Проброс доступа из интернет к внутреннему порту виртуальной машины

Безопасность в операционных системах Microsoft: открытие порта 443 в Windows

Добрый день уважаемые читатели и гости блога, продолжаем изучать безопасность в операционных системах Microsoft. В прошлый раз мы решили проблему с долгим поиском обновлений Windows 7, установили их и теперь система более защищена от внешнего мира. В сегодняшней статье я затрону такую тему, как что такое порты и как открыть порт 443 в Windows за минуту. Данный материал будет полезным для системных администраторов, так и для разработчиков.

Что такое порт 443?

Как я и писал выше, чаще всего он используется в двух вещах. Первая это конечно подавляющее количество сайтов, работающих по протоколу HTTPS на 443 порте, а второй момент это в шифрованных каналах передачи данных. Пять лет назад его использовали в основном интернет-банки и интернет-магазины, где расплачивались электронными картами. Сейчас же поисковые системы стараются и подталкивают всех вебмастеров перевести свои ресурсы именно на 443 соединение.

Почему порт может не работать?

Давайте рассмотрим вопрос. По каким причинам может быть закрытым порт 443. Если 443 порт закрыт, то это означает, что:

• Firewall блокирует этот порт;
• Порт 443 занят другим процессом или службой;
• Неверно настроен NAT;
• Что-то еще блокирует порт на вашем компьютере;
• Проблемы в проводке на ISP уровне.

Что такое порты в Windows

Давайте попробуем объяснить, что такое порт. Представим себе большой микрорайон с большим количеством многоэтажных домов, в каждом из них есть квартиры с жильцами, общим количеством 65 536. Каждая квартира имеет свой уникальный порядковый номер. Теперь представим, что вам необходимо попасть к другу Васе, который живет в 1443 квартире. Вы что делаете идете в нужный дом с таким номером квартиры, далее вам нужно заскочить к Марине, которая живет в 80 квартире. Теперь представьте, что вместо вас это ваш компьютер, а вместо ваших друзей – это порты. Каждый такой порт уникален и отвечает за ответ пользователю по определенной службе.

Из выше описанного, порты бывают двух типов:

1. TCP порты – они поддерживают надежное и установленное соединение между клиентом и сервером;
2. UDP порты – они широко используются при передаче пакетов без установления соединения.

Порты еще очень часто ассоциируют с сокетами, о которых я уже рассказывал.

Эта статья является сборником разных вопросов и ответов на них, которые звучали в комментариях к моим предыдущим статьям и в личных сообщениях.

Разное

• Пользуюсь прокси, и некоторые сервисы/приложения каким-то образом определяют, что я сижу через прокси, как они это делают?
  Классических способов выявить прокси/VPN не так много, самые известные:

  1. Выявление по IP адресу – проверка через базы данных известных прокси;
  2. Выявление по MTU – проверка актуальности MTU для различных протоколов;
  3. Сканирование IP клиента на предмет открытых стандартных портов (например, 443).

• Я настраиваю сервер с XTLS-Reality, как это сделать максимально правильно?

• А почему рекомендуют избегать посещения через прокси зоны RU?

Следующая тема: Как открыть порт 443 в Windows.

Влияние закона Яровой

По закону Яровой у нас давно уже пишутся все метаданные интернет-активности (куда, когда, откуда были подключения, какие объемы данных передавались, и т.д.). В теории (но судя по тому, насколько часто встречается эти совет на китайских сайтах, у них это уже не в теории) возможно следующее: вы случайно (даже просто зайдя на какой-нибудь обычный сайт, который подгрузит скрипту или контент с другого сервера) через свой прокси делаете запрос на условный Яндекс/Мейл/ВК/Госуслуги.

В логах метаданных видно: подключение от вас на какой-то внешний IP, и точно в тот же самый момент подключение с этого IP к сервису внутри страны (который, понятное дело, тоже подконтрольный), объемы переданных данных одинаковы (с учётом оверхеда протокола) – и после ряда таких совпадений можно однозначно сказать что на этом адресе работает прокси.

Ну или мобильное приложение у вас на телефоне (имеющее доступ к геолокация или имени активной сотовой сети) видит что вы вроде внутри страны, но при этом подключение к их серверу происходит с какого-то иностранного адреса – тоже опачки 🙂

Новинки прокси-клиентов

Nekobox

У Nekobox появилась русская локализация, а также в качестве ядра, помимо sing-box, там теперь можно использовать xray вместо безнадежно устаревшего v2ray.

Hiddify-Next

Под Windows, macOS, Linux и Android появился многообещающий клиент Hiddify-Next, написанный на Flutter и основанный на Sing-box – у него очень простой интерфейс, работает хорошо, умеет автоматически пропускать напрямую трафик до ресурсов выбранной страны (Россия в списке тоже есть), не требуя дополнительной настройки маршрутов, поддерживает и прокси- и TUN-режимы, а ещё при получении списка серверов под подписке может пинговать их всех и автоматически использовать тот, который отвечает лучше всего.

Streisand для iOS

Под iOS появился новый клиент Streisand – я не пробовал, кто уже пользовался, расскажите, как оно.

Новости протоколов

Вышла новая версия протокола Hysteria – Hysteria2. В Sing-box уже поддерживается.

Блокировка Shadowsocks

Как цензоры умудряются заблокировать Shadowsocks даже версии 2022? Согласно последнему GFW Report, детектировать Shadowsocks-2022 не умеют до сих пор даже китайцы, в итоге они просто в период обострений банят все протоколы, которые (не опознаны на DPI) AND (не похожи на простые текстовые). В итоге получается прибить SS-соединения, пусть и ценой огромного collateral damage (побочных эффектов) – блокируются все неопознанные протоколы, то есть по сути дела мы имеем дело с белыми списками.

Проблемы с XRay

У меня на сервере был OpenVPN/Wireguard, после начала протокольных блокировок я установил XRay, и все равно ничего не работает

Панели

Обновление X-UI

Как обновить X-UI? Устанавливал через Docker.

NSX-T

Для разрешения доступа из Интернет к внутреннему порту виртуальной машины требуется разрешение в Firewall. Подробнее о дальнейших настройках можно узнать в данной статье.

Как открыть порт 443 в брандмауэре Windows с помощью PowerShell

Еще один универсальный метод выполнить нашу задачу. Для того, чтобы открыть порт 443 в любой версии Windows, вам необходимо запустить оболочку PowerShell ISE в режиме администратора и ввести вот такой небольшой код из двух строк, я буду это проделывать на своей Windows 11.

## Получить текущий профиль брандмауэра 
$profile = Get-NetFirewallProfile -Name Public

## Создать новое правило для порта 443 
New-NetFirewallRule -DisplayName SecureWeb -Profile $profile.Name -Direction Inbound -Action Allow -Protocol TCP -LocalPort 443

После выполнения команды я вижу, что в брандмауэре Windows появилось правило с именем SecureWeb, открывающее порт 443 на публичном сетевом профиле

Настройка маршрутизации и клиентов

Как настроить, чтобы на российские сервера и сайты доступ шел напрямую, без прокси?

• Не могу зарегистрироваться на MaxMind чтобы использовать GeoIP базы в Shadowrocket
• Как добавлять в правила маршрутизации с кириллическими доменами? Не работает.
• Используйте любой онлайновый punicode-конвертер, чтобы преобразовать их в адреса латиницей. Например, мвд.рф будет xn--b1aew.xn--p1ai
• Можно ли автоматически использовать в прокси-клиенте списки Антизапрета?
• Также есть очень интересные списки на GitHub

Проблемы с настройками прокси

• Столкнулся с проблемой, что проксируется только трафик браузера, трафик терминала, например, идёт мимо прокси. Это зависит от режима работы клиента. В режиме system proxy устанавливается системный параметр, а вот использовать его или нет, зависит уже от самого приложения — браузеры его используют, а некоторые программы вообще не умеют и не хотят. В режиме TUN заворачивается весь системный трафик, можно попробовать с ним, должно помочь.
• Настроил правила роутинга в клиенте, но они, кажется, не работают – трафик все равно идет или весь напрямую, или весь на прокси, смотря что указано по умолчанию. Надо смотреть настройки сниффинга в клиенте — во-первых он должен быть включен, и не AsIs, а что-то типа Sniff for routing или Resolve Destination (в зависимости от клиента).

Все включено, но роутинг все равно не работает как надо. Конфиг писал вручную.

У XRay есть специфика, там если заданы условия, по которым будет применять тот или иной роут (например, айпи назначения из такой-то подсети, inbound такой-то, протокол такой-то), то он применит этот роут только если все условия будут выполнены. Ну и правила применяются сверху вниз, то есть первое правило которое полностью совпало, оно и будет использоваться

Я не использую никакие правила роутинга, но некоторые сайты все равно определяют мою реальную локацию, а не локацию прокси-сервера!

Если используется TUN-режим, в клиенте не включен IPv6 (на сервере – не важно), и при этом IPv6 предоставляется вашим провайдером – есть вероятность, что трафик до IPv4-ресурсов будет идти через прокси, а до IPv6-ресурсов – напрямую.

Это не проблема конкретно V2Ray/Xray/SS, это будет для любых прокси/VPN, работающих через TUN. Решение: включить IPv6 в клиенте (даже если сервер не поддерживает), либо отключить IPv6 на сетевом устройстве (LAN или WiFi).

На Гитхабе больше нет билдов Nekoray под MacOS 🙁

Есть неофициальные билды под мак: Ссылка на неофициальные билды Nekoray для MacOS

Какие из прокси/VPN можно установить не имея прав администратора в Windows?

Большинство что консольных, что GUI клиентов Shadowsocks/Trojan/VLESS не требуют установки (достаточно кинуть файлы в папочку и запустить) и не требуют административного доступа. Но есть один нюанс: не получится работать через TUN-интерфейс (для установки драйвера и настройки сети нужны админские права), только через локальный прокси. Настройки прокси в винде, насколько я помню, может менять даже непривелигированный пользователь, и даже если админы запретили это делать, можно использовать браузер который не завязывается на системные настройки (например, Firefox точно так умеет).

Как удаленно и массово открыть 443 порт

Далее при наличии административных прав на удаленной системе вы легко всему списку можете прописать в брандмауэр правило, которое позволит открыть порт 443. В PowerShell ISE в режиме администратора введите код:

![](https://pyatilistnik.org/wp-content/uploads/2017/04/otkrytie-porta-443-na-udalennyh-kompyuterah.jpg)

Как быть если порт закрыт?

Сейчас мы говорим о ситуации, когда 443 соединение блокируется системным администратором или интернет-провайдером. В обоих случаях необходимо связываться с вышестоящими инстанциями и рассказывать, что вам необходимо открыть порт 443 в Windows, своими силами вы уже не обойдетесь. Еще очень частым вопросом бывает, как проделать все те же действия на сетевых устройствах, однозначного ответа нет, так как у всех это делается по-разному, изучайте документацию. По своей практике могу точно сказать, что провайдеры любят лочить 25 SMTP подключения, чтобы спам не рассылали. Уверен, что вы теперь знаете, как все открывать и сможете это использовать на практике.

Как открыть порт 443 на Windows 7 через командную строку

Когда вы набьете руку и вам надоест щелкать однотипные окна в брандмауэре Windows или вы захотите, все автоматизировать, то вам в этом поможет, командная строка запущенная с правами администратора. Вам необходимо выполнить такую команду:

netsh advfirewall firewall add rule name="Открыть 443 порт-2" protocol=TCP localport=443 action=allow dir=IN

Проверяем добавление нашего правила.

Как открыть порт 443 на windows 7, 8.1, 10 и 11

Я расскажу как открыть порт 443 на windows 7, но все описанное ниже, будет актуально и делаться один в один и на современных операционных системах Windows 10 и серверных редакциях. Порядок действий:

Для отключения, выберите соответствующие пункты, по сути теперь будут открыты все порты Windows 7. После тестирования не забываем все включить.

А теперь правильный вариант, перейдите в дополнительные параметры фаэрвола. Вы попадете в повышенный режим безопасности, именно тут можно открыть порт 443 windows.

Если вы допустили ошибку или, что-то поменялось, то вы всегда можете изменить настройки через свойства.

Про VLESS и XTLS-Reality

Правда ли что VLESS не использует шифрование, и поэтому использовать его небезопасно для конфиденциальных данных.

Нет. То, что VLESS не предусматривает шифрования на уровне протокола, не значит, что данные передаются в нешифрованном виде. VLESS всегда работает поверх TLS, трафик шифруется именно механизмами TLS, а не самого VLESS. Никакой проблемы с безопасностью тут нет, все секьюрно 🙂

То же самое с XTLS. XTLS отключает свой слой шифрования только в случае, если определяет, что обмен между пользователем и конечным сервером уже зашифрован TLS v1.3.

Что лучше XTLS-Reality, или просто VLESS + XTLS-Vision?

Преимуществ XTLS-Reality два. Во-первых это простота настройки, не надо никаких доменов, сертификатов, и т.д. Во-вторых, из-за возможности маскировки под любой популярный сайт, с его помощью можно пролезать через белые списки цензоров – например, в Иране долгое время блочили/резали все по малейшему подозрению, но yahoo.com у них был в белых списках, и прокси, маскирующиеся под него работали. В России, кстати, таким "белым" сайтом является vk.com – например, на ТСПУ запрещен протокол QUIC почти для всего, а вот до vk.com он бегает без проблем. Правда, возможно еще что у них белые списки не по домену, а по диапазонам IP или AS’кам, ну и толку от vk.com, который находится внутри страны, тоже мало.Из недостатков: может что-нибудь сломаться на сервере, под который вы маскируетесь (как например было с microsoft.com, когда они временно отключили TLSv1.3), плюс если вы маскируетесь не очень хорошо (например, оригинальный сервер отвечает не только на 443/TCP, но и на 80/TCP и 443/UDP порту, а ваш нет, зато ваш отвечает на 22/TCP aka SSH, а оригинальный нет), то это может вызвать подозрения. И еще подозрения может вызвать то, что вы стучитесь на условный microsoft.com, но при этом не резолвили его до этого (в Иране одно время за такое банили).

Обычный VLESS (с XTLS-Vision) сложнее в настройке, не будет работать в случае белых списков доменов (т.к. вы подключаетесь к своему не сильно популярному домену, который наврядли будет в белом списке), но при этом лишен описанных выше недостатков, главное не забыть поднять на нем как fallback какой-нибудь безобидный веб-сайт. Зато у него есть свой недостаток – TLS fingerprint сервера явно пахнет TLS-библиотекой языка Go, а не каким-нибудь обычным Nginx или Apache.

Мое личное мнение, как сделал бы я, если есть желание покопаться и разобраться: я бы на одном сервере поднял XTLS-Reality с каким-нибудь популярным доменом (про запас, на всякий случай), а на другом сервере для каждодневного использования, поднял бы XTLS-Reality в режиме "steal from yourself" – когда вы настраиваете на сервере Nginx или Apache с TLS-сертификатом и своим фейковым сайтом, а XRay настраиваете как XTLS-Reality, но в "dest" = "127.0.0.1", то есть маскируясь своим же собственным сайтом. В итоге вы получаете лучшее из обоих вариантов.

И бонусом еще я бы настроил проксирование через бесплатную CDN с gRPC на тот же сайт. Так, на всякий случай, мало ли что.

Нет ли какого-нибудь решения с VLESS, что бы завести к примеру 3х пользователей, но не пускать их в интернет, а раздать им доступы в разные внутренние сетки на контурах? Кажется 3Х-UI и подобные панели не умеют в разные приватные сети пользователей направлять.

См. также: XRay (с VLESS/XTLS): проброс портов, реверс-прокси, и псевдо-VPN

Как сделать хорошую, правильную маскировку для XTLS-Reality?

Внимание к мелочам.

Как выбрать сайт, под который стоит маскироваться с XTLS-Reality?

Лучше всего выбирать что-нибудь из сети того же хостера, каким пользуетесь вы.Для этого есть специальный инструмент: https://github.com/XTLS/RealiTLScanner

Скачиваете его под Windows/Linux со страницы Releases, или собираете сами (go build).

Далее, запускаете как-то так:

/RealiTLScanner -addr IP_вашего_VPS -showFail

Если сканер нашел какие-то домены – попробуйте сходить на них браузером – должен открыться соответствующий сайт без каких-либо ошибок сертификатов. Если не открывается, или лезут ошибки – такой домен нам не подходит, а если открывается и ошибок нет – можно попробовать маскироваться под него.

Задержки 1100-1800 ms для Нидерландского сервера это норм для XTLS-Reality? Скорость не падает.

Да, норм. Два важных отличия от других технологий: 1) в отличие от VPN, где подключение к VPN-серверу устанавливается один раз и все, в случае с прокси, на каждое исходящее подключение из клиентского софта устанавливается новое подключение к прокси-серверу (если только не используется мультиплексирование) 2) поскольку через прокси невозможно послать ICMP-пинг, большинство клиентов меряют задержку не пингом, а выполнением HTTP-запроса.

Вот и считайте: когда вы запускаете тест, сначала устанавливается TCP-соединение с прокси-сервером (уже как минимум один, а то и два round-trip). Потом поверх него происходит TLS-хендшейк (ещё один round-trip), и в процессе него прокси-сервер ещё устанавливает TCP-соединение с reality-dest сервером и запрашивает у него сертификат. Потом прокси посылает запрос на установление TCP-соединения с тем сервером, который используется для теста. Потом, если URL указан как HTTPS, происходит ещё TLS-хендшейк с ним. Потом клиент делает HTTP-запрос и ждёт получения ответа. И только после ответа вы видите результат теста, и "задержка" – это суммарное время всего вышеописанного процесса.

Хотите минимальные задержки – маскируйтесь под какой-нибудь сервер, который находится в сети того же хостера, что и вы (см. предыдущий вопрос).

Что такое "steal from yourself"?

Это когда вы используете Reality, но прикрываясь своим же доменом. По сравнению с Reality – быстрее устанавливается соединение, вы не зависимости от чужого сервера (который может отключить TLS1.3 по техническим причинам, или может забанить коннекты с IP вашего VPS, если вы его достанете), полная аутентичность (не надо маскироваться до каждой детали). По сравнению со схемой без Reality, а просто с VLESS и fallback’ом – у вашего сервера будет TLS-fingerprint как у настоящего веб-сервера (например, Nginx).

Настраивается просто: например, XRay слушает на 443 порту с Reality, в качестве "dest" у него указан "127.0.0.1:8443",а Nginx со своим сайтом с настроенным TLS слушает на 127.0.0.1 и порту 8443.

Можно ли самого XRay/Sing-box завернуть подключения в корпоративный прокси для обхода ограничений интернета в организации?

Можно ли настроить подключение через пару прокси-серверов?

XRay и Sing-box умеют делать цепочки прокси.В Sing-box, например, можно для каждого outbound’а задать "detour" (другой прокси), и таким образом достучаться до своего VLESS или Shadowsocks-сервера через корпоративный HTTP/SOCKS прокси. Если вы используете Nekobox, то нужно создать в Nekobox одно подключение типа HTTP или SOCKS (для корпоративного прокси с его адресом). Потом создать отдельно ещё одно подключение, VLESS для вашего сервера.И потом создать третье подключение типа Proxy Chain, и в него добавить первые два в нужном порядке. Если корпоративный прокси суровый (перешифровывает TLS с подменой сертификатов), то чистый VLESS скорее всего не пропустит, но вполне может работать вариант с websocket-транспортом.

Что такое port-hopping?

Пользователи из Китая писали, что когда GFW банит подключения к их прокси-серверу, ограничения часто применяются только к конкретному используемому порту. В качестве обходного пути в этой ситуации можно использовать port hopping, когда прокси-сервер слушает сразу на сотнях портов, и подключаться можно к любому – это может быть очень полезно при использовании Shadowsocks.

Сделать это можно с помощью iptables DNAT:

iptables -t nat -A PREROUTING -i eth0 -p udp –dport 20000:50000 -j DNAT –to-destination :555 ip6tables -t nat -A PREROUTING -i eth0 -p udp –dport 20000:50000 -j DNAT –to-destination :555

В этом примере сервер слушает порт 555, но клиент может подключиться к любому порту в диапазоне 20000–50000.

Как понять, что у меня используется именно Shadowsocks-2022, а не старый классический Shadowsocks с уязвимостями?

В конфигурации клиента и сервера нужно использовать method который начинается с "2022-", например 2022-blake3-aes-128-gcm и 2022-blake3-aes-256-gcm (это стандартные), или 2022-blake3-chacha20-poly1305, 2022-blake3-chacha12-poly1305, 2022-blake3-chacha8-poly1305 (это extra).

Для меня стало большим откровением, что современные браузеры при использовании любых прокси или VPN сливают ваш IP адрес через WebRTC

Используйте TUN-режим в клиенте.

Это все слишком сложно, можно как-то попроще?

Если все это слишком сложно – то советую Amnezia VPN, он устанавливается на любой сервер двумя кликами в понятном интерфейсе, есть клиенты под все платформы, и они тоже активно работают над защитой от выявления и блокирования.Ну либо перемещать себя в юрисдикцию, где нет блокировок по протоколам.

К чему еще стоит присмотреться кроме XRay и Sing-box?

Проброс доступа из Интернет к внутреннему порту виртуальной машины ​

Для обеспечения подключения к серверу из сети Интернет, необходимо пробросить порты с использованием NAT. Например, возможно пробросить порты для доступа по RDP или SSH, открыть доступ к веб-сайту или приложению.

Проблемы, ошибки, диагностика

С включенныи прокси не работают аудио-видео-звонки в месседжерах и онлайн-игры

Аудио- и видео- звонки, как и большинство игр, обычно используют передачу данных по UDP. VLESS/VMess/Shadowsocks поддерживают UDP, но у них есть проблемы с сохранением номера порта при реализации NAT, в результате чего могут быть проблемы. Для решения этих проблем разрабочики XRay придумали XUDP – специальное расширение протоколо, которое даст вам полноценный Full Cone NAT.

Как сделать, чтобы оно работало: Если у вас и клиент и сервер на базе XRay свежих версий (1.8.3 и новее), то все должно работать автоматически.Если у вас клиент на базе Sing-box (например, Nekobox), то надо явно в настройках подключения выбрать XUDP в параметре "Packet encoding".Если у вас клиент на базе XRay, а сервер на базе Sing-box, то есть риск что ничего работать не будет, нужно менять клиент или сервер.

Клиент FoxRay на iPhone периодически вылетает, что делать?

В настройках FoxRay в меню Toolbox есть опция "reduce memory usage", возможно поможет.

Почему у клиентов теперь все предложения на YouTube, в браузере тоже хоть сбрасывай все настройки, показывает Тегеран. WTF?

Это загадка черной дыры, над которой мы долго ломали голову и так полностью и не разгадали.У XRay совершенно точно трафик не прогоняется через какие-либо сервера ни в Иране, ни где-либо еще – это не то чтобы даже невозможно, но точно бессмысленно технически. В коде XRay ничего подобного нет.Было подозрение что автор панели добавил в XRay какую-то отсебятину – проверили, в docker-образе оно собирается из исходников с гита, там никаких подозрительных патчей нет, и потом еще кто-то в комментариях к одной из старых статей пожаловался на такое же, только не про Иран, а про Китай :)Для уверенности мы довольно долго смотрели в netstat и wireshark, вердикт – никаких левых подключений не делается.Была теория, что возможно где-то в коде или конфигах захардкожены какие-нибудь региональные DNS-сервера (региональный сервер, резовля условный гугл и ютуб, может отдать его же адреса региональных зеркал и гугл с ютубом подумают, что вы оттуда) – опять же, в коде и конфигах ничего такого не нашлось.

Варианты решения: не использовать TUN-режим (он же VPN mode), либо в правилах маршрутизации клиента или сервера запретить доступ до Google по IPv6, либо пропатчить клиент чтобы он использовал какой-нибудь другой внутренний адрес.

У меня FoXray не читает QR код (Shadowsocks-2022), пишет не корректные настройки. В то время этот же QR залетает в V2Box на ура. В чем может быть проблема, что я упустил?

Если пытаетесь сканировать QR из X-UI панели — можно попробовать сначала добавить подключение оттуда по ссылке в локальный Nekoray, а уже оттуда пошарить QR. Ну и проверить, что в названии конфига и параметрах нет никаких лишних символов (кириллицы, амперсантов, вопросов, точек, лишних слешей, и т.д.)

Проверьте, что у вас в /etc/resolv.conf 🙂

Настраиваю Shadowsocks, при старте клиента или сервера ругается "illegal base64 data at input byte 3"

Что-то не то с ключом. Можно еще раз перегенерировать в панели (если используете панель), или с ‘openssl rand -base64 16’ или ‘openssl rand -base64 32’ (в зависимости от длины используемого шифра).

Ну ошибка говорит сама за себя: "address already in use" = на сервере на 443 порту запущен уже какой-то другой процесс. Можно посмотреть командой ‘netstat -nlp’ от рута, она покажет, какой процесс слушает какой порт.

Делаю netstat -nlp, и судя по всему, прокся слушает только на IPv6, чзх?

В линуксе выхлоп нетстата типа "tcp6 :::2323" обычно означает что сокет доступен и по IPv6, и по IPv4.

Пытаюсь запустить Nekoray под Windows, ругается на какие-то ошибки в библиотеках Qt

Если у вас старая версия Windows, то нужно использовать старые версии Nekoray — в новых уже нет поддержки Windows 7 (и Windows 8 кажется тоже).Последняя такая версия — 3.17, файл называется "nekoray-3.17-2023-08-17-windows7-x64.zip".

Как точно определить, почему у меня клиент не подключается к серверу?

Увы, никак. В 99% случаев когда что-то не контачится, это будет какое-то несоответствие конфигурации между клиентом и сервером. Сам протокол сделан так, чтобы быть максимально недетектируемым, поэтому если серверу что-то не нравится (например, не совпал ключ пользователя, или еще что), то в ответ он не пришлет никаких ошибок чтобы не демаскировать себя, а будет молчать или рвать соединение – и остается только угадывать по логам.

Сделал все по инструкции, на сервере запустилась без ошибок, но прокси не работает. Nekobox говорит: "No connection could be made because the target machine actively refused it"

Ну собственно клиент говорит как есть — он не может подключиться к серверу. Либо на сервере не запущен процесс, либо фаервол на сервере блокирует подключения, либо фаервол на клиенте блокирует подключения, либо что-то не то с настройками.

Начать расследование можно с команды "netstat -nlp", которая покажет, действительно ли ваш прокси-сервер слушает входящие подключения, на каком именно IP и на каком порту.Плюс проверьте конфигурацию фаервола согласно инструкциям для вашего дистрибутива, у некоторых дистрибутивов/хостеров по умолчанию есть правила, закрывающие все порты кроме явно разрешенных.

Также убедитесь, что вам не мешает локальный антивирус и его фаервол (например, некоторые жаловались на проблемы при наличии Касперского на клиентской машине).

В клиенте видны вот такие ошибки:

Похоже на протухшие системные корневые сертификаты из-за очень старой ОС без обновлений. Как вариант – попробовать поменять remote DNS в клиенте с https://8.8.8.8 на просто 8.8.8.8 или 1.1.1.1 (без https).

В NekoBox 3.18 на Macos режиме sing-box не активируется Tun Mode

На Android подписки заработали с v2rayNG, а с FoxRay на iOS нет

Без SSL-сертфиката и https-ссылки на подписку ничего не будет работать на iOS.

У меня сервер с XTLS-Vision или XTLS-Reality, при подключении с десктопа все работает, с мобильного устройства – нет, в чем может быть дело?

Проверьте настройки uTLS. Почему-то у многих клиентов при установке uTLS как "android" подключение фейлится, при установке uTLS как "chrome" – все работает. Не совсем понятно, это баг на стороне клиента или сервера, но баг интересный.

Настройте BBR на сервере, станет гораздо веселее:

либо более полный вариант тюнинга

net.core.rmem_max = 67108864net.core.wmem_max = 67108864net.core.netdev_max_backlog = 10000net.core.somaxconn = 4096net.ipv4.tcp_syncookies = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_fin_timeout = 30net.ipv4.tcp_keepalive_time = 1200 net.ipv4.tcp_keepalive_probes = 5net.ipv4.tcp_keepalive_intvl = 30net.ipv4.tcp_max_syn_backlog = 8192net.ipv4.tcp_max_tw_buckets = 5000net.ipv4.tcp_fastopen = 3net.ipv4.tcp_mem = 25600 51200 102400net.ipv4.udp_mem = 25600 51200 102400net.ipv4.tcp_rmem = 4096 87380 67108864net.ipv4.tcp_wmem = 4096 65536 67108864net.ipv4.tcp_mtu_probing = 1 net.ipv4.tcp_slow_start_after_idle=0

На некоторых системах модуль bbr может быть не загружен по умолчанию, если

При использовании SS/VLESS периодически перестает работать Google, выдает "That’s an error.Your client does not have permission to get URL / from this server. That’s all we know."

Это известная проблема со стороны Гугла при доступе с некоторых VPS по IPv6. Стоит попробовать отключить IPv6 в клиенте, если включен (обычно в настройках TUN-режима, если используете его), также в настройках DNS/роутинга выбрать PreferIPv4 если есть такая опция. Если ничего не помогает, то последний метод – если используете TUN-режим, то попробовать обычный прокси-режим, и наоборот.

NSX-V ​

Для разрешения доступа из Интернет к внутреннему порту виртуальной машины также требуется разрешение на Firewall. Подробнее дальнейшие настройки описаны в статье.

Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова "Internal" в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.