چقدر زود بهش رسیدیم

صداوسیما: مردم اینو بدونن که ما به همه‌‌شون اقلام قسطی خواهیم داد.

پ‌ن: این یعنی دیگر هیچ مهندسی در این شرایطی متولد نخواهد شد.
از دستگاه های دیجیتالی به درستی استفاده کنید که خراب نشه؛ چون ممکنه آخرین دستگاهی باشه که در این دوران تونسته باشید تهیه کنید.

لیستی از میرورها، برای نصب پکیچ های سیستم.

https://github.com/GeeDook/mirava

بخش بزرگی از آنچه امروز به نام VPN، عبور از فیلترینگ و مقاومت دیجیتال می‌شناسیم، روی خون و ایستادگی خیزش ۱۴۰۱ ساخته شد. یاد بیش از ۸۰۰ انسانی که جان دادند و هزاران مبارزی که ایستادند؛ در جنبش زن، زندگی، آزادی. اعتراضات سال‌های قبل راه را باز کردند، اما انفجار خلاقیت، جسارت و شکوفایی واقعی در سال ۱۴۰۱ اتفاق افتاد؛ جایی که مردم نشان دادند حتی اینترنت را هم نمی‌شود با سرکوب خاموش کرد.

احتمال ملی شدن مقطعی!
شدت اختلال ها امشب فوق‌العاده زیاد هستش.
در اکثر مناطق کاهش شدید پهنای باند نیز گزارش شده.

محض اطمینان اگر سرویسی دارید که باید آپ باشه و سرویسی رو ارائه میده، ترجیحا بیارید روی هاست ایرانتون که فردا با مشکلات احتمالی مواجه نشید.

اما با تو‌جه تجربه و موارد زیرساختی که آقایون هم بهش بر خوردن، نمیتونن شبکه اینترنت رو ملی و یا مختل(درجه حاد) کنن چون سرویس های خودشون مشکل میخوره. پس با احتمال زیاد مقطعی هستش.
اما کار از محکم کاری عیب نمی‌کنه.

به امید گذر هممون از این مشکلات پیش پا افتاده

اختلال شدید در شبکه داخلی که هیچ ارتباطی با مسیر خارج ندارند هم گزارش شده.

حتی از فیلترچی هم شانس نیاوردیم.

درود دوستان
شبتون بخیر
همونطور که فکرش رو میکردیم یکی از سنگین ترین نوع های محدودیت رو تجربه کردیم.
همونطور که میدونیم آمریکا بده ولی از تولیدات آمریکایی برای محدودیت مردم کشور استفاده شد.
بهرحال امیدوارم همگی سالم و سلامت باشید.

بچه‌ها که دارن dnstt می‌زنن، لطفاً حواستون باشه روی سرور داخلی socks ارائه ندید، قابل شناساییه.

و حتماً mtu رو درست تنظیم کنید. mtu عدد خیلی مهمیه و اگه درست تنظیم نشه، سرعت و کیفیت افت می‌کنه.

شرایط اینترنت فاجعه‌ است و مقدار ثابتی رو نمیشه پیشنهاد داد. بهتره با آزمون و خطا پیش برید و سعی کنید نفراتی رو که میتونید و بهشون اعتماد دارید رو وصل نگه دارید.

ما زنده‌ایم
فقط چون مُردن هم هزینه دارد.

روزها می‌آیند بی‌آن‌ که چیزی را عوض کنند، و میروند
بی‌آن‌ که چیزی از ما باقی بگذارند.

در اینجا آینده دفن شده، عدالت گم شده، و امید سال‌ هاست که تاریخ مصرفش گذشته.

ما دیگر حتی فریاد هم نمیزنیم، چون یاد گرفتیم هیچکس گوش نمی‌دهد.

این سرزمین آدم‌ ها را نمیکشد، آرام‌ آرام خالیشان میکند.

و بدترین بخش ماجرا این است ‌که به این خفگی عادت کرده‌ایم.

به امید روزی که این بغض ها تبدیل به لبخند روی صورت هایمان شود.

اگر فردا وصل بودم
سعی میکنم چند ویدیو آموزشی با کپشن متنی قدم به قدم قرار بدم که بتونید تو این شرایط استفاده کنید.

چرا MTU در dnstt حیاتیه؟

ابزار dnstt روی DNS over UDP کار میکنه.

پروتکل UDP ذاتاً:
بدون کنترل Fragmentation
حساس به Packet Loss
به‌ شدت وابسته به MTU صحیح

اگر MTU اشتباه باشه:
امکان Fragment شدن بسته‌ ها
افت شدید سرعت
افزایش Latency
شناسایی راحت‌ تر توسط DPI

اشتباهات رایج
استفاده از MTU پیش‌فرض 1500
ارائه SOCKS روی سرور داخلی
ست نکردن MTU در هر دو سمت Tunnel

بهترین MTU برای dnstt

۱-حالت اول
MTU = 1232
پیشنهاد برای اکثر سناریو ها
بهترین تعادل بین سرعت، پایداری و عدم Fragment

۲-حالت دوم
(اینترنت ضعیف/موبایل/محدودیت شدید)
MTU = 1180 ~ 1200
احتمال Packet loss کمتر
پایداری بیشتر
سرعت کمی کمتر ولی قابل اعتماد

۳-حالت سوم
(دیتاسنتر تمیز/مسیر کوتاه)
MTU = 1280 (حداکثر)
بیشتر از این مقدار توصیه نمیشه
ریسک Fragment و شناسایی بالا میره.

اسکریپت تست MTU در Linux

هدف ما از این اسکریپت پیدا کردن بهترین حالت MTU بدون Fragment هستش.

تست پایه با پینگ:

ping -M do -s 1200 8.8.8.8

حالا باید محاسبه دقیقی رو انجام بدیم.
فرمولش اینه:
MTU = payload + 28

مثال:

ping -M do -s 1204 8.8.8.8

اگر اوکی بود:
MTU = 1204 + 28 = 1232

اسکریپت تست خودکار:

for i in {1100..1300..10}; do
  echo "Testing MTU $i"
  ping -M do -s $((i-28)) -c 2 8.8.8.8 >/dev/null && echo "OK" || echo "FAIL"
done

تنظیم MTU در Linux (Tunnel / Interface)

مشاهده اینترفیس ها:

ip link show

تنظیم MTU:

ip link set dev tun0 mtu 1232

یا برای Tunnel خاص:

ip link set dev dnstt0 mtu 1180

تنظیم MTU در Mikrotik

مشاهده اینترفیس:

/interface print

تنظیم MTU روی Tunnel:

/interface set dnstt-tunnel mtu=1232

اگر روی VPN یا GRE هست:

/interface gre set gre1 mtu=1180

تست MTU در میکروتیک

ping 8.8.8.8 size=1204 do-not-fragment=yes

اگر Reply گرفت:
MTU = size + 28

نکات امنیتی خیلی خیلی مهم که باید رعایت کنید:

روی سرور داخلی SOCKS ارائه ندید.
ابزار dnstt برای پروکسی نهایی طراحی نشده.
ابزار dnstt فقط Tunnel خام هستش.
پروکسی (VLESS / Trojan / Shadowsocks) بعد از Tunnel باید باشه.
حتما MTU باید در دو سمت Tunnel ست بشه.

معماری و ساختار پیشنهادی استاندارد و مورد اعتماد هم به این شکل هستش:

Client
 └── dnstt (MTU 1232)
      └── udp2raw / Wire / Reality
           └── VLESS / Trojan
                └── Internet

دوستانی هم که نمیدونن dnstt چیه، به این ‌پست توجه کنن.

ابزارdnstt (DNS Tunnel Tool) ابزاری برای تونل‌کردن ترافیک اینترنت داخل DNS هستش. یعنی داده ‌ها به‌ جای اینکه مستقیم روی TCP/UDP معمولی برن، داخل Query و Response های DNS کپسوله میشن.

ابزار dnstt چطور کار میکنه؟
کلاینت، داده را به بسته‌ های کوچک تقسیم میکنه.
داده داخل DNS Request قرار میگیره.
سرور dnstt پاسخ DNS میده و داده رو برمیگردونه.
همه‌ چیز روی UDP پورت 53 انجام میشه.

به‌ ظاهر فقط DNS هستش، ولی در واقع تانل داده ست.


چرا از این ابزار استفاده میشه؟
عبور از فیلترینگ شدید.
دور زدن DPI.
کار در شبکه‌هایی که فقط DNS آزاد است.
مناسب شرایطی که TCP/UDP معمولی بلاک شده.

مزایا این ابزار رو میشه گفت:
استفاده از پورت 53
عبور از بسیاری از فایروال‌ها
قابل ترکیب با ابزارهای دیگه

معایب رو هم میشه اینطور در نظر گرفت:
سرعت محدود
تأخیر بالا
حساس به MTU
به‌تنهایی امن نیست (رمزنگاری قوی نداره)

بازهٔ ایده‌آل:
1200 تا 1300

Recommended:
1232

چرا 1232؟
پروتکل DNS روی UDP سوار می‌شه → Overhead بالاست

مشکل Fragment شدن (Fragmentation) شدیداً کیفیت dnstt رو ضعیف میکنه.

عدد 1232 کم‌ ریسک‌ ترین مقدار برای عبور امن از:
NAT
DPI
Resolverهای مختلف

فکر نکنم حالا حالا ها بشه امیدی به وصل شدن اینترنت بین‌الملل داشته باشیم.
با توجه به این که اختلال GPS هم هر لحظه شدید تر میشه، شرایط بحرانی تر برای وضعیت رو هم کماکان میشه پیش‌بینی کرد.

در هر صورت فعلا تنها روش مطمعن البته با کیفیت پایین، dnstt هست که خیلی از کاربران با این روش اتصال خودشون رو برقرار کردن.