Как правильно настроить nekoray?

Подскажите, пожалуйста, верные настройки для Nekoray, чтобы не было утечек DNS, адекватно работали и TCP и UDP приложения

Лично я настроил таким образом (за правильность на 100% не ручаюсь, настройки выставлял сам, ориентируясь на разные источники):

0. Общие настройки для клиента NekoBox



1. Настройка роутинга для работы вместе с Zapret (проксируются только выбраные сайты для обхода регион блока)


01_ALL-to-Direct_Specified-to-Proxy.txt (124 байта)

2. Настройка роутинга для работы только NekoBox (пропуск всего РУ трафика и проксирование всего зарубежного КРОМЕ исключений)


02_Russia-to-Direct_Other-to-Proxy.txt (358 байтов)

3. Ещё крайне рекоммендую настроить роутинг всего РУ трафика на сервере в WARP (на всякий случай, вдруг подключитесь с проксированием всего трафика в клиенте)

Маршруты_для_сервера.txt (174 байта)

Потом в клиенте нажимаешь режим TUN, выбираешь сервер и нажимаешь ENTER.

  • Для проверки первого варианта роутинга пробуешь перейти на эту статью, если не высвечивается ошибка и на 2ip.ru / 2ip.io россиский айпишник, то всё гуд.

  • Для проверки второго варианта роутинга заходишь на 2ip.ru и 2ip.io, на первом сайте должен высветиться российский IP, на втором соответственно той страны, в которой находится сам сервер.

PROFIT!!!

От себя добавлю, что у меня сбоит часто в такой последовательности почему-то.
Сначала подключаюсь, а только потом галку на TUN кидаю. Так всё ок)

Да, бывает. Ещё иногда по необъяснимым причинам выскакивает ошибка в духе “Слижком долгое подключение к серверу, хотите перезапустить программу?”, помогает удалить сетевой интерфейс singtun с драйверами в диспетчере устройств и включить / выключить сетевую карту самого ПК

Вот именно от этой проблемы мне и помогает обратная последовательность)

С такими настройками при заходе на условный browserleaks он как бешеный начинает выдавать мой настоящий DNS вперемешку с DNS хоста. Пробовал в настройках TUN ставить Fake DNS и Strict routing, но тогда нереально замедляется ютуб, хотя в остальных требовательных к скорости процессах все нормально, а русский днс перестает палиться

Тормозит, кстати, совсем не настолько ужасно, насколько без прокси в принципе, обычное РКНовское замедление замедляет совсем до невозможности.

Хм, тогда можно попробовать включить галочку на “Вкл. DNS-маршрутизацию”, а в DNS для “прямых” запросов прописать https://8.8.8.8/dns-query (Google не имеет DNS серверов на территории России) либо local либо https://77.88.8.8/dns-query (Яндекс DNS).

Ещё бы посоветовал поставить расширение Disable WebRTC, это особенно актуально если вы используете Proxy режим в NekoBox

Прошу прощения, а где найти настройки, которые на первой картинке "“Общие настройки для клиента Nekobox”? У меня такого нет))

Дабл клик по VLESS конфигу

ох…) а я всю дорогу думаю, что даблклик его стартует и поэтому всегда жму пкм и старт)) Вот так вот, век живи - век учись. Спасибо за науку)

Всем привет!
Настроил nekoray v4.0.1 в TUN с распределением зон, все настройки делал в GUI.
Визуально все работает, всякие 2ip показывают ip как нужно (ру = ру, не ру = не ру), утечек нет.
Но не могу понять несколько вещей:
Ставлю для проверки domain:com в direct (чтобы не юзал прокси)

  1. Если смотреть Wireshark, то при обращении к .com ресурсу, например, запустить обновление в винде, то пойдут два запроса: первый я ожидаю - запрос не должен попасть через тунель (выделил зеленым); второй, идет в тунель (выделил красным). Может так работает сеть и это нормально, но хотел спросить мнение у других , так должно быть ? Не будет ли это подозрительным на стороне провайдера?
  2. Если запустить nslookup mail.ru или nslookup time.net , то вывод в командной строке покажет что запрос пошел к днс тунеля 172.19.0.2. В Wireshark вижу все те же два запроса, если используется .ru адрес (почему два?) и один запрос, если используется .net (что мне и нужно). Провайдер будет видеть два запроса так же к ru зоне ?
  3. Как отлючить логирование ?

Я бы оставил полный TUN, но кажется это будет подозрительно на стороне провайдера. На сервере работает vless с маскировакой под сайт.

Да. В виндовсе если указано несколько адресов DNS резолверов на разных сетевых адаптерах, то резолвинг происходит паралельно. Для избегания этого есть разные механизмы.

nslookup работает по другому, в отличие от функции gethostbyname

Спасибо за ответ. А какой механизм можно использовать ? Погуглил, нашел только что то про сменить приоритет метрик у интерфейсов, но кажется это не то.
И не совсем понял, разолвинг в идеале лучше исправлять, чтобы провайдер не видел бардака в моих запросах или можно забить? У меня цель, максимально скрыть использование впн.

В некорей незнаю, не пользуюсь. В разных впн клиентах есть добавление отдельного правила маршрутизации настроенного текущего адреса резолвера через туннель, или, например, добавление запретительного правила в брандмауэр. Я пользуюсь локальным кэширующим резолвером для свой домашней сети (TDNS).

Провайдер может применять DNS спуфинг для блокировок (вроде бы по данным OONI probe применяется у 0.3% абонентов), а виндовс резолвер разослав паралельные запросы возмёт тот, который пришёл раньше всего (не проверял, но это самая простая реализация, в TDNS, например, происходит агрегация).
Так же возможен отказ в обслуживании некоторых сервисов которые пытаются определить ваш регион (сам не знаю таких, которые применяют DNS leak test).

От статистического анализа это сложно скрыть, а от текущих возможностей ТСПУ в РФ вроде бы пока хватает подстановки мимикрирующих заголовочных байтов рукопожатия (мне по крайней мере точно).

@xX_RUP3R7_P4UL50N_Xx , насчёт ваших скриншотов для варианта 2 (“пропуск всего РУ трафика и проксирование всего зарубежного”) – вы уверены, что зарубежные сайты проксируются? На скриншоте у вас Outbound по умолчанию указан bypass.

При включенном режиме TUN + whitelist надо ставить bypass (чтобы проксировались только приложения из вайтлиста, а остальные шли напрямую),

В режиме TUN + blacklist надо ставить proxy (проксируется всё, кроме выбранных приложений),

В режиме Системного Прокси, надо ставить proxy (вроде бы именно proxy, точно не помню, пользуюсь преимущественно TUN режимом)