Сегодня перестал работать на одном из хостеров (hostvds Нидерланды) при этом, если делаю curl по домену то получаю страницу - заглушку, но если захожу в браузере, то ничего не открывается, при этом все другие ноды у других хостерах, с этими же настройками прекрасно работают.
В логах при подключение бесконечный Connection was reset
При этом сама нода, через nmap по 2222 и 443 доступна
Я видел посты, про динамические списки, но как проверить, точно проверить, что адрес у хостера заблокирован?
Но симптомы ТС не совпадают с остальными
Почему, совпадает
Я когда летом триггеры изучал, сталкивался с тем что при сработавшем триггере работает curl из за слишком легкого clienthello пакета который он отправляет, в сравнении с браузерным который в 5-10 раз больше весит
Я думаю ты помнишь
По этому и спрашиваю, какой-то способ понять, что это точно блокировка со помощью dpi
Запустить tcpdump на сервере и клиенте и сравнить, как пропадают пакеты.
Более чем уверен, что на тспу освободились ресурсы под сравнение SNI и фактического IP куда идет коннект
Ибо позавчера с часа ночи начались проблемы с VLESS+TCP+Reality (ЮФО, Ртк провод) пинги в впн клиенте проходят, подгружается буквально пару Мб реального сайта и потом тишина пока не перезапустишь коннект
В этих условиях успел проверить VLESS+TCP+TLS под свой домен, коннект перестало рвать, правда IP уже в бан улетел
Перепроверил на чистом, история повторилась
Лично меня всегда удивляло почему вообще Reality считается стелс технологией, ибо не кажется ли странным, что IP указывает на ASN задроченного русского хост провайдера где нибудь в нидерландах, а в SNI майкрасофт или клаудфлейр, или того хуже вк или макс
хостинг то какой?
почитайте рекомендации по выбору домена для маскировки. это не вина риалити, что васяны покупая у аэзы впску ставят туда яху или майкрософт
Кто заставляет делать именно так? Идеальное применение реалити это как при обходе белых списков на мобильных сетях - маскировка под сайт в одной подсети или хотя бы AS с тобой, он необязательно должен быть большим и популярным.
в блоке его нет стопроц, а палить не хочу, сори, он мелкий
я перечитал этих гайдов тонну
да, окей, ты всунешь в SNI сайт на том же ASN и что толку то? если глазами по логам пройтись, выглядит легетимно, но тспу не человек
что тспу мешает в фоне сделать dig <sni из подозрительного коннекта> и сравнить результат? айпишники не сметчатся → коннект повиснет
думаю это делается на первых пакетах, ибо дальше ты и действительно можешь ходить по другим IP, но с тем же SNI
опять же это мое предположение из того что я увидел при тестовом блоке в ЮФО, больше ничего подобного не происходило
что тспу мешает в фоне сделать dig <sni из подозрительного коннекта> и сравнить результат
Если так сделать, будет заблочен почти весь интернет трафик, кроме может совсем мелкоты уровня сайта визитки на статичном ip.
Возьми ради интереса любой домен, сделай диг несколько раз через произвольные интвервалы времени, желательно с разными резолверами.
Можно SNI сделать нулевой длиной или удалить это расширение из ClientHello (не работает на крупняке, где включён режим белого списка SNI).