Ник Пост Дата
lsdlv

Доброго времени суток всем.
Проблема с VLESS+REALITY, свой сайт на той же вдске.

Хостер justhost.ru, проблемы у провайдеров Skynet и E-telecom, район Санкт-Петербург. Также в Амурской области, провайдер Телевокс.

На сервере настроен Xray, два протокола: VLESS REALITY, Shadowsocks2022.
Для подключения на клиенте используется Nekobox, ядро Sing-Box.

Симптомы такие, что сайты просто не грузятся через VLESS, а на Shadowsocks скорость очень упала. Также не проходит встроенная в клиент Nekobox проверка связи.

А, ну и, параллельно у других провайдеров, типа Кабельных систем в Амурской области, всё работает хорошо. В чем может быть причина, как считаете?

2024-12-05T12:34:50.197Z
mipeje 2024-12-05T12:39:26.399Z
lsdlv

большое спасибо, почитаю. Пропустил данную ветку

2024-12-05T12:43:06.533Z
gonza159

Вчера отвалилось соединение vless у некоторых пользователей. В основном Iphone, очень непонятная ситуация, есть косяк что SNI использовал google, но даже поменяв и обновив подписку и проверь в моменте не хочет грузить. Причем не работают сразу все сервера, они находятся в домейне третьего уровня .freemyip, но на разных хостингах и на разных серверах. Порт 443, xtls-rprx-vision

Заметил, что не у меня у одного vpn сервис отвалился, такая же проблема у крупных игроков

В чем может быть проблема ?
Почему смена sni не помогла или это не так быстро срабатывает ?

2024-12-06T07:59:36.458Z
ariurn

SNI действительно может быть проблемой. Как минимум из-за того, что вы вряд ли в одном ASN с гуглом. Плюс, недавно сообщали о том, что гугловский домен тыкали палкой: Блокировка google.com

Обычно смена SNI помогает сразу, но ваш ip мог на время влететь в gray-lists (не ручаюсь за их существование, но чисто теоретически это возможно). Попробуйте поменять ip, возможно, поможет

2024-12-06T08:37:30.345Z
gonza159

Тут еще прикол в том, что серваки все разные. Есть вероятность, что все три ip влетели ?

2024-12-06T09:05:10.132Z
gonza159

И не очень тогда понятно почему туда попали только некоторое кол-во пользователей

2024-12-06T09:09:45.397Z
ariurn

Если предположение о том, что вы отлетели за SNI, верно, то почему бы и нет? Просто они уехали не “пачкой”, а как 3 разных подозрительных сервера.

2024-12-06T09:24:46.747Z
ariurn

Тут уже надо анализировать. Не зря, например, нет универсальной стратегии для zapret - порой разным людям приходится подбирать их под себя. Разные маршруты, разные dpi итд.

2024-12-06T09:27:13.740Z
Arch4Arts(Артур)

Поднимите self host, это не сложно, домен можно получить бесплатный домен на freemyip

UPD freemyip больше не работает по видимому, но все еще можно купить любой зарубежный домен у РУ хостера, вопрос 150 рублей за год.

2024-12-06T17:38:41.774Z
aggravatingbee

Та же проблема. Заметил интересную вещь - у меня зеленый оператор в телефоне и дома. На телефоне худо бедно работают три протокола. На компе отвалилось всё, но частично заработало после смены SNI. И вот тут самое самое странное - открываются не все домены. Инста не открывается, нет подключения к серверам rockstar games. Steam, Discord и прочее работает.

2024-12-06T18:15:04.643Z
Nslookdown

Какой хостинг?

2024-12-06T18:16:01.880Z
aggravatingbee 2024-12-06T18:16:12.974Z
Nslookdown

В чате у них пишут что тоже был ддос, по этому и лагает

2024-12-06T18:20:22.703Z
aggravatingbee

Хочется надеяться, спасибо.

Подскажите еще (не по теме поста) - моим VPN пользуется пара знакомых с айфонами. У одного месяц назад он начал отрубаться при подключении к домашнему Wi-Fi, у другого - перестал работать напрочь неделю назад. Учитывая, что - играться в конфиге xray (и ложить сервер, пока у айфонщиков все не заработает) + удаленно им что-то объяснять и тестить, не шаря в ios - тяжко. Мб были какие-то кейсы и решения тут?

2024-12-06T18:28:55.330Z
ariurn

Сомневаюсь, что это проблема именно iOS. Скорее просто так совпало. Разное поведение на WiFi и мобильном интернете - не новость. Какая конфигурация сервера/профилей?

2024-12-06T18:37:26.674Z
aggravatingbee

Если кратко - все по лонгриду UranusExplorer с хабра. В сети я не разбираюсь совсем, поэтому просто копипащу конфиг, меняя uuid, ключи и прочие переменные

  1. VLESS reality с flow. Раньше использовал безобидный зарубежный fandom.com как SNI. Сейчас заменил его его на относительно популярный сайт в Нидерландах.
  2. Shadowsocks

P.S. Я видел на реддите пост про xray на айфоне + VPN + домашний Wi-Fi, но, как я понял, там надо менять настройки как телефона, так и конфиг xray на сервере.

2024-12-06T19:07:47.146Z
ariurn
  1. Используйте RealityScanner. Ищите домен для SNI хотя бы в своем ASN. В идеале, в своей 24-й подсети. Не берите известный домен, мимикрируйте под малоизвестный сайт.
  2. Если у вас на одном и том же сервере крутятся vless+reality и shadowsocks, это не есть хорошо. Shadowsocks уже не безопасен и как минимум вызывает подозрение провайдера. А отсюда можно получить проблемы со всем остальным, что идет туда же.
2024-12-06T20:05:59.295Z
ziggi

Подскажите, пожалуйста, как пользоваться сканером?

2024-12-09T07:25:33.026Z
ariurn

Личто я использую этот репозиторий (есть несколько вариантов): GitHub - XTLS/RealiTLScanner: A TLS server scanner for Reality
Допустим, ip вашего сервера - 1.2.3.4. Тогда запускаете сканер так: “./RealiTLScanner -addr 1.2.3.0/24 -thread 6”. Вам постепенно вываливается пачка строк. В некоторых из них можно найти домены. Эти домены перепроверяете руками:

  1. ip в вашей 24й подсети (nslookup)
  2. Сайт открывается и имеет валидный сертификат
  3. Это не известный домен. Вы можете в своей подсети найти, например, yahoo.com. Это не yahoo сидит в вашей подсети, это кто-то под него косит.

Если все сходится, то можно использовать данный домен для sni.

2024-12-09T07:59:37.845Z
ziggi

Спасибо большое, помогли, разобрался.

2024-12-09T08:29:03.023Z
serosia(Sergey)

Добрый день!
Подскажите пожалуйста, у меня адрес в /32 подсети
Хост aeza
Если я сканирую свою 32 подсеть, соответственно никаких “пачек строк” у меня нет.

Могу ли я в таком случае другую подсеть сканировать для поиска подходящего SNI?

2024-12-25T08:38:57.167Z
Shiki

В /32 подсети 1 адрес. Сканируйте в большем диапазоне, например, как показали выше - /24

2024-12-25T11:04:53.092Z
serosia(Sergey)

Нашел какой-то нонеймный домен
Ошибка по таймауту все равно не уходит, мб поменять IP самого сервака?

2024-12-25T11:24:28.942Z
Dhohbr

Возьмите соседнюю с вашей сеть AS210644 AEZA INTERNATIONAL LTD details - IPinfo.io просканируйте.

2024-12-25T11:53:46.681Z
Shiki

Ошибка именно тайм-аут? А раньше работало?

2024-12-25T11:57:10.352Z
serosia(Sergey)

спасибо, попробую

2024-12-25T12:21:59.070Z
serosia(Sergey)

Да, именно таймаут в клиенте hiddify
Я не сильно разбираюсь в сетях, в основном до этого делал по инструкциям, например у той же аеза
Но как оказалось, SNI которые они в инструкции предлагали указывать все навернулись, по понятным причинам)

Вот теперь нахожусь в поиске нового SNI

2024-12-25T12:23:56.764Z
Shiki

Когда-то слышал много жалоб о таймауте в hiddify. Вы marzban панельку используете? Если да, то не добавляли ли вы в конфигурацию самой панели в “routing”: { “rules”: [ … ] } следующие строки:

{
        "outboundTag": "DIRECT",
        "domain": [
          "full:cp.cloudflare.com",
          "domain:msftconnecttest.com",
          "domain:msftncsi.com",
          "domain:connectivitycheck.gstatic.com",
          "domain:captive.apple.com",
          "full:detectportal.firefox.com",
          "domain:networkcheck.kde.org",
          "full:*.gstatic.com"
        ],
        "type": "field"
      },

Должно получится так:

В любом случае, рекомендую еще проверить конфигурацию и убедиться в её сходстве на клиенте и сервере.

2024-12-25T12:56:43.319Z
serosia(Sergey)

Да, я пользуюсь marzban панелью
Ну или напрямую конфиг на сервере можно поменять, потом рестартануть XRay

Сейчас конфиг такой

2024-12-25T13:15:20.671Z