Всем привет, в этой статье я расскажу, о том как у многих прокатывает обойти белые списки, и в чем вообще корень проблемы, если вы "чайник" и не хотите запариваться со всей настройкой в конце статьи привел сервисы которые упоминают в обсуждениях
Прямой коннект VLESS + Reality до Европы (Амстердам, Германия, Финка) почти у всех под шейпингом. ТСПУ освоили новую тактику: они не рвут сессию через RST, а просто «фризят» её. Как только объем данных в одной TCP-сессии переваливает за 15-20 КБ, пакеты перестают приходить. Коннект висит, пока клиент не отвалится по таймауту.
Единственный рабочий способ получить нормальный выхлоп это цепочка
Как работает схема в двух словах
Мы ставим «прокладку» дешевый VPS внутри РФ (Яндекс, ВК, EDGE)
Клиент подключается к РФ-ноде. ТСПУ лояльно относится к трафику внутри страны, поэтому сессия не замерзает.
РФ-нода через vnext пробрасывает трафик на зарубежную ноду.
-
Зарубежная нода уже выходит в открытый интернет.
Для ТСПУ это выглядит как обычный обмен данными между двумя серверами, который фильтруется гораздо слабее, чем прямой «заход» юзера на иностранный хостинг
Туториал по настройке цепочки
Вам понадобятся два сервера: «Выходной» (Европа) и «Мост» (РФ). На обоих должен стоять Xray-core (минимум 25.12.8, чтобы не палиться под Aparecium).
1. Настройка зарубежной ноды
Поднимаем обычный VLESS-инбаунд. Чтобы «прокладка» меньше палилась и не ела лишнюю память, используем транспорт xhttp в режиме packet-up
Важно: Убедитесь, что ядро обновлено до актуального. Старые версии Reality детектятся через анализ TLS 1.3 NewSessionTicket. Новые версии умеют мимикрировать под этот тип сообщений
2. Настройка РФ-ноды (Мост)
В конфиге Xray на российском сервере нужно принять трафик от клиента и отправить его в цепочку через блок outbounds.
Пример аутбаунда для связи нод
{
"outbounds": [
{
"tag": "chain-to-europe",
"protocol": "vless",
"settings": {
"vnext": [
{
"address": "ip-вашей-евро-ноды",
"port": 443,
"users": [{
"id": "uuid-вашего-юзера-на-евро-ноде",
"flow": "xtls-rprx-vision",
"encryption": "none"
}]
}
]
},
"streamSettings": {
"network": "xhttp",
"security": "reality",
"realitySettings": {
"fingerprint": "chrome",
"serverName": "vkvideo.ru",
"publicKey": "ваш-pbk-с-евро-ноды",
"shortId": "ваш-sid"
},
"xhttpSettings": {
"mode": "packet-up",
"path": "/api/v1/update"
}
}
},
{ "protocol": "freedom", "tag": "DIRECT" }
]
}3. Разделение трафика (Routing)
На РФ-ноде настраиваем роутинг, чтобы русские сайты (ВК, Госуслуги, Яндекс) шли напрямую, а заблокированные через мост + что бы не жрали трафик
{
"outbounds": [
{
"tag": "chain-to-europe",
"protocol": "vless",
"settings": {
"vnext": [
{
"address": "ip-вашей-евро-ноды",
"port": 443,
"users": [{
"id": "uuid-вашего-юзера-на-евро-ноде",
"flow": "xtls-rprx-vision",
"encryption": "none"
}]
}
]
},
"streamSettings": {
"network": "xhttp",
"security": "reality",
"realitySettings": {
"fingerprint": "chrome",
"serverName": "vkvideo.ru", // Юзаем RU-домены для маскировки
"publicKey": "ваш-pbk-с-евро-ноды",
"shortId": "ваш-sid"
},
"xhttpSettings": {
"mode": "packet-up", // Мастхэв: фиксит жор RAM и вылеты на iOS
"path": "/api/v1/update"
}
}
},
{ "protocol": "freedom", "tag": "DIRECT" }
]
}Решение популярных проблем
Как не уронить iOS ?
На iPhone лимит памяти для VPN-процесса всего 50 MiB. Если засунуть в конфиг тяжелые Geo-файлы, клиент будет падать при старте
Используйте packet-up вместо stream-up. Если не помогает — переходите на облегченные версии Geo-файлов.
Если отваливается WhatsApp или Instagram
Часто бывает: инста летает, а ватсап висит в статусе подключение
Костыль 1: Добавьте IPv6 на выходную ноду
Костыль 2: Попробуйте убрать поток vision из конфига для этих сервисов
Оптимизация под нагрузку
Если на вашем каскаде сидит толпа, подкрутите /etc/sysctl.conf:
net.core.somaxconn=9000000
net.ipv4.tcp_max_syn_backlog=9000000
net.ipv4.tcp_syncookies=0 # Только если уверены в защите от DDoSКакого хостера в РФ выбрать?
Если ваша «прокладка» сама не в белом списке (БС), магия не сработает.
Яндекс.Облако: Самый надежный вариант. Ищите IP в диапазонах 51.250.x.x или 212.233.x.x
VK Cloud: Трафик бесплатный, но «белые» IP поймать почти невозможно.
EDGE: Хорошая альтернатива с CDN
Как проверить: Разверните любой веб-сервер на 443 порту. Если сайт открывается с мобилки (МТС/Мегафон) без ВПН — IP «белый».
Если не хочется заморачиваться
Настройка цепочки вручную интересный вариант, но не все готовы запариваться и тратить время на все это. В обсуждениях выделяли сервисы, которые уже внедрили цепочки и «белые» IP:
hynet.space: Отмечают его как наиболее универсальное решение, стабильно заводится на большинстве крупных провайдеров и выдает неплохую скорость
Amnezia: Работает неплохо, но в чатах часто жалуются на её закрытость, она плохо дружит с другими сервисами на одном VPS и часто выдает ошибки при попытке настроить что-то сложнее стандартного конфига
Voxiproxy: Оптимизированы под мобильный трафик, но по отзывам их потенциал раскрывается в основном на смартфонах
MamontVPN: Сейчас они почти полностью сфокусированы на фиксах специфических проблем iOS, но так же упоминают как вариант
SayVPN: Сложные связки через vnext под конкретные задачи
DuckVPN: На ряде провайдеров показывает результат, однако в чатах часто проскакивают сообщения о серьезных проблемах с доступностью через Мегафон и МТС
Подытожим
ТСПУ окончательно перешли на эконом-режим: им больше не нужно блокировать протоколы в ноль, достаточно просто «морозить» сессии сразу после первых пакетов данных
На сегодня цепочка это, по сути, единственный рабочий способ проскочить через белые списки и фильтрацию по объёму
Но тут свои грабли: поиск чистых IP в облаках превратился в бесконечную лотерею
Многие постепенно мигрируют со старых статических панелей на Remnawave. Там хотя бы можно по-человечески рулить сложными цепочками и маршрутами, не переписывая конфиги руками по сто раз
Комментарии (11)
itshnick88
15.01.2026 21:08Понимаю, что мои ожидания, это мои проблемы, но...)) Как по мне, гайд из разряда: как заработать миллион
1) Зарабатывайте больше;
2) Тратьте меньше;
3) Готово!
ddr5
Какая цель этого поста? Растиражировать решение чтобы РКН поскорее занялся процессом его нейтрализации?
MAXH0
Что поделать. Работа интернет не наша заслуга, а их недоработка.
daniillnull
Честно говоря, решение с промежуточным прокси внутри страны кажется настолько поверхностным и очевидным, что и тиражировать особо нечего...
Думаю РКН об этом в курсе, и либо уже "исправляют проблему", либо чего-то ждут (и уж явно не статьи на хабре с тремя тысячами просмотров лол)
n140
Ебнутая тварь, хотя бы диапазон не палила! Сука