求助：vless+tcp+tls配置无法启动xray

[clueglue513]

想尝试vless+tcp+tls的搭配，但是无法启动；

始终不知道问题出在哪里，请求大佬给我指出问题

{
      "log": {
            "loglevel": "warning",
            "access": "/var/log/xray/access.log",
            "error": "/var/log/xray/error.log"
      },
      "inbounds": [
            {
                  "port": 443,
                  "listen": "0.0.0.0",
                  "protocol": "vless",
                  "settings": {
                        "clients": [
                              {
                                    "id": "7f08e549-c12d-43c4-b461-12a2942acaa8",
                                    "flow": "xtls-rprx-vision"
                              }
                        ],
                        "decryption": "none"
                  },
                  "streamSettings": {
                        "network": "raw",
                        "security": "tls",
                        "tlsSettings":{
                              "rejectUnknownSni": true,
                              "certificates": [
                                    {
                                          "ocspStapling": 3600,
                                          "certificateFile": "/root/cert/server.cert",
                                          "keyFile": "/root/cert/server.key"
                                    }
                              ],
                              "minVersion": "1.2",
                              "maxVersion": "1.3",
                              "cipherSuites": "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256:TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256" 
                        }
                  },
                  "sniffing": {
                    "enabled": true,
                    "destOverride": [
                      "tls"
                    ]
                  }
            }
      ],
      "outbounds": [
            {
                  "tag": "direct",
                  "protocol": "freedom",
                  "settings": {
                        "domainStrategy": "UseIPv4v6"
                  }
            },
            {
                  "tag": "block",
                  "protocol": "blackhole"
            }
      ],
      "routing": {
            "domainStrategy": "IPIfNonMatch",
            "rules": [
                  {
                        "type": "field",
                        "ip": ["geoip:private"],
                        "outboundTag": "direct"
                  },
                  {
                        "type": "field",
                        "domain": ["geosite:google"],
                        "outboundTag": "direct"
                  },
                  {
                        "type": "field",
                        "domain": ["geosite:microsoft"],
                        "outboundTag": "direct"
                  },
                  {
                        "type": "field",
                        "domain": ["geosite:cn"],
                        "outboundTag": "block"
                  },
                  {
                        "type": "field",
                        "ip": ["geoip:cn"],
                        "outboundTag": "block"
                  },
                  {
                        "network": "udp,tcp",
                        "outboundTag": "direct"
                  }
            ]
      }
}

[flowerinsnowdh]

配置有些瑕疵，但不应该直接无法启动

不打算贴出启动时的控制台错误信息吗？

[clueglue513]

佬我重装xray就启动成功了，谢谢你啦，我在跟着文档学，佬能不能给我讲讲这个配置的瑕疵呀？

[flowerinsnowdh]

1. 65:25: 对于节点来说，geoip:private 应当被 block，而非 direct
2. 88:25: "network": "udp,tcp" 会匹配所有流量结果，包括未被解析的域名入站流量，因此 IPIfNonMatch 不生效，可以用 "ip": ["0.0.0.0/0", "::/0"] 代替
3. 没有回落或分流（伪装）的 VLESS+TLS 入站容易被主动探测

其他挺好的，非常规范

[clueglue513]

3. 没有回落或分流（伪装）的 VLESS+TLS 入站容易被主动探测

如果我不拿这个节点直接过墙，而是通过一个前置节点连接这个节点落地，这样用的话也会被自动探测吗？

[flowerinsnowdh]

3. 没有回落或分流（伪装）的 VLESS+TLS 入站容易被主动探测

如果我不拿这个节点直接过墙，而是通过一个前置节点连接这个节点落地，这样用的话也会被自动探测吗？

谁知道呢...但是主动探测确实技术上可行，意味着根据信息安全的木桶原则，它已经不是一个安全的模型了，这个节点如果被探测到 VLESS 协议，有可能会被列入重点监测对象，因为它看起来就像一个中转节点（即使 Xray 的应用面很广，不止用来过墙，但它依然是敏感之物）