Подскажите, пожалуйста, верные настройки для Nekoray, чтобы не было утечек DNS, адекватно работали и TCP и UDP приложения
Лично я настроил таким образом (за правильность на 100% не ручаюсь, настройки выставлял сам, ориентируясь на разные источники):
1. Настройка роутинга для работы вместе с Zapret (проксируются только выбраные сайты для обхода регион блока)
01_ALL-to-Direct_Specified-to-Proxy.txt (124 байта)
2. Настройка роутинга для работы только NekoBox (пропуск всего РУ трафика и проксирование всего зарубежного КРОМЕ исключений)
02_Russia-to-Direct_Other-to-Proxy.txt (358 байтов)
3. Ещё крайне рекоммендую настроить роутинг всего РУ трафика на сервере в WARP (на всякий случай, вдруг подключитесь с проксированием всего трафика в клиенте)
Маршруты_для_сервера.txt (174 байта)
Потом в клиенте нажимаешь режим TUN, выбираешь сервер и нажимаешь ENTER.
-
Для проверки первого варианта роутинга пробуешь перейти на эту статью, если не высвечивается ошибка и на 2ip.ru / 2ip.io россиский айпишник, то всё гуд.
-
Для проверки второго варианта роутинга заходишь на 2ip.ru и 2ip.io, на первом сайте должен высветиться российский IP, на втором соответственно той страны, в которой находится сам сервер.
PROFIT!!!
От себя добавлю, что у меня сбоит часто в такой последовательности почему-то.
Сначала подключаюсь, а только потом галку на TUN кидаю. Так всё ок)
Да, бывает. Ещё иногда по необъяснимым причинам выскакивает ошибка в духе “Слижком долгое подключение к серверу, хотите перезапустить программу?”, помогает удалить сетевой интерфейс singtun с драйверами в диспетчере устройств и включить / выключить сетевую карту самого ПК
Вот именно от этой проблемы мне и помогает обратная последовательность)
С такими настройками при заходе на условный browserleaks он как бешеный начинает выдавать мой настоящий DNS вперемешку с DNS хоста. Пробовал в настройках TUN ставить Fake DNS и Strict routing, но тогда нереально замедляется ютуб, хотя в остальных требовательных к скорости процессах все нормально, а русский днс перестает палиться
Тормозит, кстати, совсем не настолько ужасно, насколько без прокси в принципе, обычное РКНовское замедление замедляет совсем до невозможности.
Хм, тогда можно попробовать включить галочку на “Вкл. DNS-маршрутизацию”, а в DNS для “прямых” запросов прописать https://8.8.8.8/dns-query (Google не имеет DNS серверов на территории России) либо local либо https://77.88.8.8/dns-query (Яндекс DNS).
Ещё бы посоветовал поставить расширение Disable WebRTC, это особенно актуально если вы используете Proxy режим в NekoBox
Прошу прощения, а где найти настройки, которые на первой картинке "“Общие настройки для клиента Nekobox”? У меня такого нет))
Дабл клик по VLESS конфигу
ох…) а я всю дорогу думаю, что даблклик его стартует и поэтому всегда жму пкм и старт)) Вот так вот, век живи - век учись. Спасибо за науку)
Всем привет!
Настроил nekoray v4.0.1 в TUN с распределением зон, все настройки делал в GUI.
Визуально все работает, всякие 2ip показывают ip как нужно (ру = ру, не ру = не ру), утечек нет.
Но не могу понять несколько вещей:
Ставлю для проверки domain:com в direct (чтобы не юзал прокси)
- Если смотреть Wireshark, то при обращении к .com ресурсу, например, запустить обновление в винде, то пойдут два запроса: первый я ожидаю - запрос не должен попасть через тунель (выделил зеленым); второй, идет в тунель (выделил красным). Может так работает сеть и это нормально, но хотел спросить мнение у других , так должно быть ? Не будет ли это подозрительным на стороне провайдера?
- Если запустить nslookup mail.ru или nslookup time.net , то вывод в командной строке покажет что запрос пошел к днс тунеля 172.19.0.2. В Wireshark вижу все те же два запроса, если используется .ru адрес (почему два?) и один запрос, если используется .net (что мне и нужно). Провайдер будет видеть два запроса так же к ru зоне ?
- Как отлючить логирование ?
Я бы оставил полный TUN, но кажется это будет подозрительно на стороне провайдера. На сервере работает vless с маскировакой под сайт.
Да. В виндовсе если указано несколько адресов DNS резолверов на разных сетевых адаптерах, то резолвинг происходит паралельно. Для избегания этого есть разные механизмы.
nslookup работает по другому, в отличие от функции gethostbyname
Спасибо за ответ. А какой механизм можно использовать ? Погуглил, нашел только что то про сменить приоритет метрик у интерфейсов, но кажется это не то.
И не совсем понял, разолвинг в идеале лучше исправлять, чтобы провайдер не видел бардака в моих запросах или можно забить? У меня цель, максимально скрыть использование впн.
В некорей незнаю, не пользуюсь. В разных впн клиентах есть добавление отдельного правила маршрутизации настроенного текущего адреса резолвера через туннель, или, например, добавление запретительного правила в брандмауэр. Я пользуюсь локальным кэширующим резолвером для свой домашней сети (TDNS).
Провайдер может применять DNS спуфинг для блокировок (вроде бы по данным OONI probe применяется у 0.3% абонентов), а виндовс резолвер разослав паралельные запросы возмёт тот, который пришёл раньше всего (не проверял, но это самая простая реализация, в TDNS, например, происходит агрегация).
Так же возможен отказ в обслуживании некоторых сервисов которые пытаются определить ваш регион (сам не знаю таких, которые применяют DNS leak test).
От статистического анализа это сложно скрыть, а от текущих возможностей ТСПУ в РФ вроде бы пока хватает подстановки мимикрирующих заголовочных байтов рукопожатия (мне по крайней мере точно).
@xX_RUP3R7_P4UL50N_Xx , насчёт ваших скриншотов для варианта 2 (“пропуск всего РУ трафика и проксирование всего зарубежного”) – вы уверены, что зарубежные сайты проксируются? На скриншоте у вас Outbound по умолчанию указан bypass.
При включенном режиме TUN + whitelist надо ставить bypass (чтобы проксировались только приложения из вайтлиста, а остальные шли напрямую),
В режиме TUN + blacklist надо ставить proxy (проксируется всё, кроме выбранных приложений),
В режиме Системного Прокси, надо ставить proxy (вроде бы именно proxy, точно не помню, пользуюсь преимущественно TUN режимом)