Интересует прежде всего стабильность работы и поддержка со стороны клиентов (из коробки завести в связке с SS2022 пока не удалось, но подробно еще не успел мануал прочитать).
Спасибо, разобрался. Не выспался и в SNI ошибку допустил. Порты на всякий случай проброшу.
Про запущенный веб-сервер (с дефолтной страницей Апача с логитипом Убунты из /var/www/html/index.html) возможно у конкретного хостера такая сборка, т.к. массовых жалоб на ошибку занятого 80 порт при установке сертификатов с запуском им временного веб-сервера не вижу. Позже посмотрю как оно у других хостеров.
Аналогично. У вас Reality на 443 порту (HTTPS), соответственно при любых запросах к этому адресу реагировать он будет точно так же, как и оригинальный сервер - в том числе в плане выдаваемого по HTTPS контента.
Если пробросите фаерволом 80-ый порт - то и по HTTP будет реагировать аутентично.
Да, но если попробуют без SNI, просто по реальному IP-адресу CDN-сервера зайти тогда получаем что некоторые CDN отдают страницу типа "я сервер CDN номер NL-1000500", а по IP Realty-сервера "домен не найден на нашей CDN или заблокирован".
Я понимаю, что можно придумать еще множество способов палить Realty, в т.ч. пассивных, по количеству коннектов, статистических и пр., но вот это прям в глаза бросается.
Это не имеет отношения к Reality (кроме варианта steal from yourself) - в чистом Reality вообще никак не задействован веб-сервер на вашем VPS, его там вообще не может и не должно быть.
С удивлением обнаружил такое поведение на инсталлах Ubuntu с 3X-UI, X-UI и Marzban.
Поменял index.html /var/www/html и подробно в причинах не разбирался.
Понятно, что это не имеет отношения к самому Realty.
Т. к. при запуске certbot с опцией --standalone еще до установки панели он ругался, что 80 порт уже занят, это намекает что на новых установках Ubuntu уже запущен вер-сервер. Чистая система Ubuntu 22.04 LTS.
Не знаю, это только на образах у отдельных хостеров, или стандартная ситуация для Ubuntu, что веб-сервер по дефолту запущен и дефолтную страницу Ubuntu отдает. Если второе, то подозреваю, что мало кто проверяет это, а палево сильное.
Да, пойдет без шифрования. Имейте в виду, что VLESS без TLS шифрования использовать не надо.
Если не доверяете промежуточным узлам или промежуточной CDN (если она есть) - то используйте с вебсокетами VMess. И не забывайте про early data.
Внутренний первекционист воротит нос от VMess.
В Marzban видел Trojan-ws среди дефолтных пресетов. Но про Trojan подробно не читал. Есть смысл?
Или лучше для вебсокетов тот же VLESS c TLS настроить?
P.S. Еще заметил странное поведение, что если в Realty настройках (3)X-UI мимикрируем под домен domain1.zone, который ссылается через CNAME на domain2.zone, почему-то Realty-сервер пытается мимикрировать под domain2.zone, используя его SNI.
Как выбрать сервер, по который маскируемся в Realty? Критерии помимо того же хостера / пинга. Ведь на самом деле, Realty цензору легко спалить, как минимум:
По A-записям. Если айпишника там нет, то есть два варианта. Первый цензору можно почти исключить, проверив с разных локаций. Можно минимизировать риск, найдя домен с лоад-балансером множеством айпишников.
По PTR. Далеко не все хостеры разрешают его менять.
По IP Whois. Если все IP домена например от какого-то CDN, а у вашего в WHOIS другая ASN другой компании.
По контенту. Многие CDN отдают несколько разные страницы, если видят, что домен к ним не привязан. Это если зайти по IP. Решается поиском таких, которые по IP реджектят коннект, а их мало. Или отдают статичную страницу, которую мы можем скопировать себе на сервер .
По разнице контента http / https. Там несколько тонких моментов, которые могут сыграть в разные стороны, в зависимости от алгоритма атакующего.
Кстати часто после установки оставляют стандартную index.html от Ubuntu, которая отдается по айпишнику, по http. Это прям совсем палево.
Какой протокол разумно выбрать под Websocket транспорт? Если VLESS без Vision / галочки TLS в Security 3X-UI - пойдет без шифрования? По опыту обхода корп. фаерволов критичен ли порт и что важно?
@Stanner это тонкий намек, что странно бороться с блокировками в РФ, но советовать покупать домены в РегРу.
В компании, которая:
с некоторых пор принадлежит специально назначенному порулить доменами Рунета самизнаетекем человеку;
всячески поддерживает "суверенитезацию" интернета, обязательный СОРМ для РФ хостеров с 1 декабря (а другой рукой рассылает им предложения купить их бизнес за копейки, пока не поздно) и пр.;
успех бизнеса которой и при старых владельцах напрямую был связан с ЕР и которая использовала админресурс в бизнесе.
Спасибо за статью, как раз в дополнение с 3X-UI c Shadowsocks-2022 и VLESS-Realty (боевая система) и X-UI/Marzban (там все остальное для тестов всякие Trojan, VMESS и пр. с gRPC / Websockets / mKCP транспортами) хотел поиграться c Hiddify-Manager и Hysteria2.
Но какие плюсы по сравнению с SS-2022 в РФ? QUIC массово блокируется, а с доп. обфускацией OBFS теряется сам смысл - выглядит так же, шифрованный поток данных, непохожий ни на что.
И недавние события в Дагестане, показали, что такое полностью блокируют (там блокировали только TCP, но и с UDP провернуть это несложно).
По скорости / загрузке на слабом железе есть приемущества?
Пока остановился на XRay с SS-2022 и Realty для боевого применения, в планах еще вебсокеты через CDN добавить.
UPD. С сертификатами у них очень удобно сделано из коробки, в 3X-UI хотели подобное сделать, но там свой путь.
А домены можно по 0.55 в regway брать в неограниченных количествах (и крипту и карты РФ и ЯД принимают), дешевле нигде не видел.
Исходя из типичного содержимого для применения в космической отрасли и визуальных характеристик баллона. Теоретически там может быть и какой-то иной газ, но большого смысла "изобретать велосипед" в этом случае нет.
Маркировка "бытовых" газовых баллонов никакого отношения к маркировке деталей космической технике не имеет.
Примеры. Хвостовая части разгонного блока "Бриз-М" (со снятой теплоизоляцией):
Бриз-М
Никакой цветовой маркировки ни на шаровых баках высокого давления (алюминиевого цвета) для компонентов топлива, ни на титановых шаробаллонах для гелия (темно-золотистого цвета) нет.
Найденный на Багамах в прошлом году (с очень большой долей вероятности, от американской ракеты Antares), никакой цветовой маркировки также нет:
Такие нередко находят в разных частях света, но обычно их вымывает на берег, т.к. одна из немногих частей ракеты, которая не разрушается при падении, и при этом обладает плавучестью.
Шар-баллоны могут использоваться для разных целей, в т.ч. для компонентов топлива. Но конкретно в этом вероятно был гелий или азот, которые могут использоваться для питания двигателей малой тяги, ориентации и стабилизации, привода клапанов автоматики (и не только - может широко использоваться как надежный "механический" аналог АКБ), компенсации давления в баках и пр.
Вопрос не по теме, но может кто уже пробовал ShadowTLS v3?
https://github.com/ihciah/shadow-tls/blob/master/docs/protocol-v3-en.md
В sing-box поддержка есть - https://sing-box.sagernet.org/configuration/outbound/shadowtls/
Интересует прежде всего стабильность работы и поддержка со стороны клиентов (из коробки завести в связке с SS2022 пока не удалось, но подробно еще не успел мануал прочитать).
Спасибо, разобрался. Не выспался и в SNI ошибку допустил. Порты на всякий случай проброшу.
Про запущенный веб-сервер (с дефолтной страницей Апача с логитипом Убунты из /var/www/html/index.html) возможно у конкретного хостера такая сборка, т.к. массовых жалоб на ошибку занятого 80 порт при установке сертификатов с запуском им временного веб-сервера не вижу. Позже посмотрю как оно у других хостеров.
Да, но если попробуют без SNI, просто по реальному IP-адресу CDN-сервера зайти тогда получаем что некоторые CDN отдают страницу типа "я сервер CDN номер NL-1000500", а по IP Realty-сервера "домен не найден на нашей CDN или заблокирован".
Я понимаю, что можно придумать еще множество способов палить Realty, в т.ч. пассивных, по количеству коннектов, статистических и пр., но вот это прям в глаза бросается.
С удивлением обнаружил такое поведение на инсталлах Ubuntu с 3X-UI, X-UI и Marzban.
Поменял index.html /var/www/html и подробно в причинах не разбирался.
Понятно, что это не имеет отношения к самому Realty.
Т. к. при запуске certbot с опцией --standalone еще до установки панели он ругался, что 80 порт уже занят, это намекает что на новых установках Ubuntu уже запущен вер-сервер. Чистая система Ubuntu 22.04 LTS.
Не знаю, это только на образах у отдельных хостеров, или стандартная ситуация для Ubuntu, что веб-сервер по дефолту запущен и дефолтную страницу Ubuntu отдает. Если второе, то подозреваю, что мало кто проверяет это, а палево сильное.
Внутренний первекционист воротит нос от VMess.
В Marzban видел Trojan-ws среди дефолтных пресетов. Но про Trojan подробно не читал. Есть смысл?
Или лучше для вебсокетов тот же VLESS c TLS настроить?
P.S. Еще заметил странное поведение, что если в Realty настройках (3)X-UI мимикрируем под домен domain1.zone, который ссылается через CNAME на domain2.zone, почему-то Realty-сервер пытается мимикрировать под domain2.zone, используя его SNI.
Как выбрать сервер, по который маскируемся в Realty? Критерии помимо того же хостера / пинга. Ведь на самом деле, Realty цензору легко спалить, как минимум:
По A-записям. Если айпишника там нет, то есть два варианта. Первый цензору можно почти исключить, проверив с разных локаций. Можно минимизировать риск, найдя домен с лоад-балансером множеством айпишников.
По PTR. Далеко не все хостеры разрешают его менять.
По IP Whois. Если все IP домена например от какого-то CDN, а у вашего в WHOIS другая ASN другой компании.
По контенту. Многие CDN отдают несколько разные страницы, если видят, что домен к ним не привязан. Это если зайти по IP. Решается поиском таких, которые по IP реджектят коннект, а их мало. Или отдают статичную страницу, которую мы можем скопировать себе на сервер .
По разнице контента http / https. Там несколько тонких моментов, которые могут сыграть в разные стороны, в зависимости от алгоритма атакующего.
Кстати часто после установки оставляют стандартную index.html от Ubuntu, которая отдается по айпишнику, по http. Это прям совсем палево.
Какой протокол разумно выбрать под Websocket транспорт? Если VLESS без Vision / галочки TLS в Security 3X-UI - пойдет без шифрования? По опыту обхода корп. фаерволов критичен ли порт и что важно?
@Stanner это тонкий намек, что странно бороться с блокировками в РФ, но советовать покупать домены в РегРу.
В компании, которая:
с некоторых пор принадлежит специально назначенному порулить доменами Рунета самизнаетекем человеку;
всячески поддерживает "суверенитезацию" интернета, обязательный СОРМ для РФ хостеров с 1 декабря (а другой рукой рассылает им предложения купить их бизнес за копейки, пока не поздно) и пр.;
успех бизнеса которой и при старых владельцах напрямую был связан с ЕР и которая использовала админресурс в бизнесе.
Спасибо за статью, как раз в дополнение с 3X-UI c Shadowsocks-2022 и VLESS-Realty (боевая система) и X-UI/Marzban (там все остальное для тестов всякие Trojan, VMESS и пр. с gRPC / Websockets / mKCP транспортами) хотел поиграться c Hiddify-Manager и Hysteria2.
Но какие плюсы по сравнению с SS-2022 в РФ?
QUIC массово блокируется, а с доп. обфускацией OBFS теряется сам смысл - выглядит так же, шифрованный поток данных, непохожий ни на что.
И недавние события в Дагестане, показали, что такое полностью блокируют (там блокировали только TCP, но и с UDP провернуть это несложно).
По скорости / загрузке на слабом железе есть приемущества?
Пока остановился на XRay с SS-2022 и Realty для боевого применения, в планах еще вебсокеты через CDN добавить.
UPD. С сертификатами у них очень удобно сделано из коробки, в 3X-UI хотели подобное сделать, но там свой путь.
А домены можно по 0.55 в regway брать в неограниченных количествах (и крипту и карты РФ и ЯД принимают), дешевле нигде не видел.
Да.
Конкретно эта деталь производства „Южный машиностроительный завод“ имени А. М. Макарова (Украина, Днепр).
И не только она: «Южмаш» осуществляет производство основной конструкции 1-й ступени американской ракеты-носителя «Антарес».
Вообще там значимое количество "комплектующих" иностранного производства.
Двигатели кстати тоже сделаны не в США. Их НПО Энергомаш (РФ, Химки) производит.
Потому, что эта деталь Made in UA.
Исходя из типичного содержимого для применения в космической отрасли и визуальных характеристик баллона. Теоретически там может быть и какой-то иной газ, но большого смысла "изобретать велосипед" в этом случае нет.
Маркировка "бытовых" газовых баллонов никакого отношения к маркировке деталей космической технике не имеет.
Примеры. Хвостовая части разгонного блока "Бриз-М" (со снятой теплоизоляцией):
Никакой цветовой маркировки ни на шаровых баках высокого давления (алюминиевого цвета) для компонентов топлива, ни на титановых шаробаллонах для гелия (темно-золотистого цвета) нет.
Найденный на Багамах в прошлом году (с очень большой долей вероятности, от американской ракеты Antares), никакой цветовой маркировки также нет:
Шар-баллон высокого давления.
Такие нередко находят в разных частях света, но обычно их вымывает на берег, т.к. одна из немногих частей ракеты, которая не разрушается при падении, и при этом обладает плавучестью.
Шар-баллоны могут использоваться для разных целей, в т.ч. для компонентов топлива.
Но конкретно в этом вероятно был гелий или азот, которые могут использоваться для питания двигателей малой тяги, ориентации и стабилизации, привода клапанов автоматики (и не только - может широко использоваться как надежный "механический" аналог АКБ), компенсации давления в баках и пр.