Эта статья — расширенный туториал того, как установить и настроить свой VPN на VLESS с XTLS-Reality с управлением через GUI интерфейс 3x-UI всего за 10 минут.
Почему именно этот протокол?
Особенность VLESS-Reality в том, что: берутся HTTPS-пакеты, и пускаются через наш заранее подготовленный зарубежный сервер (VPS), как через прокси. Однако, стоит учесть, что обращаться к нему мы будем как к какому-нибудь www.google.com, но в стандартной процедуре хэндшейка выполняем скрытую процедуру авторизации - благодаря чему сервер поймёт, что мы его слон.
А если кто-то (читаем как РКН) попытается обратиться к нашему «сайту» без авторизации (атака именуемая как Active Probing) то в ответ лишь получит копию www.google.com со всеми необходимыми сертификатами. РКН подумает, что наш сервер - это просто сервер Google, a никакой не VPN, и ничего блокировать не будет.
— Кроме того, поскольку HTTPS-пакеты, которые будут пропущены через прокси, уже зашифрованы, в дополнительном шифровании не нуждаются, и никакой deep package inspection т.е DPI соответственно нас ни в чём не заподозрит.
некоторые начнут задаваться вопросом, а почему не AmneziaWG или известный из поднебесья ShadowSocks, а потому что во время масштабных блокировок под нож может пойти всё, что не HTTPS.
Я хочу настроить сервер с XTLS-Reality, как это сделать максимально правильно?
Суть Reality в маскировке под какой-либо популярный сайт, поэтому когда вы решаете это делать, вам нужно добиться того, чтобы ваш IP (IP вашего VPS) вел себя полностью идентично настоящему серверу, которым вы прикидываетесь. Если тот "настоящий" сервер слушает на 80-м порту (plain HTTP), то вам тоже нужно настроить nginx или правило фаервола, чтобы переадресовывать HTTP-запросы на оригинальный сервер. Если "настоящий" сервер не слушает SSH-подключения на стандартном 22-м порту, то ваш тоже не должен.
— Если ваш хостер предоставляет reverse-DNS записи для IP-адреса, убедитесь, что там не осталось значение по умолчанию (обычно с доменом хостера), а лучше задайте такой reverse-DNS, какой виден у IP-адреса ресурса, под который вы маскируетесь.
Правда ли что VLESS не использует шифрование, и поэтому использовать его небезопасно для конфиденциальных данных.
Нет. То, что VLESS не предусматривает шифрования на уровне протокола, не значит, что данные передаются в нешифрованном виде. VLESS всегда работает поверх TLS, трафик шифруется именно механизмами TLS, а не самого VLESS. Никакой проблемы с безопасностью тут нет, все секьюрно.
Что лучше XTLS-Reality, или просто VLESS + XTLS-Vision?
Преимуществ XTLS-Reality два. Во-первых это простота настройки, не надо никаких доменов, сертификатов, и т.д. Во-вторых, из-за возможности маскировки под любой популярный сайт, с его помощью можно пролезать через белые списки цензоров - например, в Иране долгое время блочили/резали все по малейшему подозрению, но yahoo.com у них был в белых списках, и прокси, маскирующиеся под него работали.
А теперь приступим к установке и минимальной настройке VPN своими руками.
Хостинг для VPN
Есть масса хостингов, некоторые дешевле, но в этом материале разберём установку на aeza.net, его плюсами являются: пополнение по СБП; РФ картами всех мастей; установка сервера c 3x-UI в пару кликов и небольшая настройка пресета по ключам.
Регистрация и оформление сервера
Первым делом необходимо зарегистрироваться (данные для входа продублируются на почту) и войти в панель управления, после чего, пополняем баланс удобными для вас способами, для граждан РФ все условия соблюдены, как и писал ранее пополнение по СБП; РФ картами всех мастей;
Далее в колонке под логотипом aeza выбираем «Виртуальный сервер» (речь о боковой панели) и с этого момента начинается настройка конфигурации нашего будущего сервера.
Название: не имеет значения, по желанию
Выбор локации: Амстердам
Выбор тарифа: Shared — тариф NLs-1
Выбор операционной системы и ПО: предустановленное ПО и ищем 3x-UI Ubuntu 22.04
Выбор периода оплаты и оформление заказа: я выставил помесячную оплату, мало ли, что с хостинг-провайдером станет.
Бэкапы: отключаем (в них нет необходимости под наши нужды)
Установка
После успешного оформления и оплаты сервера переходим в раздел «Мои услуги» (речь о боковой панели), далее кликаем по нашему названию сервера с флагом попадая на страницу с краткой сводкой о сервере:
На данном этапе нас интересует лишь IP-адрес; имя пользователя и пароль.
Подключение по SSH к серверу
Постараюсь разобрать на трёх разных ОС параллельно, указывая для каждой какую команду и на каком этапе необходимо вводить.
Linux:
$ ssh username@ip-address
Где username — это логин администратора на сервере, а IP-address, соответственно, — ее IP-адрес.
Windows:
С некоторых пор подключаться через SSH из операционной системы Windows также стало можно через командную строку. Раньше для этого применялись сторонние приложения (вроде PuTTY или Cygwin и пр.), но в десятой версии ОС был добавлен встроенный OpenSSH клиент, который работает так же, как в Линукс.
Единственное отличие в том, что по умолчанию эта утилита отключена, и чтобы приступить к выполнению команд, необходимо установить ее в настройках.
Для этого совершите несколько шагов:
Откройте «Параметры» — «Приложения».
Выберите подпункт «Дополнительные компоненты».
Найдите в списке «Клиент OpenSSH» и нажмите «Установить». Если этой кнопки нет, значит, служба уже включена.
После установки перезагрузите компьютер.
Теперь нужно открыть командную строку. Можно найти ее через поиск или нажать Win+R, ввести в поле «cmd» и Enter. В этом случае процесс подключения по SSH в Windows и Linux будет идентичен.
Mac OS:
ssh username@ip-address
Итак, если в командной строке увидели «Welcome to Ubuntu 22.04.4 LTS (GNU/Linux 5.15.0-113-generic x86_64)» то вы на верном пути и всё хорошо складывается, далее вводим команду:
nano 3x-ui.txt
Перед нами появится три важных для нас строки: URL; Login; Password.
Лезем в браузер и вставляем в адресную строку свой ссылку, в моём случае это:
Вводим логин и пароль, который мы получили благодаря команде nano 3x-ui.txt и попадаем в панель управления, следующий шаг это создание ключа и настройка конфигурации.
Переходим в раздел «Подключения» — «Добавить подключение»
Настройка VLESS с XTLS-Reality
Примечание: наименование для более удобной идентификации ключей в панели управления (того стоит, в случае, если собираетесь раздать разные ключи)
Протокол: vless
Порт IP: оставляем пустым, как и на скриншоте выше
Порт: по умолчанию у вас будет выставлено определённое значение, его стираем и выставляем - 443
Ко вкладке «Клиент» вернёмся чуть позже, пока перейдём ниже:
Протокол передачи: TCP (всё, что ниже оставляем по умолчанию)
Безопасность: REALITY
xVer — оставьте значение 0;
uTLS— выбираем под какой браузер будет маскироваться VPN соединение. Рекомендую выбирать Chrome, ибо он наиболее популярен;
Dest — назначение, указываем домен и порт. Я оставил yahoo.com:443;
SNI — это домен, под который будем маскироваться. Ставим идентично пункту Dest yahoo.com, www.yahoo.com;
Short ID — приватный ключ сгенерированный автоматически;
Приватный ключ и Публичный ключ — не трогаем, стоит лишь нажать кнопку Get New Keys и ключи автоматически сгенерируются;
Sniffing, HTTP, TLS, QUIC, FAKEDNS — оставляем по умолчанию.
Настройка клиента:
Email: аналогично как и с примечанием, наименование для удобства;
Flow: выбираем из списка xtls-rprx-vision.
Остальное не трогаем, оставляем по умолчанию и кликаем на «Создать» (ключ готов)
Для удобства подключения с мобильных устройств жмём на «+» у клиента и перед нами появится иконка QR-кода, кликаем и сохраняем:
Для получения текстового ключа кликаем по значку «i»
Ключ готов, теперь необходимо определиться с клиентом для подключения, моя основная ОС — Mac OS, порекомендовать могу FoXray (для тех, у кого macOS 13.1 и новее) в случае если у вас более старые ОС, то рекомендую использовать V2Box; из клиентов на iOS советую поставить также FoXray, но есть и масса других клиентов.
Windows – InvisibleMan-XRay разворачиваем Assets и выбираем нужный zip х64 для 64 битных систем, x86 для 32 битных систем. Есть и другие клиенты постабильнее.
Android – NekoBox разворачиваем Assets и там будут apk. Выбираем arm64. На момент написания статьи последний назывался релиз: NB4A-1.3.1-arm64-v8a.ap
Комментарии (110)
HyperWin
13.05.2025 15:58Куда проще взять какой нибудь VPS на DataCheap и запустить на нем амнезию. Недорого, и очень удобно, целой семьёй пользуемся.
hondurasez
13.05.2025 15:58У Амнезии нет веб-интерфейса, всё управление через сомнительного удобства и функциональности клиент.
Но для новичка что-то проще придумать сложно.
HyperWin
13.05.2025 15:58Ну видимо да. Поднять WG я не смог, не работает.
hondurasez
13.05.2025 15:58Есть такая штука - wg-easy, с веб-мордой из коробки, ставится довольно легко, но это обычный wg со всеми вытекающими. Всё-таки awg намного надёжнее в плане детектируемости ТСПУ.
HyperWin
13.05.2025 15:58А вот в том то и прикол, что ни один скрипт помочь мне не смог. Я долго пытался, но все сводилось к тому что первый хендшейк проходит, а дальше - тишина, трафик не идёт.
hondurasez
13.05.2025 15:58Про это и речь. Нативный Wireguard легко детектится и блочится. Тут, кстати, ещё от хостера зависит и от провайдера. На одном из моих vps висит чистый wireguard, периодически отваливается через мобильный билайн, через остальных провайдеров всё пучком. С другим вообще никакие ОПСОСы не работают. Лотерея. Будущее за awg и VLESS.
tequier0
13.05.2025 15:58Будущее за awg и VLESS.
Если до них доберутся, то будущее будет за tcp фрагментацией и подобным.
Наращивать мощности ТСПУ для анализа различных типов фрагментации всего трафика будет всё же проблематичнее, чем конкретному пользователю - свои для соответствующей задачи.
A_V_E
13.05.2025 15:58Если начнут бомбить настолько сурово - то просто будут резать все что меньше всего походит на стандартные TCP-пакеты, фрагментировало тебе что-то по пути - ну мучайся, проблемы юзеров ТСПУ не волнуют.
nidalee
13.05.2025 15:58VLESS у меня тоже периодически отваливается, причем как назло у пожилого родственника (АКАДО через ТВ-антенну, ЕМНИП), с которым не поковырять по телефону клиент.
vaslobas
13.05.2025 15:58VLESS - проанализирует фигли ты ходишь так много на условный гугл.ком и гонишь столько трафа на него, проверять что этот айпи вообще левый и не принадлежит сетке гугла и поблочать этот айпи.
Вот тебе и маскировка трафика.
Uporoty
13.05.2025 15:58VLESS - проанализирует фигли ты ходишь так много на условный гугл.ком и гонишь столько трафа на него, проверять что этот айпи вообще левый и не принадлежит сетке гугла и поблочать этот айпи.
вы сейчас описали детектирование XTLS-Reality с чужим доменом, а не VLESS.
сам VLESS не зависит от Reality и может использоваться во многих других схемах и без него.
xenon
13.05.2025 15:58погуглите на тему (это все синонимы, все про одно, про cloudflare warp и обход блокировки) - warpgen warp, llimonix warp, bash warp
возможно что-то из этого подойдет
Grad6
13.05.2025 15:58На DataCheap vds в 2,5 раза подороже аезы по нижней планке. Даже если добавить впн на аезу(он не бесплатен), то все равно немного дешевле выйдет.
HyperWin
13.05.2025 15:58Нам нормально, 250р в месяц и гигабитная сеть, можно настроить на любом устройстве, в то время как HitVPN (которым мы пользовались) 100р/мес на устройство и привязка к приложению. На тот момент когда купили, это был один из самых дешёвых вариантов, нас все устраивает.
Joel_Sanders
13.05.2025 15:58Для таких чайников как я это не особо понятно. Думаю у меня на это уйдет час, если не больше :D
stein_osint Автор
13.05.2025 15:58Уйдёт уж очень мало времени, в случае проблем, отпиши мне в тг @stein_osint
Mr_Boshi
13.05.2025 15:58"Расширенный туториал "? Эта статья -- одна из наименее подробных публикация на эту тему на хабре. Все это уже было написано год-два назад (может даже больше), например в статьях @neodavinchi и цикле от @Deleted-user .
Okeu
13.05.2025 15:58да это рекламная статья, которая подергана из предыдущих статей этого же автора, т.е. он взял имя из своей первой статьи на эту тему, картинку из предпоследней, содержание судя по всему просто нейронкой переформулировал или абзацами перемешал из прочих своих рекламок аезы))
Mupok
13.05.2025 15:58уже месяц сижу на аезе.
1) Когда зарегался дали ИП не доступный из России. Поменяли. Пинг был около 70-80
2) Пошла новость что владельцев в России арестовали.
3) Отвалилось половина европы. Помогла опять смена ИП через саппорт.
После смены ИП подрос пинг до 200мс иногда....
Хз че с ними происходит)
MountainGoat
13.05.2025 15:58подрос пинг до 200мс иногда
Это ваш исходящий трафик идёт в Москву майору на анализ, потом обратно.
navion
13.05.2025 15:58У меня все полгода промо-тарифа был замедленный РКНом адрес, так что оплачивать больше месяца только после проверки.
Mupok
13.05.2025 15:58А ещё лучше, чтобы не гонять весь трафик через ВПН, поставить некобокс, добавить туда профиль впн, запустить его и для впн юзать фаирфокс и прописать у него в настройках проксю 127.0.0.1:2080 и тогда всё в фаирфоксе пойдет через ВПН. А ещё в некобоксе можно настроить маршрутизацию и прописать геоИП и домены на какие ходить без впн.
А то уже новость проскакивала что научились детектировать впн, если от юзера весь трафик идёт на гугл
Sap_ru
13.05.2025 15:58Детектить можно тупо по невалидному сертификату.
JastixXXX
13.05.2025 15:58А почему он будет невалидный то?
Sap_ru
13.05.2025 15:58А откуда вы валидный сертификат на yahoo.com возьмёте?
Uporoty
13.05.2025 15:58Почитайте как разботают Reality и Cloak. Если клиент не опознан как "свой", то соединение проксируется на настоящий Yahoo.com, и соответственно клиент получает валидный сертификат от yahoo и поведение сервера полностью как у настоящего Yahoo.
А если клиент "свой", то там уже и не важно - в TLS 1.3 сертификат передается уже после обмена ключами в зашифрованном виде, сторонний наблюдатель его не увидит.
batChar
13.05.2025 15:58Я имплементировал подобный механизм в своём VPN: во время TLS-handshake проверяю SESSION ID. Если он не совпадает с ожидаемым значением (вычисляется как функция от времени), хендшейк перенаправляется на домен, указанный в поле SNI и сервер работает как прокси для этого подключения.
funnycar
13.05.2025 15:58Зачем что-то там детектить? Ркн смотрит что юзер ежедневно ходит по одному и тому же адресу и выкачивает гигабайты, или даже десятки гигабайт - баним, или просто режем скорость до 256 кбит/с. Ну да, могут постранать невиновные, только вряд ли этих людей данный факт будет волновать.
navion
13.05.2025 15:58SSH-туннели замедляют до 512 кбит в реальном времени после нескольких прогонов speedtest.
established
13.05.2025 15:58VLESS, как я слышал, уже начали банить в регионах, тк нашли брешь в протоколе. И не только nekobox удобен. Для обычного пользователя куда проще будет Hiddify, особенно на телефоне, где тоже можно выбрать, кто и что будет использовать.
Uporoty
13.05.2025 15:58VLESS, как я слышал, уже начали банить в регионах, тк нашли брешь в протоколе
Не начали. На NTC-форуме чуть ли не каждую неделю кто-то кричит "VLESS научились банить", а при глубоком разбирательстве выясняется что тупо банят TLS (иногда TLS 1.3, иногда вообще весь TLS) до некоторых диапазонов адресов популярных VPS-хостеров - то есть даже простые сайты размещенные по соседству (где никаких прокси никогда не было) не работали. РКН же с наглым видом отвечает "пользуйтесь для своих сайтов услугами отечественных хостеров".
Faurt
13.05.2025 15:58Были новости о том, что Роскомпозор стали блокировать хендшейки xray и в паре регионов РФ, где это тестировали, у людей vpn не работает. На форуме ntc party мелькали сообщения об этом
svi0105
13.05.2025 15:58А чем эта статья отличается от уже опубликованной 12.12.2024? (https://habr.com/ru/articles/865974/)
Правильно, ничем!
AADogov
13.05.2025 15:58У меня сервер от аезы в штатах, 9 мая пришло письмо что цод разрывает с ними договор. И мне нужно за 3 дня до 12 мая в ручную перенести данные на новый сервер. Причём никаких средств миграции не предоставили.
NotSlow
13.05.2025 15:58Но почему Амстердам? Не соглашусь. Нужно выбирать самую ближайшую локацию - Швеция/Финляндия.
Пользуюсь уже почти год акционным тарифом копеешным.
Но что еще более интересно - это их локации в РФ. Через которые большую часть времени ютуб работает на полной скорости и без рекламы. Через них работают сайты на полу-блокируемом cloudflare, работает rutracker. Работают даже укр. сайты (конечно кроме тех, что блокируют со своей стороны).
Пытался у поддержки выпытать как так - в ответ конечно лишь отписки, мол мы на работу тспу не влияем... оно само там как-то работает/не работает :) В общем мутно, но нам-то что? Работает и отлично. Пользуюсь и уже подзабыл эти постоянные вставки инородной рекламы в ютубе.
Надо ли уточнять, что vpn через Москву имеет минимальнейшие задержки и макс. скорость. Так что какой там Амстердам, кому он нужен...
GennPen
13.05.2025 15:58(конечно кроме тех, что блокируют со своей стороны)
Вот в этом и проблема.
Раньше выгодней было иметь VPN с иностранным IP прикидывающимся Российским. Сейчас же, когда сами сервисы на своей стороне блокируют доступ, то выгодней иметь чистый иностранный IP, который не только по GeoIP светится иностранным, но и компания на которую зарегистрированы эти IP в базе данных была тоже иностранная.
Alexsey
13.05.2025 15:58Но что еще более интересно - это их локации в РФ. Через которые большую часть времени ютуб работает на полной скорости и без рекламы. Через них работают сайты на полу-блокируемом cloudflare, работает rutracker. Работают даже укр. сайты (конечно кроме тех, что блокируют со своей стороны).
Достаточно частое явление что на каналах дата центров ТСПУ либо не фильтрует совсем, либо фильтрует в заметно более лайтовом режиме.
j_larkin
13.05.2025 15:58Вы ближайшую локацию не по географической карте смотрите, а по карте больших магистральных линий связи. И возможно окажется, что Швеция/Финляндия от Вас дальше, чем Нидерланды
vikarti
13.05.2025 15:58Внезапно с такими же ньюансами (ну кроме укросайтов - тут просто не было нужды проверять) - поведение подключения через Cloudflare Warp в России (даже если он заблокирован - чаще всего заблокировано получение конфигов, можно отдельно обойти)
xenon
13.05.2025 15:58Вышеприведенный укросиноптик у меня на варпе замечательно открылся. бесплатно. безлимитно. без рекламы. быстро.
Все эти VLESSы - это как увлечение выживальщиков. Если вдруг долбанут ядреной бомбой, гораздо лучше, когда у тебя в тайге подготовлена землянка и запасы тушенки. Но ядерной войны все нет и нет, а расходов денег, сил и времени эта землянка требует регулярно.
Так же и варп (через amneziawg) - во всем превосходит VLESS (до ядерной войны). Ну а когда будет (если на нашем веку), там уж, думаю, будет возможность все настроить-наладить.
xenon
13.05.2025 15:58Когда в статье или комменте идет рефссылка, никогда не знаешь, человек просто ссылку добавил, но он честно перебрал тысячи вариантов и делится лучшим. Или же он просто хочет срубить на лохах пару баксов.
NotSlow
13.05.2025 15:58Я скрин для того и прикрепил, чтобы показать что сам действительно пользуюсь. Один аккаунт в шведской локации и еще один есть в московской. Перепробовал не тысячи, но многих. Плюс еще есть другой (не аеза) в Амстердаме. Нравилась скорость через vps в Литве. Ссылок не даю, чтоб не нервировать нелохов.
И роутером разруливаю какой куда траффик пускать (3-4 vpn'а в среднем имеется на хозяйстве). Т.к. именно одного "лучшего" не существует. Есть подходящий под задачу.
Рефссылка... ну извините, что уж. Но за лайки распинаться тут тоже интереса не вижу. Есть "тема" (про отсутствие блокировок на их рос. локациях), ею поделился т.к. не встречал чтобы кто-то об этом говорил. А вместо лайков никому не нужных, лучше пусть кто-нть пройдет по ссылке и тоже может откроет для себя интернет почти как до 22го.
moviq
13.05.2025 15:58Аналогично Швеция. Но видимо она сам, т.к. на телевизоре реклама в YT иностранная чуть ли ни каждые 5 минут на их языке
Yoti
13.05.2025 15:58Заглядываю почитать в среднем раз в неделю. И даже с такой переодичностью уже во второй или третий раз вижу практически (или даже полностью) идентичную статью со ссылкой на Aeza. Спасибо, теперь точно буду знать, где не стоит брать хостинг!
David_Osipov
13.05.2025 15:58Сами авторы Xray не приветствуют этот gui - подозрение на слив данных.
Сами авторы Xray рекомендуют перейти на XHTTP, называя его Beyond Reality, а тут опять одно и то же.
Alexsey
13.05.2025 15:583x-ui так то опенсорсный, если у авторов xray какие-то подозрения есть то надо их обосновывать, а не пустыми словами разбрасываться.
voidoid
13.05.2025 15:58WARNING: Please DO NOT USE plain HTTP panels like 3X-UI, as they are believed to be bribed by Iran GFW for supporting plain HTTP by default and refused to change (#3884 (comment)), which has already put many users' data security in danger in the past few years.
Там основная претензия - 3x-ui позволяет работать под несекурным http, и разработчики отказываются это менять
Mr_Boshi
13.05.2025 15:58А это не решается установкой обратного прокси с сертификатами между клиентом и панелью и всё такое?
Uporoty
13.05.2025 15:58Можно даже без обратного прокси решить, просто сделать чтобы панель слушала только на 127.0.0.1, и подключаться к ней прокидывая порт через SSH - это элементарно делается одной командой.
Но 99% пользователей таких панелей ничего из этого не делают, потому что не знают, что это такое и зачем оно (потому что панелями как раз обычно пользуются неопытные пользователи), в этом и проблема.
В итоге после установки панель светит на стандартном порту голым HTTP свою морду, то есть 1) можно элементарно определить, что на этом сервере стоит прокси и забанить его 2) есть опасения, что в некоторых странах всякие не очень порядочные люди перехватывают трафик в целях нахождения таких панелей и получения реквизитов доступа от них.
Разработчиков панелей уже очень давно просят сделать что-то с этим (слушать по умолчанию на 127.0.0.1, или добавить HTTPS по умолчанию с маскировкой морды), но те отказываются без объяснений и просто закрывают все обсуждения на эту тему. Поэтому авторы XRay и рекомендуют от таких панелей держаться подальше.
Uporoty
13.05.2025 15:58Сами авторы Xray рекомендуют перейти на XHTTP, называя его Beyond Reality
Не совсем так. У XTLS-Reality и XHTTP разные предназначения и кейсы использования.
mbait
13.05.2025 15:58Я не так давно столкнулся с ещё одной проблемой. С тех пор, как WG стал блокироваться, я перешёл на AWG, и всё работало отлично. НО! Ради удобства я исполью двухсегментную схему, в которой первое подключение идёт до внутрироссийского сервера, далее происходит выборочная маршрутизация с помощью ipset, а затем траффик уже перенаправляется на зарубежный сервер. Так вот в какой-то момент половина сайтов просто отвалилась и перестала загружаться вообще в любом виде, словно где-то стояло правило DROP. Другие сайты открывались, но после задержки в 10-15 секунад. Я подозреваю, что причина была в ТСПУ, потому что после обращения к провайдеру мне сменили IP, и всё заработало снова. И получается, что можно сколько угодно строить схемы, но в какой-то момент ТСПУ переводит твой IP в категория разрешено только то, что разрешено.
Alexsey
13.05.2025 15:58Я не слышал про случаи когда ТСПУ кидало пользователя в whitelist, думаю что на сегодняшний день там нет такой реакции на обнаружение впн. А вот блокировать трафик до впн сервера если оно спалило что на нем есть впн оно может. Мне так два сервера заблокировало вплоть до того что я по ssh даже зайти туда не мог.
Если вы весь свой трафик пускаете через AWG на сервер в России и уже там маршрутизируете - это не очень хорошая затея. ТСПУ все же не настолько тупая штука и обнаружить аномалию когда с одного айпишника почти весь трафик идет на один и тот же сервер точно должно уметь. Лучше маршрутизацию настраивать в рамках своей домашней сети.
mbait
13.05.2025 15:58Так в том-то и дело, что блокировки наблюдаются даже с отключённым VPN. Что касается траффика до одного сервера - а какая разница с вариантом с домашнего компа заворачивать весь траффик напрямую до зарубежного? Если бы проблема была в этом, то всех бы пользователей VPN добавляли в whitelist независимо от метода обхода блокировок.
Alexsey
13.05.2025 15:58Вы не поняли моего посыла насчет маршрутизации в домашней сети - не заворачивайте весь трафик из домашней сети в VPN (не важно где конечный сервер находится) и будет вам счастье. Пока у вас трафик ходит относительно разнообразно (даже с каким-то перекосом в сторону одного адреса) маловероятно что ТСПУ на вас стриггерится.
Настроить переброску конкретных забаненых доменов в VPN все еще сильно проще, чем постоянно участвовать в гонке с ТСПУ и покупать новые VPS или долбить провайдера чтобы вам поменяли IP в надежде что провайдеру это не надоест и он вас не пошлет нафиг.
mbait
13.05.2025 15:58Я понял, просто не согласен, что ТСПУ возбудился именно на траффик до одного сервера. Маршрутизация в домашней сети это, конечно, выход, хотя мой маршрутизатор не поддерживает ipset, и это будет не так удобно.
winkyBrain
13.05.2025 15:58
предупреждение для тех, кто обдумывает возможность использовать услуги именно этого хостера для впн
WorknBuyConsumenDie
13.05.2025 15:58Справедливости ради - я по этому же гайду полгода назад на АЕЗЕ как раз и поднял. В один из дней все встало колом (когда к ним наведались маски-шоу) и пока не работало я срулил на beget, по цене +- тоже самое, но пока проблем не было.
И человеку, писавшему статью, когда я ее читал в конце 24 года в свете блокировок дискорда - всего самого хорошего, выручил и меня и моих друзей)
Uporoty
13.05.2025 15:58насколько я помню они после этого они полностью вынесли аренду зарубежных серверов на зарубежное (вроде бы британское) юрлицо формально не имеющее отношение к российскому
RighteousHippie
13.05.2025 15:58На web морду ходим по обычному http без шифрования, передавая логин пароль на весь интернет? Хотя бы самоподписанный сертификат прикрутили, а если есть какой-нибудь домен, то можно создать для web морды отдельный субдомен и сделать уже нормальный сертификат от Let's Encrypt.
Uporoty
13.05.2025 15:58а если есть какой-нибудь домен
А если нет, всегда есть sslip.io и nip.io
А еще https://open-domains.net/ и мой любимый https://freedns.afraid.org/
Okeu
13.05.2025 15:58большое спасибо, почти в каждой ветке ваши комменты очень емко и к месту, плюсов не хватает на все)
Maks_svb
13.05.2025 15:58Так это было уже. И не раз. Самый лучший гайд от @neodavinchi хоть и устарел уже. Да и сложного там ничего нет, все элементарно. Я бы почитал, как сделать подписоку, чтоб пользователь мог подключаться в один клик. Сейчас пилю ТГ -бота для подписок - хоть убейся, но получается автоматизировать отправку ключа и установку лимита трафика.
bloomeatt
13.05.2025 15:58У меня есть пример конфига nginx для подписки в статье. Если лень выковыривать оттуда, то суть вкратце в том, чтобы держать на веб-сервере текстовик, в котором построчно запакованы конфиги подключений. Имя должно быть максимально рандомное, чтобы его не нашли подборщики и без всяких ссылок, чтобы не добрались поисковые пауки.
P.S Если у Вас есть наводки, как сделать шейпинг трафика на серваке, то буду признателен
dima_afanas
13.05.2025 15:58Гайд для VPN на локальном компе никому не интересен. Есть много разных полезных скриптов/проксей/расширений для браузера, которые позволяют смотреть запрещёнку без лишних телодвижений с оплатой зарубежного хостинга и настройкой своего сервера.
Более того, все эти упрощенные мануалы для новичков, скорее опасны, т.к. нигде не говорится хотя бы о смене ssh порта и настройке fail2ban сразу после установки сервера, т.к. без этого ваш сервер скорее всего либо взломают, либо на нем кончится место из-за переполнения логов авторизации (ротацию же тоже никто не настраивал).Поэтому совет для тех, кому нужен условный "доступ к ютубу" на одном устройстве: не мучайтесь с настройкой ВПН сервера. Есть много бесплатных или гораздо более простых способов решить эту проблему.
Uporoty
13.05.2025 15:58Гайд для VPN на локальном компе никому не интересен.
Говорите за себя, "никому" - слишком категоричное и голословное заявление.
dima_afanas
13.05.2025 15:58Ну серьезно. Если у вас только ПК или ноутбук, подключенный к интернету и нет роутера, то зачем вам зарубежный хостинг, поднимать Linux, настраивать VLESS? Если можно просто заплатить +/- те же деньги за условную Амнезию и не знать проблем?
Понимаю кейс, когда нужно настроить маршрутизацию на роутере, чтобы и на телевизоре ютуб работал и на всех остальных устройствах в сети. У меня у самого такая ситуация - на микротике настроено разделение трафика по mangle + address list. Но остальным-то зачем? Я имею в виду новичков, для которых пишут такие мануалы.
Только прошу, давайте все-таки аргументированно.Okeu
13.05.2025 15:58Амнезия (AWG) разве не потенциально блокируемая?
Я видел, что амнезия умеет в XRAY, на ваш сервер сходить по ssh развернуть)Если амнезия достаточно устойчивая, то безусловно для большинства отличный вариант.
konst90
13.05.2025 15:58Есть много разных полезных скриптов/проксей/расширений для браузера, которые позволяют смотреть запрещёнку без лишних телодвижений с оплатой зарубежного хостинга и настройкой своего сервера
Эти расширения тормозные как твари и не решают проблему, например, приложения Дискорда.
Я с этих расширений перешел на нормальный VPN через Shadowsocks с клиентом на локальной машине, и всё работает прекрасно.
dima_afanas
13.05.2025 15:58Ну хорошо, если расширения не нравятся, то например какой-нибудь запрет-дискорд-ютуб работает вполне прилично и решает, например, проблему приложения дискорда.
Я часто настраивал Linux-сервера и мне просто хочется предостеречь новичков (на которых расчитаны подобные мануалы) от предстоящих проблем, связанных с обслуживанием сервера, настроенного по данной инструкции: веб-морда не прикрыта, ssh не прикрыт, сертификатов нет, файрвола нет. Это прямой путь к тому, чтобы машина в скором времени стала частью ботнета. Все диапазоны айпишников таких хостеров известны и постоянно сканируются на предмет уязвимостей.
Если не хочется в этом разбираться, то проще заплатить те же деньги за платный впн и просто им пользоваться.
Aleks39
13.05.2025 15:58Каждый раз, когда я вижу очередную статью о VPN, идет речь только о Аезе. Что мешает просто зайти на гитхаб и скопировать пару строк об установке? Так что либо скопированы старые статьи, либо реклама подпортившего свою репутацию хостинга.
Steelycrack
13.05.2025 15:58@
настраиваем супер-секьюрный vpn, тщательно прячем все следы от РКН
@
хостуем на том же ip специфичную веб-морду, доступную любому, кто прозвонит порты
AnonimYYYs
13.05.2025 15:58Всегда под подобными темами отправляю ссылку на вот этот вот гитхаб с неопределенной целью: https://github.com/EmptyLibra/Configure-Xray-with-VLESS-Reality-on-VPS-server
И совсем не потому что там подробнейший гайд про свой впн, который подробно описывает не только практическую часть, но и хорошо обозревает теорию
Olvizd
13.05.2025 15:58Есть отличная альтернатива для обхода блокировок. Установка Zapret на российский vps. А до vps - wireguard. Это дешевле! И не нужно дополнительных настроек для посещения российских сайтов. Да ещё и рекламы на Ютубе не будет.
Kovurr
13.05.2025 15:58Аеза, увольте своего пиарщика и включите мозг. Вы вывалили точно такую же статью как уже здесь была, про (
калечный)3x-UI, без разделения трафика по geoip (весь трафик идет на один заграничный IP, бань-не-хочу), вебмордой торчащий в интернет (ломай-брутфорсь-не-хочу), и с тем же провокационным заголовком. Новой информации нет, зато лишнее привлечение внимания. Вот введет РКН доступ к загранице по белым спискам, тогда плакать будем мы. Или забанят ваш диапазон полностью. Смейтесь дальше, да пишите про себя почаще.
php7
Это уже не первый вендор-лок-мануал
Зочем?
0xBADC0FFE
Ради рекламы конечно же!
izogfif
Разве? В статье же ни одной ссылки на Телеграм-канал.
0xBADC0FFE
Зато есть ссылка на хостинг
PPRT_E
Открываешь - попадаешь в телеграм-канал...
StoIzSta
ну мануал вроде хороший, на вид по нему сможет настроить даже не прошаренный пользователь
sloww
Чем хороший? Тем что nano 3x-ui.txt? На голом ubuntu?
Где bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh) ? Почему я должен юзать какую то предустановленную панель?
С каких пор вообще разворачивание такой конфигурации вне виртуализации (вне docker контейнера хотя бы) является нормальной практикой в 2025 году??
Okeu
причем уже публиковалась статья с таким именем в прошлом году, и вроде даже этим же автором. По содержанию тоже очень похожа. Картинка из другой статьи дернута, в общем идеи кончились, а продолжать
прогревать гоев"доить корову" нужноajijiadduh
лол, в прошлом году, https://habr.com/ru/articles/905286/