BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

💡

Cómo activar eSNI y DoH en Firefox para saltarse el bloqueo de webs

Josh
11
eSNI y Firefox

Firefox viene equipado con dos características que dejan inútil el sistema de filtrado de webs que utilizan las operadoras en España. Se trata de DNS-over-HTTPS (DoH) y Encrypted Server Name Indication (ESNI). Vamos a activarlas y comprobar cómo el sistema de filtrado de Movistar se queda sin poder hacer nada.

Probando cómo Movistar intercepta el SNI

Para empezar vamos a intentar acceder desde Movistar a la web https://pirlotvonline.net, una de las que fueron prohibidas, para comprobar como su servidor de filtrado FortiGate entra en acción y nos deja con un falso error 404:

ERROR 404 - File not found

Qué hacen DoH y eSNI

Para dejar ciego al sistema de filtrado vamos a activar DoH y eSNI. El primero hace que el navegador no use los DNS que tenemos configurados en nuestro equipo o el router, sino que resolverá los dominios mediante peticiones HTTPS, lo que hace que la operadora no pueda diferenciar el tráfico de resolución de nombres de la navegación web normal. El segundo es una extensión para solucionar el que ha resultado ser el talón de Aquiles de las webs HTTPS, el envío del nombre del host en el SNI en texto plano, que con eSNI pasa a estar cifrado.

Aunque eSNI y DoH son dos cosas totalmente independientes, en Firefox por alguna razón solo funciona eSNI si está DoH activado, así que vamos a asegurarnos de que ambos están activos.

Activando eSNI

network.security.esni.enabled
  1. Introducimos about:config en la barra de direcciones para entrar en las preferencias de configuración avanzada de Firefox.
  2. Pulsamos Aceptar el riesgo y continuar para ignorar el aviso.
  3. En la barra de búsqueda introducimos network.security.esni.enabled.
  4. Pulsamos sobre para cambiar el valor de false a true.

Activando DoH

network.trr.mode
  1. En la barra de búsqueda de la configuración avanzada de Firefox introducimos network.trr.mode.
  2. Cambiamos el valor 0por 2

Puedes ver el significado de cada uno de los valores aquí.

Probando cómo Movistar ya no puede bloquear pirlotvonline.net

Lo primero que vamos a hacer es acceder a la web de prueba de Cloudflare que nos dirá si ahora nuestro navegador ya está utilizando DoH y ESNI.

Test DoH y ESNI de Cloudflare

A partir de ese momento podemos introducir en la barra de direcciones https://pirlotvonline.net para comprobar como mágicamente podemos acceder a ella sin ningún problema.

Por qué eSNI no funciona con todas las webs

Lo que cuento en este post puede sonar maravilloso, pero no lo es tanto cuando compruebes que no funciona con muchas webs. Funciona con el ejemplo que hemos seleccionado porque está alojado en Cloudflare, que por defecto tiene eSNI activado en todas las webs que aloja. Es decir, eSNI sólo va a entrar en acción si tanto nuestro navegador como el servidor lo soportan.

Sabiendo esto, ESNI no es ahora mismo la panacea para saltarse el bloqueo de webs, pero si nos permite ver que en el futuro las operadoras no van a tener más remedio que convertirse en dumb pipes ignorando lo que transportan, ya que cuando se generalice no habrá forma de saber dónde están accediendo los usuarios.

BocaDePez
BocaDePez
1

Gran articulo,todos deberíamos unar firefox por el esfuerzo que hacen para proteger la privacidad en un mundo donde todos quieren obtener los datos del usuario sin importar la opinión de este

Solospam

Existe alguna forma de hacer esto en pihole para no tener que ir PC por PC?

Saludos

🗨️ 5
Bramante

No, con ESNI, circunvalarías Pi-hole.

Con P-h sí que puedes usar DoH, es muy sencillo de configurar.

🗨️ 4
Bramante

Usa mejor esta prueba: https://1.1.1.1/help

🗨️ 2
Solospam
🗨️ 1
Ivaner3k

Qué raro a mí no me va, siguiendo los pasos en firefox…

Cloudfare me dice que sí que está bien, pero al intentar abrir pirlo me da el error.

🗨️ 3
BocaDePez
BocaDePez
1

Pon https:// delante de la dirección o usa el pluggin que te pongo mas abajo.

🗨️ 1
Ivaner3k

Lo probé con https sin plugin y perfecto thanks!

BocaDePez
BocaDePez

Prueba con el protocolo delante: https://pirlotvonline.net/.

Ivaner3k

Ese era el problema, gracias!

obmultimedia1

pues he seguido paso a paso lo anunciado y sigue bloqueada, yo estoy por Pepephone.

BocaDePez
BocaDePez

Eso solo funciona si los bloqueos van por DNS o intentan sacar la cabecera host de las peticiones.

Pero si los bloqueos se hacen por IP no hay forma de saltárselos.

Probablemente es hacia donde irán los ISPs, primero intentarán bloqueo por DNS, después por cabecera, finalmente lista de IPs prohibidas.

🗨️ 1
BocaDePez
BocaDePez
2

El problema de la IP, es que si esta en un hosting web tipico, donde la IP no es dedicada, bloqueas a miles de webs.

BocaDePez
BocaDePez
-1

Se compliquen pueden usar Thor browser que usa una versión de Firefox

P B Fierro

Magnifico aporte!

yomimmo

Ese bloqueo es fácil de saltar, se trata únicamente de un bloqueo por DNS.

En mi caso como uso mi propio servidor DNS y una conexión de Vodafone no necesito nada para saltarme ese bloqueo.

BocaDePez
BocaDePez

Opera y su magnifico VPN lo mejor de lo mejor, con esto solución.

BocaDePez
BocaDePez

¿una vez cambias esas 2 cosas en los settings de firefox lo puedes dejar asi para siempre o te van a fallar las webs normales?

auka

¿Por qué no viene activada esta función por defecto? ¿hay algún efecto secundario?

🗨️ 2
el-brujo

La implementación de DoH y ESNI es bastante nueva. Lo van incorporando los navegadores paulatinamente. De hecho, el navegador Google Chrome lo soporta de forma" experimental"(teóricamente) pero a la práctica no funciona… En poco tiempo vendrá por defecto en los navegadores y sistemas operativos que respeten la privacidad de los usuarios.

Test Navegador:

cloudflare.com/ssl/encrypted-sni

🗨️ 1
auka

Perfecto, gracias!

BocaDePez
BocaDePez

Gracias por el tip, @Josh.

Llevo 40 días con O2 y ya estaba pensando en cambiar de ISP. Confiemos que en las actualizaciones automáticas del FF no reviertan los valores…

Saludos.

MrPlow

Gracias! Con esto entro a pirlo sin problema.

Alex
1

Ya podrían en Firefox permitir ESNI sin forzarte a usar su resolver DoH. Los que tenemos PiHole/AdGuard con DoH/DoTLS configurado no tenemos más remedio que usar o bien un DoH público, o montar el cristo de certificados autofirmados (o públicos, claro) para que Firefox use el resolver local. Un coñazo sin sentido que se podría evitar.

Aeri
1

Ahora le llaman ECH (Encrypted Client Hello), lo de eSNI viene legado de borradores anteriores. Por fin ha pasado de fase de Experimental a Standards Track (tools.ietf.org/html/draft-ietf-tls-esni-08), a ver si se formaliza pronto como estándar final y podemos ver implementaciones en OpenSSL y LibreSSL para desplegar nuestros servidores NGINX con ECH.

Cehona

Sin necesidad de activar ESNI y DOH.

Desde Movistar, entro sin problemas a pirlotvonline.net pero da error 404 si solo accedo sin https a pirlotvonline.net

Utilizo DNS Jumper con DNS de Cloudflare

sordum.org/7952/dns-jumper-v2-2

BocaDePez
BocaDePez
1

En mi caso activar DoH y ESNI no se saltaba los bloqueos totalmente, así que seguí investigando hasta dar con una solución completa al problema.

La quiero compartir porque creo que a muchos les puede gustar:

ReQrypt: reqrypt.org/reqrypt.html

Es tremendamente sencilla de usar, al menos en Ubuntu. Supongo que en Windows será similar.

🗨️ 1
radiofree

Gracias por compartir ReQrypt.

Mucho mas sencillo que tener que activar la VPN. Yo he optado por la versión ZIP portable para Windows.

pepejil
1

Aprovecho el post para deciros que tanto Google Chrome como Microsoft Edge ya permiten DoH directamente en la configuración del navegador en sus últimas versiones de forma estable. Probablemente sea extensible a todos los navegadores con motor Chromium, con lo que también meto en el saco a Opera y Brave.

Ahora falta que ESNI se estabilice.

BocaDePez
BocaDePez

ya no funciona en Firefox 85, va a ser sustituido por otro protocolo.

🗨️ 9
BocaDePez
BocaDePez

Hola,

Actualizado FF a 85.0 (64bits) me figuran los mismos valores que tenia en la versión anterior donde había cambiado lo siguiente en About:config:

cambiado el valor de network.security.esni.enabled a TRUE

cambiado el valor de network.trr.mode a 2

pero efectivamente ahora me salta el msg con Orange:

Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora

En Cloudflare me error en Encrypted SNI

Your browser did not encrypt the SNI when visiting this page.

¿Se sabe como solventarlo?

🗨️ 8
BocaDePez
BocaDePez

Mismo problema, se me acaba de actualizar y ahora no puedo entrar en thepiratebay, cuando me iba justo ayer con la misma configuración.

🗨️ 2
BocaDePez
BocaDePez

Por si te sirve,de momento tengo que usar Opera activando su VPN gratuita para seguir accediendo

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
1

ESNI se ha abandonado. Ahora se llama ECH desde Firefox 85 y tiene otras claves a cambiar.

🗨️ 3
BocaDePez
BocaDePez
1

network.dns.echconfig.enabled true

network.dns.use_https_rr_as_altsvc true

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Psiphon3 es la solución.