search

XTLS / Xray-core

Xray, Penetrates Everything. Also the best v2ray-core, with XTLS support. Fully compatible configuration.
https://t.me/projectXray
Mozilla Public License 2.0
23.07k stars 3.69k forks source link

相比于 Tcp + Reality + RPRX-XTLS-Vision,H2 + Reality 的配置是否不被推荐,为什么?另外我想提一些建议 #3140

Closed armstrongchen closed 3 months ago

armstrongchen commented 4 months ago

我发现 Xray 官方的示例配置(https://github.com/XTLS/Xray-examples)里面只提到 VLESS + TCP + XTLS-Vision + REALITY 这样的配置。我参考 https://github.com/chika0801/Xray-examples/tree/main/VLESS-HTTP2-REALITY,成功配置并运行了 H2 + Reality。

经过上面的配置,的确可以降低延迟,但我不清楚会不会有什么风险。下面是我的配置文件:

{ "log": { "loglevel": "none", "error": "/dev/shm/v2ray_error.log", "access": "/dev/null" }, "stats": {}, "api": { "tag": "api", "services": [ "StatsService" ] }, "policy": { "system": { "statsInboundUplink": true, "statsInboundDownlink": true }, "levels": { "00": { "statsUserUplink": true, "statsUserDownlink": true, "handshake": 5, "connIdle": 180 } } }, "inbounds": [ { "listen": "0.0.0.0", "port": 88, "protocol": "vless", "settings": { "clients": [ { "email": "hostmaster@localhost.localdomain", "id": "a_uuid" } ], "decryption": "none" }, "streamSettings": { "network": "h2", "security": "reality", "realitySettings": { "show": false, "dest": "1.1.1.1:443", "xver": 0, "serverNames": [ "" ], "privateKey": "private_key", "shortIds": [ "a_sortId" ] } }, "sniffing": { "enabled": true, "destOverride": [ "http", "tls", "quic" ] } }, { "listen": "127.0.0.1", "port": 10085, "protocol": "dokodemo-door", "settings": { "address": "127.0.0.1" }, "tag": "api" } ], "outbounds": [ { "protocol": "freedom", "tag": "direct", "settings": { "domainStrategy": "UseIPv6" } }, { "protocol": "blackhole", "tag": "block" }, { "protocol": "shadowsocks", "tag": "china-proxy-server", "settings": { "servers": [ { "address": "china.proxy.us", "port": 8443, "method": "2022-blake3-chacha20-poly1305", "password": "shadowsocks_password", "uot": true } ] } } ], "routing": { "domainStrategy": "IPIfNonMatch", "rules": [ { "type": "field", "ip": [ "geoip:cn" ], "outboundTag": "china-proxy-server" } ], "settings": { "rules": [ { "inboundTag": [ "api" ], "outboundTag": "api", "type": "field" } ] }, "strategy": "rules" } }

小白建议:

  1. 在 xray-core 仓库的主页上创建到最佳实践的链接,以及其他有用资源的链接。
  2. 在 Xray Reality 仓库主页的说明段落中,有提到 dl.google.com,建议取消或者换成其他域名,防止踩雷。
chika0801 commented 4 months ago

h2 reality风险是不能用vision流控,但是mux复用,复用有报告(如果你也信那些研究人员的看法)能缓解tls in tls检查(如果你也信这种检查正在国内被使用)

你可实践一下,用段时间,端口没被封,就继续用,没什么绝对不被封端口的协议组合方式。

http2类组合主要是回程线路好的vps上才用得爽,及复用的优和缺点。

Fangliding commented 4 months ago

那些配置只是示例 真正详细的东西在文档里 总不可能排列组合都穷举出来吧 1 这些事情应该交由其他博客或者YouTube推荐 2 看不懂在说啥

armstrongchen commented 4 months ago

h2 reality风险是不能用vision流控,但是mux复用,复用有报告(如果你也信那些研究人员的看法)能缓解tls in tls检查(如果你也信这种检查正在国内被使用)

你可实践一下,用段时间,端口没被封,就继续用,没什么绝对不被封端口的协议组合方式。

http2类组合主要是回程线路好的贾才用得爽,及复用的优和缺点。

好的,这样的组合方式我已经使用了超过半年,今年两会也并未出现问题。谢谢你的解答!

armstrongchen commented 4 months ago

我隐约记得开发人员有提到过需要避免一些不正确的配置,这些提示散落在各处。最近确实看到有人的 Reality 服务器被封端口/IP 是因为将 dest 设定为 dl.google.com 导致的。仓库首页的文档中有提到: 加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling 以上是在 https://github.com/XTLS/REALITY 看到的。