Первый XXX конечно должен быть внешний, если порт слушается только на внешнем адресе…
Добавьте listener на localhost и не будет нужен внешний адрес.
Чтобы сессия не закрывалась, можно использовать screen/tmux или банальный nohup
Ограничения применяются к конкретным блокам адресов, которые попали в черные списки, поможет смена хостера на менее популярного, там где адреса не отмечены у РКН. Аналогичная проблема была у меня, 7 дней назад отвалился 3x-ui vless reality, сменил хостинг с аеза на другой и все заработало!
У меня на аезе оба впс работают нормально. На PQ.Hosting и Inferno отвалились
Скорее всего там от подсетей зависит, Вам повезло, ваши еще не попали в списки счастья)
Взял на тесты впс на pq.hosting, в локации как у @R0iZ
Поднял сайт на nginx со статичной страничкой. На своем домене и с сертом LE. Результаты такие, что блокировка происходит независимо от версии tls. Проходит хендшейк, устанавливается сессия, и после отправки пакета с данными, скорее всего get запрос, в дампе трафика вижу ретрансмиссии, то есть ответа на get запрос нет. При чем, блокировка может происходить не сразу, и сайт может открыться, но через несколько повторных запросов блокируется на несколько секунд, затем опять может пробиться и загрузиться. Какой-то логики в этом не выявил, возможно кривая работа ТСПУ.
Xray тут не причем, он скорее всего блокируется из-за того что шлет слишком много и часто запросы на сервер.
Нашел в этой же подсети легитимный европейский сайт, он тоже не грузится из РФ https://finland.gurdit.com
1 Like
Спасибо за тест! У меня тоже этот европейский сайт не грузится. Получается, по подсетям РКН бьёт?
@Dhohbr Благодарю за информацию.
Насколько я понимаю, блокировки по-прежнему региональные (или просто выборочные), потому что у меня в поволжье без проблем загружает все страницы как в домашних, так и в мобильных сетях.
Если использовать средства обхода (goodbyedpi, zapret и т.п.), можно ли добиться того, чтобы ресурсы, которые вы тестируете более-менее стабильно открывались?
Да, могу абсолютно точно подтвердить что так и есть, среди нас нескольких человек сидевших на одной впске одномоментно ситуация из идеальной превратилась в:
МСК - ОК
СПБ - ОК
Новосиб. - Отвал
Владивосток - Отвал
Пара ПГТ в Хабаровском крае - Отвал в обоих
Географическая закономерность явно прослеживается. Провайдеры почти везде разные. Переезд на другого хостера решил проблему везде и в одночасье.
У этого человека получилось обойти блокировку
Да, если добавляю адрес впс в youtubeUnblock, начинает открываться нормально.
Это я сразу пробовал, панель начинает открываться нормально, но sing-box подключается нестабильно: то есть, то нет.
Update. Поторопился, панель не открывается, сайт заглушка стал открываться.
Значит методика блокировки такая же как и для протокола WireGuard, спасает генератор флуда. К примеру на микротик добрые люди написали скрипт, решает вопрос с блокировкой пакетов.
Все у кого данный скрипт не заработал, не прочитали внимательно мануал про активацию на микротике режима device-mode (там нужно нажать кнопку или выключить физически - защита от “дурака”)
/system/device-mode/update traffic-gen=yes
Все пытаюсь понять их логику…
Значит получается, что хоть и массово блокируют безобидные сайты на некоторых хостингах (то есть как-то привязываются к диапазонам IP-адресов), все равно делают это на L7 и если ТСПУ не может понять, что в TCP бегает какой-то TLS (или другой протокол, который используют прокси и который детектируется ТСПУ), то ограничения не происходит. Интересно, какой в этом смысл? Зачем так сложно? Вы же все равно привязались к конкретному диапазону IP. К чему оставлять дырку для возможности работы средств дурения?
Интересно так же, что почти не трогают SSH.
Спасибо! Попробовал, работает 
Хотя до блока моего vless еще не добрались и надеюсь не доберутся.
По ощущениям: немного подтормаживает, вроде как разрывы происходят, но быстро восстанавливается и клиент (NekoBox) периодически сыплет ошибками (для меня они пока совсем непонятны):
ERROR[0252] dns: exchange failed for cdnjs.cloudflare.com. IN A: Post “https://8.8.8.8/dns-query”: context deadline exceeded
ERROR[0359] dns: exchange failed for www.google.com. IN A: Post “https://8.8.8.8/dns-query”: context deadline exceeded
ERROR[0359] dns: exchange failed for signaler-pa.clients6.google.com. IN A: Post “https://8.8.8.8/dns-query”: context deadline exceeded
ERROR[0006] dns: exchange failed for mtalk.google.com. IN A: Post “https://8.8.8.8/dns-query”: context deadline exceeded
ERROR[0007] dns: exchange failed for rr3---sn-gvnuxaxjvh-c35z.googlevideo.com. IN A: Post “https://8.8.8.8/dns-query”: context deadline exceeded
ERROR[0047] [3504028654 18.91s] inbound/tun[tun-in]: download: read tcp 192.168.1.12:63564->77.37.252.142:443: wsarecv: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
На мобильных говорят блокировки нет.
в sing-box (nekoray тоже) уже есть поддержка ssh, ну и прокси цепочек тоже
Я тут давненько рассказывал, что мне на PQ заблочили одну vps, а вторая при этом работала и secondary адрес на первой тачке тоже работал. Помнится, меня тогда обвинили во всех возможных спекуляциях и доказывали что так не бывает. Ржу.
Дырка оставлена с простой целью - анализировать средства дурения. На нас и учатся )
Не трогают то, что уже научились блокировать и могут это сделать сразу по необходимости. Я ни разу не получил проблем с wireguard, это значит что для него кнопка уже готова и ее просто нажмут, как сделали с мобильным инетом. То же касается ovpn и ssh
Yota, Новосибирск. Тариф для модема.
Сайт не грузится, но byedpi помогает.