Reality + rbc.ru:443 отвалился, дело не в узлах

Наткнулся на странную историю, вдруг кому сэкономит время.

Коротко: rbc.ru:443, который многие используют как Reality dest для VLESS, начал частично отваливаться. В итоге Reality выглядит как “умер”, но по факту проблема в том, что сам dest не отвечает с части серверов.

Что происходит

Reality проксирует TLS handshake на dest. Если dest недоступен, handshake просто висит до таймаута. Клиенту это выглядит как:

• узел не работает

• latency = -1

• “connection failed” и т.п.

Симптомы

• TCP до порта (например 8443) есть

• TLS handshake не завершается

• клиенты (Happ, v2rayN, v2rayNG) показывают узел как dead

• часть нод работает, часть нет

У меня было так:

• Hetzner Helsinki — FAIL

• Hetzner Falkenstein — FAIL

• Hetzner Singapore — OK

• Timeweb Moscow — FAIL

То есть с Сингапура rbc.ru доступен, с Европы и части RU — нет.

Как проверить

На сервере с Xray:

timeout 5 openssl s_client -connect rbc.ru:443 -servername rbc.ru -tls1_3 < /dev/null 2>&1 | grep -E "Cipher is|return code"

Если тишина или таймаут — dest не доступен, Reality на этом узле сейчас фактически не работает.

Можно проверить и снаружи:

timeout 5 openssl s_client -connect <ваш_узел>:8443 -servername rbc.ru -tls1_3 < /dev/null 2>&1 | grep "Cipher is"

Нет строки с Cipher → handshake не прошел.

Что это значит

Похоже, что rbc.ru начал фильтровать трафик с некоторых диапазонов (минимум Hetzner). Может временно, может нет, но как Reality dest он стал ненадежным.

Как починить

Просто сменить dest на что-то более стабильное.

Я поставил:

"realitySettings": {
  "dest": "dl.google.com:443",
  "serverNames": ["dl.google.com", "rbc.ru", "www.microsoft.com", "max.ru"]
}

Перезапуск Xray — и всё снова работает.

Важно

Клиентов трогать не нужно.

Даже если у них в конфиге SNI = rbc.ru, всё ок:

• клиент шлет SNI как раньше

• Xray форвардит на dl.google.com

• Google отдает свой сертификат

• клиент его не валидирует

• авторизация идет по shortId

Туннель поднимается нормально.

Вывод

1. Не используйте один dest на все ноды, особенно локальные сайты

2. Мониторьте доступность dest с разных серверов

3. Лучше брать крупные стабильные хосты

Из того что у меня сейчас нормально отвечает:

• dl.google.com

• www.cloudflare.com

• gateway.icloud.com

• ya.ru

• max.ru

• www.lovense.com

Если у кого похожие проблемы с rbc.ru — отпишитесь, интересно насколько это массово.

ВНЕЗАПНО настраиватели реалити осознают, что работоспособность прокси становиться зависимой от доступности стороннего ресурса.

Я внезапно понял что есть “авторизация по shortid”, прикольно

А если почитать документацию, то вообще можно много чего нового узнать о Reality :).

Поднимайте свой собственный сайт, серьезно. Особенно в текущих реалиях, где РКН начал active-probing на .ru/рф/su домены.

помню одно время залетал на сайт rbc через vless vmess в разгар блокировок ютуб, так они уже тогда стучали сразу и прокси отваливались, тогда же и у многих приложений появился функционал детекта впн