Низкая скорость доступа к Instagram через Xray\Outline\OpenVPN

Привет всем.

Есть две VPS-ки у провайдера Racknerd. На одной стоял Outline и прекрасно работал до начала февраля. Потом доступ к инстаграму стал настолько медленным, что картинки не загружались. Поскольку срок аренды скоро заканчивается, купил ещё одну VPS, помощнее. Поставил там Xray (с 3X-UI). Но и с этим прокси инста не работает как следует (хотя и получше): картинки грузятся медленно. Есть странная особенность: если подождать 3 минуты после запуска клиента, то скорость более менее вырастает. Но всё равно есть лаги периодические и недогруженные картики.

При этом ютуб прекрасно работает на любом качестве видео. Подозреваю, что это как-то связано с QUIC, на котором работает инста. Клиенты - nekobox на Андроиде и ForXray на иОС.

Пробовал добавлять в nekobox бесплатные ключи чьих-то ss (Outline) серверов - прекрасно работают. Т.е. дело не в клиенте.

Помогите пжл решить проблему. Не разбираюсь в сетевых технологиях, делаю всё по инструкции, сделайте пжл скидку для чайников в ответах )

для блокировки QUIC попробуйте

iptables -A OUTPUT -p udp --dport 443 -j REJECT

Не-а, не помогает.

ТСПУ блокирует инстаграм, твиттер и фейсбук при использовании Cloudflare Warp через мобильный билайн. При этом, через мобильный МТС проблем нет. Warp использует DoT.

Могу предположить что DNS запросы могут утекать мимо, но проверить не могу.

При этом с компьютера работает через оба оператора через варп с похожими настройками как на телефоне

Я столкнулся с проблемой ТС, Всё не так короче, почти все дата-центры блокируются инстой, только сейчас с техподдержкой RackNerd общался. Я так понимаю нужны какие, то прокси которые называют “кросовки”, прошу прощения я только начинаю.
Далее переписка AL-я RN-RackNerd
AL - There is one more question: Instagram won’t load on iOS, I haven’t tried it on other operating systems. Is this somehow related to the IP ban on the resource, or is there a problem with QUIC Instagram.
The problems started about 10 days ago. Thank you in advance.
RN - As far as I understand, Instagram blocks all datacenter based IPs.
AL - Replacing the IP will not help, or for a short time? Instagram’s policy is clear. Thanks for your hard work.
RN - I am not really sure, as we do not control or manage Instagram’s policy. I was under the impression that they did a blanket ban for all datacenter IPs.

ТСПУ здесь ни причем, проблема на выходе, само ТСПУ мы уже прошли, это довольно тупенькая машина, Проблема в самом instagrame

Уверены насчет Twitter?
А с FB и Instagram да, с лета не работает, и это точно не ТСПУ. Тогда бы и остальное не работало, к чему такая избирательность
И DNS не утекают, можно проверить на http://www.dnssec-or-not.com и https://www.dnsleaktest.com

Не могу согласиться.
С тем же WARP на десктопе FB и Instagram работают без проблем. Там в логах отличаются только IP на одну цифру и порты, так что, IP на десктопе тоже дата-центровский.
Да и как тогда у всех всё работает с VPN в европейских дата-центрах?
Traceroute с телефона, БиЛайн, WARP ON:

Summary
traceroute to facebook.com (31.13.72.36)...
 1 172.70.136.70  45,47ms  28,6ms  23,94ms
 2 104.28.0.0  44,98ms  25,9ms  21,06ms
 3 8.20.122.1  23,94ms  20,2ms  26,17ms
 4 81.211.31.248  47,26ms  19,78ms  24,33ms
 5 mx01.stockholm.gldn.net (79.104.235.70)  68,41ms  38,09ms  39,86ms
 6 ae8.pr01.arn1.tfbnw.net (157.240.69.130)  64,84ms  54,61ms  40,74ms
 7 po213.asw03.arn2.tfbnw.net (147.75.212.48)  75,02ms  46,1ms  39,9ms
 8 psw03.arn2.tfbnw.net (74.119.79.149)  74,71ms  38,11ms  44,77ms
 9 173.252.67.143  64,85ms  77,08ms  40,84ms
10 edge-star-mini-shv-01-arn2.facebook.com (31.13.72.36)  73,89ms  40,99ms  40,09ms


traceroute to instagram.com (31.13.72.174)...
 1 172.68.167.70  10,53ms  6,97ms  5,8ms
 2 104.28.0.0  8,18ms  6,78ms  6,21ms
 3 172.68.167.1  8,38ms  8,69ms  6,38ms
 4 172.68.8.52  24,88ms  13,36ms  8,98ms
 5 198.41.140.189  29,72ms  29,57ms  28,18ms
 6 ae10.pr01.arn1.tfbnw.net (157.240.77.142)  36ms  28,51ms  30,42ms
 7 po213.asw03.arn2.tfbnw.net (147.75.212.48)  31,73ms  30,46ms  29,94ms
 8 psw03.arn2.tfbnw.net (74.119.79.149)  28,96ms  29,11ms  28,86ms
 9 157.240.38.189  32,17ms  30,93ms  30,28ms
10 instagram-p42-shv-01-arn2.fbcdn.net (31.13.72.174)  38,13ms  29,49ms  31,58ms

Тема давно мусолится Сложности с открытием парсером любого URL Instagram - переадресация на login page. Как решить? — Хабр Q&A, но внятного ответа я пока не нашел.

Жилой прокси — это посредник, который использует IP-адрес, предоставляемый не центром обработки данных, а интернет-провайдером (ISP). Используя резидентный прокси, можно выбрать конкретное местоположение (страну, город или провайдера) и работать в Интернете как реальный пользователь. Благодаря специфике таких прокси гарантируется высокий уровень анонимности и низкий уровень бан-рисков.

WARP-ом в мире пользуются миллионы людей, CF договорился с Метой на этот счет. Парсеры они детектируют и отсекают как-то по-другому, не по IP дата-центров

Человек пишет, что проблема наблюдается только в связке WARP+Билайн, через МТС всё работает
На их форуме также тихо
Проблема явно локальная

проксирую трафик meta через обычный ss, сначала добавить outbounds, потом в настройках роутинга domain - geosite:meta и указываем созданный outbound. таким образом использую vless, а трафик до меты ходит по ss :slight_smile:

Но и с этим прокси инста не работает как следует (хотя и получше): картинки грузятся медленно. Есть странная особенность: если подождать 3 минуты после запуска клиента, то скорость более менее вырастает.

Это известная проблема Instagram и WhatsApp - у них сломан фоллбэк с IPv6 на IPv4. Браузеры обычно фоллбэкаются быстро, а вот клиенты Инсты и ВА тупят, и им надо от 30 секунд до нескольких минут чтобы осознать что связности по v6 к нужному серверу нет.

Соответственно, если одно из двух: 1). В прокси-клиенте используется TUN-интерфейс, но отключен IPv6, при этом IPv6 есть на любом другом сетевом интерфейсе, но без реальной связности 2) Прокси-клиент используется без TUN, либо IPv6 включен на интерфейсе, но на сервере IPv6 адреса нет, либо есть, но без связности = в этих всех случаях Instagram и WhatsApp будут тупить.

Решений несколько, убедиться что IPv6 работает на сервере и включить его в клиенте, либо отключить IPv6 на всех системных интерфейсах и в клиенте, либо на сервере перехватывать DNS-запросы на 53 порт (оба UDP и TCP), перенаправлять их на встроенный DNS иксрея, и там поставить чтобы он отдавал только A-записи без AAAA

Кому-то удалось решить проблему?

Выше уже написано же, как решить проблему. Ну и на Хабре даже об этом статья была: https://habr.com/ru/articles/811487/

Идиотский вопрос от того кто не шарит. Куда и какую строчку кода надо вписать, чтобы все заработало. Действовал по этой инструкции и даже VPS там же на RackNerd. Насколько понял у них только ipv4.
https://pikabu.ru/story/obkhod_lyubyikh_blokirovok_10295839

Понимаю что слишком много чести, но правда не шарю и был бы очень благодарен.

Однозначного ответа про “куда и что вписать” нет, случаи могут быть очень разные и решаться по-разному.

Например:

  1. Задолбать техподдержку вашего хостера, чтобы вам включили IPv6 и помогли его настроить в системе. Если они не дают IPv6 потому что у них его нет, то можно попробовать туннельный брокер (от HE или Route64).
  2. Смотреть настройки клиентов у пользователей. Там часто есть параметры типа “IPv6-маршруты” (попробовать выключить если включено), или “Query Strategy”/“Routing Strategy”, там выбрать “Prefer IPv4” или “IPv4 only”-

и получить тормоза уже из-за того что сеть брокера постоянно перегружена…

Можно проще, вместо туннельного брокера использовать Cloudflare Warp.

Настроить в XRay wireguard outbound для Warp как написано в статье: https://habr.com/ru/articles/799751/

А потом в routing вписать правило типа такого:

{
        "domainMatcher": "hybrid",
        "type": "field",
        "ip": ["::/1", "8000::/1"],
        "outboundTag": "warp"
      }

Ну еще для адреса engage.cloudflare.com возможно придется ручками отрезолвить и подставить IPv4-адрес, чтобы он тоже не пытался по v6 до него лезть.

А если ух хочется совсем красиво - совместить это с трюком с DNS как описано в другой выше упомянутой статье, то есть чтобы по умолчанию клиенты ходили по IPv4, но если уж кому-то очень захотелось IPv6 (например, закэшировались AAAA-записи от предыдущего подключения), то он сможет достучаться до нужного сервера черех Warp.