uzverss

VLESS + REALITY

Sat, 28 Feb 2026 16:40:00 GMT

развернуть

https://xtls.github.io/ru/document/
https://github.com/XTLS/Xray-examples

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ help

Стандарт иерархии файловых систем (FHS)
installed: /etc/systemd/system/xray.service
installed: /etc/systemd/system/xray@.service

installed: /usr/local/bin/xray
installed: /usr/local/etc/xray/*.json

installed: /usr/local/share/xray/geoip.dat
installed: /usr/local/share/xray/geosite.dat

installed: /var/log/xray/access.log
installed: /var/log/xray/error.log

Основные правила использования
Установите и обновите Xray-core и геоданные с помощью этой команды User=nobody, но она НЕ перезапишет Userсуществующие файлы сервиса.
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Удалите Xray, за исключением файлов json и logs.
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ remove

Удалите Xray, включите JSON и логи.
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ remove --purge

Установка Xray на сервер

bash <(curl -Ls https://github.com/XTLS/Xray-install/raw/main/install-release.sh)

Проверка:
xray version

Сгенерировать ключи REALITY
xray x25519

Private key: XXXXX
Password: YYYYY

Выбери target‑сайт
Важно:
крупный сайт
поддерживает TLS 1.3
не заблокирован у тебя
не «экзотический»
Пример: любой крупный CDN‑сайт, который у тебя открывается стабильно.
Делайте dest под популярный CDN (Cloudflare, Microsoft, Google)
Проверь:
openssl s_client -connect example.com:443 -tls1_3

Генерируем UUID для VLESS
xray uuid или cat /proc/sys/kernel/random/uuid

Генерируем SHORT_ID
openssl rand -hex 8

shortIds — это короткий идентификатор, который:
передаётся клиентом при подключении
проверяется сервером
участвует в аутентификации REALITY
Без правильного shortId соединение не установится.
Это hex‑строка
8–16 символов
только 0–9 и a–f
без пробелов

Где указывается
На сервере (config.json)

"shortIds": [
  "6ba85179e30d4fc2"
]

Можно указать несколько:

"shortIds": [
  "a1b2c3d4",
  "6ba85179",
  "9f8e7d6c"
]

Конфиг лежит здесь:
/usr/local/etc/xray/config.json

Что заменить:
ВАШ-UUID
ВАШ-PRIVATE-KEY
shortIds (8–16 hex символов)

Открываем порт 443
Если включён firewall:
ufw allow 443/tcp

Запуск Xray
systemctl restart xray
systemctl enable xray
systemctl status xray
systemctl cat xray
Если всё зелёное — сервер готов.

запущенные
systemctl list-units --state=running
systemctl list-units --type=service --state=running

стартующие при загрузке
systemctl list-unit-files --type=service --state=enabled

узнать, стоит ли в автозагрузке твой xray
systemctl is-enabled xray

Как быстро проверить JSON
На сервере:
cat /usr/local/etc/xray/config.json | python3 -m json.tool
Если есть ошибка — Python покажет строку.
Проверка самим Xray:
xray run -test -config /usr/local/etc/xray/config.json

Используем Xray как клиент

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

конфигурационный файл config.json:

{
  "log": {
    "loglevel": "info"
  },
  "inbounds": [
    {
      "port": 1080,
      "listen": "127.0.0.1",
      "protocol": "socks",
      "settings": {
        "auth": "noauth",
        "udp": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls"]
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "vless",
      "tag": "proxy",
      "settings": {
        "vnext": [
          {
            "address": "IP_ВАШЕГО_СЕРВЕРА", 
            "port": 443, 
            "users": [
              {
                "id": "ВАШ-UUID", 
                "encryption": "none"
                /* Строка "flow": "xtls-rprx-vision" УДАЛЕНА, комментарии как в Cи */
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "grpc",
        "security": "reality",
        "grpcSettings": {
          "serviceName": "grpc-video-speed"
        },
        "realitySettings": {
          "serverName": "САЙТ_ДЛЯ_МАСКИРОВКИ",
          "publicKey": "ВАШ_PUBLIC_KEY",
          "fingerprint": "chrome",
          "shortId": "ВАШ_SHORT_ID" 
        }
      }
    },
    {
      "protocol": "freedom",
      "tag": "direct"
    }
  ],
  "dns": {
    "tag": "dns-in",
    "queryStrategy": "UseIPv4",
    "servers": [
      "8.8.8.8",
      "1.1.1.1",
      "localhost"
    ]
  },
  "routing": {
    "domainStrategy": "IPOnDemand",
    "rules": [
      {
        "type": "field",
        "port": 53,
        "network": "udp",
        "outboundTag": "proxy" 
      },
      {
        "type": "field",
        "ip": ["geoip:private", "geoip:ru"], 
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "network": "tcp,udp",
        "outboundTag": "proxy"
      }
    ]
  }
}

Замените все поля на свои значения: UUID, PASSWORD (PublicKey), SHORT_ID, IP сервера САЙТ_ДЛЯ_МАСКИРОВКИ.

Запуск Xray клиента
xray run -c config.json

По умолчанию создаст SOCKS5 прокси на 127.0.0.1:1080.

Использование в Linux
Через браузер

Настрой SOCKS5 прокси: 127.0.0.1:1080
Или через proxychains:

sudo vim /etc/proxychains4.conf
Удали строку socks4 127.0.0.1 9050 и добавь свою: socks5 127.0.0.1 1080
или просто заменить всё на это

proxychains4 firefox
или
proxychains4 curl https://1.1.1.1

проверка
proxychains4 curl ifconfig.me \n;

Запустить любой скрипт:
proxychains4 python3 script.py

ProxyChains подменяет системные вызовы динамических библиотек. Если программа статически скомпилирована (например, на языке Go, как сам Xray или Docker), ProxyChains может с ней не сработать. В таких случаях используют переменные окружения:
export https_proxy=http://127.0.0.1:1080

Через системный прокси
Можно выставить переменные окружения:

export https_proxy=socks5://127.0.0.1:1080
export http_proxy=socks5://127.0.0.1:1080
И браузер/утилиты будут использовать VPN туннель.

Проверка работы
curl -x socks5h://127.0.0.1:1080 https://1.1.1.1

Если вернулось содержимое страницы → подключение работает.

проверка DNS
https://dnsleaktest.com/
https://mullvad.net/ru/check

Можно подключаться к Server по ssh через xray. Одной строкой:
ssh root@server.xray.com -o "ProxyCommand=nc -X connect -x 127.0.0.1:10808 %h %p"

sudo apt install qt5-default qt5-qmake qtbase5-dev-tools
wget https://github.com/qv2ray/qv2ray/releases/download/vX.Y.Z/Qv2ray-vX.Y.Z.AppImage

https://github.com/2dust/v2rayN/releases
https://github.com/v2rayA/v2rayA/releases

тунеллирование через sing-box

https://sing-box.sagernet.org/installation/package-manager/

vi /etc/systemd/system/sing-box.service

или Editing /etc/systemd/system/sing-box.service.d/override.conf
sudo systemctl edit sing-box

глянуть запущенные сервисы
systemctl list-units --type=service --state=running

sudo systemctl cat sing-box
sudo systemctl daemon-reload
sudo systemctl enable --now sing-box

минимальный конфиг в /etc/resolv.conf должно быть nameserver 8.8.8.8
vi /etc/sing-box/config.json

конфиг с тунеллированием всего, кроме зоны ru и прочих российских доменов

{
  "log": {
    "level": "info"
  },
  "dns": {
    "servers": [
      {
        "type": "udp",
        "tag": "dns-direct",
        "server": "8.8.8.8"
      }
    ]
  },
  "inbounds": [
    {
      "type": "tun",
      "tag": "tun-in",
      "address": [
        "172.19.0.1/30"
      ],
      "auto_route": true,
      "strict_route": false,
      "stack": "system"
    }
  ],
  "outbounds": [
    {
      "type": "socks",
      "tag": "proxy",
      "server": "127.0.0.1",
      "server_port": 1080
    },
    {
      "type": "direct",
      "tag": "direct"
    }
  ],
  "route": {
    "auto_detect_interface": true,
    "rules": [
      {
        "user": [
          "nobody"
        ],
        "outbound": "direct"
      },
      {
        "inbound": "tun-in",
        "action": "sniff"
      },
      {
        "protocol": "dns",
        "action": "route",
        "outbound": "direct"
      },
      {
        "port": 53,
        "action": "hijack-dns"
      },
      {
        "domain_suffix": [
          "ru",
          "su",
          "rf",
          "xn--p1ai",
          "by",
          "kz",
          "local",
          "home",
          "lan"
        ],
        "domain": [
          "yadro.com",
          "protei.me",
          "protei.com",
          "rkn.gov.ru",
          "rsoc.ru",
          "grfc.ru",
          "mvd.ru",
          "fsb.ru",
          "gov.ru",
          "gosuslugi.ru",
          "esia.gosuslugi.ru",
          "crpt.ru",
          "честныйзнак.рф",
          "xn--80ajghhoc2aj1c8b.xn--p1ai",
          "fias.nalog.ru",
          "egais.ru",
          "sberbank.ru",
          "tbank.ru",
          "vtb.ru",
          "qiwi.com",
          "vk.com",
          "avito.ru",
          "ozon.ru",
          "wildberries.ru",
          "okko.tv",
          "kinopoisk.ru",
          "gosuslugi.com",
          "esia-gosuslugi.org",
          "gosuslugi-dev.com",
          "code-inside.com",
          "isg-neuro.com",
          "ntechlab.com"
        ],
        "domain_keyword": [
          "yandex",
          "vkontakte"
        ],
        "ip_cidr": [
          "127.0.0.0/8",
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16"
        ],
        "outbound": "direct"
      },
      {
        "ip_version": 6,
        "action": "reject"
      }
    ]
  }
}

конфиг с тунеллированием всего, кроме зоны ru и прочих российских доменов и systemd-resolved

{
  "log": {
    "level": "info"
  },
  "dns": {
    "servers": [
      {
        "type": "udp",
        "tag": "dns-direct",
        "server": "8.8.8.8"
      }
    ],
    "rules": [
      {
        "action": "route",
        "server": "dns-direct"
      }
    ],
    "final": "dns-direct",
    "strategy": "ipv4_only"
  },
  "inbounds": [
    {
      "type": "tun",
      "tag": "tun-in",
      "address": [
        "172.19.0.1/30"
      ],
      "auto_route": true,
      "strict_route": false,
      "stack": "mixed"
    }
  ],
  "outbounds": [
    {
      "type": "socks",
      "tag": "proxy",
      "server": "127.0.0.1",
      "server_port": 1080
    },
    {
      "type": "direct",
      "tag": "direct",
      "domain_resolver": "dns-direct"
    }
  ],
  "route": {
    "auto_detect_interface": true,
    "rules": [
      {
        "port": 53,
        "action": "hijack-dns"
      },
      {
        "user": [
          "systemd-resolve",
          "systemd-network",
          "sing-box",
          "nobody"
        ],
        "outbound": "direct"
      },
      {
        "port": 1080,
        "outbound": "direct"
      },
      {
        "inbound": "tun-in",
        "action": "sniff"
      },
      {
        "domain_suffix": [
          "ru", "su", "rf", "xn--p1ai", "by", "kz", "local", "home", "lan"
        ],
        "domain": [
          "yadro.com", "protei.me", "protei.com", "rkn.gov.ru", "rsoc.ru", 
          "grfc.ru", "mvd.ru", "fsb.ru", "gov.ru", "gosuslugi.ru", 
          "esia.gosuslugi.ru", "crpt.ru", "честныйзнак.рф", 
          "xn--80ajghhoc2aj1c8b.xn--p1ai", "fias.nalog.ru", "egais.ru", 
          "sberbank.ru", "tbank.ru", "vtb.ru", "qiwi.com", "vk.com", 
          "avito.ru", "ozon.ru", "wildberries.ru", "okko.tv", 
          "kinopoisk.ru", "gosuslugi.com", "esia-gosuslugi.org", 
          "gosuslugi-dev.com", "code-inside.com", "isg-neuro.com", 
          "ntechlab.com"
        ],
        "domain_keyword": [
          "yandex", "vkontakte"
        ],
        "ip_cidr": [
          "127.0.0.0/8", "10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16"
        ],
        "outbound": "direct"
      },
      {
        "auth_user": [],
        "outbound": "proxy"
      },
      {
        "ip_version": 6,
        "action": "reject"
      }
    ]
  }
}

sudo ufw allow from 172.19.0.0/30

sudo systemctl restart systemd-resolved
sudo systemctl restart sing-box

проверка корректности конфигурации
/usr/bin/sing-box check -c /etc/sing-box/config.json
sudo systemctl status sing-box
sudo journalctl -u sing-box -n 20 --no-pager

проверка работы
curl icanhazip.com # ip прокси
curl 2ip.ru # ip адрес без прокси

в одной консоли
sudo tcpdump -i eth0 -A -n "tcp port 443" | grep -Ei "yandex|google"
в другой
sudo tcpdump -i tun0 -A -n "tcp port 443" | grep -Ei "yandex|google"
в третьей
curl https://google.com
затем
curl https://yandex.ru

Подключение в Android через v2rayNG

Устанавливаем v2rayNG из GitHub.
https://github.com/2dust/v2rayNG/releases

qr код
qrencode -t ansiutf8 "vless://ВАШ-UUID@IP_ВАШЕГО_СЕРВЕРА:443?mode=gun&security=reality&encryption=none&pbk=ВАШ_PUBLIC_KEY&fp=chrome&type=grpc&serviceName=grpc-video-speed&sni=САЙТ_ДЛЯ_МАСКИРОВКИ&sid=SHORT_ID#Название_Сервера"

нужно заменить:
ВАШ-UUID
IP_ВАШЕГО_СЕРВЕРА
ВАШ_PUBLIC_KEY
SHORT_ID
САЙТ_ДЛЯ_МАСКИРОВКИ

и отредактировать полученный конфиг в приложении, в частности добавить в SpiderX значение /

ошибки подключения

Проверка логов Xray
На сервере:
journalctl -u xray -f

Попробуй подключиться и смотри:
Если логов НЕТ
→ трафик до сервера не доходит (блокировка или порт закрыт)

Если есть ошибка типа:
invalid short id
invalid user
→ ошибка конфигурации.

Типичные признаки ошибки конфигурации
PublicKey неправильный
shortId не совпадает
SNI ≠ serverNames
dest ≠ serverNames
включён midsa65Verify

ссылки

https://github.com/XTLS
https://github.com/2dust/v2rayNG
https://finevpn.org/ru/what-is-xray-in-vpn/
Используем Xray как VPN
Собственный VPN Vless Reality на X-Ray Core. Установка ядра X-Ray Core
https://www.youtube.com/watch?v=PHn5JE9rXgg

comments

гайд по v2fly

Fri, 30 Jan 2026 20:57:01 GMT

раскрыть для чтения

https://github.com/v2fly
https://www.v2fly.org/en_US/guide/start.html
https://hub.docker.com/r/v2fly/v2fly-core

Установка
Самый быстрый способ — использовать официальный установочный скрипт для Linux:
curl -Ls https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh | sudo bash

Этот скрипт установит ядро в /usr/local/bin/v2ray и подготовит директории для конфигурации.
2. Конфигурация
Файл настроек обычно находится по пути /usr/local/etc/v2ray/config.json. Для минимальной работы (протокол VMess) необходимо:
Сгенерировать UUID (ваш идентификатор/пароль): cat /proc/sys/kernel/random/uuid.
Отредактировать файл, указав в секции inbounds:
port: номер порта (например, 10086).
protocol: vmess.
id: ваш сгенерированный UUID.

Запуск и проверка
После сохранения настроек активируйте службу:
Запуск: sudo systemctl start v2ray.
Автозапуск: sudo systemctl enable v2ray.
Проверка статуса: systemctl status v2ray.

Для подключения используйте приложения v2rayN (Windows), v2rayA (Linux/Web) или V2Box (iOS). В клиенте нужно создать новый профиль, указав IP сервера, порт, протокол (VMess) и ваш UUID.

Где указывать «пароли» (UUID) в конфиге
В файле /usr/local/etc/v2ray/config.json пользователи перечисляются в массиве clients внутри секции inbounds

Важные моменты:
Генерация: Чтобы создать новый «пароль», выполните в терминале команду cat /proc/sys/kernel/random/uuid.
Идентификация: Поле email необязательно, оно служит только для того, чтобы вы могли отличить один UUID от другого в логах.
Протокол Trojan: Если вы используете протокол Trojan, там вместо UUID используется обычная текстовая строка (пароль). В секции settings для него это выглядит так: "clients": [{"password": "ваш_пароль"}].
Протокол Shadowsocks: Если вы настраиваете Shadowsocks внутри V2Ray, пароль задается в поле "password": "ваш_пароль" в настройках входящего соединения.

Для протокола VMess "паролем" является UUID. Вот минимальный рабочий пример секции inbounds для файла config.json.
Пример конфига (Server side)

Главные правила:
UUID: Должен быть в формате 8-4-4-4-12 символов. Генерируйте новый для каждого клиента командой cat /proc/sys/kernel/random/uuid.
alterId: В современных версиях V2Fly (V2Ray 4.28.1+) рекомендуется ставить 0. Если на клиенте стоит старое приложение, может потребоваться одинаковое значение (например, 64) и там, и там.

Получение сертификата
Самый простой способ — использовать acme.sh. Замените example.com на ваш домен:
bash
curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt
~/.acme.sh/acme.sh --issue -d example.com --standalone

После этого скопируйте файлы сертификатов в папку V2Ray:
bash
~/.acme.sh/acme.sh --install-cert -d example.com \
--fullchain-file /usr/local/etc/v2ray/v2ray.crt \
--key-file /usr/local/etc/v2ray/v2ray.key

Конфигурация сервера (VMess + TLS)

Конфигурация сервера (VMess + TLS)
Отредактируйте /usr/local/etc/v2ray/config.json, добавив блок streamSettings:

Настройка VMess + WS + TLS

Настройка сервера (config.json)
Измените блок streamSettings, чтобы добавить поддержку WebSocket и указать путь (path):

Настройка Cloudflare (необязательно, но полезно)
Если вы хотите скрыть IP сервера:
В панели Cloudflare (раздел DNS) включите «Proxy status» (оранжевое облако) для вашей записи.
В разделе SSL/TLS установите режим «Full» или «Full (strict)».
3. Настройка клиента
В приложении укажите:
Транспорт/Сеть: ws (WebSocket).
Путь (Path): /video.
TLS: Включено.
SNI / Pseudo-host: ваш домен.

Использование Nginx в качестве фронтенда — самый надежный метод. Для цензора это выглядит как обычный сайт (например, блог), но обращения к секретному пути Nginx перенаправляет в V2Ray.
1. Конфигурация Nginx
Создайте файл /etc/nginx/sites-available/v2ray и вставьте туда настройки:

Не забудьте активировать конфиг: ln -s /etc/nginx/sites-available/v2ray /etc/nginx/sites-enabled/ и перезапустить Nginx: systemctl restart nginx.
2. Конфигурация V2Ray (изменения)
Теперь сервер V2Ray должен слушать только локальный порт и без TLS (так как TLS уже обрабатывает Nginx):

Итог
Снаружи: Всё выглядит как HTTPS-сайт на 443 порту.
Внутри: Nginx «отрезает» запросы на /video и отдает их V2Ray.

Настройка клиента

В приложении (например, v2rayN или V2Box) измените следующие параметры:
Port: 443
TLS: включить (on / tls)
SNI (Server Name): ваш домен (example.com)
Важно: Убедитесь, что порт 80 (для выпуска сертификата) и 443 (для работы V2Ray) открыты в фаерволе: ufw allow 80,443/tcp.
Рекомендуемые клиенты:
https://github.com/2dust/v2rayNG
https://github.com/2dust/v2flyNG

В чем разница?
v2rayNG — это стандартный графический клиент. Он самый стабильный и проверенный.
v2flyNG — часто используется для тестов новых функций ядра V2Fly.

Где взять правильный v2rayNG:
GitHub (рекомендуется): https://github.com/2dust/v2rayng/releases (ищите APK с пометкой arm64-v8a).
Google Play: v2rayNG.

Как быстро настроить:
Скачайте .apk (обычно файл v2rayNG_x.x.x_arm64-v8a.apk).
Нажмите "+" в приложении.
Выберите Type: VMess.
Введите данные из вашего конфига:
Address: ваш домен.
Port: 443.
ID: ваш UUID.
Security: auto.
Network: ws.
Path: /video.
TLS: tls.

Вот готовый шаблон для вашей конфигурации (VMess + WS + TLS).
1. Подготовьте данные
Замените значения на свои:
v: Версия (оставляем 2)
ps: Название профиля (любое имя)
add: Ваш домен (например, myserver.com)
port: 443
id: Ваш UUID
path: /video
sni: Ваш домен

Готовая ссылка (пример)

Чтобы быстро получить готовую ссылку прямо в консоли сервера (без сторонних сайтов), выполните эту команду.
Замените ВАШ_ДОМЕН и ВАШ_UUID на свои данные перед запуском:

Что делает эта команда:
Формирует нужный JSON.
Кодирует его в Base64 (флаг -w 0 убирает переносы строк).

Как импортировать в v2rayNG:
Возьмите получившуюся Base64-строку.
Добавьте в начало префикс vmess://.
Итоговая строка должна выглядеть примерно так: vmess://eyB2IjogIjIiLCAicHMiOiAiTW...
Скопируйте её в телефоне.
В v2rayNG нажмите "+" вверху и выберите "Import config from clipboard"

Генерация нового UUID (вашего уникального "пароля") выполняется одной простой командой:

Или, если в системе установлен пакет uuid-runtime
uuidgen

Скопируйте полученный код (вида 550e8400-e29b-41d4-a716-446655440000).
Вставьте его в ваш конфиг /usr/local/etc/v2ray/config.json на сервере.
Вставьте его же в команду для генерации ссылки vmess://, которую я давал выше.

Важно: После изменения UUID в файле конфигурации на сервере, не забудьте перезапустить службу V2Ray, чтобы изменения вступили в силу:
sudo systemctl restart v2ray

Для Linux есть три основных пути: от простого интерфейса до работы в консоли.
1. v2rayA (Рекомендуемый — Web-интерфейс)
Установка:
curl -Ls https://mirrors.v2raya.org | sudo bash
sudo systemctl enable --now v2raya
Как пользоваться: Откройте в браузере http://localhost:2017, создайте аккаунт и просто вставьте вашу ссылку vmess://. Нажмите "Import", затем "Select" и "Ready".

2. Nekoray / Nekobox (Графическое приложение)
https://github.com/MatsuriDayo/nekoray
сайт en.nekoray.org — это неофициальный ресурс.
Хотя он выглядит как «официальная страница», разработчик проекта (MatsuriDayo) неоднократно заявлял, что единственным официальным источником является GitHub.
Установка: Скачайте .deb пакет или AppImage с GitHub Nekoray.
Запуск: Разрешите выполнение (chmod +x) и запустите. В меню выберите «Program» -> «Import from clipboard».
Как запустить и настроить:
При первом запуске он предложит выбрать ядро — выбирайте sing-box (оно современнее и быстрее).
Скопируйте вашу ссылку vmess://.
В программе нажмите Program → Add profile from clipboard (или просто Ctrl+V).
Нажмите правой кнопкой на добавленный сервер → Start.
Важно: Чтобы весь трафик системы пошел через прокси, поставьте галочку System Proxy (внизу или в меню).

3. V2Fly (Ядро через консоль)
curl -Ls https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh | sudo bash

Настройка: Вам придется вручную создать файл /usr/local/etc/v2ray/config.json с секцией outbounds, где будут указаны данные вашего сервера (те же, что мы зашивали в ссылку).
Вот как должен выглядеть файл /usr/local/etc/v2ray/config.json на вашем компьютере:

Разбор ключевых секций:
inbounds: Создает на вашем ПК локальный прокси. В примере выше это SOCKS5 на порту 1080.
outbounds: Описывает, куда V2Ray должен отправлять трафик. Здесь мы прописали ваш сервер, UUID, WebSocket путь (/video) и включили TLS.
freedom: Нужен, чтобы V2Ray умел ходить в сеть напрямую, если вы добавите правила маршрутизации.

Чтобы разделять трафик, в секцию routing добавляются правила (rules). Мы укажем V2Ray отправлять трафик на домены .ru и российские IP напрямую (direct), а всё остальное — через ваш прокси-сервер (outbound).
Добавьте блок routing в ваш config.json (обычно после outbounds):

Что здесь происходит:
domainStrategy: Сначала проверяет домен, если не совпало — проверяет IP.
geosite:ru: Использует встроенную базу доменов РФ.
regexp:.*\.ru$: Регулярное выражение, направляющее все сайты в зоне .ru мимо прокси.
geoip:ru: Использует базу IP-адресов РФ, чтобы российские сервисы не блокировали вас за «иностранный» вход.
geoip:private: Исключает из проксирования ваши локальные ресурсы (роутер, принтер).

Важное примечание:
Для работы geosite и geoip на Debian должны быть установлены соответствующие файлы баз (обычно лежат в /usr/local/share/v2ray/). Если их нет, скачайте их:
sudo curl -L -o /usr/local/share/v2ray/geoip.dat https://github.com
sudo curl -L -o /usr/local/share/v2ray/geosite.dat https://github.com
После правок не забудьте: sudo systemctl restart v2ray

Чтобы базы IP и доменов не устаревали, лучше всего настроить ежедневное обновление через systemd-таймер. Это надежнее, чем обычный cron.
1. Создайте скрипт обновления
Создайте файл /usr/local/bin/update-v2ray-rules.sh:
sudo nano /usr/local/bin/update-v2ray-rules.sh

Вставьте туда следующий код:

Сделайте его исполняемым:
sudo chmod +x /usr/local/bin/update-v2ray-rules.sh
Создайте Systemd сервис
Создайте файл /etc/systemd/system/v2ray-rules-update.service:

Создайте Таймер (запуск раз в сутки)
Создайте файл /etc/systemd/system/v2ray-rules-update.timer:

Активируйте таймер
sudo systemctl daemon-reload
sudo systemctl enable --now v2ray-rules-update.timer

Увидеть статус таймера и время следующего запуска: systemctl list-timers --all | grep v2ray
Запустить обновление вручную прямо сейчас: sudo systemctl start v2ray-rules-update.service

Чтобы провайдер не перехватывал ваши DNS-запросы (DNS Poisoning), нужно настроить внутри V2Ray собственный DNS-сервер. В связке с правилами маршрутизации это позволит запрашивать IP российских сайтов через системный DNS, а заблокированных — через защищенный Google/Cloudflare.
Добавьте блок dns и обновите routing в вашем config.json:

Как это работает:
Локальные домены: Если вы заходите на yandex.ru, V2Ray видит правило geosite:ru и спрашивает IP у вашего обычного (localhost) DNS.
Заблокированные домены: Если вы идете на заблокированный ресурс, V2Ray отправляет зашифрованный запрос через ваш outbound (сервер) к Google DNS (8.8.8.8).
Скрытие запросов: Провайдер больше не видит, какие именно сайты вы пытаетесь открыть.
Последний штрих:
Чтобы весь системный трафик в Debian начал использовать этот DNS, в настройках сети (или в файле /etc/resolv.conf) обычно указывают nameserver 127.0.0.1.
Важно: Убедитесь, что в секции inbounds у вашего SOCKS-прокси включена поддержка UDP ("udp": true), иначе DNS не заработает.

Вот полный файл конфигурации клиента для Debian (/usr/local/etc/v2ray/config.json). Он объединяет в себе локальный SOCKS5-прокси, шифрование TLS, WebSocket, разделение трафика (РФ напрямую, остальное через сервер) и защищенный DNS.
Финальный конфиг (Client side)

{
  "dns": {
    "servers": [
      {
        "address": "8.8.8.8",
        "port": 53,
        "domains": ["geosite:geolocation-!cn"]
      },
      {
        "address": "1.1.1.1",
        "port": 53
      },
      {
        "address": "localhost",
        "port": 53,
        "domains": ["geosite:ru", "regexp:.*\\.ru$"]
      }
    ]
  },
  "inbounds": [
    {
      "port": 1080,
      "listen": "127.0.0.1",
      "protocol": "socks",
      "settings": {
        "udp": true,
        "auth": "noauth"
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls"]
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "vmess",
      "tag": "proxy",
      "settings": {
        "vnext": [
          {
            "address": "ВАШ_ДОМЕН",
            "port": 443,
            "users": [
              {
                "id": "ВАШ_UUID",
                "alterId": 0,
                "security": "auto"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "security": "tls",
        "tlsSettings": {
          "serverName": "ВАШ_ДОМЕН"
        },
        "wsSettings": {
          "path": "/video"
        }
      }
    },
    {
      "protocol": "freedom",
      "tag": "direct",
      "settings": {}
    },
    {
      "protocol": "blackhole",
      "tag": "block",
      "settings": {}
    }
  ],
  "routing": {
    "domainStrategy": "IPOnDemand",
    "rules": [
      {
        "type": "field",
        "ip": ["8.8.8.8", "1.1.1.1"],
        "outboundTag": "proxy"
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "domain": ["geosite:ru", "regexp:.*\\.ru$"]
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "ip": ["geoip:private", "geoip:ru"]
      }
    ]
  }
}

Что нужно сделать после сохранения:
Замените заглушки: Вместо ВАШ_ДОМЕН и ВАШ_UUID вставьте свои данные.

Сохраните конфиг.
Проверьте его на ошибки:
v2ray test -c /usr/local/etc/v2ray/config.json

Перезапустите службу:
sudo systemctl restart v2ray

Как пользоваться:
Теперь в Telegram или в настройках прокси браузера (через расширение типа Proxy SwitchyOmega) укажите:
Тип: SOCKS5
Адрес: 127.0.0.1
Порт: 1080

Для браузера (Chrome, Firefox, Edge) лучшим инструментом является расширение Proxy SwitchyOmega. Оно позволяет не переключать прокси в настройках всей системы, а управлять ими прямо в браузере.
https://github.com/zero-peak/ZeroOmega
1. Установка
Chrome Web Store
https://chromewebstore.google.com/detail/proxy-switchyomega-3-zero/pfnededegaaopdmhkdmcofjmoldfiped
Firefox Add-ons
https://addons.mozilla.org/en-US/firefox/addon/zeroomega/

2. Настройка профиля
После установки откройте параметры расширения:
Нажмите "New profile", введите имя (например, V2Ray) и выберите тип Proxy Profile.
В таблице настроек укажите:
Protocol: SOCKS5
Server: 127.0.0.1
Port: 1080 (тот самый, что мы указали в inbounds конфига).
Нажмите "Apply changes" (слева внизу).

VLESS + Reality + Vision

bash -c "$(curl -L https://raw.githubusercontent.com/XTLS/Xray-install/main/install-release.sh)" @ install
Генерация ключей: xray x25519
Генерация UUID: xray uuid
Конфиг сервера: Файл /usr/local/etc/xray/config.json. Основной фокус там в секции realitySettings, где указывается dest (например, google.com:443) и ваш privateKey.

VLESS + Reality работает на порту 443 и требует обязательного наличия privateKey в конфиге, иначе Xray просто не запустится.

Секция Inbounds для сервера:

Как заполнить пропуски (команды для сервера):
UUID: Создайте новый идентификатор:
xray uuid
Ключи: Сгенерируйте пару (в конфиг выше вставляйте только Private):
xray x25519
Short ID: Сгенерируйте любую hex-строку из 8 или 16 символов:
openssl rand -hex 8
Почему выбран именно dl.google.com:
Этот домен используется для загрузки обновлений Chrome. Трафик к нему огромен, постоянен и идет со всего мира. Это идеальное «укрытие» для вашего VPN-трафика, так как цензоры не рискнут блокировать домены обновлений браузеров.

Как проверить работу после правки:
Запустите тест конфигурации, чтобы убедиться, что ни одна скобка не потеряна:
xray test -c /usr/local/etc/xray/config.json
Если в ответ получите Configuration OK, перезапускайте:
systemctl restart xray

Чтобы ссылка корректно импортировалась в v2rayNG (Android) или NekoRay (Debian), она должна содержать все параметры Reality. В протоколе VLESS они передаются как параметры запроса.
Шаблон ссылки VLESS + Reality:

Разбор параметров (что на что менять):
ВАШ_UUID: Идентификатор из конфига сервера.
IP_СЕРВЕРА: Публичный IP вашего VPS.
pbk (Public Key): Ваш Публичный ключ (тот, что шел в паре с privateKey). Важно: на сервере лежит приватный, а в ссылке — публичный.
sid (Short ID): Тот же hex-код из 8 символов, что вы вписали в конфиг.
sni: Домен маскировки (dl.google.com).
fp: Fingerprint (отпечаток браузера). Ставим chrome, чтобы трафик выглядел как запросы из браузера.
flow: xtls-rprx-vision — обязательный параметр для защиты от активного сканирования.

Как быстро сгенерировать ссылку прямо на сервере:
Если не хочется подставлять данные вручную, выполните эту команду на сервере (предварительно задав переменные):

Как импортировать:
Скопируйте готовую строку в буфер обмена.
В v2rayNG или NekoRay нажмите "+" или "Import from clipboard".
Нажмите на иконку «молнии» или выполните Ping, чтобы проверить доступность.

Вот пошаговый алгоритм:
1. Правильный выбор ядра
При импорте ссылки в NekoRay:
Зайдите в меню Preferences -> Basic Settings.
Убедитесь, что в качестве ядра (Core) выбрано sing-box. Протокол Reality (особенно с xtls-rprx-vision) лучше всего работает именно на этом ядре.

2. Режим TUN (Проксирование всей системы)
Чтобы не настраивать каждое приложение отдельно:
Запустите NekoRay от имени администратора (или он сам запросит пароль при включении режима).
В главном окне установите галочку TUN Mode.
Теперь весь трафик Debian (терминал, браузер, системные обновления) пойдет через ваш сервер.

3. Решение проблем с DNS на Debian
Часто сайты не открываются, потому что DNS-запросы «утекают» или блокируются. В NekoRay:
Перейдите в Preferences -> Routing Settings.
Выберите вкладку DNS.
Установите флажок Remote DNS на 8.8.8.8 или 1.1.1.1.
В поле DNS Strategy выберите Prefer IPv4 (это решит 90% проблем с долгим открытием страниц).

4. Если используете консольный V2Fly (Ядро через терминал)
Если вы решили не использовать графический интерфейс, ваш /usr/local/etc/v2ray/config.json должен содержать блок outbounds для Reality. В отличие от VMess, структура будет такой:

Если вы планируете смотреть YouTube через браузер, рекомендую в расширении ZeroOmega просто выбрать профиль «System Proxy» (или настроенный SOCKS5 на порт 2081 — стандарт для NekoRay).

1. Установка ядра на клиент (Debian)
Если еще не ставили, используйте тот же скрипт, что и на сервере:

2. Чистый конфиг клиента (/usr/local/etc/xray/config.json)
Этот конфиг создаст локальный SOCKS5 и HTTP прокси, через которые вы сможете пустить трафик.

3. Запуск и проверка
Перезапуск: systemctl restart xray
Проверка статуса: systemctl status xray
Проверка работы туннеля через прокси:
curl -x socks5h://127.0.0.1:1080 ifconfig.me

4. Использование в консоли
Чтобы временные команды в текущей сессии терминала шли через прокси (например, скачивание обучающих материалов через wget), выполните:
export http_proxy="http://127.0.0.1:1081"
export https_proxy="http://127.0.0.1:1081"
Важное уточнение: Для браузера в ZeroOmega теперь указывайте SOCKS5 порт 1080.

Для корректной работы с государственными и локальными ресурсами на Debian, блок routing на стороне клиента должен принудительно направлять трафик РФ в обход прокси.
Вставьте этот блок в /usr/local/etc/xray/config.json на вашем ПК:

{
  "routing": {
    "domainStrategy": "IPOnDemand",
    "rules": [
      {
        "type": "field",
        "outboundTag": "direct",
        "domain": [
          "geosite:ru",
          "regexp:.*\\.gov\\.ru$",
          "regexp:.*\\.nalog\\.ru$",
          "regexp:.*\\.gosuslugi\\.ru$"
        ]
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "ip": [
          "geoip:ru",
          "geoip:private"
        ]
      },
      {
        "type": "field",
        "outboundTag": "proxy",
        "network": "tcp,udp"
      }
    ]
  },
  "outbounds": [
    {
      "protocol": "vless",
      "tag": "proxy",
      "settings": {
        "vnext": [{
          "address": "IP_СЕРВЕРА",
          "port": 443,
          "users": [{
            "id": "UUID",
            "encryption": "none",
            "flow": "xtls-rprx-vision"
          }]
        }]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "publicKey": "PUBLIC_KEY",
          "shortId": "SHORT_ID",
          "sni": "dl.google.com",
          "fingerprint": "chrome"
        }
      }
    },
    {
      "protocol": "freedom",
      "tag": "direct",
      "settings": {}
    }
  ]
}

Почему это важно для госсайтов:
Геоблокировка: Многие ресурсы (Госуслуги, Налоговая) блокируют доступ с иностранных IP-адресов вашего VPS. Правило geoip:ru решает эту проблему.
Шифрование: Госсайты часто используют специфические сертификаты. Прямое соединение (direct) позволяет избежать ошибок SSL/TLS.
Скорость: Локальные зеркала репозиториев Debian в зоне .ru будут работать на максимальной скорости вашего провайдера.
Важно: Убедитесь, что у вас скачаны файлы баз в /usr/local/share/xray/geoip.dat и geosite.dat (скрипт установки обычно делает это сам).

Чтобы увидеть, как Xray распределяет трафик в реальном времени, нужно включить логирование. Это позволит вам убедиться, что Госуслуги идут напрямую (direct), а обучающие материалы — через сервер (proxy).
1. Включите логи в конфиге
Добавьте блок log в начало вашего /usr/local/etc/xray/config.json:

2. Создайте папку для логов и дайте права
Xray должен иметь право писать в этот файл:
bash
sudo mkdir -p /var/log/xray
sudo chown nobody:nogroup /var/log/xray
sudo systemctl restart xray

3. Проверка в реальном времени (самое интересное)
Запустите мониторинг и попробуйте открыть какой-нибудь сайт:
tail -f /var/log/xray/access.log
Что вы увидите в консоли:
[Info] ... accepted tcp:yandex.ru:443 ... [direct] — значит правило сработало, трафик пошел мимо VPN.
[Info] ... accepted tcp:youtube.com:443 ... [proxy] — трафик успешно ушел в туннель Reality.

После настройки и проверки рекомендую изменить loglevel обратно на warning, чтобы не забивать диск лишней информацией.

4. Отладка без файлов
Если не хотите плодить логи на диске, можно просто смотреть вывод службы:
journalctl -u xray -f

1. Настройка внутри Telegram
Зайдите в приложение и пройдите по пути:
Настройки (Settings) → Продвинутые настройки (Advanced) → Тип соединения (Connection Type).
Выберите Использовать собственный прокси (Use custom proxy).
Нажмите Добавить прокси (Add proxy).
2. Параметры подключения:
Тип: SOCKS5
Хост: 127.0.0.1
Порт: 1080 (тот, что вы указали в inbounds файла config.json).
Логин/Пароль: Оставьте пустыми (мы настроили noauth).

Полезный лайфхак:
Если вы хотите поделиться доступом с семьей или использовать прокси на другом устройстве в этой же локальной сети, замените в конфиге listen: 127.0.0.1 на listen: 0.0.0.0. Тогда в Telegram на телефоне (подключенном к тому же Wi-Fi) можно будет указать локальный IP вашего компьютера (например, 192.168.1.50).

Лучшие варианты для Android:
v2rayNG (версия 1.8.5+) — Рекомендуемый.
Google Play / GitHub.
Как добавить: Нажмите + -> «Import config from clipboard» (вставьте ту самую длинную ссылку vless://, которую мы составили). Он идеально понимает Reality.
NekoBox — Самый быстрый.
GitHub.
Плюс: Он использует ядро sing-box, которое работает с Reality чуть экономнее для батареи смартфона.
v2flyNG — Тот, на который вы давали ссылку ранее.
Тоже подходит, так как базируется на свежих ядрах, но интерфейс у него чуть более специфический.

На что нажать в настройках (если вводите вручную):
Если решите не использовать ссылку, а вбивать руками в v2rayNG:
Protocol: VLESS
Flow: xtls-rprx-vision (это критично для маскировки)
Security: reality
SNI: dl.google.com
Fingerprint: chrome
PublicKey: Ваш публичный ключ с сервера.
Маленький совет: В Android-клиентах тоже есть функция «Раздельное туннелирование» (Per-app proxy). Включите её, чтобы через прокси ходили только YouTube и браузер, а банковские приложения и Госуслуги работали напрямую — так они не будут ругаться на "иностранный IP".

1. Проверка на сервере (Linux VPS)
Убедитесь, что служба активна и не выдает ошибок:
systemctl status xray
# Если горит зеленым (active), значит ядро запустилось.
# Посмотрите последние 10 строк логов:
journalctl -u xray -n 10

2. Проверка на Debian (Консоль)
Сначала проверьте, что прокси-порт открыт локально:
ss -tulpn | grep 1080

Затем проверьте «личность» в сети (включив прокси для команды):
# Должен показать IP вашего сервера:
curl -x socks5h://127.0.0.1:1080 ifconfig.me

# Должен показать ваш реальный домашний IP (благодаря блоку routing):
curl ifconfig.me

DNS-тест (Важно!)
Зайдите на dnsleaktest.com и запустите "Standard test".
Результат: Вы не должны видеть DNS-серверов вашего провайдера. Должны быть только Google, Cloudflare или IP вашего сервера. Это значит, что провайдер не знает, куда вы ходите.

Что делать, если не работает?
Клиент не подключается: Проверьте, открыт ли порт 443 в фаерволе сервера: ufw allow 443/tcp.
Ошибка TLS: Проверьте, что publicKey в ссылке совпадает с тем, что выдала команда xray x25519 на сервере.

Генерация данных для Reality:
xray uuid # Ваш ID (пароль)
xray x25519 # Пара Private/Public ключей
openssl rand -hex 8 # Ваш ShortID

Файлы конфигурации
Путь: /usr/local/etc/xray/config.json
Логи (если включены): /var/log/xray/access.log
Базы GeoIP/Site: /usr/local/share/xray/

Шаблон ссылки для импорта
vless://UUID@IP:443?security=reality&sni=dl.google.com&fp=chrome&pbk=PUBLIC_KEY&sid=SHORT_ID&flow=xtls-rprx-vision&type=tcp&encryption=none#Reality-Custom

Короткое резюме по настройке Reality:
На сервере: Ставим Xray, генерируем xray x25519, прописываем PrivateKey в /usr/local/etc/xray/config.json.
На Debian: Ставим тот же Xray, прописываем PublicKey в исходящие соединения (outbounds).
Маршрутизация: Блок routing с правилами geoip:ru и geosite:ru гарантирует, что госсайты и банки будут видеть ваш настоящий IP.
Telegram: Использует SOCKS5 на 127.0.0.1:1080 (локальный порт вашего Xray)

Чтобы не потерять плоды долгих настроек при переустановке системы или случайном удалении, используйте эту команду для создания резервной копии.
Команда создаст архив в вашей домашней папке, который будет включать сам конфиг и исполняемый скрипт обновления баз:
tar -cvzf ~/xray_backup_$(date +%F).tar.gz /usr/local/etc/xray/config.json /usr/local/bin/update-v2ray-rules.sh

Если нужно будет вернуть всё как было на новом сервере/клиенте, просто выполните:
sudo tar -xvzf ~/xray_backup_ДАТА.tar.gz -C /
sudo systemctl restart xray

comments

Бесплатный VPN сервер, клиент, и тд. часть 2

Fri, 30 Jan 2026 20:35:30 GMT

Бесплатный VPN сервер, клиент, и тд. часть 1
Бесплатный VPN сервер, клиент, и тд. часть 3

proxy

список доступных криптографических инструментов и децентрализованных сервисов.
Статистика доступных прокси серверов
Список бесплатных прокси
Атаки на прокси-сервер
------------------------------------------------------------------------
Единая точка выхода в web, I2P, TOR и обход блокировок
https://archive.fo/ux1qC

https://github.com/oxyd76/tinyxit
https://dev.m1089.ru/fproxy
https://mitmproxy.org/
https://github.com/SenseUnit/dumbproxy

tinyproxy

Как установить и настроить TinyProxy на вашем Linux-сервере
http://tinyproxy.github.io/
https://github.com/tinyproxy/tinyproxy

3proxy

https://3proxy.ru/documents/
https://github.com/3proxy/3proxy
Перенаправление через 3proxy
настройка 3proxy на debian12

tun2socks

https://github.com/xjasonlyu/tun2socks
https://hub.docker.com/r/xjasonlyu/tun2socks/
https://aur.archlinux.org/packages/tun2socks
Tun2Socks: прокси-сервер в качестве шлюза, или VPN через прокси
Поднимаем на OpenWrt клиент прокси VLESS, Shadowsocks, Shadowsocks2022. Настройка sing-box и tun2socks
Прозрачный VPN на роутере: VLESS + Reality + TPROXY на OpenWrt от А до Я

tholian stealth proxy

https://github.com/tholian-network/stealth
https://play.google.com/store/apps/details?id=com.free.stealthvpn&hl=ru

Shadowsocks

sing-box

https://sing-box.sagernet.org/
https://github.com/SagerNet/sing-box
https://github.com/SagerNet/sing-box/releases
https://github.com/SagerNet/sing-box/tree/dev-next/docs/configuration
https://pkgs.alpinelinux.org/package/edge/community/x86_64/sing-box
https://hub.docker.com/search?q=sing-box
https://hub.docker.com/search?q=singbox
https://github.com/MatsuriDayo/NekoBoxForAndroid
https://github.com/A-Zuro/Secret-Sing-Box
https://sing-box.sagernet.org/configuration/dns/
https://vpnrouter.homes/singbox-dns/

Знакомство с sing-box
Обход блокировок на OpenWRT с помощью Sing-box (vless, vmess, trojan, ss2022) и баз GeoIP, Geosite
Поднимаем на OpenWrt клиент прокси VLESS, Shadowsocks, Shadowsocks2022. Настройка sing-box и tun2socks
Обход блокировок Рунета. Наработки китайцев домохозяйке на заметку
Настройка sing-box и Momo (TPROXY) на OpenWrt: быстрый и точный обход блокировок
Конфиг для выборочного обхода блокировок на базе sing-box
Настройка протокола VLESS с расширенными функциями в Sing-Box.
Идеальный конфигурационный файл SingBox (для личного использования)
NaïveProxy в sing-box (альтернатива VLESS)
Настройте прозрачный прокси-сервер с помощью sing-box.
https://seewhy.me/posts/home-server
Sing-box: пример конфига

https://github.com/vulpeace/roscomcircum
https://play.google.com/store/apps/details?id=io.nekohasekai.sfa&hl=ru
https://github.com/hiddify/hiddify-next
https://github.com/hiddify/hiddify-app

VLESS Xray

https://github.com/XTLS
https://github.com/v2ray/v2ray-core
https://github.com/XTLS/Xray-core
https://raw.githubusercontent.com/XTLS/Xray-install/main/install-release.sh
https://www.v2ray.com/ru/awesome/tools.html
https://github.com/XTLS/Xray-examples
https://github.com/Dreamacro/clash
https://github.com/MetaCubeX/Clash.Meta

https://github.com/kort0881/vpn-vless-configs-russia
Инструкция по настройке VPN (3X-UI / XRay)
Настройка VLESS + TCP + REALITY + VISION + uTLS
FAQ по Shadowsocks/XRay/XTLS/Reality/Nekobox/etc. для обхода блокировок
XRay (с VLESS/XTLS): проброс портов, реверс-прокси, и псевдо-VPN
Установка и настройка VPN с VLESS и Reality
Используем Xray как VPN
обход блокировки Ютуб с полной маскировкой: настраиваем сервер и клиент XRay с XTLS-Reality
Установка и настройка XRay на OpenWRT (для Shadowsocks, XTLS-Reality и всего-всего-всего)
Обход блокировок: настройка сервера XRay для Shadowsocks-2022 и VLESS с XTLS-Vision, Websockets и фейковым веб-сайтом
Современные технологии обхода блокировок: V2Ray, XRay, XTLS, Hysteria, Cloak и все-все-все
Программы-клиенты для протоколов недетектируемого обхода блокировок сайтов: V2Ray/XRay, Clash, Sing-Box, и другие

https://github.com/2dust/v2rayN
https://github.com/InvisibleManVPN/InvisibleMan-XRayClient
https://github.com/yanue/V2rayU/tree/master
https://github.com/Shadowsocks-NET/Qv2ray
https://github.com/Fndroid/clash_for_windows_pkg
https://github.com/zzzgydi/clash-verge
https://github.com/MatsuriDayo/nekoray
https://github.com/MatsuriDayo/nekoray/releases
https://github.com/aaaamirabbas/nekoray-macos/releases
https://github.com/hiddify/hiddify-next

OpenWRT
https://openwrt.org/packages/pkgdata/xray-core
https://github.com/yichya/luci-app-xray
https://github.com/xiaorouji/openwrt-passwall

Android
https://play.google.com/store/apps/details?id=com.v2ray.ang&hl=en_US
https://github.com/2dust/v2rayNG

https://github.com/MetaCubeX/ClashMetaForAndroid
https://f-droid.org/packages/com.github.metacubex.clash.meta/

https://sagernet.org/
https://github.com/SagerNet/SagerNet
https://play.google.com/store/apps/details?id=moe.matsuri.lite
https://github.com/MatsuriDayo/Matsuri

https://play.google.com/store/apps/details?id=moe.nb4a
https://github.com/MatsuriDayo/NekoBoxForAndroid/releases

https://github.com/dyhkwong/Exclave

https://github.com/hiddify/hiddify-next

iOS
https://apps.apple.com/us/app/i2ray/id1445270056
https://apps.apple.com/us/app/shadowrocket/id932747118
https://apps.apple.com/us/app/stash-rule-based-proxy/id1596063349
https://apps.apple.com/us/app/pharos-pro/id1456610173
https://apps.apple.com/us/app/v2box-v2ray-client/id6446814690
https://apps.apple.com/us/app/streisand/id6450534064?platform=iphone

proxychains-ng

https://github.com/rofl0r/proxychains-ng
ProxyChains-NG
Как настроить прокси в ProxyChains на Linux
$ sudo -e /etc/proxychains.conf
# находим
[ProxyList]
# записываем что-то вроде
socks5 X.X.X.X 1080 proxy_user proxy_pass

proxychains -q curl -s https://ipinfo.io
proxychains -q chromium --incognito https://2ip.ru

запустить программу через shadowsocks
https://github.com/shadowsocks/shadowsocks/wiki/Using-Shadowsocks-with-Command-Line-Tools

hysteria

https://v2.hysteria.network/
https://github.com/apernet/hysteria
https://v2.hysteria.network/docs/advanced/Full-Server-Config/
https://sing-box.sagernet.org/manual/proxy-protocol/hysteria2/
https://sing-box.sagernet.org/configuration/inbound/hysteria2/
Развёртывание Samba-сервера за рубежом и защита от ограничений
Создание личного прокси за несколько минут
Установка и настройка Hysteria
Hysteria 2.0 launch. New way to bypass censorship.

NaïveProxy

https://github.com/klzgrad/naiveproxy
https://github.com/klzgrad/forwardproxy
https://github.com/ZonD80/naivetools

NaïveProxy в sing-box (альтернатива VLESS)

Cloak

https://github.com/cbeuw/Cloak
https://github.com/cbeuw/Cloak-android

Проксируем OpenVPN с помощью Cloak

Squid

http://www.squid-cache.org/
https://ru.bmstu.wiki/Squid
Настройка proxy-сервера
Squid, Kerberos и LDAP
Настройка squid с авторизацией в AD
Ubuntu Server. Настраиваем роутер NAT + DHCP + Squid3
Настраиваем Squid для работы с Active Directory. Часть 1 - базовые настройки
Настраиваем Squid для работы с Active Directory. Часть 2 - Kerberos-аутентификация
Настраиваем Squid для работы с Active Directory. Часть 3 - Авторизация на основе групп AD
«Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов (x86)

------------------------------------------------------------------------

установка squid с доступом по группам в AD, squidGuard, lighttpd+lightsquid, sams2 в centos часть 1
установка squid с доступом по группам в AD, squidGuard, lighttpd+lightsquid, sams2 в centos часть2

GOST

Github v3: https://github.com/go-gost/gost/
Сайт с документацией v3: https://gost.run/
Релизы для скачивания v3: https://github.com/go-gost/gost/releases

GOST: швейцарский нож для туннелирования и обхода блокировок

прокси через gRPC
// на сервере
gost -L "relay+grpc://:443?path=/Haha/MySecretTun"
// на клиенте
gost -L http://:8080 -L socks5://:1080 -F "relay+grpc://SERVER_ADDR:443?path=/Haha/MySecretTun"

vpn
// на сервере:
gost -L tun://:5555?net=192.168.123.1/24 -L relay+tls://:443?bind=true
// на клиенте:
gost -L tun://:0/:5555?net=192.168.1.2/24 -F relay+tls://SERVER_ADDR:443

Полноценный VPN поверх вебсокетов, в том числе с возможностью работать через CDN,
// на сервере:
gost -L tun://:8421?net=192.168.123.1/24 -L "relay+wss://:443?bind=true&?path=/secretpath"
// на клиенте:
gost -L tun://:0/:8421?net=192.168.123.2/24 -F "relay+wss://SERVER_IP:443?path=/secretpath"

ssh proxy via host, прокси SOCKS

создание постоянного SSH-тоннеля

SSH-туннели — пробрасываем порт
установка XRDP, VNC и SSH на Ubuntu и Debian. autossh
Настройка SSH-тунеля
Как настроить постоянно работающий SSH-туннель

Маршрутизация локальной сети через прозрачный socks-прокси
https://github.com/aktos-io/link-with-server

http://ruslash.com/ssh-proxy-via-host/
На локальном хосте выполняем:
$ ssh -L 8888:localhost:8888 HOSTA
На следующем хосте
$ ssh -D 8888 HOSTX
Потом подключаемся на локальный 8888 порт и используем его в качестве socks прокси.

https://wiki.enchtex.info/practice/ssh_socks_proxy_server
на локальной машине подключаемся к удаленной системе с помощью команды:
$ ssh -D8080 user@server
где -D8080 – произвольный номер порта.
в настройках программы выбираем использоваться socks прокси на адрес 127.0.0.1:8080

Создаём SOCKS 5 прокси с помощью SSH-соединения через удалённый сервер в Linux
Cоздать SOCKS 5 прокси довольно просто. Достаточно выполнить команду по следующей схеме:

ssh -f -C2qTnN -D <порт> <удаленный_пользователь>@<удаленный_сервер> -p 22
Где
-f Запросит ssh перейти в фоновый режим только перед выполнением команды.
-C Включит сжатие всех данных (включая stdin, stdout, stderr и данные для перенаправленных Х11 и TCP/IP соединений).
-2 Принуждает ssh использовать только протокол версии 2.
-q Тихий режим. Подавляет все предупреждения и диагностические сообщения. Будут отображены только фатальные ошибки.
-T Отменить переназначение терминала.
-n Перенаправляет стандартный ввод из /dev/null (фактически, предотвращает чтение из стандартного ввода).
-N Не выполнять удаленную команду.
-D [локальный IP : ] порт
-p указывает, какой порт использовать; очевидно, это значение по умолчанию равно 22, поэтому приведенное выше утверждение не имеет смысла, но включено для ясности.

Например:

ssh -f -C2qTnN -D 1080 roman@8.8.8.8
После введения пароля к удаленному серверу, SSH перейдёт в фоновый режим.

Далее вам следует открыть любой браузер, в котором прописать адрес SOCKS 5 прокси в параметрах соединения.

Для примера я взял Firefox.
Идём «Правка» → «Настройки» → вкладка «Дополнительно» → вкладка «Сеть» → раздел «Соединение» → кнопка «Настроить»
Устанавливаем там пункт «Ручная настройка сервиса прокси», в поле «Узел SOCKS» пишем наш IP адрес (обычно 127.0.0.1), а в поле «Порт» — указанный порт (в примере 1080).
Ставим ключ на пункт «SOCKS 5» и применяем настройки.

Как мне настроить локальный SOCKS прокси, который туннелирует трафик через SSH?

Как настроить прокси через туннель SSH в Ubuntu: примеры с Firefox и Chrome
создайте прокси SOCKS на локальном хосте: 9999 (выберите любой неиспользуемый порт) через соединение SSH с портом , используя имя пользователя [Unknown site tag]. Вам может быть предложено ввести пароль.
Фактический пример:
$ ssh -D 9999 -f -C -N johndoe@path.to.proxy.server.edu -p 52831

Прокси для ленивых: поднимаем SOCKS5 поверх SSH, пока чайник закипает

1) DPI видит протокол SSH.
2) UDP не поддерживается. Звонки в Telegram или Zoom через такой SOCKS5 могут не работать
3) DNS. Убедитесь, что ваш браузер проксирует и DNS-запросы тоже (галочка "Proxy DNS when using SOCKS v5" в Firefox)

https://docs.github.com/ru/authentication/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent

На клиенте:
ssh-keygen -t ed25519 -C "your_email@example.com" -f name_files
ssh-copy-id user@1.1.1.1
или
cat ~/.ssh/id_ed25519.pub | ssh user@server_ip "mkdir -p ~/.ssh && touch ~/.ssh/authorized_keys && chmod -R go= ~/.ssh && cat >> ~/.ssh/authorized_keys"

На сервере:
Создаем пользователя без доступа к консоли (только туннель — высший пилотаж паранойи)
sudo useradd -m -s /usr/sbin/nologin friend_user
sudo passwd friend_user

ssh -D 1081 -N -C user@1.1.1.1
-D 1081: поднимает локальный SOCKS5 на порту 1081.
-N: говорит SSH «не открывай мне шелл, я тут только ради туннеля».
-C: включает сжатие (полезно, если вы читаете текст, бесполезно, если смотрите 4K-видео).

autossh -M 0 -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -D 1081 -N user@1.1.1.1

SSH через HTTP прокси
http://www.zeitoun.net/articles/ssh-through-http-proxy/start
https://www.math.ucla.edu/computing/kb/creating-ssh-proxy-tunnel-putty

SOCKS 5 прокси с помощью SSH-соединения рецепт

1. Генерация с кастомным именем
ssh-keygen -t ed25519 -C "your_email@example.com" -f ~/.ssh/my_custom_key

Это создаст два файла:
my_custom_key — приватный ключ.
my_custom_key.pub — публичный ключ.

2. Добавление ключа в authorized_keys
ssh-copy-id -i ~/.ssh/my_custom_key.pub user@server_ip
cat ~/.ssh/my_custom_key.pub | ssh user@server_ip "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Так как имя файла отличается от стандартного, SSH не найдет его автоматически. У вас есть два варианта:
Указывать путь при подключении:
ssh -i ~/.ssh/my_custom_key user@server_ip

Прописать в конфиг (лучший вариант)
~/.ssh/config создается только на вашем локальном компьютере (ноутбуке или ПК), с которого вы подключаетесь
Добавьте в файл ~/.ssh/config (создайте его, если нет):
Пример структуры конфига

Как это работает
Теперь вместо длинных команд вам достаточно написать короткое имя:
ssh work-server — SSH сам подставит IP, пользователя и нужный ключ.
ssh home-nas — SSH автоматически подключится к порту 2222.

то есть вместо
ssh -NT -D 0.0.0.0:2080 -i /home/user/.ssh/my_vpn_key user@my_vpn -p 2222
ssh -NT -D 0.0.0.0:2080 user@home-nas

Важные нюансы:
Права доступа: Файл конфига должен быть защищен, иначе SSH проигнорирует его:
chmod 600 ~/.ssh/config
Порядок имеет значение: SSH читает файл сверху вниз. Если вы используете Host * с параметром IdentityFile, он может предлагаться серверам в дополнение к специфичным ключам.
Алиасы: В строке Host можно писать любое удобное вам слово — это просто псевдоним.

Для корректной работы SSH критически важно установить правильные права на файлы и папки (на стороне сервера):
Папка ~/.ssh: chmod 700 (чтение/запись только для владельца).
Файл authorized_keys: chmod 600 (чтение/запись только для владельца).

проверка порта
lsof -i :2080

проверка прокси
curl --socks5-hostname 127.0.0.1:2080 https://ifconfig.me

плагин в браузере

Тип протокола в плагине
В настройках Zero Omega для вашего профиля убедитесь, что выбран протокол SOCKS5, а не HTTP.
Protocol: SOCKS5
Server: 127.0.0.1 (или IP вашего компьютера в локальной сети, если подключаетесь извне)
Port: 2080

systemd

sudo vim /etc/systemd/system/ssh-proxy.service

Разбор опций:
-NT: -N отключает выполнение команд (только туннель), -T отключает выделение терминала.
-o ServerAliveInterval=60: Каждую минуту SSH будет слать "пинги", чтобы соединение не разрывалось по таймауту.
-o ExitOnForwardFailure=yes: Если порт 2080 занят, сервис сразу упадет с ошибкой (чтобы systemd мог его перезапустить корректно).
0.0.0.0:2080: Позволяет подключаться к этому прокси другим устройствам в сети (если нужно только себе, ставьте 127.0.0.1:2080).

3. Активация сервиса
Выполните команды по очереди:
Перезагрузите конфиги systemd:
bash
sudo systemctl daemon-reload
Используйте код с осторожностью.

Разрешите автозапуск:
bash
sudo systemctl enable ssh-proxy
Используйте код с осторожностью.

Запустите прокси прямо сейчас:
bash
sudo systemctl start ssh-proxy
Используйте код с осторожностью.

Как проверить статус:
bash
systemctl status ssh-proxy

андроид

Для Android есть два пути: использовать SSH-клиент с функцией SOCKS-прокси (аналог -D) или использовать V2Ray-клиенты, которые умеют работать с SSH.
Способ 1: Termux (Максимально близко к ПК)
Это полноценный терминал, где работают те же команды.
Установите Termux (лучше из F-Droid).
Выполните: pkg install openssh.
Положите ключ в ~/.ssh/my_vpn_key и дайте права chmod 600.
Запустите ту же команду:
bash
ssh -D 127.0.0.1:2080 -i ~/.ssh/my_vpn_key user@my_vpn -p 2222 -N
Используйте код с осторожностью.

В браузере или настройках системы укажите SOCKS5 прокси 127.0.0.1:2080.
Способ 2: HTTP Custom или SSH Custom (Популярные GUI-приложения)
Это приложения специально для создания туннелей.
Скачайте HTTP Custom (или SSH Custom) из Play Store.
В меню выберите тип подключения SSH.
В настройках укажите:
Server/IP и Port (2222).
User.
В разделе Private Key импортируйте свой файл my_vpn_key.
Нажмите Connect. Приложение создаст локальный VPN-слой, который перенаправит трафик всего телефона через ваш SSH-туннель.
Способ 3: v2rayNG (Универсальный)
Самый стабильный вариант, так как он создает полноценный VPN-интерфейс.
Установите v2rayNG.
Нажмите + -> Type: SSH.
Заполните поля: адрес, порт 2222, логин.
В поле Private Key вставьте содержимое вашего ключа.
Выберите этот профиль и нажмите на иконку подключения (внизу справа).
Почему на Android это может быть сложнее?
Энергосбережение: Android может «убить» Termux или SSH-клиент в фоне. В настройках батареи нужно разрешить приложению работать без ограничений.
Разрешения: Если используете Termux, не забудьте дать доступ к файлам командой termux-setup-storage, чтобы скопировать ключ из папки загрузок.

https://play.google.com/store/apps/details?id=xyz.easypro.httpcustom&hl=ru
https://play.google.com/store/apps/details?id=dev.epro.ssc
https://github.com/2dust/v2rayNG/

GitHub Releases (Рекомендуется): Самый надежный способ — скачать APK напрямую из раздела Releases на странице проекта.
Для большинства современных телефонов выбирайте файл с arm64-v8a или universal в названии.

Как настроить ваш SSH-ключ в v2rayNG:
Нажмите кнопку «+» в приложении.
Выберите тип протокола SSH.
Заполните данные: IP сервера, порт (2222), логин.
В поле Private Key (Приватный ключ) вставьте содержимое вашего файла my_vpn_key (откройте его на телефоне как текст и скопируйте всё, включая строки BEGIN и END).
Нажмите «Сохранить» и подключитесь. Приложение само создаст VPN-туннель для всей системы.

tsocks

https://linux.die.net/man/5/tsocks.conf
https://www.systutorials.com/docs/linux/man/8-tsocks/
https://www.usenix.org.uk/content/tsocks.html
apt install tsocks
/etc/tsocks.conf

tsocks wget ftp://someplace.com/somefile

связка с shadowsocks

server_port должен соответствовать настройкам локального порта shadowsocks, server_type его следует установить на 5, поскольку shadowsocks использует socks5, а не socks4.

MTProto

Организация MTProto для телеграмма на одном порту
https://github.com/telemt/telemt
Цепочка из VPS с помощью AmneziaWG для телемта
Партизанский Telegram: как поднять прокси-невидимку, прикидываясь онлайн-магазином
Пошаговая инструкция установки MTProto прокси через Service Node + VLESS

hola-proxy opera-proxy windscribe-proxy

Открытые клиенты Hola VPN и Opera VPN
https://github.com/Snawoot/hola-proxy
https://github.com/Snawoot/opera-proxy
https://github.com/Snawoot/windscribe-proxy
Запустить.
./hola-proxy.linux-amd64 -country de

./opera-proxy.linux-amd64 -country EU

./windscribe-proxy.linux-amd64 -location Germany/Frankfurt

Станет доступен обычный HTTP-прокси на локальном порту 8080 hola-proxy 18080 opera-proxy 28080 windscribe-proxy
Настроить браузер и/или другое ПО на использование HTTP-прокси-сервера по адресу 127.0.0.1:8080 для hola-proxy, 127.0.0.1:18080 для opera-proxy, 127.0.0.1:28080 для windscribe-proxy

comments