Comments 48
В чем прикол, не пойму. У меня на внешнем VPS висит RouterOS, куда через SSTP протокол подрублены микротики с дома и дачи, по IPsec с телефона также цепляюсь, когда не дома. Аптайм 24\7 более полугода, через него тащатся необходимые мне сайты из моего списка, ютубы и прочие гуглы, причем работает все прозрачно для клиентов, то есть никаких, разумеется, впнов ставить никуда не надо, запустил ноут\смарт\комп и работаешь как будто никаких блокировок. Тьфу 3 раза, работает себе и работает.
Минусить без каментариев уже конечно уровень пикабу, sstp детектируется РКН @#$%^@
xray нет.
Не знаю, в каких масштабах он детектируется и при каких условиях его стараются блочить, но факт, что канал с микротиков до ROS на европейском VPS в аптайме у меня 24\7. При этом другие протоколы реально работают через одно место. VPS за бугром у меня уже не первый год поднят. Если пытаться через Wireguard, к примеру, или Openvpn - работают через пень-колоду. WG бывает и сразу глохнет на первых 92 байтах, причем если клиентский микрот подрубается к серверу через свисток с симкой - через пень-колоду работает даже канал внутри страны. До RouterOS на российском сервере, либо до микротика с белым внешним IP адресом. Видимо, опсосы не любят шифрованные каналы и\или сжатие. OpenVPN тупит скорее через UDP - TCP вроде работает стабильно, но только внутри страны, опять же. IPsec в принципе тоже может работать, может на час\день\неделю не ловить соединение, если за бугор. SSTP - тьфу 3 раза, пока как часы. В целом, мне хватает для моих задач: я не гоняю вообще весь траффик наружу - исключительно согласно потребностям, на сетевом уровне в районе стадий NAT\Mangle на клиентских микротах это у меня настроено не прям чтобы сверхизящно, то в достаточной степени тонко, чтобы все необходимое работало, но при этом железо и канал нагружались минимально. Вполне возможно, что такой подход как раз не привлекает внимание к себе.
з.ы. минусить без комментариев с аргументацией - это не пикабушная привычка. На хабре это стало нормой задолго до того, как пикабу стал мейнстримом. Многие уважаемые хабровчане тут сидят с древних времен с отрицательным рейтингом, а многие же вообще покинули ресурс)) У меня самого это не первый аккаунт уже, так что к этому здесь я давно привык как к неизбежному сопутствующему явлению, поскольку у многих только два мнения: свое и неправильное)) Это, что печалит, влияет на карму, которая влияет на возможности писать комментарии, хотя, кажется, а еще есть рейтинг - явление сугубо зависящее от погоды на Марсе, индекса NASDAQ, результатов тараканьих бегов в глухой деревне посреди Гваделупы, но ни разу не от объективных факторов)) Даже если тут просто сидеть молча и ничего не писать - рейтинг почему-то стремится к нулю, а может и расти в отрицательную сторону)) Хотелось чтобы карму здесь отвязали хотя бы от оценок в комментариях, ибо даже за один аргументированный комментарий, причем написанный прохожим мимокрокодилом, никого не оскорбляющий и не нарушающий правил ресурса, здесь на ровном месте можно схлопотать полную панамку и сходу улететь в RO =) О - объективность. Б - логика =) Чесслово, такое я даже на Пикабу не видел, и в целом не знаю других ресурсов в рунете, где подобная система. Но местному Олимпу на это плевать, сейчас его жителей что-то иное волнует, видимо, ворох задач поважнее.
Не знаю, в каких масштабах он детектируется и при каких условиях его стараются блочить, но факт, что канал с микротиков до ROS на европейском VPS в аптайме у меня 24\7.
У меня регулярно блокировался, приходилось порт менять. Дело даже не в том, что он работает или не работает щас, а в том, что его заблокируют очень легко, когда захочется.
У меня пров - это тот который для ркн черные ящики пилит, точнее их ПО. У меня все у самого первого соответственно отлетает как только что-то надо заблочить. WG, l2tp, pptp, ovpn в принципе не соединяются за бугор, sstp работает и не жужжит. Тьфу 3 раза.
Вот чесслово, даже не представляю, по каким критериям вообще эти блокировки прохоисходят, и почему именно мои каналы в порядке. Причем я ж внешнего хостера менял по разным причинам (меняющиеся ценовые политики, в основном) Возможно, количество траффика по каналам, возможно, сама реализация протокола в RouterOS играет роль. Но вот как-то так и происходит. Причем все на стандартном 443 порту работает.
Возможно потому что это пока работает.
У меня вот "основной" VPN - кое что на базе PPTP(но только вот клиентов под это "кое что" для Windows и Android/iOS вообще не существует, и вообщем скриптиком с гитхаба это не ставится) и работает стабильно (при этом прошлая версия когда сначала wireguard а поверх это самое кое что - уже неработает, зачем так надо было - а быстрее это работает). Но в принципе может отвалится в любой момент.
При этом внутрироссийский Wireguard уровня с сотового на хоумсервер - внезапно не всегда работает (зависит от сотового оператора). А вот так.
C VLESS и AmneziaWG я экспериментирую потихоньку (собственно тестовая слабая VPS с поднятым VLESS через Amnezia(они так умеют) - есть)
Очередной велосипед с рекламой аезы и какого то ноунейм перекупа хостинга.
Про безопасность можно забыть, если ставишь что-то из чужих репозиториев онлайн.
" Представляю Bash-скрипт "autoXRAY" - на этом месте можно закрывать, расходимся господа.
Это не реклама аезы, а ссылки на дешевые промо тарифы, если вы знаете еще таких хостеров, можете написать сюда, чтобы люди могли выбрать.
Код открыт для изучения в открытом виде, т.е. вы считаете что мануалы на 10 страниц для установки и настройки панели с устаревшими конфигами лучше, чем настроеное ядро с проверенным конфигом vless tcp reality?
Ну например - одна из более менее очевидных претензий - не упомянут RealiTLScanner вообще и зачем он полезен с VLESS.
Нет, чем больше статей чем лучше но лучше все же приводить ссылки и на те статьи что "ну слишком сложно это" тоже.
Вы все верно пишите, это полезный инструмент, как и его аналоги. Домены из списка в скрипте уже проверены на совместимость с Reality. Сейчас работаю над selfsteal автоматизацией и нужна обратная связь:
Нужен свой домен и А-запись на сервер. Можете уже попробовать сырой скрипт:
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAYselfsteal.sh)" -- вашДОМЕН.com
Не ссылки, а промоссылки (рефссылки, если другими словами). Здесь такое, по общему соглашению, не постят.
Что характерно, порт не заминусован, хотя, сколько помню, стоит в тексте появиться рефприписке, как это полагается "залётом", и аудитория яростно голосует рублем против такой попытки заработать 5 копеек.
А насчет ставить на шротном хостинге автоскрипт - ну, думаю, тут аргументы можно не искать, почему это всячески криво. Первое, что в голову приходит - человек так себе ботферму заведет, вставив в "волшебный" авто-скрипт пару лишних строчек (может, не сейчас, а через месяцок, когда хомячки растянут по блогам очередной "в два клика" способ.
Честно говоря, проще те же 150-200 руб в мес отдавать "провайдеру" VPN, там хоть гемора меньше, а риски те же.
Для этого есть @moderator
реферальные ссылки на хостинг в посте
Спасибо, поправили. @VRV, больше так не надо делать!
Сомнительно, запускать подобные скрипты, ну либо панель ставить нормальную либо руками настроить xray, и у меня для вас новости плохие, доходят 'слухи' что reality ркн научился ломать, полагаю из за дыры в хэндшейке, чутка тут там сломать и все, сайты работают а vless reality нет....
Переходим на vless tcp tls, vless ws, vless xhttp, за обратным прокси, и маскировкой под nextcloud там или minio, что угодно.
XARY ядро используется во всех панелях, о чем упомянуто в статье. И вы также можете посмотреть мой автосгенерированый конфиг или его настроить сами, лежит тут: /usr/local/etc/xray/config.json
Пока нет доказательств что детектируют именно reality, там где не работает reality не работает вообще весь ТЛС.
AnneziaXray?
вполне хорошая альтернатива, но у амнезии есть пара минусов - у нее можно использовать только свое приложение, а у меня, например, оно вылетает постоянно на win10, на 11 отлично все. Еще один - вы не видите код, который крутится на сервере, тут в комментариях скрипт называют небезопасным, но в амнезии вообще не видно, что они там ставят.
Когда-то заворачивать UDP-трафик в TCP-туннель считалось зашкваром плохим тоном, а сейчас каждый первый заворачивает всё в TCP/HTTPS...
Пока работают UDP-туннели, я буду продолжать их использовать.
Добавил в статью раздел selfsteal и доп. скрипт по его настройке. Т.к. он гораздо лучше и сложнее, нужна ваша обратная связь.
У меня почему-то ни один конфиг не запустился ни в одном приложении. Видимо что-то не допилино в скрипте.
В Китае этот ВПН будет работать?
Пока не ставил,на серваке занят 443 порт,понимаю что можно скрипт править,но может добавить в скрипт добавить возможность установки порта по умолчанию при первой установке скрипта?
Вы уже второй. кто пишет про занятый 443 порт.
Пока сделал отдельный скрипт, который не занимает его:
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAYno443.sh)"
а какой порт займет,8443?
Да, 8443, на днях доделаю чтобы можно было выбрать, но все же не рекомендуют использовать другие порты, маскировка идет по тлс, и отличные от 443 крайне редко используются в сети. Предпочтительней использовать отдельный VDS с селфстилом, скоро выпущу новый скрипт с повышенной маскировкой.
Сделал выбор до 3 портов, два будут vless и третий ss:
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAYno443.sh)" -- 456 321 2000
Спасибо за обновление,а порты в обнове строго прописаны,выбирать произвольно нельзя?
Как раз и пригодился скрипт)На серваке перестала отвечать 3x панель и перестал работать заведенный vless ключ на 443,похоже на блокировку ркн,хотя доступ по ssh работал.Завел самый простой скрипт,в течении пары минут все отработало и выдал ключи,но что интересно,ключ на 443 выдал таймаут,а на 8443 заработал.Вот такая история.
Все же лучше уходить от такого хостера когда закончится оплаченный период (лучше искать небольшие компании), никто не знает когда тлс на 8443 также отрежут..
Вопрос автору,в свете последних событий и свежей статьи https://habr.com/ru/amp/publications/913324/ возможно ли добавить скрипт на установку ключей по протоколу xhttp,как расписано выше?Тоже может оказаться очень актуально,всвязи с тем что может отсутствовать доступ к 3x-ui панели на сервере,по разным причинам и соответственно не иметь возможность развернуть ключи.
Если у вас не будет доступа к панели, скорее всего у вас и xhttp не заработает стандартный или надо его очень скорпулезно настраивать. Там даже в статье пишут что: "Поэтому напрашивается вывод, что дальнейшая тактика борьбы с цензурой должна строиться не на выдумывании более навороченных протоколов и методов маскировки." vless tcp reality - отличная маскировка, но ей можно помочь, например, готов новый скрипт с селфстилом и клиентским конфигом:
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAYselfstealConfRU.sh)" -- вашДомен.ком
он автоматически будет перенаправлять весь ру трафик напрямую, можете попробовать, об этом я буду писать уже в следующей статье или уже нужна будет связка: клиент-руСервер-загранСервер-сайт, ну и конечно загранСервер лучше всего брать у мелких незаметных хостеров, так меньше шансев поймать блокировку по тлс..
Спасибо, очень понятно и просто расписано все в статье и в репозитории.
Вопрос,обновился xray https://github.com/XTLS/Xray-core/releases/tag/v25.6.8 ,закрыта уязвимость по дыре в определении vless протокола,как обновить до этой версии xray,прогнать по новой скрипт и будет установлена крайняя версия?Или другой вариант нужен?Спасибо.
Можете обновить ядро xray:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install
Потом перезапустить его:sudo systemctl restart xray
Или можно заново скрипт поставить, он подтянет последний релиз.
Личный VPN сервер: настрой VLESS за два клика — autoXRAY