vmess/vless+ws+tls节点必须选择允许不安全才能连通

[amigo-via-circuito]

服务端都是启用了tls安全传输协议的，用V2rayN等客户端连接时也都是强制证书认证没有问题的（允许不安全 选择否） 但路由器用的4.35.6版本节点设置里必须选允许不安全才能连网 想问下这是什么原因呢？会不会影响安全性啊

[cary-sas]

是服务端证书的原因，不要用LE 证书了，换ZeroSSL证书重新搭载

[amigo-via-circuito]

ZeroSSL证书这个是否有搭建教程呢 我现在服务端用的是一键安装脚本搭的，能换到ZeroSSL证书吗

[cary-sas]

https://github.com/cary-sas/across/tree/master/xray

[billysingo]

另外用ZeroSSL证书的时候注意一下这个https://github.com/XTLS/Xray-core/discussions/562 在我的AC68U上如果服务端是ZeroSSL的ECC证书也会有相同的问题。RSA证书没问题。

[cary-sas]

我搭载脚本更新好了，但不确定这样是不是就是申请的RSA证书

[iluhcm]

@cary-sas 我也遇到这个问题了，但是服务器不是我搭的，没法更换SSL证书。请问降级到哪个版本的ss可以使用？

[cary-sas]

你如果用vless 的话只能勾选 "允许不安全连接"

[cary-sas]

另外用ZeroSSL证书的时候注意一下这个XTLS/Xray-core#562 在我的AC68U上如果服务端是ZeroSSL的ECC证书也会有相同的问题。RSA证书没问题。

解决了一个困惑我很久的问题。没想到ECC的证书会让CPU一直爆表。

[iluhcm]

好的，目前用的是Trojan协议。如果是这样的话，通过订阅，没法做负载均衡了。。

[cary-sas]

负载均衡一直只限于 ss ssr， trojan 目前不能实现（别的版本的也没实现）

[billysingo]

另外用ZeroSSL证书的时候注意一下这个XTLS/Xray-core#562 在我的AC68U上如果服务端是ZeroSSL的ECC证书也会有相同的问题。RSA证书没问题。

解决了一个困惑我很久的问题。没想到ECC的证书会让CPU一直爆表。

我当时也是很困惑。用LE的ECC就没这个问题。不清楚具体原因。

[cary-sas]

你试试这个脚本一键搭载，也是多合一的 bash <(curl -s https://raw.githubusercontent.com/cary-sas/across/master/xray/xray_whatever_uuid.sh) my.domain.com

[cary-sas]

The issue is completely solved after I changed the server certificate to ZeroSSL RSA, and also the performace of the router is improved. Thank you!

[cary-sas]

ZeroSSL证书这个是否有搭建教程呢 我现在服务端用的是一键安装脚本搭的，能换到ZeroSSL证书吗 我改了一下那个八合一的脚本，你试试

[zhuanshicong]

用fullchain证书就可以啦

[zhuanshicong]

这个是因为Let's Encrypt颁发的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦

[kmban123]

不是代理的事，我关了代理。现在上国外网站都不行，包括合法合规的海淘网站都不行，连who wto世贸和卫生组织网站都不行。ping不通1.1.1.1。20分钟后就可以了，可以上 可以ping通。当再次上外网又不行了。估计gfw检测到外网ip会暂时封锁一段时间。然后解封。循环往复。我是不是列入黑名单了？

---原始邮件--- 发件人: @.> 发送时间: 2022年4月16日(周六) 晚上9:14 收件人: @.>; 抄送: @.**@.>; 主题: Re: [cary-sas/v2ray_bin] vmess/vless+ws+tls节点必须选择允许不安全才能连通 (Issue #18)

这个是因为Let's Encrypt的办法的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***>

[kmban123]

正常时候连vmess可以的 我是 wsbtls 加伪装域名加 cloudflare的 cdn。但是gfw检测到我在连接国外ip就封了。是不是gfw检测到我在和cloudflare通讯，就暂停我连接外网了？？

---原始邮件--- 发件人: @.> 发送时间: 2022年4月16日(周六) 晚上9:14 收件人: @.>; 抄送: @.**@.>; 主题: Re: [cary-sas/v2ray_bin] vmess/vless+ws+tls节点必须选择允许不安全才能连通 (Issue #18)

这个是因为Let's Encrypt的办法的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***>

[zhuanshicong]

正常来说你ADSL不是固定IP的 我更怀疑是你的运营商作怪 你可以试一下来个国内的云服务器 然后试下用那个来做中继

[kmban123]

广猫我改成桥接了，获取的是公网ip，路由器拨号。

---原始邮件--- 发件人: @.> 发送时间: 2022年4月16日(周六) 晚上9:47 收件人: @.>; 抄送: @.**@.>; 主题: Re: [cary-sas/v2ray_bin] vmess/vless+ws+tls节点必须选择允许不安全才能连通 (Issue #18)

正常来说你ADSL不是固定IP的 我更怀疑是你的运营商作怪 你可以试一下来个国内的云服务器 然后试下用那个来做中继

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***>

[cary-sas]

这个是因为Let's Encrypt颁发的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦

具体应该怎么操作，可以发我一个参考链接吗？我这块不是很懂

[cary-sas]

正常时候连vmess可以的 我是 wsbtls 加伪装域名加 cloudflare的 cdn。但是gfw检测到我在连接国外ip就封了。是不是gfw检测到我在和cloudflare通讯，就暂停我连接外网了？？ … ---原始邮件--- 发件人: @.> 发送时间: 2022年4月16日(周六) 晚上9:14 收件人: @.>; 抄送: @.**@.>; 主题: Re: [cary-sas/v2ray_bin] vmess/vless+ws+tls节点必须选择允许不安全才能连通 (Issue #18) 这个是因为Let's Encrypt的办法的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦 — Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***> 你这个问题和本插件无关，建议放在Discuss 版块里面讨论。

[TonyJeans]

这个问题我问过VPS的客服，他们说大概是路由器的系统根证书不是最新的。https://openwrt.org/packages/pkgdata/ca-certificates

[d808b]

是服务端证书的原因，不要用LE 证书了，换ZeroSSL证书重新搭载

谢谢！OP MT6000 Passwall2一直连接失败！换ZeroSSL证书后连接正常！

[cary-sas]

这个问题我问过VPS的客服，他们说大概是路由器的系统根证书不是最新的。https://openwrt.org/packages/pkgdata/ca-certificates

路由器是客户端，根本原因是设备老了，不被LE 证书支持了（很多网上的一键脚本跑出来的是LE 证书），服务端换 ZeroSSL 或者fullchain 的就行