vault: redir-host tested and failed for 翻墙回国, document fake-ip-filter maintenance

2 - Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md

@@ -207,6 +207,28 @@ DNS 相关设置必须在 LuCI 覆写设置里改，不能改 yaml。
 翻墙回国场景下，"大陆"和"海外"绕过都不合适，必须选"停用"，
 让配置文件里的分流规则来决定。
 
+### Redir-Host 模式不可用（已测试）
+
+测试过从 fake-ip 切换到 redir-host (TUN) 模式，结果：
+- Google、Bilibili 正常 ✅
+- **v.qq.com 超时** ❌（国内 CDN 域名无法正确代理）
+- billo.life VPN 域名正常 ✅
+
+原因：redir-host 模式下流量分流依赖 sniffer 从 TLS SNI 提取域名，
+部分国内 CDN 的 SNI 无法正确匹配规则，导致连接失败。
+**翻墙回国场景必须用 fake-ip 模式。**
+
+### Fake-IP Filter 维护
+
+VPN、容器仓库等需要真实 IP 的域名，手动加到 fake-ip-filter：
+`/etc/openclash/custom/openclash_custom_fake_filter.list`
+
+当前已加入：
+- `*.colacoder.com` / `*.k8s.home` — 内网域名
+- `*.quay.io` / `*.ghcr.io` / `*.docker.io` / `*.gcr.io` / `*.k8s.io` — 容器仓库
+- `*.amazonaws.com` / `*.ecr.aws` — AWS
+- `*.billo.life` — 公司 VPN 域名
+
 ---
 
 ## 7. 安全加固