Сегодня утром обнаружил, что нет доступа до 443 порта моего VPS. При этом остальные порты не тронуты. Перезагрузил домашний роутер - все заработало. Видимо сменился внешний IP и сломалась заблокированная связка src_ip - dst_ip. Через мобильный интернет все еще не работает (если попробовать другого провайдера, через которого никогда не гонялся трафик до VPS - тоже все ок)
Видимо каким-то образом VPS скомпремтировал себя, кто может накидать мыслей на тему? Как могли спалить? Причем это уже второй VPS провайдер, на котором на мобильном инете ловлю бан именно с моего IP. В обоих случаях маскировка под свой сайт. При этом есть третий vps, который маскируется под левый сайт - там все прекрасно уже несколько лет.
Контекст:
Локация VPS: Финляндия
Провайдер VPS: hostvds
Откуда идет трафик: Саратовская область
Провайдер проводного интернета: МТС
Провайдер мобильного интернета: Beeline
На vps
развернут xray(v25.1.30) с vless xtls-rprx-vision reality
маскировка под собственный сайт развернутый с помощью caddy(серты из коробки)
все порты закрыты, кроме 443, 80 и ssh порта в 16к+ диапазоне
что же там подозревать именно в xtls reality на свой домен? независимо от них возможно поможет мукс, но ТС не даёт мне свой влесс и я сам проверить не могу что же там такое
Пробовал, трафик не ходит по 443 порту в принципе.
Каким образом вообще происходит детектирование легитимного https от xray, у кого-нибудь есть понимание? Я знаю про всякие xhttp с его фокусами, но это не ответ в чем проблема с обычным vless + xtls-r-v. Опять кол-во соединений? Объем трафика? Это все было бы круто, если бы я 2 года не сидел на серваке с маскировкой под sni yahoo и всем было по барабану какой трафик и сколько соединений. А сейчас с маскировкой под собственный сайт через пару дней словил бан https. Ожидал, что это будет наоборот надежней ес честно) Особенно смешно, что на соседнем серваке крутится старый добрый ss2, на который тоже всем по барабану. Нонсенс
Прямого детекта нету, только косвенные и то не всегда они правдивы. Как писал и кол во соединений и объем трафика и по заголовку. (заголовок vless чуть больше чем стандартный) и tls-in-tls(говорят как-то китайцы научились), и даже тайминги от ответов серверов. Не говоря уже об обратном трафике (чудом в xtls-r-v исходящий из РФ пакет совпадает с пакетом приходящим)
Собственный сайт кстати может в редких случаях вызывать больше подозрений(ведь на нем можно поднять самый обычный прокси и сидеть через openvpn, например).
Хотя я уже больше года под своим сайтом, с сертификатами выданные гуглом и пока все ок, единственное что было, так это резали скорость до 1мб/c на поток(любой порт), но это когда я наглел и в открытую пользовался wg или openvpn
Справедливо, это классика. Какие-то совсем очевидные, из перечисленных, косяки я старался закрыть. Но что-то все равно не так видимо. Пока пытаюсь опять тригернуть блок на проводном инете
В общем я снес сервак и создал новый, все настроил точно так же + обновил xray до latest. Пару дней было ок, потом прямо во время использования снова отвалился порт 443. Я специально ничего не делал, не заходил по ssh и прочее. В течении 10 минут снова все заработало. Причем синхронно отвалилось и на мобильном инете и на домашнем - хотя я почти не сидел с мобильного через эту впску.
Мб это сам хостер что-то мутит, пока жду ответ по тикету.
P.S. накидайте по секрету нормальных хостеров предоставляющих впски в Финляндии, от hostvds максимально отвратное впечатление: скорости скачут, стабильности нет, то летает то тупит, крч по этой же цене у меня есть другие vps и там все в разы приятнее.