Sing-box - обход блокировок со стороны западных сервисов

prope3ler · January 14, 2025, 2:12pm

Добрый день

Есть немецкий VPS, на котором запущены X-ray и AmneziaWG (независимые сервисы, конечно).
На локальном одноплатнике дома настроен sing-box, через который в сторону X-ray выборочно проксируются нужные мне сервисы - по списку из антизапрета плюс сервисы, которые не должны работать в РФ (chatGPT, Claude, Gemini, NotebookLM.Google, Spotify).

Есть проблема с работой Gemini и NotebbokLM.Google (ChatGPT и Calude рботают нормально) - не получается настроить работу через x-ray, Google определяет что я стучусь из РФ и блокирует мне доступ к сервису.
При этом, если поднять соединение через AmneziaWG (будет в итоге тот же немецкий IP от VPS) - все работает.

В sing-box поднимал легирование до debug и смотрел, куда и как он пытается стучаться - все подозрительное вносил в конфиге sing-box в туннель vless-out, в браузере тоже отслеживал через консоль все адреса и вносил в конфиг - все равно не работает.

Конфиг правил приложил ниже, может кто-то подскажет что я забыл…

"route": {
    "rules": [
      {
        "rule_set": "antizapret",
        "outbound": "vless-out"
      },
      {
        "domain": "claude.ai",
        "outbound": "vless-out"
      },
      {
        "domain": "anthropic.com",
        "outbound": "vless-out"
      },
      {
        "domain": "chatgpt.com",
        "outbound": "vless-out"
      },
      {
        "domain": "notebooklm.google",
        "outbound": "vless-out"
      },
      {
        "domain": "notebooklm.google.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".spotify.com",
        "outbound": "vless-out",
      },
      {
        "domain_suffix": ".youtube.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".googlevideo.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".nhacmp3youtube.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".1e100.net",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".ytimg.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".youtu.be",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".google.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".clients6.google.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".gvt1.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".googleusercontent.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".googleapis.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".gstatic.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".googletagmanager.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".google",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".withgoogle.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".google.de",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".google.ru",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".analytics.google.com",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".claude.ai",
        "outbound": "vless-out"
      },
      {
        "domain_suffix": ".anthropic.com",
        "outbound": "vless-out"
      },
      {
        "protocol": "dns",
        "outbound": "dns-out"
      }
    ],
    "rule_set": [
      {
        "type": "remote",
        "tag": "antizapret",
        "format": "binary",
        "url": "https://github.com/savely-krasovsky/antizapret-sing-box/releases/latest/download/antizapret.srs",
        "download_detour": "vless-out"
      }
    ],
    "auto_detect_interface": true

0ka · January 14, 2025, 3:27pm

кучку правил можно переделать в одно
"domain": ["chatgpt.com", "qwerty.com"]
домены gemini смотрите через браузер в F12->network
ну и сделайте полное проксирование через sing-box и проверьте так, а не только через awg

boltor · January 14, 2025, 3:34pm

Если через Амнезию всё нормально, то возможно К Гуглу сервер подключается по IPv6, который почему-то считается им российским. Попробуйте на сервере пустить гугловский трафик чисто по IPv4 (или наоборот по IPv6, если у вас всё наоборот). У меня в панели x-ui вот так в конфиге сделано:

outbounds: [
  ...
  ...
  {
    "tag": "IPv4",
    "protocol": "freedom",
    "settings": {
      "domainStrategy": "UseIPv4"
    }
  },
  ...
  ...
],
rules: [
  ...
  ...
  {
    "type": "field",
    "outboundTag": "IPv4",
    "domain": [
      "geosite:google" // правило можете и по доменам собрать, дело ваше. 
// Может быть у ИИ сервисов Гугла есть свой geosite, 
    ]
  },
  ...
  ...
]

P.S. Можете собрать отдельные домены и доменные суффиксы в единые блоки:

rules: [
  {
    "domain": [
      "chatgpt.com",
      "notebooklm.google",
      ...
      "notebooklm.google.com"
    ],
    "domain_suffix": [
      ".spotify.com",
      ".youtube.com",
      ...
      ".googlevideo.com"
    ],
    "outbound": "vless-out"
  },
]

prope3ler · January 14, 2025, 7:00pm

у меня v6 адреса вроде нет, провайдер не поддерживает, он даже на роутере отключен
вообще, похоже Гугл что-то понимает в момент авторизации акаунта, то есть перед тем как перейти на страницу notebooklm.google.com он авторизует меня в акаунте и вот тут все и ломается
может через куки что-то пролезает?

prope3ler · January 14, 2025, 7:05pm

все что видно в F12 - я внес в правила, даже .ru домен гугла добавил
если смотреть journal -u sing-box - все соединения к гугловым доменам через vless-out, ничего в директ не идет и это сбивает с толку
поэкспериментирую еще немного

0ka · January 14, 2025, 7:34pm

Речь о впс

Днс сервер еще проверьте, должен быть одинаковый на авг и синге

prope3ler · January 14, 2025, 7:54pm

про v6 все равно не до конца понимаю
на VPS (в Германии) стоит x-ray, но там правил нет, там все что прилетело - уходит дальше
все правила в sing-box на одноплатнике в РФ, от которого vless-out в сторону x-ray

вообще схема выглядит так - в домашней сети ноут, одноплатник, роутер смотрит в интернет
на ноуте в качестве default gateway указан адрес одноплатника, на одноплатнике sing-box
клиент amnezia стоит на ноуте

p.s. я еще немного потыкался, сменил на ноуте браузер на firefox (до этого пробовал через Safari), почистил историю и куки, выключил все расширения - нормально зашел на Gemini…
ерунда какая-то творится

boltor · January 14, 2025, 8:33pm

Тогда попробуйте на sing-box клиенте поставить в правилах маршрутизации гугловского трафика версию IP:

rules: [
  ...
  {
    "geosite": [
      "google"
    ],
    "ip_version": 4,
    "outbound": "vless-out"
  }
  ...
]

Rei · January 14, 2025, 8:36pm

Используйте geosite, а не domain. chatgpt.com это далеко не единственный домен openAi. Категории можете посмотреть тут, GitHub - v2fly/domain-list-community: Community managed domain list. Generate geosite.dat for V2Ray.

Из этого репозитория как раз генерируется geosite.dat и geosite.db