Comments 173
Можно ли автоматически использовать в прокси-клиенте списки "Антизапрета"
Как показала практика, идея крайне плохая. Ибо огромное количество сервисов заблокировано для России извне.
Пока оптимальный такой выбор для РФ:
outbound
geoip:ru
geoip:private
domain:yandex.com
domain:google.com
domain:yahoo.com
domain:bing.com
domain:ru
domain:su
domain:vk.com
domain:icq.com
domain:livejournal.com
Можно использовать списки не антизапрета, а antifilter.download
Там есть список community, в котором в том числе собирают и сайты которые блокируют РФ трафик.
А как их использовать с помощью nekobox к примеру, подскажите?
Для проектов использующих формат списков *.db не подскажу. Но для XRay который использует *.dat файлы я сделал форк для себя
https://github.com/schebotar/antifilter
https://github.com/schebotar/antifilter-domain
В настройках соответственно прописывать
geosite:antifilter
geosite:antifilter-comminity
geoip:antifilter
geoip:antifilter-community
Вы можете отправить PR, который генерирует список для https://github.com/L11R/antizapret-sing-box-geo. Я могу принять, у самого пока нет времени глянуть
Обязательно стоит добавить domain:xn--p1ai
Это для кириллических доменов .рф. Про них все забывают, т.к. они довольно редкие, но иногда попадаются у гос. порталов. Также я для подстраховки добавил domain:by, но это уже опционально.
В дополнение:
Не знаю как в других приложениях, но в Shadowrocket на IOS происходит утечка DNS при использовании режима Config, если вручную во вкладке General не прописать нужные DNS. Если использовать режим Proxy, то утечки не происходит, даже если DNS вручную не прописаны.
Задержки 1100-1800 ms для Нидерландского сервера это норм для XTLS-Reality?
Есть способ существенно уменьшить задержки для VLESS-Reality: маскироваться под сайт, пинг до которого от VPS минимальный.
Более продвинутый способ: использовать утилиту от авторов XTLS для выбора маскировочного сайта из той же подсети: RealiTLScanner.
Раньше, по Вашему совету, 3X-UI отлично устанавливалось командами:
«git clone https://github.com/MHSanaei/3x-ui.git
cd 3x-ui
git checkout v1.4.6».
Теперь выдает это:
«Note: switching to 'v1.4.6'.
You are in 'detached HEAD' state. You can look around, make experimental
changes and commit them, and you can discard any commits you make in this
state without impacting any branches by switching back to a branch.».
Что делать, куда копать?
Извините за нубство, но что делать дальше то после такого сообщения?
Note: switching to 'v1.4.6'.
You are in 'detached HEAD' state. You can look around, make experimental
changes and commit them, and you can discard any commits you make in this
state without impacting any branches by switching back to a branch.
If you want to create a new branch to retain commits you create, you may
do so (now or later) by using -c with the switch command. Example:
git switch -c
Or undo this operation with:
git switch -
Turn off this advice by setting config variable advice.detachedHead to false
HEAD is now at 5487dc4 Merge pull request #434 from hamid-gh98/main
root@ubuntu:~/3x-ui#
v1.7.9 Latest
important : after this update you need to click on "Reset to Default Configuration" and set your settings again
интересно, какие параметры слетят при этом? порт панели, адрес?
Поставьте
X-UI:
git clone https://github.com/alireza0/x-ui.git
cd x-ui
git checkout 1.5.5тут https://habr.com/ru/articles/735536/ указано как и что
Что касаемо настройки XTLS-Reality через панель 3X-UI, при создании подключения нужно указывать порт 443, а уже затем в правилах фаервола указывать порт сайта, под который я маскируюсь, верно?
А что насчёт port knocking?
А есть какие-то решения для arm64 серверов? Использовал форк outline vpn под arm64 но сегодня ночью видимо попал под блокировку (соединение устанавливается, но ничего не грузит)
https://github.com/alireza0/x-ui завёлся через докер и смог поднять vless+reality, а 3x-ui не захотел.
Спасибо вам за ваш труд!
Сегодня в Ростове-на-Дону перестал работать shadowsocks (outline) и shadowsocks-2022. Vless на том же сервере что и ss-2022 пока работает.
Streisand отлично завёлся на Mac с M1 и даже удалось Rules настроить, интерфейс правда немного подтапливал при настройке, но всё в итоге получилось. Выдаёт скорость и стабильность работы лучше чем HiddifyNext.
Сделать настройки Routing в конфиге, и в зависимости от ID пользователя
Подскажите, как бы выглядел конфиг, в случае:
3 подключения к серверу, у всех "серые" внешние ip. На 1-ом есть RDP:3389, на 2-ом HTTP:81 и SSH:22, на 3-м ничего, обычный клиент. 3-ему надо подключаться к сервисам 1-ом и 2-ом.
А если добавить 4-ого, за которым есть сеть, скажем, 10.10.10.0/24, есть ли возможность подключаться к хостам в сети за 4-ым клиентом?
Возможно через tun2socks..?
Да, я понимаю, что всё это не задачи proxy и тут, наверно, логичнее в cloak и WG сверху, но не хочется этого оверхэда.
Спасибо за ваш труд)
Спасибо за статью!
Однако я здесь ожидал увидеть объяснения терминов "на пальцах"© для тупых, в том числе:
Описания терминов X-UI, 3X-UI, XRay, V2Ray, VLESS, VMESS, XTLS, Reality, XTLS-Reality, sing-box, seed-box. Что из них дашборд, что из них протокол, что из них ядро, и что такое в данном контексте "ядро"? Не ядро ОС же? Как они сочетаются, какая у них иерархия? Единственное, что из этого зоопарка знаю - то, что 3X-UI и X-UI - дашборды. Конкретно X-UI уже три месяца пользуемся благодаря вашим инструкциям и в ус не дуем;
Чем так серьёзно, простыми словами, отличаются протоколы ShadowSocks от ShadowSocks-2022? Будет ли версия 2023?
Непонятны аббревиатуры XTLS, Reality и почему они иногда работают вместе?
Вдохновившись весенними статьями автора, в начале лета я на VPS скачал с Гитхаба Xray-1.8.1 (позднее пробовал и 1.8.4). Кинул его в /opt/xray, не стал заворачивать в Docker.
config.json
{
"log": {
"loglevel": "info"
},
"routing": {
"rules": [],
"domainStrategy": "AsIs"
},
"inbounds": [
{
"port": 443,
"protocol": "vless",
"tag": "vless_tls",
"settings": {
"clients": [
{
"id": "<CENSORED>",
"email": "<CENSORED>",
"flow": "xtls-rprx-vision"
}
],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false,
"dest": "<DOMAIN>:443",
"xver": 0,
"serverNames": [
"<DOMAIN>"
],
"privateKey": "<CENSORED>",
"minClientVer": "",
"maxClientVer": "",
"maxTimeDiff": 0,
"shortIds": [
"<CENSORED>"
]
}
},
"sniffing": {
"enabled": true,
"destOverride": [
"http",
"tls"
]
}
}
],
"outbounds": [
{
"protocol": "freedom",
"tag": "direct"
},
{
"protocol": "blackhole",
"tag": "block"
}
]
}xray.service
[Unit]
Description=Xray Service
Documentation=https://github.com/xtls
After=network.target nss-lookup.target
[Service]
User=nobody
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
NoNewPrivileges=true
ExecStart=/opt/xray/xray run -config /opt/xray/config.json
Restart=on-failure
RestartPreventExitStatus=23
LimitNPROC=10000
LimitNOFILE=1000000
[Install]
WantedBy=multi-user.targetВ качестве клиентов использовались nekoray-linux (AUR-версия) и v2rayNG-1.8.5.
Через непродолжительное время после запуска сервиса началась повышенная (чуть ли не на всю ширину канала) сетевая активность между моим 443-м портом и всякими иранскими IP. Выключаю - трафик иссякает. Запускаю - вновь оживает.
Естественно, я нигде не публиковал никакие доступы. На VPS до того уже более года крутились WG и ShadowSocks-rust, никаких инцидентов не было замечено.
AS41436, маскировка под www.kamatera.com. Графики входящего и исходящего траффика в панели управления хостинга были симметричными. Логи процесса, к сожалению, не сохранились.
До запуска Xray на 443-м порту продолжительное время и без нареканий работал MTPROTO прокси mtg. Для всех сервисов использовались уникальные сгенерированные пароли.
Сам понимаю, что история очень мутная вышла.
А есть ли версия X-UI, которую можно завести под Ubuntu 14.04? Я понимаю, что дистр старый, но на VPS особо не пообновляешься.
Спасибо за очередной монументальный материал! Снимаю шляпу, очень полезная вещь
Здравствуйте! Зарегистрировался только чтобы выразить огромную благодарность за ваши материалы. Даже я, человек, который гораздо более далек от темы сетей, чем средний айтишник, смог поставить себе работающий XTLS-Reality.
Я предполагаю, что в скором времени в связи с законом по удалению материалов по обходу блокировок из нашего православного рунета, эти статьи (я надеюсь этого не случится) будут удаляться с Хабра, так что можно ли будет читать Вас где-нибудь еще, например в Телеграм канале?
"Можно, ага. Качаете geoip.db и geosite.db вот отсюда: https://github.com/L11R/antizapret-sing-box-geo
И подсовываете их в ваш клиент. После этого настраиваете маршрутизацию как обычно, например, в качестве дефолтного маршрута выбираете bypass (direct), а через прокси пускаете IP-адреса по тегу geoip:antizapret и домены по тегуgeosites:antizapret
Также есть очень интересные списки на https://github.com/v2fly/domain-list-community"
Можете, пожалуйста, объяснить, как это заставить работать с Shadowrocket?
А вы не сталкивались с тем, что при использовании Vless + Reality могут переодически рваться ssh сессии? Из-за чего это может быть?
У меня Билайн. Нахожусь в Ставрополье. Ни один протокол из x-ui не работает. Что с маскировкой, что без нее. Также не работает WireGuard. Некоторые серверы не доступны для http протокола. Похоже, действительно, блочат все, что не определяется и не попало в белый список.
VLESS. 443 порт, reality, uTLS, остальное по-дефолту. Что еще нужно включить, настроить?
Дополню комментарий в чатике. Регион - Восточная Сибирь. Блокировка наблюдалась со стороны ТЕЛЕ2, Ростелекома, пары местных провайдеров проводных. Помимо OpenVPN и WG также под бан попали сервера, где был установлен Outline. Все сервера были переведены на VLESS ранее, но с этих провайдеров не достучаться. На серверах из той же подсети, где сразу ставился VLESS - на всей провайдерах полёт отличный.
Похоже на локальные эксперименты. Ну и повод сразу использовать VLESS..
Приветствую, к сожалению как новый пользователь сайта не могу писать в нужной теме, мог бы кто-нибудь подсказать как сбросить настройки в панели x-ui? Поменял порт в настройках после установки и теперь по указанному порту не могу к ней подключиться. Upd переставил все заново и все отлично завелось, единственное что с виндой и андроидом работает, а на айфоне v2box отключает соединения как только переходишь в браузер или другое приложение, это какой-то баг самого приложения?
В консоли вводите x-ui. Дальше все поймёте.
Нехватки оперативной памяти или постоянной? На имеющемся айфоне постоянная память забита до упора. И хотел бы поинтересоваться что можно сделать для безопасности впс кроме смены стандартного порта ссш и установки ограничения на количество попыток ввода пароля, нет ли необходимости что-то с самой вебмордой делать?
А может кто подсказать, в некобокс для винды предусмотрен вообще автозапуск подключения при старте и киллсвитч? Не смог найти в настройках. И странный момент, при включенных режиман тюн и прокси, но не включенном соединении к впс, браузер и дискорд конекта не имеют, при это прога для удаленного рабочего стола parsec спокойно подключилась к компу, это получается прога где-то что-то не прикрывает что доступ все таки есть?
Объясните пожалуйста как сделать SSL на 3x-ui 🙏🏼
Пользуюсь прокси, и некоторые сервисы/приложения каким-то образом определяют, что я сижу через прокси, как они это делают?
Для меня стало большим откровением, что современные браузеры при использовании любых прокси или VPN сливают ваш IP адрес через WebRTC!
Только Tor Browser и Brave (после активации соответствующей опции) блокируют слив адреса либо приходится использовать плагин Ublock Origin (который, к счастью, работает в Kiwi Browser на Android) с магической командой блокировки *##+js(nowebrtc).
https://habr.com/ru/articles/731608/ можете ответить по этой статье, просто аккаунт новый не могу там написать комментарий. Я настроил XRay с XTLS-Reality по инструкции, но возник вопрос почему некоторые сайты видят моё настоящие местоположение? Например google упорно видит меня в России и некоторые другие сайты. Это так и должно быть или я что настроил не правильно? Мне кажется когда речь идет о полной маскировке такого быть не должно.
А можете конкретно сказать что можно сделать(я просто не разбираюсь в теме), я включил в nekobox ipv6 в tun settings и youtube все равно определяет что я в России, просто я раньше использовал vpn и youtube сразу определял меня в другой стране (сейчас vpn заблочен), а тут никак не решается данная проблема. Может еще что-то в настройках нужно сделать?
Здравствуйте. Подскажите, хочу в x-ray использовать свой собственный dns резолвер. На vps с Ubuntu установлен x-ray сервер (reality), так же на нем же имеется установленный unbound и настроены параметры кэширования dns запросов. Unbound настроен в качестве системного резолвера (127.0.0.1 в /etc/resolv.conf), разрешены запросы с локалхоста и частной сети 10.0.0.0/8, порт 53 открыт для частной подсети 10.0.0.0/8. Так вот, задача - заставить x-ray использовать именно мой системный dns резолвер и полностью закрыть вопрос с утечкой dns. Это возможно?
Если найдете решение - напишите ответом на коммент сюда же, плиз. Я так и не смог на серверной стороне это реализовать. Как костыль использую настройку dns в приложении-клиенте на телефоне.
Для серверной части как раз-таки все понятно.
Добавляем в конфиг:
"dns": {
"servers": [
"172.0.0.1" //в моем случае
],
"queryStrategy": "UseIP",
"disableCache": true,
"disableFallback": true,
"disableFallbackIfMatch": true,
"tag": "dns_inbound"
},Но вот для клиента на ios с использованием правил маршрутизации не могу сделать (Shadowrocket, foXray, Streisand) - получается там 127.0.0.1 - это системный днс клиента.
Есть мысль, сделать костыль - отдельный прокси для днс запросов (дополнительный inbound, outbound и routing для проксирования днс запросов на свой сервер). Но уверен, должен быть более простой вариант
На ios в настройках ShadowRocket в разделе Config строчка General - там есть настройки днс - я туда просто вбил DoH-ссылку. На dnsleaks утечек нет при такой настройке.
Спасибо, попробую!
Но не понятно, что тогда в настройках днс клиента указывать? В том же Straisand или Shadowrocket необходимо dns вписать в настройках
Точно верхний блок в inbounds?
В x-ui такой конфиг выдает ошибку:
Failed to start: main: failed to load config files: [bin/config.json] > infra/conf: failed to load inbound detour config. > infra/conf: unknown config id: dns
{
"api": {
"services": [
"HandlerService",
"LoggerService",
"StatsService"
],
"tag": "api"
},
"dns": null,
"fakeDns": null,
"inbounds": [
{
"listen": null,
"port": 0,
"protocol": "dns",
"settings": null,
"sniffing": null,
"streamSettings": null,
"tag": "dns"
},
{
"listen": "127.0.0.1",
"port": 55555,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1"
},
"sniffing": null,
"streamSettings": null,
"tag": "api"
},
{
"listen": null,
"port": 8443,
"protocol": "vless",
"settings": {
"clients": [
{
"email": "111",
"flow": "xtls-rprx-vision",
"id": "11111111"
},
{
"email": "222",
"flow": "xtls-rprx-vision",
"id": "22222222"
},
{
"email": "333",
"flow": "xtls-rprx-vision",
"id": "33333333"
}
],
"decryption": "none",
"fallbacks": []
},
"sniffing": {
"destOverride": [
"http",
"tls",
"quic",
"fakedns"
],
"enabled": true
},
"streamSettings": {
"network": "tcp",
"realitySettings": {
"dest": "www.microsoft.com:443",
"maxClient": "",
"maxTimediff": 0,
"minClient": "",
"privateKey": "00000000",
"serverNames": [
"microsoft.com",
"www.microsoft.com"
],
"settings": {
"fingerprint": "firefox",
"publicKey": "00000000",
"serverName": "",
"spiderX": "/"
},
"shortIds": [
"xxx",
"yyy",
"zzz"
],
"show": false,
"xver": 0
},
"security": "reality",
"tcpSettings": {
"acceptProxyProtocol": false,
"header": {
"type": "none"
}
}
},
"tag": "inbound-8443"
}
],
"log": {
"loglevel": "warning"
},
"outbounds": [
{
"protocol": "freedom",
"settings": {}
},
{
"protocol": "blackhole",
"settings": {},
"tag": "blocked"
}
],
"policy": {
"levels": {
"0": {
"statsUserDownlink": true,
"statsUserUplink": true
}
},
"system": {
"statsInboundDownlink": true,
"statsInboundUplink": true
}
},
"reverse": null,
"routing": {
"domainStrategy": "AsIs",
"rules": [
{
"inboundTag": [
"api"
],
"outboundTag": "api",
"type": "field"
},
{
"outboundTag": "dns",
"port": 53,
"type": "field"
}
]
},
"stats": {},
"transport": null
}Подсказали конфиг на гите:
{
"dns": {
"servers": [
{
"address": "127.0.0.1",
"port": 53
}
]
},
"routing": {
"domainStrategy": "IPIfNonMatch",
"rules": [
{
"type": "field",
"inboundTag": ["dns-in"],
"outboundTag": "dns-out"
},
// your other rules here
]
},
"inbounds": [
{
"port": 53,
"tag": "dns-in",
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1",
"port": 53,
"network": "tcp,udp"
}
},
// your other inbounds here
],
"outbounds": [
{
"tag": "dns-out",
"protocol": "dns",
"settings": {
"network": "tcp,udp",
"address": "127.0.0.1",
"port": 53
}
},
// your other outbounds here
]
}Я по этому образцу откорректировал свой конфиг (x-ui от alireza0). При такой настройке x-ray запускается, но клиенты без интернета:
{
"api": {
"services": [
"HandlerService",
"LoggerService",
"StatsService"
],
"tag": "api"
},
"dns": {
"servers": [
{
"address": "127.0.0.1",
"port": 53
}
]
},
"fakeDns": null,
"inbounds": [
{
"listen": null,
"port": 53,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1",
"network": "tcp,udp",
"port": 53
},
"sniffing": null,
"streamSettings": null,
"tag": "dns-in"
},
{
"listen": "127.0.0.1",
"port": 62789,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1"
},
"sniffing": null,
"streamSettings": null,
"tag": "api"
},
{
"listen": null,
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
{
"email": "111",
"flow": "xtls-rprx-vision",
"id": "111"
},
{
"email": "222",
"flow": "xtls-rprx-vision",
"id": "222"
},
{
"email": "333",
"flow": "xtls-rprx-vision",
"id": "333"
},
{
"email": "444",
"flow": "xtls-rprx-vision",
"id": "444"
}
],
"decryption": "none",
"fallbacks": []
},
"sniffing": {
"destOverride": [
"http",
"tls",
"quic",
"fakedns"
],
"enabled": true
},
"streamSettings": {
"network": "tcp",
"realitySettings": {
"dest": "www.microsoft.com:443",
"maxClient": "",
"maxTimediff": 0,
"minClient": "",
"privateKey": "000",
"serverNames": [
"microsoft.com",
"www.microsoft.com"
],
"settings": {
"fingerprint": "firefox",
"publicKey": "000",
"serverName": "",
"spiderX": "/"
},
"shortIds": [
"111",
"222",
"333",
"444"
],
"show": false,
"xver": 0
},
"security": "reality",
"tcpSettings": {
"acceptProxyProtocol": false,
"header": {
"type": "none"
}
}
},
"tag": "inbound-443"
}
],
"log": {
"loglevel": "warning"
},
"outbounds": [
{
"protocol": "dns",
"settings": {
"address": "127.0.0.1",
"network": "tcp,udp",
"port": 53
},
"tag": "dns-out"
},
{
"protocol": "freedom",
"settings": {
"domainStrategy": "AsIs"
}
},
{
"protocol": "blackhole",
"settings": {},
"tag": "blocked"
}
],
"policy": {
"levels": {
"0": {
"statsUserDownlink": true,
"statsUserUplink": true
}
},
"system": {
"statsInboundDownlink": true,
"statsInboundUplink": true
}
},
"reverse": null,
"routing": {
"domainStrategy": "IPIfNonMatch",
"rules": [
{
"inboundTag": [
"dns-in"
],
"outboundTag": "dns-out",
"type": "field"
},
{
"inboundTag": [
"api"
],
"outboundTag": "api",
"type": "field"
}
]
},
"stats": {},
"transport": null
}Может еще какие-то особенности для клиента есть?
Помогите подружить AdGuard Home и 3x-ui (или x-ui), которые установлены на одном сервере и оба хотят использовать 443 порт?
Чуть подробнее:
1. получаю сертификаты letsencrypt
2. ставлю AgH через snap, настраиваю вебморду на субдомене, указываю сертификаты, указываю порт 443 (ниже объясню почему только его)
3. ставлю 3x-ui скриптом с гитхаба, настраиваю его через вебморду на основном домене, (так же указываю сертификаты ssl в панели) как указанно в соседней статье тоже с портом 443 (речь про unbound, не панель), с активированным переключателем Reality, flow - xtls-rprx-vision/
В такой конфигурации оба приложения слушают 443 порт, но работает только AgH. Если перекинуть AgH через его вебморду на другой порт, например 442, то начинает работать 3x-ui, но при этом у AgH остается рабочей только вебморда на 442, сам днс не работает - при добавлении ссылки на DoH в клиенте AdGuard на ios с портом 442 (как и с любым другим, в общем-то) перестают открываться k.st сайты, и вебморда не видит никаких обращений к ней в разделе журнала.
Получается нужно как-то на 443 порту подружить и AgH и 3x-ui потому как первый вообще не работает через порты отличные от 443, а второму нужен этот же порт для маскировки под другой сайт.
Я понимаю, что оба сервиса не могут дружить на одном и том же порту без сторонней помощи от например nginx, но как его настроить я не знаю)) помогите пожалуйста подробной инструкцией?
Можно легко подружить x-ray и другие сервисы, работающие на 443 порту с помощью nginx и его модуля ssl_preread (по sni)
Так у меня на одном впс работает много всего на 443 порту.
https://nginx.org/ru/docs/stream/ngx_stream_ssl_preread_module.html
Я знаю, что это возможно) суть в том, что я не знаю как именно это делается) мне бы инструкцию)
stream {
map $ssl_preread_server_name $name {
xraydomain.tld xray;
www.xraydomain.tld xray;
domain1.tld domain1;
www.domain1.tld domain1;
domain2.tld domain2;
www.domain2.tld domain2;
}
upstream xray {
server 127.0.0.1:1021;
}
upstream domain1 {
server 127.0.0.1:1022;
}
upstream domain2 {
server 127.0.0.1:1023;
}
server {
listen 443 reuseport;
# listen [::]:443 reuseport;
proxy_pass $name;
ssl_preread on;
}
}Ну по примеру такого конфига сделайте
о, а вот тут уже прям большое спасибо!
уточняющий вопрос - я правильно понимаю, что при таком конфиге физически на 443 порту сидит только nginx, а далее он уже перенаправляет на 1021, 1022, 1023 (как в примере)?
Да. Порты 1021, 1022 и т.д. меняйте на удобные вам. И не забудьте в конфигах этих сайтов/сервисов такие же порты выставить
Ну и в конфиге самого xray тоже порт сменить не забудьте
Так ведь в Reality весь смысл в том, чтобы он на 443 порту был и маскировался под другой сайт тоже на 443? Он вроде даже вообще не заводится если при создании inbound в панели указать не 443 порт.
О, кстати отличная идея. На этом же впс у сеня есть свои сервисы/сайты за веб сервером. Главные условия tls 1.3 и h2 - не проблема. И тогда на свой же домен на этом впс можно ссылаться в Reality - так еще и задержка будет минимальная!)
Простите, но у меня в голове случилась рекурсия от отсутствия опыта). Получается в конфиге nginx один и тот же домен будет упоминаться дважды? как-то так:map $ssl_preread_server_name $sni_name {
mydomain.com reality; #сайт под который маскируемся
mydomain.com site1; #свой же сайт
aaa.mydomain.com site2; #субдомен своего сайта
default reality;
}
Что-то тут не то.
Или так и должно быть?
map $ssl_preread_server_name $sni_name {
www.microsoft.com reality; #сайт под который маскируемся
mydomain.com site1; #свой же сайт
sub.mydomain.com site2; #субдомен своего сайта
default reality;
}
upstream reality {
server 127.0.0.1:8443;
}
upstream site1 {
server 127.0.0.1:8444;
}
upstream site2 {
server 127.0.0.1:8445;
}
server {
listen 443 reuseport;
proxy_pass $sni_name;
ssl_preread on;
}Вот более наглядно. Здесь меняете mydomain.com и sub.mydomain.com на свои значения. www.microsoft.com - адрес для xray reality, его можете оставить (но тогда и в самом x-ray такой же должен быть). Все порты, кроме 443 меняйте на свое усмотрение
На 1 коммент выше автор пишет:
если вы ... используете Reality, но прикрываясь своим же доменом (так называемая схема steal from yourself). Прикрываться же чужим популярным доменом в этом случае затея сомнительная
Далее вы же ему отвечаете:
О, кстати отличная идея. На этом же впс у сеня есть свои сервисы/сайты ... И тогда на свой же домен на этом впс можно ссылаться в Reality
...И в коде пишете в примере microsoft.com. Вот в этом месте у меня голова ломается) Как я понимаю, вместо microsoft.com надо вписать все же свой сайт. Но тогда получается, что он будет прописан дважды:
как сайт, за которым прячемся,
как реальный свой сайт.
Вот я и спрашиваю - так и должно быть, что он (свой домен) будет дважды прописан, или это ошибка, и прописывать надо как-то иначе?
схема steal from yourself
Подскажете все же как это прописать в nginx?
Спасибо за наводку. Нашел еще очень полезный пример конфигов xray и nginx для разруливания по SNI:
https://github.com/chika0801/Xray-examples/tree/main/VLESS-XTLS-uTLS-REALITY/nginx_sni_shunting
В итоге настроил маскировку в reality под собственный сайт на одном сервере с xray. Разницы в скорости серфинга или уменьшение задержки не заметил (по сравнению с microsoft.com в качестве dest)
Подскажите, как можно измерить latency моего подключения xray для сравнения вариантов?
Почему-то перестал работать протокол ss из этого гайда (таймаут), хотя никаких настроек не менял, vless на том же сервере продолжает работать.
Это с моей стороны проблему нужно искать или где-то еще?
Настройка маршрутизации и клиентов. Как настроить, чтобы на российские сервера и сайты доступ шел напрямую, без прокси? для Shadowrocket на iOS. Если нужен еще GeoIP, то идем на MaxMind Geolite2 и регистрируемся там
Не осилил их регистрацию. Я нахожусь на шаге где хз как получить geoip в shadowrocket)
Общался с их саппортом — они не предоставляют услуги РФ пользователям. Все РФ айпишники заблочены + Все списки айпи по хостам, проксям и ВПН они тоже блочат.
ЗЫ Во, комментировать теперь могу :)
Не туда написал)
Можно тупой вопрос? ) пользуюсь foxray на ios и бывает так что приложение просто дропает соединение, вырубается, при заходе на некоторые сайты в com формате.Управление памятью в приложении включал/выключал, один фиг, проблема остается.Кто то сталкивался? Решили ли как то проблему?
Очень благодарен. Бросил настройки для ру в котоящик и адреса разные показывает для ру и неру (только, зараза, один сайт находит адрес в российском городе у границы, другой нормально показывает город забугровые, то тоже соседняя страна; наверное, стоит уехать подальше, с сашу что ли). Только вот не понятно, что делать с торрент клиентом, ошибками сыплет в логах работы котоящика - возможно как-то торрент убрать из тоннеля? Ведь для торрент-трафика не нужен прокся, да и сервер не рад с его лимитом по трафику.
Не работает полноценно в некоящике - страницы не грузит, только после перезагрузки соединения. Увы, но универсальности и легкости не получилось как и всегда.
Получается некобокс и не нужен тогда, а просто параметры прокси прописывать в браузерах? Там и конкретные домены можно указывать? А то рф сайты заблокировали иностранные запросы (госсайты часто), а иностранные ру заблокировали. Как будто на острове сидишь.
Прошу прощения, но я в этом не понимаю. Я прописал в поле geoip:, вбил конфиг в json. Но сеть отрубается и работает только после обновления подключения некобокс и в логах он постоянно пишет, что соединение оборвано и флеймит ошибками с адресами как-будто лимит соединений на порт превышен (забыл уже, удалил конфиг). Так как есть торрент, то всё-таки это не решение для авто-прокси, но я теперь не знаю, что вбивать в настройки расширения в браузере. На сервере крутится марзбан с пользователями. Я попробовал вбить созданное в марзбан имя и пароль от шадоусокс, но не работает (он же как-то по сгенерированным ключам работает что ли, ведь остальные протоколы не имеют пароля, а только строку с ай-ди). Там же есть: Vmess, Vless, Trojan, Shadowsocks. Порт 1080, 8080... Наверное, нельзя подружить плагин и марзбан, там протоколы разные и данные?
nekobox_core grpc server listening at 127.0.0.1: ... Это? Не работает плагин. А логин и пароль не нужны? Только http, сокс4-5 не поддерживает браузер, пишет плагин SwitchyOmega.
А всё, заработало. Не тот порт указал. Получается, что теперь торрент идёт через неко, но тот его пускает напрямую без прокси? Чтобы пускать программы другие через прокси, то надо тюн включать?
Да, точно, я же об этом и подумал, но потом, что неко сидит на своём порте. Спасибо большое. Очень благодарю за рекомендации.
А на уровне приложений нельзя в неко прописать конкретные приложения для проксирования их трафика? Есть всякие игровые магазины, еще браузеры (тут прям можно в настройках прокси в браузере указать порт с неко?), клиенты игр...
Спасибо! Спасибо! Спасибо! (-:
Почему-то чат на сайте бинг не работает, если включать прокси через локалхост и порт, на котором неко сидит. Через тюн работает. На андроид приложение бинг работает, через этот же сервер с впн. Чат не работает ни в кром, ни в бинг. Дополнение SwitchyOmega не может загрузить результат чата? Хотел настроить и общаться иногда с ии, хотя он и тупой, зато поиск проще. Может, тогда весь трафик через впн пустить и фиг с ним и не думать об этом. Торрент всё портит.
Дя, всё так и есть... В девтул ничего не понятно. Но "Domain Strategy - prefer_ipv4" и "Server Address Strategy - prefer_ipv4" решили проблему. Эм... А оба пункта оставить?
Всё потому что сервер по 6 соединяется, а неко не хочет? Не понятно, а через в6 нельзя сидеть через впн? Вирт машина выдала в6 адрес тоже. Это нужно в марзбане заблокировать в6? Или это из-за отсутствия парковки в6 адреса? Ничего не знаю :( Вы очень помогли (умнее я не стал, правда).
Есть юзеры chatgpt? Поделитесь в ЛС на каких хостах вы арендуете VPS. У меня магия третьего курса хогвардса - хостер Aeza нидерланды.
настроена 3x-ui панель и xtls-reality. с ПК пускает, со смартфона блочит
настроен чистый xray-core сервер и xtls-reality. и на ПК и на смартфоне блочит.
шо-то я явно делаю не так :D если разберусь сам, напишу апдейт к комменту
ага, я читал твой коммент в прошлых статьях об этом. Только ведь это не должно зависеть от того, как настроен прокси. Верно?)
на моём ВПС - с одной настройкой пускает, с другой не пускает. IP один и тот жеж стучится в дверь openai)
А ты мониторишь свой адрес через сайты who is и тому подобные, что ни пишут? Ты пользуешься платным чатом? Если 3,5, то браузера edge со встроенным чатом хватит для поиска инфы, помнит 30 запросов за отдельную сессию. Там и dalle есть. Попробуй firstbyte, но они написали, что если пущу трафик как в публичном vpn, то попросят. Поддержка отвечает быстро, но с намёком, что ищи сам справку, не маленький (на timeweb, например, всё объясняют). Ну, а тот же адрес можешь припарковать на cloudeflare. Лично я, поднял марзбан и всё работает (ничего в нём не понимаю).
Платным. https://browserleaks.com/ip и https://ip.gs/ ip4, ip6 указывают на мой ВПС. WebRTC отключен.
я хочу после фиксов имеющихся косяков, перейти на след уровень сложности и добавить запасной вариант CDN+WS по гайду ТСа. А для этого нужно оставаться на чистом Хрейе, не юзать панели)
Некоторые упарываются и заворачивают выход с прокси на Cloudflare Warp :)
Конструкция не демаскирует xtls-reality?
Клиент <xtls-reality> Сервер <freedom> Интернет
Клиент <xtls-reality> Сервер <warp> chatgpt site
Захотелось, нагуглировал пошагово для хомяков как установить варп по офицальному гайду CF
на мою Ubuntu
# Добавить cloudflare gpg key
$ curl https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg
#Добавить какоето неведомое репо для шаманства.
$ echo "deb [arch=amd64 signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list
#Установить
$ sudo apt-get update && sudo apt-get install cloudflare-warp
$ warp-cli register
$ warp-cli set-mode proxy
$ warp-cli set-proxy-port 42424
$ warp-cli connect
# потестить что получаем другое IP
$ url -4 ip.gs -x socks5://127.0.0.1:42424
В конфиг Хрея в outbound добавить новый канал "варп" и в маршрутиризации новое правило, что бы разнюхивал трафик чатжпт и посылал в варп:
"outbounds": [
...
{
"tag": "WARP",
"protocol": "socks",
"settings": {
"servers": [ {
"address": "127.0.0.1",
"port": 42424 } ] }
} ],
...
"routing": {
...
"rules": [
{
"type": "field",
"outboundTag": "WARP",
"domain": ["geosite:openai"]
} ]
},
Подскажите пожалуйста, планирую подключить к своему серверу не менее 50 человек, в предыдущем посте про настройку VLESS+Reality, Вы указывали на то, что необходимо указывать именно 443 порт. Полагаю один порт не выдержит поток 50 пользователей, будет ли палится сервер, если сажать пользователей на рандомные порты по протоколу VLESS+reality?
Здравствуйте. Вопрос от полного нуба по X-UI. У меня есть VPS, на котором раньше стоял X-UI на порту 443 и работал без проблем. В какой-то момент хостинг переехал в другую страну и поменял мне доступные порты. Я установил на него через скрипт X-UI, настроил по вашей инструкции "Inbounds" также на 443, но когда я подключаюсь, мне пишет "В соединении отказано". Тогда я поменял в настройках порт на один из доступных мне, к примеру 1700 и у меня заработало. Скажите, насколько это критично?
Или может есть решение проблемы с 443? Мне кажется странным, что провайдер заблочил этот порт, хоть я в этом ничего толком не понимаю. Сама убунту у меня голая, стоит только X-UI. Сори за тупой вопрос, только учусь, пытаюсь разобраться.
подскажите пожалуйста, как пустить open vpn через Shadowsocks на примере панели 3x-ui. я понимаю что там можно создать протокол socks, но это не совсем то что нужно, хотелось бы пустить именно через плагин Shadowsocks с плагином шифрования 2022. или я фигню сморозил? прошу сильно не пинать тапками))
Привет!
я использую Shadowrocket на iOS/iPadOS/MacOS (M1). у меня 2 вопроса.
1. подскажите, плз, где что надо (и можно ли) прописать в Shadowrocket, чтобы исключить некоторые приложения из работы через прокси? например, необходимы приложения, которые работают только для России - окко, кинопоиск..
Пробовала прописывать bundle id приложения в Config/Rule (Domain-Suffix) и пускать его через Direct, но не особо что получилось. может, есть какой-то способ? хотя, окко заработало, но как-то не понятно. может, надо время.. потому что, сразу, когда настраивала - не работало. а через 2-3 попробовала - вроде, работает (еще потестирую).
2. у меня через NextDNS прописаны белые/черные списки сервисов. когда запускаю Shadowrocket работа через клиент NextDNS блокируется и, естественно, во время работы через прокси, у меня DNS не отрабатывает по спискам. в конфиге в General/DNS Override прописала DNS от NextDNS - это работает, но только для мобильной сети. а от провайдера - не работает. где что можно изменить, чтобы с интернетом от провайдера тоже работало?
спасибо!
Зайдите в настройки конфигурационного файла: Config - default.conf. Долгий тап по файлу и выбираете Edit Plain Text. Удаляете все оттуда и вставляете этот код:
# Shadowrocket: 2023-11-20 14:01:58
[General]
bypass-system = true
skip-proxy = 192.168.0.0/16,10.0.0.0/8,172.16.0.0/12,localhost,*.local,captive.apple.com
tun-excluded-routes = 10.0.0.0/8, 100.64.0.0/10, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.0.0.0/24, 192.0.2.0/24, 192.88.99.0/24, 192.168.0.0/16, 198.51.100.0/24, 203.0.113.0/24, 224.0.0.0/4, 255.255.255.255/32, 239.255.255.250/32
dns-server = 8.8.8.8,8.8.4.4
fallback-dns-server =
ipv6 = false
prefer-ipv6 = false
dns-fallback-system = false
dns-direct-system = false
icmp-auto-reply = true
always-reject-url-rewrite = false
private-ip-answer = true
# direct domain fail to resolve use proxy rule
dns-direct-fallback-proxy = true
# The fallback behavior when UDP traffic matches a policy that doesn't support the UDP relay. Possible values: DIRECT, REJECT.
udp-policy-not-supported-behaviour = REJECT
[Rule]
RULE-SET,https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Shadowrocket/Whatsapp/Whatsapp.list,PROXY
RULE-SET,https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Shadowrocket/Telegram/Telegram.list,DIRECT
RULE-SET,https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Shadowrocket/VK/VK.list,DIRECT
RULE-SET,https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Shadowrocket/Yandex/Yandex.list,DIRECT
RULE-SET,https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Shadowrocket/Google/Google.list,DIRECT
RULE-SET,https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Shadowrocket/YouTube/YouTube.list,DIRECT
DOMAIN-SUFFIX,xn--80aswg,DIRECT
DOMAIN-SUFFIX,xn--c1avg,DIRECT
DOMAIN-SUFFIX,xn--80asehdb,DIRECT
DOMAIN-SUFFIX,xn--p1acf,DIRECT
DOMAIN-SUFFIX,xn--p1ai,DIRECT
DOMAIN-SUFFIX,su,DIRECT
DOMAIN-SUFFIX,ru,DIRECT
GEOIP,RU,DIRECT
# LAN
IP-CIDR,192.168.0.0/16,DIRECT
IP-CIDR,10.0.0.0/8,DIRECT
IP-CIDR,172.16.0.0/12,DIRECT
IP-CIDR,127.0.0.0/8,DIRECT
# Final
FINAL,PROXY
[Host]
localhost = 127.0.0.1Сохраняете, затем включаете роутинг: Home - Global Routing - Config.
PS: в моем конфиге проксируется все кроме:
.ru доменов;
.su доменов;
доменов типа .рф, .сайт, .онлайн и т.д.;
RU сайтов по geoip;
сервисов: Google, Yandex, WhatsApp, Telegram, VK, YouTube
Спасибо за ответ!
но в перечисленных данных о том, что мимо проксирования вижу только сайты и сервисы.
Меня же конкретно интересует как можно исключить разные приложения, установленные на iOS из проксирования. в моем примере - это кинопоиск, окко.. в общем, любое, какое понадобится.
У вас в кофниге прописаны правила типа такого:RULE-SET,https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Shadowrocket/YouTube/YouTube.list,DIRECT
это установленное приложение YouTube исключает из проксирования или когда через браузер заходишь на YouTube? если приложение - можно таким же образом прописать правила для других приложений?
Ну и хотелось бы не тупо скопировать, а понять что делаю, чтобы, при необходимости можно было применить правила и для других нужных сервисов.)
Исключать приложения на ios нельзя (на android можно). Есть в shadowrocket еще возможность по user-agent настраивать правила (поможет для приложений).
Здесь вам надо понимать суть правил маршрутизации - любой ресурс/сервис/приложение в конечном итоге ссылается на определенные домены/ip. Поэтому, например, если вы настроите блок для youtube.com - то ни в приложении, ни в браузере вы доступ к нему не получите (только надо учитывать, что у крупных сервисов могут использоваться десятки или сотни ip/доменов на которых работают сервисы и их части. Например: youtubego.in, youtubei.googleapis.com, youtubekids.com, и т.д.)
Для иви, кинопоиска и прочего - ищите списки доменов/ip и добавляйте в shadowrocket (как в моем примере можно). Но вы так же должны понимать, что настройка директа .ru доменов и geoip:ru - позволит вам заходить практически на любой российский сайт/сервис/приложение без проблем. Если хотите только эти конкретные сервисы настроить - опять же, ищите листы с их доменами/ip и добавляйте в конфиг
Да, спасибо! как исключать сайты я в курсе. с правилом выше - тоже разобралась откуда что и зачем.)
И исключить приложение окко из проксирования у меня все ж получилось (спасибо ChatGPT - подтолкнул в какую сторону копать)). теперь при включении ракеты запускаются и спортивные трансляции, и просмотр видео. только надо понять какое из правил сработало. а то пока перебирала правила и получая отрицательный ответ, психанула и прописала их все скопом.:)
Попробую ещё с кинописком. и если получится, то можно уже будет сохранить как схему для обхода проксирования приложений.
Скажите пожалуйста, а где лежат web файлы панели 3X UI (например css) найти не могу
Как сделать переадресацию панели http на https? Спасибо.
Как настроить, чтобы на российские сервера и сайты доступ шел напрямую, без прокси?
v2rayNG Android
geoip:ru,.ru
возможно вариант с доменом может привести к ложным срабатываниям для адресов типа www.rust.org...
У меня сработала такая строчка: geoip:ru,domain:ru, вроде без ложных срабатываний
---
Также смог настроить директ-рф на Streisand iOS, и тут проще сразу дать строку конфигурации, чем городить скриншоты:streisand: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
После импорта строки - настройка появится в "роутинге", её надо выбрать и активировать, при желании можно залезть внутрь и посмотреть из чего она состоит.
Оставлю здесь - возможно, будет полезно:
Акутальный пошаговый гайд, от китайских товарищей (настройка vless+ws+nginx,reality,vless+grpc+nginx + CDN) - https://www.youtube.com/watch?v=ernYIZWOKJ4
Можно установить поверх плагин перевода от яндекс - https://github.com/ilyhalight/voice-over-translation
Под видио есть ссылка на текстовый гайд с командами - https://caq98i.top/article/?page=132
Здесь гайд по настройке cloudflare: https://caq98i.top/article/?page=114
Здесь настройка ускорения CDN через gcore: https://www.youtube.com/watch?v=0BByHbAPj1Y
Плюс, у него есть ссылки на дешёвые VPS по промокоду (от 11 USD в ГОД)
А "что лучше" ) - Vision или Reality? В плане их устойчивости к блокировкам. Это одно и то же или все-таки есть отличия? Я сначала установил Vision , а потом на другой сервер Reality. Вот с ней были проблемы с сертификатами майкрософта - пришлось менять сайт маскировки. А Vision ни от кого не зависит и прекрасно работает. Есть ли преимущества у Reality в плане маскировки или можно спокойно оставить Vision и ни от кого не зависить?
Как выбрать сервер, по который маскируемся в Realty? Критерии помимо того же хостера / пинга. Ведь на самом деле, Realty цензору легко спалить, как минимум:
По A-записям. Если айпишника там нет, то есть два варианта. Первый цензору можно почти исключить, проверив с разных локаций. Можно минимизировать риск, найдя домен с лоад-балансером множеством айпишников.
По PTR. Далеко не все хостеры разрешают его менять.
По IP Whois. Если все IP домена например от какого-то CDN, а у вашего в WHOIS другая ASN другой компании.
По контенту. Многие CDN отдают несколько разные страницы, если видят, что домен к ним не привязан. Это если зайти по IP. Решается поиском таких, которые по IP реджектят коннект, а их мало. Или отдают статичную страницу, которую мы можем скопировать себе на сервер .
По разнице контента http / https. Там несколько тонких моментов, которые могут сыграть в разные стороны, в зависимости от алгоритма атакующего.
Кстати часто после установки оставляют стандартную index.html от Ubuntu, которая отдается по айпишнику, по http. Это прям совсем палево.
Какой протокол разумно выбрать под Websocket транспорт? Если VLESS без Vision / галочки TLS в Security 3X-UI - пойдет без шифрования? По опыту обхода корп. фаерволов критичен ли порт и что важно?
Аналогично. У вас Reality на 443 порту (HTTPS), соответственно при любых запросах к этому адресу реагировать он будет точно так же, как и оригинальный сервер - в том числе в плане выдаваемого по HTTPS контента.
Если пробросите фаерволом 80-ый порт - то и по HTTP будет реагировать аутентично.
Да, но если попробуют без SNI, просто по реальному IP-адресу CDN-сервера зайти тогда получаем что некоторые CDN отдают страницу типа "я сервер CDN номер NL-1000500", а по IP Realty-сервера "домен не найден на нашей CDN или заблокирован".
Я понимаю, что можно придумать еще множество способов палить Realty, в т.ч. пассивных, по количеству коннектов, статистических и пр., но вот это прям в глаза бросается.
Это не имеет отношения к Reality (кроме варианта steal from yourself) - в чистом Reality вообще никак не задействован веб-сервер на вашем VPS, его там вообще не может и не должно быть.
С удивлением обнаружил такое поведение на инсталлах Ubuntu с 3X-UI, X-UI и Marzban.
Поменял index.html /var/www/html и подробно в причинах не разбирался.
Понятно, что это не имеет отношения к самому Realty.
Т. к. при запуске certbot с опцией --standalone еще до установки панели он ругался, что 80 порт уже занят, это намекает что на новых установках Ubuntu уже запущен вер-сервер. Чистая система Ubuntu 22.04 LTS.
Не знаю, это только на образах у отдельных хостеров, или стандартная ситуация для Ubuntu, что веб-сервер по дефолту запущен и дефолтную страницу Ubuntu отдает. Если второе, то подозреваю, что мало кто проверяет это, а палево сильное.
Да, пойдет без шифрования. Имейте в виду, что VLESS без TLS шифрования использовать не надо.
Если не доверяете промежуточным узлам или промежуточной CDN (если она есть) - то используйте с вебсокетами VMess. И не забывайте про early data.
Внутренний первекционист воротит нос от VMess.
В Marzban видел Trojan-ws среди дефолтных пресетов. Но про Trojan подробно не читал. Есть смысл?
Или лучше для вебсокетов тот же VLESS c TLS настроить?
P.S. Еще заметил странное поведение, что если в Realty настройках (3)X-UI мимикрируем под домен domain1.zone, который ссылается через CNAME на domain2.zone, почему-то Realty-сервер пытается мимикрировать под domain2.zone, используя его SNI.
Спасибо, разобрался. Не выспался и в SNI ошибку допустил. Порты на всякий случай проброшу.
Про запущенный веб-сервер (с дефолтной страницей Апача с логитипом Убунты из /var/www/html/index.html) возможно у конкретного хостера такая сборка, т.к. массовых жалоб на ошибку занятого 80 порт при установке сертификатов с запуском им временного веб-сервера не вижу. Позже посмотрю как оно у других хостеров.
Спасибо за пояснения! Но тогда напрашивается первый (маленький)) вопрос: если у Vision уязвимым местом является "мой небольшой никому неизвестный домен который вряд ли окажется в белых списках" - то какой же смысл маскироваться им в Reality? Вместо преимущества "бытия Майкрософтом" становиться маленьким доменом? Ведь это как я понимаю и есть основное преимущество Reality? И вот второй вопрос : Вы пишете про Vision " главное не забыть поднять на нем как fallback какой-нибудь безобидный веб-сайт. Зато у него есть свой недостаток - TLS fingerprint сервера явно пахнет TLS-библиотекой языка Go, а не каким-нибудь обычным Nginx или Apache... " - А я в Vision не делал свой сайт - а вместо этого переадресовал в Nginx на настоящую главную страницу какого то импортного сайта - файлопомойки где попадаешь на страницу авторизации. В этом случае что будет с маскировкой? Ведь вроде как и в случае с Reality это получается маскировка чем то достаточно большим и явно не кустарным?
В nekobox с функцией пакетов xudp (или что-то такое), все равно сохраняются проблемы с воспроизведением фильмов на некоторых онлайн сайтах.
В shadowrocket это решается использованием вместо config - proxy.
Но, если, заблочить RU IP и RU DOMAINS в панели 3x-ui, то работать не хочет никак. Это значит, что фильмы на сайтах подгружаются с RU ip адресов?
Можно ли на одном VPS держать VLESS + 4”Reality, и VLESS + WS + fake website?
Приветствую, а ни у кого не было проблем с загрузкой видео через x-ui и shadowrocket в неназываемую запрещенную социальную сеть с айфона через shadowsocks и vless+reality? Все остальное работает нормально, а видосы загружать не хочет, на 99% останавливается и все.
Есть такая проблема. На некоторых сайтах с фильмами не загружает видосы если включать режим config, где проходит фильтрация по geoip:ru и domain:ru. Долго думал в чем дело, а потом глянул логи с Nekobox на ПК, и увидел, что в подключениях после запуска видео идут запросы на ru домены, из-за чего часть трафика идет через прокси, а часть напрямую, и все рушится. Если включать режим Proxy, а на Nekobox (ПК) убирать фильтры по RU, то все начинает грузится.
Мб и при выгрузке в инсту что-то типо того происходит - кидает на какой-нибудь адрес из базы RU, и на этом все стопается?
Подскажите, куда копать, пожалуйста, в следующей ситуации: настроен shadowsocks в панели 3x-ui на сервере. На ноутбуке и смартфоне установлен NekoBox. В целом работает, но если со смартфона раздавать интернет на ноутбук, то на ноутбуке через shadowsocks не получается открывать сайты. В лог сыпятся ошибки dns вида Post "https://8.8.8.8/dns-query": context canceled.
При этом на самом смартфоне работает. Через домашнего провайдера тоже работает и ноутбук и смартфон.
Заметил, что это происходит, если я подключаю в Ethernet кабель рабочей сети. В клиенте Nekobox появляется надпись underlyingDNS: {GUID} 192.168.0.1, т.е. DNS рабочей сети. Если кабель отключаю, то появляется надпись underlyingDNS: {GUID} смартфонный_IP, и всё начинает работать.
Только сегодня заметила, что при включенном прокси через Shadowrocket у меня теряется доступ к камере, которая подключена к Дому от Apple. кто-нибудь сталкивался с таким? что надо добавить в исключения в файл конфигурации?
У меня, в общем-то, через прокси включены только некоторые сервисы и адреса. а в основном стоит FINAL,DIRECT. поэтому, не могу понять, что блокирует доступ.
Буду благодарна за помощь.
Привет всем, кто встречался с проблемой автозапуска Nekoray 3.26 в Windows 11, в настройках программы галочки "запускать вместе с системой и запомнить последний профиль установлены ", но при старте винды Nekoray не запускается, как можно это исправить?
Есть ли у кого опыт установки клиента для vless\xray на steamdeck? Какой клиент можно поставить?
Кому интересна эта тема: добавил в https://github.com/L11R/antizapret-sing-box-geo поддержку Rule Set, так как старые форматы geoip/geosite депрекейтнуты. Меня пока смущает очень маленький размер в бинарном виде, надеюсь всё правильно сделал. Если у кого есть возможность -- потестируйте. Я сейчас не в РФ живу, давно все сетапы потёр.
FAQ по Shadowsocks/XRay/XTLS/Reality/Nekobox/etc. для обхода блокировок