Периодические отвалы доступа к VPS

Перепрововал разные варианты протоколов, на xray и gost, tcp и udp, порты высокие и низкие. Ничего не пробивает блокировку, даже внутри ipip туннеля трафик не ходит. А на мобильных билайне и мтс пару дней назад даже ssh и icmp перманентно стал блокироваться.

Есть подозрение, что блокировка реализована через QoS, всегда, в рамках одной сессии прогружается несколько байт данных и дальше фриз. Даже если пинговать с мобильной сети, проходят не больше 5 пакетов.

а он и не будет ходить, там же NAT, IPIP обычно через NAT не пролезает.

ipip на подводном канале со статикой. Все там ходит. Ходило, до блокировки.

Агент zabbix передает метрики через ipip с этого сервера, видимо мелкие пакеты пролезают.

На удивление, AmneziaWG блокировку пробила. Только я не понял какая версия, 1.5 или 2.0, у них на сайте в инструкции одно написано, а по факту в приложении другое.

Upd. Бля, это прикол. После установки амнезии, заблокировали доступ по ssh через провод.

Upd2. И ipip туннель перестал быть доступен.

Помогло подключение через промежуточный RU сервер: Home → VDSina (RU) → VDSina (NL) → Internet.

Все же непонятно отчего триггер срабатывает, больше похоже на ковровые блокировки. Например стал регулярно отваливаться (handhske timeout) обычный HTML-сайт, никаких VPN-ов на сервере не стояло.

edit: sorry, не ту кнопку reply ткнул…

это ничего не меняет. какой хостинг? проверяй не свой сайт, а https://bm7.ppy.sh, он тоже блочится после триггера

Хостинг netcup - он в списке “неблагонадежных”, однако я не понимаю:

1. в чем причина срабатывания триггера?

2. какой охват блокировки по триггеру?

3. как это связано с https://bm7.ppy.sh/ - что это вообще?

Получается триггер может сработать из-за одного, но блокировка будет сразу на всё остальное - так что-ли?

у меня есть vless reality на сервере, который стоит на площадке Hz в Финляндии, там имеется весьма популярный в РФ ресурс, веб-сайт, который посещают ежедневно тысячи людей, в основном из РФ. Сайт работает стабильно, а xray на другом порте, высоком, и вот тут наблюдаются периодические разрывы, например, невозможно загрузить большой файл из сети. На сервере есть и другие службы, работающие на нестандартных портах, типа rsync/ssh/rdp, с ними никаких проблем не обнаруживается. Непонятно, как vless отслеживается. По тому, что есть TLS не на 443 порту? Или он какой-то не такой, как обычный? На хабре были предположения, что слишком большой и т.д.
Правда, надо сказать, что основной веб-сайт не поддерживает tls 1.3, маскировка на xray делается под другой. Я могу попробовать завести на сервере nginx со всеми нужными прибамбасами 1.3 и на высоком порту. Посмотреть, что будет с ним?

Вероятно, отслеживается не VLESS как таковой, а просто любая нестандартная активность. Грубо говоря, если это не RDP \ 3389 и не HTTPS \ 443, то ТСПУ может включить блок. Слишком уж много различных сервисов и служб со своими протоколами и портами существует, чтобы разбираться с каждым отдельным подключением. РКН проще обрывать все нестандартные коннекты.

Я, кстати, вообще не понимаю вот откуда взялся этот миф о том, что VLESS в связке с реальным хорошим сайтом будет оставаться незамеченным. Ну то есть да, логику работы протокола я понимаю: своих пускаем, чужим заглушку (сайт) показываем. Но почему это должно обмануть РКН? Там ведь тоже не дураки сидят, они прекрасно знают про VLESS и уж точно не будут смотреть есть там сайт по указанному адресу или нет. Достаточно на TTL пакетов хотя бы посмотреть: если он не такой как при обращении к сайту-заглушке, то дураку понятно, что пакет этот пришел не с сайта, а откуда-то еще. Я, конечно, не эксперт по ТСПУ, но наверняка у них есть возможность фильтровать данные по принципу “если TTL больше ожидаемого при связи с узлом, то тогда включить блок”.

Лучше сделай нормально и размести влесс на 443 порту вместе с сайтом через реверс прокси сплиттер или селф стил. Не вижу причин использовать высокий порт, если можно этого не делать

вот у меня на 33322 нестандартная активность, rsync гонит свои файлы по каналу ssh. Все работает.
Не понял, причем тут TTL? Мой клиент подключается по TCP, предъявляет TLS 1.3 и вставляет, насколько я понимаю принцип работы vless, в расширение tls 1.3 дополнительные параметры, по которым xray и принимает запрос, включая прокси, если правильно указаны параметры клиента. А если не указаны, показывает заглушку www.microsoft.com. Объясните, какое влияние оказывает TTL?
xActo - пока не могу себе позволить рисковать основным сайтом, но могу сделать сплит на nginx, используя какой-нибудь другой простенький сайт.

Поставьте себя на место ТСПУ. Он может сделать запрос до microsoft.com и узнать, что до него 8 хопов. А в ваших сетевых пакетах 12 хопов. И дальше уже зависит от степени параноидальности настроек ТСПУ. Допустим, он может отвязаться от соединения, где разница не превышает 1-2 хопа (мало ли, маршрут как-то слегка иначе построился), но если разница 4 хопа и больше, то значит, реальное соединение ушло дальше заявленного ресурса. И надо бы его блокнуть на всякий случай.

TTL TCP-пакетов до одного и того же хоста будет зависеть от количества промежуточных узлов от клиента до хоста. Больше ни от чего. То есть неважно, заглушка у тебя или не заглушка, клиент все равно подключается к хосту VPN-сервера и будет видеть один и тот же TTL.

Если ТСПУ будет заниматься такой сложной эвристикой, то нужно будет x10-x20 ресурсов, чтобы обслуживать текущие объемы трафика.

А какого именно риска ты боишься? Главный риск что тебе блокнут сервер (или более вероятно всю подсеть) 16кб блоком, он и так уже есть, раз ты крутишь прямо на нем влесс на высоком порту еще и с доменом микрософта.

Да, я бы советовал на 443 порт поставить нжикс и сплитануть трафик. Твой сайт это один бекэнд, влесс это второй. Домен можно другой поставить (главное не микрософт и подобное) никаких рисков я тут не вижу. можешь перестраховаться - сделай себе второй сервер, чтобы если что через него свой сайт проксить, просто нужно будет другой ip к доменному имени подвязать

VLESS - не VPN, по смыслу он ближе к прокси. Что же касается сложной эвристики, то ясен пончик, что такое активное изучение соединения некислых таких ресурсов требует. Поэтому VLESS слабо детектится, вероятно, там нужно сразу несколько подозрительных триггеров собрать, например, общее направление (за пределы страны), общий объём трафика (сайт с парой страниц не может генерить гигабайты трафика) и т.д. Но утверждать, что VLESS совсем недектируемый - это чушь. Иначе бы весь мир давно на него пересел и вся цензура в один миг потеряла бы свой смысл.

ну так на него и пересели все китайцы, для того и придумали, что никак его не вычленишь из обычного https.
Пока мне ясно, что детектировать его не умеют, иначе бы он вообще не работал, а умеют только разрывать соединение по ряду совпадающих условий в надежде на то, что ничего серьезного это не вызовет.

А зачем всему миру пересаживатся на VLESS? В большинстве стран мира нет таких ограничений Интернета, а там где они есть, они обходятся гораздо проще.

Подавляющее большинство китайцев как сидели так и сидят на WeChat, Weibo, Douyin, Xiaohongshu. Вы про них слышали? А пользовались? Вот и китайцы ничего не слышали про Ютуб, Инстаграмм и ТикТок и совершено не испытывают никакого желания туда попасть.
Западными соцсетями в Китае прежде всего пользуются иностранцы - студенты и экспаты. Они тоже не знать не знают ни про Xray, ни про VLESS, ни про Reality. Они пользуются обычными ВПН, зачастую бесплатными. Посмотрите на Ютубе видео от иностранцев, проживающих в Китае. Они сами об этом рассказывают.

Так в этом-то и беда: им достаточно тех самых “примерных условий”. Да, это из пушки по воробьям - но РКН давно уже плевать на сопутствующий ущерб. Да и авторы VLESS вряд ли думали, что кто-то будет столь неизбирательно лупить по сетевым соединениям только лишь на основании того, что трафик какой-то “немножко не такой”.

Ну и плюс где-то мелькала новость, что РКН хочет нейросети подтянуть для анализа трафика. Вероятно, как раз сейчас обкатывают это дело, ищут какие-то общие закономерности, чтобы на их основе более детальные сигнатуры можно было прописать для ТСПУ.