for6to9

не знаю откуда у вас такая информация, все прекрасно поддерживает ECS в cloudflare ./doggo www.themoviedb.org @1.1.1.1 --gp-from=Russia LOCATION NAME TYPE CLASS TTL ADDRESS NAMESERVER Moscow, RU, AS, Baxet (AS49392) www.themoviedb.org. A IN 11s 127.0.0.1 1.1.1.1 ./doggo www.themoviedb.org @tls://1.1.1.1 --gp-from=Russia LOCATION NAME TYPE CLASS TTL ADDRESS NAMESERVER Moscow, RU, AS, Yandex.Cloud (AS200350) www.themoviedb.org. A IN 30s 127.0.0.1 1.1.1.1 а через dig выдает, наверно вычисляет по IP dig www.themoviedb.org @1.1.1.1 +subnet=77.88.8.8/24 +short 3.160.150.18 3.160.150.29 3.160.150.33 3.160.150.117 google dig www.themoviedb.org @8.8.8.8 +subnet=77.88.8.0/24 +short 127.0.0.1

не актуально уже подмену делать ECS, ... попал IP адрес с картинками www.themoviedb.org сейчас даже с подменой рвет картинки пополам, недогружает

А кто Вас палит по утечке dns, даже яндекс DNS не умеет работать с EDNS Client Subnet (ECS) Все IP игрушки в РФ жёстко прибиты к полу.

Прошу прощения, я давно не обновлял dns_resolver.json да действительно уходит в бесконечный цикл. Сейчас обновил, перенес параметры с рабочей машины, проверил. "timeoutMs": 2000 по умолчанию 4000, уменьшил, потому как на старте роутера или обрыве сети, получаешься бесконечная петля запросов, уменьшает времени ответа убивает не нужные запросы, уменьшая загрузку процессора "finalQuery": "false" что-бы переходил к следующему по списку DNS, можно исправить "enableParallelQuery" на true тогда выстрелят все DNS сразу разом. должно работать, у меня тоже cloudflare-dns.com отсох. ~ # cat /opt/var/log/xray/access.log |grep browserleak 2026/04/17 16:50:48.917294 DOHL//cloudflare-dns.com got answer: browserleaks.com. -> [] 1.005256477s <app/dns: record not found> 2026/04/17 16:50:48.986219 DOHL//8.8.4.4 got answer: browserleaks.com. -> [104.236.69.55] 71.701934ms если у Вас в системе используются другие подключения, как у меня Политика Кинетик требует для них заводить DNS записи, лучше заводить записи на DoH или DoT не знаю почему но из-за обычного(53) dns сильно подгружается сервис ndm в самом keentic Пишите если у вас будут ещё вопросы, постараюсь ответить. P.S. xray-core + ndm не user фрэндли грузят проц на старте системы, но я получаю легкий, быстрый DNS c DoH,DoT,DoQ подмену subnet подменять IP адрес доменам или задавать свой задавать DNS запросы одновременно на все DoH,DoT,DoQ сервера, получаю очень быстрый ответ

tproxy и ipset это разные вещи для tproxy у тебя что-то похожее должно быть iptables -t mangle -A "${TEST_CHAIN}" -p tcp -m socket -j TPROXY --on-port 12345 --tproxy-mark 0x1/0x1 2>/dev/null;

можешь использовать DNS resolver xray-core, отключив встроенный в роутер вот пример чистого DNS resolve на xray-core

проверял кто версию v26.3.27 у меня упало с ошибкой и такой

обновление 1.4.0. в настройках необходимо указать через какой интерфейс будет работать телеграмм бот "tgBot": { "TOKEN": "aaaaaa:AAdp9_PB-d7pm_5ido", "adminIds": [ 1111111, 2222222 ], "interface" : "opkgtun0" },

https://github.com/for6to9si/H-wave/blob/tun_mode/etc/hysteria/config.json#L44 добавь "ipv4Exclude": "0.0.0.0/0", замыкание уйдет, но как решить конфликт туннелей я не решил, либо делать костыл=переименовывать tun после создания, либо что-то в код hysteria2 добавлять менять create tun на что-то другое, можно подсмотреть как сделано в sing-box, но времени нету

и дело было не в hysteria 2, а то что добавление настроек hysteria в Xray-core убило у меня vless подключения в балансировщике, глючить начали..

sing-box версия v1.12.20 рекомендую, по лучше держит, опять же QUIC блокировка стоит у меня в настройках, ну как-то лучше работает { "protocol": [ "quic" ], "action": "reject" },

можешь c версии Xray-core v26.1.23 добавили Hysteria 2 вот пример синтаксиса https://github.com/XTLS/Xray-core/pull/5508 я пробовал, подключение хуже, чем с родной hysteria 2, возможно не убрал QUIC блокировку в xray, мне показалось портирование hystria в xray-core сыроватое, времени с разбираться нету.

обновил hysteria до версии 2.7.1 сменил порт UDP transparent proxy listening с 60019 на 60020 чтобы избежать конфликта с ndnproxy проверил: netstat -tulpn | grep :60019 udp 0 0 0.0.0.0:60019 0.0.0.0:* 588/ndnproxy

Проще в GUI какого нибудь приложения: nekoray, v2rayN заполнить в нем параметры и получить ctrl+c url ссылку в буфер обмена

URI Scheme Схема URI для Hysteria 2 предназначена для компактного представления необходимой информации для подключения к серверу Hysteria 2. Она включает различные параметры, такие как адрес сервера, данные аутентификации, тип и параметры обфускации, настройки TLS. Structure hysteria2://[auth@]hostname[:port]/?[key=value]&[key=value]... Components Scheme hysteria2 или hy2 Auth Учетные данные для аутентификации должны быть указаны в компоненте auth URI. По сути, это часть username в стандартном формате URI, поэтому она должна быть закодирована с использованием percent-encoding, если содержит специальные символы. Особый случай — когда сервер использует аутентификацию userpass. В этом случае компонент auth должен быть в формате username:password. Hostname Имя хоста и необязательный порт сервера. Если порт не указан, по умолчанию используется 443. Часть порта поддерживает формат «multi-port», упомянутый в разделе Port Hopping. Query parameters obfs: Тип используемой обфускации. В настоящее время поддерживается только salamander. obfs-password: Пароль, необходимый для указанного типа обфускации (если применимо). sni: Server Name Indication, используемый для TLS-соединений. insecure: Определяет, разрешены ли небезопасные TLS-соединения. Принимает логические значения «1» (true) и «0» (false). pinSHA256: Закрепленный (pinned) SHA-256 отпечаток сертификата сервера. Example hysteria2://letmein@example.com:123,5000-6000/?insecure=1&obfs=salamander&obfs-password=gawrgura&pinSHA256=deadbeef&sni=real.example.com Implementation notes URI намеренно разработан так, чтобы содержать только основную информацию, необходимую для подключения к серверу Hysteria 2. Хотя сторонние реализации при необходимости могут добавлять дополнительные параметры, они не должны предполагать, что другие реализации будут их поддерживать. Кроме того, параметры никогда не должны включать режимы клиента (HTTP, SOCKS5 и т. д.) или значения пропускной способности. Пользователи должны понимать, что эти параметры не предназначены для передачи и бездумного использования другими, поскольку они индивидуальны для каждого пользователя и должны настраиваться соответствующим образом.