Ситуация такая. Пользуюсь 3 платными VPN сервисами, которые используют vless. После момента когда 22 ноября начались тестовые блокировки этого протокола, появились проблемы. Соединение постоянно отваливается. Приходится менять сервер. Может 5 минут работать, может час, может весь день, но в чаще несколько раз за час отваливается ВПН.
Раньше я поднимал свой ВПН через 3x-ui по обычным мануалам из паблика. Но теперь я появилась куча разных статей с разными настройками что бы обходить блокировки. Половина из того что написано мне не понятно.
Прошу вашего совета. Подскажите как поднять свой ВПН, какие настройки нужно использовать. Начали писать про какие-то сайты заглушки, xhttp, tls 1.1 или какой то старый, про пустые sni. Посоветуйте хостера.
Может есть готовый мануал, по которому можно поднять и самостоятельно настроить все, как это было раньше до блокировок vless.
В клаудроне есть однокнопочная админка OpenVPN + АмнезияWG — вроде у людей пока работает с дефолными настройками.
Любой, который не в “плохих” списках на этом форуме, либо “плохой” крупный, в сторону которого есть одобренные протоколы (HTTPS like с белыми SNI, но не все адреса подойдут).
Чтобы не плодить темы, напишу тут, поскольку столкнулся с проблемой, аналогичной тс, но есть конкретные вопросы.
Года полтора назад, настроил vless на vdsina по этой инструкции, изрядно поковырялся с настройками роутинга и dns в клиенте (ClashX Meta), чтобы поверх всего этого нормально работал корпоративный vpn, но в итоге довел до состояния “включил и забыл“. Работало идеально, но на прошлой неделе сервер заблокировали. Сейчас поднял новый сервер на другом хостинге и настроил по этой инструкции по схеме vless-tcp-reality (config.json (3,6 КБ)). Предполагаю, что по местным меркам она довольно наивная, поэтому вопросы:
Что можно в ней улучшить малой кровью? Углубляться в решения типа реверсивных каскадов пока не готов.
Автор говорит, что использование 443 порта совместно с reality не имеет особого смысла. Так ли это?
Для выбора маскировочного домена использовал RealiTLScanner, но видел рекомендации использовать для маскировки свой домен (self-steal). На сколько стоящая затея? Какие есть тонкости в реализации?
По своей инициативе пустил весь исходящий трафик через warp, дабы оградиться от известных фокусов приложений типа Max. На сколько это адекватное решение? Какие у него минусы?
Хотелось бы оградиться так же от “сибирской блокировки”. Можно ли это сделать без перехода на xhttp? Его, к сожалению, не поддерживают клиенты для телефона и компа, к которым очень привык.
Технической разницы нет, но reality подразумевается на порту 443 как веб трафик. Я не в курсе смотрит ли РКН на порты подключения, но никто не гарантирует что завтра не начнут.
Учтите что там так же показываются люди, у которых стоит Reality. Рекомендую смотреть что это не банально глупо, например google.com на AS’ке Hetzner’а, а реальное, ну, или хотя бы адекватное/близкое к реальности.
Пока РКН не сверяет ip и dns записи домена под который вы прикидывайтесь смысла много нет. На данный момент плюс в том что вы не зависите от чужого сервера, ибо если вы достаните админа домена своими запросами, то он может обрубить вам доступ (ни разу в живую не видел). Может еще подскажут Вам в чём принципиальные отличия.
У меня заворачивание только ру трафика в warp заканчивалось тем, что warp переставал работать и пришлось direct пускать.
Вопросы по поводу порта и домена возникли после прочтения этого поста, где автор уверенно заявляет, что DPI уже умеет сопоставлять айпишник SNI c айпишником сервера… и по итогу как раз блочит 443 порт.
Удалось выяснить причину? У меня ру трафик идет в direct на уровне клиента и по идее через сервер вообще не проходит. Тут речь про схему, когда Max пингует забугорные сервера, которые должны бы быть заблочены, и если пинг проходит, то идет на забугорную же проверялку ip и смотрит что она показывает. А без warp она покажет ip моего сервака.
Вот этот момент не понимаю. Раз я маскируюсь под https трафик, не будет ли использование grpc выглядеть подозрительно?
Хм, после попытки настроить grpc получаю вот такое в логах xray:
WARNING - XRAY: common/errors: The feature VLESS (with no Flow, etc.) is deprecated, not recommended for using and might be removed. Please migrate to VLESS with Flow & Seed as soon as possible.
WARNING - XRAY: common/errors: The feature gRPC transport (with unnecessary costs, etc.) is deprecated, not recommended for using and might be removed. Please migrate to XHTTP stream-up H2 as soon as possible.
Так при этом через сервер трафик не ходит. Точнее, в логах клиента видна куча соединений, без ошибок, а по факту например сайты не грузятся. Как-будто косяк в конфиге, но не пойму где там можно накосячить. На сервере поменял “network”: “tcp” на “network”: “grpc”, и на клиенте так же. Меняю обратно на tcp и все работает.
Извиняюсь что влезаю в разговор, но вроде как тема профильная и близкая к моему вопросу… При белых списках мой VLESS-сервер в Финляндии недоступен, вернее, пинги идут, но по факту инет не работает. Однако здесь - https://github.com/igareck/vpn-configs-for-russia - есть так называемые CIDR-подписки для белых списков. Да, реально там 90% серверов в отвале, но некоторые действительно работают, хоть и с тормозами. И вот у меня вопрос: а как они это сделали? Судя по тому, что пишет 2ip.ru, их выходные точки находятся в самых разных местах, однако РКН туда трафик почему-то пропускает. Как именно нужно мой VLESS настроить, чтобы он тоже так работал?
Пардон, ошибся циферкой - 84.23.52.180 - Москва… Но я так понимаю, вся фишка в том, чтобы арендовать VPS-сервер, который может получить IP из подсети, которой разрешен выход за рубеж?
Да, иначе провайдеру сливаются DNS запросы на чьи адреса потом никто не ходит. Если split-tunneling (DIRECT), то можно и мимо туннеля, но лучше не надо. DoH всякие браузерные тоже к одному и тому же IP ходят и ничего, не сливают запросы.
Не сливать DNS нужно как минимум для того чтобы провайдер не различал сетевую активность вообще.
Если честно, это ни на что не повлияет в плане обнаруживоемости, только для скрытности.