使用Vision流控时，客户端不识别TLS_AES_256_GCM_SHA384

[ghost]

版本：1.6.4 使用场景：路由器透明代理 重现步骤：iOS 15 油管APP播放视频，此时*.googlevideo.com走了TLS_AES_256_GCM_SHA384，其流量被路由器上的Xray透明代理

客户端配置：

        {
            "tag": "test",
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "----",
                        "port": 443,
                        "users": [
                            {
                                "flow": "xtls-rprx-vision",
                                "encryption": "none",
                                "id": "----"
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "tls",
                "tlsSettings": {
                    "fingerprint": ""
                }
            }
        },

服务端配置：

        {
            "listen": "0.0.0.0",
            "port": 443,
            "protocol": "vless",
            "settings": {
                "clients": [
                    {
                        "flow": "xtls-rprx-vision",
                        "id": "----"
                    }
                ],
                "decryption": "none",
                "fallbacks": [
                    {
                        "dest": 80
                    }
                ]
            },
            "sniffing": {"enabled": true,"destOverride": ["http","tls"]},
            "streamSettings": {
                "network": "tcp",
                "security":"tls",
                "tlsSettings": {
                  "alpn": ["http/1.1"],
                  "certificates": [
                    {
                      "certificateFile":"----",
                      "keyFile":"----"
                    }
                  ]
                }
            }
        },

客户端日志： 可见客户端没有found TLS1.3和TLS_AES_256_GCM_SHA384，是否生效不明。

服务端日志： 可见服务端识别出了TLS_AES_256_GCM_SHA384

期待结果：只要检测到TLS，就输出TLS版本。当TLS1.3时，输出加密套件名称。这样用户看到加密套件名称就知道已生效，否则就是没生效。

希望解决并排查同类问题。

[yuhan6665]

感谢报告 可能是过滤有一点问题 这个问题每次都会发生吗？当发生时除了日志异常以外有什么现象？

[lxhao61]

感谢报告 可能是过滤有一点问题 这个问题每次都会发生吗？当发生时除了日志异常以外有什么现象？

说到过滤，没有明白‘内层流量为 TLSv1.3 时直接转发（已过滤掉 TLSv1.2），且客户端自动应用 Splice’这句话的意思。是否xtls-rprx-vision仅工作在TLSv1.3，不必配置minVersion为TLSv1.2（配置也无效）.

[ghost]

感谢报告 可能是过滤有一点问题 这个问题每次都会发生吗？当发生时除了日志异常以外有什么现象？

只要是TLS_AES_256_GCM_SHA384，每次都会发生，即客户端无 found TLS1.3和加密套件名称，但是服务端有。 路由器是misple的低端硬路由，现象我只能说路由器负载有明显升高。

[yuhan6665]

@lxhao61 是 xtls 仅 TLS1.3。遇到内层 1.2 会包一层让外界看见 TLS1.3。 TLS版本配置影响的外层版本，可以修改，只要外层协商出1.3就没问题

[yuhan6665]

@mirror1342 有点意思 我试一下 如果不好复现 我可能需要加一点日志再找你测

[simpleandstupid]

感谢报告 可能是过滤有一点问题 这个问题每次都会发生吗？当发生时除了日志异常以外有什么现象？

说到过滤，没有明白‘内层流量为 TLSv1.3 时直接转发（已过滤掉 TLSv1.2），且客户端自动应用 Splice’这句话的意思。是否xtls-rprx-vision仅工作在TLSv1.3，不必配置minVersion最小为TLSv1.2（配置也无效）.

minVersion是针对于外层TLS 的，一般协商出来都是tls1.3（这个配置项其实没什么用）

如不是，则使用普通 TLS 代理方法，继续使用加密隧道（即非TLS1.3则再次加密）

内层流量为tls1.3时应用splice，非tls1.3时行为与传统tcp+tls相同。

[lxhao61]

@yuhan6665 @simpleandstupid 感谢释疑，谢谢！

[yuhan6665]

@mirror1342 你的issue很有用 发现了一个问题 应该修好了 https://github.com/XTLS/Xray-core/commit/494a10971b7c942f4c72ffe0ff116f21481b0bd9 等下个版本

[ghost]

@yuhan6665 已编译测试，结果如下。图中有2个请求，分别用蓝色和绿色标注。客户端这边2个请求都识别为TLS1.2，服务端则1个识别为TLS1.2，1个识别为TLS1.3 TLS_AES_256_GCM_SHA384。

客户端：

服务端

[yuhan6665]

嗯。。可能这个不太好修，我增加了一些日志，能再帮忙测一下这个自动构建？https://github.com/XTLS/Xray-core/actions/runs/3520236523

[ghost]

@yuhan6665

客户端

服务端

[yuhan6665]

又改了一个版本 麻烦你再测一下自动构建 https://github.com/XTLS/Xray-core/actions/runs/3538057779

[ghost]

稍等，环境在别人家，我要找别人测

[yuhan6665]

请试用 1.6.5 如果有问题再打开

[ghost]

已测试OK