пробуйте эти правила
{
"domain_keyword": [
"google",
"yandex",
"yastatic",
"dzen",
"yahoo",
"microsoft"
],
"outbound": "direct"
},
{
"domain_suffix": [
".ru",
".su",
".by",
".рф",
"vk.com",
"youtube.com",
"gstatic.com"
],
"outbound": "direct"
}
и имейте ввиду что geoip может содержать много ошибок, хотя может быть вы с ними никогда и не столкнётесь.
ru, su домены тоже могут быть заблокированы ркном.
Ваши правила выглядят пологичнее, спасибо добавил себе.
Уже завёл отдельный “белый” список для таких 
Есть вопрос по маршрутизации и правилам. Не понимаю, как должно работать.
На сервере по рекомендациям заблокирован выход на ru. По идее, если на клиенте в tun-режиме прописано правило:
{ "domain_suffix": [ ".ru" ], "outbound": "direct" },
то я должен нормально попадать на тот же яндекс, но не могу.
Как должно быть и что я упустил?
попробуйте мой конфиг:
{
"log": {
"level": "warning",
"timestamp": true
},
"dns": {
"servers": [
{
"tag": "local-dns",
"address": "local",
"detour": "direct-out"
},
{
"tag": "yandex-doh",
"address": "https://77.88.8.8",
"detour": "direct-out"
},
{
"tag": "cloudflare-doh",
"address": "https://1.1.1.1/dns-query",
"detour": "proxy"
},
{
"tag": "adguard-doh",
"address": "https://dns.adguard-dns.com/dns-query",
"address_resolver": "cloudflare-doh",
"detour": "proxy"
}
],
"rules": [
{
"geoip": "ru",
"server": "yandex-doh",
"outbound": "direct-out"
},
{
"geosite": "category-ru",
"server": "yandex-doh",
"outbound": "direct-out"
},
{
"domain_suffix": [".ru", ".su", ".xn--p1ai"],
"server": "yandex-doh",
"outbound": "direct-out"
}
],
"final": "cloudflare-doh",
"strategy": "prefer_ipv4"
},
"inbounds": [
{
"type": "direct",
"tag": "direct-in"
},
{
"type": "tun",
"tag": "tun-in",
"interface_name": "vpn-tun",
"auto_route": true,
"strict_route": true,
"inet4_address": "172.18.0.1/30",
"stack": "system",
"sniff": true,
"sniff_timeout": "300ms",
"domain_strategy": "prefer_ipv4"
}
],
"outbounds": [
{
"type": "vless",
"tag": "proxy",
"server": "XXXXXXXXXXXXXXXXXXX",
"server_port": 123456,
"uuid": "XXXXXXXXXXXXXXXXXXX",
"flow": "xtls-rprx-vision",
"tls": {
"enabled": true,
"server_name": "XXXXXXXXXXXXXXXXXXX",
"utls": {
"enabled": true,
"fingerprint": "firefox"
},
"reality": {
"enabled": true,
"public_key": "XXXXXXXXXXXXXXXXXXX",
"short_id": "XXXXXXXXXXXXXXXXXXX"
}
},
"packet_encoding": ""
},
{
"type": "direct",
"tag": "direct-out"
},
{
"type": "block",
"tag": "block-out"
},
{
"type": "dns",
"tag": "dns-out"
}
],
"route": {
"geoip": {
"download_detour": "proxy"
},
"geosite": {
"download_detour": "proxy"
},
"rules": [
{
"protocol": "dns",
"outbound": "dns-out"
},
{
"geoip": "private",
"outbound": "direct-out"
},
{
"geosite": "category-ru",
"outbound": "direct-out"
},
{
"geoip": "ru",
"outbound": "direct-out"
},
{
"domain_suffix": [".ru", ".su", ".xn--p1ai"],
"outbound": "direct-out"
},
{
"geosite": "category-ads-all",
"outbound": "block-out"
},
{
"protocol": "bittorrent",
"outbound": "direct-out"
},
{
"process_name": [
"GoogleDriveFS.exe",
"YandexDisk2.exe",
"qbittorrent.exe",
"steam.exe",
"steamservice.exe",
"steamwebhelper.exe",
"Code.exe",
"wslservice.exe",
"Adguard.exe",
"AdguardSvc.exe",
"Docker Desktop.exe",
"com.docker.build.exe",
"com.docker.backend.exe",
"com.docker.build.exe",
"com.docker.dev-envs.exe"
],
"outbound": "direct-out"
}
],
"final": "proxy",
"auto_detect_interface": true
}
}
У меня всё работает как надо. Если у вас не сработает, то хз.
Спасибо, посмотрел конфиг.
Но на самом деле то ли баг был, то ли в конфигах что-то насралося. Снёс всё и с чистого листа настроил, теперь работает.