Еще раз огромное спасибо за статьи! А вот такой интересный вопрос - если я хочу создать отдельный сервер и спрятать его за CDN - то нужно ли "городить огород" с маскировкой и соответственно разруливать все это ngnx и тп. ? А можно просто установить Vision и все? Ходить только через CDN - ( это же по факту является тем случаем когда цензор вас уже вычислил и IP забанил - какой уже смысл притворятся сайтом?)
Спасибо за пояснения! Но тогда напрашивается первый (маленький)) вопрос: если у Vision уязвимым местом является "мой небольшой никому неизвестный домен который вряд ли окажется в белых списках" - то какой же смысл маскироваться им в Reality? Вместо преимущества "бытия Майкрософтом" становиться маленьким доменом? Ведь это как я понимаю и есть основное преимущество Reality? И вот второй вопрос : Вы пишете про Vision " главное не забыть поднять на нем как fallback какой-нибудь безобидный веб-сайт. Зато у него есть свой недостаток - TLS fingerprint сервера явно пахнет TLS-библиотекой языка Go, а не каким-нибудь обычным Nginx или Apache... " - А я в Vision не делал свой сайт - а вместо этого переадресовал в Nginx на настоящую главную страницу какого то импортного сайта - файлопомойки где попадаешь на страницу авторизации. В этом случае что будет с маскировкой? Ведь вроде как и в случае с Reality это получается маскировка чем то достаточно большим и явно не кустарным?
А "что лучше" ) - Vision или Reality? В плане их устойчивости к блокировкам. Это одно и то же или все-таки есть отличия? Я сначала установил Vision , а потом на другой сервер Reality. Вот с ней были проблемы с сертификатами майкрософта - пришлось менять сайт маскировки. А Vision ни от кого не зависит и прекрасно работает. Есть ли преимущества у Reality в плане маскировки или можно спокойно оставить Vision и ни от кого не зависить?
вчера - пока экспериментировал всяко с копированием ключей ) - периодически выскакивали ошибки про неправильный формат base64 . Потому сгенерировал новые ключи " openssl rand -base64 16 " - и все заработало.
на одном из компов обновил клиент Nekobox. Сразу перестало конектится по SS - пишет что неправильная длинна ключа. "Bad key length, required 16 , got 24" А ключ я не менял и на других компах где не обновлялся Nekoray - там все работает с теми же ключами? Кто сталкивался?
Добрый день. Напишу сюда вопрос про Vision - поскольку под той статьей коменты уже закрыты.
... через три месяца возникла проблема - перестало работать) Не обновился сертификат. Попытка обновить вручную выдала ошибку что порт 80 занят - обновить невозможно. Нагуглил что это из за nginx и решение проблемы - временная остановка :
Так ( вручную) обновилось. Вопрос: как это прописать для обновления автоматом? - это первое.
А второе - в статье написано что поле обновления надо перезапустить :
" и там в конец добавим строку
renew_hook = systemctl reload xray
" - но при вводе в терминал вручную ругается и не работает. Но работает " systemctl restart xray " - можно исправить reload на restart или тут что то другое?
Перестал работать. Поменял microsoft на другой - заработало. Зашел сюда спросить/сообщить - а тут уже написали. Интересно только что бы это значило - и не начнутся ли отваливаться другие сайты маскировки?
Почему то никак не работает маршрутизация для зоны RU в Nekobox. Пытался использовать ваши правила и способ пользователя через regexp - вылетает вот это окно. Почему?
Установил себе на сервер PiHole - но не понятно как его подключить к Xray? Что именно надо написать в "outbound " ? Подскажите пожалуйста.. Очень хочется рекламу порезать)
Даа.. получается что самое палево - это геолокация по соте или gps... тут наверное сложно маскировать.. А вот в цепочке двух прокси (даже если оба за бугром) - у последнего не будет ничего на 443 порту - ибо там уже выходной сервер маскировать не надо. Соответственно пробивка ничего не даст. Ну и в идею сравнивать ВСЕ входящие данные в страну (или на госуслуги) с исходящими частными миллионами адресов и квадратиллионами байт - задача пока не выполнимая. ( это возможно наверное в частных случаях - когда например есть какое то крамольное сообщение или угроза - тогда вот только один этот заход можно сравнить с исходящими - да и то наверное не со всеми -а с определенным кругом лиц подозреваемых). Короче - вся жесть в gps и сотовых...
! А вот как быть тогда с логами на российском промежуточном прокси? Там же будет видно откуда я зашел и куда пошел? То есть внутри хостера будет видна (и наверно заблокирована) попытка идти на забаненный роскомнадзором ресурс.?
Спасибо огромное! Просто Огромное! Благодаря вашему обьяснению с примерами конфигов - которые можно сравнить и понять что куда относится и где какой синтаксис - я вроде с этим разобрался. Настроил последовательно два сервера VLESS -> SS. Заодно добавил на другой сервер с Naive "до кучи" еще и SS ( в качестве тренировки)))) И отдельное спасибо за совет с он лайн - валидатором.
Но возник вопрос : а почему необходимо избегать посещения через прокси зоны RU ? (кроме лишнего трафика и нагрузки - это несущественно). Какие риски это несет? ( я вот думаю - нужно ли взять дешевый vps в России для этого? )
... эхх.. (( дело а том что "невелика наука" только для того кто в этом хорошо разбирается) А им и про серверы статьи не нужны я думаю - сами все установят. А вот тем кто делает по вашим статьям - для тех как раз наука велика... Я пытался гуглить - но доступных инструкций не нашел. То есть на первом сервере надо установить всё как в вашей статье . Только в конфиге надо (где то как то указать адрес второго сервера?) Тут мало того что надо хорошо понимать где и что указать - да еще соблюсти пунктуацию и все скобочки правильно расставить - ума не приложу.. А дальше? На втором сервере что? Надо тоже установить Xray? А что в конфиге? Где брать данные для входного конфига? ( и соответственного для выходного "как в клиенте"? ) ... тут короче еще какая "наука" .. Может все таки опишите поподробнее?
Спасибо! (вечером попробую .. * извиняюсь - забыл упомянуть что я именно nekobox для win имел ввиду )).
А вот такой вопрос про развитие технологии: я только на днях настроил сервер по Вашей предыдущей статье) .. Я так понимаю что можно просто переделать там конфиг и создать в клиенте новое подключение? А nginx "просто останется" ненужным? ( я не использую SS или WS ) . То есть все предыдущие варианты как бы обесценились? Или оставить vision как запасной вариант.. ? Хотя в чем там "запас"? - наверное смысла в предыдущих вариантах уже нет? Вот если я хочу иметь пару или тройку серверов на всякий случай - тогда на одном вот этот последний вариант с reality , на втором Naive уже есть (стОит на него надеяться?) а на третий? - сделать дубликат новой с reality или оставить как раз предыдущий с vision ? Что бы вы посоветовали?
Очень рекомендуется настраивать на клиентах правила маршрутизации, чтобы трафик до .ru-доменов и хостов с российскими IP шел напрямую, а не через прокси (в клиентах для такого поставляется GeoIP база данных).
А где такую базу брать? В клиентах там все для Китая. По крайней мере я не нашел. Пробовал в nekobox в поля маршрутизации вставлять по всякому - не работает. По конкретному IP правила срабатывают. А домен .ru так и не смог заблокировать. А очень бы хотелось - я то могу и сам контролировать куда и как ходить - а вот с супругой будут проблемы. Ей бы надо как нить "железно" ограничить .ru )
А вот как соотносится тот факт что все Xray, V2ray , Naive. Cloak .. и тп маскируются под https и конектятся на 443 порт - а с другой стороны китайцы в сети пишут что у них блокируют 443 порт? Они что в Китае https не используют что ли? А банки как же и прочие сервисы с персональными данными? И соответственно про РФ - а у нас что тоже могут 443 заблокировать???
Ура! Заработало. С третьей переустановки) Последний раз пошел от обратного - что бы видеть где пойдет не так по шагам: на чистый сервер сначала поставил nginx, убедился что работает по появившейся заставке в браузере. Потом поменял на пересылку другого сайта (там красивенько так хотят пароль авторизации) . Работает. А потом поставил xray, сертификаты, тщательно проверил конфиг (видимо там все таки сначала была ошибка) - а уже потом средактировал конфиг nginx и запустил xray. И все побежало.. Но! вот какой теперь вопрос вылез: при заходе браузером на сервер в "буквенном виде" адрес открывается заглушка - а если вводить цифровой IP - то нет коннекта. Где то мелькнуло что "вы получили сертификат на mydomen.com а не на 111.111.111.xxx Как быть? Как цензоры заходят? ( и кстати надо ли в клиенте SNI что то писать - у меня там нет ничего и все работает)
Что то у меня не никак запускается этот протокол.. Весь день с утра мучаюсь.. Что для SS что для VLESS - Nekobox пишет "process connection from 127.0.0.1:52265: dial tcp xxx.xxx.xxx.xxx:23: connectex: No connection could be made because the target machine actively refused it." (соответственно для vray :443) Не знаю куда еще копать ...( Сначала была ошибка "нет доступа к файлам сертификата" - я вроде открыл - и вот теперь статус vray уже несколько часов не меняется ( и время не меняется) сколько не запрашивай - значит на сервере все работает?
Еще раз огромное спасибо за статьи! А вот такой интересный вопрос - если я хочу создать отдельный сервер и спрятать его за CDN - то нужно ли "городить огород" с маскировкой и соответственно разруливать все это ngnx и тп. ? А можно просто установить Vision и все? Ходить только через CDN - ( это же по факту является тем случаем когда цензор вас уже вычислил и IP забанил - какой уже смысл притворятся сайтом?)
Спасибо за пояснения! Но тогда напрашивается первый (маленький)) вопрос: если у Vision уязвимым местом является "мой небольшой никому неизвестный домен который вряд ли окажется в белых списках" - то какой же смысл маскироваться им в Reality? Вместо преимущества "бытия Майкрософтом" становиться маленьким доменом? Ведь это как я понимаю и есть основное преимущество Reality? И вот второй вопрос : Вы пишете про Vision " главное не забыть поднять на нем как fallback какой-нибудь безобидный веб-сайт. Зато у него есть свой недостаток - TLS fingerprint сервера явно пахнет TLS-библиотекой языка Go, а не каким-нибудь обычным Nginx или Apache... " - А я в Vision не делал свой сайт - а вместо этого переадресовал в Nginx на настоящую главную страницу какого то импортного сайта - файлопомойки где попадаешь на страницу авторизации. В этом случае что будет с маскировкой? Ведь вроде как и в случае с Reality это получается маскировка чем то достаточно большим и явно не кустарным?
А "что лучше" ) - Vision или Reality? В плане их устойчивости к блокировкам. Это одно и то же или все-таки есть отличия? Я сначала установил Vision , а потом на другой сервер Reality. Вот с ней были проблемы с сертификатами майкрософта - пришлось менять сайт маскировки. А Vision ни от кого не зависит и прекрасно работает. Есть ли преимущества у Reality в плане маскировки или можно спокойно оставить Vision и ни от кого не зависить?
вчера - пока экспериментировал всяко с копированием ключей ) - периодически выскакивали ошибки про неправильный формат base64 . Потому сгенерировал новые ключи " openssl rand -base64 16 " - и все заработало.
на одном из компов обновил клиент Nekobox. Сразу перестало конектится по SS - пишет что неправильная длинна ключа. "Bad key length, required 16 , got 24" А ключ я не менял и на других компах где не обновлялся Nekoray - там все работает с теми же ключами? Кто сталкивался?
Добрый день. Напишу сюда вопрос про Vision - поскольку под той статьей коменты уже закрыты.
... через три месяца возникла проблема - перестало работать) Не обновился сертификат. Попытка обновить вручную выдала ошибку что порт 80 занят - обновить невозможно. Нагуглил что это из за nginx и решение проблемы - временная остановка :
certbot certonly --standalone --pre-hook "service nginx stop" --post-hook "service nginx restart" -d exsample.com
Так ( вручную) обновилось. Вопрос: как это прописать для обновления автоматом? - это первое.
А второе - в статье написано что поле обновления надо перезапустить :
" и там в конец добавим строку
" - но при вводе в терминал вручную ругается и не работает. Но работает " systemctl restart xray " - можно исправить reload на restart или тут что то другое?
Перестал работать. Поменял microsoft на другой - заработало. Зашел сюда спросить/сообщить - а тут уже написали. Интересно только что бы это значило - и не начнутся ли отваливаться другие сайты маскировки?
Почему то никак не работает маршрутизация для зоны RU в Nekobox. Пытался использовать ваши правила и способ пользователя через regexp - вылетает вот это окно. Почему?
Установил себе на сервер PiHole - но не понятно как его подключить к Xray? Что именно надо написать в "outbound " ? Подскажите пожалуйста.. Очень хочется рекламу порезать)
Даа.. получается что самое палево - это геолокация по соте или gps... тут наверное сложно маскировать.. А вот в цепочке двух прокси (даже если оба за бугром) - у последнего не будет ничего на 443 порту - ибо там уже выходной сервер маскировать не надо. Соответственно пробивка ничего не даст. Ну и в идею сравнивать ВСЕ входящие данные в страну (или на госуслуги) с исходящими частными миллионами адресов и квадратиллионами байт - задача пока не выполнимая. ( это возможно наверное в частных случаях - когда например есть какое то крамольное сообщение или угроза - тогда вот только один этот заход можно сравнить с исходящими - да и то наверное не со всеми -а с определенным кругом лиц подозреваемых). Короче - вся жесть в gps и сотовых...
! А вот как быть тогда с логами на российском промежуточном прокси? Там же будет видно откуда я зашел и куда пошел? То есть внутри хостера будет видна (и наверно заблокирована) попытка идти на забаненный роскомнадзором ресурс.?
Спасибо огромное! Просто Огромное! Благодаря вашему обьяснению с примерами конфигов - которые можно сравнить и понять что куда относится и где какой синтаксис - я вроде с этим разобрался. Настроил последовательно два сервера VLESS -> SS. Заодно добавил на другой сервер с Naive "до кучи" еще и SS ( в качестве тренировки)))) И отдельное спасибо за совет с он лайн - валидатором.
Но возник вопрос : а почему необходимо избегать посещения через прокси зоны RU ? (кроме лишнего трафика и нагрузки - это несущественно). Какие риски это несет? ( я вот думаю - нужно ли взять дешевый vps в России для этого? )
... эхх.. (( дело а том что "невелика наука" только для того кто в этом хорошо разбирается) А им и про серверы статьи не нужны я думаю - сами все установят. А вот тем кто делает по вашим статьям - для тех как раз наука велика... Я пытался гуглить - но доступных инструкций не нашел. То есть на первом сервере надо установить всё как в вашей статье . Только в конфиге надо (где то как то указать адрес второго сервера?) Тут мало того что надо хорошо понимать где и что указать - да еще соблюсти пунктуацию и все скобочки правильно расставить - ума не приложу.. А дальше? На втором сервере что? Надо тоже установить Xray? А что в конфиге? Где брать данные для входного конфига? ( и соответственного для выходного "как в клиенте"? ) ... тут короче еще какая "наука" .. Может все таки опишите поподробнее?
... например о том как делать цепочки из двух прокси серверов ;)
Спасибо! (вечером попробую .. * извиняюсь - забыл упомянуть что я именно nekobox для win имел ввиду )).
А вот такой вопрос про развитие технологии: я только на днях настроил сервер по Вашей предыдущей статье) .. Я так понимаю что можно просто переделать там конфиг и создать в клиенте новое подключение? А nginx "просто останется" ненужным? ( я не использую SS или WS ) . То есть все предыдущие варианты как бы обесценились? Или оставить vision как запасной вариант.. ? Хотя в чем там "запас"? - наверное смысла в предыдущих вариантах уже нет? Вот если я хочу иметь пару или тройку серверов на всякий случай - тогда на одном вот этот последний вариант с reality , на втором Naive уже есть (стОит на него надеяться?) а на третий? - сделать дубликат новой с reality или оставить как раз предыдущий с vision ? Что бы вы посоветовали?
Очень рекомендуется настраивать на клиентах правила маршрутизации, чтобы трафик до .ru-доменов и хостов с российскими IP шел напрямую, а не через прокси (в клиентах для такого поставляется GeoIP база данных).
А где такую базу брать? В клиентах там все для Китая. По крайней мере я не нашел. Пробовал в nekobox в поля маршрутизации вставлять по всякому - не работает. По конкретному IP правила срабатывают. А домен .ru так и не смог заблокировать. А очень бы хотелось - я то могу и сам контролировать куда и как ходить - а вот с супругой будут проблемы. Ей бы надо как нить "железно" ограничить .ru )
А вот как соотносится тот факт что все Xray, V2ray , Naive. Cloak .. и тп маскируются под https и конектятся на 443 порт - а с другой стороны китайцы в сети пишут что у них блокируют 443 порт? Они что в Китае https не используют что ли? А банки как же и прочие сервисы с персональными данными? И соответственно про РФ - а у нас что тоже могут 443 заблокировать???
Ура! Заработало. С третьей переустановки) Последний раз пошел от обратного - что бы видеть где пойдет не так по шагам: на чистый сервер сначала поставил nginx, убедился что работает по появившейся заставке в браузере. Потом поменял на пересылку другого сайта (там красивенько так хотят пароль авторизации) . Работает. А потом поставил xray, сертификаты, тщательно проверил конфиг (видимо там все таки сначала была ошибка) - а уже потом средактировал конфиг nginx и запустил xray. И все побежало.. Но! вот какой теперь вопрос вылез: при заходе браузером на сервер в "буквенном виде" адрес открывается заглушка - а если вводить цифровой IP - то нет коннекта. Где то мелькнуло что "вы получили сертификат на mydomen.com а не на 111.111.111.xxx Как быть? Как цензоры заходят? ( и кстати надо ли в клиенте SNI что то писать - у меня там нет ничего и все работает)
Псы: плюсики ставить не могу..
Что то у меня не никак запускается этот протокол.. Весь день с утра мучаюсь.. Что для SS что для VLESS - Nekobox пишет "process connection from 127.0.0.1:52265: dial tcp xxx.xxx.xxx.xxx:23: connectex: No connection could be made because the target machine actively refused it." (соответственно для vray :443) Не знаю куда еще копать ...( Сначала была ошибка "нет доступа к файлам сертификата" - я вроде открыл - и вот теперь статус vray уже несколько часов не меняется ( и время не меняется) сколько не запрашивай - значит на сервере все работает?
https://iyideng.fun/black-technology/cgfw/trojan-server-building-and-using-tutorial.html