Всем привет! Есть сервер для друзей с настроенным vless vpn через панель 3xui. Сегодня у некоторых пользователей впн перестал работать, у кого-то только через wifi, у кого-то и и через мобильного оператора. SNI google. Flow либо пустой, либо xtls-rprx-vision. Порт 443. Зависимости работы впн от типа flow не нашел. Пакеты Ubuntu обновил до последней версии
Пробовал вставлять ключи друзей к себе и все работает, подозреваю что некоторые операторы и провайдеры блокируют подключение.
Ip сервера пингуется, сервер не заблокирован
Я подписан на некоторые тг каналы, которые продают ключи и сегодня там были посты о том, что были неполадки, которые они устранили. Возможно кто-то сможет подсказать, как исправить эту ситуацию
А на каком хостинге поднят vless? У некоторых людей РКН блокирует Hetzner и OVH, все подсети. Только пинг прходит. Может помочь выключение роутера на 15 минут.
Не используйте пустой flow, везде ставьте xtls-rprx-vision.
SNI ищите в том же ASN, что и сервер. В идеале - в той же 24й подсети. Используйте RealtiScanner для поиска подходящих доменов. На всякий перепроверяйте домены руками - встречал случаи, когда RealtiScanner выдает домен в сканируемой подсети, но nslookup резолвит вообще в другое место.
В результате таких мис-конфигов (особенно п.1) пользователи могут попадать в gray-lists у своих провайдеров. Со временем должно распердеться. На будущее, если не хотите ждать истекания grey-lists, советую делать IP-фронтинг (простой masquerade+dnat с помощью iptables). Позволяет в случае чего свапнуть айпишник и дальше пользоваться.
У меня сегодня некоторые европейские впс единоментно стали отваливатся раз в несколько минут — просто пакеты перестают достигать назначение на пол-минутки. Протоколы кастомные TCP/UDP.
Де факто это просто сервер посередине (relay), который с помощью iptables делает форвард трафика. Схематически, это выглядит так:
vpn_server ↔ relay_server ↔ client
Когда по тем или иным причинам ваш IP палится, вы просто заменяете relay и через subscription link распространяете обновленный конфиг.
Будет справедливым заметить, что можно просто влепить в конфиге домен вместо IP-адреса. Но мне нужно было решение с relay по ряду причин.
Если протоколы кастомные, то ничего удивительного. В режиме “рубить все незнакомое” нет ничего сложного. Так уже делали, если не ошибаюсь. Правда, локально
Спасибо за подробное описание, буду изучать. Могло ли так случиться, что 80% пользователей одновременно попали в gray lists, при чем на разных провайдерах и операторах? До вчерашнего дня все работало исправно. И есть ли возможность поменять ip вручную, без iptables, для восстановления работы?
внесу своё мнение что не верю в существование “grey lists”, и проблема скорее всего в чем то другом. Flow кстати должен быть одинаковый на клиенте и сервере, какой именно - не важно. так же могут быть проблемы с доменом если он у вас используется.
Сомнительно. В самых популярных гайдах обычно я видел гугл или майкрософт, там бы все скопипастили. Например сертификат: *.fantasysports.yahoo.com, может у компании какие-то мелкосервисы могут быть. Это ведь вроде wildcard-серт, разве с ним реалити работает?
Просто для статистики. Калужская область, Билайн (и мобильный и домашний)
Два разных сервера в Амстердаме.
До одного обычный Shadowsocks, до другого Shadowsocks + V2Ray
С телефона на iOS используется Shadowrocket с ПК на Windows - Nekobox или Shadowsocks
До сегодняшнего дня никаких проблем не наблюдалось ни с одним ни со вторым сервером. С сегодняшнего дня на всех устройствах соединение теряется раз в несколько минут на 40-50 секунд, затем снова продолжает работать.