Попробуйте уменьшить MTU.

Как установить 6to4?
…
После применения сгенерированных настроек, проверьте, чему равен MTU созданного 6to4-интерфейса. В силу расходов на инкапсуляцию IPv6-пакета в IPv4, MTU должен быть на 20 байт меньше, чем MTU находящегося уровнем ниже IPv4-интерфейса.

И чего вам 6to4 не нравится? Нигде регистрироваться не надо. Или он только у меня через НАТ провайдера нормально работает? Главное дополнить префикс до 64х бит случайными числами чтоб с соседями не конфликтовать.

Я успешно использую 6to4 и судя по маршрутам пакеты на 192.88.99.1 идут к тем же тунельным брокерам. В роутере задал префикс в 64 бита со случайным числом в конце префикса.

А бесплатный домен на год можно получить на freenom.com. Можно даже с кирилицей только надо использовать punycoder.com для преобразования кирилицы в punycode. При регистрации домена можно сразу переключить его на ваши NS на CloudFlare.

Открыл любой сайт

ZeroNet requires JavaScript support.

If you use NoScript: Click on toolbar icon and choose the "Temporary allow all this page" option.

Эта схема только для первого соединения в котором нужно получить ключи и проверить сертификаты. Дальше используется только 0-RTT.

Я чувствую что мы не понимаем друг друга.

Вы вкурсе что такое HTTPS вообще?

HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.

TLS (англ. Transport Layer Security — защищённый транспортный узел), как и его предшественник SSL (англ. Secure Sockets Layer — транспорт защищённых сокетов) — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет[1]. TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.

Эту схему только уже с неизбежным двойным шифрованием можно реализовать и сейчас посавив [stunnel]
(https://en.wikipedia.org/wiki/Stunnel) и http прокси на сервер и используя proxy.pac на клиенте.

function FindProxyForURL(url, host)
{
 if (shExpMatch(url, "https:*"))
  return "HTTPS "+dnsResolve(host)+"; DIRECT;";
else
  return "DIRECT;";
}

Где вы там про DNS то увидели? Может говорилось что ему тоже нужна защита но разрабатывать её нужно отдельно. Уже сейчас есть DNSCrypt и DNSSEC.

А Encrypted SNI работает так:

1. При первом соединении клиент получит сертификат выданный на IP.
2. Открывается tls тунель в котором он запрашивает уже целевой сертификат сервера.
3. Во втором tls после обмена всеми ключами разрывает соединение и подключается напрямую по 0-rtt.

А чего там много делать то? После того как под шифрованием получил всё необходимое можно устанавливать прямое соединение по 0-RTT. Он то уже будет.

Всем устраивают только никак не получалось их сделать.

А можно пример а то я не совсем понял как?

Разделил

Пришлось учиться md. Только в нём есть id на заголовках.

Есть обсуждение: Encrypted SNI

Этот удобнее: Реестр запрещенных сайтов

Алгоритм действий такой.

1. Заходим на sslchecker
2. Вводим заблокированный домен
3. В поле SAN выбираем рабочий не заблокированный домен
4. Проверяем выбранный домен(должен открываться по https)
5. Подставляем домены в proxy.pac скрипт соответственно

function FindProxyForURL(url, host)
{
 if (host == "[заблокированный домен]" && shExpMatch(url, "http:*"))
  return "HTTPS [не блокируемый домен];";
 else
  return "DIRECT";
}

Данный скрипт сработает для адреса http://[заблокированный домен]

Протестировал CloudFlare используя proxy.pac.

function FindProxyForURL( url, host)
{
 if (host == "blocked.example")
  return "https allowed.example;";
 else
  return "DIRECT";
}

Способ работает если целевой домен и домен прикрытия записаны в одном сертификате. Иначе ошибка 403.

Такой способ использовал Signal:
Мобильное приложение Signal обходит государственную блокировку, пропуская трафик через Google App Engine

Как понятно из иллюстрации внизу, схема предусматривает использование промежуточной «крыши» — это сервер фронтенда на промежуточном веб-сервисе. Для такой «крыши» используется легальный посторонний домен. Для этого подходят домены различных облачных сервисов, которые пропускают трафик. Самый надёжный — это домен Google.

Схема обхода государственной цензуры через крышевание доменов, из научной работы 2015 года

Это сам рутрекер перенаправляет на форум используя полный адрес без точки. Если её добавить после перенаправления то она останется.

На сколько я понял будет два серфиката. Один общий а второй конкретного сайта. Общий будет также открыто запрашиватся. А сертификат сайта будет запрашиватся под шифрованием.

У браузеров же есть возможность сохранить HTML со всеми ресурсами.

Ещё списочек годных сайтов с картинками собирает.

TTL=64 (Linux, Mac, Android, iOS), TTL=128 (Windows).

Это сайты с Windows хостинга. Но врятли у них TTL будет меньше 64.

Между прочим отличный сервис. Я там смотрю что смотрят соседи. По имени файла нахожу на btdig.com. Тем более будет быстрее с локалки.

Можно у провайдера спросить список доменов локальных сервисов (возможно на форуме он уже есть) и скриптом вогнать в hosts.

DPI вычитывает Server Name Indication. Он идёт открытым текстом. Так что сертификат не нужен.

Но даже не смотря на бессмыслицу я уважаю таких людей. А вы лично к ним относитесь? В скольки политических акциях поучаствовали за последние 3 года?

Какие акции? Они более эффективны?

Я естественно спрашивал про трактор. Это можно по вашему назвать борьбой с цензурой?

Технические решения противостоят цензуре здесь и сейчас. Приведите примеры эффективности ваших методов.

Сам спросил и сам ответил: TCP_NODELAY

А я то думаю почему первый пакет отправляется отдельно а остальные склеиваются. Интересно как эту опцию отключить?

Я техническими и просветительскими методами борюсь с цензурой.

Этим способам 100 лет в обед и не исправили: Изучаем deep packet inspection у RETN 2013г.

Цензура распространяется потихоньку и на другие страны. Это очень удобный инструмент для политиков. С ней надо бороться.

Ещё подменяют ответы DNS.

Предполагаю речь про это:

1. Спецслужбы начали перехватывать SMS-коды авторизации Telegram
2. SMS-коды авторизации Telegram продолжают перехватывать

Это понятно. Я к тому что не хочу давать автоматически согласие на их обработку отправляя отзыв. Нужна галочка пусть и установленная по умолчанию.

и лучше бы иметь возможность изъявлять поддержку партии или человеку не раз в несколько лет, а в любое время — это был бы годный источник статистики по настроениям в обществе. просто в какие-то моменты фиксировать.

Вот это дело. Будет мгновенная обратная связь. Можно ещё и отзывы писать чтоб было понятно за что.

Помоему скачать и запустить прграмму легче чем ваш вариант. Да и много дешевле.

А если отзыв оставить хочется а персональные данные нет?

Да

Объясняю. По IP трафик заворачивают на прозрачный прокси а он уже вычитывает url или домен в случае https и блокирует в случае соответствии с правилами. Такой способ используют мелкие провайдеры.

Кальмаром ещё блокируют.