Подскажите, пожалуйста, верные настройки для Nekoray, чтобы не было утечек DNS, адекватно работали и TCP и UDP приложения

Лично я настроил таким образом (за правильность на 100% не ручаюсь, настройки выставлял сам, ориентируясь на разные источники):

0. Общие настройки для клиента NekoBox

VLESS_Config_XUDP_ON1036×782 37 KB

DNS1002×788 29.6 KB

TUN_mode752×788 23.3 KB

1. Настройка роутинга для работы вместе с Zapret (проксируются только выбраные сайты для обхода регион блока)

01_ALL-to-Direct_Specified-to-Proxy1002×788 27.5 KB

01_ALL-to-Direct_Specified-to-Proxy.txt (124 байта)

2. Настройка роутинга для работы только NekoBox (пропуск всего РУ трафика и проксирование всего зарубежного КРОМЕ исключений)

02_Russia-to-Direct_Other-to-Proxy1002×788 34.1 KB

02_Russia-to-Direct_Other-to-Proxy.txt (358 байтов)

Потом в клиенте нажимаешь режим TUN, выбираешь сервер и нажимаешь ENTER.

• Для проверки первого варианта роутинга пробуешь перейти на эту статью, если не высвечивается ошибка и на 2ip.ru / 2ip.io россиский айпишник, то всё гуд.

• Для проверки второго варианта роутинга заходишь на 2ip.ru и 2ip.io, на первом сайте должен высветиться российский IP, на втором соответственно той страны, в которой находится сам сервер.

PROFIT!!!

От себя добавлю, что у меня сбоит часто в такой последовательности почему-то.
Сначала подключаюсь, а только потом галку на TUN кидаю. Так всё ок)

Да, бывает. Ещё иногда по необъяснимым причинам выскакивает ошибка в духе “Слижком долгое подключение к серверу, хотите перезапустить программу?”, помогает удалить сетевой интерфейс singtun с драйверами в диспетчере устройств и включить / выключить сетевую карту самого ПК

Вот именно от этой проблемы мне и помогает обратная последовательность)

С такими настройками при заходе на условный browserleaks он как бешеный начинает выдавать мой настоящий DNS вперемешку с DNS хоста. Пробовал в настройках TUN ставить Fake DNS и Strict routing, но тогда нереально замедляется ютуб, хотя в остальных требовательных к скорости процессах все нормально, а русский днс перестает палиться

Тормозит, кстати, совсем не настолько ужасно, насколько без прокси в принципе, обычное РКНовское замедление замедляет совсем до невозможности.

Хм, тогда можно попробовать включить галочку на “Вкл. DNS-маршрутизацию”, а в DNS для “прямых” запросов прописать https://8.8.8.8/dns-query (Google не имеет DNS серверов на территории России) либо local либо https://77.88.8.8/dns-query (Яндекс DNS).

Ещё бы посоветовал поставить расширение Disable WebRTC, это особенно актуально если вы используете Proxy режим в NekoBox

Прошу прощения, а где найти настройки, которые на первой картинке "“Общие настройки для клиента Nekobox”? У меня такого нет))

Дабл клик по VLESS конфигу

ох…) а я всю дорогу думаю, что даблклик его стартует и поэтому всегда жму пкм и старт)) Вот так вот, век живи - век учись. Спасибо за науку)

Всем привет!
Настроил nekoray v4.0.1 в TUN с распределением зон, все настройки делал в GUI.
Визуально все работает, всякие 2ip показывают ip как нужно (ру = ру, не ру = не ру), утечек нет.
Но не могу понять несколько вещей:
Ставлю для проверки domain:com в direct (чтобы не юзал прокси)

1. Если смотреть Wireshark, то при обращении к .com ресурсу, например, запустить обновление в винде, то пойдут два запроса: первый я ожидаю - запрос не должен попасть через тунель (выделил зеленым); второй, идет в тунель (выделил красным). Может так работает сеть и это нормально, но хотел спросить мнение у других , так должно быть ? Не будет ли это подозрительным на стороне провайдера?
   
   

   image915×141 24.7 KB
2. Если запустить nslookup mail.ru или nslookup time.net , то вывод в командной строке покажет что запрос пошел к днс тунеля 172.19.0.2. В Wireshark вижу все те же два запроса, если используется .ru адрес (почему два?) и один запрос, если используется .net (что мне и нужно). Провайдер будет видеть два запроса так же к ru зоне ?
3. Как отлючить логирование ?

Я бы оставил полный TUN, но кажется это будет подозрительно на стороне провайдера. На сервере работает vless с маскировакой под сайт.

Да. В виндовсе если указано несколько адресов DNS резолверов на разных сетевых адаптерах, то резолвинг происходит паралельно. Для избегания этого есть разные механизмы.

nslookup работает по другому, в отличие от функции gethostbyname

Спасибо за ответ. А какой механизм можно использовать ? Погуглил, нашел только что то про сменить приоритет метрик у интерфейсов, но кажется это не то.
И не совсем понял, разолвинг в идеале лучше исправлять, чтобы провайдер не видел бардака в моих запросах или можно забить? У меня цель, максимально скрыть использование впн.

В некорей незнаю, не пользуюсь. В разных впн клиентах есть добавление отдельного правила маршрутизации настроенного текущего адреса резолвера через туннель, или, например, добавление запретительного правила в брандмауэр. Я пользуюсь локальным кэширующим резолвером для свой домашней сети (TDNS).

Провайдер может применять DNS спуфинг для блокировок (вроде бы по данным OONI probe применяется у 0.3% абонентов), а виндовс резолвер разослав паралельные запросы возмёт тот, который пришёл раньше всего (не проверял, но это самая простая реализация, в TDNS, например, происходит агрегация).
Так же возможен отказ в обслуживании некоторых сервисов которые пытаются определить ваш регион (сам не знаю таких, которые применяют DNS leak test).

От статистического анализа это сложно скрыть, а от текущих возможностей ТСПУ в РФ вроде бы пока хватает подстановки мимикрирующих заголовочных байтов рукопожатия (мне по крайней мере точно).