Какие остались живые протоколы?

Internet censorship all around the world Russia
,
1

Аноны, нужна ваша помощь.

Сегодня утром у меня и моих знакомых перестал работать xray + reality + xhttp. Проблема наблюдается на разных провайдерах домашнего и мобильного интернета в МО и Москве. Провайдеры которых проверяли (домашние): дом ру, мгтс, мослайн, ростелеком. Мобильные провайдеры: мтс, билайн, мегафон, теле2, yota.
Пару дней назад скорость упала до 3-7 мб/сек. Сегодня же даже speedtest не грузит.
Проверяли много сайтов все зависают на получении данных с сервера. Пишет: awaiting data from "домен сайта".

Вот мой конфиг. Приватная информация изменена на REDACTED.

xray-config json
{
  "log": {
    "loglevel": "warning"
  },
  "dns": {
    "hosts": {
      "dns.google": [
        "8.8.8.8",
        "8.8.4.4",
        "2001:4860:4860::8888",
        "2001:4860:4860::8844"
      ],
      "dns.alidns.com": [
        "223.5.5.5",
        "223.6.6.6",
        "2400:3200::1",
        "2400:3200:baba::1"
      ],
      "one.one.one.one": [
        "1.1.1.1",
        "1.0.0.1",
        "2606:4700:4700::1111",
        "2606:4700:4700::1001"
      ],
      "1dot1dot1dot1.cloudflare-dns.com": [
        "1.1.1.1",
        "1.0.0.1",
        "2606:4700:4700::1111",
        "2606:4700:4700::1001"
      ],
      "cloudflare-dns.com": [
        "104.16.249.249",
        "104.16.248.249",
        "2606:4700::6810:f8f9",
        "2606:4700::6810:f9f9"
      ],
      "dns.cloudflare.com": [
        "104.16.132.229",
        "104.16.133.229",
        "2606:4700::6810:84e5",
        "2606:4700::6810:85e5"
      ],
      "dot.pub": [
        "1.12.12.12",
        "120.53.53.53"
      ],
      "doh.pub": [
        "1.12.12.12",
        "120.53.53.53"
      ],
      "dns.quad9.net": [
        "9.9.9.9",
        "149.112.112.112",
        "2620:fe::fe",
        "2620:fe::9"
      ],
      "dns.yandex.net": [
        "77.88.8.8",
        "77.88.8.1",
        "2a02:6b8::feed:0ff",
        "2a02:6b8:0:1::feed:0ff"
      ],
      "dns.sb": [
        "185.222.222.222",
        "2a09::"
      ],
      "dns.umbrella.com": [
        "208.67.220.220",
        "208.67.222.222",
        "2620:119:35::35",
        "2620:119:53::53"
      ],
      "dns.sse.cisco.com": [
        "208.67.220.220",
        "208.67.222.222",
        "2620:119:35::35",
        "2620:119:53::53"
      ],
      "engage.cloudflareclient.com": [
        "162.159.192.1",
        "2606:4700:d0::a29f:c001"
      ]
    },
    "servers": [
      {
        "address": "https://dns.alidns.com/dns-query",
        "domains": [
          "geosite:private"
        ],
        "skipFallback": true
      },
      {
        "address": "223.5.5.5",
        "domains": [
          "full:dns.alidns.com",
          "full:cloudflare-dns.com"
        ],
        "skipFallback": true
      },
      "https://cloudflare-dns.com/dns-query"
    ]
  },
  "inbounds": [
    {
      "tag": "socks",
      "port": 10808,
      "listen": "127.0.0.1",
      "protocol": "mixed",
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ],
        "routeOnly": false
      },
      "settings": {
        "auth": "noauth",
        "udp": true,
        "allowTransparent": false
      }
    },
    {
      "tag": "api",
      "port": 10812,
      "listen": "127.0.0.1",
      "protocol": "dokodemo-door",
      "settings": {
        "address": "127.0.0.1"
      }
    }
  ],
  "outbounds": [
    {
      "tag": "proxy",
      "protocol": "vless",
      "settings": {
        "vnext": [
          {
            "address": "REDACTED",
            "port": 443,
            "users": [
              {
                "id": "REDACTED",
                "email": "REDACTED",
                "security": "auto",
                "encryption": "none"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "xhttp",
        "security": "reality",
        "xhttpSettings": {
          "path": "REDACTED",
          "host": "REDACTED",
          "mode": "auto"
        },
        "realitySettings": {
          "serverName": "REDACTED",
          "fingerprint": "chrome",
          "show": false,
          "publicKey": "REDACTED",
          "shortId": "REDACTED",
          "spiderX": "REDACTED",
          "mldsa65Verify": "REDACTED"
        }
      },
      "mux": {
        "enabled": false,
        "concurrency": -1
      }
    },
    {
      "tag": "direct",
      "protocol": "freedom"
    },
    {
      "tag": "block",
      "protocol": "blackhole"
    }
  ],
  "routing": {
    "domainStrategy": "AsIs",
    "rules": [
      {
        "type": "field",
        "inboundTag": [
          "api"
        ],
        "outboundTag": "api"
      },
      {
        "type": "field",
        "port": "443",
        "network": "udp",
        "outboundTag": "block"
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "ip": [
          "geoip:private"
        ]
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "domain": [
          "geosite:private"
        ]
      },
      {
        "type": "field",
        "port": "0-65535",
        "outboundTag": "proxy"
      }
    ]
  },
  "metrics": {
    "tag": "api"
  },
  "policy": {
    "system": {
      "statsOutboundUplink": true,
      "statsOutboundDownlink": true
    }
  },
  "stats": {}
}

Мне нужна помощь либо в конфигурации сервера либо с выбором нового протокола.
Из протоколов которые попробовала сегодня - hysteria2, amneziaWG, openvpn, wg, и vless с разными транспортами (TPC RAW, mKCP, WS, gRPC, HTTPUpgrade, XHTTP) всё не работает. Так же пробовал комбинации этих протоколов с Reality, TLS и без шифрования. Ничего не работает. Так же пробовал на серверах от разных хостингов 62yun, zomro, ruvds в разных локациях: сша (кремниевая долина), нидерланды, германия (франкфурт). Это исключает блокировку пулов ip от одного провайдера хостинга. Вся настройка xray проводилась через панель 3xui обновлённой до версии 26.3.27. Сервера пингуются и подключаются по ssh без проблем, так же сама панель без проблем открывается через браузер.

Т.е. я перепробовал буквально всё кроме каскадной конфигурации (к vps в России, которая подключается к забугорному серверу). Я уже не знаю что делать. Походу 2 апреля - официальный день наступления чебурнета. Мне нужна ваша помощь, любые предложения принимаются.

Naive proxy - пока лучший вариант
2

Мой vless+reality тоже сегодня на Ростелекоме точно так же сдох.

3

Присоединяюсь, tcp vless reality с маскировкой под сайт стоящий на том же хосте вчера перестал работать у 4 из 20 человек, которые им пользуются, при этом заглушка на 443 порту открывается, а коннект к влесу на 443 порту не идёт, пробовал пока только отпечатки менять, не помогло.

Hysteria2 на 443 порту работает, но не всегда и не везде, аналогично с ws vless на 8080 порту без доп шифрования.

4

Не пробовали проверить блокировку по кол-ву tcp сессий? У меня недавно по такой причине отваливалось, и у знакомого вчера отваливался vless

https://77.223.98.115.nip.io:47443/flood.html

5

решается сменой транспорта на grpc

6

Резко обнаружили и заблокировали туннели?

Я на 99% уверен, что не из-за “просто недостаточно хорошего протокола”.
Я уверен, абсолютно уверен, что из-за шпионских модулей на стороне сервисов, куда вы светите домашний IP и/или входной IP вашего сервера.

В соседней теме вот вот опубликовали новость задним числом, и сразу же боты РКН на неё нажаловались и удалили.

Но я знал это ещё до этого, соединение к моему входной IP сначала душили, а наконец и вовсе заблокировали. Как, написал в соседней теме.

Ещё приводил технические обоснования своим доводам в соседней профильной теме.

Если коротко, во-первых, существует так называемая “Сибирская блокировка”, которая лечится транспортным мультиплексированием gRPC И шпионские модули на стороне сервисов, которые детектят ваш входной IP сервера.

Лечится, разделением входного / выходного IPv4 И транспортом gRPC.

Скоро собираюсь опубликовать пост-инструкцию для того как это сделать.

7

лично у меня hysteria2 режется на уровне хендшейка

8

Я ещё нуб в настройке, но стараюсь и учусь.
Подскажите, верно ли я понял что стоит в outbound ставить какой то другой vps? Подойдет ли для этого российский warp (потому что скрываемый vps тоже в РФ)?

upd. блин, а у меня лимит на IP у хостера. Уже есть 2 IP, первый основной, второй запасной и оба “кошерных”

9

Нет, на сервере у хостера купить дополнительный белый IPv4. По умолчанию сделать тот что был для inbound IP. Он станет использоваться для любых outbound на самом сервере. И входной новый IP сделать в inbound. Если раньше у вас слушало 0.0.0.0, то заменить на тот самый новый IPv4.

То есть в системе в ip a теперь будет два белых IPv4. Дефолтный - выходной. Другой - входной.

10

А как решать, если имеется такая блокировка?

У меня выдает Success: 28 | Failures: 72

11

это не означает что твой впн заблокирован именно сиб блоком, посмотри код страницы и подними её на своей впс, тогда будет понятно

12

Возможно, причина в т.ч. в этом.

13

Вот и до меня добралась блокировка по количеству соединений. Исследовал с помошью сurl-impersonate.
Не знаю писалось это уже или нет, но блокировка чувствительна к отпечатку клиента. Например, если блокировка сработала на Chrome 124, то отпечатки Chrome 123 и Chrome 133 не блокируются. На не модифицированный curl для windows вообще не срабатывает.
Если сработала, то коннекты с этим отпечатком блокируются на 2 мин. Если во время блокировки попробовать установить даже одно соединение туда же с тем же отпечатком, то продлевается на 2 мин.

14

Эта динамическая блокировка не затрагивает один лишь vless, любой сайт, даже в РФ может быть заблокирован на несколько минут, не каждый раз, по неясным мне причинам. Последним проходит Server Hello, дальше пакеты не идут в обе стороны. Что интересно, правильный Client Hello (Chrome, Firefox) снимает блокировку. Однако про Safari, например, забыли.

15

Я попробовал настроить каскадое подключение т.к. у моего хостинга нет опции покупки дополнительного ipv4. С каскадом ситуация ещё хуже. Скорость меньше 0.5 мб/сек. Думаю здесь проблема всё таки в протоколе т.к. по факту каскад то же самое что и ты имел ввиду. Суть в том, что ты подключаешься к серверу на один ip а выход в интернет происходит с другого.

16

Не совсем понимаю как это:

Доказывается этим:

Да, связка “рувпс → иностранный впс” действительно является разделением ingress / egress IP для предостащения корреляции трафика с входным NAT IP (SRC) → DST VPS-in → шпион.

Точно также сработает и заворачивание в WARP, но когда-нибудь да ошибешься, сольешь IP шпиону. Сольешь также и домашний IP, для точечной идентификации SRC в конкретном временном окне.

Да, блокировка либо по протоколу, либо шпионы. Но пресловутая “сибирская блокировка” блокирует трафик лишь временно (от нескольких минут). Она не является active probing. А вот active probing заточен (например) периодически в рандомные моменты автоматически (хоть ночью) душить соединения и наконец заблокировать полностью, когда вероятностная модель того что используется туннель превысит порог. Подробнее описал здесь.

Что-то не так с хостингом, можно пересоздать VPS, замерить результаты и проконсультироваться с техподдержкой.

17

Ну как там продвигается?

18

Мои друзья из разных регионов России по прежнему без проблем ходят на мой vpn сервер, хостящийся у давно заблокированного европейского хостера, по обычному Wireguard, но через промежуточный сервер в России. На проводном домашнем интернете пока всё работает (про мобильные БС понятно что отдельный разговор).

19

Буквально час назад померли все VLESS over TCP. На 3х серверах в разных локациях одновременно.

XHTTP на тех же серверах продолжает работать… пока что.

20

через промежуточный сервер в России

Не подскажешь, какой?