You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
This commit was created on GitHub.com and signed with GitHub’s verified signature.
Исправления
DNS у устройств вне политики sing-box роутера — устройства, не привязанные к политике sing-box роутера, теряли DNS и весь интернет. Sing-box перехватывал DNS-запросы ко всем LAN-IP роутера у всех клиентов, но молча отбрасывал пакеты от non-policy. Теперь такой трафик идёт штатно через резолвер NDMS — интернет восстанавливается без перенастройки DNS на клиенте.
Перехват DNS в sing-box — расширено условие срабатывания hijack-dns: помимо опознанного через sniff DNS теперь ловится любой UDP/TCP на порт 53. Корректная обработка даже когда sniff не успел опознать (большой пакет, нестандартный payload). Заодно sing-box перестаёт лишний раз биндиться на upstream-DNS-IP.
UDP source-IP в Clash API — для UDP-трафика (торренты, QUIC, гейминг) через sing-box роутер больше не отображается WAN-IP роутера, виден реальный LAN-IP клиента. Первый пакет flow раньше успевал проскочить мимо TPROXY (наша iptables-правка стояла ДО NDMS-цепочек), получал MASQUERADE, conntrack помечал flow как NAT'нутый, и SW fast_nat кешировал SNAT — все последующие пакеты приходили в sing-box с WAN-source. Торренты ломались: handshake шёл через тоннель, retries через WAN — peer-софт конфликтовал.
Снос UI-workaround «UDP (post-NAT)» в таблице соединений Clash — больше не нужен после реального фикса source-IP.
NDMS bootstrap устойчив к сбоям RCI — старт завершается успешно даже если per-interface RCI fetch падает (POST вместо GET на хук). Раньше падение одного запроса блокировало бутстрап.
TLS/Reality security badges — индикаторы security-параметров на карточке подписки.
Профилирование — вкладка pprof для backend-диагностики.
Изменения работы
Подписки sing-box: traffic aggregation — на странице подписок отображается реальный суммарный трафик (раньше всегда 0 B). Аггрегатор кредитит трафик по всем тегам chain'а (selector / subscription group / terminal outbound), не только финальному.
Расширенное runtime-логирование sing-box и подписок — добавлены логи start/stop/restart sing-box, add/update/remove tunnels, refresh подписки, выбор активного участника, manual members, scheduler-событий. Тихие reconcile-сценарии остаются на Debug.
AWG: amnezia premium — добавлена поддержка premium-сборки. Неподдерживаемая free-сборка теперь отклоняется явно.
Settings resilence + DDoS защита — устойчивость к шумным/массовым запросам.