wiki/memory/2026-04-12.md

2026-04-12 — Homenet-VPN заработал полностью

Transparent proxy vpn-srv — финальный фикс

Проблема: интернет через Wi-Fi Homenet_vpn не работал после перезагрузки vpn-srv.

Диагностика и путь к решению

1. FRP тоннель — живой
2. Xray — запущен, VLESS работает (SOCKS5 тест прошёл)
3. Первый фикс: "tproxy": "redirect" → "tproxy": "tproxy" в xray config — сайты не заработали
4. Причина: TPROXY через mangle не работал — пакеты получали mark, но до Xray не доходили (проблема с routing table 100, ядро переопределяло маршрут как local)
5. Решение: Переключились с TPROXY на nat REDIRECT — проще и надёжнее
6. Сайты открылись, но Telegram и YouTube нет — splice: broken pipe в Xray логах
7. Финальный фикс: MSS clamp 1280 через TCPMSS → всё заработало

Финальная схема

Device → ens19 → iptables nat REDIRECT:12345 → Xray dokodemo-door → VLESS 43.245.226.231:53903
UDP/443 → RETURN (QUIC не поддерживается xtls-rprx-vision)
UDP/53 → DNAT → 1.1.1.1
MSS → clamp 1280 (иначе Telegram/YouTube ломаются)

Персистентность после reboot

• ✅ xray, frpc — systemd enabled
• ✅ iptables — netfilter-persistent + rules.v4 сохранён
• ✅ sysctl — /etc/sysctl.d/99-tproxy.conf (rp_filter=0, ip_forward=1)

Урок

• TPROXY сложнее REDIRECT — требует корректного маршрута в table 100, не всегда работает с разными версиями ядра
• xtls-rprx-vision не поддерживает UDP (кроме DNS) — UDP/443 (QUIC) надо явно исключать
• MSS clamp обязателен при проксировании через VLESS

---

QMD — статус проверен (15:25 UTC)

• memory-alt-main уже присутствует в index.yml — фикс был применён ещё 10.04.2026
• Индекс актуальный: main — 483 чанка, Vector: ready ✅, Dirty: no
• dev/legal/feda — тоже Vector: ready ✅
• Переиндексация не нужна