Всем привет! Есть сервер для друзей с настроенным vless vpn через панель 3xui. Сегодня у некоторых пользователей впн перестал работать, у кого-то только через wifi, у кого-то и и через мобильного оператора. SNI google. Flow либо пустой, либо xtls-rprx-vision. Порт 443. Зависимости работы впн от типа flow не нашел. Пакеты Ubuntu обновил до последней версии

Пробовал вставлять ключи друзей к себе и все работает, подозреваю что некоторые операторы и провайдеры блокируют подключение.

Ip сервера пингуется, сервер не заблокирован

Я подписан на некоторые тг каналы, которые продают ключи и сегодня там были посты о том, что были неполадки, которые они устранили. Возможно кто-то сможет подсказать, как исправить эту ситуацию

А на каком хостинге поднят vless? У некоторых людей РКН блокирует Hetzner и OVH, все подсети. Только пинг прходит. Может помочь выключение роутера на 15 минут.

sni гугла использовать глупо, у них cdn есть в россии

Хостинг veesp

1. Не используйте пустой flow, везде ставьте xtls-rprx-vision.
2. SNI ищите в том же ASN, что и сервер. В идеале - в той же 24й подсети. Используйте RealtiScanner для поиска подходящих доменов. На всякий перепроверяйте домены руками - встречал случаи, когда RealtiScanner выдает домен в сканируемой подсети, но nslookup резолвит вообще в другое место.

В результате таких мис-конфигов (особенно п.1) пользователи могут попадать в gray-lists у своих провайдеров. Со временем должно распердеться. На будущее, если не хотите ждать истекания grey-lists, советую делать IP-фронтинг (простой masquerade+dnat с помощью iptables). Позволяет в случае чего свапнуть айпишник и дальше пользоваться.

Можете, пожалуйста, подробнее рассказать про ip-fronting. Я нагуглил только про domain-fronting

Точно такая же проблема сегодня появилась, через мобильный все нормально работает, а через домашний не подключается

У меня сегодня некоторые европейские впс единоментно стали отваливатся раз в несколько минут — просто пакеты перестают достигать назначение на пол-минутки. Протоколы кастомные TCP/UDP.

Де факто это просто сервер посередине (relay), который с помощью iptables делает форвард трафика. Схематически, это выглядит так:
vpn_server ↔ relay_server ↔ client

Когда по тем или иным причинам ваш IP палится, вы просто заменяете relay и через subscription link распространяете обновленный конфиг.

Будет справедливым заметить, что можно просто влепить в конфиге домен вместо IP-адреса. Но мне нужно было решение с relay по ряду причин.

Если протоколы кастомные, то ничего удивительного. В режиме “рубить все незнакомое” нет ничего сложного. Так уже делали, если не ошибаюсь. Правда, локально

Спасибо за подробное описание, буду изучать. Могло ли так случиться, что 80% пользователей одновременно попали в gray lists, при чем на разных провайдерах и операторах? До вчерашнего дня все работало исправно. И есть ли возможность поменять ip вручную, без iptables, для восстановления работы?

внесу своё мнение что не верю в существование “grey lists”, и проблема скорее всего в чем то другом. Flow кстати должен быть одинаковый на клиенте и сервере, какой именно - не важно. так же могут быть проблемы с доменом если он у вас используется.

Домен использую freemyip, он заблокирован уже какое-то время, но это не мешало работе впн

Тоже сначало грешил на него, но другой сервер где duckdns тоже не работает

Вопрос близкий по теме, нормально ли в качестве маскировочного домена для xtls-reality использовать yahoo.com?

Запускал RealityScanner и видел много среди соседей связанных с ними сертификатов, но типа такого *.[что-то там].yahoo.com

ну так может начало мешать? уберите домен и используйте ip

2 раза видел у других людей что домен резолвится через него с большой задержкой

скорее всего такие же пользователи реалити как вы, уж слишком он распиарен

Сомнительно. В самых популярных гайдах обычно я видел гугл или майкрософт, там бы все скопипастили. Например сертификат: *.fantasysports.yahoo.com, может у компании какие-то мелкосервисы могут быть. Это ведь вроде wildcard-серт, разве с ним реалити работает?

Просто для статистики. Калужская область, Билайн (и мобильный и домашний)
Два разных сервера в Амстердаме.
До одного обычный Shadowsocks, до другого Shadowsocks + V2Ray
С телефона на iOS используется Shadowrocket с ПК на Windows - Nekobox или Shadowsocks

До сегодняшнего дня никаких проблем не наблюдалось ни с одним ни со вторым сервером. С сегодняшнего дня на всех устройствах соединение теряется раз в несколько минут на 40-50 секунд, затем снова продолжает работать.

ну так такой сертификат и у ip yahoo есть https://search.censys.io/hosts/74.6.143.14. yahoo видел в гайдах и у друзей в конфигах тоже.

У меня тоже проблемные впс в этой локации, пока пустил трафик до них через другие тунели, которые пока работают.

убрал, не помогло. Симптомы те же

также не подключался впн с мобильного мегафона, хотя сам сервер был доступен. смог найти подходящий домен в /24. после замены домена SNI, все заработало.

[РЕШЕНО]

Помогло изменение SNI в настройках панели 3xui. Воспользовался этим советом

“У некоторых хостеров есть собственные зеркала Linux, это как раз тот домен который можно безопасно использовать для фейкового домена, проверить можно так - просто вбивайте в браузере https://mirror.ДОМЕНХОСТЕРА
Если что-то открывается то отлично, смело используйте это доменное имя.”

Спасибо всем, кто поучаствовал в обсуждении. Это было полезно

У aeza есть s3.aeza.net, но все равно не работает так
Думаю проблема все ещё не решена)

У кого не работает vless
Попробуйте в настройках телефона добавить днс сервер с шифрованием
Мне и моим знакомым такой способ помог

За gray lists скажу, что формально мы не знаем о их существовании, но намеки на их существование были. Да, это может быть что-то другое. Здесь, как и в принципе во всем, что касается РКН, ТСПУ, DPI и т.д. мы можем оперировать лишь предположениями.

Если предположить, что gray-lists действительно есть, то могли уехать все клиенты, которые, например, не использовали flow. Другой вопрос, что непонятно, как у них вообще vpn работал. Как верно подметил автор комментария выше, эта настройка должна быть одинаковой на клиенте и сервере.

Другая опция, как, опять же, было сказано выше, вы могли спалиться сервером. Например, active probing. Опять же, не берусь ручать, что РКН активно его пользует, но если да, вас можно было спалить, например, по следующим моментам:

1. Открытый ssh порт на сервере
2. SNI из другого ASN (а если брать по жести - из другой подсети)
3. Нерабочий fallback domain: когда в процессе пробинга к вам на 443-й порт приходят с SNI из конфига reality, вы должны отдать содержимое страницы оригинального сайта

iptables больше одного раза вам настраивать и не придется - разве что ваш сервер переедет. Если вы про изменение ip в конфиге у клиентов, варианта два:

1. Используйте домен вместо IP и просто меняйте A запись при необходимости
2. Используйте subscription link. Здесь отдельно посоветую посадить ее на отдельный домен, закрытый cloudflare

Пока что за это не сильно бьют палкой, но если завтра начнут сверять подсеть/ASN, отъедете быстро. Ищите другой домен, опираясь на результаты RealityScaner. Если по доменам не густо, пробуйте соседнюю подсеть в том же ASN (BGP Hurricane Solutions вам в помощь). Кучу соседей с сертификатами yahoo вы видели, потому что это дефолтный домен для 3x-ui, который пользует добрая часть людей.

В итоге удалось решить проблемы, может нашелся виновник ?) У меня тоже домейн на freemyip, грешу на него уже

Нет, сейчас попробовал перед тестом выключить роутер на 5 минут, ip сменился, подключился по старым конфигам — стало только хуже, UDP на не пускает вообще, TCP пакеты будто упираются в limit, пользоватся невозможно. Вернул подключение в обход.

В мое случае проблема решилась путем указания IP вместо домена на freemyip.

UPD: Не работает только подписка (у некоторых), онли ключ вроде пашет

Домены freemyip перестали резолвится (основной сайт уже давно забанен)
решается сменной днс на шифрованный quad9

Есть еще вариант с самоподписным сертификатом OpenSSL

После испытаний чебурнета амстердамы заработали (заметил, что пинг на 30 мс напрямую выше, чем в обход через тунель, но пока лень разбиратся, может и из-за буфферизации DMA).

Кто-нибудь может подсказать, как проверить, что проблемы с хостером?
У нас арендован сервер в Амстердаме, в нем настроен vless с reality, при подключении с телефона через husi ничего не работает (при проверке пинга пишет “ошибка: таймаут”)
На ПК через v2rayn вроде работает(тест пинга проходит, но тест скорости cloudflare нет), но многие сайты плохо грузит (например, ifconfig.co загрузился и показал IP Амстердама)

Вобще странное поведение… У меня тоже настроен vless с reality через Амсетрдам. Обчыно пускаю через него весь зарубежный трафик, фильтруя на клиент российские сары по geoip и доменам.
Сейчас через vpn не могу достучаться никуда (например, до гуглового поиска), но ntc.party открывается…

И “неработает” весьма нестабильно. Пока писал пост, проверил, что гугл не открывается, а когда запостил - резко все ожило.

Подтверждаю, франкфурт тоже лежал именно в этот промежуток времени – проснулся тоже сам.

Запустил RealityScaner, сменил SNI, вроде легче стало, но притормаживает.
Заглянул в чат хостера (VDSina) - пишут, что ДДОС был/есть и включили фильтрацию трафика. Возможно из-за этого нестабильно работал.

Настроил все по гайду https://www.youtube.com/watch?v=gJNkZKRrKnk. Несколько дней назад перестал работать VPN только у домашнего провайдера на винде. На Android, если не через домашний wi-fi, все работает штатно. Контрольная панель 3x-ui через домашнего провайдера не доступна.
Подскажите, что нужно переделать в настройуах?

Не только VDSina, кстати. Timeweb тоже уже который день DDOS-ят. Нехорошие люди

Пока что похоже на то, что ваш домашний провайдер режет трафик до вашего сервера. Бывает такое, что режет все, кроме портов: 22,80,443. Проверьте, для начала, эту теорию.

В четверг сначала отвалились пользователи техники Apple, затем в пятницу все остальные. Решением стало смена SNI с google на другой популярный сайт, а также уход с freemyip на похожий но еще не популярный сервис.
Добавлю, что ситуация с блокировками бурж трафика натолкнула на мысли поднять VPS в РФ и настроить Outbound в сторону Нидерландского сервера.

В итоге имеем при следующих “учениях” сначала подключаться к VPS в РФ потому что блокируют не VLESS, а бурж IP, и с дальнейшим проходом трафика до Европы и обратно. Схема надежна как сами знаете что, ждем новых “учений” чтобы испытать обход ограничений.

реалитисканер по аезовскому серваку нашел следующие:
fonts.googleapis.com; fonts.gstatic.com; www.redditstatic.com; *.trustpilot.com; aeza.net и wiki.aeza.net; t.me; mozilla.org;
то есть лучше поставить SNI один из них? выбор небольшой, конечно

на серверах аезы естественно нету серверов гугла, реддита, телеграм и т.д., это такие же пользователи реалити как вы

вот как, а чтож выбрать тогда?
но, кстати говоря, моего SNI в списке нет

если есть свой домен, то выбирайте свой же домен (steal oneself), если его нет то советую не использовать реалити вообще, вы ничего не потеряете

Как вы понимаете, никто из вышеперечисленных на аезе не хостится.

Если не прокатило найти в своей 24-й сети, идите в соседние. Открываете bgp hurricane solutions, забиваете свой ip, переходите на asn, смотрите подсети. Берите те, что соседствуют с вашими. И по ним ищите.

“соседствуют” это те, которые во вкладке graph?

Prefixes v4. Сначала найдите свою подсеть, а потом смотрите на те, что выше/ниже

Мне кажется, на текущий момент слово “если” уже лишние. Свой домен должен быть по умолчанию! Ну право, это просто копейки и мелочи, пару баксов в год.

есть ли какой-то способ прошерстить подсеть на предмет популярных доменов хостящихся на этих адресах? (настоящих доменов)

Настоящие хостятся сайты или нет - это проверять уже руками (в смысле, браузером) надо будет.

Я выше уже это сделал

Самое тупое, что всегда и делаю: nslookup. Сходится - оригинал, не сходится - косит.

ну, это понятно, я имею в виду, что в подсети там айпишников сотни, можно ли найти какой-нибудь относительно популярный сайт среди них, а не просто рандомный

Нет, здесь вам придётся полагаться на себя. Впрочем, неплохим вариантом может быть веб-морда чьего-то Nextcloud, если адрес не-именной. Хороший вариант прикинуться ветошью, ибо от него вполне ожидается постоянный поток данных по HTTPS (ибо WebDAV).

Имхо, проще как раз рандомный. Не вижу какого-либо резона искать популярный сайт.

Я вот несколько доменов использую. Так сложилось, что большинство из них - crm-ки/gitlab-ы и всякие иные морды. Все прекрасно работает.

ну чтоб не палевно было, что на какой-то нулёвый сайт постоянно идёт большой объем трафика

я по итогу в саппорте спросил, дали сразу норманый домен из той же подсети

Вы же не собираетесь гонять там трафик десятками терабайт? Да и даже если да, не вижу причин искать под это известный сайт. Просто, видите ли, в чем дело:

1. Я слабо представляю себе ситуацию, что ркн будет запоминать на тспу, кто и куда сколько трафика перегнал. А потом ещё смотреть каждый такой сайт, каким-то образом определять, реально ли туда могло пойти столько трафика итд итп.
2. При этом, я вполне представляю себе модель, когда ркн берёт известный сайт (пример: yahoo), смотрит на его реальные адреса, а потом начинает ходить по подсетям и банить всех, кто под него косит.

Согласитесь, ситуация #1 менее вероятна, чем ситуация #2.

на самом деле, ситуация #2 звучит и правда убедительно, не стоит всё-таки использовать широкоизвестные сайты. Но касательно 1, я видел много предостережений, что автоматически могут (в будущем) по размеру пакетов и различым паттернам трафика детектить подозрительные соединения

Добрый день. Тоже пару дней наблюдаю проблемы. Мтс и дом ру домашние рубят соединение vless.
Сейчас разделил своих на два подключения, один на попсовом сайте оставил, себя перекинул на свой домен - тестирую

Для этого и существует обфускация, к сожалению у самого руки никак не доходят подобное настроить

даже со всей обфускацией будет видно, что трафик так или иначе гоняется на айпишник каждый день на постоянной основе, и если там какой-то сайт пустышка, то сразу будет всё понятно

Не отличит оно в автоматическом режиме пустышку от непустышки, так что на мой вкус этот аргумент совсем параноидальный. В самом крайнем случае ТСПУ будет ограничивать объем трафика для любых сайтов, кроме какого-то белого списка с microsoft.com и google.com, и тогда вся маскировка под “непустышку” из вашей подсети не будет иметь никакого смысла. (Разве что если в вашей подсети действительно тусуется какой-то все еще востребованный в РФ гигант, чего нельзя исключать - но думаю, что в вашем случае это не так.)

При сканировании подсетей на всяких дешевых хостингах я не вижу ничего, кроме россыпей доменных имен в духе fckiraniangov.ir или fckgreatfirewall.lol. Судя по их количеству и продолжительности жизни, все подобные SNI работают вполне нормально.

Ну, я в целом с вами согласен. Я не думаю, что система сразу просканирует трафик и найдёт там подозрительный домен. Я рассуждаю скорее с позиции того, что при какой-либо аномалии можно привлечь внимание, а при чуть более персональном анализе, будет уже явно видно, что на какой-то неочевидный домен, поступают тонны трафика (относительно обычного сёрфинга, который, как мне кажется, специфичен для маленьких или собственных сайтов). И всё я загадываю больше на будущее, чтобы через год не возникло сюрпризов

Не знаю сколько там данных гоняется через провайдера каждый день, если бы система могла вести статистику и анализировать каждое подключение, накрылось бы наверное множество способов обхода. Меня недавно знакомый параноик(!) пытался убедить, что ssh можно спокойно вешать на порты выше 50к, ведь у (((них))) не хватит ресурсов сканировать каждый адрес…

Ну есть же tls padding, который уже считается обязательным, который влияет на пакеты. Значит алгоритмы, замечающие паттерн поведения пакетов и определяющие его как впн работают

Привет. Столкнулся с тем, что на всех смартфонах перестал работать впн (клиент streisand, v2box). На компе впн работает (клиент 2vrayn). Vless+reality+xhttp, пересоздавал подключения для смартфона. Кто-то сталкивался с подобным?

Необходимо больше деталей, конфигурационные файлы, логи

В логах сервера вообще нет запросов на подключение клиента с мобилки. На мобилке в Streisand кажется нет логов вообще или я не понимаю как их вытащить…