Есть VPS амазона на которой крутится сайт (на данный момент правда нет, но скоро будет). Попросили поднять там VPN взамен умершему wireguard, остановил выбор на VLESS+Reality через оболочку 3X-UI потому что он позволяет установить себя в контейнере и не занимать 443 порт. На сервере уже был установлен traefik, т.к. там еще запущен почтовый сервер. Собственно вот конфиг 3X-UI который родился в муках:
---
version: '3'
networks:
default:
name: net-traefik
external: true
services:
3x-ui:
image: ghcr.io/mhsanaei/3x-ui:latest
container_name: 3x-ui
hostname: ############
volumes:
- $PWD/db/:/etc/x-ui/
- $PWD/cert/:/root/cert/
environment:
XRAY_VMESS_AEAD_FORCED: "false"
tty: true
network_mode: bridge #host
ports:
- "5107:5107" #порт панели управления
- "222:222" #порт для Shadowsocks
- "443" #порт для VLESS
restart: unless-stopped
labels:
- "traefik.enable=true"
# TCP маршрут для VLESS-протокола
- "traefik.tcp.routers.vless.rule=HostSNI(`discord.com`)"
- "traefik.tcp.routers.vless.tls.passthrough=true"
- "traefik.tcp.routers.vless.service=3x-ui-reality"
- "traefik.tcp.services.3x-ui-reality.loadbalancer.server.port=443"
Сервис запустил с режимом работы сети в бридж т.к иначе он ругался уже на занятый traefik-ом 443 порт. Порты 5107 используется для веб панели, 222 для shadowsocks; 443 собственно для vless, прокидывать не стал (на самом деле пробовал но об этом ниже).
Shadowsocks запустился без проблем, vless упорно отказывается работать. Порты открыты, tcpdump на сервере показывает пакеты между сервером и клиентом, но на самом клиенте при проверке подключения (Nekobox) появляется ошибка тайм-аут подключения (была еще connection reset by peer, и x509: certificate signed by unknown authority пока не разобрался с настройкой SNI). Пробовал прокинуть 443 контейнера на 4443 внешний и пересылать запросы на него но это результата не дало.
В чем мб причина что клиент не соединяется? Куда копать? Перерыл весь интернет, у пары людей получалось настроить в такой связке но я отличия в их конфиге от своего не увидел