Сегодня, примерно в 9 утра, мой сервер перестал работать. Возможно блокировка по IP, сервер не пингуется. Был настроен VLESS-REALITY на 443 порту, в качестве “dest” использовался сайт в сети моего хостера, он заблокирован не был. На русские сайты заходил через ещё один VLESS. Возможно - xtls-rprx-vision детектируют по размеру пакетов.
Я думаю попробовать настроить xtls-segaro-vision flow, форк оригинала.

Звучит многообещающе

P.S провайдер зеленая точка

А сервер не висит? Может тупо завис, посему и не пингуется.
Понимаю, что вопрос глупый, но мало ли.

А то не хочется верить в ваш вывод пока что, предпочту набрать статистику

Честно говоря, хочется в это верить. Но сайт в сети хостера работает как ни в чем не бывало. Если хостинг слег, то он должен заработать рано или поздно?

Не знаю, у меня сейчас 1 дешевый VPS, так за 3 дня тестов умудрился повиснуть уже разок. Тоже, кстати, не пинговался. Не стал ждать, что отвиснет, зашел в панель, выключил-включил, все заработало.
На VPS подороже зависаний не было вообще.

Панель не работает… Возможно это действительно хостинг упал?

Думаю, да
Но потом расскажите, как чем закончилось

Ок

У вас разрешены icmp до vm? если да, проверьте свою виртуалку через Check my ping with ping test on Host-tracker.com

C сайтом хостинга так же

Измените название темы и содержание, не плодите дизинформацию

А в чем тут собственно дИзинформация?
В самой статье дЕзинформации нету, заголовок увы поменять уже не могу (или не знаю как)
UPD: Пользователь Tyman осущетвил вашу волю.

Вообщем, хостер написал о проблемах с дисками и о том, что упал днс. Так что да, пока xtls-rprx-vision блокируют только в Китае и Иране, но я все равно задумаюсь о переходе на форк xtls-segaro-vision)

пока xtls-rprx-vision блокируют только в Китае и Иране

Их не блокируют в китае\иране. Есть косвенные признаки по котоырм могут попытаться вычислитьпрокси сервер и обычно это касается где куча народа использует

Я имею в виду личный опыт моих знакомых, а не публичных/бесплатных серверах. Да и не трудно в сети найти овер 9000 сообщений о подобных блокировках)

Ссылку дайте на 9000 сообщений о блокировках правильно настроенонго и используемого xtls reality прокси сервера.

Был дискашен на гитхабе небольший но там так ни к чему не пришли.

ЗЫ не удивлюсь если бОльшая ставила кривые панели, где кучу всяких протоколов активировала и использовала непопадя. (hiddify, marzban и прочие)…

Первое что нашел, чуть чел поставил xray-reality (ниже в комментариях) и его обнаружили через несколько часов.
Я и не говорю сколько подобных сообщений не на Русском языке, а на том же Китайском…
КОроче говоря, если вы в гугле не забанены, рекомендую поискать самим

Я просто говорю о том что пока недостаточно данных говорить о том чтов иране и китает 100% детектируют протокол.

Я нашел обсуждения про Иран разные и там дело судя по всему совсем не в детекте протокола как такового…

Как бы там нибыло, это уже тревожный звоночек, вот я и рассматриваю вариант xtls-segaro-vision…
Ещё было бы интересно реализовать xtls-reality (без vision), но с мультиплексацией.
Ещё что-то слышал про обновление V2RAY (обычного) и что там вроде исправили VMess, а он ведь поддерживает MUX (в отличии от xtls-vision). Короче мое мнение такого - думать над улучшениями/альтернативами популяному ныне xtls-rprx-vision и REALITY, ибо неизвестно что же будет завтра

Попробуйте чистый xray без панелей и с настройкой steal oneself, думаю этот вариант ещё долго проживёт

Чистый xray тоже использовал, узнав про панели я на них перешел, steal oneself как раз таки не использует xtls-rprx-vision вообще, там нету даже базового паддинга как я понял, а это в перспективе ещё хуже. К тому же не переживет белые списки. Но за совет спасибо

За детали не разбираюсь, но я настраивал по конфигу Xray-examples/VLESS-Vision-REALITY/steal_oneself/config_server.json at main · chika0801/Xray-examples · GitHub
Там есть xtls-rprx-vision

Это перенаправление на свой сайт, типо 2 в одном?
А задумка классная! Но это не решает проблемы детектирования самого xtls-rprx-vision, причем неизвестно как…

11 смогу в Казани побывать, попробую там свой конфиг погонять, больно не светил его нигде, сразу использовал vless-reality

Попробуйте reality конфигурации общественные погонять, не думаю что сам xtls-rprx-vision блочат

Сейчас ещё нет, но я же выше писал, это вопрос времени, даже пусть и через анализ пакетов и инкапсуляцию (что в общем-то одно и тоже) https://www.usenix.org/conference/usenixsecurity24/presentation/xue-fingerprinting

Думаю найдут решение, тут как битва вооружений

Чтож, будем надееться

Тоже перестал работать свой сервер в hetzner, настроенный через 3x-ui

Веселье продолжается.

та сплош и рядом уже к сожительению, я самолично испытал проблемы вечером в воскресенье, но там суде по всему блочили по айпишнеку потому что даже ссш тормозил
https://github.com/XTLS/Xray-core/issues/2768
https://github.com/XTLS/Xray-core/discussions/3269

many normal websites are blocked without any reason we tested this (downloading and refreshing from a normal webserver) and they were blocked after 4 days of constant traffic and downloading.

О чём тут говорить дальше? .обезьяны с гранатой… естественно риалити от такого не спасет особенно если у вас активный трафик

как раз когда нагрузка на сеть самая высокая

у хостера или инет провайдера была перегрузка по сети

Я слышал о блокировках подсетей hetnezer, но нельзя исключать возможность блокировки именно вашего vps, именно из-за xtls-rprx-vision.
У вас был только reality или ещё какие-то протоколы? У вас был закрыт 22 порт?

У вас я так понял на сервере был ещё openvpn и shadowsocks? У вас openvpn голый или завернут во что-то (клоак например?), аналогично и про shadowsocks и какой он у вас версии? 2022?

кубай

Сам хост работает. Ваши предположения неверны. Настроил через вебсокеты, все ок. Блочится именно протокол xtls-reality. Ростелеком москва (бывш.онлайм)

Понял, принял. Я думаю это должно натолкнуть на некоторые выводы.

не опенвпн голый (коньтейнер антизапрета), ss 22 года ета да

может быть who knows, но там были жоские ретрансмишены именно на етот адрес так что… ХЗ) всё остальнойе работало чётко

У вас reality был на 443 порту?

для информации: skyrunner в тихую удалил пост где писал про блокировку ip его vps, на деле она всё еще лежит

ага, я даж SS делал не по айпишнеку а по домемному имени (чтоб понтдозрений не вызывало))

@0ka я хз кто такой етот скайранер или щто ето

Не плоди дезинформацию, я удалил то, где ошибся сам.
Надо было тебя оповестить об этом?

Опенвпна там не было, я правильно понял?

надо было оповестить об этом всех

была опенвпна, яж говорю коньтейнер антезапрета там стоит(ял) или для вас ето контейнер как черная коропка хз чё там внутри или щто типа?)

В таком случае, надо было мне тут ответить, а не в ЛС

Ну тут ситуация не однозначная, нужно больше информации

Хостер все починил, все работает. Если ситуация измениться, напишу

Немножко с запозданием спрошу, я только-только начал разбираться в этой теме, поэтому пока что совсем зелёный.
Вы упоминали про “правильно настроить”, а также про “обезьяну с гранатой”, и что Reality от такого не спасает.
У меня вопрос, как именно правильно настроить и использовать Reality, чтобы не задетектило?
В данный момент у меня настроен VPS на Xray, сайт для XTLS я вбил по дефолту, Google.com. Туда же установлен WARP, маршрутизация через него идет по правилу geosite:category-gov-ru,regexp:.*\.ru$,regexp:.*\.su$
Подключаюсь через Nekoray, использую режим системного прокси для общих задач (работы в браузере), режим TUN с outbound bypass и отдельным правилом для дискорда, чтобы одновременно нормально работали и ДС, и игры.

От себя вам отвечу, если вы не используете REALITY на сами себя, то лучше использовать домен в сети вашего хостера, для этого можно использовать утилиту GitHub - XTLS/RealiTLScanner: A TLS server scanner for Reality , и открыть порты которые открыты на этом сервере и закрыть которые закрыты. Короче мимикрия. Ещё рекомендую использовать SpiderX, обьяснять лень, скину ссылку на русский полноценный гайд - Настройка VLESS + TCP + REALITY + VISION + uTLS · XTLS/Xray-core · Discussion #3518 · GitHub

Добавлю еще, что лучше перевесить ssh-порт на какой-нибудь нестандартный. Не забудьте при этом разрешить этот порт на файрволе сервера.

В этом мало смысла, если мимикрируешь под собственный сайт “steal oneself”. Да и любой портскан выявит ssh на любом порту. Если уж прятать ssh, то надо правилами фаервола его ограничивать, чтобы заход был только со своего ip-адреса(ов).

А если айпишник (серый?) динамический? Есть варианты?

Или если вход по ключу, то по сути вообще смысла нет прятать ssh?

Я рекомендую погуглить и почитать manЫ, ибо информации на эту тему выше крыши

Лень пару предложений написать чтоб помочь? Окей.

Дело вовсе не в лени, а в том, что на том же лоРе скорее всего был подобный вопрос (как скрыть свой ssh?), или на другом форуме, аты поленился вбить в свой браузер гугал точка ком и спросить, как скрыть свой ssh? панимаиш? такова судба всэхъх красноглазиков, а кразноглазить тебе придеться, ежели хочешь удовлитворить интерес… Это вечное проклятие…

Не то что бы мне это супер-надо было, чтоб гуглить это. Думаю входа по ключу и так хватит. Просто думал в пару предложений обрисуют мои пару вопросов.

Одна из первых ссылок на мой запрос

спасибо. Но я не пойму, а есть смысл вообще в сокрытии портов? Ну допустим ssh на 22 порту, вход по ключу. HTTP на 80 порту. Ну и что дальше? Как это на безопасность влияет вообще?

Ещё можно почитать комментарии к этой статье

Чтобы провайдер не понял что это ssh сервер, я так понял суть сего действа

Я бы тогда сделал правило с подсетью или подсетями, из которых ваш оператор выдает адреса, их как правило немного и они легко гуглятся. Это всяко лучше, чем открытый всему интернету и сканерам ркн порт.

Лично я использую джамп хост, то есть второй промежуточный сервер за рубежом, через который я хожу на основной, где у меня запущен прокси, и заход на основной фаерволом разрешен только с адреса промежуточного. Но даже если доступ по какой-то причине потеряется, всегда есть веб-консоль в личном кабинете хостера.

Отличный вариант, требующий бОльших денег, но задумка гуд

Да, прикольно, только лишние затраты на сервер получаются.

Эти подсети наверное надо будет обновлять раз в месяц или типа того? Я так просто с файрвола разрешал доступ только для Cloudflare, и у них айпишники время от времени надо обновлять. У провайдеров тоже так наверное .

Спасибо.

Не буду плодить тему, апну эту.
Крч у меня походу реально “срисовали”. VLESS настроил.

Есть сервер мой, который всегда работает. ICMP я вырубил, но включил ток что обратно для тестов.
Ситуация - просто по dns имени нет коннекта и по ип по 443, пишет ERR_CONNECTION_TIMED_OUT
ICMP пинги ходят, 100% все.

Пробую через мобильный инет, т.е. там оператор же другой, провайдер - там все ок, по dns имени и ип заходит успешно.
И друзьям, которым я дал VLESS доступ профили - все ок еще.

Вопрос - какого хрена? Т.е. начали блочить, как-то чекают? =( Буду благодарен если подскажите, что еще смотреть в данной ситуевине.

NVIDIA_Overlay_OkpeZfC2Dg1391×341 40.5 KB

вот так для wireshark это выглядит

Что-то не то. Я смотрю, как блокировка ТСПУ выглядит и там просто идет CLIENT HELLO и потом тишина.
На скрине что я кинул вообще не то, совсем. Тогда что происходит? Т.е. нет доступа, но по какой причине не ясно и почему только у меня и только на этом провайдере.

Кто хостер? Htzner, ovh сейчас проблемы

Хостинг ovh.
Прикол… вот нехорошие люди. А мне они пишут, что никаких проблем к них.

Не у них проблемы, а в РФ что-то мутят с фильтрацией, почитайте тему

Хрен в том что твой сервер централизированый. Как видишь твой драгоценнинький vless не справляется с ip ban. Это single point of failure. Вот скажи мне что ты будешь делать когда все cdn заблокируют целыми subnet? Нужно менять хостинг на либо у друга под кроватью, либо у крипто компании которая low key для хоббиистов о которой мало кто знает

Да, я извиняюсь, уже почитал. Жопа, что тут сказать.

Я это прекрасно понимаю. Если нет доступа по ип до vless там уже пофиг, как жто устроено, абсолютно.

Хотя есть такая штука как VPN over ICMP, а ICMP не блочится. Но это весьма экстравагантный метод и именно норм софтины для него нет, разве что softether.

Есть вариант с роутером в другой стране и белым апи

Выхода нету только из гроба и то не факт, хостингов ещё полно

Есть выход. Любят говорить про закручивание гаек, однако их так долго крутят что старые заржавели и сломались. Те же пинги или серф хостинги это классика

Тут согласен, это все и делаем, просто как же задолбало =) Люблю закрытый инет за свои же налоги.
Я хостинг на оч долго оплатил и мне обидно.

Проксируй через cloudflare или ру впс где блока нет (напр селектел за 200р)

Говорят, помогает отключение роутера на 15 минут. Но блокировка всё равно может вернуться потом.

Поговори с поддержкой хостера, пусь деьнги вернет

Платил человек сторонний за него, зарубежной картой =) Они не могут на РУ вернуть. Тк что тут это мне не поможет.

Хватило бы смены ipv4 с их стороны, но они это тоже не хотят делать.

У меня знаешь, утром работает, а днем отрыгивает на весь день. Так что что-то в этом есть. Мб попробую с роутером идею, посмотрим.

Это конечно гениально, но тоже как вариант, подумаю спс.

Пусть вернут человеку, который платил? Или отправят криптовалютой. Всегда можно договориться