Разделение исходящего и входящего трафика по разным IP-адресам в XRAY

Вот важная новость с фронта ИИ: tyrty 53 минуты назад Разделение исходящего и входящего трафика по разным IP-адресам в XRAY Средний 9 мин 2. 5K Nginx * Занимательные задачки Системное администрирование * Туториал В наше непростое время... Хотя, к чему все это?

Переходим к технической части. Многие знают, что XRAY умеет получать запрос от клиента на один ip адрес, а отправлять ответ с другого ip адреса. Документации на этот счет в интернете крайне немного (ну или я не умею искать).

Технические детали

Есть образцы базовых настроек в примерах на GitHub проекта XTLS и несколько упоминаний о существовании такой фишки в статьях на Хабре без подробностей реализации. Я же попробую описать здесь теорию и настройку разделения входящего и исходящего трафика подробно и с примерами. Теоретически, это усложняет поведенческий анализ трафика со стороны DPI.

Паттерны ломаются и, в теории, это помогает обойти блокировки. Если такая фича существует, ее нужно запилить и посмотреть как все это работает на практике. Чисто из научного интереса.

На чем будем настраивать? На сервере стоит Angie (версия 1. 6) в качестве реверсивного прокси, за ним прячется панель 3x-ui (версия 3.

Отраслевые последствия

0), которая управляет XRAY (версия 26. Будем исходить из этой конфигурации. Можно ли реализовать разделение трафика без реверсивного прокси?

Все упирается в расшифровку двух разных потоков SSL в рамках одного входящего подключения в XRAY. Умеет он такое или нет, я информации не нашел. В настройках подключения есть возможность указать несколько SSL сертификатов, но нет возможности указать несколько SNI, так что возможно, это будет работать только для ip без доменных имен.

Скажу честно, я не пробовал. Важная деталь: у Вашего сервера обязательно должно быть два внешних ip адреса. Желательно из разных подсетей, хотя различие подсетей не играет никакой роли.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.