Comments 284
Подскажите плиз как правильно обновлять 3x-ui при выходе новой версии? v2.1.2 вышла
Статья рассчитана именно на версию v2.0.2, она стабильная и самодостаточная.
В новых версиях панели немного другой интерфейс (не совпадёт со скриншотами) и другая логика работа с warp.
"Чайникам" рекомендую придерживаться версии из статьи: новая версия обёртки 3X-UI не поменяет сути: вы продолжите использовать всё тот же протокол передачи данных VLESS.
--
Но если вы точно знаете что делаете (и готовы сами разбираться с деталями), то вот алгоритм обновления 3X-UI в докере.
# 1) Сделать бекап базы настроек с главной страницы панели 3X-UI.
# 2) Убедиться, что в файле 'docker-compose.yml' вписана
# версия 'latest' или другая нужная вам.
# 3) Далее выполнить эти команды:
cd 3x-ui
docker-compose down
docker-compose pull
docker-compose up -d
docker cp private.key 3x-ui:private.key
docker cp public.key 3x-ui:public.key
если сертификаты в каталоге /3x-ui/cert/ и в web-панеле указать путь к сертификатам как "/root/cert/8.key" (в настройках панели и при настройке CND), то команды копирования сертификатов будут не нужны
docker cp private.key 3x-ui:private.key
docker cp public.key 3x-ui:public.key 
На андроиде есть супер‑удобная опция «Раздельное проксирование» (в настройках Hiddify‑Next). На iOS такого нет.
На iOS можно сделать похожее через приложение "Команды".
Заходим в приложение "Команды";
Раздел "Автоматизация";
Нажимаем "+" в правом верхнем углу экрана;
Ищем в открывшемся экране "Приложение";
В строке "Когда" выбираем приложение, которое должно работать через VPN. Например, Нельзяграм и оставляем настройку "Открыто". Жмем Далее;
Нажимаем "Новая автоматизация" и на следующем экране "Добавить действие";
В поиске вводим "VPN" и в результатах жмем "Настроить VPN";
Появится команда 'Подключиться к VPN "*жмем сюда*" и из вываливающегося списка выбираем нужный вам VPN. В моем случае это конфиг от приложения FoXray;
Жмем Готово
Проделываем все то же самое теперь для закрытия приложения. В п.5 выбираем Когда приложение *нужное приложение* закрыто. Снять галку с "Открыто";
В п.7 нажимаем на слово "Подключиться" и меняем на "Отключиться" и выбираем от какого VPN отключаемся при закрытии приложения;
Сам спросил, сам отвечу: оказывается, в качестве "донора" ПОДХОДЯТ НЕ ВСЕ САЙТЫ, например, https://www.purina.es/ – не подходит.
P.S. Прошу прикрепить или дополнить инструкцию. :)
Можно добавить в статью очень удобный каталог VPS хостеров https://vps.today/. Там можно подобрать себе по стране, цене, способу оплаты, услугам.
Большое тебе спасибо за статью! По инструкции MiraclePtr не смог настроить CDN, так как я нуб. Но очень тебя прошу, не мог бы ты написать гайд по настройки CDN+Reality (MiraclePtr в статье "Особенности проксирования через CDN/Websocket/gRPC для обхода блокировок" писал, как это сделать, но я не смог), было бы великолепно!
А возможно настроить редирект? Например, заход на адрес https://habraproxy.store перенаправлял бы на условный "microsoft.com", а вот https://habraproxy.store/secreturl/ открывал бы панель управления 3x-ui?
Редирект - нет, а вот проксирование сайта microsoft.com через свой VPS для выдачи его контента на своём домене - можно, вероятно средствами Reality, но я с таким не разбирался.
Может другие комментаторы подскажут?
Я бы посмотрел в сторону Traefik - там можно определить динамический роутинг по эндпоинту или поддоменам, роутить можно до локальных портов, Docker контейнеров или внешних сервисов
Благодарю за статью! Не мог разобраться с CDN.
Добавлю еще 1 совет (возможно он бесполезный), и задам 1 вопрос.
1) В пункте про поиск сайта для маскировки в случае использования Reality, помимо поиска сайта той страны где VPS, было бы неплохо еще проверять IP этого сайта на его локализацию, т.к. сайт может хостится в другой стране.
2) ShadowSocks 2022 тоже детектируется? И он не скрывает от цензора куда бежит трафик? То есть он сможет увидеть что постоянно идет обращение к определенному IP? В Китае же его вроде не блокируют (правда если врубят блок всего кроме https, то с вероятностью 99% что отвалится).
SS-22 "условно" детектируется как "зашифрованное tcp-соединение". Определить что это SS-22 вроде-бы невозможно, а вот узнать куда бежит трафик и заблокировать как неизвестный шифрованный протокол - запросто. Был прецедент: https://habr.com/ru/news/770840/
А при использовании Reality, цензор видит реальный IP сервера куда мы обращаемся? Но, при попытке зайти на него, видит там чужой веб сайт, верно? У меня правда почему-то открывает не чужой веб сайт, а панель управления этим сайтом. Не знаю в чем дело)
Панель висит на домене, и, если я захожу по этому домену, то открывает то, что я описал выше.
Как проверить то, что видит цензор?
Цензор видит реальный ip адрес vps сервера, но также видит что этот адрес принадлежит тому домену под который вы маскируетесь и если сделать запрос то прокси возвращает реальный сертификат. Просто попробуйте зайти по https://IPvps должно перенаправить на сайт под который маскируетесь. Или на самом впс можно выполнить запрос, в статьях miracle была команда.
Как проверить то, что видит цензор?
Вот как: Если на VPS на IP 111.111.111.111 и порту 443 настроен Reality, который маскируется под yahoo.com, но нужно на локальном компе в файле hosts вписать строку 111.111.111.111 yahoo.com, а затем зайти на https://yahoo.com в браузере, yahoo должен открыться корректно.
сервер с IPv6 но без IPv4 не подходит
Почему? Трафик VPS <-> Cloudflare замечтательно бегает и по IPv6. При этом судя по схеме - трафик на выход вы иногда пускаете через warp, который точно также замечтательно работает поверх IPv6. В итоге ограничений на посещение IPv4 интернета не предвидится, ну, только что в части прямого соединения с сервером ибо IPv6 есть не везде.
Или это фактические ограничения использованной панели?
продление всегда дороже
Не всегда, например, 99 центов/год
Почему? Трафик VPS <-> Cloudflare замечтательно бегает и по IPv6
Потому что в качестве основного соединения я использую прямое подключение к серверу по IPV4, а CDN - запасной вариант. Если использовать только CDN - тогда IPv6 будет достаточно.
Спасибо за статью!
Подскажите, в чем диаграмму (карту сокровищ) рисовали?
Уже на 4-м шаге панель предложит вам маскироваться под сайт yahoo.com.
Я так понимаю маскировка выглядит просто как передача соответствующего заголовка host в запросе. А фактической маскировки под сайт нет, т.к. на прямое обращение к сайту будет:
Откройте браузер по адресу
https://habraproxy.storeи убедитесь, что там пустая страница 404.
Не будет ли это подозрительно выглядеть - столько трафика ходит на страницу с ошибкой 404?
В том то и дело, что цензор увидит реальный сайт yahoo.com по IP адресу VPS. Для этого и нужен Reality: передавать заголовок SNI, корректный сертификат yahoo, а также контент yahoo если трафик не прошёл проверку как прокси.
Подозрительно - возможно, узнаем когда(если!) РКН внедрит Active Probing.
А вот утверждение "столько трафика ходит на страницу с ошибкой 404" не совсем верное. Трафик ходит на хост, а по какому адресу внутри хоста я обращаюсь по https - внешний наблюдатель никогда не узнает. Он просто поймёт что я обращаюсь явно не в корень сайта, который показывает 404.
Из интересного приложение «Мой МТС» на айфоне либо как то умеет детектить Reality, либо они просто трафик из другой страны, маркируют как впн(появляется UI карточка, чтоб используете VPN).
При этом на домены .ru сегмента настроены прямой роутинг. Но там видимо другой домен
Про "Мой МТС" ничего не могу сказать, но прямой роутинг нужно настраивать не только для .ru доменов, но также и для ru - IP - адресов, для этого энтузиасты поддерживают актуальные базы данных, с ними знакомы и сервер xray, и клиентские приложения.
Отсюда вопрос: это происходит в приложении Streisand после включения обхода рунета по инструкции из статьи, или где-то ещё?
Приложение может через апи устройства запрашивать статус соединения прямое или запущен vpn в фоне
Более того это срабатывает даже если в приложении vpn есть фильтрация по приложениям. Например приложение яндекс маркета отказывается работать без авторизации в яндекс аккаунте если на телефоне запущено впн приложение - даже если в настройках этого приложения отключить впн для яндекс маркета. Т.е. проверка происходит на стороне клиента.
Как интересно, у меня Я-Маркет работает замечательно, аккаунт авторизован, с включённым прокси с исключённым маркетом в его настройках. Андроид 11, если что.
Но первоначальный комментарий был про айфон - там нет "выборочного проксирования".
А чем скорость Cloak не устроила? У меня WG over Cloak по тестам выдавал до 185 Мбит/с, что, конечно, куда меньше, чем 500-600 Мбит/с, которые на этом же линке выдаёт обычный WG, но в качестве резервного варианта оно даже для десятка пользователей, активно использующих корпоративные сервисы с той стороны туннеля, вполне приемлемо.
Я тестировал только OpenVPN over Cloak из Амнезии, и она меня не устраивала скоростью ниже 10Мбит/с и отзывами других пользователей.
Если WG over Cloak режет скорость всего в три раза - то это вполне вариант, да.
Хотя VLESS её практически не режет, может процентов на 5 максимум.
У VLESS другие ограничения, если нужен не просто доступ с конечного устройства к заблокированным сайтам, но и полноценный VPN для доступа к своим ресурсам извне. Даже у стоматолога из Чертаново может быть умный дом и видеонаблюдение на даче, в конце концов :) Тут был пост, как это частично побороть и обсуждение в комментах к нему - получается сложно и всё равно неполноценно, с Cloak куда легче. Хотя у Cloak есть ещё и свои проблемы со стабильностью... поэтому он у меня только третий резервный протокол, после обычного WG (который пока работает, но уже переставал) и Amnezia-WG (который пока не блокировали, но теоретически могут).
Доверие китайским программистам:
по умолчанию у китайцев все от рута запускается. лучше это пофиксить.
выставить на исполняемый файл:
setcap 'cap_net_bind_service,cap_net_admin=eip' /bin/wireproxy
поправить unit systemd:
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
User=nobody
NoNewPrivileges=true
и исполняемый файл.
это же относится к xray, 3x-ui и т.п
User=nobody
systemd рекомендует использовать DynamicUser=yes вместо nobody.
Если не сложно, можете пожалуйста объяснить что каждая настройка делает?
Спасибо большое за статью. Подскажите пожалуйста на ru сайты не заходит?
Не совсем понял вопрос, но если он в том - можно ли заходить на ru сайты с включённым прокси - то конечно да: ru-сайты будут открываться как обычно, напрямую, все другие - через прокси.
У вас в статье ru через warp, а не напрямую.
Напрямую на клиенте можно настроить.
Если делать по инструкции -- ru будет открываться напрямую, для этого есть специальная настройка в клиенте.
Настройка сервера "RU через WARP" нужна, чтобы -- в случае случайного или специального отключения "ru-direct" в клиенте -- VPS не был скомпрометирован в "глазах" РКН как прокси.
Ну и да, при желании можно открывать ru-сайты через WARP: многие откроются, но не все. Сайт Почты России точно будет ругаться.
Действительно. Не правильный роутинг стоял в клиенте.
Для shadowrocket так, regex не хочет ни в какую
Помимо ru доменов хорошо бы добавить фильтрацию для российских IP адресов, вот тут подробно расписано.
Вопрос, с динамическим IP можно провернуть или обязательно статический иметь на сервере? Во всяком случае, от тех кто предлагает домены 3го уровня можно скрипт поставить и IP будет проверяться и добавляться. Спасибо за статью.
Все VPS (насколько я знаю) уже идут со статическим IP, но если пофантазировать то:
- для прямого коннекта к серверу можно использовать, например, домен от dyndns, вопрос будет только в том, чтобы он оперативно обновлялся.
- для CDN не могу придумать варианта с динамическим IP, но тут моих знаний может не хватать.
Скажите пожалуйста, где вы рисовали картинку в каком редакторе!? Очень красиво выглядит, надо тоже рисовать. Спасибо!
Obsidian, страница типа "canvas"
Здравствуйте, скажите пожалуйста а есть ли возможность обойти блокировку сайта https://guidedhacking.com ?! Там cloudfare блокирует, vpn и прокси не помогает.!
Для всех, кто пользуется Docker в повседневной жизни и оркестрирует его через Portainer, я бы посоветовал поставить portainer agent и задеплоить панель оттуда. Дополнительно можно поставить Watchtower и панелька всегда будет самой последней версии.
Благодарю за познавательную статью! Хотел уточнить, откуда взялся строка для копирования в буфер для настройки прямого соединения с Рунетом в разделе `Настройка Streisand (iOS)`. А как настроить WARP для прямого соединения в сегменте СНГ?
откуда...строка для копирования в буфер для...Streisand (iOS) ?
Я настроил роутинг и экспортировал настройки в формат Streisand. Если зайти в Роутинг -> RU-direct, можно увидеть детали.
А как настроить WARP для прямого соединения в сегменте СНГ?
Мне сложно назвать WARP "прямым соединением", но если вопрос в том, как все СНГ-ресурсы пустить через WARP - то вероятно придётся для каждого государства из списка СНГ прописывать (а) роутинг доменов и (б) роутинг IP-адресов, по аналогии с "ru". Будет ли работать - не проверял.
"
А вот на Западе с цензурой всё интереснее:
Насколько мне известно, технический запрет на доступ к неугодной информации на западе минимален и не сравним с российским. Формально свобода соблюдается"
Вы плохо информированы. Пример
я живу в Германии ( давно, очень ). у нас блокируются многие российские сервисы. По кабелю отключили Российское ТВ, пытаются блокировать РУ-IPTV. Сервис / Приложение " Смотрим" блокируется по DNS.
Так что , на "А вот на Западе " приходится пользоваться наоборот, либо российскими DNS серверами, либо VPN c российскими IP адресами.
Кто подскажет пару адресов , не хочится уже пользоваться буржуйским OpenDNS ?
Германии ( давно, очень ). у нас блокируются многие российские сервисы
Благодарю, не знал.
Кто подскажет пару адресов , не хочится уже пользоваться буржуйским OpenDNS ?
Сам таким не пользовался, но возможно dns.yandex.ru ?
Спасибо за труд!
Жалко вы не записали небольшой ролик-инструкцию на ютюб как все сделать. Думаю многим бы помогло. А то вроде для нубов, а потом сразу - "ставим дебиан на удаленном сервере".
Да, возможно с роликом было бы проще, но пока не готов вкладывать своё время в такое.
По поводу "дебиана" - улыбнуло.
Перефразирую: здесь нужно тыкать в сайт продавца VPS чтобы купить VPS уже сразу с установленным Debian 12.
Решил ваше решение попробовать. С дебианом разобрался. Вроде все делал по инструкции (ui немного изменился из вашей инструкции, но примерно такой же). В целом как будто все дожно работать, но при добавлении профайла в hiddify, получаю:
Может знаете, куда стоит посмотреть? Типа изолировать проблему. Ничего толкового не гуглится.
Заранее спасибо за отличный гайд!
Первое, что приходит в голову: а приложение точно hiddify-next, а не какой-нибудь другой "hiddify"?
Особенно вызывает подозрение ошибка на английском языке, т.к. hiddify-next "оч.умный" и сразу пишет на русском, если он определяется как системный язык.
Второе:
ui немного изменился из вашей инструкции, но примерно такой же
да вроде не должен меняться, если те же версии ставить что и в инструкции.
Hiddify-next. У вас кстати в "hiddify-next для windows", ссылка на portable версию, а не пс. Но я пробовал и ту и ту, а также самую последнюю и ту, на которую вы указали.
Система на английском.
Пример интерфейса из гайда: панель 3X-UI - вторая закладка в panel settings -> security settings, а у меня "Authentication"
И дальше, когда мы выбираем в Xray settings/WARP configs, и там надо GPT, у меня было пусто и надо было пару кнопок нажать, чтобы появилась GPT, google, netflix, spotify.
в warp было вообще пусто пока я не начал там смотреть
Старался копи пастить ваш гайд, т.к. 95% не знаю что как там работает.
Возможно проблема в том, что ключи лежали не внутри папки 3x-ui, а снаружи (вроде как внутри должны появится). Решил все переделать с места, когда мы ставим 3x-ui, но теперь новая проблема - по ssh норм к серверу конектиться, а через браузер никак. Вчера тоже через инкогнито получилось только. Сейчас не хром ни edge не хочет. Чиню.
История "как нуб пытался VPN настроить". Немного тут напишу, вдруг кому пригодится.
Не коннектилось никак, но починил. Там выше команда была для запуска 3x-ui, сразу после его установки. Команда "запускаем и оставляем" - docker-compose up -d. Оказалось, у меня уже был запущен этот конт и новый (после удаления всего и переустановки) не запускался (типа есть уже - отвали). Надо было остановить старый конт и запустить новый и можно подключаться через браузер.
Писал по поводу другого интерфейса в 3x-ui, вот так выглядит Xray configs/WARP сразу после установки:
Все переделал, но профайл все равно не добавляется (ошибка выше). Пока хз что делать дальше.
Каким образом лучше всего организовать проксирование через VPS и выход через свой домашний интернет? Суть в том, что дома интернет за NAT спрятан, поэтому думаю взять модем с OpenWrt подключить к VPS, рабочий комп подключить к VPS и весь трафик гнать через работа -> VPS -> дом
Т.е. цель на работе выходить под домашним IP с учетом обхода попыток "палева" прокси. Может уже есть готовые мануалы/конфиги?
Я сам ни разу не решал эту конкретную задачу, чтобы рекомендовать "как лучше", но допускаю что здесь есть исчерпывающий ответ.
А какой клиент для Centos 8 посоветуете? Без GUI.
К сожалению, по ссылке настройка клиента через GUI. Как в консоли делать, какой файл править - непонятно. Гугл тоже пока ничего сказать не может толком. Везде клиенты с GUI.
По ссылке в первой части статьи- настройка xray без gui, я её дал как ориентир чтобы по аналогии настроить xray в режиме клиента. Но вот однозначной и понятной инструкции на эту тему я не встречал...
Вот результат моих изысканий. Заставил работать Xray как прокси-клиент. В очень упрощенном варианте "весь трафик через прокси".
{
"log": {
"access": "/var/log/xray/access",
"error": "/var/log/xray/error",
"loglevel": "debug",
"dnsLog": true},
"inbounds": [{
"listen": "127.0.0.1",
"port": 2080,
"protocol": "socks",
"settings": {
"udp": true
},
"tag": "socks-in"},
{"listen": "127.0.0.1",
"port": 2081,
"protocol": "http",
"tag": "http-in"}],
"outbounds": [{
"protocol": "vless",
"settings": {
"vnext": [{
"address": "XXX.XXX.XXX.XXX",
"port": 443,
"users": [{
"id": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"encryption": "none",
"flow": "xtls-rprx-vision"}]}]},
"tag": "vless-out",
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": true,
"fingerprint": "chrome",
"serverName": "xxxxxxxxx",
"publicKey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"shortId": "xxxxxxx",
"spiderX": "/"}}}]}Запускается командой:
/usr/local/bin/xray -config /etc/xray/config.jsonXray просто скачал с Github и положил в папку /usr/local/bin, файлы конфига и логов создал сам с нуля.
Пока работает. Система - Centos 9.
Спасибо большое за статью!
Именно такую инструкцию и искал.
Подскажите, кто-нибудь, как теперь к этому серверу подключить роутер (кинетик), чтобы вообще все устройства подключались через vps.
Xray для Keenetic: https://habr.com/ru/articles/760052/
Xray для OpenWRT: https://habr.com/ru/articles/757694/
Можно вопрос?
А если уже купил домен (на рег.ру) до регистрации на cloudflare, то куда прописывать сервера из cloudflare? или после покупки этого уже нельзя сделать??
И в догонку, подскажите, пожалуйста, правило, что бы и BY трафик пускать напрямую.
или после покупки этого уже нельзя сделать??
Должно быть можно, но я не смогу подсказать где именно у рег.ру прописываются ns-сервера
можете, пожалуйста, проверить это оно?:
https://help.reg.ru/support/dns-servery-i-nastroyka-zony/rabota-s-dns-serverami/kak-propisat-dns-dlya-domena-v-lichnom-kabinete-reg-ru
Друзья, вопрос про BY трафик остается актуальным.
И еще прикол, что при подключении через VPS ругается на проблемы со связью PC приложение яндекс.музыка...
PC приложение яндекс.музыка
Я-музыка у меня (в РФ) работает если включён директ для обхода ру-ресурсов мимо ВПН.
Hiddify-Next не знает про BY (хотя есть возможность связаться с разработчиками и попросить их добавить страну), а тонких настроек в нём нет.
Что можно попробовать сделать: установить клиент nekoray, запустить в режиме ядра Sing-Box (с родным ядром Xray там какие-то глюки), и в настройках маршрутизации выставить обход для RU и BY ресурсов примерно как на скриншоте.
Спасибо
Сори за дурацкий, видимо, вопрос, а где включается этот "директ для обхода ру-ресурсов"?)
А я же ответил:)
"клиент nekoray"
"в настройках маршрутизации"
Точнее: Меню Настройки → Настройки маршрутов → Базовые маршруты
Правильно я понимаю, что nekoray лучше использовать вместо hiddify next, т.к. там больше настроек (та же маршрутизация приложений)?
Если нужна тонкая настройка (как в данном случае) - то да, лучше nekoray.
Большинству же будет достаточно простого и понятного hiddify-next.
Лучше всего использовать самый свежий стейбл sing-box. Все остальные стабильно работающие клиенты кстати основаны на нем.
Но это если умеете править конфиги руками. В большинстве случаев достаточно добавить одну единственную строку.
Маршрутизация приложений в hiddify next есть под андроид, Per-app proxy называется. Но если вы спрашиваете про nekoray, то вероятно речь о десктопных ОС.
nekoray ставьте в любом случае, он тоже пригождается (конвертация ссылок, альтернативная реализация TUN тоже пару раз выручала).
hiddify next тоже ставьте, очень перспективный, активно развивается, также имеет простой и красивый UI для новичков. Но функционал отличается в зависимости от платформы.
В каждом клиенте есть свои плюсы и минусы. Но не для всех юзкейсов они критичны. Например во всех клиентах xray-core работа с памятью оставляет желать лучшего. Но на практике вылетают они обычно только при многократном переключении конфигов и т.п.
Привет.
Можно попросить тебя расписать вот этот момент:"Я-музыка у меня (в РФ) работает если включён директ для обхода ру-ресурсов мимо ВПН"??
Где эта функция включается?
Установил nekoray, внес рекомендованные настройки маршрутизации, но Ямузыка все равно не работает :(
В некорее есть возможность указать какие приложения "не трогать", как у hiddify-next на андроид?
Где: Некорей → Меню Настройки → Настройки маршрутов → Базовые маршруты
Как: на скриншоте выше, далее включить режим TUN и не включать режим системного прокси.
при таких настройках у меня яндекс-музыка работает (Win10).
В некорее есть возможность указать какие приложения "не трогать", как у hiddify-next на андроид?
Впринципе да. Сам не тестировал, но должно работать:
Настройки TUN-режима → Пропускать процессы.
Здравствуйте, все сделал по инструкции, но хотелось бы настроить свой роутер Kinetik через свой VPS сервер. Я технарь, и понятных мне статей на эту тему я не нашел или плохо искал. Подскажите, пожалуйста, как это сделать, или дайте ссылки на подходящие материалы.
Загвоздка с подключючением по telnet. В kinetik нет USB и не могу понять как поставить opkg. Можете как-то наводку дать? Чёт не вьеду.
Увы, никогда не настраивал роутеры, всегда подключаюсь к прокси с конечных устройств.
Может авторы тех статей помогут?
Привет.
Вот тут все есть:
https://help.keenetic.com/hc/ru/articles/360021888880-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-OPKG-Entware-%D0%BD%D0%B0-%D0%B2%D1%81%D1%82%D1%80%D0%BE%D0%B5%D0%BD%D0%BD%D1%83%D1%8E-%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D1%8C-%D1%80%D0%BE%D1%83%D1%82%D0%B5%D1%80%D0%B0
На постоянку можно или нужно пользоваться профилем через ссылку такого типа? https://habraproxy.store/mysecreturl/
да, рекомендую, в этом есть три плюса:
1) браузер не ругается на незашифрованное соединение, удобно
2) ТСПУ не будет видеть, что на вашем сервере на нестандартном порту крутится дополнительный сайт
3) шанс что кто-то ("MITM") заморочится и начнёт прослушивать трафик с самоподписанным сертификатом между VPS и CloudFlare намного ниже, чем между VPS и точкой в РФ.
(только для параноиков с прямыми руками) Есть возможность полностью исключить риск MITM даже между VPS и CloudFlare. Для этого вместо генерации самоподписанных сертификатов нужно создать пару сертификат/ключ в CloudFlare→мойсайт→SSL/TLS→Origin Server, загрузить их в панель, перезагрузить её, а затем поменять шифрование Full на Full(strict).
4.Отсутствие XTLS в CDN‑проксировании
Я проблему решил другим методом – Nginx Proxy Manager. С Cloudflare домен/поддомен направляются на NPM. А с него уже раскидывай как душа пожелает (хоть на 100 портов и 1000 подпапок). 😉
Здравствуйте.
Установился 3X-UI v2.1.1 Xray v1.8.7 @panel3xui и в пункте warp routing пропал Route OpenAI.Прочитал в релизе 3X-UI v2.1.1 (https://github.com/MHSanaei/3x-ui/commit/2488adc042e8b83b626b3d90355eba3430179972) они его удалили ?
Подскажите как дальше ?
Заранее спасибо.
А дальше - вернуться к инструкции и прочитать, что она - для 3X-UI v2.0.2. :)
В версии 2.1.1 автор поменял логику работы с WARP, и я с ней ещё не разбирался.
(ну или можно в чате спросить, там народ новую версию уже опробовал)
Жмите warp outbound, а там еще пару кнопок (самые очевидные). В меню появятся пункты как в гайде и дальше как обычно.
Я тоже поставил последнюю версию вместо 2.0.2 - все работает.
Пытаюсь поднять 3x после смерти wg, делаю все по мануалу, но по порту ничего не открывается, хотя в netstat показывает что порт занят докером, вот логи контейнера, больше ничего нет, только этот отрезок зацикленный
Спасибо за гайд, всё работает, кроме нейронки от гугла. Когда захожу на сайт bard.google.com всё ещё пишет, что Bard пока не поддерживается в вашей стране, хотя VPS использую американский. Может кто знает в чем причина ?
Отличная статья, классно дополняет статьи от @MiraclePtr
У меня только почему-то не завелась часть с CDN: домен CF принял, настройки на CF все перепроверил 100 раз, в 3X-UI тоже, но по моему адресу типа "https://habraproxy.store/mysecreturl/" выдаёт Error code 520, ну и подключение grpc не устанавливается (клиент Hiddfy Next на ведре).
Всё делал строго по инструкции, ссылку правил как указано.
При этом по адрес:порт всё норм открывает.
В какую сторону смотреть?
UPD: методом исключения понял что фаервол убунты блочит что-то, если его выключить - CF видит трафик и "https://habraproxy.store/mysecreturl/" работает. Для CF нужно какие-то специфичные порты открывать? Кроме 2053?
понял что фаервол убунты блочит...
Я писал инструкцию для Debian и без установки/настройки фаерволла. Если ничего ниже не поможет - вот прямо рекомендую сделать всё по инструкции и ставить на чистую Debian 12, насколько я знаю - у всех работает:)
Теперь по сути вопроса - да, помимо 2053 нужно открыть порт 54321 (вернее тот, на котором у вас крутится панель).
Далее: Ошибка 520 - это когда CF не может получить ответ от сервера. Значит проблему можно искать:
Сервер не отвечает по запрошенному порту
Сервер не отвечает на запросы с пула IP-адресов CF
CF обращается не на тот IP или не на тот порт
Удачи в поиске!
Автор 3X‑UI уже выпустил новую версию панели, но там поменялся интерфейс и логика работы с WARP. Я же создавал инструкцию и делал скриншоты именно с версии v2.0.2, она стабильная и самодостаточная. Если вы ставите прокси первый раз и хотите следовать инструкции - устанавливайте именно эту версию.
В моей изначальной инструкции была ошибка - она устанавливала последнюю версию, несмотря на попытки установить ту что надо. Сейчас ошибку исправил, по инструкции можно устанавливать версию v2.0.2.
Все вроде работает (openai, rutracker и пр), но copilot в vscode (wsl) не хочет - "из вашей локации нельзя", пишет. То есть то же самое, как если бы без "всего этого" запускать.
Поставил TUN Implementation (system) - все равно не хочет работать.
Проверка IP - норм (локация и пр), но если попробовать найти "my location", гугл покажет относительно недалеко от Москвы (где я нахожусь), то есть мимо, но Россия. Но тот же mylocation.org уже все правильно показывает.
Не подскажите, можно copilot заставить работать с hiddify+?
Как достоверно проверить работу WARP?
У меня через прокси не открывается habr.com, добавил его в правило из раздела 3/6, и всё равно не открывает. Порты для warp (UDP 2408 ,UDP 500, UDP 170, UDP 4500 ) открыл в фаерволе.
Как достоверно проверить работу WARP?
Добавить сайт whatismyipaddress.com в правила проксирования варпа (перезагрузить+сохранить), зайти на этот сайт и убедиться что IP поменялся, и он принадлежит CloudFlare
... в фаерволе
К сожалению я не изучал WARP достаточно глубоко, поэтому не знаю, по каким портам он общается со своими серверами. Гугл вам в помощь.
В своей инструкции "для чайников", я использую чистую Debian 12 без фаерволла, там таких проблем не возникает.
Прошу сильно не пинать, тк не айтишник) Споткнулся на шаге 3 при первичной настройке панели 3X-UI.
Ни Эдж, ни Гугл не открыли мне сайт по http когда я нажал «все равно открыть» после того как браузер поругался. Я зашел по http снова и сменил логин/пароль как на шаге 4, но по https как написано на шаге 5 адрес не открывается. Что нужно сделать, чтобы соединение стало защищенным?
чтобы соединение стало защищённым, нужно сгенерировать сертификаты, скопировать их в докер (инструкция ч.1 шаг 7), а затем в настройках панели (инструкция ч.2 шаг 3) в нужные места вписать имена файлов /private.key и /public.key.
Как только панель видит пару корректных ключей - она начинает работать исключительно по https.
так что либо ключи не вписаны, либо вписаны но не скопированы в докер, либо случилась ошибка при их генерации.
---
я также допускаю, что может в панели всё настроено верно и дело в каких-то настройках бразуеров или ОС компьютера, которые не дают открывать "не очень защищённые" https-сайты, но сам с таким не встречался.
пишет что сертификат недействительный, поэтому и http. Запустил еще раз генерацию сертификатов - но в информации о сертификатах видно, что сертификат от вчерашней даты, когда первый раз его делал. Наверное, нужно снести тот сертификат и выпустить новый? Как понять что ошибки при генерации сертификата не было?
Я все остальное по инструкции для части 5 уже сделал еще вчера - все работает, но тема с отсутствием https меня очень настораживает. Может быть снести все и попробовать заново с какого-то момента? Если так, то прошу указать что прописать в Debian, чтобы вернуться к нужному шагу.
Как понять что ошибки при генерации сертификата не было?
прочитать результат вывода каждой команды
пишет что сертификат недействительный, поэтому и http
вот это странно. если панель увидела сертификаты (пусть даже и "недействительные", самоподписанные), она не даст зайти в себя по http, будет упрямо менять адрес на https. (в адресной строке будет видно https перечёркнутый, типа небезопасный). если вы можете войти в панель по http - значит она не увидела сертификаты.
вообще предлагаю попробовать зайти в панель по https с любого другого устройства, например с телефона. это чтобы убедиться, что дело не в компе а именно в панели.
Если так, то прошу указать что прописать в Debian, чтобы вернуться к нужному шагу.
к сожалению не понял эту фразу.
А вот стратегия "снести и попробовать заново" меня самого спасала много раз, рекомендую:)
У меня как раз https перечеркнутый, и надпись про недействительный сертификат. Когда захожу с телефона через сафари то появляется сообщение что используется http/0.9 и страница вообще не грузится.
А какой командой на сервере можно удалить все чтобы начать процедуру заново? Я бы прогул снова весь путь и посмотрю что в итоге получится. Может https появится все же)
А что случится если не делать ч.1.п7 ?
Ну и понятно, ни где не указывать сертификаты?
https то все равно нет.
Сертификаты в первую очередь нужны, чтобы трафик между CDN и VPS шифровался.
Ели обойтись без сертификатов, но придётся перенастраивать всё таким образом, чтобы CDN и VPS общались не по зашифрованному https, а по обычному http. Хотя так тоже можно, да, но всё же не хочется передавать свои данные по интернету в открытом виде.
Я понимаю для чего нужны сертификаты.
С самоподписаными сертификатами https соединение не устанавливается.
Может из-за этого у Вас с CDN были проблемы?
у меня не было проблем с CDN:)
С самоподписаными сертификатами https соединение - устанавливается. В случае с браузером- он просто предупреждает что оно "не безопасно"(=не подписано тем, кому браузер доверяет)
Боюсь показаться назойливым.
Не могли бы Вы оценить моё решение.
Был сайт ( типа hello world) с сертификатом от let's encrypt. Я его перенес на порт 5443. Установил 3x-ui без докера. Указал в настройках свой сайт, валидные сертификаты, ну и естественно порт 5443. Все работает.
Это плохое решение?
Если вы маскируетесь под свой сайт с валидным сертификатом (который крутится на том же сервере) - это вообще оптимально. Вот тут эта концепция описана как "steal from yourself".
Но если при этом вы настроили vless-xtls-reality на 5443 порту - это создаёт дополнительные риски быть заблокированным за "нестандартное соединение" (но это на будущее, в РФ такое ещё не блокируют).
То есть, в варианте "steal from yourself" vless-xtls-reality должен слушать на стандартном 443 порту, а сайт - на свободном (например, 5443) и стандартном 80?
Меняются ли при этом настройки Origin Rules на Cloudflare?
Всё так кроме 80 порта - он в этой схеме не нужен. Любой посетитель сайта зайдёт на 443 порт, XRAY поймёт что это не прокси-трафик и выдаст содержимое сайта.
Кстати, сайт может крутиться на 5443 порту и локальном IP (127.0.0.1), таким образом сайт будет доступен локально для XRAY, и недоступен по порту 5443 извне, а значит извне сайт будет виден только через стандартный 443 порт (которым управляет xray).
А у меня такой вопрос.
Дано:
Несколько настроенных 3X-UI в разных локациях. Каждая локация на своём домене, например,
de.example.com. Домен не привязан к CloudflareНа каждом домене создано несколько inbounds, которые доставляются пользователям через подписку. URL подписки выглядит так:
https://de.example.com:2096/sub/%user_id%
Что я сделал:
Добавил в Cloudflare новый домен, например,
example2.com. Он у меня на всякий случай.Создал
de.example2.comДобавил к существующему SSL-сертификату для
example.comновый доменexample2.comНастроил всё по вашей инструкции.
Что мы имеем:
Домен
de.example.com:порт/mysecretpathоткрывает панель 3X-UIДомен
example2.comвыдаёт 404Домен
de.example2.comвыдаёт 404URL
de.example2.com/mysecretpathоткрывает панель 3X-UI
Что не работает:
Не работает подписка. Сначала ссылка вообще не резолвилась, но потом я понял, что надо добавить правило в Cloudflare для обработки ссылки. Сделал по аналогии с My-2053. Ссылка
https://de.example2.com/sub/%user_id%открывает зашифрованное содержимое подписки.Подписка добавляется (использую Hiddify Next), появляется список доступных подключение, но ни одно не работает. В логах ошибки: remote error: tls: handshake failure
Что хотелось бы получить:
Самое главное, по возможности, сделать так, чтобы не пришлось менять адреса подписок у клиентов.
Как только на
example2.comполучится достичь желаемого результата, проведу аналогичные манипуляции сexample.com
Огромное спасибо за инструкцию!
Сделал все по инструкции и vpn работает, но беда со скоростью download. Большую часть времени не поднимается выше 10Мбит (upload при этом всегда выше 90Мбит). Но иногда выдаёт 50+. В чем может быть дело? Хостер - vdsina. Клиент Hiddify next.
У меня с этим хостером скорость скачивания тоже сейчас не радует, в причинах пока не разобрался. может у них проблемы, может на магистрали.
Добавлю: если использовать CDN - то скорость может уменьшаться за счёт доп.узла, лучше соединяться напрямую если возможно.
да, вероятно проблемы где-то на магистрали я(рф) -- vdsina(nl). У меня сейчас скорость скачивания через vdsina - от 2 до 30 Mbps, но когда соединяюсь с vdsina через промежуточный сервер в германии, то поднимается до максимума.
что с этим делать - не знаю (хочу верить что это авария и её устранят :).
Установите speedtest-cli на сервер и протестируйте скорость сервера. У меня так было. И через поддержку хостера мне сервак поменяли теперь все ок
Спасибо за мануал! Первая часть получилась без проблем.
А вот на 11 шаге начались проблемы: панель не открывается, хром выдает ERR_INVALID_RESPONSE.
Если просто на сайт перейти, без "секретной строки" - получаю 404. Перепроверил все что мог - так и не понял в чем проблема. Кто-нибудь сталкивался?
ERR_INVALID_RESPONSE -- там же должен быть код ошибки, например 521 или что-то в этом роде. если погуглить код ошибки - это может дать ясность что не так.
смог повторить подобную ошибку, когда захожу по условному адресу `habraproxy.store/my-gRPC-3049382` из браузера, то есть по адресу, по которому происходит соединение vless-grpc-tls
поэтому предположу, что некорректно настроены правила на шаге 8
Подскажите почему пишет ошибку когда добавляешь профиль TLS
CDN - failed to add profile - unexpected connection error ? Все делал по гайду
Здравствуйте, большое спасибо за статью, давно задумывался о своём личном прокси.
Подскажите, пожалуйста, как настроить доступ к chat.openai.com?
Ниже пишется либо IPv4, но не мой (ни личный, ни сервера vps, а какой-то левый), либо вообще IPv6.
Все остальные проверки проходит, пока только chatgpt не могу победить.
Делал всё по статье, ставил 3X-UI v2.0.2, Route OpenAI (ChatGPT) through WARP включено.
Возможно ваши ответы на эти два вопроса помогут что-то прояснить:
1) в какой стране VPS?
2) Route OpenAI (ChatGPT) through WARP: доступа к ChatGPT нет и с включённой и с выключенной опцией? (напомню, после изменений нужно сохраняться и перезагружать xray)
VPS в Германии, хостинг у nuxt
Доступа нет в обоих случаях, с перезагрузкой xray и перевключением прокси.
Попробовал поискать чьи это IP, выяснил что они от Cloudflare, московский и немецкий. Возможно они в черном списке у openai.
То что warp светит свой московский IP - это подозрительно и может быть причиной блокировки чатгпт. (если варп считает что соединение к нему идёт из РФ - то и свой IP тоже предоставит из РФ).
Что делать: проверить IP своего VPS по разным базам, возможно он где-то светится как российский. если так - либо ждать когда базы обновятся, либо предоставить доказательства хостеру и попросить поменять. Других идей пока нет.
Лично у меня связка nuxt(GE)-warp-openai работает.
Проблема в том, что московский IP принадлежит не nuxt, а cloudflare.
С отключенным "Route OpenAI (ChatGPT) through WARP" определяет московский IPv4, с включенным - немецкий IPv6, оба от cloudflare, и с обоих не пускает. Такого, чтобы определялся IP от VPS, пока не было (у чатгпт, на всех остальных сайтах работает как положено).
UPD: удалось победить, в Xray Settings - Routing Rules, правило geosite:category-gov-ru,regexp:.*\.ru$,geosite:openai изменил на geosite:category-gov-ru,regexp:.*\.ru$, и отключил Route OpenAI (ChatGPT) through WARP.
Проблема в том, что московский IP принадлежит не nuxt, а cloudflare.
всё верно, если WARP(а он принадлежит cloudflare) посчитает что к нему подсоединились из РФ, но выходной IP будет российским.
Вижу, что заработало после отключения варпа, поздравляю!
любой забугорный сервис будет определять настоящий ip и кому он пренадлежит на самом деле, вам надо взять в овх сервер и там накатить прокси этот и все у вас заработает
А как быть с Нетфликсом, который загружается, но при попытке начать просмотр пишет, что я использую прокси и его надо тк отключить)
никогда его не смотрел, и слышал что нетфликс не любит любые IP, которые определяются как принадлежащие датацентру, так что через VPS не зайдёшь.
Однако в панели 3x-ui есть опция - проксировать нетфликс через warp, возможно она поможет. (напомню, после изменений в панели нужно сохраняться и перезагружать xray).
Другой вариант о котором слышал - через прокси подключаться к одному из заблокированных в РФ бесплатных VPN-ов с американскими серверами(какие именно - не знаю), специально чтобы смотреть нетфликс.
через прокси http я смотрю через них
Спасибо за статью, но Streisand не клиент для macOS.
Извиняюсь за совсем нубский вопрос, но данное настроенное решение можно использовать как прокси? Например, в Telegram можно указать прокси-сервер SOCKS5, нужно ввести адрес сервера, порт, логин и пароль (или MTProto, там адрес, порт и ключ). Если можно, то как правильно заполнить эти поля?
Да, можно. Только это не специализованный MTProto - а просто системный прокси, через который ТГ гонит весь свой трафик.
Как? В телефоне всё работает из коробки. В windows (скорее всего на macOS и linux также) - в настройках ТГ не менять (продолжать использовать) опцию "использовать системные настройки прокси".
Когда осенью блокировали телегу на юге, через подобный прокси всё работало.
Телегу я привел как пример приложения с возможностью настройки прокси в нем непосредственно (да, сейчас там всё работает нормально).
Вопрос именно в том, какие адрес, порт, логин и пароль для SOCKS5 (или адрес, порт и ключ для MTProto) нужно вводить, чтобы прокси из данной инструкции заработал? Имеется в виду, чтобы тот же телеграм работал напрямую через прокси, без включения Hiddify-Next? Или нужна какая-то дополнительная настройка, по типу инструкции в одном из комментариев выше? Если так, было бы здорово дополнить данную статью гайдом "для чайников" (типа меня, потому что по ссылке яннп) с картинками и пояснением что куда жать и писать, чтобы заработал протокол SOCKS5.
понял вопрос. без включения Hiddify-Next (или аналога) не заработает.
Тут как бы создаются два разных "прокси".
Первый - на VPS по протоколу vless-***, телега не знает такой протокол и не присоединится к нему - зато это сделает Hiddify-Next (или его аналог).
Второй - Hiddify-Next создаёт промежуточный локальный прокси по протоколу socks5 и прописывает его системным, и вот уже к нему подсоединяются разные приложения на устройстве.
Спасибо за отличную статью! Она идеальна для новичков.
Комментарии:
Если ставить последнюю версию 3X-UI, то WARP отключен. Его достаточно просто включить по умолчанию. Далее все настройки из статьи. У разделов искажены имена, но понять можно.
Поиск сайта в подсети хостера осуществляется из командной строки. Я не нашел в инструкции, потом долго разбирался. В итоге все ок. (Запускаем командную строку, прописываем расположение программы, и команда: .\RealiTLScanner-windows-64.exe -addr ВАШ_IP -port 443 -thread 100 -timeOut 5).
Одновременно работает или vless tcp Reality или vless grpc TLS (может так и не должно быть, ниже вопрос об этом).
В Hiddify Next есть раздел настроек Активы маршрутизации. Там регулярно обновляем geoip и geosite.
У кого что-то не работает, можно решить сменой прямого DNS с 8.8.8.8 на 1.1.1.1. В приложении на Android или меняем DNS или выбираем режим работы VPN / Proxy.
Вопросы:
В чем разница между режимами работы в Android приложении: VPN / Proxy?
Лучше использовать доменную зону отличную от .ru или нет разницы и .ru подойдет?
CDN полностью настроен. В панель захожу через https://my_site/my_secret_url/. SSL/TLS Full. По адресу https://my_site ошибка 404. Клиенты создаются и подключаются. Российский трафик есть, иностранного и заблокированного нет. Все настройки проверены. Единственное, у домена созданы NS-записи, но нет DNS-записей. Они должны быть? И если да, то какие?
Благодарю за комментарии!
Отвечаю:
В чем разница между режимами работы в Android приложении: VPN / Proxy?
Proxy - приложение меняет настройку системного прокси, а все другие программы (браузеры например) - если умеют и хотят его учитывать - учитывают
VPN (он же TUN) - создаёт виртуальное сетевое подключение и делает его главным. Таким образом прокси будут использовать 99.5% программ. Исключение - софт, который "умный слишком" и умеет перебирать сетевые подключения, например qbittorrent.
Лучше использовать доменную зону отличную от .ru или нет разницы и .ru подойдет?
Если речь идёт про домен для CDN - то не вижу разницы. Если про домен для маскировки VPS - то лучше маскироваться под сайт из той же страны, маскировка под ru-домен может нести риски.
CDN... Российский трафик есть, иностранного и заблокированного / нет
Мне сложно диагностировать неполадки с помощью телепатии:) Но пока все случаи неработоспособности CDN, с которыми я встречался, сводились к ошибкам реализации инструкции.
Единственное, у домена созданы NS-записи, но нет DNS-записей. Они должны быть? И если да, то какие?
Если вопрос в том, нужно ли где-то прописывать что-то, чего нет в инструкции, то ответ - нет:)
Несколько пунктов для тех, кто как и я не разобравшись до конца решил настроить такую систему (если я не прав, буду благодарен, если поправите):
1) первый вариант подключения через vless работает только через ip и настроить работу через свой домен не получается.
2) если отключить прокси CF или через hosts в клиенте привязать свой домен к своему ip, возникает проблема со входом в панель 3x-ui, но клиент vless подключается.
3) при обновлении vless на стороне клиента через подписку, в конфигурации vless sing-box каждый раз прописывается домен вместо ip и клиент перестает работать без привязки домена к ip в hosts или без отключения прокси CF
1) Вообще-то можно, но конечно это будет совсем не тот домен, который привязан к CDN. Например, можно взять какой-нибудь DDNS-сервис вроде https://freemyip.com/, создать домен, привязать к нему IP своего VPS и пользоваться (но зачем?:)
2) логично, поскольку панель крутится на нестандартном порту
3) я не сторонник "подписок" и считаю этот функционал излишним для личного прокси (хотя знаю людей, которые его используют). Так что с подписками я не разбирался.
Отличная статья для нуба. На ПК (WIN) всё заработало сразу. Попытался на приставке с AndroidTV через соответствующее apk запустить - ноль эффекта. Куда копать?
Спасибо за отличную статью!
На этапе "Инструкция (5/6) -- проверка прокси" все проверки прошли успешно. Но через некоторое время Гугл в режиме инкогнито стал показывать Россию, и язык русский. Я подозреваю, это началось после того, как я через cloudflare связал свой домен, принадлежащий зоне .ru, с ip от моего vps. Остальные проверки проходят как и раньше.
И пока не всё гладко. Второе соединение в 3X-UI, то есть подключение к своему VPS через порт 2053 по протоколу VLESS-gRPC, не заработало. "Ошибка при установлении защищённого соединения" на открываемых страницах и "disable_sni is unsupported in uTLS" в журнале Hiddify
через некоторое время Гугл в режиме инкогнито стал показывать Россию
...подозреваю, это началось после того, как я через cloudflare связал свой домен, принадлежащий зоне .ru
Не отрицаю ваше предположение, но практически уверен что дело в другом. Почти наверняка гугл получает доступ к реальной геопозиции через браузер телефона или компа (и значит этот доступ можно отключить).
Если причина в другом и найти/повлиять на неё не получится, то в настройках панели можно пустить весь трафик до гугла через варп, там есть такая опция.
"disable_sni is unsupported in uTLS" в журнале Hiddify
Очень странно, не встречал подобного. Предлагаю ещё раз тщательно проверить настройку согласно инструкции. Если не поможет - то по тексту ошибки видно, что приложение ругается на поле SNI, которое с его точки зрения пустое или отключённое, и можно в панели попробовать вписать туда адрес своего домена.
подключение к своему VPS через порт 2053 по протоколу VLESS-gRPC, не заработало
Попробуйте Hiddify-Next старой версии 0.11.1, скорее всего заработает. https://github.com/hiddify/hiddify-next/releases/tag/v0.11.1
(а если не работает на айфоне - напишите в личку, проверим вариант)
Тоже столкнулся с такой проблемой. Решил следующим образом:
В настройках vless на 2053 порту надо:
В поле SNI указать домен. Я указал свой домен.
В поле ALPN выбрать h2
Скопировать строку для подключения, заменить ip-адрес на домен, а порт на 443.
Протестировано на Hiddify Next 0.14.20
Подскажите в чем дело и куда копать? до пункта 6 все работает. На CF все настройки сделаны, но на шаге 9: "прокси должен работать ... через порт 2053 по протоколу VLESS-gRPC " он не работает. Хотя проверки по шагам 11 и 12 проходят и панель открывается через домен и ошибка 404 на главной странице есть.
Когда пытаюсь подключаться через второе подключение (CDN), то браузер не открывает вообще никакие страницы, даже веб морду роутера. Если делаю трассировку до сервера, то она одинаковая (и при VLESS и при CDN) и видно, что ip изменился на CF.
С компьютера подключаюсь через Hiddify Next
Почти наверняка дело в новой версии Hiddify-next. Только что проверяли: там либо баг, либо фича, которая ломает совместимость с панелью.
Скорее всего с версией 0.11.1 всё будет работать
https://github.com/hiddify/hiddify-next/releases/tag/v0.11.1
Update 25.01. В новых версиях многих приложений появился либо баг, либо "фича", которая делает их несовместимыми с шагом (9 3/4). Вероятно это особенность в новой версии ядра sing-box, которое лежит в основе всех клиентских приложений.
Что делать? Использовать рабочую версию приложения Hiddify-Next версии 0.11.1
Что делать если у вас iOS, где доступны только свежие версии приложений?
a) выполните этот шаг (9 3/4) по инструкции и смиритесь с тем, что прямое соединение не заработает, оно пригодится на шаге 13
b) выполните шаг 13 по обновлённой инструкции (обратите внимание на параметр &sni=...), CDN заработает.
Udpate 25.01. Обнаружил одну неочевидную настройку CloudFlare, без которой иногда сбоило соединение через CDN. Вот оно:
В разделе (SSL/TLS)--(Edge Certificates)--(Minimum TLS Version) установите "TLS 1.3"
(статью обновил)
“Добавьте (перед #) &sni=habraproxy.store впишите свой домен, не мой:)“
А в настройках сервера надо указывать тогда sni (в скрине поле кажется пустое)?
Изменение настроекНеудачно: cert file </public.key> or key file <> invalid: open /public.key: no such file or directory
как установить сертификат в панель стоит последняя версия что убунту что дебиан это панель кривая?
автор можно обновить гайд с новой версией и добавить все
остальные протоколы wg trojan и тд
был бы полный гайд
Изменение настроекНеудачно: cert file </public.key> or key file <> invalid: open /public.key: no such file or directory
как установить сертификат в панель стоит последняя версия что убунту что дебиан это панель кривая?
см. Инструкция ч.1 шаг 7.
Такая ошибка появляется, если не скопировать созданные сертификаты в докер 3x-ui.
автор можно обновить гайд с новой версией и добавить все
остальные протоколы wg trojan и тд
был бы полный гайд
Для решения одной конкретной задачи (личный проси для обхода цензуры с большим запасом прочности от блокировок) указанные версии абсолютно подходят. К тому же новые версии не всегда сочетаются друг с другом.
Если вы решите разобраться в новых версиях и готовы отслеживать изменения и еженедельно поддерживать актуальный мануал - можете написать свою статью на хабр, сообщество будет вам благодарно.
"Остальные" протоколы (wg trojan и тд) не подходят для указанной задачи, в статье есть ответы почему.
del
Подскажите пожалуйста.
Если хром работает через hiddify то как его заставить открывать айпи внутренней сети? На тот же роутер не пускает)
Спасибо
Подскажите плиз как правильно обновлять 3x-ui при выходе новой версии? v2.1.2 вышла
Подскажите плиз как правильно обновлять 3x-ui при выходе новой версии? v2.1.2 вышла
Статья рассчитана именно на версию v2.0.2, она стабильная и самодостаточная.
В новых версиях панели немного другой интерфейс (не совпадёт со скриншотами) и другая логика работа с warp.
"Чайникам" рекомендую придерживаться версии из статьи: новая версия обёртки 3X-UI не поменяет сути: вы продолжите использовать всё тот же протокол передачи данных VLESS.
--
Но если вы точно знаете что делаете (и готовы сами разбираться с деталями), то вот алгоритм обновления 3X-UI в докере.
# 1) Сделать бекап базы настроек с главной страницы панели 3X-UI.
# 2) Убедиться, что в файле 'docker-compose.yml' вписана
# версия 'latest' или другая нужная вам.
# 3) Далее выполнить эти команды:
cd 3x-ui
docker-compose down
docker-compose pull
docker-compose up -d
docker cp private.key 3x-ui:private.key
docker cp public.key 3x-ui:public.keyПеред этим отключить VPN, если сидите на том же сервере, который будете обновлять.
если сертификаты в каталоге /3x-ui/cert/ и в web-панеле указать путь к сертификатам как "/root/cert/8.key" (в настройках панели и при настройке CND), то команды копирования сертификатов будут не нужны
docker cp private.key 3x-ui:private.key
docker cp public.key 3x-ui:public.key Дополнительно можно рассмотреть отключение ping'ования нашего сервера:
Проверяем включена ли возможность ping'овать наш сервер (если 0, то включен):
net.ipv4.icmp_echo_ignore_all = 0
Отключаем:
Открываем файл: nano /etc/sysctl.conf
Вводим в конце файла строку: net.ipv4.icmp_echo_ignore_all = 1
Сохраняемся (Ctrl + X, Y, Enter)
Затем перезапуск, команда: sysctl -p
И повторная проверка: sysctl net.ipv4.icmp_echo_ignore_all (в конце должен быть 1)
благодарю за выложенный и предоставленный труд - думаю, что попробую воспользоваться советами. Однако появился вопрос: какой клиент-приложение можно использовать для соединения с прокси на ОС Linux (Manjaro-дистрибутив или другой декстопный дистрибутив например)? задумался: почему не указали приложение Outline (есть под все ОС популярные и мобилки), но ответ в том, что оно только для работы с Shadowsocks как я понял
ну зачем столько политики в статье ?
дополню тогда:
данный сервис полезен будет в первую очередь - что бы обходить западные блокировки против Россиян, особенно в ит
Двое суток не обновляются неймсервера? Так и остались два облака. Домен namesilo. Это нормально или где ошибка?
могу предположить несколько вариантов:
+ неймсервера были вписаны, но не сохранены
+ вписаны неймсервера со скриншота, а не из своих "оранжевых облаков"
+ опечатка в имени домена в CloudFlare
+ у регистратора техническая ошибка
Вот тут можно проверить, в порядке ли ns-записи.
Вот как это выглядит у меня:
Спасибо за ваш подробный разбор темы)
Подскажите, есть ли имя хоста vps в Нидерландах указано с доменом в зоне ru, то на сколько это критично для зарубежных цензоров? Имеет ли смысл заменить на отдельный купленный зарубежный домен?
Подскажите, этот скрипт показывает наличие WARP?
https://www.cloudflare.com/cdn-cgi/trace
Пишет warp=off
Показывает, у него как минимум три состояния: off, on, plus
Получается, он должен показать, что включен CloudFlare Warp или я что-то не правильно понимаю?
Показывает:
tls=TLSv1.3 sni=plaintext warp=off gateway=off
Откроется панель 3x-ui. Теперь управлять панелью вы будете с этого адреса!
Спасибо большое за статью, всё отлично,
Но видимо, я совсем чайник, но у меня на этом месте ни при каких условиях не открывается мой сайт и всегда 404 ошибка.
Куда смотреть на Cloud или на свой VPC?
Ставил на Ubuntu, 3x-ui последней версии. На шаге с генерацией ключей страница перестала открываться.
Помог смотр логов:
docker ps
docker logs <id>
Показало, что контейнер ребутался в цикле на шаге чтения ключей. Помогло удаление базы db/3x-ui.db. Может кому поможет.
Все работает ок, но проблемы с microsoft store и visual studio code трекает, что сигнал из России и блокает github copilot
приветствую. полистал комменты, но сходу не нашел. не буду описывать все приключения, но в общем в Hiddify и Nekobox все в итоге заработало только при включении режима TUN/VPN, которые требуют прав админа. в режимах прокси и системный прокси не заработало. это я что-то где-то сделал не так или все же так и должно быть?
если что делал только первую часть, CF, домен и прочее не настраивал
На андроиде есть супер‑удобная опция «Раздельное проксирование» (в настройках Hiddify‑Next). На iOS такого нет.
На iOS можно сделать похожее через приложение "Команды".
Заходим в приложение "Команды";
Раздел "Автоматизация";
Нажимаем "+" в правом верхнем углу экрана;
Ищем в открывшемся экране "Приложение";
В строке "Когда" выбираем приложение, которое должно работать через VPN. Например, Нельзяграм и оставляем настройку "Открыто". Жмем Далее;
Нажимаем "Новая автоматизация" и на следующем экране "Добавить действие";
В поиске вводим "VPN" и в результатах жмем "Настроить VPN";
Появится команда 'Подключиться к VPN "*жмем сюда*" и из вываливающегося списка выбираем нужный вам VPN. В моем случае это конфиг от приложения FoXray;
Жмем Готово
Проделываем все то же самое теперь для закрытия приложения. В п.5 выбираем Когда приложение *нужное приложение* закрыто. Снять галку с "Открыто";
В п.7 нажимаем на слово "Подключиться" и меняем на "Отключиться" и выбираем от какого VPN отключаемся при закрытии приложения;
Приветствую. К сожалению на шаге 6 (1/6) после ввода команды сбоит:
Installing WARP socks5 proxy (WireProxy), затем ошибка:
[ERROR] Sorry, the installation of WARP socks5 proxy (WireProxy) failed! Please try again later.
Есть решение?
У меня так было, когда я пытался warp поставить на VPS из РФ (у которого не было доступа к warp-серверам). Ваш vps точно за пределами РФ? И ещё вопрос: вы же ставите варп на чистую Deban12?
За пределами РФ
Да, притом делал переустановку и такая же ошибка
Я просто прошёл дальше по шагам и дошёл до конца, вроде все тесты прошёл. Ipinfo.io показывает конкретные данные
В итоге сам же и решил.
В описании https://github.com/hamid-gh98/x-ui-scripts есть заметка (Notes).
Панель->Xray Settings->Advanced Template->Outbounds (для удобства)
Найти строчку с
WARP:
Код
{
"tag": "WARP",
"protocol": "socks",
"settings": {
"servers": [
{
"address": "127.0.0.1",
"port": 40000
}
]
}
}Заменить на:
Код
{
"tag": "WARP-socks5",
"protocol": "socks",
"settings": {
"servers": [
{
"address": "127.0.0.1",
"port": 40000
}
]
}
},
{
"tag":"WARP",
"protocol":"freedom",
"proxySettings":{
"tag":"WARP-socks5"
},
"settings":{
"domainStrategy":"UseIPv4"
}
}Save Settings, Restart Xray
Подключиться по SSH к VPS и установить WARP командой:
bash <(curl -sSL https://raw.githubusercontent.com/hamid-gh98/x-ui-scripts/main/install_warp_proxy.sh) -y -f* ключи: -y => параметры по умолчанию (вместо ввода 40000) -f => принудительная переустановка
Спасибо за статью. Здоровья, успехов.
Решение ошибки [ERROR] Sorry, the installation of WARP socks5 proxy (WireProxy) failed! Please try again later.
Интересно, а что будет с такими статьями с 1 марта?(
Подскажите, в чем может быть проблема? Включаю на айфоне Streisand и раздаю на мак. При входе на нельзяграм появляется заглушка провайдера. Пробывал тоже самое через Shadowrocket с шифрованием ДНС также на маке появляется заглушка.
@quakin Подскажите пожалуйста каким образом завернуть весь трафик в WARP.
Что то по примеру "geosite:category-gov-ru,regexp:.*.ru$,geosite:openai" только весь трафик а не только зону .ru
Я это делаю так:
1) когда создаю подключение (inbound), то заполняю поле "имя пользователя" (email), например "user3"
2) далее создаю правило (routing rule) с двумя параметрами: Client email = user3, Outbound = WARP.
3) сохранить, перезагрузить
Теперь все соединения пользователя user3 пойдут через вапр.
Последовательность всех правил и их расположение между собой имеют значение, иногда такое правило стоит поднять выше в списке, чтобы заработало, детальнее не разбирался
Ааа ребята ребята 😩 помогите плз.
Все замечательно работало, пока не обновил Streisand в эпсторе, все сломалось, кликаю подключить а он в никакую! Пробовал снова добавить профиль один фиг, подозреваю что-то в самом приложении поправили.
Кто нибудь столкнулся сегодня утром?)
Всем привет.
Кто-нибудь знает каким образом приложение гипермаркетов Окей выкупает о пользовании vpn? На андроиде в hiddify next указано приложение не проксировать. Но при запуске получаю сообщение отключить впн...
Здравствуйте, @quakin!
Всё сделал точно по последней (на данный момент) инструкции. Увы, "Hiddify-Next" и "Nekoray" не коннектят ни в одном из режимов. "Hiddify-Next" пишет в лог:
box.log
+0100 2024-02-16 02:39:47 ERROR [1745822494 376ms] outbound/urltest[auto]: reality verification failed
+0100 2024-02-16 02:39:47 ERROR [1745822494 376ms] inbound/mixed[mixed-in]: process connection from 127.0.0.1:26597: reality verification failed
+0100 2024-02-16 02:39:48 ERROR [2044179466 375ms] outbound/urltest[auto]: reality verification failed
+0100 2024-02-16 02:39:48 ERROR [2044179466 376ms] inbound/mixed[mixed-in]: process connection from 127.0.0.1:26601: reality verification failed
+0100 2024-02-16 02:39:49 ERROR [1016471534 380ms] outbound/urltest[auto]: reality verification failed
+0100 2024-02-16 02:39:49 ERROR [1016471534 380ms] inbound/mixed[mixed-in]: process connection from 127.0.0.1:26603: reality verification failed
+0100 2024-02-16 02:39:50 ERROR [1613330654 364ms] outbound/urltest[auto]: reality verification failed
+0100 2024-02-16 02:39:50 ERROR [1613330654 365ms] inbound/mixed[mixed-in]: process connection from 127.0.0.1:26607: reality verification failed
+0100 2024-02-16 02:39:50 ERROR [706957373 382ms] outbound/urltest[auto]: reality verification failed
+0100 2024-02-16 02:39:50 ERROR [706957373 382ms] inbound/mixed[mixed-in]: process connection from 127.0.0.1:26605: reality verification failed
+0100 2024-02-16 02:39:50 ERROR [208085308 373ms] outbound/urltest[auto]: reality verification failed
+0100 2024-02-16 02:39:50 ERROR [208085308 374ms] inbound/mixed[mixed-in]: process connection from 127.0.0.1:26609: reality verification failedПрофиль в "Hiddify-Next" создавал из буффера обмена. ЧЯДНТ? :(
Сам спросил, сам отвечу: оказывается, в качестве "донора" ПОДХОДЯТ НЕ ВСЕ САЙТЫ, например, https://www.purina.es/ – не подходит.
P.S. Прошу прикрепить или дополнить инструкцию. :)
По настройке shadowrocket: ключ vless так же как и в стрейзанд из буфера вставляется, изи. А как настроить прямое соединение с рунетом? Можете написать шаги по аналогии со стрейзанд, пожалуйста, для нубов
настройка директ-рф для shadowrocket есть в этой статье:
https://habr.com/ru/articles/770400/
там чуть сложнее, но у меня заработало
Подскажите пожалуйста, внезапно перестал работать VPN:Не могу зайти ни на один сайт вне домена ru. В hiddify пишет подключено, но в веб-панели офлайн на клиенте. Сервер перезагружал как целиком так и только xray. Запаска через grpc работает. Пробовал заменить в уже созданном подключении сайт на другой - результата не дало. Nekoray пишет "2024/02/16 08:19:18 [Warning] app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: failed to find an available destination > common/retry: [remote error: tls: internal error dial tcp MYIP:443: i/o timeout] > common/retry: all retry attempts failed"
Хостер VDSina
Хороший вопрос, у меня такой же хостер и такая же проблема. Очень ждем помощи от разбирающихся в теме людей
предлагаю проверить это же vless-соединение через
* другое приложение
* другое устройство (комп/телефон)
* другой интернет-канал
в случае если не поможет - попробовать ещё раз поменять маскировочный сайт, мне уже дважды за неделю писали что причина может быть в этом
Я попробовал на трёх разны провайдерах, на hiddify и nekoray, с телефона и компа - результат один. Может я не так меняю маскировочный сайт, посмотрите пожалуйста
Маскировочный сайт ведь меняется в полях dest и server names. Менял на другой нидерландский, на яху и все равно ничего. При этом коннект к прокси мгновенный как и раньше, вот только страницы не грузятся ни в каких сценариях
Upd: надо выпустить новый ключ vless или поменять вручную имя сервера в импортированных настройках в стрейзанде/шадоурокете. У меня заработало
Можно добавить в статью очень удобный каталог VPS хостеров https://vps.today/. Там можно подобрать себе по стране, цене, способу оплаты, услугам.
@quakin, скажите пожалуйста, а можно ли как-то настроить систему так, чтобы по адресу собственного сайта (это я про часть с CDN) открывалось не "404", а собственная страничка с VPS из первой части?
Чтобы по адресу купленного домена сразу открывалась панель (для иных посетителей - форма с логином и паролем) - достаточно не вписывать в настройках панели /mysecreturl/ и оставить это поле пустым
Нет, немного не то... Чтобы по адресу /mysecreturl/ открывалась панель, а по "чистому" адресу сайта открывалась какая-нибудь простая страничка, например мем с котиком.
Это чуть сложнее. Надо на VPS поднять свой сайт с котиками, и его подсунуть CDN.
В этой статье всё подробно расписано, на примере веб-сервера nginx:
https://habr.com/ru/articles/761798/
Подскажите чайнику как быть, если сервер на gullo hosting находится за nat и имеет доступ через внешний ip и открытые порты в количестве 20 шт включая порт ssh (не 22), например 10000-10020, так что даже в панель 3xui не зайти на стандартный порт по умолчанию.
Кто-нибудь знает где найти пример sing-box (с версии 1.8.0) Rule Set Source Format ? как это выглядит вообще? Там просто список доменов или такие же правила как в конфиге singbox ?
hello folks, столкнулся с проблемой, сменил хостера и по новой все ставил, система убунту22, в прошлый раз больше часа сидел с докером, после того как прописываю версию 2.0.2 пишу команду docker compose up -d выдавал ошибку, в итоге где-то нашел подсказку и завелось, в этот раз психанул и пошел сложным путем, но тем не менее, подскажите плз почему короткая команда не работает? уснуть не могу((
docker run -itd \
-e XRAY_VMESS_AEAD_FORCED=false \
-v $PWD/db/:/etc/x-ui/ \
-v $PWD/cert/:/root/cert/ \
--network=host \
--restart=unless-stopped \
--name 3x-ui \
ghcr.io/mhsanaei/3x-ui:"v2.0.2"
А зачем в докер и версию 2.0.2? Из опыта, всё прекрасно работает без докера (да и с докером) и с последней на данный момент версией 2.2.5, можно и в Ubuntu, но лучше в Debian с ядром XanMod для скорости.
Очень любопытно, все работает при соединении через wifi, но стоит переключиться на lte, коннекта нет, не может получить айпишник, оператор билайн, streisand
Никто с таким не сталкивался?
Я так понимаю данная конфигурация работает по принципу блэклиста российских адресов. Имеет ли смысл лучше настроить ее на вайтлист заблокированных в России адресов? В теории и трафика меньше будет, и ошибочного проксирования российских адресов?
С одной стороны - да, это имеет смысл.
С другой - такое решение сразу становится технически сложным не "для чайников":
— Во-первых нужно где-то брать базы заблокированных в РФ ресурсов. Да, они есть - но с учётом того, что РКН может в любой момент перестать выгружать их в публичный доступ - данные в базах (собранных энтузиастами) могут обновляться с задержкой.
— Во-вторых, нужна вторая база - ресурсов, которые не запрещены РКН, но блокируются с "той стороны"
— Наконец, эти две базы придётся регулярно обновлять на каждом из клиентских устройств.
Так что решение получается неоднозначное, и лично я пользуюсь тем, что описал в статье: экономить трафик мне не надо, и с ошибочным проксированием рф-адресов также не встречался.
Личный прокси для чайников: универсальный обход цензуры с помощью VPS, 3X-UI, Reality/CDN и Warp