инструкцию. попутно догадался поменять
divert 900 ip6 from me to any 443 out not diverted xmit em0
на
divert 900 ip from me to any 443 tcpflags ack out not diverted xmit em0
последняя строчка не закидывает в диверт левых пакетов. как результат отсасывающие те же. дополнительный бонус(моей заслуги в этом нет) работают kinozal.tv и rutracker.org хоть я ими и не пользуюсь.
причину вижу в следующем: блокировался TLS 1.3 главную роль же сыграла техническая безграмотность работников РКН.
19.12.2024 на IPv6 опять хорошо работает без всего, но концу дня опять появились проблемы. честно говоря эта игра в кошки-мышки порядком надоела. я думаю и в будущем РКН будет играть роль отсасывающего т.к не может победить трубу в чистом виде, а уже замахивается на VPN, который не то что заблокировать, а выявить - технически очень сложная задача.
пока отца русской демократии спасает вот такой скрипт:
> cat /usr/local/etc/rc.d/dvtws
#!/bin/sh
# PROVIDE: dvtws
# REQUIRE: NETWORKING
. /etc/rc.subr
name="dvtws"
rcvar="${name}_enable"
load_rc_config "$name"
command="/usr/local/bin/dvtws"
procname=${command}
pidfile="/var/run/${name}.pid"
command_args="--daemon --pidfile=$pidfile --port=900
--dpi-desync=multisplit
--dpi-desync-split-seqovl=652
--dpi-desync-split-seqovl-pattern="/zapret_fake/rnd.bin"
--dpi-desync-split-pos=2,sld-1,endsld-5,endsld"
run_rc_command "$1"
что плохо: трафик видно т.е. в пакете есть адрес отравителя и получателя. т.е. РКН надо просто спросить кому принадлежит этот адрес. что напрягает, но пока юридические последствия не предусмотрены.
да и вообще говоря: "нам только ночь простоять и день продержаться." интернет довольно скоро весь будет ECH и IPv6. и вроде бы нам просто прокидывать TLS 1.3 и будущие версии - всего 1 пакет с SNI...
но с другой стороны будет возможность блокировать только по IP. как я уже говорил обход такой блокировки локально невозможен. тогда и пригодиться информация о пользователях с VPN.
хотя я если честно не понимаю что РКН надо. адрес правителя и получателя виден на ТСПУ. содержимое пакета если оно зашифровано не видят ни провайдер ни ТСПУ. единственно что они могут желать это MAC. т.к. его видно только внутри l2 сегмента т.е. виден только провайдеру. но зачем им MAC если его даже обычно не видно? в IPv6 адрес может генерироваться на основании MAC, но зачем им это? роутер стоит все время дома. провайдеров меняют редко...
в любом случае необходимо разрабатывать новые типы VPN которые так просто не засечешь - от греха подальше. кое что уже есть. например можно проложить тоннель притворяясь ping (ICMP-тоннель). но до этого даже в РКН догадаются - нужно что-то позаборестей.