Не работает VLESS REALITY у некоторых провайдеров

Internet censorship all around the world Russia
, , ,
1

Доброго времени суток всем.
Проблема с VLESS+REALITY, свой сайт на той же вдске.

Хостер justhost.ru, проблемы у провайдеров Skynet и E-telecom, район Санкт-Петербург. Также в Амурской области, провайдер Телевокс.

На сервере настроен Xray, два протокола: VLESS REALITY, Shadowsocks2022.
Для подключения на клиенте используется Nekobox, ядро Sing-Box.

Симптомы такие, что сайты просто не грузятся через VLESS, а на Shadowsocks скорость очень упала. Также не проходит встроенная в клиент Nekobox проверка связи.

А, ну и, параллельно у других провайдеров, типа Кабельных систем в Амурской области, всё работает хорошо. В чем может быть причина, как считаете?

2
3

большое спасибо, почитаю. Пропустил данную ветку

4

Вчера отвалилось соединение vless у некоторых пользователей. В основном Iphone, очень непонятная ситуация, есть косяк что SNI использовал google, но даже поменяв и обновив подписку и проверь в моменте не хочет грузить. Причем не работают сразу все сервера, они находятся в домейне третьего уровня .freemyip, но на разных хостингах и на разных серверах. Порт 443, xtls-rprx-vision

Заметил, что не у меня у одного vpn сервис отвалился, такая же проблема у крупных игроков

В чем может быть проблема ?
Почему смена sni не помогла или это не так быстро срабатывает ?

5

SNI действительно может быть проблемой. Как минимум из-за того, что вы вряд ли в одном ASN с гуглом. Плюс, недавно сообщали о том, что гугловский домен тыкали палкой: Блокировка google.com

Обычно смена SNI помогает сразу, но ваш ip мог на время влететь в gray-lists (не ручаюсь за их существование, но чисто теоретически это возможно). Попробуйте поменять ip, возможно, поможет

6

Тут еще прикол в том, что серваки все разные. Есть вероятность, что все три ip влетели ?

7

И не очень тогда понятно почему туда попали только некоторое кол-во пользователей

8

Если предположение о том, что вы отлетели за SNI, верно, то почему бы и нет? Просто они уехали не “пачкой”, а как 3 разных подозрительных сервера.

9

Тут уже надо анализировать. Не зря, например, нет универсальной стратегии для zapret - порой разным людям приходится подбирать их под себя. Разные маршруты, разные dpi итд.

10

Поднимите self host, это не сложно, домен можно получить бесплатный домен на freemyip

UPD freemyip больше не работает по видимому, но все еще можно купить любой зарубежный домен у РУ хостера, вопрос 150 рублей за год.

11

Та же проблема. Заметил интересную вещь - у меня зеленый оператор в телефоне и дома. На телефоне худо бедно работают три протокола. На компе отвалилось всё, но частично заработало после смены SNI. И вот тут самое самое странное - открываются не все домены. Инста не открывается, нет подключения к серверам rockstar games. Steam, Discord и прочее работает.

12

Какой хостинг?

13
14

В чате у них пишут что тоже был ддос, по этому и лагает

15

Хочется надеяться, спасибо.

Подскажите еще (не по теме поста) - моим VPN пользуется пара знакомых с айфонами. У одного месяц назад он начал отрубаться при подключении к домашнему Wi-Fi, у другого - перестал работать напрочь неделю назад. Учитывая, что - играться в конфиге xray (и ложить сервер, пока у айфонщиков все не заработает) + удаленно им что-то объяснять и тестить, не шаря в ios - тяжко. Мб были какие-то кейсы и решения тут?

16

Сомневаюсь, что это проблема именно iOS. Скорее просто так совпало. Разное поведение на WiFi и мобильном интернете - не новость. Какая конфигурация сервера/профилей?

17

Если кратко - все по лонгриду UranusExplorer с хабра. В сети я не разбираюсь совсем, поэтому просто копипащу конфиг, меняя uuid, ключи и прочие переменные

  1. VLESS reality с flow. Раньше использовал безобидный зарубежный fandom.com как SNI. Сейчас заменил его его на относительно популярный сайт в Нидерландах.
  2. Shadowsocks

P.S. Я видел на реддите пост про xray на айфоне + VPN + домашний Wi-Fi, но, как я понял, там надо менять настройки как телефона, так и конфиг xray на сервере.

18
  1. Используйте RealityScanner. Ищите домен для SNI хотя бы в своем ASN. В идеале, в своей 24-й подсети. Не берите известный домен, мимикрируйте под малоизвестный сайт.
  2. Если у вас на одном и том же сервере крутятся vless+reality и shadowsocks, это не есть хорошо. Shadowsocks уже не безопасен и как минимум вызывает подозрение провайдера. А отсюда можно получить проблемы со всем остальным, что идет туда же.
19

Подскажите, пожалуйста, как пользоваться сканером?

20

Личто я использую этот репозиторий (есть несколько вариантов): GitHub - XTLS/RealiTLScanner: A TLS server scanner for Reality
Допустим, ip вашего сервера - 1.2.3.4. Тогда запускаете сканер так: “./RealiTLScanner -addr 1.2.3.0/24 -thread 6”. Вам постепенно вываливается пачка строк. В некоторых из них можно найти домены. Эти домены перепроверяете руками:

  1. ip в вашей 24й подсети (nslookup)
  2. Сайт открывается и имеет валидный сертификат
  3. Это не известный домен. Вы можете в своей подсети найти, например, yahoo.com. Это не yahoo сидит в вашей подсети, это кто-то под него косит.

Если все сходится, то можно использовать данный домен для sni.