SRSP на Windows: подключено, но трафик не идёт
В этой статье собраны реальные ошибки, которые встречались при SRSP: приложение показывает подключение, но браузер идёт напрямую, DNS/API не отвечает, трафик пропадает после переключения режима или сервер пишет upstream ошибки.
Короткий ответ
Если трафик работает через curl -x http://127.0.0.1:1080, но после переключения в приложении снова не идёт, SRSP-клиент живой. Проблема почти всегда в системном proxy Windows: вместо ProxyEnable=1 и ProxyServer=127.0.0.1:1080 применился PAC/AutoConfigURL. Обновите клиент и проверьте proxy state после reconnect.
Начните с карты симптомов
Не ориентируйтесь только на зелёный статус подключено. Для SRSP важно, чтобы одновременно работали локальный proxy, системные настройки Windows, Wintun/routes и egress на сервере.
Самая быстрая проверка - принудительно пустить запрос через 127.0.0.1:1080. Если так возвращается VPN IP, значит srsp-client умеет туннелировать трафик, а оставшаяся проблема находится в интеграции с Windows.
| Симптом | Вероятная причина | Как проверить | Как исправить |
|---|---|---|---|
| Приложение пишет подключено, браузер показывает локальный IP | System proxy не применился или выбран PAC | Проверить ProxyEnable, ProxyServer, ProxyOverride, AutoConfigURL в Internet Settings | Переподключиться на последней версии, где восстанавливается manual proxy 127.0.0.1:1080 |
| curl -x 127.0.0.1:1080 работает, обычный браузер нет | Браузер использует старое состояние Windows proxy/PAC | Сравнить curl с -x и без -x, затем проверить proxy settings | Убрать AutoConfigURL, поставить manual proxy или обновить GhostMesh |
| Трафика нет и порт 1080 закрыт | srsp-client не запущен или credentials не прошли | Проверить процесс srsp-client и порт 1080 | Переподключиться, войти заново или отправить лог приложения в поддержку |
| VPN/TUN подключается, но маршруты не работают | Wintun route, firewall или Public network profile | Проверить GhostMesh/Wintun adapter, route print и firewall rules | Поставить последнюю сборку от администратора и разрешить GhostMesh.exe + srsp-client.exe |
| На сервере Network is unreachable по IPv6 | Сервер резолвит IPv6, но не имеет IPv6 default route | Сравнить target host и route state сервера | Использовать IPv4 egress или серверную сборку, которая фильтрует недоступный IPv6 |
Проверка Windows proxy
В SRSP proxy режиме браузеры и многие WinINET-приложения читают системные Internet Settings. Если GhostMesh оставляет AutoConfigURL на PAC-файл и ProxyEnable=0, отдельные тесты могут работать, а обычный браузинг будет идти напрямую.
Рабочее состояние для полного SRSP proxy: ProxyEnable=1, ProxyServer=127.0.0.1:1080, ProxyOverride=<local>, AutoConfigURL отсутствует.
Чеклист
- ✓Проверить локальный SRSP proxy: Test-NetConnection 127.0.0.1 -Port 1080
- ✓Сравнить forced proxy и direct IP: curl.exe -x http://127.0.0.1:1080 https://api.ipify.org и curl.exe https://api.ipify.org
- ✓Проверить Internet Settings: ProxyEnable, ProxyServer, ProxyOverride, AutoConfigURL
- ✓После переключения режима убедиться, что AutoConfigURL не вернулся, а ProxyServer остался 127.0.0.1:1080
Установщик и bundled assets
Пользователю не должны требоваться отдельный .NET runtime, Rust, ручная сборка srsp-client или отдельная загрузка Wintun. Windows installer должен включать приложение, SRSP daemon, Wintun DLL и нужные runtime assets.
Неполная установка может выглядеть как успешный login и статус подключено, но без трафика: верхний flow завершился, а локальный daemon или драйверный asset отсутствует.
Чеклист
- ✓Проверить, что GhostMesh.exe есть в папке установки
- ✓Проверить, что srsp-client.exe лежит рядом с GhostMesh.exe
- ✓Проверить, что wintun.dll лежит рядом с GhostMesh.exe
- ✓Установить версию 1.0.323 или новее с официальной страницы Windows download
- ✓Запускать установщик с правами администратора, когда Windows запрашивает elevation
Firewall, Wintun и маршруты
Windows Defender Firewall может тихо блокировать новое приложение, если пользователь в первый раз нажал Block. Для SRSP нужны allow rules для GhostMesh.exe и srsp-client.exe, а для TUN режима ещё должны подняться Wintun маршруты.
Wintun adapter может появиться как unidentified Public network. В таком профиле firewall строже и может блокировать трафик, хотя адаптер виден.
- Разрешите inbound и outbound rules для GhostMesh.exe и srsp-client.exe.
- Проверьте, что GhostMesh/Wintun adapter появляется при запуске VPN или Smart routing.
- В TUN режиме проверьте split default routes, например 0.0.0.0/1 и 128.0.0.0/1.
- Если adapter есть, но трафик стоит, переподключитесь после установки последней версии, где исправлены firewall и network profile handling.
DNS, API и server-side логи
Если приложение не получает ответ от API после подключения, нужно отделить локальную проблему DNS/proxy от server egress проблемы. Локальная проблема обычно означает, что трафик вообще не доходит до SRSP сервера; server egress проблема видна как upstream ошибки в srsp-server logs.
Не каждая строка в server log означает, что у пользователей нет трафика. TLS handshake EOF часто бывает от сканеров или оборванных клиентов. Connection reset by peer часто означает, что соединение закрыл destination. IPv6 Network is unreachable важен, если у сервера нет IPv6 default route.
| Лог или симптом | Что значит | Что делать |
|---|---|---|
| failed to lookup address information | DNS не смог разрешить hostname | Проверить, реальный ли hostname и работает ли DNS на сервере |
| Network is unreachable (os error 101) по IPv6 | Сервер пытается IPv6 без IPv6 egress | Фильтровать недоступный IPv6 или добавить IPv6 default route |
| tls handshake eof | Клиент или сканер закрыл соединение до завершения handshake | Обычно informational, если не совпадает по времени с массовыми жалобами |
| Broken pipe или connection reset by peer | Удалённая сторона или клиент закрыл соединение | Сверять с точным временем теста пользователя |
Что отправить в поддержку
Хороший отчёт должен показать, на каком слое ошибка: local proxy, Windows proxy registry, Wintun route, firewall, DNS или server egress.
Не отправляйте пароли, токены, приватные страницы аккаунта и credential-файлы.
Чеклист
- ✓Версия Windows и версия GhostMesh
- ✓Выбранный сервер и режим: VPN, Proxy, Smart routing или SRSP proxy-only
- ✓Результат forced proxy IP test и direct IP test
- ✓Значения ProxyEnable, ProxyServer, ProxyOverride, AutoConfigURL
- ✓Запущен ли srsp-client.exe и открыт ли порт 1080
- ✓Точное время неудачного теста
Частые вопросы
Почему ручной proxy чинит трафик, а после reconnect всё снова ломается?
Reconnect заново применяет proxy policy приложения. Старые сборки могли возвращать PAC AutoConfigURL с ProxyEnable=0. Исправленная сборка после переключения восстанавливает manual proxy 127.0.0.1:1080.
Каждый Network is unreachable в логе значит, что SRSP сломан?
Нет. Часто это относится к конкретному target route, особенно к IPv6 на сервере без IPv6 egress. Сначала проверьте обычные IPv4 сайты и forced proxy test.