Тоннель в конце света: как выжить в эпоху блокировок. Часть 3

rcl-uploader:post_uploader

Читать часть 1. Читать часть 2 .

 

AMNEZIA

Но отдельно хочу остановиться на клиенте под названием Amnezia (не путать с одноименным сайтом по продаже ВПН). У меня приложение для Windovs, причем совершенно пустое. На сайте можно набрать чего угодно, были бы деньги, но мне был нужен именно чистый клиент. Выглядит он так:

Приступаю и первое что вижу – предложение вставить ключ. У меня их уже несколько – созданные двумя способами. Если обход рабочий – вы сможете использовать ссылку в этом клиенте. Но мне сейчас интереснее вариант, где мне предлагают настроить ВПН на своем сервере (вторая кнопка сверху).

Приложение просит пароль, логин и айпи вашего сервера. После чего предложат два варианта настройки ВПН – ручной и автоматический.

Пропускаю установку и попадаю в следующее окно:

Скачиваю все, на что указывают стрелки, а затем начинаю настраивать подключение. Но есть одна проблема: этот клиент хочет дружить только с одним 443 портом, а он у нас занят. Перебор портов ничего не дал – никакой другой порт Амнезию просто не интересует.

И плюнуть бы на нее, но если установить подключение так, как будет показано далее – вообще можно было не заморачиваться с другими панелями и клиентами: на стационарном интернете удалось сразу же обойти блокировку, на мобильном все зависит от региона, но, с переменным успехом, тоже работало.

Проблема в том, что клиент чато подвешивате слабые смартфоны и конфликтует с чем-то в них, не все любят его и не хотят пользоваться. Если вы в числе любителей Амнезии – она очень просто устанавливается, если у вас свободен 443 порт и не любит операционку Alpine Linux:


После подключения проверьте айпи и работает ли интернет, если все хорошо  — у вас готовый впн, который можно установить на разных устройствах, просто нажав «поделиться», получив ссылку и установив клиент.

Еще одна приятная сторона Амнезии – она охотно жрет ссылки, сделаныне в других приложениях, и, если инбауд рабочий – для нее это тот же ВПН.

 

Но если вы уже заморочились по первому примеру, 443 порт у вас занят и подключение просто выдаст ошибку. Если хоть один вариант, который тут рассматривали, работает – для клиента Амнезия сгодится от него ссылка. Но когда он вам не нужен или не понравился – порт можно освободить под Амнезию.

Это нелегко: даже если вы сперва остановите работающие уже программы командами:

systemctl stop xray

а затем:

x-ui stop

и после нажатия команды:

ss -ltnp | grep :443

ничего не появляется, то даже правильная дальнейшая установка Амнезии и Хray(на 443 порту) может оказаться тупиком. Тогда придется сносить Хray и Амнезию полностью и начинать сначала.

Кротко: как самостоятельный вариант Amnezia лучше всего работает, если устанавливается первой. Попытки «освободить» порт 443 на уже настроенном сервере часто приводят к скрытым конфликтам, которые не видны стандартными командами и заканчиваются переустановкой. У меня она вообще не подружилась с Alpine Linux, потому что любовь у нее только с Ubuntu.

Вернуть программы, которые мы остановили, возясь с прошлым подключением, можно командами:

systemctl start xray

затем возвращаем панель:

x-ui start

После этого имеет смысл проверить, какие порты снова заняты:

ss -ltnp | grep :443

Еще один вариант обхода с использованием домена поможет, если вам неохота светить IP-адрес сервера. Мне в истории с Xrey он больше ничего не дал: с мобильным интернетом не помог, а обходы на стационарном хватает и без заморочек с его покупкой.

Но, если вы хотите давать ссылку еще кому-то, то в домене есть смысл, и даже можно использовать на всякий случай простенький одностраничный сайт на WordPress. Но пока я описывать этот вариант не буду: покупка и регистрация домена для новичка лишний головняк на начальном этапе. Домен появится несколько позже.

Лучше расскажу о варианте вполне рабочем и легко повторяемом. Один из известных и часто используемых клиентов – это Outline. Как и Амнезия, это клиент, но и не только. Многие клиенты усилено продвигают свои сервера, ВПН, и другие платные услуги. Ничего платного, кроме сервера ценой в 6 баксов за месяц я тут разбирать не буду. А простой впн, который вы можете получить, просто добавив свой сервер к клиенту, в отличие от Амнезии не заработает.

Я использую Outline не только в качестве клиента, и вам рекомендую скачать все вместе: клиент и менеджер.

Менеджер помогает присоединить сервер просто взяв с него ссылку и вернув ключ, который после команды даст вам терминал. Для этого выбираем предложение настроить все у себя а сервере:

 

Далее верхнюю ссылку копируем и вставляем в командную строку сервера, а ответ из него в виде зеленого ключа копируем, или, с моим везением, переписываем вручную:

 

И получаем ключи на сервере, которые будем использовать уже в клиенте. Далее можете перейти  в клиент Outline и убедиться, что чистая ссылка работать у вас наверняка не будет.

Но у меня вскоре работают и рабочим их делает обусификация. И выглядеть могут вот так: в клиенте светится название или набор символов, а вовсе не адрес сервера.

Ссылка, которую предлагает менеджер, выглядит примерно так (адрес сервера и порт мною вырезан):

Это называется Shadowsocks, и стандартный формат конфигурации от Outline Manager. Это классика, которую сразу же распознает и режет DPI. Потому уже готовую ссылку можно изменить, добавив в нее хвост из мусора, названия, или настоящего обхода через ваш домен.

Изменить ключ можно двумя способами: с помощью ИИ или специальной программой Shadowsocks + obfs (v2ray-plugin), которые скачиваем на свой комп.

Сначала поговорю об ИИ: не всегда понимает, что от него хотят и часто вешает на хвост ключа кучу мусора, который, по его мнению, клиент не читает, а он после этого перестает работать. Но пару раз ИИ по шее тоже творят чудеса и обход на стационарный интернет он выдать может. Правда, не посылать меня что-то делать, а самостоятельно сделать обусификацию согласился только GPT, доцепив для примера такой кусок:

?plugin=v2ray-plugin%3Bmode=websocket%3Btls%3Bhost=www.cloudflare.com%3Bpath=%2Fnews

#cf-ws

 

Даже если у вас не получится сделать обход для мобильного интернета, для стационарного ион часто помогает. Но так подробно останавливаюсь на этом моменте потому, что Outline – известный и популярный клиент, ключи к нему часто в продаже, а у них есть громкое и известное название, которое сразу видно в клиенте. Потому если вы приобрели такой рабочий ключ, попросите ИИ сменить ему название, не меняя больше ничего. Руками вы этого сделать не сможете – название зашифровано и появится только в клиенте.

Но, если вы не собираетесь покупать чужую ссылку, а делает свою, тут мы реально может столкнуться с пожеланием иметь зарегистрированный домен. Не обязательно – в крайнем случае обойдемся, но желательно.

Немного отвлекусь на домен. Купить его не сложнее, чем купить сервер, вопрос только в цене. У меня домен стоит 1 доллар в год. Где бы вы его не взяли – необходимо регистрация домена на платформе Cloudflare, которую мне уже доводилось упоминать, рассказывая о Cloudflare Warp.

Но если у вас есть сервер, то вы достаточно заморочились, чтоб не просто играть с его кнопкой, а познакомиться с этой платформой. Мне удалось купить дешевый акционный домен и зарегить его на платформе, а потом сутки ждать, забыв довести дело до конца и не поменять NS-серверы у регистратора домена.


Важно понимать, что Cloudflare сам НИЧЕГО не переключает. Он ждет, когда вы зарегитесь, добавите домен, выберете тариф тариф (Free). Потом Cloudflare просканирует DNS, но далее платформа ждет, когда же мы пойдем к регистратору домена и вручную заменим NS на те, что дает Cloudflare, а новичок сидит и  ждет, когда до 24 часов придет оповещение, что все готово. Через сутки надоело ждать письма, пришлось разбираться, после чего все успешно зарегилось через 10 минут.

Показать полную регистрацию не смогу – на момент написания статьи домен уже был зарегистрирован, а затем к нему было доделано несколько поддоменов, которых можно лепить бесплатно сколько угодно – мне под каждый сервер с отдельными настройками понадобилось уже три. Выбирайте что хотите: спорт, еда, отдых, развлечения, но только не о политике. Если придется делать когда-то сайт – легко нарисуете одностраничник.

После регистрации нажав на свой домен вы перейдете на страницу управления. Нажав на DSN/записи переходе туда, где находится ваш домен и поддомены.

Мне придется создать новый поддомен тип А – для тестового сервера. Название выбираем какое угодно и вписываем в строку «имя», айпи вашего сервера – в строку «адрес», тогда адрес у вас будет уже типа поддомен.домен.com, .online  или то расширение, что себе выберете, у меня .store – они были подешевле.

 

Оранжевое облачко с надписью прокси – это еще одна фишка, ломающая ваш мозг. Для одних обходов ее необходимо отключать, для других наоборот, хорошо, что в настройках все можно быстро менять, но сперва включайте серое.

Ну вот про домен поболтали, возвращаемся к Shadowsocks с prefix-obfs. Для начала на нашем сервере нам надо установить Shadowsocks-библиотеку командой:

apt install -y shadowsocks-libev

Проверяем:

ss-server –h

Далее ставим SIMPLE-OBFS (prefix):

apt install -y simple-obfs

и тоже проверяем:

obfs-server –h

И вот тут у меня появляются два пути, потому что я не знаю, какая у вас операционная система. Если вы, как нормальный человек, установили Ubuntu как вам было сказано, то полностью скрины установки показать не смогу, так как у меня этот вариант уже сделан, но распишу команды и дам конфиг. Последний ваш поход на сервер закончился такими командами:

— установкой библиотеки:
apt install -y shadowsocks-libev

— и установкой скрипта:

apt install -y simple-obfs

Далее создаем конфиг, для этого создаем текстовый файл и переименовываем его в config.json убирая расширение txt

Снова открываем его с помощью Visual Code и помещаем внутрь код:

{

"server": "0.0.0.0",

"server_port": 8388,

"password": "ПРИДУМАЛИ_ВАШ_ПАРОЛЬ",

"method": "chacha20-ietf-poly1305",

"timeout": 300,

"plugin": "obfs-server",

"plugin_opts": "obfs=tls"

}

А затем с помощью FileZilla  помещаем на сервер в папку  /etc/shadowsocks-libev/

Почему не создаю конфиги прямо на сервере?
От умудряется слепить код в одну большую строку, которая его самого потом пугает, не то, что меня. Словом, если у вас на сервере тоже только построчный ввод команд и ничего не копируется – опять FileZilla вам в помощь.

После установки конфига на сервер перезапускаем сервис командой:

systemctl restart shadowsocks-libev

и проверяем его статус, чтобы увидеть Active: active (running):

systemctl status shadowsocks-libev

Далее проверяем, что на слушается порт:

ss -lntp | grep :8388

Увидели LISTEN, теперь можно и клиент настроить.
Себе на комп скачиваю две программы, точнее 2 архива:

Shadowsocks Windows с файлом Shadowsocks.exe

 

и simpleobfs windows

 

Важно, чтоб потом не выдало ошибку:
obfs-local.exe должен лежать в той же папке, где Shadowsocks.exe, перемещаем его туда после распаковки архива

И заполняем так:

Пароль должен совпадать с тем, что у вас на серверном конфиге, затем сохраняем и включаем прокси, запускать будем со значка на компе, напоминающего значок телеграмм:

Если интернет есть, а значок программы с серого стал синим – проверяем айпи сервера. Для Андроида используем другой клиент Shadowsocks.

Так у нормальный людей и у меня на одном из серверов. А на другом оказалась другая сборка, сервер орал на меня, что ничего не нашел и пришлось использовать набор других команд. Оказалось, что а тестовом сервере стоит другая операционка, и он не зря не слушался попыток сделать стандартные обходы, потому обязательно проверяйте, что у вас реально Ubuntu, а не AlmaLinux.

Если вам тоже не повезло, то ситуация исправляется разве что переустановкой операционной системы. Но мы будем делать проще.

Возвращаемся в Outline, где мы уже получили простой и чистый ключ, который обычно работать не хочет. Его переименование возможно не только с помощью ИИ, хотя так это гораздо проще. Вы можете сделать из чистого ключа рабочий инструмент руками.

У нас есть простые ключи доступа, которые начинаются с ss:// что обозначает протокол Shadowsocks. Все, что находится между ним и @ — упакованное в Base64 описание метода шифрования chacha20-ietf-poly1305 сердце-пароль ключа, который представляет собой случайную строку, автоматически сгенерированную в Outline.

Далее идет разделитель @ и за ним – адрес вашего сервера и порт. Затем технический разделитель / ?outline=1  — флаг совместимости с Outline. Теперь мы будем эту ссылку улучшать, чтоб она из бесполезной превратилась в красивую и рабочую.

1. Ключ не трогаем, вместо айпи, которое не хотим светить, мы ставим свой домен, который указывает на ваш сервер. Пример на случайных числах:

было @123.135.198.175:18447

стало @autodiscover.example.com:18447

По большому счету клиенту домен не нужен, зато ваш айпи уже не видно, да и сам поход теперь у вас не по левому айпи — адресу, а вроде как на полезный сайт, и теперь ее даже можно кому-то дать.

В хвосте мы к своей ссылке с помощью = добавляем префикс &prefix=%16%03%01%00%C2%A8%01%01

В нем использую TLS-похожие префиксы, мене его лепит ИИ, это мусор, который Outline-клиент не жрет, а DPI в нем путается, принимая за настоящий TLS, серверу на этот мусор тоже плевать – он принимает TCP.

Ну и если мне охота пометить свою ссылку, чего вам не рекомендую, можно в конце добавить ее имя после #, причем клиент не очень любит кирилицу, потому лучше зашифровать моего КиберЖука как # %D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%96%D1%83%D0%BA

Потом готовую ссылку вставляю в клиент и подключают, причем на работает не только в Outline-клиент, но и в V2reyN.

 

 

И теперь еще один вариант для тех, кто с доменом. Делается он с помощью вашей панели 3X-UI:

Создаем еще один инбаунд, но с новыми настройками. Но, для начала придется сходить к нашему домену и прописать правило для него на сайте Cloudflare:

Далее нажимаем обзор и создать правило:

Выбираем правило происхождения (Origin Rules)

Далее заполняем порт, у меня все правила ориентированы на 8443, так как 433 уже занят, а хост прописываем полностью домен и поддомен чтоб правило связывало конкретный поддомен и сервер. Названием даем любое:

Внизу снова выбираем « переписать на» , вводим порт 8443 порт, выбираем в выпадающем списке «первый» и жмем «сохранить». Для удобства страница переведена на русский.

Это правило поможет связать наши домен и сервер.

Когда все готово,

Настройки в  3X-UI:  выбираем так:

 

Номер порта в правиле и в инбаунде должен совпадать! В окне «хост» вставляете ваш домен с поддоменом, привязанный к серверу, а протокол передачи на этот раз выбираем XHTTP:

Снова прописываете маскировку – у меня Хром и самсунг, вы можете прописать любые

Затем опять короткий айди, можно aabbccdd и генерируем публичный и приватный ключи и сохраняем инбаунд. Ссылку от него можно поместить в V2reyN и сразу же проверить, как и в прошлом варианте.

Важно: при использовании 3X-UI с XHTTP никакой дополнительной настройки на сервере не требуется. Все параметры задаются в панели, ключи и ссылки генерируются там же.

Это был вариант, где мы делали вид, что идем на свой домен, проксирования от Cloudflare в нем не нужно и мы ставили серое облако. Разберем другой вариант, уже с проксированием, где будем идти прямо на свой домен, а оттуда уже куда захотим.

Для этого создаем поддомен с любым именем, на Cloudflare, в котором включаем оранжевое облако.

И там же прописываем правило, по которому портом назначения выберем 2053.

Заполняем свой новый поддомен с доменом

И выбираем порт и первый, у меня там уже другое правило, потому на скрине только порт.
Далее идем в нашу панель 3X-UI чтоб создать новое подключение:

Порт пишем 2053


Транспорт  — gRPC, в Service Name можно прописать gun. И все больше ничего не нажимаем, не выбираем, сохраняем подключение.

Берем из него ссылку и вставляем в наш клиент v2rayN

 

Выбираем сервер, вставляем туда ссылку и устанавливаем его, как активный:

Вот и все, далее смотрим подключение

Устанавливаем системный прокси и проверяем айпи, да кстати, внизу должно быть Global

 

Рабочую ссылку также можно использовать на любом V2Ray-клиенте для мобильного телефона.

Еще один вариант обхода, популярный в прошлом году, но тоже требующий дополнений в виде домена – с помощью Hysteria 2. У меня сначала пошла установка на порт 2053, потому как между созданием обходов прошла ночь и удалось забить, что этот порт буквально только что был занят. Потому сразу начинайте с порта в конфиге, например, 2083. Но у меня сначала пойдет с ошибкой порта, чтоб стало ясно, как и чего исправлять и где менять, если случайно не то прописали, или надо менять порты.

Hysteria 2 устанавливаем на сервер командой:

wget https://github.com/apernet/hysteria/releases/latest/download/hysteria-linux-amd64 -O /usr/local/bin/hysteria

затем вводим:

chmod +x /usr/local/bin/hysteria

и проверяем:

/usr/local/bin/hysteria version

 

Далее переходим на свой комп и создаем под нее конфиг с текстового файла и называем его config.yaml

Внутрь через Visual Code помещаем следующий код:

listen: :2053

 

tls:

cert: /etc/hysteria/server.crt

key: /etc/hysteria/server.key

 

auth:

type: password

password: ваш.пароль

 

obfs:

type: salamander

salamander:

password: ваш.пароль_OBFS

(внутри ваш сложный пароль)

И снова с помощью FileZilla  помещаем его на сервер в папку:

/etc./hysteria/config.yaml

У меня там этой папки не оказалось, потому правой кнопкой мыши под файлами пришлось создавать каталог в ect. и помещать туда нужный конфиг

 

Затем создаем по той же схеме еще один файл под названием hysteria.service

Внутри новый код:

[Unit]

Description=Hysteria Server

After=network.target

 

[Service]

Type=simple

User=root

WorkingDirectory=/etc/hysteria

ExecStart=/usr/local/bin/hysteria server -c /etc/hysteria/config.yaml

Restart=always

RestartSec=3

 

[Install]

WantedBy=multi-user.target

 

И тоже заливаем на сервер в папку:

/etc/systemd/system/hysteria.service

 

Далее возвращаемся на сервер и создаем самоподписанный сертификат, который у нас потребует Hysteria следующими командами:

1. переходим к ней в папку:

cd /etc/hysteria

2. создаем ключ:

openssl genrsa -out server.key 2048

3. создаем сертификат:

openssl req -new -x509 -key server.key -out server.crt -days 3650 -subj "/CN=ВАШ.ПОДДОМЕН.ДОМЕН "


4. Проверяем и видим ключи и сертификат:

ls –la

запускаем все тремя командами:

1
systemctl daemon-reload
2
systemctl enable hysteria
3
ss -ulpn | grep 2053

Проверяем ее статус:

systemctl status hysteria

И какой она порт слушает:
ss -ulpn | grep 2053

Если входили и что-то меняли, как я, правя конфиг, потому как порт 2053 заняли еще вчера, то потом уже не запуск, а перезапуск:

systemctl restart hysteria

Проверяем ее статус:

systemctl status hysteria

И нажимаем «q» чтоб вернуться в командную строку, и проверяем, какой она порт слушает:
ss -ulpn | grep 2053

Проверяем, не режет ли сервер соединение. На самом сервере у меня фаервол не включен


Проверяем командой:

ufw status

Так как локального фаервола на сервере нет, то и команда не найдена.

Ложка дегтя: все занятые порты больше не используем:

Но так как мы используем домен, то вот список портов, которые проксирует Cloudflare:

HTTP (без TLS)

    80

    8080

    8880

    2052

    2082

    2086

    2095

HTTPS (TLS)

    443

    8443

    2053

    2083

    2087

    2096


🚫 Что НЕ проксирует Cloudflare

    ❌ Любой UDP (включая Hysteria / QUIC)

    ❌ gRPC через UDP

    ❌ произвольные порты 10000–50000

    ❌ нестандартные TCP-порты вне списка

Потому для домена создам еще один поддомен, но уже с серым облаком и пропишу ему новое правло с новым портом под этот обход, чтоб не трогать другие подключения.

Помните: Hysteria2 = UDP, Cloudflare через оранжевое облако UDP не пропускает вообще. Поэтому для Hysteria:
Поддомен должен быть DNS only (серое облако)
Cloudflare в этом случае просто даёт DNS, без фильтрации


Повторение – мать учения, домену поддомены понадобятся часто, а потом надо же разобраться, для чего нужен их DNS и какой облако когда оставлять.

И теперь мне нужно новое правило уже на 2083 порту:

В названии правила я сразу пишу порт, чтоб понимать, для какого порта у меня внутри что прописано, давать имена правилам оказалось лишним головняком.

 

.

 

 

И теперь обычная проверка, которая больше всего выносит мозг, если что-то нужно исправлять. Так как порт изменился, придется править его в конфиге и перезапускать программу.

 

В конфиге 2053 переписываю на 2083

И сохраняю, хотя если вы этого не делаете, при закрытии файла FileZilla  сама его сохранит, спросив разрешение. Далее перезапуск программы:

systemctl restart hysteria

И проверка:

ss -ulpn | grep 2083

Вот теперь можно создавать еще одно подключение, на этот раз в клиенте v2rayN:

Начинаю заполнять и вводить свои данные:

 

И запускаем, а потом проверяем, установив системный прокси:

Проблема в том, что мобильный клиент наотрез отказался жрать ссылку, которая работает на клиенте под Windows. Потому если вы используете Hysteria2 то и клиенты вам нужны, которые ее поддерживают. Это Sing-box, Hiddify Next, Nekobox или v2rayNG новая версия с поддержкой hy2. У меня был предлагаемый в плеймаркете Nekobox, нажав плюс connect и выбрав подключение, удалось проверить айпи сервера и работу обхода.

 

Попадались еще совсем новые варианты с TUIC v5 — часто проходит там, где Hysteria2 уже режется и Sing-box (как клиент и сервер) — сейчас самый гибкий и мощный инструмент. Многие ставят именно его вместо чистого Xray.

Коротко разберем TUIC v5 чтоб хвостов не осталось. Для начала что это: TUIC v5 — это версия протокола TUIC, который работает поверх QUIC (UDP) и используется как современный способ туннелирования трафика. На деле это альтернатива всему, что ставили до этого момента. Он выглядит, ка кобычный трафик и при этом довольно быстрый.

Мы его ставить будем через Sing-box. Это самый стабильный способ сейчас. Сначала нужна установка Sing-box на наш сервер командами:

bash <(curl -fsSL https://sing-box.app/install.sh)

А затем проверка:

sing-box version

 

Далее командой генерим UUID:

cat /proc/sys/kernel/random/uuid

Далее будем создавать конфиг. Но так как у меня куча потов уже заняты, то ищу свободный среди тех, что нам могут подойти:

  18447/udp (часто свободен)

  2443/udp

  10443/udp

  30000/udp или 50000/udp (высокие порты часто свободны)

Проверяю 2443 командой на сервере:

 

— и тишина, порт свободен. Теперь создаем папку под TUIC:

mkdir -p /etc/sing-box/tuic

создаем сертификат:

openssl req -x509 -newkey rsa:2048 -keyout /etc/sing-box/tuic/private.key -out /etc/sing-box/tuic/cert.pem -days 365 –nodes

После выполнения в папке /etc/sing-box/tuic появятся два файла:

    private.key

    cert.pem

Если ключ есть а сертификата еще нет, повторяем команду:

openssl req -x509 -newkey rsa:2048 -keyout /etc/sing-box/tuic/private.key -out /etc/sing-box/tuic/cert.pem -days 365 -nodes -subj "/CN=localhost"

Если пропадает командная строка – не забываем ее возвращать в английской раскладке с помощью ctrl+C

Мне пришлось перезапустить FileZilla и после этого все сразу нашлось:

 

Теперь на сервере создаем UUID, который затем вставим в очередной конфиг:

cat /proc/sys/kernel/random/uuid > /etc/sing-box/tuic/uuid.txt

И проверяем наличие:

cat /etc/sing-box/tuic/uuid.txt

Его можно сразу скопировать, но так как я меня это не получается, то я возьму его через FileZilla в нужной папке. Он у меня не сразу появляется, а только если рандомно нажать любую другую папку, а потом вернуться.

 

А далее на своем компе занимаемся очередным конфигом под названием tuic.json и сразу заполняем его созданным UUID, вводя его внутри кавычек и дважды одинаковым чтоб не путаться потом и сохраняем:

{

"log": {

"level": "info"

},

"inbounds": [

{

"type": "tuic",

"tag": "tuic-in",

"listen": "::",

"listen_port": 2443,

"users": [

{

"uuid": "ВСТАВЬ_UUID_ИЗ_ФАЙЛА",

"password": "ВСТАВЬ_UUID_ИЗ_ФАЙЛА"

}

],

"congestion_control": "bbr",

"tls": {

"enabled": true,

"alpn": ["h3"],

"certificate_path": "/etc/sing-box/tuic/cert.pem",

"key_path": "/etc/sing-box/tuic/private.key"

}

}

],

"outbounds": [

{

"type": "direct"

}

]

}

Готовый конфиг помещаем на сервер в папку /etc/sing-box/tuic

 

На сервере проверяем его, нет ли ошибок:

sing-box check -c /etc/sing-box/tuic/tuic.json

 

Если тишина – отдельно запускаем TUIC:

nohup sing-box run -c /etc/sing-box/tuic/tuic.json >/root/tuic.log 2>&1 &

и проверяем, слушает ли порт:

ss -lunp | grep :2443

И теперь нам нужен клиент. У меня это снова будет привычный v2rayN – ему не изменяю, хотя вы можете взять и sing-box client.

Что заполняем

  •     Адрес (Server) → IP сервера
  •     Порт (Port) → 2443
  •     UUID → из uuid.txt
  •     Пароль (Password) → тот же UUID
  •     TLS → true
  •     ALPN → h3

Congestion control можно оставить bbr.

 

Устанавливаем, как активный сервер и проверяем.
Так у меня появился очередной жучара.

На сегодня с меня явно хватит жаб и насекомых, но сначала включаю прокси и проверяю айпи. Меня этот жук вполне устроил – оказался довольно резвым. Но в РФ его DPI прихлопнул сразу, но может вам повезет и выживет.

У меня хватило нервов пока только на то, что считается сейчас актуальным. Обход белого списка с помощью дополнительного сервера можно пробоватьс помощью одного сервера внутри, другого за пределами РФ и с мостом между ними

Но на февраль 2026 года эта схема уже почти мертва — РКН в январе прикрыл главную лазейку: запретил облачным провайдерам сдавать в аренду «белые» российские IP сторонним клиентам (включая VPN-сервисы и обычных пользователей).

Раньше многие делали именно так: цепочка клиент → российский сервер (Яндекс.Облако / VK Cloud / Selectel и т.п. с белым IP) → маскировка под Яндекс/ВК/Госуслуги → выходной сервер за рубежом. Теперь такие IP из белого списка не дают в аренду, и DPI режет попытки. Потому цепочка из 2 серверов идет только с маскировкой под белый список (можно поэкспериментировать с подменой SNI на что-то из белого списка). Но сервера в РФ у меня пока нет, так что все обходы сделаны с помощью зарубежных.

На этом, пожалуй, обзор закончу. Проверка других методов, описанных в Сети, положительных результатов не дала, зато сожрала кучу времени и нервов. Базовые принципы описаны, а дальше у вас большое поле для экспериментов, пока еще возможное.

Для тех, кому хватило сил дочитать до конца: профи обычно не останавливаются на мелочах, не повторяют по многу раз, почему нельзя путать ключи, цвет облака и т.д. Но этот текст написан для тех, кто, как и я, верит, что если есть цель – то нет ничего невозможного!

0

Автор публикации

не в сети 6 месяцев

_dopa

0
Комментарии: 0Публикации: 1Регистрация: 19-01-2026

1 Kомментарий

  1. В россии хотят принять закон(и примут) об обязательной интеграции искуственного интелекта в смартфоны(уже незнают как это назвать хотя это просто программа для тайной слежки как в КНДР на всех смартфоных есть софт тайно следящий за всеми действиями пользователя) И не утешайте себя тем что система Android с открытым исходным кодом ( это актуально только для смартфонов Google Pixel купленных в офиц.магазине) а китайцы могут так переписать код на готовом устройстве что инженеры гугл не смогут понять что он переписан))) С ПК тажа история в китайские материнские платы с UEFI биосом в магазине может быть записан любой шпионский скрипт!! В нынешних условиях такие статьи как эта вредны!!! Путинщина не может без слежки В 90-х они следили и управляли страной через воров в законе в 2000-х чарез слежку за телефончаками(если-бы ни это путинщину разнесла бы просто преступность причем неорганизованная обычные грабитили) В сегоднещних условиях помимо воров в законе и слежки за сим картами у путина появились камеры и икуственный-интелект. ДЛЯ ПОБЕДЫ НУЖНО ЗНАТЬ КТО ТВОЙ ВРАГ!!! Путин ставит камеры на любых выходах из городов даже если это маленькая еле заметная тропинка в лес)) Соратники (кто читает) Пишите Вечеславу я бы хотел ЧТО-БЫ ОН СДЕЛАЛ РОЛИК ПОЛНОСТЬЮ ПОСВЯЩЕННЫЙ ДОМАШНЕМУ ПРОТЕСТУ и попросил людей вообще не пользоваца смартфонами и не обходить блокировки не доверять авторитетам в особенности тюремным))) Дугин призвал к репрессиям против элиты Я НЕ УДЕВЛЮСЬ ЕСЛИ ОНИ путИна РЕПРЕСИРУЮТ КАК НИКОЛАЯ II (по-правде или как шоу для толпы) ПУТИНЩИНА БОИЦА ОДИНОЧЕК (РЕЖИМ путИна С УНИКАЛЬНОЙ ГЕОГРАФИЕЙ КОТОРЫЙ МОЖЕТ БЫТЬ РАСШАТАН НЕ ВЫХОДЯ ИЗ ДОМА)
    ЕСЛИ ОКОЛО 45% НЕ БУДУТ ПЛАТИТЬ ЗА ЖКХ ТО ОСТАЛЬНЫЕ ТОЖЕ ПЕРЕСТАНУТ ЧТО ЛИБО ОПЛАЧИВАТЬ!!! Такой протест по домам не разгонеш!!! Военное положение пукИна не спасет! Способ для тех кто хочет бороца но боица даже выдти в подьезд и нарисовать сердечко))) Суть в блокеровке счетчика горячей воды и огромном не учтонном ее расходе. Сразу после счетчика есть отвод(разветвитель на умывальник) а если его нет то можно впаять на трубу поле счетчика как можно ближе к счетчику на полипропиленовых трубах это не сложно. Он нужен для того чтобы через него вставить проволку которую по трубе пройдет до счетчика упреца в крыльчатку и заблокирует счетный механизм Все пломбы (и антимагнитные) при этом остаюца целыми счетчик может даже находица в подьезде. После открываем наполную кран с горячей водой за месяц утекают милионы))) естественно что общедомовой счетчик все считает и жельцы получают это в платежках возмущаюца рвут себе волосы на попе))) Только нужно каждый день проверять свой собственный счетчик что он стоит и не считает чтобы не вьебаца самому.)))

    Еще один способ! В самом счетчике сбоку делаеца отверстие маленьким ювелирным сверлом в него вставляеца проволочка которая блокирует вращающейся кружочек в центре (счетный механизм) проволочку важно взять твердую но не ломкую чтобы она не обломилась и не осталась в нутри счетчика После этого открываете горячую воду на полную пусть льеца круглосуточно! На время проверок отверстие которое вы просверлили можно заклеить антимагнитной пломбой (они свободно продаюца главное чтобы та антимагнитная пломба которую приклеил жэк и за которую вы расписались была на месте а то-што помимо неё на счетчике еще антимагнитные пломбы это нормально на старых счетчиках их по несколько щтук жек клеит пломбы нового образца а старые не сдерает) Также счетчик можно обшить панелями чтобы была видна только его лицевая часть)))

    Если в воду циркулирующею по трубам отопления попадет Хлор можно обычный хлорный отбеливатель (Типа Белизна) То
    такая добавка сделает со времене хрупкими все Платиковые Трубы и Резиновые Сальники в системе отопления станут хрупкими как стекло
    Против Металических труб работает (ПЕРЕКИСЬВОДОРОДА+СОЛЬ) или (КИСЛОРОДНЫЙОТБЕЛИВАТЕЛЬ+СОЛЬ)
    или (УКСУСНАЯКИСЛОТА70%+СОЛЬ) или (ОТБЕЛИВАТЕЛЬБЕЛЕЗНА+СОЛЬ) Можно заливать сегодня одну смесь завтра другую после завтра третью)) Эти жидкости являюца источниками кислорода а соль ее ускоряет!
    Залить это в систему можно следующим способом
    Закрываюца Оба Крана На Радиаторе Отопления откручиваеца нижняя пробка сливаеца вода с радиатора
    через верхнюю пробку залить эту смесь потом открыть оба крана на батареи отопления смесь уйдет в систему!
    Этот способ особенно эфективен в маленьких (На 10-20 домов Военных городках)
    Можно Работать Из Дома Никуда Не Выходя Подойдет Тем Кто Боица Выдти в Подьезд и Нарисовать Сердечько)))

    Также при отключении горячей воды например на ремонт смесь можно залить через сам кран горячей воды при ее оключении (сли отключие ее горводоканал а не слесарь в подвале дома) идет подсос из квартиры если открыть кран он буквально высасыват все только надо убедица что смесь уходит в городскую магистраль а не к соседу снизу Желательно ее переодически подливать Трубы потихоньку придут в негодность… Соратники пожалуйста распространите

    0

Отправить ответ