Знающий народ, подскажите. Настроил WARP под 3X-UI (2.4.10). И в Outbounds по нему показывается относительно большой постоянно растущий трафик. Он явно не мой. Панель ставил как резервный метод, сёрфлюсь там совсем немного, а под WARP’ом вообще пара сайтов вписана, просто для теста. Но трафик при этом растёт постоянно, не драматично, но неуклонно прибавляется. Входящего сильно больше.
Так и должно быть, так WARP работает? Т. е. что-то вроде Freenet’а или eDonkey, где я узел, и через меня проходит другой трафик сети?
Или это просто глюк самой панели при подсчёте трафика?
Нет.
Незнаю за 3x-ui, посмотреть что за трафик там бегает можно с помощью tcpdump или других инструментов.
удали и создай ключ заново, кто-то украл его у тебя. И пароль в админку поменяй
А как определить именно WARP трафик? Какие у него признаки будут?
Warp в 3x-ui не создает сетевой интерфейс, поэтому его теми способами не посмотреть*
Уже сделал так, потому что WARP переставал работать. Правда, обстоятельства были странные: он перестал работать и я обновил 3X-UI — заработал (на старом ключе). Через пару дней опять перестал, но опять подъехала новая версия, и я снова обновился, и он опять заработал. И через несколько дней снова перестал. И вот уже тогда я сбросил настройки XRay и подключил WARP заново (правда, почему-то трафик учитывался и предыдущий, до сброса настроек, он ведь, по идее, всё должен был зачистить). Я сбросил счётчик трафика, но он всё равно продолжил расти.
Может, панель выдаёт одни и те же ключи нескольким пользователям? Может, мне тогда попытаться сгенерить всю хурму самому. Только я пока не знаю, как именно это делается.
Нет, панель не выдает ваши ключи другим… Поменяйте пароль и создайте ключи заново, дальнейшие вопросы задавайте только если трафик снова начнет расти. Через tcptrack можно посмотреть откуда подключения, но если у вас 443 порт то понять будет сложно
Крайне маловероятно, что утырили пароль (ну мне так кажется). У меня чёрный список в файрволе (UFW), некоторые диапазоны, конечно, разрешены, но чтоб такое попадание… Я посматриваю логи UFW регулярно, все ip мне знакомы, и чаще всего это я сам (расшаривал только еще двум людям). У 3X-UI и ссылка сложносочиненная индивидуальная, и порт рандомный.
Да и если б взломали, то юзали бы поактивней, по трафику у хостера я бы это увидел. А тут капает по 100-200 МБ в сутки. И это, что опять же странно, именно входящий ко мне трафик, исходящий есть, но он совсем копеечный (пропорция со скрина сохраняется).
Хорошо, попробую, спасибо.
И ещё подскажите, пожалуйста, верхние ключи перегенерил, а нижний паблик нужно менять? Похоже, он остаётся тем же при сбросе ключей выше, но возможности сбросить его я не вижу в интерфейсе.
Пересоздавать варп нет смысла, это outbound. Я вам предлагал пересоздать inbound, т.е. то что добавляется на конечные устройства
А здесь вы что имеете в виду?
А, понял, окэ, попробую.
А вот это означает полную изоляцию, верно? В таком случае трафика вообще не должно быть?
Ни фига, всё равно идёт трафик )
Плюс я прямо сейчас смотрю лог UFW — никаких чужаков, только я и еще одни юзер через Сквид.
А если ребутнуть сервер после отключения конфигов?
Ща попробую и померяю.
А это точно не сканеры сайтов? У меня в логи nginx регулярно падают боты, которые пытаются найти что-нибудь типа /admin/assets/js/views/login.js. 3X-UI, если что, тянет эти данные по API из самого XRay, который, скорее всего, считает весь упавший трафик на порт, но это моё предположение.
нет, он считает только прокси трафик, и вообще в данном случае смотрят на трафик outbound а не inbound
Не понял, почему outbound, если @EliiO написал про входящий трафик.
warp это outbound, растет ли трафик в inbound он не писал
Вроде тишина, встал счётчик, это главное — точка отсчёта есть, можно рыть. Инбаунды в панели перепроверил — по-прежнему выключены.
@0ka, спасибо!
У меня белый (я выше оговорился) список, т. е. совсем небольшое количество разрешённых IP, всё остальное UFW дропает. И я смотрю на его лог, там только знакомые IP проходят, в основном только я.
Кстати говоря, в Инбаундах (ну точнее, -де, моём, второй не используется сейчас) трафик-то не рос всё это время. И во freedom тоже, что уже видно из скринов, которые я постил выше. Он рос именно в WARP’е, и в основном входящий.
И я, в общем, не смог понять связь учёта трафика в Inbounds панели и XRay Configs —> Outbounds панели. Ну т. е., по идее, freedom это сумма всех инбаундов, и это похоже на правду. Но тогда уж должно быть, что сумма freedom + WARP даёт сумму инбаундов. А тут как-то странно получается, что WARP сам по себе: до обнуления (гы-гы) счётчика трафика WARP’а там было 6,5 Гигов входящего, а во freedom ± совпадало с суммой инбаундов, т. е. около 2,5 Гигов.
А по поводу, кто шастал: ну может, Edge что-то в бэкграунде подгружал (у меня только он через 3X-UI настроен), хотя как-то больно шустро он трафик ел. Но оттестирую: сначала включу инбаунды в панели, не включая Nekoray на клиенте, посмотрю, ну и дальше в том же духе.
прямой выход в интернет, без учета warp
посмотри в полном json конфиге панели нет ли там лишних inbound
Если я правильно понял, то в json’е настройки хранит XRay, и там inbound один, настройки всей панели хранятся в базе данных (/etc/x-ui/x-ui.db), и там лишних инбаундов нет, только мои два.
Запустил Nekoray, предварительно выгрузив Edge — счётчик не меняется.
И возник вопрос, как вообще панель считает трафик? Выходит, что исходящий (от прокси к клиенту) она вообще не учитывает (или бóльшую его часть), потому что, если бы было наоборот, то входящего и исходящего трафика было бы примерно поровну (так же, как сейчас у хостера, потому что сервак это прокси, на нём самом я особо ничего не делаю, он просто связующее звено с инетом). А в панели везде входящего сильно больше, что у инбаундов, что на WARP’е.
Суммарный трафик на главной странице, если хочешь увидеть одинаковый вход/исход трафик то смотри там
Здесь?
Или здесь?
В первом случае по инбаундам он такой же несправедливый. На главной (Overview) это суммарный по всей системе со времени последней перезагрузки. Мне это ни о чём, ни два ни полтора. Мне нужен сквозной справедливый по каждому инбаунду (исключительно в рамках 3X-UI), т. е. сумма всех аутбаундов (в данном случае freedom + WARP), и чтоб честные up и down.
Так-то ничего страшного, ясно, что overall это down x 2, но надо ж докопаться )
Кстати, как только загрузил Edge, отжор по WARP’у снова пошёл, теперь-то ясно, что это я, но непонятно, что он там сосёт. Через WARP мэпятся только 4 сайта, на 2 из которых я несколько дней вообще не заходил. Ради теста гружу wikidot.com (и его ресурсный wdfiles.com). Не понимаю, что там можно постоянно грузить: простая статичная страничка, в DevTools ничего не грузится после загрузки страницы.
Единственное, что могу предположить, в Nekoray периодически проходят вот такие строки:
INFO[20213] dns: exchanged *** (адрес моего сервера) OPT OPT PSEUDOSECTION: EDNS: version 0 flags: MBZ: 0x0258, udp: 4096 SUBNET: *** (айпишник клиента)/32/0
Смотрите трафик на реальном интерфейсе, утилитами, которые вам советовали выше.
У меня на одном VPS ежедневно около 50Мб трафика набегает. Причем сервером я не пользуюсь, и на него навешан белый список.
Скорее всего это из-за arp request или других бродкастовых запросов.
Можете проверить так:
tcpdump -i eth0 arp
У меня там arp простыня от других хостов сети провайдера.
На другом VPS другого хостера такого нет.
У меня на одном хостинге 300 Мб в сутки набегает ARP/broadcast спама, который учитывается в биллинге.
Кажется, разобрался. Трафик идет через интерфейс wg0 (wireguard) по IPv6. Если я правильно понял, интерфейс создан 3X-UI как раз-таки под WARP. Соединения проходят несмотря на белый список UFW, потому что панель сама их инициирует. Наблюдал такие хосты (в айдле, т. е. сам ничего не гружу): ams17s12-in-x0e.1e100.net (вроде бы это Google Safebrowsing, но и не только; и другие подобные на *.1e100.net), api6.ipify.org, 2606:4700::6811:8fa3 (Cloudflarenet), media-router-fp74.prod.media.vip.gq1.yahoo.com.
Основную массу составляют гугловские сервера.
Что это, интересно, за трафик?
Ваших клиентов?
Подскажите, а зачем вообще нужно выпускать трафик через warp? Это чтобы ходить на сайты, которые заблочили ваш vps сервер/подсеть?
Можно настроить warp на .ru домены чтобы не палить ip адрес сервера
Лучше бы их на стороне клиента направлять в direct. А на сервере я их блокирую, но можно наверное и в warp, да.
@Xunlei, нет, оба сейчас работают через Сквид, т. е. через ens3. 3X-UI пока только резервный, т. е. из пользователей только я, да и то лишь для тестов.
@MasterYoba, это для обхода блокировок со стороны большого инета, т. е. там, где Россия заблокирована. Обнаружил один сайт (а так их больше), где по какой-то причине айпишник VPS’а (а так NL) посчитали российским и заблокировали. Через WARP запрет обходится. Внутренние блокировки я обхожу с помощью “Обхода блокировок Рунета”, экстеншена для Хрома, через чёрный список.
У кого тоже панель установлена, попробуйте потестировать WARP подобным образом несколько дней, появится схожий трафик?
Чот выбесил он меня, заблочил пока временно IPv6 для wg0, понаблюдаю.
sysctl -w net.ipv6.conf.wg0.disable_ipv6=1
Бывает ситуация когда надо быстро зайди на какой-то ру сайт и отключать впн ради этого не хочется
Вроде всё хорошо, работает, на счётчике тишина, т. е. там только мой трафик.
Оставлю так, нефиг ему по IPv6 шляться где ни попадя.