Vless позволяет выстроить цепочку прокси и решение по маршрутизации можно принимать на любом узле от клиента и далее
Vless сам по себе никаких решений не принимает - это просто прокси протокол. Принимает решение ядро, чаще всего xray-core или sing-box, первое при этом даже позволяет поднять некоторое подобие амнезии с работающим сниффингом и маршрутизацией.
Для ТСПУ нет никакой разницы кто там под ним - физики или сервера. Я за последние месяцы проверил десятки хостеров и на некоторых ТСПУ в разы сильнее душит, чем на моем домашнем интернете.
Клиенты уже давно умеют в маршрутизацию, причем сами конфигурации для маршрутизации могут приходить с внешней стороны, без участия пользователя. Спокойно можно отправить клиентам: Youtube - > К серверу А в РФ с поднятым запретом Российские ресурсы -> напрямую без туннеля Все остальное - К серверу Б
Вы оба от части правы. 1) SS или vless + raw + encryption не блокируются сами по себе, т.к. не имеют отчетливого фингерпринта (за исключением native x25519, но сообщений о том, что он блокируется - я не встречал). 2) В некоторых случаях - пройдет только TLS. Пример - любая 16-20кб заблокированная ASN. К IP-адресам на этих ASN есть доступ исключительно по TLS с определенным servername, все остальное, включая SS будет отсекаться на 16кб
Скорее всего он стал триггером. Попробуйте отправить несколько любых TCP/UDP. пакетов в его сторону - если после этого он заблочится - лучше поменять IP.
Мне кажется, что на объемах трафика одного или нескольких человек разницы никакой нет (если конечно сервер ваш личный). У меня xray в роутере работает 24/7, geosite:ru + geoip:ru в директ, YT в отдельный интерфейс с запретом, всё остальное - в европу. Никаких проблем, все работает.
Ни по каким. Настройки примитивнейшие - полный дефолт, в качестве транспортной безопасности импользую все доступные подходы: TLS, reality на свой локальный nginx со своим сертификатом и none + vless enc (raw транспорт). Для xhttp h3 - терминирую quic на nginx и делаю proxy_pass на unix-сокет xray. Также использую фоллбеки, если один сервер не отвечает - xray переключает на другой, поэтому проблему с фп хрома заметил только спустя пару дней, зайдя посмотреть логи.
Хабр находится за DDOS-защитой. IP-адреса крупнейших сервисов по защите от DDOS нахоядтся в белых списках (за ними есть белосписочные сервисы). Вот и всё объяснение.
25-й порт запрещен на большинстве хостеров, а его открытие потребует либо оплаты более дорогого тарифа, либо - прохождения KYC (а чаще всё вместе). Открытие 25 порта грозит попаданием в спамхаус от залетного спамера, что значительно "очерняет" подсети хостера и вредит его репутации.
Mux недоступен с vision. С reality он прекрасно работает.
Терминация
reality
А что вы терминируете в reality? Это не TLS, его терминировать может только xray, либо другой сервис, который сможет из client random вытащить uuid, shortid и прогнать через приватный ключ.
QUIC блокируется не везде. Ну и таже Hysteria умеет в произвольный мусор при использовании salamander (аналог SS или VLESS Encryption, но для UDP). Также есть варианты AWG/WG+finalmask/kcp + finalmask
Vless сам по себе никаких решений не принимает - это просто прокси протокол. Принимает решение ядро, чаще всего xray-core или sing-box, первое при этом даже позволяет поднять некоторое подобие амнезии с работающим сниффингом и маршрутизацией.
Для ТСПУ нет никакой разницы кто там под ним - физики или сервера. Я за последние месяцы проверил десятки хостеров и на некоторых ТСПУ в разы сильнее душит, чем на моем домашнем интернете.
Все это реализуется и без платного белого IP. Причем как на vless через reverse, так и на (a)wg через keepalive и корректные настройки маршрутизации.
Клиенты уже давно умеют в маршрутизацию, причем сами конфигурации для маршрутизации могут приходить с внешней стороны, без участия пользователя. Спокойно можно отправить клиентам:
Youtube - > К серверу А в РФ с поднятым запретом
Российские ресурсы -> напрямую без туннеля
Все остальное - К серверу Б
Опционально - можно еще и failover прикрутить.
Вы оба от части правы.
1) SS или vless + raw + encryption не блокируются сами по себе, т.к. не имеют отчетливого фингерпринта (за исключением native x25519, но сообщений о том, что он блокируется - я не встречал).
2) В некоторых случаях - пройдет только TLS. Пример - любая 16-20кб заблокированная ASN. К IP-адресам на этих ASN есть доступ исключительно по TLS с определенным servername, все остальное, включая SS будет отсекаться на 16кб
Скорее всего он стал триггером. Попробуйте отправить несколько любых TCP/UDP. пакетов в его сторону - если после этого он заблочится - лучше поменять IP.
Мне кажется, что на объемах трафика одного или нескольких человек разницы никакой нет (если конечно сервер ваш личный). У меня xray в роутере работает 24/7, geosite:ru + geoip:ru в директ, YT в отдельный интерфейс с запретом, всё остальное - в европу. Никаких проблем, все работает.
Ни по каким. Настройки примитивнейшие - полный дефолт, в качестве транспортной безопасности импользую все доступные подходы: TLS, reality на свой локальный nginx со своим сертификатом и none + vless enc (raw транспорт). Для xhttp h3 - терминирую quic на nginx и делаю proxy_pass на unix-сокет xray. Также использую фоллбеки, если один сервер не отвечает - xray переключает на другой, поэтому проблему с фп хрома заметил только спустя пару дней, зайдя посмотреть логи.
UPD: xhttp stream one, без xmux
Нижний Новгород, ростелеком. Работает всё: raw, grpc, xhttp, xhttp h3/hysteria. Кратковременно только наблюдалась блокировка raw по фп хрома.
Конечно. Но ценник там "кусается".
Хабр находится за DDOS-защитой. IP-адреса крупнейших сервисов по защите от DDOS нахоядтся в белых списках (за ними есть белосписочные сервисы). Вот и всё объяснение.
Буквально все. Потому что никто не хочет прославиться буллетпруф хостером, который хостит у себя скамеров, мошенников и прочих нехороших людей.
25-й порт запрещен на большинстве хостеров, а его открытие потребует либо оплаты более дорогого тарифа, либо - прохождения KYC (а чаще всё вместе). Открытие 25 порта грозит попаданием в спамхаус от залетного спамера, что значительно "очерняет" подсети хостера и вредит его репутации.
Mux недоступен с vision. С reality он прекрасно работает.
А что вы терминируете в reality? Это не TLS, его терминировать может только xray, либо другой сервис, который сможет из client random вытащить uuid, shortid и прогнать через приватный ключ.
QUIC блокируется не везде. Ну и таже Hysteria умеет в произвольный мусор при использовании salamander (аналог SS или VLESS Encryption, но для UDP). Также есть варианты AWG/WG+finalmask/kcp + finalmask
На всех хостерах, где я читал TOS - нарушением является поднятие публичных VPN-сервисов. Поднятие "для себя и семьи" под запрет не попадает.
Сколько точек доступа поднимал - все работают на 160: xiaomi, keenetic, ubiquiti.
Не виляйте. Вы прекрасно знаете задачи будут решаться и где ваши наработки будут применяться.