Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

vmess/vless+ws+tls节点必须选择允许不安全才能连通 #18

Open
amigo-via-circuito opened this issue Feb 6, 2022 · 25 comments
Open

vmess/vless+ws+tls节点必须选择允许不安全才能连通 #18

amigo-via-circuito opened this issue Feb 6, 2022 · 25 comments

Comments

@amigo-via-circuito
Copy link

服务端都是启用了tls安全传输协议的,用V2rayN等客户端连接时也都是强制证书认证没有问题的(允许不安全 选择否)
但路由器用的4.35.6版本节点设置里必须选允许不安全才能连网
想问下这是什么原因呢?会不会影响安全性啊
@cary-sas
Copy link
Owner

cary-sas commented Feb 7, 2022

是服务端证书的原因,不要用LE 证书了,换ZeroSSL证书重新搭载

@amigo-via-circuito
Copy link
Author

ZeroSSL证书这个是否有搭建教程呢
我现在服务端用的是一键安装脚本搭的,能换到ZeroSSL证书吗

@cary-sas
Copy link
Owner

cary-sas commented Feb 7, 2022

https://github.com/cary-sas/across/tree/master/xray

@billysingo
Copy link

另外用ZeroSSL证书的时候注意一下这个XTLS/Xray-core#562
在我的AC68U上如果服务端是ZeroSSL的ECC证书也会有相同的问题。RSA证书没问题。

@cary-sas
Copy link
Owner

cary-sas commented Feb 8, 2022

我搭载脚本更新好了,但不确定这样是不是就是申请的RSA证书

@iluhcm
Copy link

iluhcm commented Feb 8, 2022

@cary-sas 我也遇到这个问题了,但是服务器不是我搭的,没法更换SSL证书。请问降级到哪个版本的ss可以使用?

@cary-sas
Copy link
Owner

cary-sas commented Feb 8, 2022

你如果用vless 的话只能勾选 "允许不安全连接"

@cary-sas
Copy link
Owner

cary-sas commented Feb 9, 2022

另外用ZeroSSL证书的时候注意一下这个XTLS/Xray-core#562 在我的AC68U上如果服务端是ZeroSSL的ECC证书也会有相同的问题。RSA证书没问题。

解决了一个困惑我很久的问题。没想到ECC的证书会让CPU一直爆表。

@iluhcm
Copy link

iluhcm commented Feb 9, 2022

好的,目前用的是Trojan协议。如果是这样的话,通过订阅,没法做负载均衡了。。

@cary-sas
Copy link
Owner

cary-sas commented Feb 9, 2022

负载均衡一直只限于 ss ssr, trojan 目前不能实现(别的版本的也没实现)

@billysingo
Copy link

另外用ZeroSSL证书的时候注意一下这个XTLS/Xray-core#562 在我的AC68U上如果服务端是ZeroSSL的ECC证书也会有相同的问题。RSA证书没问题。

解决了一个困惑我很久的问题。没想到ECC的证书会让CPU一直爆表。

我当时也是很困惑。用LE的ECC就没这个问题。不清楚具体原因。

@amigo-via-circuito amigo-via-circuito mentioned this issue Feb 12, 2022
Closed
@cary-sas
Copy link
Owner

你试试这个脚本一键搭载,也是多合一的
bash <(curl -s https://raw.githubusercontent.com/cary-sas/across/master/xray/xray_whatever_uuid.sh) my.domain.com

@cary-sas cary-sas mentioned this issue Mar 1, 2022
Closed
@cary-sas
Copy link
Owner

cary-sas commented Mar 3, 2022

The issue is completely solved after I changed the server certificate to ZeroSSL RSA, and also the performace of the router is improved. Thank you!

@cary-sas
Copy link
Owner

ZeroSSL证书这个是否有搭建教程呢 我现在服务端用的是一键安装脚本搭的,能换到ZeroSSL证书吗
我改了一下那个八合一的脚本,你试试

Repository owner deleted a comment from kmban123 Apr 6, 2022
@zhuanshicong
Copy link

用fullchain证书就可以啦

@zhuanshicong
Copy link

zhuanshicong commented Apr 16, 2022
edited
Loading

这个是因为Let's Encrypt颁发的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦

@kmban123
Copy link

kmban123 commented Apr 16, 2022 via email

@kmban123
Copy link

kmban123 commented Apr 16, 2022 via email

@zhuanshicong
Copy link

正常来说你ADSL不是固定IP的 我更怀疑是你的运营商作怪 你可以试一下来个国内的云服务器 然后试下用那个来做中继

@kmban123
Copy link

kmban123 commented Apr 16, 2022 via email

@cary-sas
Copy link
Owner

这个是因为Let's Encrypt颁发的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦

具体应该怎么操作,可以发我一个参考链接吗?我这块不是很懂

@cary-sas
Copy link
Owner

正常时候连vmess可以的 我是 wsbtls 加伪装域名加 cloudflare的 cdn。但是gfw检测到我在连接国外ip就封了。是不是gfw检测到我在和cloudflare通讯,就暂停我连接外网了??

---原始邮件--- 发件人: @.> 发送时间: 2022年4月16日(周六) 晚上9:14 收件人: @.>; 抄送: @.@.>; 主题: Re: [cary-sas/v2ray_bin] vmess/vless+ws+tls节点必须选择允许不安全才能连通 (Issue #18) 这个是因为Let's Encrypt的办法的证书的根证书在旧固件是没有的 所以路由就不信任这个证书 你用全链条也就是fullchain证书做公钥就可以啦 — Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***>
你这个问题和本插件无关,建议放在Discuss 版块里面讨论。

@cary-sas cary-sas mentioned this issue Jun 24, 2022
Closed
@TonyJeans
Copy link

这个问题我问过VPS的客服,他们说大概是路由器的系统根证书不是最新的。https://openwrt.org/packages/pkgdata/ca-certificates

@d808b
Copy link

d808b commented Nov 16, 2023

是服务端证书的原因,不要用LE 证书了,换ZeroSSL证书重新搭载

谢谢!OP MT6000 Passwall2一直连接失败!换ZeroSSL证书后连接正常!

@cary-sas
Copy link
Owner

cary-sas commented Dec 18, 2023
edited
Loading

这个问题我问过VPS的客服,他们说大概是路由器的系统根证书不是最新的。https://openwrt.org/packages/pkgdata/ca-certificates

路由器是客户端,根本原因是设备老了,不被LE 证书支持了(很多网上的一键脚本跑出来的是LE 证书),服务端换 ZeroSSL 或者fullchain 的就行

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
8 participants
@iluhcm @d808b @zhuanshicong @billysingo @TonyJeans @amigo-via-circuito @kmban123 @cary-sas