-
Notifications
You must be signed in to change notification settings - Fork 4k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
REALITY在不同运营商网络下表现不一 #1769
Comments
我觉得不是xray配置这方面的问题。你要使用好回程线路的VPS,你用的什么VPS你没说。 至于你说的第2条为什么电信在这VPS就不通,真不好猜。 |
两台香港CN2,一台美国小鸡。 |
出这个问题的基本上都是电信,我那个被拉黑的韩国甲骨文IP两年没用过,你敢信 |
问题是 Trojan+TLS+TCP/VLESS+XTLS+TCP 这种老组合反而能用,电信真要这么搞的话就过于奇葩了 |
我也是电信网络,gcp新加坡台湾,reality套的addons.mozilla.org,从测试到现在预发布一直都正常,唯一一次出问题是前几天我套了一个国内网站,跑了1,2小时被sni封锁了,但是换回addons.mozilla.org后立刻就好了 |
~~emmm,我的那个韩国IP偷自己也不行。~~我发现如果没有先偷别人被阻拦,上来就偷自己是没问题的。 |
我发现今天出现问题的似乎都和偷自己有关,有没有想过会不会是你们后端没设置好 |
如果不确定,或者一时没有测试的网站,可以试试我用的addons.mozilla.org或者learn.microsoft.com |
我能确定跟官方模板不同的点就有两个: 第2点,偷自己刚刚试了其他域名,还是联不通…… |
没辙了,用正常端口回落也不行 :( |
我测试我的韩国甲骨文IP,我称之为被CDN管理的一个两年未用的无辜IP,补充修正一下: |
就算是精准拉黑,也无法解释为何trojan/vless能正常使用,而Reallity不行。这是让我最疑惑的点。 |
我的一个vultr的小鸡,昨天试了1.8,无论是在电信线路还是移动线路下{我家两条宽带},每隔两三分钟,reality就联不通了,{猜测就是你们说的sni阻断},过一会重启一下xray就好了{有时候不重启放久一点也能自动好},切换回xtls vision持续使用没任何问题,我感觉还是这个reality机制哪里还实现的有问题或不完善,能被墙发现探测到,当然也不排除是vultr的ip被针对和定点监控了,但不太好理解的是xtls vision没任何问题。 |
刚怀疑是不是软路由某个设置不当导致的,测试了电信的蜂窝网络、家宽,表现一样,REALITY不通,回落正常。同一端口下,上述老组合反而能正常用 :( |
找到原因了,电信针对443端口REALITY阻断,应该就是”临时可信证书“握手这一步被电信端了。 |
问一下 你们 dest 配置的目标是?换一个试试? |
机场多用中转线路甚至专线,国内段多数情况下根本不鸟你用什么。这也是现在还有人在用 SSR 这种东西的原因。 |
我用的www.ebay.com,还有之前别人那个日本的啥网站,都一样,用几分钟,over.过会就恢复 |
所以问题来了,有实力的机场,直接搞专线或中转,根本没有担心被端的必要,REALITY也可以不管机场这些毛病。 |
另外我这里对配置有个疑问,ServerName和dest要配成一样吗?dest是回落的,那ServerName配什么?模板里为何是一样?如何是一个好的合理的配置? |
请问“临时可信证书”是哪一步?另外用非443端口也被阻断。 |
我的理解是:dest用于指示偷什么站的证书,ServerName是通信中的SNI(服务端设定允许的范围,客户端设定请求时进行的SNI)。一般来说SNI需符合证书的域名范围,可用 |
用curl请求测试 会不会触发阻断? |
curl 80端口
curl 443端口
|
看这里页面底部的说明: |
进行以下测试进一步确定问题:
分别记录阻断情况,不同测试之间需更换本地ip |
有点不解的是似乎reallity才有“临时可信证书”这一步,而shadowtls似乎是直接偷目标网站证书,为啥也产生了一样的阻断呢? |
又继续折腾了下,基本搞定了,感谢楼上各位参与帮助,总结一下: 1、电信的网络有玄学(包括家宽、蜂窝网络),极端情况看命,实在不行换超级贵的线路,保证能行。 2、最好按照官方模板要求,剔除所有旧版XTLS遗留下来的所有回落配置,只保留REALITY,避免其他协议(或组合)被探测到。我刚刚把所有无关回落配置剔除,测试了下REALITY就通了,不过又间歇性被阻断了几次,半小时后基本就没怎么断过。可能回落到过时的协议(或组合)也会被土啬探测到。 3、更换端口,对比验证下是否当前端口被阻断了。如果是,无解,默念运营商草泥马。 4、客户端配置文件,这一点我自己疏忽了。每个人用的代理客户端不一样,客户端配置文件不严格按小作文撸也会有影响。我因为分流维护方便,长期在用clash-meta,xray/v2ray的配置文件挺长时间没关注,这次因为要手撸REALITY配置文件,才发现routing这部分写不好也会有影响(我是影响到页面加载速度,还没到加载不了的程度)。 5、撸REALITY配置文件小小总结(仅基于我自己的配置方式):
|
与 VLESS 回落功能无关,我看了下群,都什么理解啊,主动探测连 REALITY 那关都过不去,还轮得到 VLESS 回落? 用了 REALITY,VLESS 的回落就不是给你回落到网站用的,是给 Vision 与 H2 / gRPC 同端口共存用的。 |
详细说说,这俩怎么同端口共存 |
这么一说就理解了,我已经把旧的回落配置全删了,只保留REALITY。gRPC我这没法用,电信网络还是会淦gRPC,只能TCP。 |
REALITY 是 TLSv1.3,VLESS 有回落很正常,默认回落到 H2C 或 gRPC 就能共存了,
|
@RPRX 请问大佬:直接用reality+grpc或reality+h2,对比reality+vision+tcp的安全性(不被封)如何?是前后一样,还是后者更安全? |
类似现象,我是联通,3个欧洲国际线路回程机,reality用的域名是动漫.jp,一些记录 |
建议关注 xray tg 频道或群
reality+vision+tcp 使用提醒见 |
提个功能建议,能否考虑下让 RoutingObject 模块支持调用远程文件来加载IP、域名黑白名单,类似这样:
远程文件则按 RoutingObject - domain 的规则进行编写,如:
这样我就可以复用 https://github.com/blackmatrix7/ios_rule_script 的规则文件,在vps上写个sh脚本,每天自动转换规则为xray的格式并生成新的txt文件,放到我自己的web服务器上提供url给xray调用。 我当前的用法是设定时任务,每天自动更新一次GEOIP和GEOSITE文件,并重启一次xray-core。现在这么用不利于我自由添加黑名单域名或IP,如果能远程调用的话,我可以自由添加域名或IP进去。 |
You can write a tcp program to listen port and accept modified RoutingObject rules. |
You could get a example of TCP content exchange by https://github.com/cross-hello/Linux-Remote-Command-Execute |
thanks :) |
That program was written near graduation. Now must could write better, but indeed there is more important thing to do, like learn violin, neural network, mathematics or physical.
So bugs inside just ignore is OK. [Shy]
Mar 11, 2023 20:56:27 iKira ***@***.***>:
… You could get a example of TCP content exchange by https://github.com/cross-hello/Linux-Remote-Command-Execute
thanks :)
—
Reply to this email directly, view it on GitHub[#1769 (comment)], or unsubscribe[https://github.com/notifications/unsubscribe-auth/AKGBAYHS6XJUKK3E5HD2ZO3W3RY7XANCNFSM6AAAAAAVWO6SXQ].
You are receiving this because you commented.[Tracking image][https://github.com/notifications/beacon/AKGBAYCGPDYQJN4TINXTK3LW3RY7XA5CNFSM6AAAAAAVWO6SXSWGG33NNVSW45C7OR4XAZNMJFZXG5LFINXW23LFNZ2KUY3PNVWWK3TUL5UWJTSXKCZZG.gif]
|
在群里有个群友也在反馈类似(是联通到软银好回程线路),印象中前7天iss上表达类似的或群里咨询也有不少,记得是表达的问遇到断流怎样解决。也有群友用监控tcp ping icmp ping的遇到icmp正常 tcp ping超时的例子(他说是nginx vmess grpc warp出)。暂不好猜原因来自哪方面。 |
@chika0801 老哥 reality偷域名是不是不要偷有国内cdn的 比如www.amd.com 这种 |
没有这个要求吧。之前说的是比如www.amd.com有用CF的CDN,就容易被人扫到,你的VPS成为别人眼中的中转机。当然这问题你可以用比如NGINX的SNI分流来屏蔽(解决)。 我以前测试过一些10刀年付价格的机,DEST填比如洛杉矶哪个大学博物馆的网址,给别人用(测试)后来测试的人给我说上不起了,类似的遇到后换个端口会通。只是通后没常用再测(无后续对比测试了),这个经验。 简单说我自己用的VPS(数量不为1),都是有回国线路优化的商家的机,价位也至少不是10几刀国际线路的。买个域名,申请个SSL证书,用REALITY的偷自己形式,和别人一些人(朋友)共用,到现在没遇到被封端口,反应有什么莫名不稳等的现象。 |
今天下午测试过,移动网络下是可以正常使用的。但是今晚在电信网络下测试发现就不能用了,配置没做过任何改动。
表现出的差异:
@RPRX 麻烦帮看看问题出在哪,REALITY刚出来,不太清楚运营商搞出什么限制了。
Windows xray-core 输出的日志
服务端配置:
客户端配置:
Nginx nginx.conf配置:
Nginx域名.conf配置:
The text was updated successfully, but these errors were encountered: