Моя цепочка на сервере VLESS-REALITY (подключено по типу steal oneself):
внешнее подключение → sing-box с указанным в inbounds.tls.handshake внутренним адресом и портом 1111 → caddy, перенаправляющий 1111 на 2222 → vaultwarden запущенный на этом внутреннем порту 2222 → fail2ban, мониторящий логи vaultwarden.
Моя проблема в том, что до vaultwarden все логи о входах доходят в виде внутренних подключений 127.0.0.1, а следовательно для fail2ban нет информации какой внешний ip заблокировать. Caddy настроен на передачу предыдущего ip, и если исключить из цепочки sing-box, он его передаёт. Т.е. дело именно в sing-box.
Возможен ли такой сценарий у sing-box, когда он c VLESS (с REALITY или без) мог дальше пробрасывать внешний ip ?