oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
knowledge-base/decisions/2026-06-08-finland-vless-happ-dns-diag.md

6.1 KiB
Raw Permalink Blame History

date, type, tags, aliases, status
date type tags aliases status
2026-06-08 incident
vpn
finland
vless
happ
xray
reality
dns
podkop
finland5870 vless не работает
Happ DNS 8.8.8.8
in-progress

Finland5870 VLESS «не работает» — диагностика (продолжить завтра)

Жалоба Олега: vless на 202.71.12.186 не работает (общий сервер для всех клиентов, не только Сергей). Симптом проявился на Mac Олега через клиент Happ (профиль «🇫🇮Финляндия»).

Что установлено ТВЁРДО

Сервер исправен

  • 202.71.12.186 = finland5870.com, ISP Hostkey AS57043 Helsinki, биллинг/панель AdminVPS (my.adminvps.ru). НЕ Singapore (у Сергея в README гео ошибочно — поправить).
  • Доступ: только root, key-only, через jump = code-server. Рабочая схема: ssh root@100.70.92.138 (Mac-ключ id_ed25519) → оттуда ssh root@202.71.12.186 (ключом code-server). Прямой ssh -J с Mac НЕ работает (на target лежит ключ code-server, не Mac). Прямой вход с Mac запрещён by design.
  • amnezia-xray running, Restarts=0, слушает :9443 (НЕ :443!). Сервер ребутался 2026-06-07 ~20:43 UTC, всё поднялось (restart=always).
  • На :443 ничего нет и не было (нет haproxy/nginx/контейнера) — клиентские конфиги на :443 битые в принципе.

Актуальные Reality-параметры (server.json + *.key)

Поле Значение
Порт 9443
pbk (publicKey) WxwIoiVyCkAoQ05xHEcRnTCTvK0uXfEmaGB-C7wPPBw
sid (shortId) 2721326dfa367e20
dest / SNI www.googletagmanager.com
flow xtls-rprx-vision
UUID (4 шт) 20cb0525-057f-4976-b876-4c257f214d1d, c22b6e34-ceca-4977-97a0-2b1e6b4035a7, 1e70e2a1-da17-4f7a-b835-56e9b37c600b, a2deaa61-9645-4d77-b5f7-8a1978da690d

Старые (битые) параметры, гулявшие у клиентов: порт 443, pbk duDwOkEDWQUnY_oMjDGlUFvUFBdCSxo5fiudmGL4XgQ, sid cc75ad57d3b0bb9b — сменились при пересборке xray в конце апреля (после malware-инцидента 24.04, см. 2026-04-24-finland-vps-malware-cleanup).

Reality из РФ проходит — РКН НЕ душит

  • e2e через code-server (xray-клиент, актуальные параметры) → выход 202.71.12.186 FI/HOSTKEY.
  • openssl с Mac (РФ, без VPN) → 202.71.12.186:9443, SNI googletagmanager: TCP 20ms, отдаёт Google-сертификат *.google-analytics.com, Verify OK.
  • → фрагментация для обхода DPI НЕ нужна.

КОРЕНЬ проблемы на Mac (Happ)

  1. Фрагментация Happ ломала канал. В конфиге было outbound proxy → sockopt.dialerProxy="antifilter" → socks 127.0.0.1:10810. Фрагментатор на 10810 мёртв (история крашей tag=antifilter ping ... io: read/write on closed pipe). Весь vless заворачивался в мёртвый 10810. → СДЕЛАНО: Настройки Happ → Туннель → «Использовать фрагментирование» = ВЫКЛ. (Reality и так проходит, фрагментация лишняя.)

  2. DNS-замок (главный нерешённый). Happ резолвит домены через DoH https://8.8.8.8/dns-query (Google). Логи Happ забиты: [Error] app/dns: failed to retrieve response for www.google.com > Post "https://8.8.8.8/dns-query": context deadline exceeded → все резолвы валятся → Happ считает all outbound return -1 → рвёт туннель (после старта порты 108xx гаснут).

    • Google DoH 8.8.8.8 заблокирован из РФ напрямую (проверено: пусто).
    • DoH 8.8.8.8 в конфиге маршрутизируется через proxy (vless), но всё равно timeout даже после отключения фрагментации.
    • При этом в access.log 21:50 были УСПЕШНЫЕ socks-in >> proxy (vless-data из РФ ходил) — значит канал способен работать, спотыкается именно DNS.

TODO завтра

  1. Сменить DNS-резолвер в Happ (routing-набор «RoscomVPN» задаёт DoH 8.8.8.8 + 77.88.8.8). Google 8.8.8.8 из РФ дохлый. Варианты:
    • Yandex DoH правильным endpoint (77.88.8.8/dns-query отдаёт «Not Found» — путь неверный; проверить https://common.dot.dns.yandex.net/dns-query).
    • Cloudflare https://1.1.1.1/dns-query через proxy.
    • Или plain 1.1.1.1/8.8.8.8:53 через proxy вместо DoH.
  2. После DNS-фикса проверить: подключить Happ → lsof 10808 живёт → curl --socks5-hostname 127.0.0.1:10808 https://api.ipify.org + youtube.
  3. Решить раздачу остальным клиентам (Сергей/Бенелюкс/Знаменское/Lipki): у кого конфиг на :443/старый pbk — перевыпустить на 9443/WxwIoi/2721326.
  4. Поправить КБ: гео finland5870 (Сергей README: Singapore→Finland), старые vless-ссылки на :443 в notes/snippets, путаница Hostkey vs AdminVPS.

Рабочая vless-ссылка (актуальная, проверена e2e)

vless://20cb0525-057f-4976-b876-4c257f214d1d@202.71.12.186:9443?type=tcp&security=reality&fp=chrome&sni=www.googletagmanager.com&pbk=WxwIoiVyCkAoQ05xHEcRnTCTvK0uXfEmaGB-C7wPPBw&sid=2721326dfa367e20&flow=xtls-rprx-vision&encryption=none#Finland-9443

Связано: ../projects/dttb/finland-hostkey-vps, ../projects/sergey/README, 2026-04-24-finland-vps-malware-cleanup

Reference in New Issue View Git Blame Copy Permalink