root@vps-9d737d41:~# jq '.inbounds[] | select(.port==443) | {tag,port,protocol,settings,streamSettings}' /usr/local/x-ui/bin/config.json { "tag": "in-443-tcp", "port": 443, "protocol": "vless", "settings": { "clients": [ { "email": "ivory-fox", "flow": "xtls-rprx-vision", "id": "c9b6b3ba-fee7-4588-807d-aa0964da922c" }, { "email": "vista-coyote", "flow": "xtls-rprx-vision", "id": "d274fa3d-ac21-4216-9dbd-0e179297249d" }, { "email": "serene-koala", "flow": "xtls-rprx-vision", "id": "f6636b69-1e67-45f0-b0a2-7272f35589dc" }, { "email": "dawn-gecko", "flow": "xtls-rprx-vision", "id": "a768baea-c985-409a-a7cc-feda45c0b6c1" }, { "email": "sage-serval", "flow": "xtls-rprx-vision", "id": "2181ae8f-7d1f-481c-b667-43bbccfc876c" } ], "decryption": "none", "fallbacks": [ { "dest": 80 } ] }, "streamSettings": { "network": "tcp", "security": "tls", "tcpSettings": { "acceptProxyProtocol": false, "header": { "type": "none" } }, "tlsSettings": { "alpn": [ "http/1.1" ], "certificates": [ { "buildChain": false, "certificateFile": "/etc/letsencrypt/live/gra.awesome4u.site/fullchain.pem", "keyFile": "/etc/letsencrypt/live/gra.awesome4u.site/privkey.pem", "ocspStapling": 3600, "oneTimeLoading": false, "usage": "encipherment" } ], "cipherSuites": "", "disableSystemRoot": false, "enableSessionResumption": false, "maxVersion": "1.3", "minVersion": "1.2", "rejectUnknownSni": false, "serverName": "gra.awesome4u.site" } } } root@vps-9d737d41:~# А вот в момент подключения: root@vps-9d737d41:~# journalctl -u x-ui -f May 29 03:50:36 vps-9d737d41 systemd[1]: x-ui.service: Deactivated successfully. May 29 03:50:36 vps-9d737d41 systemd[1]: Stopped x-ui.service - x-ui Service. May 29 03:50:36 vps-9d737d41 systemd[1]: Started x-ui.service - x-ui Service. May 29 03:50:36 vps-9d737d41 x-ui[7994]: 2026/05/29 03:50:36 Starting x-ui 3.2.0 May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - Web server running HTTPS on [::]:61342 May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - custom geo startup: no custom geofiles configured May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - XRAY: infra/conf/serial: Reading config: &{Name:bin/config.json Format:json} May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - Sub server running HTTP on [::]:46703 May 29 03:50:37 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: WARNING - XRAY: core: Xray 26.5.9 started May 29 03:50:37 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: WARNING - XRAY: transport/internet/tls: ignoring invalid OCSP > common/ocsp: no OCSP server specified in cert ^C root@vps-9d737d41:~# journalctl -u x-ui -f May 29 03:50:36 vps-9d737d41 systemd[1]: x-ui.service: Deactivated successfully. May 29 03:50:36 vps-9d737d41 systemd[1]: Stopped x-ui.service - x-ui Service. May 29 03:50:36 vps-9d737d41 systemd[1]: Started x-ui.service - x-ui Service. May 29 03:50:36 vps-9d737d41 x-ui[7994]: 2026/05/29 03:50:36 Starting x-ui 3.2.0 May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - Web server running HTTPS on [::]:61342 May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - custom geo startup: no custom geofiles configured May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - XRAY: infra/conf/serial: Reading config: &{Name:bin/config.json Format:json} May 29 03:50:36 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: INFO - Sub server running HTTP on [::]:46703 May 29 03:50:37 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: WARNING - XRAY: core: Xray 26.5.9 started May 29 03:50:37 vps-9d737d41 /usr/local/x-ui/x-ui[7994]: WARNING - XRAY: transport/internet/tls: ignoring invalid OCSP > common/ocsp: no OCSP server specified in cert ^Croot@vps-9d737d41:~#

root@vps-9d737d41:~# sudo systemctl stop nginx sudo certbot certonly --standalone -d gra.awesome4u.site sudo systemctl start nginx Saving debug log to /var/log/letsencrypt/letsencrypt.log Requesting a certificate for gra.awesome4u.site Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/gra.awesome4u.site/fullchain.pem Key is saved at: /etc/letsencrypt/live/gra.awesome4u.site/privkey.pem This certificate expires on 2026-08-27. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - root@vps-9d737d41:~#

▸ Setting up Pro mode website ⠋ Installing nginx nginx already installed ⠋ Installing certbot certbot already installed Old site saved to /tmp/site_backup_20260529_034654 ✓ Шаблон сайта развёрнут ℹ️ Obtaining SSL certificate for gra.awesome4u.site... Requesting a certificate for gra.awesome4u.site Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems: Domain: gra.awesome4u.site Type: unauthorized Detail: 91.134.134.72: Invalid response from http://gra.awesome4u.site/.well-known/acme-challenge/b29dfIYxYCGrb8DwL3bF_M5_IC_IZz9Gg2GuOrmBGZM: 403 Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet. ⚠️ Certbot attempt 1 failed, retrying in 5s... Requesting a certificate for gra.awesome4u.site Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems: Domain: gra.awesome4u.site Type: unauthorized Detail: 91.134.134.72: Invalid response from http://gra.awesome4u.site/.well-known/acme-challenge/0lB9bZOnujo9IWO8pbHE1dy3GbtkPgXDLr_UYnTaUmA: 403 Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet. ✗ Failed to obtain SSL certificate Make sure gra.awesome4u.site points to this server's IP and port 80 is open in the firewall. root@vps-9d737d41:~#

@AntenkaAI_bot Ставил govless на vps ovh (gra локация). Установка прервалась. Такая ошибка: ℹ️ Obtaining SSL certificate for gra.awesome4u.site... Account registered. Requesting a certificate for gra.awesome4u.site Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems: Domain: gra.awesome4u.site Type: unauthorized Detail: 91.134.134.72: Invalid response from http://gra.awesome4u.site/.well-known/acme-challenge/oy4a6xVIdzt-Gbz8H1SsHZTL_AFQGun4OsYnm3KftkU: 403 Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet. ⚠️ Certbot attempt 1 failed, retrying in 5s... Requesting a certificate for gra.awesome4u.site Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems: Domain: gra.awesome4u.site Type: unauthorized Detail: 91.134.134.72: Invalid response from http://gra.awesome4u.site/.well-known/acme-challenge/ITgvYjTotntAKUEbWPxJkajjqjjI3ift1AikAOZGOeA: 403 Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet. ✗ Failed to obtain SSL certificate Make sure gra.awesome4u.site points to this server's IP and port 80 is open in the firewall. root@vps-9d737d41:~#

root@VM-c3388fa2-a957-42ff-8392-8e1a6730da82:~# jq '.inbounds[] | select(.streamSettings.network=="grpc") | {tag,port,protocol,settings,streamSettings}' /usr/local/x-ui/bin/config.json { "tag": "in-443-tcp", "port": 443, "protocol": "vless", "settings": { "clients": [ { "email": "haven-toad", "id": "034ef4da-e537-4739-9e33-74545dbf6fd9" }, { "email": "maple-marten", "id": "241e582c-3bf9-4618-a6ed-23d54539af5d" }, { "email": "cedar-ibis", "id": "c26c38b2-3124-4525-b439-aef33274e04d" } ], "decryption": "none", "fallbacks": [ { "dest": 80 } ] }, "streamSettings": { "grpcSettings": { "multiMode": true, "serviceName": "govless" }, "network": "grpc", "security": "tls", "tlsSettings": { "alpn": [ "h2" ], "certificates": [ { "buildChain": false, "certificateFile": "/etc/letsencrypt/live/amslw.awesome4u.site/fullchain.pem", "keyFile": "/etc/letsencrypt/live/amslw.awesome4u.site/privkey.pem", "ocspStapling": 3600, "oneTimeLoading": false, "usage": "encipherment" } ], "cipherSuites": "", "disableSystemRoot": false, "enableSessionResumption": false, "maxVersion": "1.3", "minVersion": "1.2", "rejectUnknownSni": false, "serverName": "amslw.awesome4u.site" } } } root@VM-c3388fa2-a957-42ff-8392-8e1a6730da82:~#

а нафига тогда telemt на ру. Может просто развести по sni через upstream в ngnix

стоит разделить эту схему sni? т.е. ngnix - mydomain.ru . telemt - api.mydomain.ru

ты еще учти что на ру домен и сертификаты на на nl нет

Проверь ответ после внесения изменений в конфиг ngnix root@vm1619016:~# openssl s_client -connect sunkvg.nya.pub:443 -alpn h2 CONNECTED(00000003) depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = E7 verify return:1 depth=0 CN = sunkvg.nya.pub verify return:1 --- Certificate chain 0 s:CN = sunkvg.nya.pub i:C = US, O = Let's Encrypt, CN = E7 a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384 v:NotBefore: May 15 05:42:27 2026 GMT; NotAfter: Aug 13 05:42:26 2026 GMT 1 s:C = US, O = Let's Encrypt, CN = E7 i:C = US, O = Internet Security Research Group, CN = ISRG Root X1 a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256 v:NotBefore: Mar 13 00:00:00 2024 GMT; NotAfter: Mar 12 23:59:59 2027 GMT --- Server certificate -----BEGIN CERTIFICATE----- MIIDiTCCAw6gAwIBAgISBr04g0m4oh6TqAh+n3daB37lMAoGCCqGSM49BAMDMDIx CzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQDEwJF NzAeFw0yNjA1MTUwNTQyMjdaFw0yNjA4MTMwNTQyMjZaMBkxFzAVBgNVBAMTDnN1 bmt2Zy5ueWEucHViMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEElXycbGYxey+ 8eiY1n6F8phsol1CsGoGehewjRyPT7OVAVLeQX+YwoKTJhL6HuCn1Wy9h2YnIuMk +gxoK97j+qOCAhswggIXMA4GA1UdDwEB/wQEAwIHgDATBgNVHSUEDDAKBggrBgEF BQcDATAMBgNVHRMBAf8EAjAAMB0GA1UdDgQWBBSAslad95BUHT/oW0I2RB7NhqHh /DAfBgNVHSMEGDAWgBSuSJ7chx1EoG/aouVgdAR4wpwAgDAyBggrBgEFBQcBAQQm MCQwIgYIKwYBBQUHMAKGFmh0dHA6Ly9lNy5pLmxlbmNyLm9yZy8wGQYDVR0RBBIw EIIOc3Vua3ZnLm55YS5wdWIwEwYDVR0gBAwwCjAIBgZngQwBAgEwLgYDVR0fBCcw JTAjoCGgH4YdaHR0cDovL2U3LmMubGVuY3Iub3JnLzEwMi5jcmwwggEMBgorBgEE AdZ5AgQCBIH9BIH6APgAdQDXbX0Q0af1d8LH6V/XAL/5gskzWmXh0LMBcxfAyMVp dwAAAZ4qXeZfAAAEAwBGMEQCICCpzm+23Aq4otKZysHFljEYlai9cdNxYlpQS8LC Tcx/AiBEmF+CKHJWMxBa+8Q2LD1MCSny431e5npI5NOEie1gJAB/AGz+UBlDqF6p FrxS0TPk3Mke8UEcfSWEINFzgJ4YGOs6AAABnipd6ScACAAABQALlwQEBAMASDBG AiEAoYtYKpc5OWDm5ueeD5Yk5I/CXsJtSznr5Ubt8GLHc6sCIQC2Io9UbIdOFLEw Df6s3zoB/P+NjNZoSFAWbPUh/o1euTAKBggqhkjOPQQDAwNpADBmAjEAt3j2/2fg RjppDZoLsdHSso1PM9t6x8MXWOjIdWD3WVcI1AMbX4xeqdENnUdpiJ3fAjEAjjcZ Yxc3/3dddlaKiqnMDbbTUWLZT70hP9h8bNtDOx3jKleIm2l95kr+DmD9vxd+ -----END CERTIFICATE----- subject=CN = sunkvg.nya.pub issuer=C = US, O = Let's Encrypt, CN = E7 --- No client certificate CA names sent Peer signing digest: SHA256 Peer signature type: ECDSA Server Temp Key: X25519, 253 bits --- SSL handshake has read 2413 bytes and written 405 bytes Verification: OK --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Server public key is 256 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE ALPN protocol: h2 Early data was not sent Verify return code: 0 (ok) --- --- Post-Handshake New Session Ticket arrived: SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 Session-ID: 4CD3CF8467643FE28A157D2CA4860A2F2D0DF5B985519BAA69FBC924A8818EF0 Session-ID-ctx: Resumption PSK: 35D1719500B6E73E8A57BE2C9BEB4DB2C9C726B2504D74804A5AB97909E69EC23566CA220751FD4351A58ADB75882B0F PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 86400 (seconds) TLS session ticket: 0000 - 14 d5 d7 f2 8a ad ca 2d-72 27 39 8b 4d 3c 14 0c .......-r'9.M<.. 0010 - 93 4e da 68 0a 33 aa 8f-8a 21 c5 45 bc bd 55 62 .N.h.3...!.E..Ub Start Time: 1779871166 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no Max Early Data: 0 --- read R BLOCK --- Post-Handshake New Session Ticket arrived: SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 Session-ID: 9C84B88567A1C3AB819B4CF87225A7EA3FB1F4FB71957C1D7BF5BDCA67EF0A00 Session-ID-ctx: Resumption PSK: AD3D475F4CC4C109302357579635089C65BFEED3969CB3E4CC5A8F0966F7A09D57667F826AB2B1D79F7ED5902AF94882 PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 86400 (seconds) TLS session ticket: 0000 - e7 3f a4 4d df d2 9b fc-1f 8a 5d 83 33 5e a5 28 .?.M......].3^.( 0010 - b6 76 11 12 04 47 2a fc-38 75 17 10 45 8f 42 e4 .v...G*.8u..E.B.Start Time: 1779871166 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no Max Early Data: 0 --- read R BLOCK ����4097F932F67C0000:error:0A000126:SSL routines:ssl3_read_n:unexpected eof while reading:../ssl/record/rec_layer_s3.c:316:

Может быть для невалидных запросов добавить еще следующие server { listen 443 ssl default_server; ssl_certificate /путь/к/фиктивному/cert.pem; ssl_certificate_key /путь/к/фиктивному/key.pem; return 444; } server { listen 80 default_server; return 444; } if ($host != "sunkvg.nya.pub") { return 403; } server { listen 80; server_name sunkvg.nya.pub; return 301 https://$host$request_uri; } server { listen 80 default_server; return 444; }

Ты частично уже исправил в своем конфиге то что было плохо. Я хотел так.. Добавить в конфиг это .. Оцени. ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; ssl_stapling on; ssl_stapling_verify on; add_header Strict-Transport-Security "max-age=31536000" always; server_tokens off;

@AntenkaAI_bot посмотри на ответ что тебе в нем не нравится. Предложи изменения конфига ngnix root@vm1619016:~# openssl s_client -connect sunkvg.nya.pub:443 -alpn h2 CONNECTED(00000003) depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = E7 verify return:1 depth=0 CN = sunkvg.nya.pub verify return:1 --- Certificate chain 0 s:CN = sunkvg.nya.pub i:C = US, O = Let's Encrypt, CN = E7 a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384 v:NotBefore: May 15 05:42:27 2026 GMT; NotAfter: Aug 13 05:42:26 2026 GMT 1 s:C = US, O = Let's Encrypt, CN = E7 i:C = US, O = Internet Security Research Group, CN = ISRG Root X1 a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256 v:NotBefore: Mar 13 00:00:00 2024 GMT; NotAfter: Mar 12 23:59:59 2027 GMT --- Server certificate -----BEGIN CERTIFICATE----- MIIDiTCCAw6gAwIBAgISBr04g0m4oh6TqAh+n3daB37lMAoGCCqGSM49BAMDMDIx -----END CERTIFICATE----- subject=CN = sunkvg.nya.pub issuer=C = US, O = Let's Encrypt, CN = E7 --- No client certificate CA names sent Peer signing digest: SHA256 Peer signature type: ECDSA Server Temp Key: X25519, 253 bits --- SSL handshake has read 2414 bytes and written 405 bytes Verification: OK --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Server public key is 256 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE ALPN protocol: h2 Early data was not sent Verify return code: 0 (ok) --- --- Post-Handshake New Session Ticket arrived: SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 Session-ID: 595B4549E515A8851F51F9373228F95C0C5FEFBB82D2496C78A3F1D1CEB3094D Session-ID-ctx: Resumption PSK: B7A45EEE943468F5496AE6A2B934EDFCFD5A962C767479DFDF2BB47B3AB7B68ED1F43A80B283695DB1956177F48829CB PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 86400 (seconds) TLS session ticket: 0000 - 04 6e 85 6e 56 99 48 35-26 3f 35 9c 30 6c a9 4c .n.nV.H5&?5.0l.L 0010 - ed 51 1f b8 64 f5 1e 82-0a f0 cb 18 1d 64 6e 63 .Q..d........dnc Start Time: 1779827136 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no Max Early Data: 0 --- read R BLOCK --- Post-Handshake New Session Ticket arrived: SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 Session-ID: 37EBC0C06108911313D3DBE5DD6EB588E903BA1EAF5F501FEB57B18C8E9 Session-ID-ctx: Resumption PSK: 502833A8760F58991BBF636468085DE6CF0DA78191C5D8F740D5D22CFB58CBAA9D2D2D2F080AEE4C81F1 PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 86400 (seconds) TLS session ticket: 0000 - 16 52 6d 17 5d 6e 47 5d-34 b4 eb 0a e3 95 7b c4 .Rm.]nG]4.....{. 0010 - 52 71 86 c6 1a 43 f8 02-83 0d 75 dd d2 d4 2f 44 Rq...C....u.../D Start Time: 1779827136 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no Max Early Data: 0 --- read R BLOCK 40A7F646AA780000:error:0A000126:SSL routines:ssl3_read_n:unexpected eof while reading:../ssl/record/rec_layer_s3.c:316: root@vm1619016:~#

ay 26 10:57:09 pol58 /usr/local/x-ui/x-ui[677485]: WARNING - XRAY: infra/conf: REALITY: Listening on non-443 ports may get your IP blocked by the GFW May 26 10:57:09 pol58 /usr/local/x-ui/x-ui[677485]: WARNING - XRAY: infra/conf: REALITY: Listening on non-443 ports may get your IP blocked by the GFW May 26 10:57:09 pol58 /usr/local/x-ui/x-ui[677485]: WARNING - XRAY: core: Xray 26.5.9 started May 26 10:57:15 pol58 x-ui[677485]: 2026/05/26 10:57:15 http: TLS handshake error from 92.242.164.225:32690: remote error: tls: unknown certificate May 26 10:57:15 pol58 x-ui[677485]: 2026/05/26 10:57:15 http: TLS handshake error from 92.242.164.225:32702: remote error: tls: unknown certificate May 26 10:57:16 pol58 /usr/local/x-ui/x-ui[677485]: INFO - Remove Inbound User bsq6s6lt due to expiration or traffic limit May 26 10:57:16 pol58 /usr/local/x-ui/x-ui[677485]: INFO - XRAY: infra/conf/serial: Reading config: &{Name:bin/config.json Format:json} May 26 10:57:16 pol58 /usr/local/x-ui/x-ui[677485]: WARNING - XRAY: infra/conf: REALITY: Listening on non-443 ports may get your IP blocked by the GFW May 26 10:57:16 pol58 /usr/local/x-ui/x-ui[677485]: WARNING - XRAY: infra/conf: REALITY: Listening on non-443 ports may get your IP blocked by the GFW May 26 10:57:16 pol58 /usr/local/x-ui/x-ui[677485]: WARNING - XRAY: core: Xray 26.5.9 started May 26 10:58:32 pol58 x-ui[677485]: 2026/05/26 10:58:32 http: TLS handshake error from 92.242.164.225:23452: remote error: tls: unknown certificate

Вот у меня про мод может тут редактировать ? подскажи где пожалуйста Pro mode ──────────────────────────────────────────────────────────────── install_pro_mode() { log_step "$(t install_pro_step)" warn_3xui_443_conflict true # Enter domain echo "" echo -ne " ${WHITE}$(t install_enter_domain)${NC} " read -r user_domain if [ -z "$user_domain" ] ! validate_domain "$user_domain"; then log_error "$(tf install_bad_domain "${user_domain:-<empty>}")" return fi # Check DNS local resolved_ip server_ip resolved_ip=$(dig +short "$user_domain" A 2>/dev/null | head -1) server_ip=$(get_server_ip) if [ -n "$resolved_ip" ] && [ "$resolved_ip" != "$server_ip" ]; then log_warning "$(tf install_dns_mismatch "$user_domain" "$resolved_ip" "$server_ip")" if ! confirm "$(t install_continue_anyway)"; then return fi fi # Email for Let's Encrypt echo -ne " ${WHITE}$(t install_enter_email)${NC} " read -r ssl_email # Template selection local template_dir template_dir=$(interactive_template_selection) [ $? -ne 0 ] && return # Pro architecture: # telemt listens on 0.0.0.0:443 (accepts ALL connections) # nginx listens on 127.0.0.1:8443 with SSL (serves website) # MTProxy client → :443 → telemt (proxies) # Regular browser → :443 → telemt → 127.0.0.1:8443 → nginx (website) # ISP only sees HTTPS on 443 to domain

/opt/gotelegram/install.sh:25:[ -f "$LIB_DIR/shared443.sh" ] && source "$LIB_DIR/shared443.sh" /opt/gotelegram/install.sh:32: local proxy_status bot_status nginx_st mode domain secret port ip link ssl_expiry /opt/gotelegram/install.sh:39: port=$(get_config_value port 2>/dev/null echo "443") /opt/gotelegram/install.sh:71: echo -e " ${nginx_icon}${nginx_color}${NC} $(t svc_nginx) ${nginx_color}${nginx_st}${NC} ${DIM}(127.0.0.1:8443)${NC}" /opt/gotelegram/install.sh:96: echo -e " ${WHITE}$(t net_ip)${NC} ${CYAN}${ip}${NC} ${WHITE}$(t net_port)${NC} ${CYAN}${port}${NC} ${WHITE}$(t net_mode)${NC} ${CYAN}${mode}${NC}" /opt/gotelegram/install.sh:108: link=$(generate_proxy_link "$domain" "$port" "$secret" "$domain") /opt/gotelegram/install.sh:110: link=$(generate_proxy_link "$ip" "$port" "$secret" "$mask_host") /opt/gotelegram/install.sh:305: local mode="$1" port="$2" secret="$3" mask_host="$4" domain="$5" tpl_id="$6" tpl_source="$7" /opt/gotelegram/install.sh:316: --argjson port "$port" \ /opt/gotelegram/install.sh:330: port: $port, /opt/gotelegram/install.sh:361: local mode port secret mask_host domain mask_port tpl_id tpl_source users_block tls_emulation changed=0 users_block_needs_write=0 /opt/gotelegram/install.sh:377: port=$(get_config_value port "$TELEMT_CONFIG" 2>/dev/null echo "") /opt/gotelegram/install.sh:378: [ -z "$port" ] && port=$(read_config_or_default port "443") /opt/gotelegram/install.sh:379: [[ "$port" =~ ^[0-9]+$ ]] port=443 /opt/gotelegram/install.sh:384: mask_port=$(get_config_value mask_port "$TELEMT_CONFIG" 2>/dev/null echo "") /opt/gotelegram/install.sh:385: [ -z "$mask_port" ] && mask_port="443" /opt/gotelegram/install.sh:399: [ "$mask_port" = "443" ] && mask_port="8443" /opt/gotelegram/install.sh:402: mask_port="443" /opt/gotelegram/install.sh:414: ! grep -q 'metrics_listen' "$TELEMT_CONFIG" 2>/dev/null \ /opt/gotelegram/install.sh:416: generate_telemt_toml "$secret" "$port" "$mode" "$mask_host" "$mask_port" "$TELEMT_CONFIG" >&2 /opt/gotelegram/install.sh:426: write_normalized_gotelegram_config "$mode" "$port" "$secret" "$mask_host" "$domain" "$tpl_id" "$tpl_source" \ /opt/gotelegram/install.sh:484: local port /opt/gotelegram/install.sh:485: port=$(select_port) /opt/gotelegram/install.sh:487: if [ "$port" = "443" ]; then /opt/gotelegram/install.sh:488: warn_3xui_443_conflict true /opt/gotelegram/install.sh:501: echo -e " $(t install_cfg_port) ${CYAN}${port}${NC}" /opt/gotelegram/install.sh:515: generate_telemt_toml "$secret" "$port" "lite" "$domain" "443" /opt/gotelegram/install.sh:524: save_gotelegram_config "telemt" "lite" "$port" "$secret" "$domain" "" "" /opt/gotelegram/install.sh:538: warn_3xui_443_conflict true /opt/gotelegram/install.sh:572: # telemt listens on 0.0.0.0:443 (accepts ALL connections) /opt/gotelegram/install.sh:573: # nginx listens on 127.0.0.1:8443 with SSL (serves website) /opt/gotelegram/install.sh:574: # MTProxy client → :443 → telemt (proxies) /opt/gotelegram/install.sh:575: # Regular browser → :443 → telemt → 127.0.0.1:8443 → nginx (website) /opt/gotelegram/install.sh:576: # ISP only sees HTTPS on 443 to domain /opt/gotelegram/install.sh:577: local nginx_internal_port=8443 /opt/gotelegram/install.sh:580: echo -e " ${DIM}$(tf install_arch_desc2 "$nginx_internal_port")${NC}" /opt/gotelegram/install.sh:595: echo -e " $(t install_cfg_port) ${CYAN}443 (telemt + nginx)${NC}" /opt/gotelegram/install.sh:607: # telemt config: listen 443, masquerade to local nginx via dns_override /opt/gotelegram/install.sh:608: generate_telemt_toml "$raw_secret" "443" "pro" "$user_domain" "$nginx_internal_port"

Перезапусти панель и заходи только по https://домен:порт. захожу так, как мне выпустить этот сертификат?

@AntenkaAI_bot В чем может быть проблема - Failed to obtain SSL certificate Make sure swetynet.site points to this server's IP and port 80 is open in the firewall.

Так у меня нет сертификата есть домен и готелеграм

Нет там нихера получить ssl

# GoTelegram v2.5.0 — nginx config # Pro: nginx на 127.0.0.1:8443 (внутренний), telemt на 0.0.0.0:443 (внешний) # Обычный браузер → :443 → telemt → 127.0.0.1:8443 → nginx (сайт) server { listen 80; listen [::]:80; server_name npkiz.site; # Let's Encrypt ACME challenge location /.well-known/acme-challenge/ { root /var/www/certbot; allow all; } # Редирект на HTTPS location / { return 301 https://$server_name$request_uri; } } server { listen 127.0.0.1:8443 ssl http2; server_name npkiz.site; # SSL сертификаты ssl_certificate /etc/letsencrypt/live/npkiz.site/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/npkiz.site/privkey.pem; # Современные TLS настройки ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SH> ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; ssl_session_tickets off; # OCSP stapling ssl_stapling on; ssl_stapling_verify on; # Security headers add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "SAMEORIGIN" always; add_header X-XSS-Protection "1; mode=block" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; # Корень сайта root /var/www/gotelegram-site; index index.html; location / { try_files $uri $uri/ /index.html; } # Кеширование статики location ~* \.(jpg|jpeg|png|gif|ico|css|js|svg|woff|woff2|ttf|eot)$ { expires 1y; add_header Cache-Control "public, immutable"; } # Скрываем служебные файлы location ~ /\. { deny all; } location = /robots.txt { allow all; log_not_found off; access_log off; } location = /favicon.ico { log_not_found off; access_log off; } }

root@instzav:/etc/telemt# nginx -T | sed -n '213,245p' 2026/05/24 18:05:07 [warn] 307634#307634: "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/npkiz.site/fullchain.pem" nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful server_name npkiz.site; # SSL сертификаты ssl_certificate /etc/letsencrypt/live/npkiz.site/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/npkiz.site/privkey.pem; # Современные TLS настройки ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; ssl_session_tickets off; # OCSP stapling ssl_stapling on; ssl_stapling_verify on; # Security headers add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "SAMEORIGIN" always; add_header X-XSS-Protection "1; mode=block" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; # Корень сайта root /var/www/gotelegram-site; index index.html; location / { try_files $uri $uri/ =404; expires 30d; }

root@instzav:/etc/telemt# nginx -T | grep -nE 'server_name|proxy_pass|root|1984' 2026/05/24 17:59:53 [warn] 295554#295554: "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/npkiz.site/fullchain.pem" nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful 24: # server_names_hash_bucket_size 64; 25: # server_name_in_redirect off; 197: server_name npkiz.site; 201: root /var/www/certbot; 207: return 301 https://$server_name$request_uri; 213: server_name npkiz.site; 239: root /var/www/gotelegram-site; root@instzav:/etc/telemt# url -I -H 'Host: npkiz.site' http://127.0.0.1:1984/ Command 'url' not found, did you mean: command 'erl' from snap erlang (25.3) command 'urh' from snap urh (2.9.3) command 'yurl' from snap yurl (v0.6.3) command 'curl' from snap curl (8.20.0) command 'surl' from snap surl (0.8.0) command 'ul' from deb bsdextrautils (2.39.3-9ubuntu6.5) command 'curl' from deb curl (8.5.0-2ubuntu10.9) command 'zurl' from deb zurl (1.12.0-1) command 'ur' from deb libur-perl (0.470+ds-2) command 'uil' from deb uil (2.3.8-3) command 'erl' from deb erlang-base (1:25.3.2.8+dfsg-1ubuntu4.6) See 'snap info <snapname>' for additional versions.

/etc/services:https 443/tcp # http protocol over TLS/SSL /etc/services:https 443/udp # HTTP/3 /etc/ssh/ssh_host_dsa_key:Zm01CkQYGWQHQDO7qFKTHXZdQCQURaASqgue9pb4KlqIC8fLor/r8qXjWnQrlJ443ndnXu /etc/ssh/moduli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etc/ssh/moduli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etc/ssh/moduli:20231002030813 2 6 100 2047 5 C9221A14AD5A6D21D700B002E8DAD042C817FAAAB8D0456A14E7A99010D8C877B4838CDCFA265C3E3675B0DA35547737F9A6913F6CF3F43EC7EEC9336B620D3B4203847DDCB679BD72B32F6D2E8949E23B86EB2BA4A05C622A33C8050F0CC6868B2A0D6C813FDAE12CF6D1288B689F454C605DC5443B75B887460A05B4D0674982D714E02D579BAA26A1B044193755164E1DDB9E06281D7D59BE4289D4F0E5255896903A5164903B1B27BD10B7F2E8DAFE1257DBE4F0B7AF918229C71803CB48226B4A4B7269D1482E67F8AF49AA7B866264F5659F4069AC49ADDB799707C3BB50A3CB15109EBEAAA522FDDBE7A04CC957D507952B1AB7C8433CCE9EB899E127 /etc/ssh/moduli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etc/ssh/moduli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etc/ssh/moduli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

настраивал по инструкции №33. точно нужно менять sni ?

@AntenkaAI_bot Хочу попросить тебя оценить архитектуру моего каскада со стороны - насколько он правильно построен, что улучшить. Схема такая: устройство → Bridge (Россия, 3x-UI / Xray) → Exit (Нидерланды, 3x-UI / Xray) → интернет. Первое плечо, от устройства до Bridge: VLESS + TCP + Reality, flow xtls-rprx-vision, SNI крупного популярного сайта, uTLS firefox. Порт 443, плюс port-hopping: диапазон 20101-20200 заворачивается на 443 через iptables. Второе плечо, от Bridge до Exit: VLESS + XHTTP + Reality, SNI отдельного домена, режим stream-up (scStreamUpServerSecs 20-80, xmux maxConcurrency 16-32). Outbound на Bridge заведён прямой правкой SQLite, не через GUI. Общее по обоим плечам: sockopt с tcpUserTimeout=10000 и tcpKeepAlive, BBR, MTU 1380, на Exit стоит MSS-clamp 1280 (там eth0 с MTU 1380). Маршрутизация на Bridge: российский трафик (geosite ru, geoip ru) идёт напрямую (DIRECT), всё остальное - на Exit. Bittorrent и приватные адреса блокируются. DNS через DoH. Раз в 3 дня cron перезапускает x-ui - это воркэраунд против утечки памяти в XHTTP. Параллельно поднят запасной канал через Cloudflare CDN на отдельном домене (packet-up, Origin Cert). Вопросы: 1. Архитектурно схема выстроена правильно, или есть грубые ошибки? 2. Что бы ты изменил ради стабильности? 3. Reality на обоих плечах - это нормально, или на втором плече лучше что-то другое? Что думаешь? 4. Чего тут не хватает для отказоустойчивости?

Вопрос 1 (главный - сужает причину): ▎ Сделал как ты сказал: proxy_buffering off, proxy_request_buffering off, gzip off, X-Accel-Buffering: no, ▎ proxy_http_version 1.1 - всё стоит. Проверял с самого сервера и с другого VPS - downlink работает, 3 МБ/с, страницы ▎ качаются целиком. Но на реальном клиенте Shadowrocket - белый экран: мелкие POST-запросы доходят (вижу 200 в логе), а ▎ крупный GET-ответ к клиенту не возвращается. Получается, ломается downlink только на участке Cloudflare→клиент, а ▎ Cloudflare→Nginx исправен. Что на стороне Cloudflare режет именно отдачу клиенту? Какие настройки CF проверить? Вопрос 2 (про режим и H2): ▎ Nginx слушает listen 443 ssl http2. Cloudflare ходит к origin по HTTP/1.1 (HTTP/2-to-Origin выключен). packet-up. Это ▎ правильная связка для XHTTP, или для downlink нужно по-другому - убрать http2 с listen, или наоборот включить ▎ HTTP/2-to-Origin? И стоит ли пробовать noSSEHeader: true на inbound Xray? Вопрос 3 (прямой - что у него работает): ▎ У тебя в скриптах packet-up через Cloudflare с Nginx реально работает на клиентах Shadowrocket? Если да - можешь ▎ показать рабочий блок location из Nginx и параметры inbound Xray (path, mode, scMaxEachPostBytes, xPaddingBytes)? Сверю ▎ со своим - явно мелочь в одном параметре.

@AntenkaAI_bot помоги разобраться, почему на панели 3x-ui выходит такая ошибка не не загружаются сертификаты? [image]

мне нужно 2 сертификата для вставки в настройки панели 3x-ui

@AntenkaAI_bot подскажи как мне найти ключи сертификатов для панели 3x-ui?

{ "id": 2, "userId": 0, "up": 3460, "down": 34340, "total": 0, "allTime": 43224, "remark": "Wireguard", "enable": true, "expiryTime": 0, "trafficReset": "monthly", "lastTrafficResetTime": 0, "listen": "", "port": 31252, "protocol": "wireguard", "settings": "{\r\n \"mtu\": 1380,\r\n \"secretKey\": \"UAT0MHC5pfmjUgd7pXLHWrsdPXI8xihMictIwEAOglA=\",\r\n \"peers\": [\r\n {\r\n \"privateKey\": \"cI6U8+4lDIbHyItt7kGoRt19632vH8xXN2U739veInM=\",\r\n \"publicKey\": \"cMoiHYIJmKJmgkfmjAO8hcXXISyMujbcnEjJxoexU0Q=\",\r\n \"preSharedKey\": \"Y6G0d0eL8rT0aYN6FBZC9qW1Jv5uRjcev1bLD1i12Xc=\",\r\n \"allowedIPs\": [\r\n \"0.0.0.0/0\"\r\n ],\r\n \"keepAlive\": 25\r\n }\r\n ],\r\n \"noKernelTun\": false\r\n}", "streamSettings": "", "tag": "inbound-31252", "sniffing": "{\r\n \"enabled\": true,\r\n \"destOverride\": [\r\n \"http\",\r\n \"tls\",\r\n \"quic\",\r\n \"fakedns\"\r\n ],\r\n \"metadataOnly\": false,\r\n \"routeOnly\": false\r\n}", "clientStats": [], "_cachedInbound": { "port": 31252, "listen": "", "_protocol": "wireguard", "settings": { "mtu": 1380, "secretKey": "UAT0MHC5pfmjUgd7pXLHWrsdPXI8xihMictIwEAOglA=", "pubKey": "6Cc/sZnVJjcVuzCdbAZ70oikntHUdjVocmCUgvRQBzA=", "peers": [ { "privateKey": "cI6U8+4lDIbHyItt7kGoRt19632vH8xXN2U739veInM=", "publicKey": "cMoiHYIJmKJmgkfmjAO8hcXXISyMujbcnEjJxoexU0Q=", "psk": "Y6G0d0eL8rT0aYN6FBZC9qW1Jv5uRjcev1bLD1i12Xc=", "allowedIPs": [ "0.0.0.0/0" ], "keepAlive": 25 } ], "noKernelTun": false }, "stream": { "network": "tcp", "security": "none", "externalProxy": [], "tls": { "sni": "", "minVersion": "1.2", "maxVersion": "1.3", "cipherSuites": "", "rejectUnknownSni": false, "disableSystemRoot": false, "enableSessionResumption": false, "certs": [ { "useFile": true, "certFile": "", "keyFile": "", "cert": "", "key": "", "oneTimeLoading": false, "usage": "encipherment", "buildChain": false } ], "alpn": [ "h2", "http/1.1" ], "echServerKeys": "", "settings": { "fingerprint": "chrome", "echConfigList": "" } }, "reality": { "show": false, "xver": 0, "target": "aws.amazon.com:443", "serverNames": "aws.amazon.com", "privateKey": "", "minClientVer": "", "maxClientVer": "", "maxTimediff": 0, "shortIds": "ed66c06bf5974cfb,fd,d3cf,9a70dc,663b0bde,769550bb4c549d,669388ed65,6b62a59f8925", "mldsa65Seed": "", "settings": { "publicKey": "", "fingerprint": "chrome", "serverName": "", "spiderX": "/", "mldsa65Verify": "" } }, "tcp": { "acceptProxyProtocol": false, "type": "none", "request": { "version": "1.1", "method": "GET", "path": [ "/" ], "headers": [] }, "response": { "version": "1.1", "status": "200", "reason": "OK", "headers": [] } }, "kcp": { "mtu": 1350, "tti": 20, "upCap": 5, "downCap": 20, "cwndMultiplier": 1, "maxSendingWindow": 2097152 }, "ws": { "acceptProxyProtocol": false, "path": "/", "host": "", "headers": [], "heartbeatPeriod": 0 }, "grpc": { "serviceName": "", "authority": "", "multiMode": false }, "httpupgrade": { "acceptProxyProtocol": false, "path": "/", "host": "", "headers": [] }, "xhttp": { "path": "/", "host": "","headers": [], "scMaxBufferedPosts": 30, "scMaxEachPostBytes": "1000000", "scStreamUpServerSecs": "20-80", "noSSEHeader": false, "xPaddingBytes": "100-1000", "mode": "auto", "xPaddingObfsMode": false, "xPaddingKey": "", "xPaddingHeader": "", "xPaddingPlacement": "", "xPaddingMethod": "", "uplinkHTTPMethod": "", "sessionPlacement": "", "sessionKey": "", "seqPlacement": "", "seqKey": "", "uplinkDataPlacement": "", "uplinkDataKey": "", "uplinkChunkSize": 0 }, "hysteria": { "version": 2, "auth": "", "udpIdleTimeout": 60 }, "finalmask": { "tcp": [], "udp": [] } }, "tag": "inbound-31252", "sniffing": { "enabled": true, "destOverride": [ "http", "tls", "quic", "fakedns" ], "metadataOnly": false, "routeOnly": false, "ipsExcluded": [], "domainsExcluded": [] }, "clientStats": [] } }

@AntenkaAI_bot помоги доделать подписку в панели, сделал сертификаты на домен, прописал в настройках новые, теперь во вкладке подписка, какой корневой путь указывать? длменное имя?

Давай точный чек лист. У меня сейчас SNI: vk.ru

да, нужно понять как на сервере прописал ssl для домена, если уже накатан сервер с панелью

opkg update && opkg install wget-ssl ca-bundle curl && wget -qO- https://raw.github usercontent.com/hoaxisr/awg-manager/main/scripts/install.sh | sh Downloading http://bin.entware.net/aarch64-k3.10/Packages.gz Updated list of available packages in /opt/var/opkg-lists/entware Downloading http://bin.entware.net/aarch64-k3.10/keenetic/Packages.gz Updated list of available packages in /opt/var/opkg-lists/keendev Package wget-ssl (1.25.0-4) installed in root is up to date. Package ca-bundle (20250419-2) installed in root is up to date. Package curl (8.15.0-2) installed in root is up to date. @AntenkaAI_bot на этой строке виснет

Решил свою проблему. Зацени #!/usr/bin/env bash set -Eeuo pipefail ACME="$HOME/.acme.sh/acme.sh" THRESHOLD=$((3*3600)) mkdir -p /root/cert/ip NGINX_WAS_RUNNING=0 trap 'if [ "$NGINX_WAS_RUNNING" -eq 1 ]; then systemctl start nginx; fi' EXIT echo "[*] checking certificates..." DOMAIN=$($ACME --list | awk 'NR>1 {print $1}' | head -n1) INFO=$($ACME --list | grep -F "$DOMAIN" || true) RENEW=$(echo "$INFO" | awk '{print $NF}') if [ -z "$RENEW" ]; then echo "[!] no renewal info" exit 0 fi NOW=$(date +%s) RENEW_TS=$(date -d "$RENEW" +%s) DIFF=$((RENEW_TS - NOW)) echo "[*] renewal in: $DIFF sec" if [ "$DIFF" -gt "$THRESHOLD" ]; then echo "[*] too early" exit 0 fi echo "[*] renewal window active" if ss -ltnH sport = :80 | grep -q LISTEN; then if systemctl is-active --quiet nginx; then echo "[*] stopping nginx" systemctl stop nginx NGINX_WAS_RUNNING=1 sleep 2 fi fi echo "[*] running acme.sh..." "$ACME" --cron echo "[+] done"

root@VM-886436:~# openssl x509 -in /root/cert/ip/fullchain.pem -noout -issuer -subject -dates issuer=C = US, O = Let's Encrypt, CN = E8 subject= notBefore=May 15 08:02:26 2026 GMT notAfter=May 22 00:02:25 2026 GMT

root@VM-886436:~# sudo find / -path '*fullchain.pem' -o -path '*cert.pem' 2>/dev/null /usr/lib/python3/dist-packages/certifi/cacert.pem /usr/lib/python3/dist-packages/botocore/cacert.pem /usr/lib/ssl/cert.pem /root/cert/ip/fullchain.pem

root@VM-886436:~/self-signed-cert-script-by-antenka# sudo grep -RniE 'ssl_certificate|ssl_certificate_key' /etc/nginx /usr/local/x-ui 2>/dev/null sudo find /etc /usr/local /root -type f \( -name '*.crt' -o -name '*.pem' \) 2>/dev/null | head -50 /etc/ssl/certs/ca-certificates.crt /etc/pki/fwupd/LVFS-CA.pem /etc/pki/fwupd-metadata/LVFS-CA.pem /root/cert/ip/fullchain.pem /root/cert/ip/privkey.pem

Новый сервер. Чистая Ubuntu. Установка 3x-ui скриптом из пункта 11. Давай искать кто выдал сертификат и на какой срок

user www-data; worker_processes auto; pid /run/nginx.pid; error_log /var/log/nginx/error.log; include /etc/nginx/modules-enabled/*.conf; events { worker_connections 768; # multi_accept on; } http { ## # Basic Settings ## sendfile on; tcp_nopush on; types_hash_max_size 2048; # server_tokens off; # server_names_hash_bucket_size 64; # server_name_in_redirect off; include /etc/nginx/mime.types; default_type application/octet-stream; ## # SSL Settings ## ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE ssl_prefer_server_ciphers on; ## # Logging Settings ## access_log /var/log/nginx/access.log; ## # Gzip Settings ## gzip on; # gzip_vary on; # gzip_proxied any; # gzip_comp_level 6; # gzip_buffers 16 8k; # gzip_http_version 1.1; # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; ## # Virtual Host Configs ## include /etc/nginx/conf.d/*.conf; include /etc/nginx/sites-enabled/*; } #mail { # # See sample authentication script at: # # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript # # # auth_http localhost/auth.php; # # pop3_capabilities "TOP" "USER"; # # imap_capabilities "IMAP4rev1" "UIDPLUS"; # # server { # listen localhost:110; # protocol pop3; # proxy on; # } # # server { # listen localhost:143; # protocol imap; # proxy on; # } #}

@AntenkaAI_bot gotelegram такая ошибка. где копать. ✓ telemt перезапущен ✗ Ошибка конфигурации nginx 2026/05/15 11:31:04 [warn] 23321#23321: "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/sunkvg.nya.pub/fullchain.pem" nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: [emerg] socket() [::]:80 failed (97: Address family not supported by protocol) nginx: configuration file /etc/nginx/nginx.conf test failed

Панель сейчас выдает сертификат на ip сроком на 6 дней

Подумай как узнать, что использует панель для получения и обновления сертификата на ip, с какой периодичностью.

Панели 3x-ui для получения и обновления сертификата нужен порт 80.

[Telegram Anten-ka club id:-1002445567608 topic:5655 +2h Wed 2026-05-13 15:33 UTC] Grey Makarov (468688749): ~ # INFO[2026-05-13T07:08:13.767142022Z] Load MMDB file: /opt/etc/mihomo/geoip.metadb WARN[2026-05-13T07:08:18.768609330Z] [TCP] dial PROXY (match Match/) 10.1.30.131:36964 --> 2.22.31.186:443 error: 92.242.164.225:443 connect error: context deadline exceeded WARN[2026-05-13T07:08:23.814161715Z] [TCP] dial PROXY (match Match/) 10.1.30.131:55642 --> 2.22.31.176:443 error: 92.242.164.225:443 connect error: context deadline exceeded не пошло еще раз конфиг [Replying to Anten-ka Ai Helper DOG id:40166] Вижу 2 косяка, главный, нет правила DIRECT для самого VPS, сейчас MATCH тащит всё в PROXY, можно словить петлю. Добавь выше MATCH: - IP-CIDR,92.242.164.225/32,DIRECT и, если есть домен сервера, ещё - DOMAIN,твой-домен,DIRECT. Второй момент, servername: max.ru должен точно совпадать с SNI из ключа, иначе Reality не поднимется. Если после этого не взлетит, скинь ещё dns: из полного конфига. ✅ [/Replying] <file name="config1---6ed843c2-0a92-4a91-a5bf-019df42910d2.txt" mime="text/plain"> <<<EXTERNAL_UNTRUSTED_CONTENT id="0a132803e78c673f">>> Source: External --- tproxy-port: 1181 redir-port: 1182 mode: rule allow-lan: true log-level: info ipv6: false proxies: - name: "1-pol58xkeen" type: vless server: 92.242.164.225 port: 443 uuid: секерет udp: true tls: true network: tcp servername: max.ru client-fingerprint: chrome flow: xtls-rprx-vision reality-opts: public-key: секрет short-id: dc spider-x: / proxy-groups: - name: PROXY type: select proxies: - "1-pol58xkeen" - DIRECT rules: - DOMAIN-KEYWORD,ozon,DIRECT - DOMAIN-SUFFIX,ozone.ru,DIRECT - DOMAIN-SUFFIX,ozonimg.ru,DIRECT - DOMAIN-SUFFIX,ozonstatic.ru,DIRECT - DOMAIN-SUFFIX,ozon.ru,DIRECT - DOMAIN-SUFFIX,2gis.ru,DIRECT - DOMAIN-SUFFIX,mexc.com,DIRECT - GEOIP,RU,DIRECT - GEOIP,KG,DIRECT - IP-CIDR,185.73.195.117/32,DIRECT - IP-CIDR,185.73.193.120/32,DIRECT - IP-CIDR,185.73.194.82/32,DIRECT - IP-CIDR,185.73.193.68/32,DIRECT - IP-CIDR,185.73.192.0/22,DIRECT - IP-CIDR,91.236.51.50/22,DIRECT - IP-CIDR,91.236.48.0/22,DIRECT - IP-CIDR,91.236.51.145/22,DIRECT - MATCH,PROXY <<<END_EXTERNAL_UNTRUSTED_CONTENT id="0a132803e78c673f">>> </file> <file name="03_inbounds---296776ca-c05d-4664-998e-3c11d76bd202.json" mime="application/json"> <<<EXTERNAL_UNTRUSTED_CONTENT id="56708311527b318a">>> Source: External --- { "inbounds": [ { "tag": "redirect", "port": 61219, "protocol": "dokodemo-door", "settings": { "network": "tcp", "followRedirect": true }, "sniffing": { "enabled": true, "destOverride": ["http", "tls", "quic"] } }, { "tag": "tproxy", "port": 61219, "protocol": "dokodemo-door", "settings": { "network": "udp", "followRedirect": true }, "streamSettings": { "sockopt": { "tproxy": "tproxy" } }, "sniffing": { "enabled": true, "destOverride": ["http", "tls", "quic"] } } ] } <<<END_EXTERNAL_UNTRUSTED_CONTENT id="56708311527b318a">>> </file> <file name="04_outbounds1---4b486b70-2e41-40ff-92bc-b9dd6f0c7173.txt" mime="text/plain"> <<<EXTERNAL_UNTRUSTED_CONTENT id="a9712c786cccd3b2">>> Source: External --- { "outbounds": [ { "tag": "vless-reality", "protocol": "vless", "settings": { "vnext": [ { "address": "92.242.164.225", "port": 443, "users": [ { "id": "секрет", "flow": "xtls-rprx-vision", "encryption": "none", "level": 0 } ] } ] }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "publicKey": "секрет", "fingerprint": "chrome", "serverName": "max.ru", "shortId": "dc", "spiderX": "/" } } }, { "tag": "direct", "protocol": "freedom" }, { "tag": "block", "protocol": "blackhole", "settings": { "response": { "type": "http" } } } ] } <<<END_EXTERNAL_UNTRUSTED_CONTENT id="a9712c786cccd3b2">>> </file> <file name="05_routing---2e07d448-6b09-4d95-9acf-b1f5977db105.json" mime="application/json"> <<<EXTERNAL_UNTRUSTED_CONTENT id="45d2c902016e5453">>> Source: External --- // Настройка маршрутизации { "routing": { "rules": [ // Блокировка | Уязвимые UDP порты { "inboundTag": ["redirect", "tproxy"], "outboundTag": "block", "type": "field", "network": "udp", "port": "135, 137, 138, 139" }, // Блокировка | Реклама и аналитика { "inboundTag": ["redirect", "tproxy"], "outboundTag": "block", "type": "field", "domain": [ "appcenter.ms" ] }, // Прямые подключение | Доменные имена { "inboundTag": ["redirect", "tproxy"], "outboundTag": "direct", "type": "field", "domain": [ "regexp:^([\\w\\-\\.]+\\.)ru$", // .ru "regexp:^([\\w\\-\\.]+\\.)su$", // .su "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$", // .рф "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$", // .рус "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$", // .онлайн "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$", // .сайт "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$", // .москва "regexp:^([\\w\\-\\.]+\\.)moscow$", // .moscow "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$", // .дети "ext:geosite_v2fly.dat:category-gov-ru", "ext:geosite_v2fly.dat:private", "ext:geosite_v2fly.dat:yandex", "ext:geosite_v2fly.dat:steam", "ext:geosite_v2fly.dat:vk" ] }, // Прямое подключение | Торрент { "inboundTag": ["redirect", "tproxy"], "outboundTag": "direct", "type": "field", "protocol": ["bittorrent"] }, // VPS подключение { "inboundTag": ["redirect", "tproxy"], "outboundTag": "vless-reality", "type": "field" } ] } } <<<END_EXTERNAL_UNTRUSTED_CONTENT id="45d2c902016e5453">>> </file>

А выбор sni влияет на скорость?

[Telegram Anten-ka club id:-1002445567608 topic:5655 +1m Wed 2026-05-13 07:06 UTC] Grey Makarov (468688749): это весь файл конфиг ключ заменил на слово секерет [Replying to Anten-ka Ai Helper DOG id:40159] Да, уже можно смотреть по делу. Сейчас нужны dns: и proxy-groups целиком, плюс правило, где у тебя задан DIRECT для IP/домена VPS, иначе петля легко остаётся. Ещё проверь, что MATCH указывает в реально существующую группу PROXY, а servername совпадает с SNI на сервере. Кидай эти куски, без секретов, и я быстро ткну в косяк. ✅ [/Replying] <file name="config1---2d52ce03-01ac-42dd-9b95-aeb9b8ce441c.txt" mime="text/plain"> <<<EXTERNAL_UNTRUSTED_CONTENT id="a3eb6fddbaabb19f">>> Source: External --- tproxy-port: 1181 redir-port: 1182 mode: rule allow-lan: true log-level: info ipv6: false proxies: - name: "1-pol58xkeen" type: vless server: 92.242.164.225 port: 443 uuid: секерет udp: true tls: true network: tcp servername: max.ru client-fingerprint: chrome flow: xtls-rprx-vision reality-opts: public-key: секрет short-id: dc spider-x: / proxy-groups: - name: PROXY type: select proxies: - "1-pol58xkeen" - DIRECT rules: - DOMAIN-KEYWORD,ozon,DIRECT - DOMAIN-SUFFIX,ozone.ru,DIRECT - DOMAIN-SUFFIX,ozonimg.ru,DIRECT - DOMAIN-SUFFIX,ozonstatic.ru,DIRECT - DOMAIN-SUFFIX,ozon.ru,DIRECT - DOMAIN-SUFFIX,2gis.ru,DIRECT - DOMAIN-SUFFIX,mexc.com,DIRECT - GEOIP,RU,DIRECT - GEOIP,KG,DIRECT - IP-CIDR,185.73.195.117/32,DIRECT - IP-CIDR,185.73.193.120/32,DIRECT - IP-CIDR,185.73.194.82/32,DIRECT - IP-CIDR,185.73.193.68/32,DIRECT - IP-CIDR,185.73.192.0/22,DIRECT - IP-CIDR,91.236.51.50/22,DIRECT - IP-CIDR,91.236.48.0/22,DIRECT - IP-CIDR,91.236.51.145/22,DIRECT - MATCH,PROXY <<<END_EXTERNAL_UNTRUSTED_CONTENT id="a3eb6fddbaabb19f">>> </file>

vless://f2148a62-3596-414c-bc75-a640a2b66f7d@92.242.164.225:443?type=tcp&encryption=none&security=reality&pbk=glht0A6LbGl-tvR91tKbgPysVxjI3OT2pUh6VSYxp1Q&fp=chrome&sni=max.ru&sid=dc&spx=%2F&flow=xtls-rprx-vision#1-bsq6s6lt

скажи , как быстро развести порт панели / порт VLESS / сертификат без конфликта.

Отсутствие домен + Let’s Encrypt отразится на работе vless и каскада ? Или это касается только входа в админку 3x-ui,

На RU VPS и на NL VPS не получается зайти в админку 3x-ui через chrome. Выдает: Подключение не защищено Возможно, злоумышленники пытаются похитить вашу информацию с сайта IP Адрес сервера, например пароли, сообщения и данные кредитных карт. Подробнее об этом предупреждении… net::ERR_CERT_INVALID Не установился сертификат? Как решить проблему?

root@rulocalhost:~/x-ui# x-ui settings The OS release is: ubuntu [INF] current panel settings as follows: Panel is secure with SSL hasDefaultCredential: false port: 29809 webBasePath: /это тоже скрыл/ Access URL: https://ИП и порт скрыл/и это тоже скрыл/ root@rulocalhost:~/x-ui# Что далее для завершения установки и настройки ?

═══════════════════════════════════════════ + echo -e '\033[0;33m⚠️ IMPORTANT: Save these credentials securely!\033[0m' ⚠️ IMPORTANT: Save these credentials securely! + echo -e '\033[0;33m⚠️ SSL Certificate: Enabled and configured\033[0m' ⚠️ SSL Certificate: Enabled and configured + /usr/local/x-ui/x-ui migrate Start migrating database... Migration done! + '[' -d /etc/.git ']' + [[ ubuntu == \a\l\p\i\n\e ]] + service_installed=false + '[' -f x-ui.service ']' + '[' false = false ']' + case "${release}" in + '[' -f x-ui.service.debian ']' + '[' false = false ']' + echo -e '\033[0;33mService files not found in tar.gz, downloading from GitHub...\033[0m' Service files not found in tar.gz, downloading from GitHub... + case "${release}" in + curl -4fLRo /etc/systemd/system/x-ui.service https://raw.githubusercontent.com/MHSanaei/3x-ui/main/x-ui.service.debian Здесь подвисло

root@rulocalhost:~# sudo apt update && sudo apt install -y git curl openssl qrencode systemd && rm -rf ~/self-signed-cert-script-by-antenka && git clone https://github.com/anten-ka/self-signed-cert-script-by-antenka.git && cd self-signed-cert-script-by-antenka && chmod +x self_signed_cert.sh && sudo ./self_signed_cert.sh Hit:1 http://ru.archive.ubuntu.com/ubuntu noble InRelease Hit:2 http://ru.archive.ubuntu.com/ubuntu noble-updates InRelease Hit:3 http://ru.archive.ubuntu.com/ubuntu noble-backports InRelease Hit:4 http://security.ubuntu.com/ubuntu noble-security InRelease Reading package lists... Done Building dependency tree... Done Reading state information... Done 334 packages can be upgraded. Run 'apt list --upgradable' to see them. Reading package lists... Done Building dependency tree... Done Reading state information... Done git is already the newest version (1:2.43.0-1ubuntu7.3). curl is already the newest version (8.5.0-2ubuntu10.9). openssl is already the newest version (3.0.13-0ubuntu3.9). qrencode is already the newest version (4.1.1-1build2). systemd is already the newest version (255.4-1ubuntu8.15). 0 upgraded, 0 newly installed, 0 to remove and 334 not upgraded. Cloning into 'self-signed-cert-script-by-antenka'... remote: Enumerating objects: 119, done. remote: Counting objects: 100% (60/60), done. remote: Compressing objects: 100% (41/41), done. remote: Total 119 (delta 27), reused 43 (delta 19), pack-reused 59 (from 1) Receiving objects: 100% (119/119), 96.85 KiB | 1.23 MiB/s, done. Resolving deltas: 100% (47/47), done. --- Подготовка системы (sqlite3, expect, qrencode) --- Hit:1 http://ru.archive.ubuntu.com/ubuntu noble InRelease Hit:2 http://ru.archive.ubuntu.com/ubuntu noble-updates InRelease Hit:3 http://ru.archive.ubuntu.com/ubuntu noble-backports InRelease Hit:4 http://security.ubuntu.com/ubuntu noble-security InRelease Reading package lists... Done Reading package lists... Done Building dependency tree... Done Reading state information... Done expect is already the newest version (5.45.4-3). qrencode is already the newest version (4.1.1-1build2). curl is already the newest version (8.5.0-2ubuntu10.9). sqlite3 is already the newest version (3.45.1-1ubuntu2.5). 0 upgraded, 0 newly installed, 0 to remove and 334 not upgraded. --- Запуск установки 3x-ui --- spawn bash -c curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh | bash The OS release is: ubuntu Arch: amd64 Running... Hit:1 http://ru.archive.ubuntu.com/ubuntu noble InRelease Get:2 http://ru.archive.ubuntu.com/ubuntu noble-updates InRelease [126 kB] Hit:3 http://ru.archive.ubuntu.com/ubuntu noble-backports InRelease Hit:4 http://security.ubuntu.com/ubuntu noble-security InRelease Fetched 126 kB in 1s (192 kB/s) Reading package lists... Done N: Missing Signed-By in the sources.list(5) entry for 'http://ru.archive.ubuntu.com/ubuntu' Reading package lists... Building dependency tree... Reading state information... cron is already the newest version (3.0pl1-184ubuntu2). curl is already the newest version (8.5.0-2ubuntu10.9). tar is already the newest version (1.35+dfsg-3build1). tzdata is already the newest version (2026a-0ubuntu0.24.04.1). tzdata set to manually installed. socat is already the newest version (1.8.0.0-4build3). ca-certificates is already the newest version (20240203). openssl is already the newest version (3.0.13-0ubuntu3.9). 0 upgraded, 0 newly installed, 0 to remove and 334 not upgraded. Got x-ui latest version: v2.9.4, beginning the installation... % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 0 0 0 0 0 0 0 0 --:--:-- 0:01:15 --:--:-- 0

root@rulocalhost:~# curl -4 -Iv https://raw.githubusercontent.com * Host raw.githubusercontent.com:443 was resolved. * IPv6: (none) * IPv4: 185.199.108.133, 185.199.110.133, 185.199.111.133, 185.199.109.133 * Trying 185.199.108.133:443... * Connected to raw.githubusercontent.com (185.199.108.133) port 443 * ALPN: curl offers h2,http/1.1 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): * TLSv1.3 (IN), TLS handshake, Certificate (11): * TLSv1.3 (IN), TLS handshake, CERT verify (15): * TLSv1.3 (IN), TLS handshake, Finished (20): * TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.3 (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256 / X25519 / RSASSA-PSS * ALPN: server accepted h2 * Server certificate: * subject: CN=*.github.io * start date: Apr 6 23:32:36 2026 GMT * expire date: Jul 5 23:32:35 2026 GMT * subjectAltName: host "raw.githubusercontent.com" matched cert's "*.githubusercontent.com" * issuer: C=US; O=Let's Encrypt; CN=R12 * SSL certificate verify ok. * Certificate level 0: Public key type RSA (2048/112 Bits/secBits), signed using sha256WithRSAEncryption * Certificate level 1: Public key type RSA (2048/112 Bits/secBits), signed using sha256WithRSAEncryption * Certificate level 2: Public key type RSA (4096/152 Bits/secBits), signed using sha256WithRSAEncryption * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * using HTTP/2 * [HTTP/2] [1] OPENED stream for https://raw.githubusercontent.com/ * [HTTP/2] [1] [:method: HEAD] * [HTTP/2] [1] [:scheme: https] * [HTTP/2] [1] [:authority: raw.githubusercontent.com] * [HTTP/2] [1] [:path: /] * [HTTP/2] [1] [user-agent: curl/8.5.0] * [HTTP/2] [1] [accept: */*] > HEAD / HTTP/2 > Host: raw.githubusercontent.com > User-Agent: curl/8.5.0 > Accept: */* > < HTTP/2 301 HTTP/2 301 < content-security-policy: default-src 'none'; style-src 'unsafe-inline'; sandbox content-security-policy: default-src 'none'; style-src 'unsafe-inline'; sandbox < location: https://github.com/ location: https://github.com/ < strict-transport-security: max-age=31536000 strict-transport-security: max-age=31536000 < x-content-type-options: nosniff x-content-type-options: nosniff < x-frame-options: deny x-frame-options: deny < x-xss-protection: 1; mode=block x-xss-protection: 1; mode=block < x-github-request-id: 8B98:3B7EC:569372:AE9E8D:69FBFB34 x-github-request-id: 8B98:3B7EC:569372:AE9E8D:69FBFB34 < accept-ranges: bytes accept-ranges: bytes < date: Thu, 07 May 2026 03:19:35 GMT date: Thu, 07 May 2026 03:19:35 GMT < via: 1.1 varnish via: 1.1 varnish < x-served-by: cache-bma-essb1270051-BMA x-served-by: cache-bma-essb1270051-BMA < x-cache: HIT x-cache: HIT < x-cache-hits: 8 x-cache-hits: 8 < x-timer: S1778123976.628894,VS0,VE0 x-timer: S1778123976.628894,VS0,VE0 < vary: Authorization,Accept-Encoding vary: Authorization,Accept-Encoding < access-control-allow-origin: * access-control-allow-origin: * < cross-origin-resource-policy: cross-origin cross-origin-resource-policy: cross-origin < x-fastly-request-id: c94598499f1851be73ef5c29ff65884c5df825cf x-fastly-request-id: c94598499f1851be73ef5c29ff65884c5df825cf < expires: Thu, 07 May 2026 03:24:35 GMT expires: Thu, 07 May 2026 03:24:35 GMT < source-age: 2449 source-age: 2449 < content-length: 0 content-length: 0 < * Connection #0 to host raw.githubusercontent.com left intact root@rulocalhost:~#

/system.slice/nginx.service ├─92763 "nginx: master process /usr/sbin/nginx -g daemon on; master_process on;" └─92765 "nginx: worker process" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" May 03 12:57:37 FinTG systemd[1]: Starting A high performance web server and a reverse proxy server... May 03 12:57:37 FinTG nginx[92760]: nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/t…lchain.pem" May 03 12:57:37 FinTG nginx[92762]: nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/t…lchain.pem" May 03 12:57:37 FinTG systemd[1]: Started A high performance web server and a reverse proxy server. Hint: Some lines were ellipsized, use -l to show in full.

✗ Не удалось получить SSL сертификат Убедитесь что домен kiberarena.com направлен на IP этого сервера и порт 80 открыт в файрволе. @AntenkaAI_bot

@AntenkaAI_bot 2026/05/01 11:16:02 [warn] 2142894#2142894: "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/xv.xbosto.tech/fullchain.pem" nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful 74:# listen localhost:110; 80:# listen localhost:143; 195: listen 80; 196: listen [::]:80; 212: listen 127.0.0.1:8443 ssl http2; /etc/nginx/sites-enabled/gotelegram:23: listen 127.0.0.1:8443 ssl http2; /etc/nginx/sites-available/default:28: # listen [::]:9443 ssl default_server; /etc/nginx/sites-available/gotelegram:23: listen 127.0.0.1:8443 ssl http2;

@AntenkaAI_bot Как сгенирировать сертификаты

@AntenkaAI_bot Как сгенирировать сертификаты для 3x-ui

выбрать выпуск сертификата или обновление, пункт 1 или 2 ? [image]

@AntenkaAI_bot посмотри логику схемы по модификации gotelegram pro в режиме PRO с сайтом и доменом (srv2). дай свое заключение и возможные проблемы. Краткая логика работы по шагам: Клиент обращается по домену new-entry.simple.com (указывает на IP SRV1). SRV1 (HAProxy) принимает соединение на 443‑м порту, проверяет SNI. Если SNI соответствует simple.com, HAProxy перенаправляет TCP‑поток через WireGuard‑туннель на SRV2. SRV2 получает трафик внутри WG‑туннеля (как будто от 10.0.0.1), передаёт его в Telemt:443. Telemt работает как раньше: Telegram‑прокси — обрабатывает напрямую; другой трафик (HTTPS) — перенаправляет на Nginx:8443. Nginx отдаёт сайт. Ответ возвращается тем же маршрутом: Nginx → Telemt → WG‑туннель → HAProxy → Клиент.

А клоду норм, еще sni посоветует чтобы меньше палиться

Метчинг по sni идёт

Не уверен, что трафик, который маскируется под обращения на иностранный сайт - не может быть прижат и, со временем, потребует дополнительных решений по доступу. При этом проблем с ру сайтом - я пока такой проблемы не вижу - использование ру сайта как sni тяжелее имхо доказать. Да и грохать сайты на ру доменах - это будет равно танцу слона в посудной лавке.

Ну с ним как то не было никогда вопросов. Happ постоянно то SSl то еще чего. Но это наверное тоже как повезет

Дело в сертификатах если нет домена

Дмитрий, нашли! Проблема в inbound MOST — www.1c.ru не проходит. Исправляем прямо в базе: sqlite3 /etc/x-ui/x-ui.db "UPDATE inbounds SET stream_settings = REPLACE(stream_settings, 'www.1c.ru', 'www.microsoft.com') WHERE remark = 'MOST';" Потом: x-ui restart Клиенты останутся нетронутыми — меняем только SNI.

Не слетят — сделаем аккуратно. Сначала экспортируй клиентов перед удалением inbound: в панели нажми на inbound → Export (если есть кнопка) или просто запомни UUID клиентов. Быстрее — исправить SNI прямо в базе: sqlite3 /etc/x-ui/x-ui.db SELECT id, remark, stream_settings FROM inbounds; Покажи вывод — найдём где битый SNI и исправим точечно, не трогая клиентов.

то что я в SNI указал свой домен это норм?

Не будет красоты с доменами. SNI во влес опять кривые.. и что там у тебя за трафик с пустого сервера.. А так обычный бэкэнд на https

@AntenkaAI_bot как сделать nginx + SSL + HTML-шаблон

Тьфу на тебя .. Ты запутался.. Мы не дропаем левые на srv1. Мы отдаем сайт заглушку с сертификатом вилдкат. Глянь раньше.

А может так .. ..... upstream fallback_backend { server 127.0.0.1:8443; } server { listen 443; proxy_pass $backend; ssl_preread on; } } http { server { listen 8443 ssl default_server; server_name _; ssl_certificate /etc/nginx/ssl/wildcard.crt; # wildcard или multi‑domain ssl_certificate_key /etc/nginx/ssl/wildcard.key; location = / { return 200 "Service is online. Use domain name for access.\n"; add_header Content-Type text/plain; } location /status { access_log off; return 200 "OK"; add_header Content-Type text/plain; } } }

А может проще любое невалидное sni или подключение по ip просто сразу дропнуть на srv1

По нашей схеме. Цели улучшения Маскировка: сделать так, чтобы ошибочные подключения выглядели как легитимный веб‑сайт. Снижение подозрений: избежать типовых ошибок (например, «SSL certificate mismatch»), которые выдают прокси. Гибкость: предоставить разные ответы для разных сценариев (неизвестный домен, подключение по IP и т. д.). Безопасность: минимизировать раскрытие информации о внутренней инфраструктуре.

@AntenkaAI_bot За что отвечают в панели 3X-UI пункты Target и SNI ?

Если уж так надо можно и не заморачиваться самому, а у хостера и сайт разместить за те же деньги с ssl и прочим. Нормального хостера кстати нашел. Пока домен в заначку положил))

Sni не ру сервисы типа Яндекс как админвпс

сайт https://bluepixel.site/ недоступен и per.ry пишет, что сертификата нет

Проверь сертификат

Жаль что скрипт gokaskad не умеет делить трафик по sni.. или умеет/научиться .. Может Виталий допилит ?

Либо вообще модернизировать схему так: на srv1 один ip и ngnix. На srv2 два ip (под схему выше). Srv1 слушает порт 443 и дальше проксирует в зависимости от sni на srv2_ip1 или srv2_ip2. Получается что никакого по кроме ngnix нет.

Попробуй в x-ui(в термиусе) заново сертификаты через пункт в меню к домену привязать, должно все само прописать(на новых версиях панели так)

Если нет s, значит с сертификатами беда, иного не дано

Не внутренний перфекционизм. Сам посуди... Ты заходишь на srv1 с клиентом красиво на 443 порт со всеми правильными sni и доменами.. И вдруг srv1 начинает стучаться на srv2 на фиг знает какой порт. Хотя по логике наблюдателя он должен получать дополнительные данные с сайта.

С сертификатами проблема значит

@AntenkaAI_bot Как узнать пути к сертификатам ssl для 3x-ui?

Смотри.. Тут нужно понять для чего вообще домен. Домен нужен в нашем случае чтобы sni красиво смотрелись. Т.е. на примере тг с прокси. Ты указываешь там домен свой и он там реально есть и работает. Потому вопросов не возникает. Провайдер то не знает что это телега долбится .. Он то думает что ты браузер запустил. Понятно что это очень в приближении.. На самом деле все не так .. 😔

Так же возможен косяк с днс сервером, скрипт ссылается на один где запись другая, а браузер на другой, где запись правильная, почему не обновилось непонятно, можно домен проверить dnschecker.com Не исключаю что минцифры или их сертификаты могут влиять.

У кого есть домен на nic.ru(Ру центр), вопрос про перенаправление. Если захожу по моему домену в любом браузере и провайдере по http://домен.до -все ок, но через gotelegram ссылается на другой ip и не выдер сертификат. Уже неделю борюсь. Что я делаю не так?

Какой у вас Sni там стоит ?

Может, странно как сертификат выдался, если домен пока не работает, dnschecker что кажет?

@AntenkaAI_bot какие sni использовать на панели? В чем минус если указать vk.com, github.com?

Я все про свою идею ... выше.. а если в ngnix разделить трафик по этому SNI

Сейчас такой [server] port = 443 listen_addr_ipv4 = "0.0.0.0" [censorship] tls_domain = "mysite.site" mask = true mask_port = 8443 tls_emulation = false [access.users] main = "ххххххххх" [network] dns_overrides = ["mysite.site:8443:127.0.0.1"] Как бы это выглядело если б был SNI

ну логично. наверняка ссылка на панель https. раз сертификат не встал удали s.. http

у меня с доменом и mtproto панель не ставится,сертификаты не выдает,но все работает и сайт и бот нормально

Мы же свой сертификат используем домена а не fake

Сертификат SSL надо самому ставить или его скрипт GoTelegram_Pro ставит?

Можно ли через скрипт прикрыться настоящим сайтом? Т.е у меня уже на сервере размещен сайт с траффиком, сертификаты и все такое и я хотел бы его выставить наружу. Такое возможно или пока нет?

не удалось получить SSL сертификат

Проще наверное 3х на sni посадить от telemt сверху и порт другой

@AntenkaAI_bot дальше открывается консоль, я вставляю команду opkg update && opkg install wget-ssl ca-bundle curl && mkdir -p /opt/etc/opkg/ && opkg update && wget -qO- https://raw.githubusercontent.com/hoaxisr/awg-manager/main/scripts/install.sh | sh он мне выдает ошибку Core::Configurator error[1179649]: incorrect request. Как исправить?

✗ Не удалось получить SSL сертификат Убедитесь что домен **.site направлен на IP этого сервера и порт 80 открыт в файрволе. Я что-то не правильно делаю?

Вопрос не много не об этом был. Так то и влесс, и wg, и мт-шпрота на одном серваке стоит, проблем нет. Просто домен уже брал, настраивал селфсни для влесс (сертификаты, контейнер и т.д. по списку нужное). тут опять надо домен, в моем случае уже будет даже не третий, не напасешься на все) А делать халявный не очень хочется для всех этих дел...

не хочет вас sni видеть у себя

Пытаюсь зайти на сайт, который создал скрипт. Ошибка в сертификате? Подскажите, куда смотреть и что делать? 😁

На новом VPS таже ошибка ✗ Не удалось получить SSL сертификат Убедитесь что домен ****.ru направлен на IP этого сервера и порт 80 открыт в файрволе. Порт 80 открыт доменное имя ссылается на IP VPS Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80 ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (v6) 80 (v6) ALLOW IN Anywhere (v6)

На новом VPS таже ошибка ✗ Не удалось получить SSL сертификат Убедитесь что домен ****.ru направлен на IP этого сервера и порт 80 открыт в файрволе. Порт 80 открыт доменное имя ссылается на IP VPS

оба поддомена с ssl сертификатом по 443, сделал через обратный прокси NPM

Скорее какая то зависимость не установлена по ssl

на просторах инета есть опенсорсные sni сканеры. они выведут доступные, ближайшие к vps sni

root@LoganServ-2:~# cd ~ rm -f install.sh curl -v https://raw.githubusercontent.com/anten-ka/kaskad-pro/main/install.sh -o install.sh % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Host raw.githubusercontent.com:443 was resolved. * IPv6: 2606:50c0:8001::154, 2606:50c0:8002::154, 2606:50c0:8003::154, 2606:50c0:8000::154 * IPv4: 185.199.111.133, 185.199.108.133, 185.199.109.133, 185.199.110.133 * Trying 185.199.111.133:443... * Connected to raw.githubusercontent.com (185.199.111.133) port 443 * ALPN: curl offers h2,http/1.1 } [5 bytes data] * TLSv1.3 (OUT), TLS handshake, Client hello (1): } [512 bytes data] * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs { [5 bytes data] * TLSv1.3 (IN), TLS handshake, Server hello (2): { [122 bytes data] * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): { [19 bytes data] * TLSv1.3 (IN), TLS handshake, Certificate (11): { [2672 bytes data] * TLSv1.3 (IN), TLS handshake, CERT verify (15): { [264 bytes data] * TLSv1.3 (IN), TLS handshake, Finished (20): { [36 bytes data] * TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1): } [1 bytes data] * TLSv1.3 (OUT), TLS handshake, Finished (20): } [36 bytes data] * SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256 / X25519 / RSASSA-PSS * ALPN: server accepted h2 * Server certificate: * subject: CN=*.github.io * start date: Feb 6 21:41:53 2026 GMT * expire date: May 7 21:41:52 2026 GMT * subjectAltName: host "raw.githubusercontent.com" matched cert's "*.githubusercontent.com" * issuer: C=US; O=Let's Encrypt; CN=R12 * SSL certificate verify ok. * Certificate level 0: Public key type RSA (2048/112 Bits/secBits), signed using sha256WithRSAEncryption * Certificate level 1: Public key type RSA (2048/112 Bits/secBits), signed using sha256WithRSAEncryption * Certificate level 2: Public key type RSA (4096/152 Bits/secBits), signed using sha256WithRSAEncryption { [5 bytes data] * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): { [193 bytes data] * using HTTP/2 * [HTTP/2] [1] OPENED stream for https://raw.githubusercontent.com/anten-ka/kaskad-pro/main/install.sh * [HTTP/2] [1] [:method: GET] * [HTTP/2] [1] [:scheme: https] * [HTTP/2] [1] [:authority: raw.githubusercontent.com] * [HTTP/2] [1] [:path: /anten-ka/kaskad-pro/main/install.sh] * [HTTP/2] [1] [user-agent: curl/8.5.0] * [HTTP/2] [1] [accept: */*] } [5 bytes data] > GET /anten-ka/kaskad-pro/main/install.sh HTTP/2 > Host: raw.githubusercontent.com > User-Agent: curl/8.5.0 > Accept: */* > { [5 bytes data] < HTTP/2 404 < content-security-policy: default-src 'none'; style-src 'unsafe-inline'; sandbox < strict-transport-security: max-age=31536000 < x-content-type-options: nosniff < x-frame-options: deny < x-xss-protection: 1; mode=block < content-type: text/plain; charset=utf-8 < x-github-request-id: 695A:3F4EC2:125D25:13C011:69D6A880 < accept-ranges: bytes < date: Wed, 08 Apr 2026 19:12:00 GMT < via: 1.1 varnish < x-served-by: cache-ber1080024-BER < x-cache: MISS < x-cache-hits: 0 < x-timer: S1775675521.675657,VS0,VE135 < vary: Authorization,Accept-Encoding < access-control-allow-origin: * < cross-origin-resource-policy: cross-origin < x-fastly-request-id: 607d072b130a5fc5d97949333d102ad82385031f < expires: Wed, 08 Apr 2026 19:17:00 GMT < source-age: 0 < content-length: 14 < { [14 bytes data] 100 14 100 14 0 0 59 0 --:--:-- --:--:-- --:--:-- 59 * Connection #0 to host raw.githubusercontent.com left intact

только домен указываешь и все проверки и запрос сертификатов

Ну тогда ваще кайф.. А случаем в панель не лезет? Может сразу прописывать будет сертификат и домен ..

сертификаты сам скрипт получает)

Будет конечно круто. Даже и не сомневаюсь в тебе.. Останется только домен прикупить, сертификаты.. Добавить все это в панель и вуаля.. 😁

попробуй sni поменять и обновить ядро

Поменять sni и просканировать ключи

sni не хочет делать хендшейк

короч пока что я понял, что такой отвал не зависит от: порта, сертификата, ip адреса, хостера. пока грешу на уникальную сигнатуру или на некий порог трафика по непонятному адресу с специфическим отпечатком. буду ждать рецидива - может станет понятней

Ну, я порт никогда не трогал, всегда по умолчанию 443. Я менял только SNI на разные, пробовал. А вот порт сейчас попробую ещё на первом сервере поменять, посмотрю, так как там ничего не обновлено, всё по-старому.

новый инбаунд на панели сделай, просто на другом порту, и можешь sni сменить, в остальном как и в предыдущем случае

так ключи то я выдаю. там sni прописан мной же

ну тут кто как настраивал. у меня домен к впс привязан, на котором сайт развенрут с сертификатами и так далее. так что трафик вполне легитимен

похоже какая-то проблема с sni. На этом же серваке сделал другое подключение с другим sni - на v2raytun все завелось. Вопрос только почему со старым SNI на shadowrocket все работает , а на v2raytun - нет.

тоесть на новом инбаунде - все заводится, на старом так и не работает, даже при смене порта, sni и хоть чего прочего

что прописали в SNI?

@AntenkaAI_bot и вопрос еще какой sni выбрать чтобы шифровался траффик и мон обойти все текущие ограничения

Лог в панели 3x http: TLS handshake error from remote error: tls: unknown certificate Вот еще, ругается на сертификат, но не пойму что с этим делать?

Xhttp очень капризный все таки. Со многими sni не робит. Сразу eror по 443

client dev tun proto udp resolv-retry infinite nobind persist-key persist-tun ncp-disable cipher AES-256-GCM auth SHA256 verb 3 tls-client tls-version-min 1.2 key-direction 1 remote-cert-tls server dhcp-option DNS 8.8.8.8 dhcp-option DNS 8.8.4.4 remote 204.77.1.60 1194 <ca> -----BEGIN CERTIFICATE----- MIIDQjCCAiqgAwIBAgIUOBQ+DAyra4Z4sWt2wfYqQ1T8t1YwDQYJKoZIhvcNAQEL BQAwEzERMA8GA1UEAwwIQ2hhbmdlTWUwHhcNMjYwNDAzMTYyMjU0WhcNMzYwMzMx MTYyMjU0WjATMREwDwYDVQQDDAhDaGFuZ2VNZTCCASIwDQYJKoZIhvcNAQEBBQAD ggEPADCCAQoCggEBAOPr4Os+C817HGE7NbJ0w9Jr9TyF0TL11BjMNeERkXPfXJrO L7/8ZO6gqdWhxzxQ/aZ/51LaP1vEJbLGNOxMkMmE2fgd+WDGlCcpO2Wn82yJ+Jgl 4HcYiLgpDrJ8Spg+kTxvYBNHabT5yBN302uPkoEgTjj7VQFPLImrhjIKd14YH7x9 Sq9a2b6O9lId4MzWLjEeH+w68QSz/EXePevhMhL0LY9HF1H8FRvZ4TrUt09BsYV7 q06S+dUB9t7Pqme/kvhvekyePHhe81rTnxX3l4I2ar/rk6rzzCy0pTNGFgmxrkkc HZ10VFf+MRl56GysFWYNIenyDz90PzSjPY1Mvv0CAwEAAaOBjTCBijAdBgNVHQ4E FgQUvnHiqFxXmG3hBM1AKCMUWbDQ7E8wTgYDVR0jBEcwRYAUvnHiqFxXmG3hBM1A KCMUWbDQ7E+hF6QVMBMxETAPBgNVBAMMCENoYW5nZU1lghQ4FD4MDKtrhnixa3bB 9ipDVPy3VjAMBgNVHRMEBTADAQH/MAsGA1UdDwQEAwIBBjANBgkqhkiG9w0BAQsF AAOCAQEAnt4YMYp01a2KFNgapQpkpp8Fd4543UlRRB7Wqjcge3Dlt3JmSGPf+khr 7CKcNQubF/3zreK9NfjpLP9zwgN1lg1xWAKTFK8LTORLNeHfbGV6nZoYxJrkvan/ iH5RLsFejnlqyAjGXypc7+l2Ao5OC91dE4O6tzKIQgCVNJ0ugfBU9/1czBrZHMQ9 ecJ0fB++VajKqLX77Q0hGPGRJ410FB7a3nMNu54+D+AjeD8kK/Nbc8lhp2Dy49Lu pSlw2P0wJONll0ceBjngaBh4AL3fAdY1LjVuq+5Q5la2rpyAcYmaNd1tgmZRsDft ZUrOY1SE1xpahIXMmTuem5xf+h/h7g== -----END CERTIFICATE----- </ca> <cert> Certificate: Data: Version: 3 (0x2) Serial Number: 31:ef:af:3d:b1:ae:cb:5f:9b:95:5e:fe:5c:46:94:3c Signature Algorithm: sha256WithRSAEncryption Issuer: CN=ChangeMe Validity Not Before: Apr 4 20:33:52 2026 GMT Not After : Jul 7 20:33:52 2028 GMT Subject: CN=Gwlgb16Cd9fOE4XG4HM43cpFhucN6Dg8 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:d2:55:30:d8:a1:4f:66:f8:66:19:97:7b:2e:33: 80:92:cb:60:52:7b:11:c7:1e:28:6a:6e:03:bc:8b: 66:99:76:a3:a1:cf:83:05:0d:7a:b5:61:24:21:4c: 5a:05:26:08:28:f3:35:60:31:2d:90:64:57:39:86: 4f:aa:69:37:7c:fe:ce:90:9b:94:ec:99:17:23:71: 5c:78:82:26:4f:cf:b5:17:2b:c9:91:43:9d:1a:7c: c0:26:52:ac:5b:6b:79:e1:7e:31:2c:33:b8:c4:e0: da:d2:f2:a6:59:86:3f:71:d8:02:a8:7a:49:3f:a8: 3a:2a:e4:2a:73:be:90:0f:fc:6d:d5:c8:f3:04:3f: db:95:d6:4f:e9:2e:a7:be:dc:d8:78:58:4d:b1:7e: 45:fc:1e:9c:c9:5d:46:64:3f:81:67:31:da:6b:38: 9d:bf:d9:3c:57:0d:7b:be:21:76:ff:9d:ad:ce:77: 97:89:16:f1:43:47:ff:2e:42:1b:a7:66:72:d8:55: dc:f4:ea:b5:26:d8:bc:fb:45:b6:cf:2c:a6:96:13: 39:25:4b:2c:0a:89:f6:10:a7:43:52:4e:71:3c:29: 89:cc:0c:24:10:43:8c:a9:a4:51:8b:5f:f8:dc:54: 32:ef:63:ce:a9:14:aa:d0:44:00:c3:46:54:c8:96: bc:61 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: A6:04:2E:91:35:CB:C8:56:61:F2:8B:AA:F5:3D:24:D8:E2:13:38:4B X509v3 Authority Key Identifier: keyid:BE:71:E2:A8:5C:57:98:6D:E1:04:CD:40:28:23:14:59:B0:D0:EC:4F DirName:/CN=ChangeMe serial:38:14:3E:0C:0C:AB:6B:86:78:B1:6B:76:C1:F6:2A:43:54:FC:B7:56 X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Key Usage: Digital Signature

Signature Algorithm: sha256WithRSAEncryption 86:b5:43:16:ff:20:88:b7:a8:47:aa:1a:d3:5f:40:8e:b6:a1: b1:50:94:d5:33:48:27:02:9b:a9:cf:51:49:76:dd:14:b9:77: 7a:f9:74:bd:fa:90:17:71:9b:66:92:a6:10:18:f8:b7:33:34: d1:83:7b:ab:80:cd:79:83:12:5a:11:e0:a0:bb:f9:23:d1:3c: 21:ba:c0:57:e7:33:ae:5d:fd:87:50:85:fc:ac:e7:9c:d2:ee: 83:91:54:8a:99:b7:52:89:c3:3e:ab:e8:c5:f8:e8:2f:97:26: 76:6a:08:3f:4f:20:51:0b:46:19:88:85:4f:fe:40:56:9f:23: bc:0f:f9:23:64:cc:6a:fa:05:b9:8b:7c:b1:68:61:1d:17:90: 36:39:91:6b:14:b3:35:6f:cb:5e:02:29:78:f7:0c:63:9a:be: c8:79:cb:5f:86:68:30:05:c7:39:20:e0:bc:c8:1e:ad:d0:17: 47:57:58:aa:f2:39:98:be:96:58:8c:f5:87:4a:9a:2d:81:7a: 8d:16:06:50:92:76:63:32:a4:79:8f:71:ca:79:5b:5c:89:65: e6:c3:be:48:65:5d:30:f5:2f:89:f0:f2:cd:ff:2a:b9:64:1c: f9:44:2b:74:13:90:a3:3b:bd:38:d1:41:35:62:5a:36:1d:f5: c3:dc:6a:04 -----BEGIN CERTIFICATE----- MIIDaDCCAlCgAwIBAgIQMe+vPbGuy1+blV7+XEaUPDANBgkqhkiG9w0BAQsFADAT MREwDwYDVQQDDAhDaGFuZ2VNZTAeFw0yNjA0MDQyMDMzNTJaFw0yODA3MDcyMDMz NTJaMCsxKTAnBgNVBAMMIEd3bGdiMTZDZDlmT0U0WEc0SE00M2NwRmh1Y042RGc4 MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0lUw2KFPZvhmGZd7LjOA kstgUnsRxx4oam4DvItmmXajoc+DBQ16tWEkIUxaBSYIKPM1YDEtkGRXOYZPqmk3 fP7OkJuU7JkXI3FceIImT8+1FyvJkUOdGnzAJlKsW2t54X4xLDO4xODa0vKmWYY/ cdgCqHpJP6g6KuQqc76QD/xt1cjzBD/bldZP6S6nvtzYeFhNsX5F/B6cyV1GZD+B ZzHaazidv9k8Vw17viF2/52tzneXiRbxQ0f/LkIbp2Zy2FXc9Oq1Jti8+0W2zyym lhM5JUssCon2EKdDUk5xPCmJzAwkEEOMqaRRi1/43FQy72POqRSq0EQAw0ZUyJa8 YQIDAQABo4GfMIGcMAkGA1UdEwQCMAAwHQYDVR0OBBYEFKYELpE1y8hWYfKLqvU9 JNjiEzhLME4GA1UdIwRHMEWAFL5x4qhcV5ht4QTNQCgjFFmw0OxPoRekFTATMREw DwYDVQQDDAhDaGFuZ2VNZYIUOBQ+DAyra4Z4sWt2wfYqQ1T8t1YwEwYDVR0lBAww CgYIKwYBBQUHAwIwCwYDVR0PBAQDAgeAMA0GCSqGSIb3DQEBCwUAA4IBAQCGtUMW /yCIt6hHqhrTX0COtqGxUJTVM0gnApupz1FJdt0UuXd6+XS9+pAXcZtmkqYQGPi3 MzTRg3urgM15gxJaEeCgu/kj0TwhusBX5zOuXf2HUIX8rOec0u6DkVSKmbdSicM+ q+jF+OgvlyZ2agg/TyBRC0YZiIVP/kBWnyO8D/kjZMxq+gW5i3yxaGEdF5A2OZFr FLM1b8teAil49wxjmr7IectfhmgwBcc5IOC8yB6t0BdHV1iq8jmYvpZYjPWHSpot gXqNFgZQknZjMqR5j3HKeVtciWXmw75IZV0w9S+J8PLN/yq5ZBz5RCt0E5CjO704 0UE1Ylo2HfXD3GoE -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDSVTDYoU9m+GYZ l3suM4CSy2BSexHHHihqbgO8i2aZdqOhz4MFDXq1YSQhTFoFJggo8zVgMS2QZFc5 hk+qaTd8/s6Qm5TsmRcjcVx4giZPz7UXK8mRQ50afMAmUqxba3nhfjEsM7jE4NrS 8qZZhj9x2AKoekk/qDoq5CpzvpAP/G3VyPMEP9uV1k/pLqe+3Nh4WE2xfkX8HpzJ XUZkP4FnMdprOJ2/2TxXDXu+IXb/na3Od5eJFvFDR/8uQhunZnLYVdz06rUm2Lz7 RbbPLKaWEzklSywKifYQp0NSTnE8KYnMDCQQQ4yppFGLX/jcVDLvY86pFKrQRADD RlTIlrxhAgMBAAECggEABVLUK2t7ycCoPuYTX1I84xpELBpC0y4bekQiEpPZqzEy R45rw8U5UZ1tj20yCxbRFo4/T9m2zESJ46IXYpoKpj6Bxm21qX5fdE1yeHdc1mDM tdMtJSDXuVumdmHZzG+ONGuf/X0qpEsHptau6K2p7ez4dkCwGW0d2ceQHoFYfpsK dM0eK3bwFmuzW4ciSIAVh1AfGdn3V1XjDJQZ6oPLEJlopG5j7SYjn97ef5zFq01b 36x7boi1vx+7SeTHnQXK7CAh2XJTAmv5f4xQd7jsG8G/xTj3FxlDJ3wED9BbQ3je hD+Gb3+SR4bQtJ0kd0Vzx85zXTyNR58juf21l6itkQKBgQD/VEPvrPhNtwuCZY+g HH93IRSUcMI3TYBAXEau9xJgsvPUIHPvoYZ/SYKaXxtM7s6fWRsbNxpf1IjhfVq9 /6Ef14VUuhboDePkLuZ3rrljyQOKg1m5YkHRYmdGRqP+tkxoiLVk54QYaofL3yFU FPQe/dE98qA28zJVCzLzbZNt+QKBgQDS4qkriC+9gP2JEhxM3thhFjCjYV2dRyRD RnF0uOIITCYQz7igJS5P8Bq9LtSUd4NeFtrAnDLtXRQqwF132GZ02nRSbrvPJJxt JcKE11A3AWb0DFuobr0C9ZpOBQDmh9mBPXe+4q34ufIpFXwYMdbUR6ea/E22ZJX/ Ceu0LPD7qQKBgHPBsEspECmrovwrL0JXqTJJPRtPQ73u1QZYz3LjcOGGQCUb0XQC twdePGfgVnA6lFKKA1ADW2G26ZfRTSJ2koXtH/WZqGjsYzVAThxUiphCuehCRJtX gJ99DXU+8Xq5C0sZL6PfknO/WHGFZ4bHOSYTzJlZNmmzOE52FVNnij+BAoGBAMGW Ipd8l96NR7CJeIM0WkuddB625ZnYUbiUNNhiU9QsGxF5rdEM8JufHNyn3atAns5D iqIfgTyWIkowdlzqwPrqArgdQLihshsb+5m4kcE8v0avBYDzzvylevW98BqvgIH8 bC1Fp1BZWaxPNbB8J+qMsJY8oBYb9fm+IKowSzOpAoGBAM0NPZbh7Wi15BxdT5VQ IhdusfGaE/muSOB+8AA1aZPRTh/aFf54G9OPic8ypgljpJPslGCmo3PY8llzB77Y VfXJeDbCqy6rV0SnGJ9FqiUcnjeSj5tr34wvZaChGIjYTJylPnzhRly3NS5MJmBS rTk3opjNHhiRGPZViVoCP/QQ -----END PRIVATE KEY-----

Смотри у меня яшка сервер (яндекс) на нем каскад по 8443 на втором ру поднял панель влесс sni yandex.ru, делаешь инбаунд на втором, сканируешь qr, потом в соединении на телефоне меняшь ip на первый сервер (в моем случае яндекс)

Вроде на ростике в Москве работает , sni github.com

Вероятно или слишком злой оператор или что то на вашей стороне, попробуйте поменять порт или sni

@AntenkaAI_bot client dev tun proto udp resolv-retry infinite nobind persist-key persist-tun ncp-disable cipher AES-256-GCM auth SHA256 verb 3 tls-client tls-version-min 1.2 key-direction 1 remote-cert-tls server dhcp-option DNS 8.8.8.8 dhcp-option DNS 8.8.4.4 remote 204.77.1.60 1194 <ca> -----BEGIN CERTIFICATE----- MIIDQjCCAiqgAwIBAgIUOBQ+DAyra4Z4sWt2wfYqQ1T8t1YwDQYJKoZIhvcNAQEL BQAwEzERMA8GA1UEAwwIQ2hhbmdlTWUwHhcNMjYwNDAzMTYyMjU0WhcNMzYwMzMx MTYyMjU0WjATMREwDwYDVQQDDAhDaGFuZ2VNZTCCASIwDQYJKoZIhvcNAQEBBQAD ggEPADCCAQoCggEBAOPr4Os+C817HGE7NbJ0w9Jr9TyF0TL11BjMNeERkXPfXJrO L7/8ZO6gqdWhxzxQ/aZ/51LaP1vEJbLGNOxMkMmE2fgd+WDGlCcpO2Wn82yJ+Jgl 4HcYiLgpDrJ8Spg+kTxvYBNHabT5yBN302uPkoEgTjj7VQFPLImrhjIKd14YH7x9 Sq9a2b6O9lId4MzWLjEeH+w68QSz/EXePevhMhL0LY9HF1H8FRvZ4TrUt09BsYV7 q06S+dUB9t7Pqme/kvhvekyePHhe81rTnxX3l4I2ar/rk6rzzCy0pTNGFgmxrkkc HZ10VFf+MRl56GysFWYNIenyDz90PzSjPY1Mvv0CAwEAAaOBjTCBijAdBgNVHQ4E FgQUvnHiqFxXmG3hBM1AKCMUWbDQ7E8wTgYDVR0jBEcwRYAUvnHiqFxXmG3hBM1A KCMUWbDQ7E+hF6QVMBMxETAPBgNVBAMMCENoYW5nZU1lghQ4FD4MDKtrhnixa3bB 9ipDVPy3VjAMBgNVHRMEBTADAQH/MAsGA1UdDwQEAwIBBjANBgkqhkiG9w0BAQsF AAOCAQEAnt4YMYp01a2KFNgapQpkpp8Fd4543UlRRB7Wqjcge3Dlt3JmSGPf+khr 7CKcNQubF/3zreK9NfjpLP9zwgN1lg1xWAKTFK8LTORLNeHfbGV6nZoYxJrkvan/ iH5RLsFejnlqyAjGXypc7+l2Ao5OC91dE4O6tzKIQgCVNJ0ugfBU9/1czBrZHMQ9 ecJ0fB++VajKqLX77Q0hGPGRJ410FB7a3nMNu54+D+AjeD8kK/Nbc8lhp2Dy49Lu pSlw2P0wJONll0ceBjngaBh4AL3fAdY1LjVuq+5Q5la2rpyAcYmaNd1tgmZRsDft ZUrOY1SE1xpahIXMmTuem5xf+h/h7g== -----END CERTIFICATE----- </ca> <cert> Certificate: Data: Version: 3 (0x2) Serial Number: d1:9f:e8:65:29:3e:69:a9:ba:5c:e5:08:a3:3b:44:8b Signature Algorithm: sha256WithRSAEncryption Issuer: CN=ChangeMe Validity Not Before: Apr 4 09:28:26 2026 GMT Not After : Jul 7 09:28:26 2028 GMT Subject: CN=x48d51MDyjB1YoAx9STF3HjdJdfqfG6C Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:b2:dd:49:ff:3b:bb:48:78:59:e8:98:b2:b5:82: dc:a7:ef:94:43:02:0d:96:29:39:7a:e4:92:46:cd: 98:77:74:d7:e2:35:cf:ea:24:81:04:bd:30:0c:f7: 86:d9:31:8e:99:b6:56:46:75:66:7a:81:3e:dc:6e: b3:e0:14:64:96:11:f6:c0:c5:7e:90:4d:78:84:c2: af:e8:7a:fd:20:65:96:c4:5e:08:94:06:f2:9c:99: a4:22:2a:02:a4:2b:45:9c:40:40:2c:e8:73:23:0d: 1a:29:9c:e9:c0:15:ae:30:c2:63:c9:be:89:86:ce: 5e:47:61:94:f4:f8:4e:19:b6:25:7d:74:fe:41:7f: 34:5d:fd:47:ce:2c:8c:43:c4:b5:d2:78:19:d6:e6: 9c:f9:75:06:15:52:74:10:32:4e:53:50:12:a9:ee: 4e:25:c7:8c:fe:48:b0:47:a0:0c:2c:ae:21:e2:42: 3c:80:37:40:6e:2e:36:14:2e:e1:30:68:83:4c:e2: cd:7c:e2:ad:aa:89:87:86:c9:66:d4:f3:17:70:bd: 57:cf:9a:78:e2:d8:77:f9:0e:d7:86:7a:ec:ff:61: 97:4c:b3:e7:d8:f2:3c:0a:fb:47:94:bf:b1:9d:6a: b9:ef:c8:f6:c0:83:40:54:24:37:8d:be:cf:30:ea: 00:31 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: AB:A9:7A:4B:A2:B5:87:FF:DE:92:BF:24:7E:7A:67:3E:0D:E9:A5:45 X509v3 Authority Key Identifier: keyid:BE:71:E2:A8:5C:57:98:6D:E1:04:CD:40:28:23:14:59:B0:D0:EC:4F DirName:/CN=ChangeMe serial:38:14:3E:0C:0C:AB:6B:86:78:B1:6B:76:C1:F6:2A:43:54:FC:B7:56 X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Key Usage:

Digital Signature Signature Algorithm: sha256WithRSAEncryption 7c:32:c3:d5:d4:fb:24:28:f6:ba:b7:67:a5:c0:d2:61:e1:b4: f3:b7:1c:58:6a:3b:fa:d2:f7:b0:32:65:13:32:63:5e:18:cd: 10:25:ba:1a:cc:50:8e:a5:fb:af:bb:3e:75:fc:01:de:cd:93: 6f:ae:72:bc:83:51:4c:ae:4b:40:5f:1b:c1:7d:93:23:be:0d: 78:3f:b8:8c:25:d0:82:e6:a5:da:d2:16:5e:6f:a5:b0:24:47: b5:84:44:38:3d:5f:a0:e7:03:90:ca:c9:08:62:b3:57:49:35: 6c:9e:08:53:54:ad:eb:54:72:cf:25:d3:de:20:1f:fa:fe:4b: 19:95:2a:d8:e4:31:d0:6b:4d:96:6a:51:b5:f0:eb:3e:ad:d9: ee:68:06:88:12:e8:f8:be:5b:9b:f9:33:a8:2f:ed:4d:a4:1f: 38:d1:7f:d3:04:2a:f2:75:f7:3d:b8:3b:33:06:d6:ea:8e:44: 6e:a6:6f:5b:97:2d:bd:48:0a:fb:3d:a2:da:d0:c4:d7:a8:88: df:6c:b1:fe:f6:e5:29:6a:5f:d6:4f:15:84:9a:c2:46:f1:ab: 53:7e:23:a3:fe:6c:ea:12:0c:0d:79:7c:de:b9:df:0d:b7:1e: f9:22:19:a8:67:92:87:25:2f:e7:80:f2:e1:05:15:2a:45:15: ba:42:e8:3a -----BEGIN CERTIFICATE----- MIIDaTCCAlGgAwIBAgIRANGf6GUpPmmpulzlCKM7RIswDQYJKoZIhvcNAQELBQAw EzERMA8GA1UEAwwIQ2hhbmdlTWUwHhcNMjYwNDA0MDkyODI2WhcNMjgwNzA3MDky ODI2WjArMSkwJwYDVQQDDCB4NDhkNTFNRHlqQjFZb0F4OVNURjNIamRKZGZxZkc2 QzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALLdSf87u0h4WeiYsrWC 3KfvlEMCDZYpOXrkkkbNmHd01+I1z+okgQS9MAz3htkxjpm2VkZ1ZnqBPtxus+AU ZJYR9sDFfpBNeITCr+h6/SBllsReCJQG8pyZpCIqAqQrRZxAQCzocyMNGimc6cAV rjDCY8m+iYbOXkdhlPT4Thm2JX10/kF/NF39R84sjEPEtdJ4GdbmnPl1BhVSdBAy TlNQEqnuTiXHjP5IsEegDCyuIeJCPIA3QG4uNhQu4TBog0zizXziraqJh4bJZtTz F3C9V8+aeOLYd/kO14Z67P9hl0yz59jyPAr7R5S/sZ1que/I9sCDQFQkN42+zzDq ADECAwEAAaOBnzCBnDAJBgNVHRMEAjAAMB0GA1UdDgQWBBSrqXpLorWH/96SvyR+ emc+DemlRTBOBgNVHSMERzBFgBS+ceKoXFeYbeEEzUAoIxRZsNDsT6EXpBUwEzER MA8GA1UEAwwIQ2hhbmdlTWWCFDgUPgwMq2uGeLFrdsH2KkNU/LdWMBMGA1UdJQQM MAoGCCsGAQUFBwMCMAsGA1UdDwQEAwIHgDANBgkqhkiG9w0BAQsFAAOCAQEAfDLD 1dT7JCj2urdnpcDSYeG087ccWGo7+tL3sDJlEzJjXhjNECW6GsxQjqX7r7s+dfwB 3s2Tb65yvINRTK5LQF8bwX2TI74NeD+4jCXQgual2tIWXm+lsCRHtYREOD1foOcD kMrJCGKzV0k1bJ4IU1St61RyzyXT3iAf+v5LGZUq2OQx0GtNlmpRtfDrPq3Z7mgG iBLo+L5bm/kzqC/tTaQfONF/0wQq8nX3Pbg7MwbW6o5EbqZvW5ctvUgK+z2i2tDE 16iI32yx/vblKWpf1k8VhJrCRvGrU34jo/5s6hIMDXl83rnfDbce+SIZqGeShyUv 54Dy4QUVKkUVukLoOg== -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCy3Un/O7tIeFno mLK1gtyn75RDAg2WKTl65JJGzZh3dNfiNc/qJIEEvTAM94bZMY6ZtlZGdWZ6gT7c brPgFGSWEfbAxX6QTXiEwq/oev0gZZbEXgiUBvKcmaQiKgKkK0WcQEAs6HMjDRop nOnAFa4wwmPJvomGzl5HYZT0+E4ZtiV9dP5BfzRd/UfOLIxDxLXSeBnW5pz5dQYV UnQQMk5TUBKp7k4lx4z+SLBHoAwsriHiQjyAN0BuLjYULuEwaINM4s184q2qiYeG yWbU8xdwvVfPmnji2Hf5DteGeuz/YZdMs+fY8jwK+0eUv7GdarnvyPbAg0BUJDeN vs8w6gAxAgMBAAECggEAHY4p3Eo1NfInHyNeQlZ7midhNxpXfuTUee1bi2YNJ84P nzI3py+9fvg5AKeFKY4CC33A71cWZi9FoRyMzf3oqhCRVsS7l2IpxDw8X3y1J32J 5mxIXBdyzvQnVjrdYV3CHKHUSOdnIRdY55/lUydx914jqZI5vOQMWZyzBbCjDSXQ RH2MVIyzYK3uEOGFIQSSSNl20B/VetKmcVgU+OIpo258aSTHfauHHhBZ8bU2lNJh u76/YU1vv4z6/GB9Bn5h9i1P2+WbGo8fe3bFOPWd8ukYXVgYodhjEBQS4rg2ak/y D/w774HIhZTXI+fm/yWrI3iqRj0FZV66gG4wwq+HbQKBgQDoA4DilADxbHJg96in pcvx2WXTrdNi+Z8sOnCAUvW/esiOjFzoo7SsFVtVOyeGEbX40xztty/c/64034nP e14cn1sZf1a8h5/5Obi1Xf0w+7ilF2zVRi49XBVKZW866z4aXMDZtQfrPuqAWA4p RnCapu2t/hdGhGfrdpMoEKjbPQKBgQDFWyG7JIw9fE/ipvxQNlGes3DUNY2qcxlv vJNy9n6c1pmLiQkNLfypiye70PvV3ubd3T+sw31cbDsqQ+YfOT3ms/otaSM32Dwx e9MN4/F50f+CNNNIbFzbxAS3Shf6qek+Key1uOGoKqs8FQr2ut/aDW/dmN+8dQ6D Xj6c/lAYBQKBgCGg2F5+60AS4uUxIE3kVxIf24V57WisG6kSc1n2LE5rooQezhye FcLXeZx57XmeOYzuNIQ0CAj1Oi/JsrTTAcoOQusILO84jTRXbHFFRTyDT7kGEy06 ddtI7IETALM+g4rYpM8pUROE1AJ0QOE0p3+S8GJGsOL0sAdN8XheKctVAoGBALF0 L/BF/JOMo4f4/gZh0SIR1vH49Vi+BbEirrJAUbhUfdupbCodn4ITTbbjQo4bzxrP ReHiJWZlKw3l35VTswUt71XFo5UjKXyVCkEDJK2U1VoOhawpQ5WXu2XTiZwqCz+K Ev2TL9Q2CaIMib8waPd3/Y4TV5ns5w/YPhSL1xjBAoGAdNFLGsr346+9BGXKXvaP jr+CaeQ3Jl8R8G6UslhZN0TsKLx8L118QW1sQsd8jNzK/YLQQHE/BHPuXsOG/zDq OVrZoYyVe60ceN4QBbM8I08QFlGxdEWDIZgOMJ817db1EfzNww7yBMTR2jKZ9+1F 8ZEIcB/RPbSUIKq/8NklGzQ= -----END PRIVATE KEY-----

@AntenkaAI_bot подскажи пожалуйста, если я в инбаунде меняю транспорт или SNI, ключи выданные клиентам становятся не актуальными? Нужно выдавать обновлённые?

Ребята, подскажите пожалуйста, если я в инбаунде меняю транспорт или SNI, ключи выданные клиентам становятся не актуальными? Нужно выдавать обновлённые?

Апр 3 23:02:16 ndm Network::Interface::Ip: "OpenVPN1": order is 2. Апр 3 23:02:16 ndm Network::Interface::Ip: global priority recalculated. Апр 3 23:02:16 ndm Dns::InterfaceSpecific: static name server list cleared on OpenVPN1. Апр 3 23:02:16 ndm Netfilter::Util::Conntrack: flushed 54 IPv4 connections. Апр 3 23:02:16 ndm Network::Interface::Ip: "OpenVPN1": TCP-MSS adjustment enabled. Апр 3 23:02:17 ndm Network::Interface::OpenVpn: "OpenVPN1": configuration successfully saved. Апр 3 23:02:17 ndm Network::Interface::OpenVpn: "OpenVPN1": set connection via any interface. Апр 3 23:02:17 ndm Network::Interface::Base: "OpenVPN1": interface is down. Апр 3 23:02:17 ndm Network::Interface::Base: "OpenVPN1": schedule cleared. Апр 3 23:02:17 ndm Core::System::Configuration: saving (http/rci). Апр 3 23:02:17 ndm Http::Nginx: loaded SSL certificate for "d4e9166e9046bba156d11b92.netcraze.io". Апр 3 23:02:17 ndm Http::Nginx: loaded SSL certificate for "gggatujb.crazedns.ru". Апр 3 23:02:17 ndm Http::Nginx: activated proxy fgvsfibb.gggatujb.crazedns.ru to https://127.0.0.1:8080. Апр 3 23:02:17 ndm Http::Nginx: activated proxy juurg.gggatujb.crazedns.ru to https://127.0.0.1:443. Апр 3 23:02:17 ndm Core::Server: started Session /var/run/ndm.core.socket. Апр 3 23:02:18 ndm Core::Session: client disconnected. Апр 3 23:02:18 ndm Http::Manager: updated configuration. Апр 3 23:02:18 ndm Core::Server: started Session /var/run/ndm.core.socket. Апр 3 23:02:18 ndm Core::Session: client disconnected. Апр 3 23:02:21 ndm Core::System::Configuration: configuration saved. Апр 3 23:02:22 ndm Core::Configurator: not found: "show/mws/member" [coala/rci]. Апр 3 23:02:23 ndm Network::Interface::Base: "OpenVPN1": interface is up. Апр 3 23:02:23 ndm Core::System::Configuration: saving (http/rci). Апр 3 23:02:26 OpenVPN1 Unrecognized option or missing or extra parameter(s) in configuration: (line 32): block-ipv6 (2.4.6) Апр 3 23:02:26 OpenVPN1 Exiting due to fatal error Апр 3 23:02:26 ndm Service: "OpenVPN1": unexpectedly stopped. Апр 3 23:02:26 ndm Network::Interface::OpenVpn: "OpenVPN1": configuration is invalid. Апр 3 23:02:27 ndm Core::System::Configuration: configuration saved. Апр 3 23:02:28 ndm Core::Configurator: not found: "show/mws/member" [coala/rci]. Апр 3 23:48:44 ndm Network::Interface::Base: "OpenVPN0": interface is down. Апр 3 23:48:44 ndm Core::System::Configuration: saving (http/rci). Апр 3 23:48:48 ndm Core::System::Configuration: configuration saved. Апр 3 23:48:49 ndm Core::Configurator: not found: "show/mws/member" [coala/rci]. Апр 3 23:52:27 ndm Network::Interface::Supplicant: "OpenVPN1": authentication is unchanged. Апр 3 23:52:27 ndm Network::Interface::Base: "OpenVPN1": description saved. Апр 3 23:52:27 ndm Network::Interface::Base: "OpenVPN1": deleted all roles. Апр 3 23:52:27 ndm Network::Interface::Base: "OpenVPN1": assigned role "misc" for OpenVPN1. Апр 3 23:52:27 ndm Network::Interface::Ip: "OpenVPN1": IP address cleared. Апр 3 23:52:27 ndm Network::Interface::Base: "OpenVPN1": static MTU is 1500. Апр 3 23:52:27 ndm Dns::InterfaceSpecific: static name server list cleared on OpenVPN1. Апр 3 23:52:27 ndm Network::Interface::Ip: "OpenVPN1": TCP-MSS adjustment enabled. Апр 3 23:52:27 ndm Network::Interface::OpenVpn: "OpenVPN1": configuration successfully saved. Апр 3 23:52:27 ndm Network::Interface::OpenVpn: "OpenVPN1": disable automatic routes accept via tunnel. Апр 3 23:52:27 ndm Network::Interface::OpenVpn: "OpenVPN1": set connection via any interface. Апр 3 23:52:27 ndm Network::Interface::Base: "OpenVPN1": schedule cleared. Апр 3 23:52:27 ndm Core::System::Configuration: saving (http/rci). Апр 3 23:52:30 OpenVPN1 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Апр 3 23:52:30 OpenVPN1 library versions: OpenSSL 1.1.1o 3 May 2022, LZO 2.10

Апр 3 23:52:39 OpenVPN1 OpenVPN ROUTE: failed to parse/resolve route for host/network: 3000::/4 Апр 3 23:52:39 OpenVPN1 OpenVPN ROUTE6: OpenVPN needs a gateway parameter for a --route-ipv6 option and no default was specified by either --route-ipv6-gateway or --ifconfig-ipv6 options Апр 3 23:52:39 OpenVPN1 OpenVPN ROUTE: failed to parse/resolve route for host/network: 2000::/4 Апр 3 23:52:39 OpenVPN1 OpenVPN ROUTE6: OpenVPN needs a gateway parameter for a --route-ipv6 option and no default was specified by either --route-ipv6-gateway or --ifconfig-ipv6 options Апр 3 23:52:39 OpenVPN1 OpenVPN ROUTE: failed to parse/resolve route for host/network: ::/3 Апр 3 23:52:39 OpenVPN1 TUN/TAP device tun0 opened Апр 3 23:52:39 OpenVPN1 TUN/TAP TX queue length set to 100 Апр 3 23:52:39 OpenVPN1 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Апр 3 23:52:39 ndm Network::Interface::Ip: "OpenVPN1": IP address is 10.8.0.10/32. Апр 3 23:52:39 ndm Network::Interface::OpenVpn: "OpenVPN1": TUN peer address is 10.8.0.9. Апр 3 23:52:39 ndm Network::Interface::OpenVpn: "OpenVPN1": added host route to peer 10.8.0.9 via 10.8.0.10. Апр 3 23:52:40 OpenVPN1 WARNING: OpenVPN was configured to add an IPv6 route over tun0. However, no IPv6 has been configured for this interface, therefore the route installation may fail or may not work as expected. Апр 3 23:52:40 OpenVPN1 GID set to nobody Апр 3 23:52:40 OpenVPN1 UID set to nobody Апр 3 23:52:40 OpenVPN1 Initialization Sequence Completed Апр 3 23:52:40 ndm Http::Nginx: loaded SSL certificate for "d4e9166e9046bba156d11b92.netcraze.io". Апр 3 23:52:40 ndm Http::Nginx: loaded SSL certificate for "gggatujb.crazedns.ru". Апр 3 23:52:40 ndm Http::Nginx: activated proxy fgvsfibb.gggatujb.crazedns.ru to https://127.0.0.1:8080. Апр 3 23:52:40 ndm Http::Nginx: activated proxy juurg.gggatujb.crazedns.ru to https://127.0.0.1:443. Апр 3 23:52:40 ndm Core::Server: started Session /var/run/ndm.core.socket. Апр 3 23:52:40 ndm Core::Session: client disconnected. Апр 3 23:52:40 ndm Http::Manager: updated configuration. Апр 3 23:52:40 ndm Core::Server: started Session /var/run/ndm.core.socket. Апр 3 23:52:40 ndm Core::Session: client disconnected. Апр 3 23:53:02 ndm Network::Interface::Supplicant: "OpenVPN1": authentication is unchanged. Апр 3 23:53:02 ndm Network::Interface::Base: "OpenVPN1": description saved. Апр 3 23:53:02 ndm Network::Interface::Base: "OpenVPN1": deleted all roles. Апр 3 23:53:02 ndm Network::Interface::Base: "OpenVPN1": assigned role "misc" for OpenVPN1. Апр 3 23:53:02 ndm Network::Interface::Ip: "OpenVPN1": IP address cleared. Апр 3 23:53:02 ndm Network::Interface::Base: "OpenVPN1": static MTU is 1500. Апр 3 23:53:02 ndm Dns::InterfaceSpecific: static name server list cleared on OpenVPN1. Апр 3 23:53:02 ndm Network::Interface::Ip: "OpenVPN1": TCP-MSS adjustment enabled. Апр 3 23:53:03 ndm Network::Interface::OpenVpn: "OpenVPN1": configuration successfully saved. Апр 3 23:53:03 ndm Network::Interface::OpenVpn: "OpenVPN1": disable automatic routes accept via tunnel. Апр 3 23:53:03 ndm Network::Interface::OpenVpn: "OpenVPN1": set connection via any interface. Апр 3 23:53:03 ndm Network::Interface::Base: "OpenVPN1": schedule cleared. Апр 3 23:53:03 ndm Core::System::Configuration: saving (http/rci). Апр 3 23:53:03 ndm Http::Nginx: loaded SSL certificate for "d4e9166e9046bba156d11b92.netcraze.io". Апр 3 23:53:03 ndm Http::Nginx: loaded SSL certificate for "gggatujb.crazedns.ru". Апр 3 23:53:03 ndm Http::Nginx: activated proxy fgvsfibb.gggatujb.crazedns.ru to https://127.0.0.1:8080. Апр 3 23:53:03 ndm Http::Nginx: activated proxy juurg.gggatujb.crazedns.ru to https://127.0.0.1:443. Апр 3 23:53:03 ndm Core::Server: started Session /var/run/ndm.core.socket. Апр 3 23:53:03 ndm Core::Session: client disconnected. Апр 3 23:53:03 ndm

@AntenkaAI_bot client dev tun proto udp resolv-retry infinite nobind persist-key persist-tun ncp-disable cipher AES-256-GCM auth SHA256 verb 3 tls-client tls-version-min 1.2 key-direction 1 remote-cert-tls server dhcp-option DNS 8.8.8.8 dhcp-option DNS 8.8.4.4 remote 204.77.1.60 1194 <ca> -----BEGIN CERTIFICATE----- MIIDQjCCAiqgAwIBAgIUOBQ+DAyra4Z4sWt2wfYqQ1T8t1YwDQYJKoZIhvcNAQEL BQAwEzERMA8GA1UEAwwIQ2hhbmdlTWUwHhcNMjYwNDAzMTYyMjU0WhcNMzYwMzMx MTYyMjU0WjATMREwDwYDVQQDDAhDaGFuZ2VNZTCCASIwDQYJKoZIhvcNAQEBBQAD ggEPADCCAQoCggEBAOPr4Os+C817HGE7NbJ0w9Jr9TyF0TL11BjMNeERkXPfXJrO L7/8ZO6gqdWhxzxQ/aZ/51LaP1vEJbLGNOxMkMmE2fgd+WDGlCcpO2Wn82yJ+Jgl 4HcYiLgpDrJ8Spg+kTxvYBNHabT5yBN302uPkoEgTjj7VQFPLImrhjIKd14YH7x9 Sq9a2b6O9lId4MzWLjEeH+w68QSz/EXePevhMhL0LY9HF1H8FRvZ4TrUt09BsYV7 q06S+dUB9t7Pqme/kvhvekyePHhe81rTnxX3l4I2ar/rk6rzzCy0pTNGFgmxrkkc HZ10VFf+MRl56GysFWYNIenyDz90PzSjPY1Mvv0CAwEAAaOBjTCBijAdBgNVHQ4E FgQUvnHiqFxXmG3hBM1AKCMUWbDQ7E8wTgYDVR0jBEcwRYAUvnHiqFxXmG3hBM1A KCMUWbDQ7E+hF6QVMBMxETAPBgNVBAMMCENoYW5nZU1lghQ4FD4MDKtrhnixa3bB 9ipDVPy3VjAMBgNVHRMEBTADAQH/MAsGA1UdDwQEAwIBBjANBgkqhkiG9w0BAQsF AAOCAQEAnt4YMYp01a2KFNgapQpkpp8Fd4543UlRRB7Wqjcge3Dlt3JmSGPf+khr 7CKcNQubF/3zreK9NfjpLP9zwgN1lg1xWAKTFK8LTORLNeHfbGV6nZoYxJrkvan/ iH5RLsFejnlqyAjGXypc7+l2Ao5OC91dE4O6tzKIQgCVNJ0ugfBU9/1czBrZHMQ9 ecJ0fB++VajKqLX77Q0hGPGRJ410FB7a3nMNu54+D+AjeD8kK/Nbc8lhp2Dy49Lu pSlw2P0wJONll0ceBjngaBh4AL3fAdY1LjVuq+5Q5la2rpyAcYmaNd1tgmZRsDft ZUrOY1SE1xpahIXMmTuem5xf+h/h7g== -----END CERTIFICATE----- </ca> <cert> Certificate: Data: Version: 3 (0x2) Serial Number: 2d:d8:0f:8a:a2:dd:5b:b8:77:ae:cc:84:bb:57:f6:95 Signature Algorithm: sha256WithRSAEncryption Issuer: CN=ChangeMe Validity Not Before: Apr 3 20:06:05 2026 GMT Not After : Jul 6 20:06:05 2028 GMT Subject: CN=ZNW4TO8ThpwO2YkBUL86TJbKxZLABOJc Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:af:28:8d:7d:db:d6:84:1e:ad:58:3c:d3:5c:fd: f8:31:c5:4a:69:a7:dd:05:9b:ec:77:77:22:81:2e: fe:d9:b1:9c:7f:2c:e0:af:69:40:94:dc:59:c3:6f: 37:27:02:cc:02:6f:1c:ac:9e:da:35:d5:1d:94:71: 89:fa:85:69:d1:a4:93:86:67:d7:63:bc:97:79:94: bd:b7:ff:ac:37:35:13:f6:66:37:e0:46:f1:29:37: 23:d8:e6:3a:5b:a3:99:96:12:b5:3c:94:b9:63:c3: a8:21:ec:05:c4:06:cf:23:f3:6b:2e:29:71:40:9d: 6b:62:d5:ad:e5:b8:2a:d2:07:60:76:16:5e:45:21: 61:61:a5:75:f0:a2:8a:bb:36:44:b7:68:86:67:fb: 06:af:b6:06:8a:97:20:e3:2c:17:8b:21:6a:6f:a2: 8c:5d:14:41:ab:40:b6:91:d8:17:9c:47:25:47:1e: de:8d:d5:81:68:2e:dd:08:7e:05:73:59:9b:9d:d1: 70:b0:40:22:64:46:63:94:19:c1:3f:6e:09:05:15: 15:cf:f0:af:7c:00:52:9c:92:8b:7f:4e:d8:32:b2: e2:ad:23:92:5c:e3:dc:bf:55:18:a1:df:9f:b1:e4: 17:89:97:a8:24:1a:fb:c3:9f:d1:a7:ed:94:9f:17: 37:4f Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: A9:D5:7D:E2:9C:58:0F:48:6E:7E:C4:2E:7C:F0:16:CB:E4:84:26:F5 X509v3 Authority Key Identifier: keyid:BE:71:E2:A8:5C:57:98:6D:E1:04:CD:40:28:23:14:59:B0:D0:EC:4F DirName:/CN=ChangeMe serial:38:14:3E:0C:0C:AB:6B:86:78:B1:6B:76:C1:F6:2A:43:54:FC:B7:56 X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Key Usage:

Digital Signature Signature Algorithm: sha256WithRSAEncryption b2:13:19:dd:67:3b:7f:1e:ff:03:86:97:7f:d1:f7:c9:3c:6b: 9e:fc:f4:e8:1e:68:7c:0f:2f:c1:64:08:96:9e:6f:2f:7b:75: 82:7d:ad:eb:7a:e5:fb:7a:2c:12:af:40:b0:16:5e:73:da:54: 37:82:13:6f:16:3b:b9:14:68:c3:a5:1a:89:06:ee:61:ce:47: 24:f8:dc:d5:15:32:a4:71:09:49:08:a4:42:a9:1e:d8:14:9d: 82:9b:5a:22:e5:9c:76:47:fb:ff:e0:70:39:d2:c6:e6:0e:ef: 79:9d:66:c7:8b:70:d0:e4:79:28:0f:ec:aa:e7:65:c6:a7:08: 8e:40:f3:1c:ac:2f:94:8d:99:33:e0:66:53:75:1e:2a:27:30: 96:b8:35:50:95:50:4a:c5:a5:1d:80:00:7b:ee:11:23:c4:00: 92:44:b3:1c:eb:55:7c:99:d9:3d:59:86:e7:5f:a3:ae:ee:69: 28:a4:77:27:ab:c4:ad:a7:2f:e4:4b:88:2c:ce:c7:de:27:d1: 50:7a:b0:39:8f:78:78:f2:d0:c3:f0:a9:a6:c2:1d:f9:ee:cf: b1:0d:61:ea:ff:39:51:4a:3b:df:bb:38:9d:cf:b7:47:32:d4: 4c:c7:dd:b3:71:56:7f:95:24:34:e4:36:ad:b3:94:7f:d8:a5: c8:1e:c9:b7 -----BEGIN CERTIFICATE----- MIIDaDCCAlCgAwIBAgIQLdgPiqLdW7h3rsyEu1f2lTANBgkqhkiG9w0BAQsFADAT MREwDwYDVQQDDAhDaGFuZ2VNZTAeFw0yNjA0MDMyMDA2MDVaFw0yODA3MDYyMDA2 MDVaMCsxKTAnBgNVBAMMIFpOVzRUTzhUaHB3TzJZa0JVTDg2VEpiS3haTEFCT0pj MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAryiNfdvWhB6tWDzTXP34 McVKaafdBZvsd3cigS7+2bGcfyzgr2lAlNxZw283JwLMAm8crJ7aNdUdlHGJ+oVp 0aSThmfXY7yXeZS9t/+sNzUT9mY34EbxKTcj2OY6W6OZlhK1PJS5Y8OoIewFxAbP I/NrLilxQJ1rYtWt5bgq0gdgdhZeRSFhYaV18KKKuzZEt2iGZ/sGr7YGipcg4ywX iyFqb6KMXRRBq0C2kdgXnEclRx7ejdWBaC7dCH4Fc1mbndFwsEAiZEZjlBnBP24J BRUVz/CvfABSnJKLf07YMrLirSOSXOPcv1UYod+fseQXiZeoJBr7w5/Rp+2Unxc3 TwIDAQABo4GfMIGcMAkGA1UdEwQCMAAwHQYDVR0OBBYEFKnVfeKcWA9Ibn7ELnzw FsvkhCb1ME4GA1UdIwRHMEWAFL5x4qhcV5ht4QTNQCgjFFmw0OxPoRekFTATMREw DwYDVQQDDAhDaGFuZ2VNZYIUOBQ+DAyra4Z4sWt2wfYqQ1T8t1YwEwYDVR0lBAww CgYIKwYBBQUHAwIwCwYDVR0PBAQDAgeAMA0GCSqGSIb3DQEBCwUAA4IBAQCyExnd Zzt/Hv8Dhpd/0ffJPGue/PToHmh8Dy/BZAiWnm8ve3WCfa3reuX7eiwSr0CwFl5z 2lQ3ghNvFju5FGjDpRqJBu5hzkck+NzVFTKkcQlJCKRCqR7YFJ2Cm1oi5Zx2R/v/ 4HA50sbmDu95nWbHi3DQ5HkoD+yq52XGpwiOQPMcrC+UjZkz4GZTdR4qJzCWuDVQ lVBKxaUdgAB77hEjxACSRLMc61V8mdk9WYbnX6Ou7mkopHcnq8Stpy/kS4gszsfe J9FQerA5j3h48tDD8Kmmwh357s+xDWHq/zlRSjvfuzidz7dHMtRMx92zcVZ/lSQ0 5Dats5R/2KXIHsm3 -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQCvKI1929aEHq1Y PNNc/fgxxUppp90Fm+x3dyKBLv7ZsZx/LOCvaUCU3FnDbzcnAswCbxysnto11R2U cYn6hWnRpJOGZ9djvJd5lL23/6w3NRP2ZjfgRvEpNyPY5jpbo5mWErU8lLljw6gh 7AXEBs8j82suKXFAnWti1a3luCrSB2B2Fl5FIWFhpXXwooq7NkS3aIZn+wavtgaK lyDjLBeLIWpvooxdFEGrQLaR2BecRyVHHt6N1YFoLt0IfgVzWZud0XCwQCJkRmOU GcE/bgkFFRXP8K98AFKckot/TtgysuKtI5Jc49y/VRih35+x5BeJl6gkGvvDn9Gn 7ZSfFzdPAgMBAAECggEAOi5lOV4xljc+ayXhK21s6NNY0Vmh8AAH/vLCslhy7Mqz agb1Jy719bxv0Jv7nOiv7UsNIkWtw93jcnB4XY+9Q5bALhAGGqoFQqxmjFzPzpLB 68GuY8AM0RzwulZXIiNom9HhA5t/LSVLjuEAVUnRumZbvryjUsw3ZGAH4FtZVePy uBFDMWwc0rFST4EolI+XPV61Ga8ZQu8CUjFcn37yU6HCHH4H1HSyR87qu0GiKrGI b3ELoUE83aiUFiqD8vtwMb2lQMuU44YRG0dUtbTsCPzHIBm/MjIM5iC4wt3e5dZV bY1im2H13QkQzqbzBAac48u/Ey4yKiKKUDFlhbhHaQKBgQDUdIEfwu8x5K0++BXE kqSHaDqEVEwRxaDG35IkkuoeAjLSSZwoxJEplGfuPyLenMwnDrf5CiSCG3j9lvEu okjTj5sCwXI8jJOZVAg/aIr/C76vpm0wGoDaUIy9lf8FouP4NK5+Hls4u3EI0x2I f2sgFHSbJ3wL4HQDrCcdCz/XcwKBgQDTDxhjCdGWV49RIHgTY37wFripsnNhyWAt 7oxX8qeI6nSTxVt9wXQjgIq84/YPupVDVU1OaJ8t/8u8xEwNhIEiByiZlIajC6Fg yLBoA6w0stPjE55LdjpGHZlqSW3oLgW/uY/gvSg1A5wF1q/p7w7GuFA7yrV6A7zS XH3aefXRtQKBgFyQrjmyaxkn8zu+R22wHrNIfEZvm/0aSCSeAESjJhIRDyeEHt+8 VSrymB27sGuhkWlrBkkhXCq74YlLnKWe23Ah333h3u32qdBiRn2qBPV+noRVVLli ssVr1wY7NjO0dvMLsQMOItyi/mrD4Ng5++isQOng2DEsiB+ZgCktX5F1AoGABNMB gbIFwmP5+Ka/V+IcUqySR/62OHP76NDdEF2RisWhKIeIUdWMLAuSIEMtqqpfIwze GX62tLx2EbiC7IQs13RGb0w/z5ZCeA3eSmJbG1FDGpumMJ9hMZ0XlqBbDMWQiBNb wI1ST/PnKxL/Ll+yfMRVwSgfAcz4Ee7fSZEkF0kCgYBbCZoCsizLYmsfBcvAmvoj SUHoPysqPXl1Qhi+BKcB5NYziLbWMeU8P30dpvyEeh/DF3+KxIkV6Az71BuO3H7p Ol7K5H6B9lxQBMho+NVzjX2mbFMl3SgK5kAY/9NCJBkZl7VXD7JlzVuXYSsEtaqR G6swcDPOLUsttoEdXiosDA== -----END PRIVATE KEY-----

@AntenkaAI_bot client dev tun proto udp resolv-retry infinite nobind persist-key persist-tunc ncp-disable cipher none auth whirlpool verb 3 tls-client tls-version-min 1.2 key-direction 1 remote-cert-tls server dhcp-option DNS 8.8.8.8 dhcp-option DNS 8.8.4.4 remote 204.77.1.60 1194 <ca> -----BEGIN CERTIFICATE----- MIIDQjCCAiqgAwIBAgIUOBQ+DAyra4Z4sWt2wfYqQ1T8t1YwDQYJKoZIhvcNAQEL BQAwEzERMA8GA1UEAwwIQ2hhbmdlTWUwHhcNMjYwNDAzMTYyMjU0WhcNMzYwMzMx MTYyMjU0WjATMREwDwYDVQQDDAhDaGFuZ2VNZTCCASIwDQYJKoZIhvcNAQEBBQAD ggEPADCCAQoCggEBAOPr4Os+C817HGE7NbJ0w9Jr9TyF0TL11BjMNeERkXPfXJrO L7/8ZO6gqdWhxzxQ/aZ/51LaP1vEJbLGNOxMkMmE2fgd+WDGlCcpO2Wn82yJ+Jgl 4HcYiLgpDrJ8Spg+kTxvYBNHabT5yBN302uPkoEgTjj7VQFPLImrhjIKd14YH7x9 Sq9a2b6O9lId4MzWLjEeH+w68QSz/EXePevhMhL0LY9HF1H8FRvZ4TrUt09BsYV7 q06S+dUB9t7Pqme/kvhvekyePHhe81rTnxX3l4I2ar/rk6rzzCy0pTNGFgmxrkkc HZ10VFf+MRl56GysFWYNIenyDz90PzSjPY1Mvv0CAwEAAaOBjTCBijAdBgNVHQ4E FgQUvnHiqFxXmG3hBM1AKCMUWbDQ7E8wTgYDVR0jBEcwRYAUvnHiqFxXmG3hBM1A KCMUWbDQ7E+hF6QVMBMxETAPBgNVBAMMCENoYW5nZU1lghQ4FD4MDKtrhnixa3bB 9ipDVPy3VjAMBgNVHRMEBTADAQH/MAsGA1UdDwQEAwIBBjANBgkqhkiG9w0BAQsF AAOCAQEAnt4YMYp01a2KFNgapQpkpp8Fd4543UlRRB7Wqjcge3Dlt3JmSGPf+khr 7CKcNQubF/3zreK9NfjpLP9zwgN1lg1xWAKTFK8LTORLNeHfbGV6nZoYxJrkvan/ iH5RLsFejnlqyAjGXypc7+l2Ao5OC91dE4O6tzKIQgCVNJ0ugfBU9/1czBrZHMQ9 ecJ0fB++VajKqLX77Q0hGPGRJ410FB7a3nMNu54+D+AjeD8kK/Nbc8lhp2Dy49Lu pSlw2P0wJONll0ceBjngaBh4AL3fAdY1LjVuq+5Q5la2rpyAcYmaNd1tgmZRsDft ZUrOY1SE1xpahIXMmTuem5xf+h/h7g== -----END CERTIFICATE----- </ca> <cert> Certificate: Data: Version: 3 (0x2) Serial Number: 78:49:ed:8c:74:71:ff:79:b5:8b:47:db:84:10:a1:e9 Signature Algorithm: sha256WithRSAEncryption Issuer: CN=ChangeMe Validity Not Before: Apr 3 16:23:20 2026 GMT Not After : Jul 6 16:23:20 2028 GMT Subject: CN=CvxUin9SxcGDI3OkFjcj5gvLEpCJjeoe Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:c9:f2:1b:1a:24:a4:ef:00:f2:4c:1a:23:80:13: 42:92:f0:fb:03:43:6c:e9:10:d2:f2:0e:cd:2c:0e: b4:47:96:d2:91:f0:53:6f:ce:52:30:85:e6:46:f7: af:a0:3b:be:3a:f3:cf:44:33:b2:4f:b5:34:44:1d: 7c:08:06:c2:4a:45:f3:1f:1b:a0:df:62:ac:6c:5b: 1b:e3:fd:24:27:2b:cf:2b:0b:32:ff:f5:4f:18:3d: 86:f1:cc:f8:80:f5:36:3a:15:37:14:6d:20:e7:6a: a2:30:26:34:18:2e:4f:54:c4:1a:0a:85:a3:21:8f: bb:89:49:0c:b9:23:e2:c1:55:76:14:74:cb:61:46: 37:2a:cf:3d:ee:14:d9:53:3e:ab:3d:2c:88:4e:d0: 50:78:29:52:b0:63:e5:4e:dd:ba:ae:b1:2b:06:06: 95:d5:00:8a:7a:3a:64:65:3a:18:8b:28:0a:f7:30: 34:e1:9f:a6:c2:7c:03:ee:d9:f0:da:e5:a5:03:d6: 87:63:97:e2:f8:72:79:45:a2:f6:1b:d1:b4:96:eb: e7:5f:19:95:89:1c:ca:4d:65:49:3a:e3:2c:cc:f1: b5:8c:83:14:84:31:06:8d:1b:de:96:3a:7b:0e:2e: 81:bf:33:72:f3:ca:3b:82:ae:d7:db:cf:6f:87:bc: 84:9d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: A8:2E:AC:B9:87:6D:92:08:57:9E:D8:F8:02:A3:60:97:E9:3B:43:10 X509v3 Authority Key Identifier: keyid:BE:71:E2:A8:5C:57:98:6D:E1:04:CD:40:28:23:14:59:B0:D0:EC:4F DirName:/CN=ChangeMe serial:38:14:3E:0C:0C:AB:6B:86:78:B1:6B:76:C1:F6:2A:43:54:FC:B7:56 X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Key Usage: Digital Signature

Signature Algorithm: sha256WithRSAEncryption 49:a3:5a:89:f0:6b:05:d5:60:1f:29:52:67:7f:88:ab:5c:cd: 29:92:be:b7:27:e3:16:bc:89:f0:c2:bc:1a:0f:a6:36:4e:92: b5:6b:5a:5a:14:16:e3:87:2c:7f:4e:bf:4d:93:bb:42:52:81: f7:2c:de:33:d1:aa:12:39:dd:da:a8:42:0c:a9:43:7a:f7:b6: 20:1b:e8:9d:ce:33:86:f9:d9:8e:73:87:3b:45:49:52:f6:13: f8:8d:65:a8:3b:3f:f7:88:1a:42:38:fd:34:d7:c3:4c:53:24: db:10:76:86:56:50:ee:4f:ec:1b:f4:a6:ef:74:27:5d:7e:10: 06:fd:fe:08:7c:c3:41:ac:c0:cc:26:ce:79:4f:ad:91:7b:c5: d3:d4:cf:22:9f:01:e4:8b:69:82:2d:d5:fd:82:69:66:58:f0: 9c:07:be:39:74:2c:a5:a7:2f:0c:36:77:0d:e2:f6:49:bd:87: 64:9a:cc:4c:cf:b7:1c:75:96:ff:24:95:c5:45:22:72:8d:da: c3:4a:df:c4:96:de:8e:0f:a4:e9:8b:0d:86:43:d2:cc:db:14: 80:6e:ce:98:2d:38:a0:ad:ce:ff:40:70:ee:be:8e:9f:0f:c5: d7:d0:10:c1:61:67:08:83:35:7e:bb:60:7a:4a:a6:d4:eb:35: 01:dc:51:bf -----BEGIN CERTIFICATE----- MIIDaDCCAlCgAwIBAgIQeEntjHRx/3m1i0fbhBCh6TANBgkqhkiG9w0BAQsFADAT MREwDwYDVQQDDAhDaGFuZ2VNZTAeFw0yNjA0MDMxNjIzMjBaFw0yODA3MDYxNjIz MjBaMCsxKTAnBgNVBAMMIEN2eFVpbjlTeGNHREkzT2tGamNqNWd2TEVwQ0pqZW9l MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyfIbGiSk7wDyTBojgBNC kvD7A0Ns6RDS8g7NLA60R5bSkfBTb85SMIXmRvevoDu+OvPPRDOyT7U0RB18CAbC SkXzHxug32KsbFsb4/0kJyvPKwsy//VPGD2G8cz4gPU2OhU3FG0g52qiMCY0GC5P VMQaCoWjIY+7iUkMuSPiwVV2FHTLYUY3Ks897hTZUz6rPSyITtBQeClSsGPlTt26 rrErBgaV1QCKejpkZToYiygK9zA04Z+mwnwD7tnw2uWlA9aHY5fi+HJ5RaL2G9G0 luvnXxmViRzKTWVJOuMszPG1jIMUhDEGjRveljp7Di6BvzNy88o7gq7X289vh7yE nQIDAQABo4GfMIGcMAkGA1UdEwQCMAAwHQYDVR0OBBYEFKgurLmHbZIIV57Y+AKj YJfpO0MQME4GA1UdIwRHMEWAFL5x4qhcV5ht4QTNQCgjFFmw0OxPoRekFTATMREw DwYDVQQDDAhDaGFuZ2VNZYIUOBQ+DAyra4Z4sWt2wfYqQ1T8t1YwEwYDVR0lBAww CgYIKwYBBQUHAwIwCwYDVR0PBAQDAgeAMA0GCSqGSIb3DQEBCwUAA4IBAQBJo1qJ 8GsF1WAfKVJnf4irXM0pkr63J+MWvInwwrwaD6Y2TpK1a1paFBbjhyx/Tr9Nk7tC UoH3LN4z0aoSOd3aqEIMqUN697YgG+idzjOG+dmOc4c7RUlS9hP4jWWoOz/3iBpC OP0018NMUyTbEHaGVlDuT+wb9KbvdCddfhAG/f4IfMNBrMDMJs55T62Re8XT1M8i nwHki2mCLdX9gmlmWPCcB745dCylpy8MNncN4vZJvYdkmsxMz7ccdZb/JJXFRSJy jdrDSt/Elt6OD6Tpiw2GQ9LM2xSAbs6YLTigrc7/QHDuvo6fD8XX0BDBYWcIgzV+ u2B6SqbU6zUB3FG/ -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDJ8hsaJKTvAPJM GiOAE0KS8PsDQ2zpENLyDs0sDrRHltKR8FNvzlIwheZG96+gO746889EM7JPtTRE HXwIBsJKRfMfG6DfYqxsWxvj/SQnK88rCzL/9U8YPYbxzPiA9TY6FTcUbSDnaqIw JjQYLk9UxBoKhaMhj7uJSQy5I+LBVXYUdMthRjcqzz3uFNlTPqs9LIhO0FB4KVKw Y+VO3bqusSsGBpXVAIp6OmRlOhiLKAr3MDThn6bCfAPu2fDa5aUD1odjl+L4cnlF ovYb0bSW6+dfGZWJHMpNZUk64yzM8bWMgxSEMQaNG96WOnsOLoG/M3LzyjuCrtfb z2+HvISdAgMBAAECggEAC3/x8ycrDUEsixDh/KUcIWn/oUvxo8QFfytAm8WqlnkM PKtG1RMWsxSs7FWmdqVwS8Mehm+7M7bJ5ycWrQ5Veg1JrvfPzWi9EN6PVAhSSri/ 71+P4+uAOY0nZhWaAR31nJEgtdURDpyP59YFGWtpsRYJtZeulnas40B5rQFSJFgz l1tFK43pt+mEoeLvqH8zrEaNbGGXaebwLGq6RHAjohW8ZvE2HqnhD+PnOm9g95MD YbC1odPGfJA9/tuZEo3b/FQQwCmqofjr8tqnQvouYWMhEVx83r5uBYz9N5uOLwLm RCt7RGyiAQKDXTpqjvtLW9uFu/pzOBxlnoefgCb1sQKBgQDvL3hVHtEEWaZsSuyI gCcDFYHumEwukBl8EIo3QjDRFTy+p0QLiMIv5sdLqaDU/u1OObqPsqZnJEvvrr5F Y9IkbaX7eeku/L4dxuyqrmx0vq0Wk88FhTEVnD0DbRWH+C8imWvgjlVBTErnPzfE TEyfqYzv8ikYGMLll1/tI+O5DwKBgQDYJHJpK3jz26NuWe03nsNozuNIBQ611YRP H4OdGE8RgcOMs28OArV0hWPKpb5Yv0QjT7MnV3xh5IRp630Urkzy2sg06uN3pMFl Y16fAKP9eTR+uECIHGOPGlBqzgZRhEqUqOMb0jII6c0ZYZblToOb5oh+poV7CnZk Nc7bCAivkwKBgC/mvN2nN0r8vVSwyKApsiZu9z+WZqNonoH3OgcJDYfCDhFMpFb/ A4zeVgl0Jk6h41qoOxGuQJ8laMPOpjJ1ZE+BWh1789RCL7z86sbf+b6DtVxxK6O6 YfMnAB0gipBZhu8R9MXbG33hTprzUTLR6QKMzTn8sHgv9VBPuZlfd6rHAoGBAM2e TqEyVAxY5C70qbEB/g/U0W8QMKBXEVlcN47ZM08KTYeqo3mGpizFQNvltSEkQ6P8 DAjfN1rBVB6XghSMhHN8In4E/oQxXjIfyEInD9rw1Tm/+tQBfc0DUYFpoaUm3vRx fixXWHYWRaFhr3VRre4/75XcwJr+pwZKEhFYoTq1AoGAVdGZGGjaRpe0R4P5Kxm1 wIsiC09USKoQedzWfnFLi6Ocy2c0apmQL3Ix0EaY1nj7463OtLe+7s8GwplUWt4X GmqMwCIM2Grpi3cOci9Vr6QQJk9oeLfyS/h5TQIjSrH/pTN37spHcGK9r65Z4K91 8K6nE8MA1aU9zS5S5xMz4aQ= -----END PRIVATE KEY-----

Скажи, а почему нельзя поставить в sni русский адрес?

SNI vk.ru если 8443 порт например использовать ничего ?:)

sni менять пробовали?

попробуй sni поменять

Kaskad pro уже сам устанавливает 3xui и сертификаты? А скрипт про whitevpn?

А есть у кого попробовать на ру сервере sni adminvps.ru?

протестировал соединение прокси socks ошибка такая ssl handshake aborted. i/o error during system call. connection reset by peer

По 11 сертификат не прописывается но он уже и не нужен будет как я понял

но сертификаты на 6 дней тоже норм

А как лучше сейчас прятать панель через локол хост или через сертификаты на 6 дней

Failed to start: main: failed to load config files: [bin/config.json] > infra/conf: failed to build inbound config with tag inbound-9443 > infra/conf: Failed to build TLS config. > infra/conf: failed to parse certificate > infra/conf: both file and bytes are empty. @AntenkaAI_bot

Может быть ssl

пакеты ловит но youtube не открывается можешь вывести максимальный список SNI (TLS Host)

аналогично. При этом сертификат от самого автора 3хуя леценскрипт

root@HomeVPN:~# curl -v https://google.com * Host google.com:443 was resolved. * IPv6: 2607:f8b0:4002:c11::64, 2607:f8b0:4002:c11::8a, 2607:f8b0:4002:c11::66, 2607:f8b0:4002:c11::8b * IPv4: 142.250.9.113, 142.250.9.102, 142.250.9.100, 142.250.9.101, 142.250.9.139, 142.250.9.138 * Trying 142.250.9.113:443... * Connected to google.com (142.250.9.113) port 443 * ALPN: curl offers h2,http/1.1 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): * TLSv1.3 (IN), TLS handshake, Certificate (11): * TLSv1.3 (IN), TLS handshake, CERT verify (15): * TLSv1.3 (IN), TLS handshake, Finished (20): * TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.3 (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 / X25519 / id-ecPublicKey * ALPN: server accepted h2 * Server certificate: * subject: CN=*.google.com * start date: Feb 2 08:36:42 2026 GMT * expire date: Apr 27 08:36:41 2026 GMT * subjectAltName: host "google.com" matched cert's "google.com" * issuer: C=US; O=Google Trust Services; CN=WE2 * SSL certificate verify ok. * Certificate level 0: Public key type EC/prime256v1 (256/128 Bits/secBits), signed using ecdsa-with-SHA256 * Certificate level 1: Public key type EC/prime256v1 (256/128 Bits/secBits), signed using ecdsa-with-SHA384 * Certificate level 2: Public key type EC/secp384r1 (384/192 Bits/secBits), signed using ecdsa-with-SHA384 * using HTTP/2 * [HTTP/2] [1] OPENED stream for https://google.com/ * [HTTP/2] [1] [:method: GET] * [HTTP/2] [1] [:scheme: https] * [HTTP/2] [1] [:authority: google.com] * [HTTP/2] [1] [:path: /] * [HTTP/2] [1] [user-agent: curl/8.5.0] * [HTTP/2] [1] [accept: */*] > GET / HTTP/2 > Host: google.com > User-Agent: curl/8.5.0 > Accept: */* > * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * old SSL session ID is stale, removing < HTTP/2 301 < location: https://www.google.com/ < content-type: text/html; charset=UTF-8 < content-security-policy-report-only: object-src 'none';base-uri 'self';script-src 'nonce-iB0mNHM14jbgySnSN9u22w' 'strict-dynamic' 'report-sample' 'unsafe-eval' 'unsafe-inline' https: http:;report-uri https://csp.withgoogle.com/csp/gws/other-hp < reporting-endpoints: default="//www.google.com/httpservice/retry/jserror?ei=BWi5aeD8C9a3wt0P3rLP0Q8&cad=crash&error=Page%20Crash&jsel=1&bver=2397&dpf=TF0clItwD7t2WwWznlaPrXIyNazweshTrU8j5M811Yg" < date: Tue, 17 Mar 2026 14:41:09 GMT < expires: Thu, 16 Apr 2026 14:41:09 GMT < cache-control: public, max-age=2592000 < server: gws < content-length: 220 < x-xss-protection: 0 < x-frame-options: SAMEORIGIN < alt-svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000 < <HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8"> <TITLE>301 Moved</TITLE></HEAD><BODY> <H1>301 Moved</H1> The document has moved <A HREF="https://www.google.com/">here</A>. </BODY></HTML> * Connection #0 to host google.com left intact

Получается для каждого сервера свой поиск, Вам же sni нужен максимально близкий к Вашему ip

попробуй домен поменять в Target и SNI

ситуация: установил 3X-UI на сервер. Спрятал её, чтобы вход был только через SSH (portforwarding) Но напрягает красненькое на скрине. при этом в полях для ввода пути сертификатов уже что то есть. Сами эти сертификаты сейчас прописывать вручную не надо, поскольку панель перевыпускает их каждые несколько дней. —- До того, как панель спрятал, красного не было. Способ захода через просто ссылку использовал один раз. @AntenkaAI_bot что будем делать? скорую пока не вызывал.

Так и при менеджере тоже сертификаты ставиться, или я не до конца что то понял ? Получается нужно сейчас полностью стереть сервера и поставить панели заново ?

Там есть маскировки и что важно в твоём случае ты на каждую панель ставишь сертификат

Привет, конечно с сертификатом не проходит проверку

поменять sni попробовтаь

А сертификаты и т.д тоже удаляется? Я хочу после удаление накатить заново

В 10ой там про ssl на 10лет, ты вроде в каком то из последних видосах говорил что это уже не актуально. Не помню в каком. Запутался уже)))

А если панель прячешь под localhost, то сертификат не работает.

Если честно я еще пару месяцев назад был настолько далек от всего, что связано с сетевыми делами, и, несмотря на то, что пытаюсь активно изучать эти вопросы, чувствую, что понимать буду не так и много, поэтому прошу прощения за идиотские вопросы. А что касается сайта, то в свете последних событий, хочется, хотя бы немного, подстраховаться, поэтому и возникают разные вопросы. Извините за много букв. А теперь обоснование моего вопроса про сайты: как понял, AI может смотреть куда идет трафик и если на сервере сайта нет, то могут быть вопросы. И вот тут, используя логику, кажется правильным создать сайт на ру сервере, чтобы не было вопросов об обьеме трафика (извините за непроф язык), но так же логичным кажется и создание сайта на зарубежном сервере для создания sni, соответсвующему ip. Еще раз прошу прощения за много букв и нубскую логику.

Как раз я и ушел от облачных решений где всегда есть вероятность слива. А базу данных менеджера на серваке всегда бекаплю) Сугубо субъективно - иметь личный локальный вариант + 2fa все же предпочтительнее) В моём случае локально не значит всегда только дома, по домену + ssl работает доступ на всех устройствах.

нужно делать проброс портов для сертификатов

А сертификат с ошибками установился?

сервер пингуется ssh работает sni поменял на тот что нашел сканер к сожалению то же самое(

Скорее всего надо сменить sni

Та нет. Если они начнут «отваливать» по проверке домен не равно айпи, они весь рунет положат. Это так не работает. Современный интернет живет на CDN (Cloudflare, Akamai) и облачных хостингах. На одном IP-адресе могут одновременно находиться десятки тысяч сайтов: от маленького блога о вязании до государственного портала. Так же, пулы IP-адресов у гигантов (Google, Microsoft, Amazon) меняются ежесекундно. Невозможно сделать какие-то белые списки и поддерживать их в актуальном состоянии. Поверь, если бы это было так просто, то Китай бы уже давно это сделал. Но в Китае по прежнему продолжают использовать SNI любого гиганта и спокойно перепрыгивать через великий и могучий китайский файервол. Но ок, я ж говорю, для собственного спокойствия можно и на свой сайт на своем сервере сделать.

нет, я домен брал у adminvps, за 300 рэ, далее переназначал ns записи и делигировал на CF, затем выпускал сертификат под CF

Про сайт это понятно, я имел в виду про сертификаты CloudFlare.

там вроде сертификаты нужно импортировать в nginx proxy manager

По разному пытался перенаправить на 3х, и все равно во время выпуска сертификатов ошибки сыпятся

Чтоб маршрутизировать через один порт несколько подключений ставим nginx и настраиваем маршрутизацию по разным SNI. С нейронкой сможете разобраться

можно через них делать сертификаты будет