Я поднял vless на панели 3x-ui, вот как выглядит мой конфиг

{
  "log": {
    "access": "./access.log",
    "dnsLog": true,
    "error": "",
    "loglevel": "info",
    "maskAddress": ""
  },
  "api": {
    "tag": "api",
    "services": [
      "HandlerService",
      "LoggerService",
      "StatsService"
    ]
  },
  "inbounds": [
    {
      "tag": "api",
      "listen": "127.0.0.1",
      "port": 62789,
      "protocol": "dokodemo-door",
      "settings": {
        "address": "127.0.0.1"
      }
    }
  ],
  "outbounds": [
    {
      "tag": "direct",
      "protocol": "freedom",
      "settings": {
        "domainStrategy": "UseIP"
      }
    },
    {
      "tag": "blocked",
      "protocol": "blackhole",
      "settings": {}
    },
    {
      "tag": "warp",
      "protocol": "wireguard",
      "settings": {
        "mtu": 1280,
        "secretKey": "xxxxxxxxxxxx",
        "address": [
          "172.16.0.2/32",
          "2606:4700:110:8dd1:5e3a:336d:8a38:cabc/128"
        ],
        "workers": 2,
        "domainStrategy": "ForceIPv4",
        "reserved": [
          0,
          123,
          96
        ],
        "peers": [
          {
            "publicKey": "xxxxxx=",
            "allowedIPs": [
              "0.0.0.0/0",
              "::/0"
            ],
            "endpoint": "engage.cloudflareclient.com:2408",
            "keepAlive": 0
          }
        ],
        "noKernelTun": true
      }
    },
    {
      "tag": "dns-out",
      "protocol": "dns",
      "settings": {
        "network": "udp",
        "address": "127.0.0.1",
        "port": 53,
        "nonIPQuery": "drop",
        "blockTypes": []
      }
    }
  ],
  "policy": {
    "levels": {
      "0": {
        "statsUserDownlink": true,
        "statsUserUplink": true
      }
    },
    "system": {
      "statsInboundDownlink": true,
      "statsInboundUplink": true,
      "statsOutboundDownlink": true,
      "statsOutboundUplink": true
    }
  },
  "routing": {
    "domainStrategy": "AsIs",
    "rules": [
      {
        "type": "field",
        "inboundTag": [
          "api"
        ],
        "outboundTag": "api"
      },
      {
        "type": "field",
        "outboundTag": "blocked",
        "protocol": [
          "bittorrent"
        ]
      },
      {
        "type": "field",
        "outboundTag": "blocked",
        "domain": [
          "geosite:category-ads-all"
        ]
      },
      {
        "type": "field",
        "domain": [
          "geosite:category-ru",
          "geosite:google",
          "vk.com"
        ],
        "outboundTag": "warp"
      },
      {
        "type": "field",
        "inboundTag": [
          "dns-in"
        ],
        "outboundTag": "dns-out"
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "domain": [
          "youtube.com",
          "youtu.be"
        ]
      }
    ]
  },
  "stats": {},
  "dns": {
    "servers": [
      "localhost"
    ],
    "queryStrategy": "UseIP",
    "tag": "dns-in"
  },
  "fakedns": null
}

Я не могу понять почему в “Исходящие” на dns-out использовано 0/0 bytes. Как-то это странно. Если, что я использую nekoray

в nekoray по умолчанию DoH, protocol: dns это только udp dns

Короче как я понял махинации, которые я проделал на сервере в целом бесполезны.
Поставил вот https://1.1.1.1/dns-query в некорее. Вот такая картина примерно, а там еще есть галочка “Использовать DNS-объект” правильно ли я понял, что я могу туда впихнуть ипшник сервака с поднятым dns и юзать свой? Просто какие то проблемы с 8.8.8.8 и 1.1.1.1

2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled

ничего не понял. в чем проблема изначально и что вы пытались сделать?

в логах некорея начались ошибки связанные с dns(как я полагаю не резольвит домены). Изначально стоял DoH в nekoray такой: https://8.8.8.8/dns-query. Начались ошибки, я выставил https://1.1.1.1/dns-query и все также продолжались подобные ошибки как из сообщения выше. Но в некорее есть галочка “Использовать DNS-объект” куда я вписал айпи сервера в таком виде и ошибки перестали сыпаться. Правильно ли я понимаю, что поднятый мной днс на сервере теперь используется некореем или не совсем так?

{
  "servers": [xxx.xxx.xxx.xxx]
}

Если у вас перестал работать DoH то значит вы что-то серьезно сломали.

я не вижу никакого днс сервера, я вижу сниффер днс в конфиге сервера который все запросы будет заворачивать на себя (а на сервере прописан localhost адрес, т.е. системный днс).

советую вернуть некобокс в дефолт, переустановить панель, не трогать json конфиг и настроить всё через интерфейс, я не вижу ничего особенного для чего нужно было бы лезть в json

я не лез в json, нужно было просто завернуть dns на сам сервак, ибо были утечки

через bind9 я поставил днс и теперь айпи моего сервера можно использовать как днс, который в свою очередь отправляет все на 8.8.8.8 и 8.8.4.4

чтобы небыло утечки на клиенте то в некобоксе включите strict route в tun settings, еще скорее всего в винде нужно прописать dns 1.1.1.1 или любой другой (кроме днс с роутера), для ipv6 убрать днс вообще.

чтобы увидеть куда утечка то смотреть надо через wireshark

ничего непонятно

Если там ошибки с узлами googlevideo, то это норма. И вообще это не ошибки. Можно не верить логу в плане днс эрроров. Они есть и в чистом сингбоксе, и в клэш на роутере. И на стабильных версиях, и на бетах, и на альфах и уже целый год на любых версиях. И под виндой, и под лоинуксом. Хз из-за чего он серет в логи днс ошибками, но можно игнорить их.

Скорее всего он пишет днс эррор из-за того, что узел послал нафиг (а чаще всего в обычных ситуациях это происходит с упомянутым гугл видео - открой браузер в режиме разраба и помониторь - часто шуруют ошибки 400, вот именно они и считаются как днс эррор, наверное). Но это не значит, что есть какие-то проблемы с резолвингом. Если в браузере всегда все сайты открываются и ни разу не было такого, что “адрес не найден”, то всё ок.

А прописывать надо именно CF по DOH-(3). С ним лучше работает.
Дох3 в плане конспирации, наверное, плохой вариант, ибо там udp используется. А udp внутри влеса это палево для очень продвинутого DPI. У нас это пока не проблема и ближайшие годы проблемой не будет. Обычный DOH (не 3) юзает TCP.

Вот у меня как раз бывает, что не резольвит, прям браузер иногда выдает ошибку и приходится перезагружать страницу. Ещё было дело заходил на игровой сервер и просто было бесконечное подключение, только выключил некорей и сразу все подконнектило. Вчера удалил из конфига DNS, который настроил перезагрузил сервер и было все норм с ошибками, сейчас запустил на компе некорей, насерело ошибками так как никогда еще

Кроме того заметил перебои на мобильной сети оператора Билайн с ютубом в Москве и области, помню в конце декабря ставил xtls-rprx-vision в flow и стало лучше тогда. Сейчас же нереально смотреть Ютуб, несмотря на то что стоит xtls, как будто без него сижу

Ничего толком не понятно, а в самой системе у вас как doh настроен? CF или Гугл?

я сделал тоже самое, только отправляю все на 127.0.0.1

ну грубо говоря можно в настройках адаптера в windows выставить этот днс, doh не настраивал, но я убрал из конфигурации сервера всю муть что сделал и ошибки уже реже сыпет. Но на мобильном интернете беда с ютубом полная в Москве, мне кажется, что тут в целом весь траффик затормаживают

Никакого затормаживания нет. Проблема в настройке сервера и/или клиента

Выводы абсолютно неверные. Http коды и ошибки днс совершенно разные вещи. Прописывать можно любой днс, они все работают нормально если у вас нигде нет косяков.

Я просто так предположил, потому что дома с мобильного интернета и проводного все хорошо, только выхожу из дома и еду в Москву, как начинается свистопляска и телеграм, тик ток, ютуб(причем соединение есть, просто видео начинает тормозить из-за нехватки буфера) сразу начинают дико тупить

на варпе тоже самое?

Я и с варпом пробовал и без него, не работает. Вот поэтому я и выдвинул свои смелые предположения, уже не знаю, что делать

P.S в некорее я плюс минус понял и пофиксил большинство ошибок. У меня “final dns out” стоял “proxy”, выставив “bypass” все стало лучше, также я поставил днс для “прямых” запросов не localhost, а https://223.5.5.5/dns-query

я про варп через amneziaWG, прямой варп без некорея и личной впс

и днс запросы пошли напрямую

Рекомендую добавить опции в named.conf:

	forward only;
	stale-answer-enable yes;
	stale-cache-enable yes;
	stale-answer-ttl 3600; # 1 hour
	max-stale-ttl 86400; # 24 hours
	stale-refresh-time 86400; # 24 hours
	stale-answer-client-timeout 500;

прошу прощения за тупняк, сейчас я уже не в Москве и не смогу к сожалению проверить работу через варп

Только что опробовал и через варп тоже еле дышит ютуб

а спидтест сколько выдаёт?

Через VLESS: 9.75 мбит
через WARP: 2.26 мбит
напрямую: 1.13 мбит

замеры провел в течение 5 минут и влесс два раза прогнал результат такой же

P.S скорость на vless упала при повторном замере до 1.24 мбит

ну это пипец… хотя 480p должен работать и на 2х мбит

Ну все же ютуб уже не будет прежним в каком нибудь метро или электричке получается. Ибо глазу 480 смотреть не очень приятно, короче не знаю что делать

так ты пытался смотреть 1080p на 2х мегабитах?..

проверь на другой симке, можно того же мегафона, у тебя может быть низкий приоритет если качаешь много и платишь мало

ну влесс то выдал почти 10 хоть и недостаточно этого, оказывается она просидает вообще до 1 мбит я просто не попадал в этот момент на замерах, в этот раз повезло. А так у меня безлимитный пакет старый, вроде анлим назывался, может быть из-за безлимита, который сейчас проблематично получить насколько я помню из за пакета яровой

на 3g то пробовал переключать? или его нету там где нужен инет?

безлимиты поотменяли потому что дорого, и оборудование не резиновое xD
а в целом да, уже давненько ходят разговоры о том что на безлим тарифах режут скорость

понимаешь в чем странность я живу в области в 40 км от Москвы и дома все отлично на мобилке, еду в Москву и когда здесь пребываю просто мандец полный, раньше не было такого что самое главное

просто там где ты живешь нет нагрузки на моб сеть

Такая же ошибка в nekobox:

dns: exchange failed for example.org. IN AAAA: Post "https://1.1.1.1/dns-query": dial tcp [VPS IP ADDRESS]:443: i/o timeout
dns: exchange failed for example.org in AAAA: Post "https://1.1.1.1/dns-query": context canceled

При этом это случается только с домашнего WIFI. Если я через USB с телефона раздам мобильный интернет, ошибка пропадает, все грузится ОК.

При этом на мобильном на тот же ВПС еще подключен OpenVPN. Он тоже работает с мобильной связи, не может подключиться с WIFI.

Это происходит переодически, не каждый день.

В чем прикол, кто-нибудь понимает, сталкивался?

Может ли быть такое, что провайдер перехватывает и подменяет DNS?

Https dns который еще и через vless никто никогда не перехватит. В зацензуреной строке точно ip а не домен типа duckdns? Если домен, то советую отказаться и пользоваться ip адресом

Я примерно во время вашего поста обнаружил отвал DoH у 1.1.1.1, причём не в РФ, так что просто совпадение.

Да, там IP

1.1.1.1 это был фикс. Сначала стоял 8.8.8.8. Перестал работать вчера, попробовал изменить на 1.1.1.1 - та же самая ошибка (указанная выше). Так что хз. Отвал продлился 2-3 часа, потом все работало ОК. Такое случается не первый раз.