BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Salta la protección Cloudfare detrás de CG-NAT

agl2002

Alguna páginas (bastantes) tienen una protección de Cloudflare. En teoría debería saltar un captcha o algo, pero en mi caso se queda colgada. He probado con una red móvil y funciona correctamente, así que intuyo que no funciona porque detecta muchas conexiones de mi IP (al estar detrás de un CG-NAT).

¿Se os ocurre alguna solución que no sea cambiar de operador o usar una VPN?

La verdad es que lo del CG-NAT acaba siendo más engorroso de lo que pensaba.

image.webp
PezDeRedes
1

Trata de solicitar a tu operadora (no indicas cuál es) que te saque de CG-NAT.

lhacc
1

Te das cuenta de que tu conexión móvil tiene CG-NAT también, ¿no?

Tiene pinta de problema con tu navegador (antiguo, extensiones incompatibles, etc)

agl2002
2

amplío info: el proveedor es Orange. el navegador es "antiguo" (firefox 68) para tener ESNI. me apunto deshabilitar complentos

🗨️ 13
EmuAGR
2

Qué lamentable lo que hicieron de quitar ESNI del navegador sin estar soportado el nuevo protocolo. Mira de actualizar el Firefox al último compatible con ESNI, que es el 71 o el 72.0.0, quizás el 84.

EDIT: Abajo he puesto una posible solución con ECH. Parece que, de nuevo, tanto Firefox como Cloudflare se han puesto ya de acuerdo en la implementación de ECH y funciona.

PezDeRedes

Usar un navegador antiguo no va a mejorar ni tu privacidad ni tu seguridad por ser compatible con ESNI. Al contrario, tienes un navegador con agujeros de seguridad sin parchear, mucho peor rendimiento que las nuevas versiones y problemas de compatibilidad cada día con más webs.

🗨️ 10
agl2002

sin ESNI no accedo a muchas páginas por estar bloqueadas por la operadora. otra solución?

🗨️ 9
PezDeRedes
1

Activa DoH (DNS seguro en la configuración de red de Firefox) o tira de una VPN como Warp, conectándola solo cuando quieras acceder a esas web.

Pero tener desactualizado el que probablemente sea el software más expuesto a Internet me parece una idea horrible.

🗨️ 6
lhacc
🗨️ 5
EmuAGR
1
lhacc
1
🗨️ 2
lhacc
1
EmuAGR
3

Activa DNS over HTTPS en Settings > General > Network, y en about:config busca "echconfig" y pon todo en true. Reinicia el navegador completamente. Luego prueba con esta web: crypto.cloudflare.com/cdn-cgi/trace

A mí haciendo lo que te he dicho con Firefox 100.0.2 me pone "sni=Encrypted".

🗨️ 1
lhacc

Navegador antiguo → el problema es culpa tuya.

¿Has probado ECH como sustituto de ESNI?

pepejil
3

Si te funciona en red móvil, que también tiene CG-NAT, hace descartar que ese sea el problema.

Por otro lado, si no recuerdo mal, Cloudflare usa el RECAPTCHA de Google… Y eso es un Javascript en la que genera un código único por cliente para ser posteriormente comprobado por un servidor de Google en la petición. Es imposible que este circuito sea afectado porque haya muchas conexiones con una misma IP. Sólo hay dos formas de que ese proceso falle:

  • El proveedor de fibra tiene algún tipo de problema de conectividad con Google.
  • Javascript bloqueado en tu navegador o funcionando de forma errónea por alguna extensión/plugin o por falta de actualizaciones.

EDITO: Veo que usas una versión vieja de Firefox. No sé si eres consciente de lo que es navegar con un navegador sin actualizar. No será por las múltiples formas de que te hagan RCE a través de Javascript y te la puedan liar parda.

🗨️ 3
pepejil

Interesante. Supongo que el funcionamiento es el mismo en esencia y necesita de Javascript para generar el token.

🗨️ 1
pjpmosteiro
1

Más o menos. La "ventaja" que tiene hCaptcha es que puedes tener una cookie de accesibilidad en caso de tener problemas (guiño guiño) sensoriales para resolver el captcha.

LoboAnonimo
1

Normalmente CloudFlare te guarda una cookie que te permite seguir viendo paginas sin volver a meter captchas.

Los cookies habitualmente tienen una validez de una hora. (Cada webmaster puede elegir la validez, pero el default es 1 hora.)

No puedes hacer practicamente nada. Solo puedes o irte a otro operador y hacer que te saquen del CG-NAT.

agl2002
2

Gracias a todos por las respuestas. Actualización final (creo).

Parece que el problema de Cloudflare se arregló con el navegador nuevo (con el viejo y sin complementos tampoco iba). No obstante, he seguido los pasos de @EmuAGR y tampoco va el ESNI. Sí, aparece SNI encrypted, pero en la práctica las webs siguen bloqueadas. Atomix hq tel sale bloqueada, por ejemplo. Otros mirrors sí van.

🗨️ 1
EmuAGR
2

Ten en cuenta que, para que funcione, las webs deben soportar ECH por sí mismas o servirse a través de Cloudflare que soporta ECH. Pero si no tienen Cloudflare y no soportan ECH, pero sí ESNI, eso ya está sin soporte desde hace meses o incluso un año.

Entiéndase que ECH implica soporte de ESNI, pero soporte de ESNI no significa soporte de ECH.

En esos casos lo mejor es contratar una VPN o un VPS y redirigir vía SOCKS por túnel SSH el tráfico web. Para preguntar sobre eso, mejor otro hilo.