Что происходит с VLESS+REALITY на серверах aeza?

Question

[wsspspsp]

Сегодня утром у меня отвалился VLESS+REALITY настроенный на сервере aeza. Проверил, через прослойку в виде Mullvad VPN -- все заработало. Поменял транспорт с TCP на XHTTP, но inbound до сих пор из России недоступен, при этом IP пингуется и SSH стабильно работает.

Уточнил о хостинге, потому что видел сейчас схожие сообщения о проблемах у людей, пользующийхся aeza

Что происходит? Это массовая проблема?

Comments

[maklas]

Массовая проблема. Похоже что РКН блокируют по стандартному SNI который большинство ставят себе в VLESS (google.com). Достаточно сменить на один из доступных в aeza и снова работает. РКНу спасибо что хотя бы не по ip банят и не без белого списка живем. Но посмотрим еще :)

[MegaViperDakota]

у кого vless начал отваливаться из-за dpi — вот рабочее решение
перешёл на trojan-go + tls + sni + duckdns + certbot
работает стабильно, dpi не палит, трафик выглядит как обычный https

что сделал:
установил trojan-go на vps Aeza
через certbot получил letsencrypt сертификат
использую домен с duckdns
в конфиге trojan-go указал sni = мой домен и fake remote_addr = www.bing.com

на айфоне подключаюсь через spectre vpn (бесплатный клиент, поддерживает trojan)
всё заработало сразу, сайты открываются, dpi не режет

джиттер чуть выше чем у vless, но стабильность и маскировка топ
если vless режется — переходите на trojan-go + tls + sni, реально спасает

Answer 1

[Drno]

массовая, не только у аеза

spoiler

Почему перестал работать ваш VLESS?
Скорее всего, вы использовали популярный метод маскировки: в настройках вашего VLESS в качестве SNI был указан какой-нибудь "белый", разрешенный домен, например, www.google.com, cdn.discordapp.com или что-то подобное.

До недавнего времени эта схема работала. DPI видел, что вы подключаетесь к IP-адресу вашего сервера, но в SNI было указано google.com. Система думала: "Ну, может быть, это какой-то хитрый роутинг, но раз домен хороший, пропущу".

Новая логика блокировки РКН основана на несоответствии (mismatch):

DPI видит ваш пакет: Он идет на IP-адрес вашего сервера (допустим, 12.34.56.78).

DPI читает SNI: Внутри пакета он видит SNI, например, www.google.com.

Проверка соответствия: Система DPI мгновенно делает DNS-запрос: "А какой реальный IP-адрес у www.google.com?". Она получает ответ, например, 142.250.203.196.

Блокировка: DPI сравнивает IP-адрес назначения (12.34.56.78) с реальным IP-адресом из DNS-запроса (142.250.203.196). Они не совпадают! Это явный и очень надежный признак того, что кто-то пытается замаскировать свой трафик под Google. Такое соединение немедленно блокируется или обрывается.

Вот что случилось с вашим VPN. Старый метод маскировки, когда SNI и реальный IP-адрес сервера не совпадали, был раскрыт и теперь активно блокируется.

Comments

[Zerg89]

DPI сравнивает IP-адрес назначения (12.34.56.78) с реальным IP-адресом из DNS-запроса (142.250.203.196). Они не совпадают! Это явный и очень надежный признак того, что кто-то пытается замаскировать свой трафик под Google. Такое соединение немедленно блокируется или обрывается.

Очень спорный признак, roundrobindns никто не отменял, и геораспределение dns-зон тоже, так что это будет работать очень криво, в плане ложноположительных срабатываний

[Ziptar]

Zerg89,

Очень спорный признак, roundrobindns никто не отменял, и геораспределение dns-зон тоже, так что это будет работать очень криво, в плане ложноположительных срабатываний

Если строго так, как в описании под спойлером - да. Но не обязательно делать настолько примитивно. И скорее всего оно и сделано не так примитивно. Ничто не мешает использовать кэш dns, и сверять с множественными ответами за n-ое время. Всё равно так или иначе он в тспу есть.

[Drno]

Zerg89, ну эт не мой текст, я просто разместил объяву...)
по факту моей лично проверки выяснилось что проверяется соостветствие SNI и сертификата ssl на сервере. тоесть с невалидным ssl сертом, я не смог подключиться к вебсокетам на сервере. как только серт валидный подставил - всё полетело

Answer 2

[kenzoxai]

переустановил ОС без расширения от аезы. установил самостоятельно сервер согласно описанию в гитхабе. sni не гугловский. заработало.

Comments

[hausi]

можно ссылку на гит?

[kenzoxai]

hausi, https://github.com/MHSanaei/3x-ui#quick-start

[kenzoxai]

у кого заработало поставьте лайк на этот коммент, чтобы понимать статистику.

[Drno]

kenzoxai, предполагалось что ты попробовал смену SNI, это первое что надо было делать)

[Chtets7788]

kenzoxai, тоже сервер от аезы. Швеция. все стабильно работало примерно до 12.10.
- переустановил сервер
- переустановил 3x-ui по ссылке https://github.com/MHSanaei/3x-ui#quick-start
- выбрал SNI google.com - не заработало
- поменял на другой - тоже нет эффекта
- в панели 3x-ui вижу что клиент в "офлайн" даже не подключается выходит
- использую клиент V2rayN.
- продолжаю дальше искать причину

[kenzoxai]

Drno, так и было. поменял sni - не заработало. попросил друзей из не рф попробовать подключиться - тайм аут. что я не могу объяснить, если проблема в ркн.
какой sni вписал и от куда взял - писать не буду) - боюсь что заблочат его при массовом использовании)

[hausi]

kenzoxai, Попробовал Trojan поднять на скорую руку взлетело

Answer 3

[aid007]

у меня тоже вчера днем отвалился Vless на панели 3x-ui, писал в поддержку ...они прост о шаблонный ответ скидывают :
Здравствуйте, вероятнее всего ваш прокси/VPN не работает из-за новых ограничений РКН, мы написали инструкции что нужно перенастроить для восстановления работоспособности прокси/VPN

Если, на вашем сервере установлена 3x-ui панель, рекомендуем ознакомиться со следующей инструкцией:
https://github.com/YukiKras/russia-vpn/blob/main/R...

Если, вы не можете зайти на саму 3x-ui панель, то рекомендуем ознакомиться со следующей инструкцией:
https://github.com/YukiKras/russia-vpn#у-меня-пере...

Если, на вашем сервере установлена Marzban панель, рекомендуем ознакомиться со следующей инструкцией:
https://github.com/YukiKras/russia-vpn/blob/main/R...

В случае если у вас установлено что-то другое, то пожалуйста, ознакомьтесь с этой инструкцией: https://github.com/YukiKras/russia-vpn#у-меня-пере...

Для наибольшей надёжности работы Vless рекомендуем настроить SelfSNI.
Его можно установить автоматически следуя этой инструкции: https://wiki.yukikras.net/ru/selfsni

Или вручную следуя этой инструкции: https://wiki.aeza.net/aezawiki/nastroika-sni-saita...

Естественно ничего не помогает ...переустанавливать вообще не хочется ..смотрю кому-то помогло...

я прочитал комментарий парня у которого выше получилось починить ,он сделал то же самое ,что поддержка мне отправила ,но мне не помогло 1 пункт

Comments

[maklas]

Не разобрался как тут в личку писать. Второй комментарий мой тоже удалили, хотя я там ничего плохого не написал. Ну тебе в пиьсме на почту дойдет, если и этот удалят)

Короче, твой же гайд: https://github.com/YukiKras/russia-vpn/blob/main/R...

Меняешь Target/SNI на tbank.ru
Тоже самое делаешь на устройствах которые подключаются к впну. У меня помогло. С МТСа и Ростелекома блочило, с таким SNI разблочило

[alpha_man]

Помогло, но с мобильного мегафона всё равно таймаут

Answer 4

[GEN_18]

Решение есть. Но оно мне не нравится.

нужно менять в конфиге SNI на белые. и тогда пересоздавать конфиги подключения клиента.
это не прикольно.

Comments

[Drno]

ну а что делать, привыкай)

Answer 5

[Valdemar Smörman]

Проверил сейчас у себя, сервак дойч, Debian 13 от:

хостер

u1host

VLESS+REALITY настроен в панели Marzban (в докере с Xray).
На клиенте катаюсь через:
Throne
Всё арбайтан без проблем!

Там же на серваке обычно ещё установлены:
XRay+3x-ui

В 3x-ui настроено:
XHTTP+REALITY
На клиенте катаюсь по нему через:
v2rayN
Всё также шикардосно арбайтан!

Answer 6

[den20845]

Получилось исправить, заменив sni на свой домен. У меня marzban, веб панель запущена на :8080, указал этот порт в sni.

Comments

[den20845]

+на сайте регистратора доменов добавил запись типа A и указал IP сервера.

Answer 7

[chapai518]

Заменил SNI на свой домен формируемый бесплатно через nip.io, и вывесил на внешний порт 8080 после чего заработало. Видимо блочат и порты кастомные до аезы и SNI.
Судя по отзывам коллег у кого-то продолжает работать у кого-то отвалилось, у некоторых вчера у некоторых сегодня, преимущественно Нидерланды отвалились, но видимо это обкатка, вопрос времени когда дойдёт до всех.

Answer 8

[MikaelTar]

Я заменил Заменил SNI и Dest (Target) на один из тех что открываются по ссылке из техподдержки, порт с 443 не менял, обновил конфигурацию и подключил ее в приложении, все заработало.

Answer 9

[Oleg_3541]

По совету друзей снес сервак, настроил бинарём и старым конфигом, ничего не заработало, было несколько инбондов с SNI озон, вк, ещё какойто. методом подбора стал перебирать другие SNI, с некоторыми заработало, фух

Answer 10

[sorotoga]

Что характерно ,замена SNI на озоновкий помогло ,все работает. Но есть нюанс. Не работает через мобильную сеть. По крайней мере мегафон СПБ не пашет. Домащний работает