Comments 198
Спасибо за статьи, сильно помогли. Хотел добавить, что также существует клиент на роутеры Asus - "Merlin Clash". Главный минус - клиент и требуемая прошивка добавляющая дополнительное меню (Asus Merlin-Koolshare) полностью на китайском. Ссылка на неполную англ. инструкцию - MerlinClash - WannaFlix.
PS: Если кому-то захочется его использовать, то найдите настройки DNS и уберите все китайские.
Просто КАЙФ!!!!
Спасибо за ваш труд, теперь отпал вопрос какой из кучи интерфейсов использовать)
Присоединяюсь ко всем благодарностям, очень большое Вам ещё одно спасибо за то, что популяризуете эту тему! И притом, в статье Вы покрыли все возникшие вопросы, особенно если читать гайд чуть забегая вперед и открывая спойлеры.
У меня, к сожалению, не получилось завести рабочее соединение с обоими inbounds, но я c участием traefik делал (мне бы хотелось чтобы вопросы с сертификатами он на себя брал), в целом результат, пожалуй, предсказуем. URL тест провал у обоих новых соединений, но vless пингуется, хотя скорее всего это просто сабдомен на который я выставил панель, тоже 443 порт.
Проект действительно ещё только в ранней стадии, не хватает каких-то ожидаемых вещей — того же логирования, Вы уже это отметили. Тут возможно бы помогли энвы XUI_LOG_LEVEL='debug' и/или XUI_DEBUG=true.
На мой взгляд из ещё не хватающего проекту:
Сильно больше энвов, — для админских логина-пароля, для блокировки-разрешения соединений (торренты/реклама) и т.д. Те 4 штуки что есть сейчас на момент написания комментария какие-то бесполезные конечному юзеру.
Чуть больше примеров бы хотелось, с тем же traefik.
Было бы идеально отключать ненужные фичи — например, не нужен мне ещё один мониторинг CPU/RAM, тут он видимо больше для Telegram бота
Некоего быстро настраиваемого ультимативного шаблона, подходящему 95% пользователей, чтобы можно было 2 соединения из статьи настроить в минимальное количество кликов. Точнее, все, которые могут в теории понадобиться, включая упомянутые фоллбеки использующие grpc/websockets.
P.S. пока пытался добавлять соединения в Shadowrocket, сосканировал QR из статьи случайно, ха-ха
Я себе таки настроил Reality через traefik.
Идея в том, что нужно создать роутер, который будет отправлять запросы на поддельный адрес (www.microsoft.com в моем случае) на 443 порт контейнера. Для этого используется директива HostSNI.
443 порт в контейнере должен быть свободен, веб-морду и сервис подписок вешайте на другие порты (я на них делаю роутинг через отдельные поддомены, traefik запрашивает сертификат сразу на все поддомены, wildcard certificate).
Вот так выглядит мой docker-compose:
version: "3.9"
services:
xui:
image: alireza7/x-ui
container_name: x-ui
volumes:
- ПУТЬ_ДЛЯ_БЕКАПА_НАСТРОЕК:/etc/x-ui/
environment:
PUID: 1000
PGID: 1000
TZ: America/Los_Angeles #ПОМЕНЯЙТЕ НА СВОЙ ЧАСОВОЙ ПОЯС
XRAY_VMESS_AEAD_FORCED: "false"
networks:
- intranet
restart: unless-stopped
labels:
- traefik.http.routers.xui.rule=Host(`xui.ДОМЕН_TRAEFIK.com`)
- traefik.http.routers.xui.service=xui-web-config
- traefik.http.services.xui-web-config.loadbalancer.server.port=54321 #ПОРТ ДЛЯ Web-морды
- traefik.http.routers.xui-sub.rule=Host(`sssub.ДОМЕН_TRAEFIK.com`)
- traefik.http.routers.xui-sub.service=xui-subscription
- traefik.http.services.xui-subscription.loadbalancer.server.port=4433 #ПОРТ для подписок
- traefik.tcp.routers.vless.rule=HostSNI(`www.microsoft.com`)
- traefik.tcp.routers.vless.tls.passthrough=true
- traefik.tcp.routers.vless.service=xui-reality
- traefik.tcp.services.xui-reality.loadbalancer.server.port=443
networks:
intranet: #СЕТЬ В КОТОРОЙ РАБОТАЕТ TRAEFIK
external: true
Единственная проблема в том, что в веб-морде неправильно отображается ссылка на подписки, приходится менять http на https в начале и удалять порт. Если кто-то знает где это принудительно настроить, буду очень благодарен.
Все настроил, но не завелось, завтра еще покопаюсь, через QR code пароль профиля тоже криво копирует
Спасибо за отличную статью. А кто-то пробовал проксирование через nginx делать?
i know that such comments brings you energy for it
:)
на каких принципах реализованы блокировки доменов/торрентов? днс?
Доступ к панели c HTTPS можно подключить, на гитхабе проекта есть инструкция.
Очередное спасибо за такое грамотное просвящение. Shadowsocks встал сразу, а вот с xtls-reality что-то не получилось, и т.к норм логов нет, непонятно почему. Из прошлого гайда у меня оставался обычный xray, я его поставил в статус inactive, он же не должен активным быть в системе? И вроде бы конфликтов никаких нет и статус xray стоит как running
Подскажите, настройка direct по geoip для России у кого-нибудь заработала? Поставил отметки, но всё равно через прокси идёт. Проверял яндексом.
На сервере.
Выставляю галки "Direct connection to Russia IP ranges" и "Direct connection to Russia domains" в Xray Configuration>Direct Country Configs.
Ничего не происходит, весь *.ru через прокси идёт. Хотя настройки Block Country Configs работают (отдельно выставлял, вместо директ, не вместе).
Через windows клиент, по вашей методичке из предыдущей статьи отлично работает.
Если через маршруты в Nekobox на android такое настроить, то работает паршиво.
Первое посещение домена *.ru заканчивается "не удаётся получить доступ к сайту", с энной попытки перезагрузить страницу проваливается в direct.
По этому хотел на сервере настроить.
Интересно, API routes указанный на GitHub, кто-то использовал? Как это работает? Я пытался через телеграмм бота подключаться (по мимо возможности настройки бота в панели, он кстати хорошо работает но не очень функционален), как то не получается(((
А никто не знает панель, которую можно было бы развернуть у себя локально, чтобы настраивать сразу несколько удаленных серверов, собирать статистику по пользователям сразу со всех серверов?
Я нашел одну (https://trojanpanel.github.io/), даже получилось развернуть ее, кое-как работает. Но во-первых, сам код панели закрыт, а во-вторых она требует неимоверного количества открытых наружу портов для функционирования.
Все работает. Но, одно непонятно:
Почему у клиентов теперь все предложения на YouTube, в браузере тоже хоть сбрасывай все настройки, показывает Тегеран. У этого xray...весь трафик прогоняется через какой-то сервер в Иране?
можете подсказать как бы настроить "постоянный протокол ws" + tls ? мне нужны сертификаты... где их добыть и как их внедрить ? да ваша инструкция хороша но на айфоне нету Wings X , а Shadowrocket кривой (
Wing X, поменял региональную доступность для сторов
Подскажите настроки geoip для Shadowrocket.
Спасибо! у Shadowrocket (iOS) вышло обновление, завезли поддержку Reality.
Не смог зарегистрироваться в dev.maxmind.com, не нравится почта (пробовал разные) и говорит что сижу через VPN. Домашний/рабочий ip, vpn разных локаций, толку ноль.
Кривой он кревее не бывает ... он так " с коробки" и не запустился... поставил x2box и пошло как по маслу
как shadowrocket подружить с ss, который генерит 3x-ui?
раньше без панели 3x-ui в xray можно было указать один пароль
"port": 111,
"protocol": "shadowsocks",
"settings": {
"method": "2022-blake3-aes-128-gcm",
"password": "1111",
"network": "tcp"
3x-ui генерит два пароля, а в shadowrocket только один пароль можно указать.
"port": 111,
"protocol": "shadowsocks",
"settings": {
"clients": [
{
"email": "em@il",
"password": "1111"
}
],
"method": "2022-blake3-aes-128-gcm",
"network": "tcp",
"password": "22222"
},
Спасибо за статьи, сильно помогли. Хотел добавить, что также существует клиент на роутеры Asus - "Merlin Clash". Главный минус - клиент и требуемая прошивка добавляющая дополнительное меню (Asus Merlin-Koolshare) полностью на китайском. Ссылка на неполную англ. инструкцию - MerlinClash - WannaFlix.
PS: Если кому-то захочется его использовать, то найдите настройки DNS и уберите все китайские.
Такой вопрос, можно ли как-нибудь настроить DNS over HTTPS формата "https://dns.google/dns-query" , хочу чтобы рекламу резало на уровне dns, но не могу разобраться как правильно вписать это в конфиг в json формате.
И второй вопрос, хочу настроить чтобы все российские сайты шли напрямую, но чтобы это было настроено на сервере, а не на клиентской стороне, возможно ли такое?
Хорошо что хотяб можно на 443 порту добавить сотню и более пользователей с разным ip)
Жаль что они никак не сделают 1 классную панель.
В панели Libertea - https://github.com/VZiChoushaDui/Libertea
есть 2 классных фишки - мультисерверность и возможность добавить "вторичные" сервера. Но при этом нет современных протоколов (((
В панели 3x-ui - всё круто, но нет мультисерверности. Придется придумывать как это реализовывать.
И ни в 1й, кроме hiddify, нет MTproxy для телеги (
А в hiddify нет ограничений по количеству одновременных сессий для юзера (
Спасибо, я пока сам не пробовал, лишь видел упоминание этой панели в официальных рекомендациях от Xray. Можешь подсказать про мультисерверность? Она умеет настраивать несколько удаленных серверов, как я спрашивал в этой ветке, или просто соединять их в цепочку (inbounds / outbounds)?
я поторопился, не изучив. Общий смысл "мультисерверности" в LiberTea - возможность из веб интерфейса подключить к панели еще 1 "сервер"
на этом "вторичном" сервере по сути они ничего не делают, только создают там конфиг haproxy в докере, и проксируют весь траф на первичный сервер))
Ну добавляют естественно такие же порты и протоколы, что и на основном сервере
так что никакой "мультисерверностью" там и не пахнет
@Drno Дружище, приветствую! "А в hiddify нет ограничений по количеству одновременных сессий для юзера (" - здесь ты имеешь в виду чтобы один конфиг был только для 1 устройства? Вот например на Pritunl можно можно поставить такую галочку как "Disable multiple devices". В этом случае запрещается одновременное подключение двух разных устройств с одного конфига. На практике это работает так - они просто "перебивают" друг друга. Тоесть если ты включил у себя, а твой друг включит у себя, то тогда у тебя соединение разорвется. И соответственно наоборот. Так вот к чему я это пишу - возможно ли что-то подобное сделать на 3X-UI ? Просто ты пишешь про hiddify и я подумал, может ты знаешь как это сделать в 3X-UI. Видел там есть ограничение по IP, но как это работает пока нифига не понимаю. Поставил значение 1(чтобы не больше одного), сохранил настройки на серваке, на двух устройствах обновил подписку(URL конфиг один и тот же есно) - хоть бы хны! Сначала включил на айфоне, даже включил видео на ютубчике. Потом запустил этот же конфиг на андроиде, он спокойно подцепился и тоже начал гонять трафик. Причем сначала он ничего не пробивал, но после пары обновлений страниц в браузере все завелось. Также ютуб и остальные приложение, везде все прогружалось. При этом на айфоне соединение тоже осталось активным, гоняло трафик и даже не думало отключаться. При всей продуманности 3X-UI(просто мечта впнщика), как они могли так облажаться с такой элементарной необходимой функцией - я не понимаю, правда. Есть ли решение этой проблемы в этой панельке? Просто получается, что одной подпиской может пользоваться хоть целый город, а так не пойдет.
Я еще не проверял этот функционал досконально. Но объяснение, которое я находил на гитхаб, было такое - мол при подключении 2го клиента, 1й отключается в течении минуты.
Так еще было что то про добавление строки команды в кронтаб... подозреваю для отслеживания как раз изменений в IP... но не могу пока ссылку нарыть. это было в одном из форков указано
Этих форков куча на github, вот один из основных, может он будет лучше.
https://github.com/FranzKafkaYu/x-ui/blob/main/README_EN.md
Забавно, как только ответил - нашлась ссылка. Если я правильно понял - это будет работать только если внешние IP у клиентов разные ))
https://github.com/NidukaAkalanka/x-ui-english#ip-limitation-and-multi-user-on-same-port
Ну мы с ребятами будем запускать через какое то время это для определенного региона, и нам надо будет в том числе ограничивать скорость. Пока тестирование показывает что придется всех перенаправлять на локальный прокси, там уже резать скорость. По идее там же можно и количество подключений урезать, если не будет оно работать из коропки..
Но тут придется дописывать либо кусок сервера, либо скриптами обходиться... пока точно не знаю, всё в процессе
Могу только сказать, что мысль - промаркировать трафик клиента, далее перенаправить на прокси (3proxy к примеру), далее уже лимитировать скорость и количество подключений.
Но тут придется в под каждого юзера вносить изменения в серв конфиг Xray - который config.js...
Спасибо, прочекаю ссылки. Ну вот смотри, по идее, а как он определяет, какой именно конфиг подключился к серверу? Правильно, скорее всего по id или ключу.
Так почему разрабам было сложно таким же образом маркировать кол-во подключений на 1 конфиг? Ведь по идее, у нас есть несколько способов понять, кто именно подключился и держит соединение:
1. email клиента(в 3x-ui графа при добавлении клиента);
2. Имя подписки(тут отметаем, поскольку не все будут использовать режим подписки, нужен более универсальный метод);
3. Для Reality - по id, а для SS password. Определяется и назначается в панели автоматически;
4. Ограничение общего кол-ва устройств. Пример: допустим мы добавили 5 пользователей, ставим макс ограничение на сервере в 5 устройств и вуаля! Больше 5-ти устройств априори не подключиться.
Тоесть понятно, что способы идентифицировать подключение имеются. И не совсем понятно, почему разрабы выбрали именно по IP.
"Но тут придется в под каждого юзера вносить изменения в серв конфиг Xray - который config.js..." - возможно ты прав, только чтобы ручками потом все это дело не редактировать под каждого, можно добавить этот пунктик сразу в панель. Еще на этапе добавления этого самого конфига в систему. Вопрос в другом, есть ли среди существующих форков хоть один, который нормально работает с ограничением по ip? Попробую поиграть с настройками на 3x-ui, исходя из тех ссылок, что ты скинул. Если не проканает, буду пробовать баловаться с другими форками.
П.с. На данный момент 3x-ui работает коряво с ограничением по ip. На этапе добавления конфига ставлю циферку 1, т.е. не более одного. В итоге работает это примерно так: я подключаюсь с основного устройства, включаю видео в инсте. После этого, по этой же конфигурации подключаюсь с другого устройства. Сети использую разные, у одного WF, у другого LTE. В итоге на втором устройстве подключение проходит успешно, но трафик сначала не идет(поиск и переход по стр. в браузере, приложения итд). После он начинает потихоньку пробиваться, то инста прогрузиться, то браузер, то телега и так по кругу. Тоесть переодически какой-то трафик гасится, а какой-то нет. Да конечно можно предположить, что юзер который решил схалявить и схитрить и это выбесит, но не слишком наверняка.
Причем потом добавил это же подключение и на 3-е устройство, уже под андроидом - тоже все криво со скрипом, но работало. Что еще интереснее, видимо он смотрит именно по активности трафика, а не самого факта подключения к серверу. Как только с основного устройства отправляешь телефон на блокировку экрана, тут же на 2-ом все начинает работать вообще без каких-либо сбоев.
Итого - мне не совсем понятно, нафига там вообще тогда можно создавать разные конфиги, если можно создать всего 1 и раздать хоть всей планетушке :) У меня было предположение, что возможно трафик пробивается на 2-ом устройстве, потому что сервер работает в режиме ipv4 и ipv6 одновременно, что из-за этого ip детектер работает коряво. Не знаю насколько это может быть правдой, но а вдруг?
Кстати говоря, если по этому протоколу худо-бедно можно настроить ограничение по ip, то может как-то возможно искоренить эту ситуацию еще на этапе добавления конфига(подписки)? Допустим, один юзер добавил на свой девайс подписку, добавил себе и дал своему другу. Тот пытается добавить подписку и себе, но обламывается, ему возвращается ошибка. Или это вообще нереально?
Не могу ответить на вопросы по ограничению, т.к. не разраб на GO ... вообще не разраб) но в целом мне тоже не понятно, насчет ограничений, почему так криво сделано)
Почему на втором работает при неактивности первого - потому что это ПРОКСИ, это не VPN сервер. у него как такового постоянного подключения к серваку нет. Только когда активные запросы идут...
Насчет ipv6 ничего сказать не могу. но вполне реально что для сервака это 2 разных "запроса" - через ipv4 и через ipv6
Нашел вот такой момент, что за пункт maxclient? За что он отвечает?
Прочекал ссылку что ты дал, не заметил разницы в коде с тем, что у меня в настройках. Разве что лишь про днс там удалено. Хз повлияет ли как-то это или нет. Придется наверное еще другие панельки потестить, как у них реализована блокировка лишних ip.
Вообщем автор всё расписал правильно про протокол прокси. С ограничением на кол коннектов реально перестает грузится часть сайтов \ окон \ рекламы итд...
Это происходит при указании низкого connlim в конфиге 3proxy
По сути варианта решения толком не существует.
С ограничением скорости решили - перенаправив каждого пользователя на 3proxy с авторизацией и ограничив уже там скорость
вот такими параметрами
bandlimin 1048576 user9
bandlimout 1048576 user9
Ну и щас в 3proxy есть скрипт на добавления юзеров изкоропки, пришлось его немножко поправить, чтобы он добавлял и параметр bandlimout.
Начало скрипта теперь вот так выглядит
if [ $4 ]; then..
<------>echo bandlimin $4 $1 >> /etc/3proxy/conf/bandlimiters
echo bandlimout $4 $1 >> /etc/3proxy/conf/bandlimiters
fi
Обнаружена утечка ip по webRTC кода используешь NEKORAY + windows. Подскажите почему?
Добавьте расширение в браузер: WebRTC Control - Интернет-магазин Chrome (google.com) и утечка реального ip прекратится.
Ещё 5 коп.
При использовании dns cloudflare (1.1.1.1) в тестах а-ля "DNS Leak Test", помимо прочих, нерусских, лезут российские ip-шники DNS серверов cloudflare.
Почему то никак не работает маршрутизация для зоны RU в Nekobox. Пытался использовать ваши правила и способ пользователя через regexp - вылетает вот это окно. Почему?
Спасибо в первую очередь за мануал и за развитие темы!
Удалось все сделать, но есть маленький нюанс, простой SS имеет очень длительный handshake 4200 мс и не открывается ни один сайт, с Vless+reality все четко handshake 400 мс и все открывается, как запустить работу простого SS или тупо забить.
приложение android vrayng последняя версия.
Автор, при попытке запуска докера выдает ошибку, не пойму в чем дело.
root@ubuntu-8gb-hel1-2:~/3x-ui# docker-compose up -d
ERROR: Version in "./docker-compose.yml" is unsupported. You might be seeing this error because you're using the wrong Compose file version. Either specify a supported version (e.g "2.2" or "3.3") and place your service definitions under the `services` key, or omit the `version` key and place your service definitions at the root of the file to use version 1.
For more on the Compose file format versions, see https://docs.docker.com/compose/compose-file/
пысы. Ubuntu 20.4
Обновился до 22.04 - все запустилось, благодарю! Подскажи еще, сколько максимально узеров можно добавить?
Я наверное совсем нубай тугой. Вопрос такой, я изменил корневой каталог и порт на веб морде, но теперь никак не могу зайти на нее :DD
Как верно прописать то в адресной строке теперь?
Благодарю дружище! Ты проделал такую огромную работу, просто чтобы у людей была возможность пользоваться тем чем хочется, а не тем, что тискает РКН. Дай вселенная тебе и твоей семье всех благ и здоровья!)
Обнаружил такой момент, при попытке что-либо найти через поисковик, выдает вот это:
03. That’s an error.
Your client does not have permission to get URL /search?q=%D1%87%D1%82%D0%BE+%D0%BF%D1%80%D0%B8%D0%B3%D0%BE%D1%82%D0%BE%D0%B2%D0%B8%D1%82%D1%8C+%D0%BD%D0%B0+%D0%BE%D0%B1%D0%B5%D0%B4&rlz=1CDGOYI_enRU758RU758&oq=&aqs=chrome.3.69i58j69i177j69i64j0i66i67i308i362i524i650l8j35i39i362i524l5j46i39i175i199i362i524j35i39i362i524j46i39i175i199i362i524j35i39i362i524.197954j0j9&hl=ru&sourceid=chrome-mobile&ie=UTF-8 from this server. That’s all we know
Что можно прикрутить по другому в настройках? Потому что клиентам все с гуси вода, нет поиска и "нафик нужОн тогда ваш впн дерьмовый"(с) любой юзер.
Насчет бана исключено, потому что другу скинул, у него на ios через Foxray все работает. Еще одно наблюдение - именно на SS, на Re нифига. А у меня ни там, ни там. Еще момент такой, на версии для Mac Nekoray не пойму как добавить подключение по Subscribe, как там это сделать?)) Вижу только, что вручную можно настройки ввести, но это жуть.
Не в курсе случайно, возможно ли как-то ограничивать подключения с одного конфига(в т.ч. ссылки url)? Чтобы например если одному юзеру дали ссылку, а он ее не раздал нахаляву всему городу. Тоесть 1 устройство = 1 конфиг. Видел там ограничение по ip адресу, он пишет что якобы если более 1, то сбросит соединение. Но на деле я закинул ссылку на два устройства, на одном вф, на другом лте - оба подключились без проблем и гоняли трафик. Это просто никуда не годится для массовости. Неужели не продумали разрабы до конца такой тонкий момент(
Одна из фич Trojan-Go: https://github.com/Potterli20/trojan-go-fork
ipLimit в конфигурации.
Реализовали в 3x-ui через fail2ban: https://github.com/MHSanaei/3x-ui/releases/tag/v1.7.0
А вот такой вопрос: настроил сервак с vless+reality на 443 порту с мимикрией под майкрософт, но при попытке курлануть их сайт или сходить на него браузером (с правкой hosts файла) получаю ворнинги о невалидном сертификате. И только после подключения к тоннелю мой сервак начинает правильно редиректить на майкрософт. Что не так, куда копать?
Пока коммент модерировали, разобрался, всё ок. В конфиге был прописан microsoft.com как SNI, а в курле и в хостах я пробовал www.microsoft.com.
Развивая тему, не попадался ли вам вариант поднятия x-ui сервера внутри openwrt? И ещё интересно, есть ли виндовые клиенты с killswitch?
PS: спасибо за статьи!
Подскажите пожалуйста. Устанавливаю по инструкции с гитхаба 3x-ui (x-ui тоже пробовал)
По логам установка проходит успешно и через докер и через скрипт, но подключиться к серваку не получается, порт недоступен.
посмотрел netstat -tulpn |grep x-ui , а там прослушивание нужного порта только на ipv6.
Как сделать что бы этот 3x-ui начал слушать ipv4?
Линукс меня не перестает удивлять.. Я перед тем как писать коммент специально проверил - не блочит ли файрволл этот порт. Отключил его на всякий случай, на запрос "ufw status" он сообщал что статус - inactive.
Сейчас просто для теста ещё раз его отключил и страница авторизации открылась..
А вот по поводу того что "tcp6 :::" означает что прослушивается и ipv6 и ipv4 - не знал, спасибо)
Пытаюсь подключиться к Tor через прокси на порту 2080, который открывает NekoBox (принимает HTTP и SOCKS). Через HTTP Tor подключается, а через SOCKS - нет, ругаясь на TLS:
Jun 06 13:59:16 debianvm tor[7402]: Jun 06 13:59:16.000 [warn] Problem bootstrapping. Stuck at 10% (conn_done): Connected to a relay. (TLS_ERROR; TLS_ERROR; count 33; recommendation >
Jun 06 13:59:16 debianvm tor[7402]: Jun 06 13:59:16.000 [warn] 33 connections have failed:
Jun 06 13:59:16 debianvm tor[7402]: Jun 06 13:59:16.000 [warn] 33 connections died in state handshaking (TLS) with SSL state SSLv3/TLS write client.
При этом команда curl --socks5-hostname 127.0.0.1:2080 ipinfo.ioработает как положено, выдавая IP VPS, где крутится XTLS-Reality.
Под Win7 аналогично.
В чем может быть дело?
Спасибо огромное за статью, всё встало, как надо.
Единственное, подскажите, как прописать пути к сертификатам?
у меня постоянно вылезает ошибка:Modify Settings Fail: cert file </root/certs/cert.pem> or key file </root/certs/privkey.pem> invalid: open /root/certs/cert.pem: no such file or directory
Разобрался, я неверный файл указывал изначально. Вот правильный вариант.
Выше это был 3x-ui и там все получилось.
Решил я x-ui попробовать, сделал всё также, но опять ошибка вернулась.
Вы зачем делаете симлинк на симлинк можно спросить?)
Имею крайне мало опыта в работе с Линуксом, поэтому могу допускать ошибки.
Видимо это одна из них.
И всё таки, что я делаю не так? Почему x-ui не принимает мои пути до сертификатов?
таким образом попробовал - все работает. alireza x-ui 1.5.0
вы указываете /root/cert, а сертификаты в /root/certs?
пропишите напрямую в /etc/letsencrypt/live/domain/
Сертификаты в /root/cert и пути такие же. Там выше просто экспериментировал.
Напрямую тоже прописывал и та же ошибка.
В общем не могу понять, что не так.
Можно указать сертификаты в xray, сделать fallback на nginx, в nginx проксировать на x-ui.
Не надо никакие http/s порты выставлять наружу дополнительно.
Hidden text
{
"listen": "0.0.0.0",
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
{
"email": "1111",
"flow": "xtls-rprx-vision",
"id": "222"
}
]
"decryption": "none",
"fallbacks": [
{
"dest": "8001",
"xver": 1
},
{
"alpn": "h2",
"dest": "8002",
"xver": 1
}
]
},
"streamSettings": {
"network": "tcp",
"security": "tls",
"tlsSettings": {
"minVersion": "1.3",
"rejectUnknownSni": false,
"certificates": [
{
"certificateFile": "/etc/letsencrypt/live/domain/fullchain.pem",
"keyFile": "/etc/letsencrypt/live/domain/privkey.pem"
}
],
"settings": {
"allowInsecure": false,
"fingerprint": "random"
}
}
}
}Hidden text
location /xui {
auth_basic "Administrator Area";
auth_basic_user_file /etc/nginx/.pwd;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 600;
proxy_redirect off;
proxy_pass http://127.0.0.1:2053;
}
Hidden text
Странная ситуация. FoXray не читает QR код, пишет не корректные настройки. В то время этот же QR залетает в V2Box на ура. В чем может быть затык, что я упустил?
Спасибо огромное за статью!
Ну, раз вчера грянул гром, решил перекреститься и воспользоваться этим гайдом. В процессе у меня возник вопрос. Как я понимаю тут поднимается два inbound: shadowsocks и vless — это для того, чтобы быстро переключаться с одного на другой, или так строится из них цепочка? Просто я сначала создал shadowsocks попробовал сделать подключение через qr-код — импортировалось, вроде все правильно, но тесты подключения не проходят в итоге. Добавил подключение vless — все работает. И вот непонятно, мне надо пытаться с shadowsocks разбираться, почему там тест не проходит, или забить.
Чтобы переключаться (два альтернативных варианта). Можно забить.
Меня просто смущает, что в одной из статей рассказывалось, что vless не предусматривает шифрование (мол этим должен как раз нижележащий транспорт потипу shadowsocks заниматься). Вот и подумал, что тут как раз цепочка строилась.
Не, насколько я понимаю, шифрованием в этой схеме занимается браузер (либо любое другое приложение), который ходит по httpS, а vless специально не перешифровывает шифрованное повторно, чтобы https over https нельзя было задетектить по соотношению числа нулей и единиц.
В статье описывается настройка VLESS+Reality - оно мимикрирует под просмотр страниц по HTTPS, соответственно, шифрование есть.
Как сделать так, чтоб трафик шел только в локальную сеть сервера, но при этом все внешние ресурсы не заворачивались в VPN?
Попробовал на замену скрипта от ФранцаКафки ( в последней версии какой-то баг после апдейтов- не добавить инбаунд).
Все понравилось, кроме одного.. не работает соединение через Shadowsocks-2022. Все делал по гайду вашему. Порты открыты.
Reality же работает прекрасно.
В качестве клиента использую Некорэй
Есть какие-нибудь идеи? У вас SS2022 работал с Некорэем?
и указать путь к ключам в панели в виде /root/cert/privkey.pem и /root/cert/public.crt
Как только не подсовывал, и файлами и симлинками, не видит докер этих файлов
в компоузе замените строку подключения вольюма с сертами на такую(domain.name замените на ваш домен соответственно):/etc/letsencrypt/archive/domain.name/:/root/cert/:rw
# docker exec -it 96467d9ddafc ls /root/cert
README cert.pem chain.pem fullchain.pem privkey.pem
Внутри докера файлы вижу, а вот содержимое не читает
# docker exec -it 96467d9ddafc cat /root/cert/cert.pem
cat: can't open '/root/cert/cert.pem': No such file or directory
в папке /etc/letsencrypt/archive/domain.name/ серты лежат с именами cert1.pem, privkey1.pem, в папке /etc/letsencrypt/live/domain.name/ лежат симлинки на серты в архиве, их докер видит но не понимает
У меня там лежат cert1,pem, cert2.pem и остальные с такой же нумерацией.
Я беспокоюсь, вдруг они при следующем обновлении опять имена файлов поменяют, поэтому я и натравливал на live папку
Удалось скормить серфтификаты
Но сообщение вверху панели так и осталось
Security Alert
This connection is not secure; Please refrain from entering sensitive information until TLS is activated for data protection
Извиняюсь, надо было перезагрузить панель
А кто-нибудь может подсказать как обновить версию внутри докера? (https://github.com/alireza0/x-ui). Чтобы настройки не слетели никакие. Спасибо. У меня 1.5.2, а в гитхабе пишет уже 1.5.3. вышел релиз.
Спасибо за статьи. Дико интересно и полезно разобраться, что в этом мире есть помимо обычных ovpn и l2tp.
Установил как указано в статье, но возникли некоторые проблемы с настройкой SSL сертификатов. Но больше всего мучает другой вопрос. Вы не тестили работает ли Foxray с подписками из (3)X-UI? На Android подписки заработали с v2rayNG, а с iOS не взлетело. Сами конфиги не по подпискам работают без нареканий, но хотелось бы настроить всё-так Subscriptions.
Подскажите, как запустить телеграм бота?
Вроде всё делаю по инструкции, но когда пишу боту - он на меня никак не реагирует. Как можно проверить статус бота? Как понять, может надо какие-то дополнительные порты ему открыть? Использую хостинг digitalocean/ubuntu22+docker. Сам впн работает и нужные порты открывает, когда создаю новые подключения.
Update: я вместо id передавал имя пользовалетя, мой косяк. Всё заработало.
Подскажите, а как обновить версию 3x-ui чтобы ни настройки, ни клиенты не слетели? Изначально устанавливал НЕ через докер
У меня 3x-ui прижился за Traefik. Vless-Reality на :443 в TCP роутере, Shadowsocks на :80 тоже в TCP роутере. Панель и подписки за HTTP роутерами. Никто никому не мешает, HTTP роутеры обычных сервисов не пострадали.
Всё же Shadowsocks забирает и закрывает обычные соединения, не направленные к нему. Пришлось пересадить на другой порт.
А не можете ли поделиться конфигом? Потому что я как не пытаюсь ничего не выходит, работает только вариант с отдельными портами + указание ip напрямую, но совершенно не работает fallback сайт, не понимаю что не так
А не нужен IP контейнера, Docker его предоставляет бесплатно. Лишь бы у Traefik был доступ в его сеть или наоборот, контейнера в сеть Traefik, как у меня. И fallback не нужен. Если в SNI залетел microsoft.com, сразу ясно, чей пациент. В x-ui для inbound с Reality включен только этот Reality. По поводу путей панели и подписок у меня договорённость между x-ui и Traefik. Для HOSTNAME перед запуском был выполнен экспорт из bash: export HOSTNAME. Энтрипоинт на :54321 был добавлен для удобства с панелью. Сейчас у меня x-ui, а у 3x-ui другой дефолтный порт. Да и вообще обратите внимание на имена энтрипоинтов, вдруг не совпадают.
version: '3.9'
services:
xui:
image: alireza7/x-ui:1.5.5
container_name: x-ui
hostname: ${HOSTNAME}
volumes:
- "./db/:/etc/x-ui/"
- "./cert/:/cert/"
environment:
- XRAY_VMESS_AEAD_FORCED=false
- XUI_LOG_LEVEL=warn
restart: unless-stopped
# network_mode: host
labels:
- "traefik.enable=true"
# Web panel
- "traefik.http.routers.xui-panel-r.entrypoints=websecure"
- "traefik.http.routers.xui-panel-r.rule=HostRegexp(`{host:.+}`) && PathPrefix(`/xuipanel`)"
- "traefik.http.routers.xui-panel-r.tls=true"
- "traefik.http.routers.xui-panel-r.service=xui-panel-s"
- "traefik.http.services.xui-panel-s.loadbalancer.server.port=54321"
# Web panel fix port
- "traefik.http.routers.xui-panel-rr.entrypoints=p54321"
- "traefik.http.routers.xui-panel-rr.rule=HostRegexp(`{host:.+}`)"
- "traefik.http.routers.xui-panel-rr.tls=true"
- "traefik.http.routers.xui-panel-rr.middlewares=xui-redirect"
- "traefik.http.middlewares.xui-redirect.redirectscheme.scheme=https"
- "traefik.http.middlewares.xui-redirect.redirectscheme.port=443"
- "traefik.http.routers.xui-panel-rr.service=noop@internal"
# Subscriptions
- "traefik.http.routers.xui-sub-r.entrypoints=websecure"
- "traefik.http.routers.xui-sub-r.rule=HostRegexp(`{host:.+}`) && PathPrefix(`/xuisub`)"
- "traefik.http.routers.xui-sub-r.tls=true"
- "traefik.http.routers.xui-sub-r.service=xui-sub-s"
- "traefik.http.services.xui-sub-s.loadbalancer.server.port=4430"
# Shadowsocks
- "traefik.tcp.routers.xui-shadowsocks-r.rule=ClientIP(`0.0.0.0/0`)"
- "traefik.tcp.routers.xui-shadowsocks-r.service=xui-shadowsocks-s"
- "traefik.tcp.routers.xui-shadowsocks-r.entrypoints=p8080"
- "traefik.tcp.services.xui-shadowsocks-s.loadbalancer.server.port=8080"
# Vless/Reality
- "traefik.tcp.routers.xui-reality-r.rule=HostSNI(`microsoft.com`)"
- "traefik.tcp.routers.xui-reality-r.tls.passthrough=true"
- "traefik.tcp.routers.xui-reality-r.service=xui-reality-s"
- "traefik.tcp.routers.xui-reality-r.entrypoints=websecure"
- "traefik.tcp.services.xui-reality-s.loadbalancer.server.port=443"
networks:
traefik:
# xui-bridge:
networks:
traefik:
external: true
# xui-bridge:
# name: xui
Пытаюсь настроить по инструкции, когда пытаюсь подключиться через Nekobox и сделать URL test, получаю ошибку
INFO[0000] outbound/http[proxy]: outbound connection to cp.cloudflare.com:80
[[HTTP] ххх.ххх.ххх.ххх:443] ошибка теста: Get "http://cp.cloudflare.com/": unexpected EOF
Что может быть не так в настройках? Нагуглить не удалось так сходу.
А можно ли на эту панель настроить связку с cdn? в одном из комментариев вы писали, что лучше не надо. Но она такая удобная в плане пользования, мне не нужно запускать putty или juicessh, чтобы перезапустить xray, я могу создать отдельный конфиг для друга или родственника за пару минут, мне не нужно будет заходить с телефона и на маленькой клавиатуре вводить команды в консоль. Или все-таки советуете сделать это вручную? Тогда нужно отказаться от панели?
Небольшая ремарка - у меня sing-box в Nekobox жаловался на длину пароля, хотел 16 вместо 32 (3X-UI генерирует пароли длиной 32 по умолчанию). Пришлось командой openssl rand -base64 16 перегенерировать пароли с меньшей длиной для inbound и пользователя. После этого заработало.
Ядро Xray работало без таких изменений.
Может быть, это особенность Shadowsocks - пока настраивал только его - не знаю.
Панель x-ui ругается, если её открывать через http. И правильно делает: при желании http трафик легко перехватывается.
Автор x-ui предлагает установить сертификат от let's encrypt.. но во-первых его перевыпускать каждые три месяца, во-вторых ... у меня не завелось.
Я установил самоподписанный сертификат с долгим сроком, установка заняла пару минут.
1) Создаю публичный и приватный сертификатopenssl req -x509 -nodes -days 999 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt
Скрипт задаст 6 вопросов, можно отвечать что угодно кроме пятого: тут надо указать ip-адрес
2) Копирую ключи внутрь работающего докера где крутится панельdocker cp selfsigned.key x-ui:selfsigned.keydocker cp selfsigned.crt x-ui:selfsigned.crt
3) Прописываю ключи в веб-панели x-ui (Panel Settings)
- Panel Certificate Public Key File Path : /selfsigned.crt
- Panel Certificate Private Key File Path : /selfsigned.key
(Save, Restart panel)
Всё, теперь вебморда открывается через https://ip-adress:port/
Браузер будет возмущаться на "недействительный сертификат", но это не мешает работе.
Огромное спасибо! По инструкции все завелось. Единственная (пока) проблема: не работает видео в ВК (mycdn.me отдает 400), куда копать - совсем не понятно :(
Маршрутизацию и TUN режим не включал (если это где-то надо принудительно сделать)
Интересно было бы увидеть, с каким именно сообщением прилетает 400 код.
Hidden text
curl -lv 'https://vkvd203.mycdn.me/?srcIp=35.234.66.59&pr=40&expires=1696645092640&srcAg=CHROME_MAC&fromCache=1&ms=45.136.21.202&type=1&sig=jQ-QvPctxmk&ct=6&urls=185.226.52.200&clientType=13&appId=512000384397&id=5227185703644&offset_p=0' \
-H 'Accept: */*' \
-H 'Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,ka;q=0.6' \
-H 'Cache-Control: no-cache' \
-H 'Connection: keep-alive' \
-H 'Origin: https://vk.com' \
-H 'Pragma: no-cache' \
-H 'Referer: https://vk.com/' \
-H 'Sec-Fetch-Dest: empty' \
-H 'Sec-Fetch-Mode: cors' \
-H 'Sec-Fetch-Site: cross-site' \
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36' \
-H 'sec-ch-ua: "Chromium";v="118", "Google Chrome";v="118", "Not=A?Brand";v="99"' \
-H 'sec-ch-ua-mobile: ?0' \
-H 'sec-ch-ua-platform: "macOS"' \
--compressed
* Trying 45.136.21.202:443...
* Connected to vkvd203.mycdn.me (45.136.21.202) port 443 (#0)
* ALPN: offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/cert.pem
* CApath: none
* (304) (IN), TLS handshake, Server hello (2):
* (304) (IN), TLS handshake, Unknown (8):
* (304) (IN), TLS handshake, Certificate (11):
* (304) (IN), TLS handshake, CERT verify (15):
* (304) (IN), TLS handshake, Finished (20):
* (304) (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / AEAD-AES256-GCM-SHA384
* ALPN: server accepted http/1.1
* Server certificate:
* subject: C=RU; ST=Moscow; L=Moscow; O=VK LLC; CN=*.mycdn.me
* start date: Mar 29 13:11:03 2023 GMT
* expire date: Apr 29 13:11:02 2024 GMT
* subjectAltName: host "vkvd203.mycdn.me" matched cert's "*.mycdn.me"
* issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign ECC OV SSL CA 2018
* SSL certificate verify ok.
* using HTTP/1.1
> GET /?srcIp=35.234.66.59&pr=40&expires=1696645092640&srcAg=CHROME_MAC&fromCache=1&ms=45.136.21.202&type=1&sig=jQ-QvPctxmk&ct=6&urls=185.226.52.200&clientType=13&appId=512000384397&id=5227185703644&offset_p=0 HTTP/1.1
> Host: vkvd203.mycdn.me
> Accept-Encoding: deflate, gzip
> Accept: */*
> Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,ka;q=0.6
> Cache-Control: no-cache
> Connection: keep-alive
> Origin: https://vk.com
> Pragma: no-cache
> Referer: https://vk.com/
> Sec-Fetch-Dest: empty
> Sec-Fetch-Mode: cors
> Sec-Fetch-Site: cross-site
> User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
> sec-ch-ua: "Chromium";v="118", "Google Chrome";v="118", "Not=A?Brand";v="99"
> sec-ch-ua-mobile: ?0
> sec-ch-ua-platform: "macOS"
>
< HTTP/1.1 400 Bad Request
< Content-Length: 1
< Connection: close
< X-Delivery-Type: http1
< X-Reused: 0
< Access-Control-Expose-Headers: X-Delivery-Type, X-Reused
<
* Closing connection 0
8Интересно, что без VPN генерируется немного другой URL для видео. Попробую поменять ip адрес сервера.
Update: смена ip адреса не помогла
Спасибо, всё получилось. Не поднял пары вещей.
Когда роняешь впн нет инета пока не снимешь галку "режим TUN" на windows 11. Это ок?
Есть ли где-то дока почитать как использовать подписку? Очень интересно посмотреть её в деле. Не до конца понял её предназначения.
Кстати nekobox не смог отсканировать qr из nekoray, но vray2ng смог. Тогда я эскпортировал в буфер обмена из vray2ng и импортировал из буфера в nekobox ...
Весь день пытаюсь разобраться - возможно ли как-то роутить ТОЛЬКО приватный трафик для локальных ресурсов в определенной подсети при этом весь внешний трафик игнорировать и не пропускать через сервер? Типа как корпоративный впн. В данный момент удалось настроить только редирект всего трафика через впн-сервер и всё вроде работает, но трафик жалко)
В NekoBox 3.18 на Macos режиме sing-box не активируется Tun Mode, чтобы завернуть весь трафик на PC и использовать VLESS Reality.
У кого-то есть подобная проблема или это только у меня?
Хах, нашел ответ )
https://github.com/abbasnaqdi/nekoray-macos/issues/36
sudo /Applications/nekoray_arm64.app/Contents/MacOS/nekoray
Кто то может помочь, как обновлять docker контейнер правильно?
я останавливаю контейнер - docker stop 3x-ui
удаляю его - docker rm 3x-ui
по новой скачиваю с - git clone https://github.com/MHSanaei/3x-ui.gitcd 3x-ui
запускаю - docker compose up -d
И он мне в web интерфейсе все равно показывает старую версию 2.0.1
Отвечу сам себе
cd 3x-ui
docker compose down
docker compose pull 3x-ui
docker compose up -d
Спасибо за отличную статью. Никак не получается завести тест отдает упомянутую: connection could be made because the target machine actively refused it.
Еще висит ошибка:
Что это может быть? Ковырялся и так и этак, всякие ферволлы отключал
/fix Пихал порт не в тот порт (первый должен быть пустым)
Концептуальный вопрос - как Кинопоиск все таки определяет, что это VPN? Я что-то не то делаю? Вроде всё по статье, но:
При этом в качестве теста все настроено на Российском VPS-е одного известного хостинг-провайдера. Домен вроде для маскировки выбирал и вот это всё, но кинопоиск все равно не хочет со мной дружить. Как так? Из-за принадлежности IP хостинг провайдеру и утечке DNS?
Люди добрые, а подскажите как пустить клиента в локальную сеть за XRay сервером (лучше на примере 3X-UI)
Vpn)
Xray это прокси
https://habr.com/ru/articles/774838/ - реверс-проксирование.
Наверное глупый вопрос, но имеем ситуацию, когда на два сервера в разных локациях с разными IP пользователь не может подключиться к серверу какие настройки не выставляй. Пишет таймаут и досвидания. Сервер не пингуется обычным пингом и вообще никак. Я так понимаю диапазон IP отрезан у провайдера страны по Geo и просто нельзя достучаться до сервера никаким протоколом, чтобы пустить через него трафик? Или как это работает? Или детектирует хостера как-то?
Но например сайт под который идет маскировка из той же подсети - открывается по имени домена нормально вполне..
3X-UI: Shadowsocks-2022 & XRay (XTLS) сервер с простой настройкой и приятным интерфейсом