Странная работа vless tcp Reality

Всем здраствуйте! Уже не знаю что делать кому и куда писать и обращаться, поэтому хочу выложить своб проблему здесь.

И так, что дано:
Два сервера
ПК на windows
Мобильное устройство
Macbook

Суть проблемы:

Некоторые сайты (microsoft.com например) не открываются, ошибка PR_END_OF_FILE_ERROR. А так же не могу выбрать аккаунт google для захода на сайтах, например, захожу на picsart (не реклама, пример сайта, проблема на любом сайте где можно зарегестрироваться или войти через google), нажимаю Log in, выбираю через аккаунт google, прогружается страница выбора аккаунтов, но при нажатии на аккаунт ничего не происходит. drive.google.com постоянно думает что я оффайн, mail.google.com работает, но при нажатии на аватарку, чтобы сменить аккаунт ничего не происходит, пришет ошибку Opps! We can’t download image that you selected. Иконка кнопки лайка (исключительно лайка, с дизайлоком всё ок) отсутствует, но нажимается и засчитывается.
При отключении от vpn эти проблемы исчезают

Что я пробовал:

Начнём с клиентов, пробовал nekobox, Hiddify и Amnezia, проблема индентична на любом и устроиств.
Теперь сервера, сервера не относится друг к другу никаким образом, они у разных хостеров, в разных странах, проблема сохраняется (панель 3x-ui на обоих).
Пробовал кидать сайт google через warp, проблему не исправляет, google видит меня через warp.
Купил домен, привязал к cloudflare, и к 1-му серверу, сертификаты для панели получил через комманду x-ui в консоль и выбор получения сертификата через Cloudflare SSL, если заходить через домен в панель - то никаких ошибок нету, всё работает как часы.
От провайдера тоже не зависит как я понял, пробовал через дом.ру (проводной), ростелеком (проводной), раздачу через точку доступа Мегафон (он только торренты не даёт качать, а на остальное ему фиолетово, я через точку доступа по 200gb в месяц качаю).
При подключении к 2 серверу проблемы остаються.
На 1-ом сервере sni ign.com
На 2-ом сервере sni local.se
На обоих порт 443.
flow=xtls-rprx-vision
Пробовал через приватные окна - ничего не изменилось.
Пробовал повторить всё то же самое через firefox, edge, safari - результата ноль.
Пробовал откатить версии панели - тоже ничего
На 1 сервере включин BBR, на 2-ом нет (ничего не трогал)
Пробовал смотреть логи в браузерах, в клиентах, на сервере - пусто, лишь сообщения о том что “Я подключился” в случае клиента или “Ко мне подключились” в случае сервера.
Пробовал обновлять ubuntu - результата ноль
Перезаупск xray, панели, сервера или всё вместе тоже результатов не даёт

Вот пример пингов
1-ый сервер:


root@"Тут название сервера": ping microsoft.com
PING microsoft.com (20.76.201.171) 56(84) bytes of data.
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=1 ttl=114 time=30.9 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=2 ttl=114 time=30.1 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=3 ttl=114 time=30.1 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=4 ttl=114 time=30.6 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=5 ttl=114 time=30.3 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=6 ttl=114 time=30.2 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=7 ttl=114 time=30.4 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=8 ttl=114 time=30.5 ms
64 bytes from 20.76.201.171 (20.76.201.171): icmp_seq=9 ttl=114 time=30.2 ms
^C
--- microsoft.com ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 8011ms
rtt min/avg/max/mdev = 30.078/30.377/30.938/0.266 ms

ping с cmd на Windows машине:


C:\Users\*>ping microsoft.com

Pinging microsoft.com [20.236.44.162] with 32 bytes of data:
Reply from 20.236.44.162: bytes=32 time<1ms TTL=64
Reply from 20.236.44.162: bytes=32 time<1ms TTL=64
Reply from 20.236.44.162: bytes=32 time<1ms TTL=64
Reply from 20.236.44.162: bytes=32 time<1ms TTL=64

Ping statistics for 20.236.44.162:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

И что самое странное, такое поведение началось относительно недавно. Раньше у обоих хостеров всё работало как часы, а теперь что-то не так, я уже не знаю что делать и куда смотреть. Хочу услышать более умных людей в этой сфере.

P.S вариант что хостеры плохие скорее всего не релевантен. Ибо 2-ой сервер хоститься у Амазона напрямую, без посредников

P.S.S Если кто-нибудь скинет нормальный, хороший и подробный гайд как организовать steal oneself + vless tcp Reality буду безмерно благодарен, ибо я нашёл только на китайском и как-то очень не понятно.

Хороший и нормальный вряд ли. Возьмите отсюда: Как поставить веб-сервер и VLESS на одном VPS? - #14 by aggravatingbee

Либо как вариант готовый скрипт от Кортеза. Мне он не зашел почему-то

ipv6 отключен на сервере? Была похожая проблема из-за него.

Также в теории может быть проблема из-за неправильно прописанных DNS на вашем VPS (но сомнительно). Гуглите для своей системы и проверяйте, у меня везде выставлены 8.8.8.8 и 4.4.4.4.

Вот здесь описан процесс установки с сервером Caddy.

А если отключить сниффинг в inbound x-ui?

Если два сервера, то может на одном что-то другое поднять. SS; vless + xtls/tls; вместо tcp поставить grpc/websocket и т.д.

Выключил через добавление в /etc/sysctl.conf строк

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Проблема осталась

На клиентах (пк, мобильный и т.д) у меня очень давно стоят либо 1.1.1.1 либо гугловские днс,
В интеренет пишут изменять dns в /etc/network/interfaces. У меня ubuntu 22.
Вот так выглядит конфиг, я его не менял

iface ens3 inet static
    address   176.тут.ип.vps'ки
    netmask   255.255.255.255
    gateway   10.0.0.1
    hwaddress ether **:**:**:**:**:**
    dns-nameservers 8.8.8.8 1.1.1.1
iface ens3 inet6 static
    address   ****:****:****::2
    netmask   48
    gateway   2a12:5940:8f2d::1
    dns-nameservers 8.8.8.8 1.1.1.1

То есть гугловские dns стояли ещё при создании vps

Спасибо большое, посмотрю

Спасибо, посмотрю

Помогло!
Сайт microsoft начал открываться, drive.google.com перестал думать что я оффлайн, и заход через аккаунт google на другие сайты заработал.

Но перестаёт работать routing (очевидно), т.е ру ip более не проксируется, так не сойдёт. Вариант что на клиенте настроить в обход тоже не пойдёт, ибо этим vps ещё иногда родственники пользуются, а ехать к каждому чтобы поправить это такое. + какая-то проблема с macos, никакие клиенты v2box, amnezia в тупую не хотят роутить вообще ничего и никак и никуда. И мне собственно проще через warp гонять ру ip на сервере

Потыкав sniffing я понял что данная проблема появляется если поставить чекбокс около TLS. А QUIC, HTTP или FakeDNS вообще в данном случае не влияют. Есть ли варианты решения?

Вариант звучит хорошо, а на практике…
SS, outline или что-то иное сразу нет, ибо оно уже детектиться ТСПУ, я не хочу получать бан ип на vps’ку из-за старых протоколов. Я читал здесь же на форуме что так делать вообще не стоит, если Вам интересно могу найти пост и скинуть

Оба сервера стояли на vless tcp reality, tls не вижу смысла ибо он имеет недостатки в сравнении от Reality.

Я пытался новомодный XHTTP + reality поставить но что-то не пошло, коннекта нету, статей кроме как на гитхабе не нашёл (в issue на оригинальном xray-core висит статья), на гитхабе хоть и обновили её, но я видимо что-то не так делаю.

Пока известно что sniffing делает проблемы с доступом на сайт или их поломку. Как домой приеду попробую на 2 сервак без sniffing поставить vless tcp reality и на те сайты что не работают routing поставлю с 1-го на 2-ой

эта проблема эта уже старая, убедись что все обновлено, еще посмотри есть ли настройка route-only рядом со sniffing и включи обе. и по мне так роутинг .ru в warp это для параноиков, как и отказ от tls в пользу reality.

перестаёт работать роутинг по доменам, роутинг по ip не требует sniffing

Панель 3x-ui версии 2.4.8 (последняя на данный момент).
sudo apt update говорит что All packages are up to date.
Если есть информация как обновить xray для панели 3x-ui буду благодарен (xray как-будто в контейнере docker, потому что в системе он не установлен, при попытки ввести xray в консоль выводиться xray: command not found), а версия в панели отстаёт от релизной xray.

Есть, но я попробовал все варианты, при любых настройках, даже если включить metadata only или route only или всё вместе то оно не работает то тех пор, пока я не уберу TLS или не выключу sniffing.

geoip:ru в warp без этой настройки перестаёт заворачиваться к сожалению.

Как я помню от tls отказались из-за того что требуется свой домен и немного минусов ещё сверху. Странно ведь выглядит на сайт vasyapupkin.com качать по 250-300 gb трафика в месяц, наводит на некоторые мысли регуляторов, а Reality позволяет прикидываться под любой сайт, что выглядит более легитимно, что условно я с сайта мелкомягких или гугл или иных сайтов качаю много трафика. Хоть и вызовет вопросы почему мелкомягкие хостяться где-то у чёрта на куличиках, но в данном случае будет всё таки проще потом поменять с сайта мелкомягких на другой. Но это моё мнение. Я думаю все плюшки TLS и Reality можно собрать если настраивать Reality с steal oneself.

Так и есть, закон Яровой не просто так существует. Я бы хотя бы минимум вк, госуслуги и яндекс заворачивал в warp. Ибо в Китае если такого не делать и ходить по .cn сайтам, то vps умрёт чуть быстрее чем моментально (banip, бан порта и другие виды надругательств).

это проблема самого reality, часть сервисов могут работать через раз если трафик гнать через промежуточный сервер

если между серверами поднять vless+tls, то все работает

надо ждать фикс

Я понял ты о чём, я так делал, у меня работало ровно так же. т.е сайт microsoft не открывался не при одном сценарии.

Видимо ты суть проблемы не понял, я не делаю связку Client —Vless+Reality—> Server 1 —Vless+Reality—> Server 2. Я 2-ой сервер использовал для теста, что проблема не в хостере или sni который я выбрал.

Я пока что ищу способ как реализовать затеяное, если будут результаты - отпишу

да, прошу прощения
формулировка про два сервера ввела в заблуждение

попробуй логи включить в режим debug и посмотреть error.log на наличие проблемных доменов

Проблема по идее стара как мир, странно что вы не искали по коду ошибки, Низкая скорость при использовании VLESS + REALITY - #56 by Waffenrock

В итоге проблема была решена, была виновата geosite и geoip база Китая в панели 3x-ui, при её выключении всё нормально начинает работать. Это не проблема sniffing, это проблема баз данных загруженных в панель

Всем спасибо за помощь! И особенную благодарность @0ka

Проблема в том что логи что на стороне клиента, что на стороне сервера пустые. Единственное что характерно это ошибка 504 Bad gateway в nekobox.

Проблема как оказалось не в этом, к тому же я выше писал что