И так понятно, что блокировка. Что именно то блокируют и по какому паттерну, вот в чём дело
Помогла простая смена SNI.
Ради любопытства, что было и что поставили? Что-то общеизвестное? Или селфстил?
Проблемы начались ~ с 28 апреля в 11:00. По https сервер работает, успешно перекидывает на SNI, но соединение не устанавливается (хостинг aeza)
На одном из форумов нашел возможное объяснение, как РКН смогли это реализовать:
https://t.me/protocol_vpn/1/308150
Если в случае установки TLS 1.3 соединения третья сторона подменит Session ID (да даже несколько случайных бит в случайных байтах поменяет), то процесс установки соединения не пострадает. А вот клиент REALITY в этом случае аутентификацию на сервере не пройдёт и будет перенаправлен на сервер назначения. В результате, подставной сайт откроется, а REALITY не установится
Вот тоже про это подумал, так как буквально день назад читал про это на Хабре. Неужели так быстро отреагировали и проверили. И самое плохое, неужели работает?
Есть ссылочка?
А про потенциальную уязвимость в комментах там
Был малоизвестный домен, стал очень известный. Взамен в два раза дольше хендшейки.
Про уязвимость уже разобрались, оказалось ложной
Это радует. Тогда предположу, что блокировки по SNI или паре SNI/IP. Косвенно это подтверждается, что смена СНИ помогла человеку выше
Два проводных оператора в Челябинске, один из них федеральный, но не РТК + мобильный МТС. Vless с REALITY работает до нескольких VPS в европе среди которых: Чехия, Нидерланды, Швеция, Германия. Настроено на чужие SNI сайтов у тех же хостеров + прописаны их обратные зоны. На портах 443 у VPS слушает haproxy, трафик в xray-core отправляет только по чужому SNI, остальным отдаёт 403
Смена SNI не помогает, на pq.hosting даже после заказа новой VPS в другой стране и с другим IP после чистой установки не открывается даже вебка. проборосив порт с одной ВПС на другую вебка сразу начинает работать. На аезе вебка работает но vless нет, в приложении пишет подключено, а в панели офлайн и ничего не работает. Взял у бота в телеге тестовую подписку там все 5 серверов работают на этом же провайдере с этого же устройства и с этим же клиентом. Даже если это блокировки то скорее всего пока это как-то выборочно либо окатывают либо еще что-то иначе у меня не работало бы нигде. Либо они тупо замедляют адреса хостеров некоторых.
Сегодня утром отвалилось подключение, тестировал на трех провайдерах в СФО, два из них мобильные. Доступ к серверу по ssh был, nc -vz в 443 порт показывал успешное соединение, и даже панель показывала активный коннект, но ничего не открывалось в браузере.
Аналогично помогло сменить SNI
ну што там по влесу? я пока другой хостер сделал пока работает ну и поменял там ето заодно на xhttp если ето на чтот то влияет
Уточню для полноты картины: кроме SNI, меняли пару ключей x25519.
Подскажите хостера если не секрет.
Я, к сожалению, не настолько хорошо в этом разбираюсь, но насколько понимаю, эти ключи не должны были повлиять. Влиять могут либо сигнатуры, либо открытые вещи. В то, что нашлась сигнатура, которая с большой долей вероятности говорит, что это VLESS - я пока не верю (хотя слышал, что статистический анализ может предполагать с 40% верояnностью наличие vless, но это какие мощности должны быть?).
А вот открытые данные - это непаханное поле. Например, тот же яша, вк, гугл, госулуги и тд. в SNI. Их подсети известны и любое несоответствие можно смело банить. Но это не отвечает на вопрос, почему не работает у некоторых селфстил. Тут я бы предположил дополнительный бан некоторых подсетей хостеров.
В любом случае, панику я бы сейчас не наводил, считаю, это не бан vless, а бан некорректно настроенных серверов (и то не факт). Посмотрим, что дальше будет
Смена на xhttp единственное пока что помогло. Вопрос на долго ли.
Тоже держал парочку серверов на PQ.Hosting, до этого юзал другой проверенный хостинг, у знакомых на нём осталась VPS, решил протестить, на нём всё работает, панелька открывается SOCKS + HTTP, всё окей. Возможно проблема хостинг площадок, возможно какой то бан от провайдеров, не просто так, что у человека с 1 поста и у меня в одно время отвалился PQ
Я тоже не настолько хорошо в этом разбираюсь, но один из двух этих ключей публичный.