# Обзор функции Fallback
При использовании Xray вы наверняка много раз слышали о функции **"fallback"**. В этой статье мы кратко рассмотрим логику этой функции и способы ее применения.
## 1. Что такое Fallback в простых словах
Если вы использовали [конфигурацию Xray](../level-0/ch07-xray-server.md#_7-4-配置xray) из нашего руководства и настроили [автоматическое перенаправление HTTP на HTTPS](../level-0/ch07-xray-server.md#_7-8-服务器优化之二-开启http自动跳转https), то у вас уже есть простой fallback на основе протокола `VLESS`:
```json
{
"inbounds": [
{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
// ... ...
],
"decryption": "none",
"fallbacks": [
{
"dest": 8080 // По умолчанию перенаправлять на прокси-сервер, защищенный от сканирования
}
]
},
"streamSettings": {
// ... ...
}
}
]
}
```
Как объяснить этот фрагмент конфигурации простыми словами?
1. **`Xray` прослушивает порт `[inbound port]` `443`**
Это означает, что `Xray` отвечает за прослушивание трафика `HTTPS` на порту `443`.
2. **`Xray` использует протокол `[inbound protocol]` `vless`**
Только трафик протокола `vless` будет обрабатываться `Xray` и перенаправляться на исходящие модули.
::: warning
**Примечание:** Легковесный протокол `VLESS` был разработан с целью добавления функции fallback в `xray`, `v2fly` и другие ядра, а также для уменьшения избыточных проверок/шифрования. (Конечно, на данный момент протокол `trojan` в `xray` также полностью поддерживает функцию fallback.)
:::
3. **Целевой порт fallback `[fallback dest]` - `8080`**
После того, как `Xray` получает входящий трафик на порт `443`, трафик протокола `vless` обрабатывается внутренне и перенаправляется на исходящий модуль. Другой трафик, не относящийся к протоколу `vless`, перенаправляется на порт `8080`.
::: warning
**Вопрос:** Использовать единственное или множественное число?
Ответ: Внимательные читатели, должно быть, заметили, что в файле конфигурации используются множественные числа `inbounds`, `fallbacks`, но почему я использую единственное число: `inbound`, `fallback`?
Потому что множественное число в файле конфигурации означает, что `xray` поддерживает N элементов одного уровня (т.е. N входящих, M резервных и т.д.), а в приведенном выше примере анализа используется только один, поэтому я использовал единственное число.
:::
4. **Трафик, перенаправляемый на порт `8080`, обрабатывается последующей программой**
В нашем примере порт `8080` обрабатывается `Nginx`, который находит и отображает страницу с маленькой пандой в соответствии с конфигурацией.
5. **В итоге, полный маршрут данных в нашем примере выглядит следующим образом:**
```mermaid
graph LR;
W(Внешний HTTP:80 запрос) --> N80(HTTP:80)
subgraph Nginx Внешнее прослушивание
N80 -.- N301(301 перенаправление) -.- N443(HTTPS:443)
end
N443 --> X(Xray прослушивает 443) .- X1{Проверка входящего трафика}
X1 --> |Трафик VLESS| X2(Внутренние правила Xray)
X2 --> O(Xray Outbounds Исходящий)
X1 ==> |Fallback не VLESS трафика| N8080(Nginx:8080)
N8080:::nginxclass ==> H(index.html)
H:::nginxclass
classDef nginxclass fill:#FFFFDE
```
## 2. Что такое Fallback (ЧТО, КАК `v1`)
Основываясь на приведенном выше примере, вы должны понять, что такое fallback (Что) и как он работает (Как), проще говоря, вот эти несколько элементов:
1. Fallback происходит после того, как трафик поступает на **порт прослушивания `Xray`**.
2. Fallback основывается на таких характеристиках трафика, как **тип протокола**.
3. Целью fallback является определенный **порт**.
4. Трафик, для которого выполнен fallback, обрабатывается программой, прослушивающей **порт fallback**.
## 3. Зачем нужен Fallback (ЗАЧЕМ `v1`)
Изначально он был предназначен для защиты от **активного зондирования** (Active Probing).
**Активное зондирование:** Проще говоря, это означает, что внешние злоумышленники отправляют определенные сетевые запросы и интерпретируют ответы сервера, чтобы определить, запущены ли на сервере такие прокси-инструменты, как `xray`, `v2fly`, `shadowsocks` и т.д. Если это удается точно определить, сервер может подвергнуться атаке или блокировке.
Интерпретировать ответы сервера можно потому, что полный запрос данных на самом деле состоит из множества этапов обмена данными, и на каждом этапе генерируются определенные характеристики программного обеспечения. Проще говоря:
- Ответ обычного сайта **обязательно будет** содержать характеристики таких инструментов веб-сервиса и базы данных, как `Nginx`, `Apache`, `MySQL` и т.д.
- Ответ обычного сайта **не будет** содержать характеристики таких прокси-инструментов, как `xray`, `v2fly`, `shadowsocks` и т.д.
Таким образом, когда мы предоставляем `Xray` функцию **"fallback"** (как в приведенном выше примере, fallback на `Nginx`), любой запрос, используемый для зондирования, приводит к следующему:
- Зондирующий трафик не может получить доступ к вашим параметрам `VLESS` и поэтому будет перенаправлен на `Nginx`.
- Весь зондирующий трафик перенаправляется на `Nginx`, поэтому ответ VPS-сервера **обязательно будет** содержать характеристики `Nginx`.
- Поскольку сам `Xray` не отвечает на зондирующий трафик, ответ VPS **не будет** содержать характеристики `Xray`.
Таким образом, функция **"fallback"** решает проблему безопасности **активного зондирования** сервера с точки зрения логики взаимодействия данных.
## 4. Полное понимание Fallback (ЧТО, ЗАЧЕМ, КАК `v2`)
Почему нужно снова говорить о fallback? Потому что выше мы рассмотрели только первую версию fallback, основанную на "протоколе" и защите от **активного зондирования**.
В процессе постоянного развития и обновления протокола `VLESS` и функции `fallback` командой [RPRX](https://github.com/rprx) постепенно выяснилось, что fallback может быть более гибким и мощным. При условии обеспечения защиты от **активного зондирования** можно в полной мере использовать информацию, содержащуюся в первом пакете данных, для реализации многоэлементного и многоуровневого fallback (например, `path`, `alpn` и т.д.).
Основываясь на этой концепции разработки, функция **"fallback"** постепенно превратилась в то, чем она является сейчас, - в механизм, реализующий **полную маскировку --> ws-разделение --> многопротокольное и многопараметрическое разделение**. Финальная версия даже полностью заменила функцию разделения, которую раньше выполняли веб-серверы и другие инструменты. А поскольку описанная выше обработка **"fallback/разделения"** выполняется на этапе определения первого пакета за миллисекунды и не связана с какими-либо операциями с данными, она практически не приводит к потерям производительности.
**Таким образом, сейчас **полноценная функция "fallback" в `Xray`** обладает следующими свойствами:**
- **Безопасность:** полная защита от атак активного зондирования.
- **Эффективность:** практически полное отсутствие потерь производительности.
- **Гибкость:** гибкое разделение данных, повторное использование часто используемых портов (например, 443).
::: tip
Хотя такой подробный подход может показаться несколько утомительным, только он позволяет в полной мере раскрыть уникальные преимущества **полноценного "fallback"**.
:::
## 5. Пример и описание многоуровневого fallback
Теперь, когда мы понимаем, что такое **"полноценный fallback"**, мы можем приступить к настройке многоуровневого fallback.
### 5.1 Сначала скопируем фрагмент конфигурации прослушивания порта 443 на стороне сервера:
```json
{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
{
"id": "", // Укажите свой UUID
"flow": "xtls-rprx-vision",
"level": 0,
"email": "love@example.com"
}
],
"decryption": "none",
"fallbacks": [
{
"dest": 1310, // По умолчанию перенаправлять на протокол Trojan Xray
"xver": 1
},
{
"path": "/websocket", // Обязательно укажите свой путь
"dest": 1234,
"xver": 1
},
{
"path": "/vmesstcp", // Обязательно укажите свой путь
"dest": 2345,
"xver": 1
},
{
"path": "/vmessws", // Обязательно укажите свой путь
"dest": 3456,
"xver": 1
}
]
},
"streamSettings": {
"network": "tcp",
"security": "tls",
"tlsSettings": {
"alpn": ["http/1.1"],
"certificates": [
{
"certificateFile": "/path/to/fullchain.crt", // Укажите путь к вашему сертификату, абсолютный путь
"keyFile": "/path/to/private.key" // Укажите путь к вашему закрытому ключу, абсолютный путь
}
]
}
}
}
```
Как объяснить этот фрагмент конфигурации простыми словами?
1. **`Xray` прослушивает порт (`inbound port`) `443`**
Это означает, что `Xray` отвечает за прослушивание трафика `HTTPS` на порту `443` и использует сертификат `TLS`, указанный в `certificates`, для аутентификации.
2. **`Xray` использует протокол (`inbound protocol`) `vless`**
Трафик протокола `vless` напрямую передается в `Xray` для дальнейшей обработки.
3. **Трафик, не относящийся к протоколу `VLESS`, перенаправляется на 4 различных порта fallback:**
1. Трафик с `path`, равным `websocket`, перенаправляется на порт `1234` для дальнейшей обработки.
2. Трафик с `path`, равным `vmesstcp`, перенаправляется на порт `2345` для дальнейшей обработки.
3. Трафик с `path`, равным `vmessws`, перенаправляется на порт `3456` для дальнейшей обработки.
4. Весь остальной трафик перенаправляется на порт `1310` для дальнейшей обработки.
4. **`xver`, равный `1`, означает, что функция `proxy protocol` включена, и реальный IP-адрес источника будет передан дальше.**
5. **Структура fallback показана на рисунке ниже:**
```mermaid
graph LR;
W443(Внешний HTTP:443 запрос) --> X443(Xray-inbound: 443) .- X1{Проверка входящего трафика}
X1 --> |Протокол = VLESS| X2(Внутренние правила Xray)
X2 --> O(Xray Outbounds Исходящий)
X1 --> |path = /websocket| X1234(Xray-inbound:1234)
X1 --> |path = /vmesstcp| X2345(Xray-inbound:2345)
X1 --> |path = /vmessws| X3456(Xray-inbound:3456)
X1 --> |Весь остальной трафик| X1310(Xray-inbound:1310)
```
6. **Куда делся fallback на веб-страницу?**
Верно, внимательные читатели должны были заметить, что `fallback на nginx`, защищающий от **активного зондирования**, исчез!!! Почему? Не опасно ли это? Не волнуйтесь, давайте разбираться дальше:
### 5.2 Фрагмент конфигурации, отвечающий за обработку fallback:
1. Трафик, перенаправляемый на порт `1310`, обрабатывается в соответствии со следующей конфигурацией:
```json
{
"port": 1310,
"listen": "127.0.0.1",
"protocol": "trojan",
"settings": {
"clients": [
{
"password": "", // Укажите свой пароль
"level": 0,
"email": "love@example.com"
}
],
"fallbacks": [
{
"dest": 80 // Или перенаправлять на другой прокси-сервер, защищенный от сканирования
}
]
},
"streamSettings": {
"network": "tcp",
"security": "none",
"tcpSettings": {
"acceptProxyProtocol": true
}
}
}
```
Смотрите, произошло чудо, в протоколе `trojan` появился новый `fallbacks`. Как уже говорилось ранее, протокол `trojan` в `xray` также обладает полной функциональностью fallback, поэтому на этом этапе протокол `trojan` может снова выполнять проверку и fallback (это и есть легендарный "fallback в fallback"):
- Весь трафик протокола `trojan` передается в `Xray` для дальнейшей обработки.
- Весь остальной трафик перенаправляется на порт `80`. **Защита от активного зондирования** реализована!
2. Трафик, перенаправляемый на порт `1234`, на самом деле является `vless+ws`:
```json
{
"port": 1234,
"listen": "127.0.0.1",
"protocol": "vless",
"settings": {
"clients": [
{
"id": "", // Укажите свой UUID
"level": 0,
"email": "love@example.com"
}
],
"decryption": "none"
},
"streamSettings": {
"network": "ws",
"security": "none",
"wsSettings": {
"acceptProxyProtocol": true, // Напоминание: если вы используете Nginx/Caddy и т.д. для обратного проксирования WS, удалите эту строку
"path": "/websocket" // Обязательно укажите свой путь, он должен совпадать с путем разделения
}
}
}
```
3. Трафик, перенаправляемый на порт `2345`, на самом деле является прямым подключением `vmess`:
```json
{
"port": 2345,
"listen": "127.0.0.1",
"protocol": "vmess",
"settings": {
"clients": [
{
"id": "", // Укажите свой UUID
"level": 0,
"email": "love@example.com"
}
]
},
"streamSettings": {
"network": "tcp",
"security": "none",
"tcpSettings": {
"acceptProxyProtocol": true,
"header": {
"type": "http",
"request": {
"path": [
"/vmesstcp" // Обязательно укажите свой путь, он должен совпадать с путем разделения
]
}
}
}
}
}
```
4. Трафик, перенаправляемый на порт `3456`, на самом деле является `vmess+ws(+cdn)`.
::: warning
Да, вы не ослышались, это одна из комбинаций, рекомендованных v2fly, и она полностью поддерживает `CDN`. Теперь она добавлена в наш идеальный набор fallback!
:::
```json
{
"port": 3456,
"listen": "127.0.0.1",
"protocol": "vmess",
"settings": {
"clients": [
{
"id": "", // Укажите свой UUID
"level": 0,
"email": "love@example.com"
}
]
},
"streamSettings": {
"network": "ws",
"security": "none",
"wsSettings": {
"acceptProxyProtocol": true, // Напоминание: если вы используете Nginx/Caddy и т.д. для обратного проксирования WS, удалите эту строку
"path": "/vmessws" // Обязательно укажите свой путь, он должен совпадать с путем разделения
}
}
}
```
5. Теперь мы можем нарисовать полную схему fallback:
```mermaid
graph LR;
W443(Внешний HTTP:443 запрос) --> X443(Xray-inbound: 443) .- X1{Проверка входящего трафика}
X1 --> |Протокол = VLESS| X2(Внутренние правила Xray)
X2 --> XO(Xray Outbounds Исходящий)
X1 --> |path = /websocket| X1234(Xray-inbound:1234)
X1 --> |path = /vmesstcp| X2345(Xray-inbound:2345)
X1 --> |path = /vmessws| X3456(Xray-inbound:3456)
X1 --> |Весь остальной трафик| X1310(Xray-inbound:1310)
X1234 --> X2
X2345 --> X2
X3456 --> X2
X1310 --> |Протокол = trojan| X2
X1310 --> |Весь остальной трафик| N80(Nginx:80)
N80:::nginxclass --> H(index.html)
H:::nginxclass
classDef nginxclass fill:#FFFFDE
```
## 6. Заключение
На этом обзор функции **"fallback"** в `Xray` завершен. Надеемся, что эта статья поможет вам лучше понять возможности `Xray`.
## 7. Дополнительное задание
Позвольте мне нагло оставить вам дополнительное задание: есть ли что-то, что можно оптимизировать в шаблоне [VLESS-TCP-XTLS-WHATEVER](https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-WHATEVER/), описанном в этой статье?
Подсказка: автоматическое перенаправление HTTP на HTTPS.