Настройка XHTTP-CDN и TCP-REALITY-VISION на одном VPS. #4232

netsentinel · 2024-12-31T14:06:49Z

netsentinel
Dec 31, 2024

В данном материале будет рассмотрен пример сосуществования XHTTP-VLESS-TLS-over-CDN и TCP-VLESS-REALITY-VISION на одном VPS. В случае с CDN будет устанавливаться маскировочный вебсайт, для прямого доступа - reality. Таким образом, мы получаем два совершенно разных способа обхода блокировок на одном VPS. Пример составлен так, что на самом сервере не требуется практически ничего, кроме прописывания docker compose up. Для работы данной конфигурации вам потребуется домен, который через cloudflare (далее - CF) указывает на ваш сервер, также требуется включить gRPC в настройках CF. В качестве маскировки для примера я буду применять filebrowser. Ниже представлена схема получаемого результата.

Для начала рассмотрим compose.yml. В конце я предоставлю полный код, здесь же удалены некоторые части.

services: 
  
  cloak:
    image: filebrowser/filebrowser

  xray:
    image: ghcr.io/xtls/xray-core
    volumes:
      - ./config.jsonc:/etc/xray/config.json

  nginx:
    image: nginx
    ports:
      - 443:443
    volumes:
      - ./selfsigned.crt:/etc/nginx/selfsigned.crt
      - ./selfsigned.key:/etc/nginx/selfsigned.key
      - ./nginx.conf:/etc/nginx/nginx.conf
      - ./nginx.tls.conf:/etc/nginx/nginx.tls.conf
      - ./nginx.cdn.conf:/etc/nginx/nginx.cdn.conf
      - ./containers/nginx/logs/:/etc/nginx/logs/

Теперь рассмотрим конфиг NGINX. Решение о том, откуда идет трафик, принимается на основании IP - они заранее известны для CF и прочих CDN. Поэтому создаётся файл с их перечнем - nginx.cdn.conf.

geo $remote_addr $is_cdn {
  default            0;

  # cloudflare ip4
  173.245.48.0/20    1;
  103.21.244.0/22    1;
  ...
}

Переходим к основному конфигу. Поскольку vision порождает нечитаемый http трафик, мы не можем просто иметь http блок. Решение о роутинге принимается по IP в stream блоке, т.е. имея обычный TCP-поток.

stream {
  include nginx.cdn.conf;
  map $is_cdn $dest {
    0 127.0.0.1:444; # tcp-vless-reality-vision direct
    1 127.0.0.1:445; # xhttp-vless over cdn with cloak
  }

  # this workaround is needed since you can't use xray/nginx hosts in map directly
  server { listen 443; proxy_pass $dest; }
  server { listen 444; proxy_pass xray:888; }
  server { listen 445; proxy_pass nginx:8443; }
}

http {
  include nginx.tls.conf;

  server {
    http2 on;
    listen 8443 ssl;
    server_name your.domain.org; # OVERRIDE THIS

    # secret xhttp path
    location /qhq8AVkC3dOafYDz {
      client_max_body_size 0;
      grpc_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      grpc_pass grpc://xray:777;
    }

    location / {
      proxy_pass http://cloak:80;
    }
  }
}

Теперь конфиг xray. Тут, в целом, всё достаточно просто.

{
  "log": { "error": "/var/log/xray/error.log", "loglevel": "debug" },
  "dns": { "servers": [ "https://208.67.222.222/dns-query" ] },
  "routing": {
    "domainStrategy": "IPOnDemand",
    "rules": [
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "block",
        "protocol": [ "bittorrent" ]
      },
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "block",
        "domain": [ "regexp:.*\\.(ru|рф|by|kz|ir|cn)$" ]
      },
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "block",
        "ip": [ "geoip:ru", "geoip:by", "geoip:kz", "geoip:ir", "geoip:cn" ]
      },
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "direct"
      }
    ]
  },
  "outbounds": [
    { "tag": "direct", "protocol": "freedom" },
    { "tag": "block", "protocol": "blackhole" }
  ],
  "inbounds": [
    {
      "tag": "xhttp-cdn-tls",
      "listen": "0.0.0.0",
      "port": 777,
      "protocol": "vless",
      "settings": {
        "decryption": "none",
        "clients": [
          // cat /proc/sys/kernel/random/uuid
          { "id": "0358ea85-e758-4139-bddb-98d05265cf4d" }
        ]
      },
      "streamSettings": {
        "network": "xhttp",
        "xhttpSettings": {
          "mode": "stream-up",
          // tr -dc 'A-Za-z0-9' < /dev/urandom | head -c 16; echo
          "path": "qhq8AVkC3dOafYDz"
        },
        "sniffing": { "enabled": true, "routeOnly": true, "destOverride": [ "quic", "http", "tls" ] }
      }
    },
    {
      "tag": "tcp-vless-reality-vision",
      "listen": "0.0.0.0",
      "port": 888,
      "protocol": "vless",
      "settings": {
        "decryption": "none",
        "clients": [
          { "flow": "xtls-rprx-vision", "id": "0358ea85-e758-4139-bddb-98d05265cf4d" }
        ]
      },
      "streamSettings": {
        "network": "raw",
        "security": "reality",
        "realitySettings": {
          "dest": "ign.com:443",
          "serverNames": [ "ign.com" ],
          // xray x25519
          // Private key: cPYRncL2nCQXkQNJhGDOazSmOlba_c3TC7L-GDegFTE
          // Public key: 3L7mhmQDgrGxL66Hnoclafw23GXw9noj7wSRwoZYal8
          "privateKey": "cPYRncL2nCQXkQNJhGDOazSmOlba_c3TC7L-GDegFTE",
          // openssl rand -hex 8
          "shortIds": [ "", "da1a33ae949fc0c6" ]
        },
        "sniffing": { "enabled": true, "routeOnly": true, "destOverride": [ "quic", "http", "tls" ] }
      }
    }
  ]
}

Полный код примера можно найти здесь. Ещё раз, всё что вам нужно: сделать домен, который смотрит на ваш сервер; установить его на CF и включить gRPC в панели; клонировать упомянутый репозиторий, переопределить домен в nginx.conf и поднять контейнеры.

P.S. Вы можете использовать nerdctl вместо докера - команду nerdctl compose up в директории с compose.yml, для этого установите его:

apt -y update && apt -y install curl iptables && curl -L -o nerdctl.tar.gz \
https://github.com/containerd/nerdctl/releases/download/v2.0.2/nerdctl-full-2.0.2-linux-amd64.tar.gz \
&& tar Cxzvvf /usr/local nerdctl.tar.gz && rm nerdctl.tar.gz && systemctl enable --now containerd

iopq · 2025-01-01T08:07:26Z

iopq
Jan 1, 2025

Почему просто не изпользовать два домена? Для своих целей достаточно какой-нибудь бесплатный субдомен

2 replies

netsentinel Jan 1, 2025
Author

Как минимум по sni могут отвалить бесплатные поддомены. Их основные домены известны, как я понимаю. И очевидно, что там хостится либо всякий ширп, либо прокси. Правда, в таком случае потребуется отвалить ещё и все запросы без sni, т.к. в принципе можно настроить nginx на работу без server_name. В любом случае, я попросту не вижу смысла ограничиваться работой только через домен, когда можно иметь и домен и reality с sni на популярный сайт вот таким способом.

iopq Jan 2, 2025

Как минимум по sni могут отвалить бесплатные поддомены. Их основные домены известны, как я понимаю. И очевидно, что там хостится либо всякий ширп, либо прокси. Правда, в таком случае потребуется отвалить ещё и все запросы без sni, т.к. в принципе можно настроить nginx на работу без server_name. В любом случае, я попросту не вижу смысла ограничиваться работой только через домен, когда можно иметь и домен и reality с sni на популярный сайт вот таким способом.

Я имею ввиду такой способ:

https://habr.com/ru/articles/761798/

когда идем на домен yahoo.com сразу переводиться на reality потому что это не наш домен
а свой домен через CDN

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Настройка XHTTP-CDN и TCP-REALITY-VISION на одном VPS. #4232

{{title}}

Replies: 1 comment 2 replies

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

{{title}}

Select a reply

Настройка XHTTP-CDN и TCP-REALITY-VISION на одном VPS. #4232

netsentinel Dec 31, 2024

Replies: 1 comment · 2 replies

iopq Jan 1, 2025

netsentinel Jan 1, 2025 Author

iopq Jan 2, 2025

netsentinel
Dec 31, 2024

Replies: 1 comment 2 replies

iopq
Jan 1, 2025

netsentinel Jan 1, 2025
Author