-
Notifications
You must be signed in to change notification settings - Fork 4k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
使用了最新的1.8.0,同样发生了和我在shadowtls中遇到一样的阻断情况 #1767
Comments
首先,你的猜测是错的,SNI 就是 www.bing.com |
有没有啥绕过手段呢? |
只能说你的配置肯定有问题,我一直是地址写IP,sni写域名,一直都正常的 |
你为啥不把你的服务端和客户端配置完整贴上来呢 |
其次,有没有一种可能,是你的本地 IP 进运营商的黑名单了,我建议你换个运营商试试 |
不是配置问题,是IP问题,这个IP被当成CDN的IP管理了。我有个IP 443端口只要有TLS握手就阻断3分钟。偷自己证书都阻断。 |
服务端配置:
客户端配置:
|
spiderX应该填对应网站正常路径就行了吧,比如我用addons.mozilla.org,他们网站路径就是从/en-US/firefox/开始,就跟着这么填就是了,其他应该没啥问题,可能真的就是其他人说的IP有问题 |
本地IP就是正常的电信宽带,每次拨号都会变。 我刚刚用完全相同的网络环境,电信家宽(ip未变);同一台vps(相同ip,相同端口)用xray 1.8创建了一个trojan tcp tls服务, |
你用这个组合,可能在一两天后喜提来自 GFW 的封端口,而不是运营商临时阻断了,建议换 Vision, |
嗯,封端口是肯定的。我就是说下为啥使用Trojan不会发生阻断? 刚刚试了用vless-tcp-vision,使用了和trojan相同的证书和域名,没有跳过证书验证,配置文件完全按照这个来的:https://github.com/chika0801/Xray-examples/tree/main/VLESS-XTLS-Vision 同样发生了阻断 我并不是挑刺,而是真心想通过我提供的信息找到问题所在...如果方便的话我可以提供远程桌面等环境测试。 |
服务器IP脏了,啥都没用了,要么换IP,要么用ws套CDN缓缓,不过cdn封的也很厉害,也许可以优选一堆CDN IP配合遥测自动切换,或者就是先找个其他的免费服务用用算了 |
那为啥trojan不发生阻断呢? |
我的看法是IP没救了,搁置一段时间也许能恢复,当然我的看法不重要,你想怎么用或者说怎么样可以用就怎么用吧 |
你给的配置不是vision |
@moranno 你所描述的”阻断“,看起来像运营商自定的,而不是 GFW 级别的,本来GFW 就是黑箱,运营商的限流策略更是多变 之前你有过这样的描述:
那么你刚刚遇到的情况极大可能是,你先用 Trojan 时,运营商的限流系统还在收集信息,你再用其它时恰好被安排上 |
你要知道,和 GFW 一样,运营商的限流系统并不是无状态的,而是有数据库,这是常识,要测试,最起码把顺序颠倒几次测几遍 但不会有区别,因为无流控时,VLESS 协议和 Trojan 协议就只有协议头的区别,在运营商的限流系统看来它们就是同一个东西 你的 IP 就是运营商给分配的,即使不同,运营商也知道还是你,我让你先换运营商试试你不试,非要让我们来花时间解决你的运营商对你的帐号的限流问题,要不是上面你甩出个反常识且极具误导性的测试过程及结果,我真的不想浪费时间来回复你 |
比如说,我是你的运营商,我的系统记录了你 FQ 的黑历史,所以我决定对你向境外的连接实施非常严格的过滤、限流、阻断策略 你被针对了,这怎么解决?除了换运营商,没有任何办法 |
感谢耐心回复,你说到流控时候,我尝试把服务端和客户端vless配置中的 "flow": "xtls-rprx-vision" 注释了,然后vless也不会阻断了! 再次重申,我用的vless配置完全照搬:https://github.com/chika0801/Xray-examples/tree/main/VLESS-XTLS-Vision 我没明白流控的作用,所以可能问题还是在流控修改了某些东西?以及reality/shadotls也用了类似的东西? 可能是被针对,不过我这个现象每次修改配置都能精准复现。 |
说实话由于你的测试过程在我看来不严谨,我很难相信你的测试结果
|
R佬别生气 不如回复一下我的一个离题的疑问 入站代理中的routeonly不需要DNS二次解析仅嗅探 说被代理连接 指的是客户端连接到xray服务端 还是本机其他服务(比如Android开ADGuard 以系统VPN形式存在,V2rayNG仅代理模式) |
@moranno 还有,你所说的”注释“, |
大佬,我最近遇到了问题感觉跟他的描述差不多,情况是这样的(搭建的是 vmess+ws+tls+nginx) 这种我连不上的节点,别人都可以正常用 我知道这个方式可能已经落伍了,但是想问一下这个是什么阻断 |
服务端和客户端都同时注释了,现在已经跑了20分钟所有的持续流量,没有引发阻断。 关于手机热点...我人在国外,用的远程回国内台式机上测试的...所以不太方便改运营商,如果需要我录个视频? edit: 刚刚我又尝试把"flow": "xtls-rprx-vision" 加了回来,现在不会阻断了....刚刚的vless+vision阻断估计是误报, |
@Wyatt323 This is the wireshark traffic capture of VMESS+WS. Even if you use SSH for a long time will get reset sometimes. So maybe traffic amount and time were recorded. |
If initial connection establish packages were capture by wireshark, it will be possible to figure it explicitly as websockets, instead of general TCP. |
@moranno 你是开 SS / VMess 中转机场之类的吧 |
我也有类似现象,另外应该是本地 ip 阻塞,因为在阻塞时间段,我的两台 VPS 同时无法 ssh 链接,尽管我只是用了一台配置了 reality 和 shadowTLS 的 VPS,而且不分平台,测试过 xray 和 sing-box。 |
嗯嗯,是本地IP与目的IP的精准阻塞。 |
嗯,直到你说人在国外,一听就是开机场。 机场的问题很复杂,这里不是给机场提供免费技术支持的地方,我愿意在这里花时间,是为了信息的通畅,不是为了帮机场赚钱。 所以我不会帮你解决这个问题,我建议你自己研究这方面技术,然后像我一样可以自己解决遇到的问题 #1750 (comment)
|
@RPRX ps:测试的vless到现在没都阻断。 |
他肯定没环境测,或许叫群友(如果能)收集信息或用你提供的信息推测,太难了 |
@moranno 关于机场,说实话,我对机场落地这类技术,持保留态度。 从去年底乃至这些年的经验来看,很多时候,GFW 的封锁策略优先讲究一个最多人用、最大收益,而不是你协议特征明不明显。 那谁会成为靶子就很明显了,这也好理解,假如你是 GFW 的供应商,最后交差个 FQ 封锁率才百分之几的东西,不太合适吧。
|
udp类,建议在cn开obs,是hysteria那边的快速入门里提到的,且它的作者也在它的tg群多次提到是想大家优先用obs,它群的公开信息
|
开混淆可以暂时解决“没有真正的 h3 server 而露馅”的问题,但是带来了另一个问题,即变成了全随机数,它本身就是更明显的特征 以前对于 SS 这类“全随机数是不是最大的特征”还有过争议,现在已经没有悬念了,GFW 直接封了目标 IP 也不会有什么附带伤害 根据目前的反馈,暂时只有部分地区的 GFW 把该策略应用到了 UDP,且暂时只是封端口, |
我自己的两台机器也出现类似情况SSH上不去了。。 |
xray1.8.0使用的配置方式为:https://github.com/chika0801/Xray-examples/tree/main/VLESS-H2-uTLS-REALITY
发生阻断情况详细描述见这里:ihciah/shadow-tls#78
这里有restls作者的分析:3andne/restls#8
以及这里有类似的情况:#1752
基于我之前观察和分析,我猜测:
是因为我服务器地址填写的是IP,但TLS表演的却是www.bing.com;导致gfw无法获取sni,所以阻断。
如果可以配置sni为TLS链接的www.bing.com,我想可以避免阻断。
The text was updated successfully, but these errors were encountered: