У меня тоже мой сервак все чаще и чаще недоступен, иногда доступ появляется, потом снова пропадает. Вчера дважды становился недоступен, сегодня уже раз 10 на дню.
Пишу, собираю всю информацию, в том числе контекст, улики, и подразумевающуюся проблему. С прикладными инструкциями и рекомендациями.
Не хочу, чтобы заявления были бездоказательными.
О, буквально мой случай один в один. То как я починил, - разделением входного / выходного IP, о чём я и пишу статью (в том числе и правильной маршрутизации).
Причем я ещё долго нативный TCP использовал после разделения, то есть мультиплексирование не использовал, и всё равно всё отлично было.
Да, как вариант для разделения можно купить +1 IPv4 адрес, который находится на той же VPS на суб-интерфейсе eth0:0, соответственно все решается правилами iptables для форвардинга и маскарадинга. А если есть публичный IPv6, то вообще можно клепать IPv6 адреса /64 пока не заблочат всю твою /64 подсеть
Лучше и входной / выходной IPv6 тоже уж разделить.
Императивная кустарщина какая-то, лучше использовать декларативный sing-box.
Да, даже можно лучше сделать, между входным IPv6 и выходными IPv6 в случае TCP поставить локальный балансер на основе MP-TCP (multipath TCP https://www.mptcp.dev/ ), в принципе можно и несколько входных сделать, но это усложнит задачу. Вообщем тут надо подумать как с IPv6 использовать MP-TCP
слушай можно ведь через dnat прокидывать трафик через прокладку сервер рф за бугор (так например работают warp-реле если самому разворачивать), но проблема в том что при таком подходе любой трафик будет перенаправляться на заграничный сервак, что уже может скомпроментировать рф сервер как прокси-сервер, например если начнет провайдер активное зондирование.
Вопрос: как посоветуешь поумнее организовать цепочку прокси или каскад как его в рф называют? интересуют инстансы на базе xray, sing-box and amnezia core. буду благодарен за толковые идеи.
Можно в теории прописать конечно на порт ограничение по входным айпи, чтобы боты ркн отлетали в таймаут, но возможно есть какое-то более лучшее решение?
Кол-во в success показывает, какой лимит стоит на тспу для tcp-сессий. Каждое новое tcp-подключение через vless создает одну tcp сессию между вами и сервером для vpn. Некоторые сайты могут создавать несколько tcp сессий. Блок идет не на ваш vpn-сервер, а на любые сервисы. Вариантов несколько: 1 - настроить httpx с mux, который позволяет пускать несколько tcp сессий в одну, но чем больше пускать в одну сессию, тем больше страдает скорость, хотя это не так критично. 2 - подождать, ркн любит включить на несколько дней, после чего обратно откатить - и видимо так по всей РФ, 3 - попытытаться не превышать лимит, пустить через впн только несколько конкретных ресурсов, чтобы tcp сессий не превышало 28
del
никто здесь не публиковал
13 марта как буд-то уже 2025 годом ощущается, столько нововведений, но пока что работает даже сокс5 и даже заграницу, но не для телеграма с 27 марта
Уже по превьюшке вижу что это нейроговно, а по памяти вспоминаю что статья выдумана на 100%. Читайте комменты.
Я писал автору и его ответ на чистейшую критику “так горит жопа :)” (кста его письмо в спам ушло, я сразу не заметил даже)
После такой хуйни его ник у меня по дефолту в ЧС
спасибо. Ну вроде как написано, что автор уже забанен. Картинки точно ии’шные
Тоже скинули примерно в марте, вспомнилось из-за темы с мт-прото фейк tlss, но потом подумал, что ему примерно 8 лет назад возник и никак не обновлялся, а пора было уже очень давно
Это он сам засунул текст про “заблокирован” в профиль, прикол такой, к сожалению он не забанен (было бы написано read-only или же вообще 404)
У кого vless плохо работает пару дней. На nekoray жалобы, там старое ядро 2023 года и он не обновляется с тех пор. Старые ядра косвенно они могут детектировать и они сейчас плохо и медленно работают. Ставьте новые v2rayn/ng на телефоны и компьютеры. А если ими уже пользуетесь, то обновляйте ядра. На гите отдельно загружайте новые ядра xray/sing-box и в приложении делайте правильные настройки маршрутизации, даже для win7 есть отдельные свежие ядра, у кого она стоит. Обратите внимание на dns - измените его с китайского на яндекс для внешнего использования, а для внутреннего оставляйте те, которые предоставляет сервер. На телефоне отметьте галочками приложения кому надо проксировать, кому напрямую. На сервере тоже обновите ядро и задайте жестко отпечаток chrome или firefox как лучшее решение, можно ставить random - сработка 1 раз из 5, но randomized не ставьте - его видно сразу. У кого sni yahoo - это плохо, лучше делать перекрестные серверы, (2 сервера + 2 доменных имени - первый ссылается на второй, а второй на первый), потом через stream nginx делаете проксирование, можно еще дополнительно сделать xhttp и grpc на каждом, но будет медленнее, но как альтернатива в тяжелых случаях - пойдет, должны быть сайты - заглушки или просто доступ по паролю, таким образом не будете зависеть от замедлений конкретных сервисов.
В моём случае древний nekoray начал вчера палиться по handshake. chrome, safari, ff - дроп. ios - пропускает.
Как проследить цепочку SRC → DST, если входной и выходной IP будут отличаться и РКН неизвестна реальная связка входного → выходного IP?
Он будет видеть запросы к входному IP сервера, который притворяется Reality.
Если хостер скомпромитирован, вот только он будет видеть запросы куда-то на Warp сервера. Куда конкретно - зашифровано, наблюдает только Cloudflare.
Здесь в схеме нужны как минимум две точки наблюдения из трёх:
- Провайдер
- Хостер
- Cloudflare
И это уже точечная спецоперация.
Me → VLESS → Warp → неизвестное
При этом входной и выходной сервера различаются.
Почему так? Если скомпромитирован только Cloudflare, он во-первых увидит только выходной IP сервера. Как узнать входной? Нужна координация второй точки наблюдения, либо хостер, либо провайдер.
Полную схему предлагаю такую:
Самый живой это хттп прокси, работает и работает)
Как вариант для каскадов можно использовать IPv6 (естественно это должны поддерживать оба хостинга)
Кажется с xray и ssh добрались до портов ниже 1000. 4 разных порта (443, 980, 970 и 960) выделил под несколько видов - как появляется блокировка на домашнем интернете, ничего теперь не работает, кроме AWG2 на 990 порту. Любопытно и обидно…
так, я нашёл один прикольный протокол и уже записываю видос, в течении пары дней постараюсь всё доделать и закину сюда ссылку на видео с настройкой.
Так, всем добрый вечер, или что у вас там. Видос готов. Вот ссылка на ютуб: https://youtu.be/vnTgnL1tskw
Если кому-то удобнее сделал так же текстовый гайд на github gist: Neive Proxy Guide · GitHub