После трех (кажется) недель секса с zapret'ом, я нашел конфиг, который на моем провайдере обходит как блокировку Youtube, так и блокировку Hetzner! Делюсь:

NFQWS_OPT="--debug=syslog
--filter-tcp=80 --dpi-desync=syndata,fake,multisplit --dpi-desync-split-pos=method+2 --dpi-desync-fooling=badseq,md5sig <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=syndata,fake,multidisorder --dpi-desync-split-pos=2,midsld --dpi-desync-fooling=badseq,md5sig --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --wssize=1:6 <HOSTLIST> --new
--filter-udp=443 --dpi-desync=syndata,fake --dpi-desync-repeats=6 <HOSTLIST>
"

Конечно, тут не весь конфиг, а только настройки nfqws, но именно с ними я долбался столько времени. Все остальное - по дефолту.

Для тех, кому нужны подробности. Проблема была в опции syndata параметра --dpi-desync. Оказывается она обязательно должен стоять первым в списке опций этого параметра, так как применяется на нулевом этапе "дурения" ТСПУ - когда IP целевого сайта еще не получен. И для этой опции не работает опция параметр --hostlist. То есть, она применяется ко всем доменам, к которым вы хотите подключиться. Я этого не знал и долго пытался выделить отдельный профиль для Hetzner, для которого нужна эта опция.