Блокировка VLESS-xtls-rprx-vision-Reality в России? (Нет, частичная блокировка TLS)

Бритва оккама. Лучшее обяснение чаще самое простое. Ваше через чур уж сложное.

Не надо пытаться понять их логику с позиции рациональности. Она отличается от логики большинства тут.
Плюс надо понимать что методы блокировки разнятся от провайдера к провайдеру.

Поинтересовался я что такое этот Л7. И в документации на первой странице написано вот это.

The L7 matcher is very resource-intensive. Use this feature only for very specific traffic. It is not recommended to use the L7 matcher for generic traffic, such as for blocking web pages. This will almost never work correctly and your device will exhaust its resources, trying to catch all the traffic. Use other features to block webpages by URL.

Да, но ТСПУ построены не на Микротиках.

Проверил на pq и hetzner везде стоит Vless + Reality
С регионов не работает, в МСК все ок

Оказывается блочатся и соединения SOCKS5 и HTTP с TLS 1.2 внутри. Любой другой непохожий на TLS трафик ходит хорошо.

Почитав немного про другие варианты использования xray, но без мимикрии под TLS, остановился на mKCP.
Конфиг довольно простой Xray-examples/VLESS-mKCPSeed/config_server.json at ecefc32120d6e1bd778c6becb8f84e06b9180ac9 · XTLS/Xray-examples · GitHub
Из интересных фишек, можно использовать разные заголовки, и прикидываться например трафиком торрента или WeChat. mKCP | Project X
Но, к сожалению с заголовками у меня ничего не заработало. В одной статье на Хабре нашел упоминание об этом, что в последних версиях что-то сломали.
Однако, без заголовков все работает, и трафик выглядит как непонятный udp поток. На pq.hosting это работает, по крайней мере пока.

1 Like

mKCP был сломан в том плане, что по чуть-чуть он работал, но стоило через прокси прогнать за очень короткое время большой трафик (например запустить спидтест), так xray-сервер ложился и переставал отвечать на запросы.

Так что я советую для тех же целей использовать hysteria2 с включеной обфускацией, настраивается оно чуть сложнее, но работает очень стабильно.

Hysteria2 отлично работает на проводном у меня, но блочится на Т2 (ростелеком). Скорее всего видят, что происходит инициализация QUIC, который заблочили.

Так что вариант с чем-то другим, не похожим на TLS - надо проверить. Я про mKCP

hy2 obfs у меня в блоке на моб мегафоне, без obfs работает

Я говорил не просто про hysteria2, а про hysteria2 с obfs. В этом случае она не похожа на QUIC и со стороны выглядит абсолютно так же как и mKCP без заголовков. Если работает mKCP, то будет работать и hy2+obfs.

У некоторых же провайдеров, как сказал выше 0ka, наоборот, «ни на что не похожее по udp» режется (и следовательно не работает ни mKCP, ни обфусцированная хистериа, зато работает QUIC)

“Альтернатива хистерии”, потестите кому интересно

Есть в сингбоксе, обфускации нет (чистый quic), скорость на моб инете очень низкая (1-2мбит), скорее всего особенность протокола (congestion control хуже cubic, очень сильно влияет jitter)

К сожалению на Т2 не работает ни с OBFS, ни без него. Но с obfs работает на проводном. Как я понял - обфускация не прячет сигнатуры, а только содержимое пакетов

Наоборот, там обфускация как раз шифрует пакет целиком вместе с заголовками, именно чтобы спрятать сигнатуры.

Тогда странно, что Hysteria2 блочится, а обычный iperf3 - пакеты по UDP гоняет и туда и сюда

Если вы используете hysteria2 с обфускацией это тоже самое что использовать шэдоусокс

Иными словами не переживет белые списки протоколовчто некоторые из вас и наблюдают.

mkcp я не проверял, не все «ни на что не похожее по udp» режется, та же амнезияВГ работает если добавить мелкие junk packets, с крупными не работает уже очень давно и возможно hy2+obfs не работает по этой же причине т.к. там в начале крупные пакеты

Iperf3 довольно известный протокол, диссекторы для его пакетов есть для wireshark и соответственно он весьма вероятно хорошо узнаваем для софта DPI и не является «ни на что не похожим»

У кого проблемы наблюдались, не был ли включен данный параметр:

Проверил ещё вариант с vless-http, тоже работает. Но работает только на проводном Ростелекоме. На мобильном билайне ни mKCP , ни vless-http не работают(