Просто тут важно у кого он. У павла дурова на серверах ТГ чтобы каналы рекомендовать и рекламу пихать, или на серверах ВК чтобы товарищ майор мог вас к "предателям родины" присоединить.
Если что под "семантически всё правильно" я про application/http вместо application/grpc. Естественно 4-му уровню пофиг на то какие там биты и байты идут, но надо понимать что это просто везение, а не фича.
нахер вам хапрокси, если в конце все равно есть нгинкс?
У HAProxy с мультиплексом проблем нет. Так что колхозить ничего не нужно, да и семантически всё правильно (и packet-up режим будет работать, т.к. будет proxy_pass, а с NGINX надо выбирать - колхозить с grpc_pass, или делать proxy_pass и потерять мультиплекс).
Напишите мне, поделитесь мудростью xD. Потому что я хоть и не такой зелёный каким был до того как пришлось с панелями мучаться - всё ещё довольно зеленоват). Так что я буду совсем не против дельных советов.
Насчёт rewrite host-а - да, так можно сделать. Я просто поленился.
а security=none во всех панелях исправляется обычно в свойствах инбаунда в панели (клиентского). там обычно помимо листенера есть еще и инбаунд. и должно быть в листенере security none, а в инбаунде security tls (отдельная настройка того что получают клиенты).
Если найдёте - огромное спасибо вам. Потому что я не нашёл.
Self-steal вроде как тоже заметен, если у вас собственный DNS. Тоесть если вы стучитесь сами на себя "а кто такой __?", и сами к себе обращаетесь - это подозрительно. Не проверял сам, но говорили что у них отлетало.
Жалко, конечно, что нынче нейротекст от живого фиг отличишь, но я не нейронка :). А эксперименты (да, маленькие) но были. К сожалению со своего опыта особо не могу сказать, продал родину за Бургер ещё до обсуждения белых списков. Но вот опыт других, особенно подчеркну что многие за Уралом.
По словам друга из ЕКБ: все мои (именно мои, друг это клиент) REALITY сервера (в том числе Беларусь и Армения) которые маскировались под api-maps.yandex.ru (и с неприкрытой панелью, т.к. я ещё тогда был зелёный) - отлетели все через недельку у него. У жителей МСК и СПБ (и областей) проблем не было. Сервера с прикрытой панелью уже были более долгоживущими - где-то месяц простояли. А финляндия которая работает по схеме выше (т.к. у меня ещё на ней крутится реальный проект) - живёт практически у всех.
Конечно не уверен что дело именно в панели, да и то у меня пользуется человек 10 - так что за чистоту результата не могу ручаться. Может подсеть у кого банили (хотя хостинги там разные), и меня задело, а может у челика из РКН нос зачесался xD.
А крупные vpn сервисы вообще не парятся. В качестве маскировочного sni указывают rbc.ru и пох.
Ну они берут количеством, т.к. деньги есть, и меняют серверы (либо IP) как перчатки. Я так не могу.
А дело в том что мы используем не proxy_pass, а grpc_pass дабы получить мультиплекс, т.к. NGINX, как я писал, в него толком не умеет (вообще как я понял у них даже философия такая - одно подключение = один апдейт). Колхоз? Да. Работает? Тоже да.
И, собственно, прокси протокола не будет (насколько я уверен, может я не прав и так работает).
Да и плюс, как я уже написал:
У некоторых наверняка возник вопрос: "так, а зачем возится с блоком http? Нельзя ли просто проксировать сразу на inbound?" Можно. НО: у вас по дефолту идёт ответ 404, да и нельзя кастомизировать страницу 404, а если у вас большой легитимный сервис, это может стать реальной проблемой. А ещё работает только режим stream-one, не packet-up или stream-up.
Короче, это я жёстко тупанул. Дело в том что я перепутал сертификаты от Cloudflare и Cloudflare Origin Certificates. Первое это полноценный SSL за 10$, второе - только валидно при оранжевом облаке. В итоге вырезал тот фрагмент потому что... через оранжевое облако не проксируем. Спасибо что нашли недочёт, вырежу упоминания о фрагменте.
Просто тут важно у кого он. У павла дурова на серверах ТГ чтобы каналы рекомендовать и рекламу пихать, или на серверах ВК чтобы товарищ майор мог вас к "предателям родины" присоединить.
Но, впрочем, а почему нет? Если уж дрянь НАДО установить - то пусть хотя бы ей мусор льётся.
Если что под "семантически всё правильно" я про application/http вместо application/grpc. Естественно 4-му уровню пофиг на то какие там биты и байты идут, но надо понимать что это просто везение, а не фича.
Ну, надо понимать что у нас не gRPC, а XHTTP.
У HAProxy с мультиплексом проблем нет. Так что колхозить ничего не нужно, да и семантически всё правильно (и packet-up режим будет работать, т.к. будет proxy_pass, а с NGINX надо выбирать - колхозить с grpc_pass, или делать proxy_pass и потерять мультиплекс).
А в конце NGINX действительно останется.
Рассматриваю тоже сделать HAProxy перед этим всем. Потому что grpc_pass это колхоз.
Спасибо <3.
А панель получше подскажите в любом случае.
Неа. Подскажите тогда панель получше, может быть на неё перестроюсь, если будет меньше гемороя.
Напишите мне, поделитесь мудростью xD. Потому что я хоть и не такой зелёный каким был до того как пришлось с панелями мучаться - всё ещё довольно зеленоват). Так что я буду совсем не против дельных советов.
Насчёт rewrite host-а - да, так можно сделать. Я просто поленился.
Если найдёте - огромное спасибо вам. Потому что я не нашёл.
А как у вас telemt будет? Self-steal?
Self-steal вроде как тоже заметен, если у вас собственный DNS. Тоесть если вы стучитесь сами на себя "а кто такой __?", и сами к себе обращаетесь - это подозрительно. Не проверял сам, но говорили что у них отлетало.
Жалко, конечно, что нынче нейротекст от живого фиг отличишь, но я не нейронка :). А эксперименты (да, маленькие) но были. К сожалению со своего опыта особо не могу сказать, продал родину за Бургер ещё до обсуждения белых списков. Но вот опыт других, особенно подчеркну что многие за Уралом.
По словам друга из ЕКБ: все мои (именно мои, друг это клиент) REALITY сервера (в том числе Беларусь и Армения) которые маскировались под api-maps.yandex.ru (и с неприкрытой панелью, т.к. я ещё тогда был зелёный) - отлетели все через недельку у него. У жителей МСК и СПБ (и областей) проблем не было. Сервера с прикрытой панелью уже были более долгоживущими - где-то месяц простояли. А финляндия которая работает по схеме выше (т.к. у меня ещё на ней крутится реальный проект) - живёт практически у всех.
Конечно не уверен что дело именно в панели, да и то у меня пользуется человек 10 - так что за чистоту результата не могу ручаться. Может подсеть у кого банили (хотя хостинги там разные), и меня задело, а может у челика из РКН нос зачесался xD.
Ну они берут количеством, т.к. деньги есть, и меняют серверы (либо IP) как перчатки. Я так не могу.
Изменено: чтобы работал прокси-протокол нужно соединение TCP (Raw), а у меня XHTTP.
И да, Host у меня стоит т.к. я его специально добавляю NGINX-ом
UPD: извиняюсь, забыл про sockopt-ы.
А дело в том что мы используем не proxy_pass, а grpc_pass дабы получить мультиплекс, т.к. NGINX, как я писал, в него толком не умеет (вообще как я понял у них даже философия такая - одно подключение = один апдейт). Колхоз? Да. Работает? Тоже да.
И, собственно, прокси протокола не будет (насколько я уверен, может я не прав и так работает).
Да и плюс, как я уже написал:
Fallback только TCP (RAW) подключение, а так можно и gRPC, и XHTTP.
Короче, это я жёстко тупанул. Дело в том что я перепутал сертификаты от Cloudflare и Cloudflare Origin Certificates. Первое это полноценный SSL за 10$, второе - только валидно при оранжевом облаке. В итоге вырезал тот фрагмент потому что... через оранжевое облако не проксируем. Спасибо что нашли недочёт, вырежу упоминания о фрагменте.