Comments 148
если у вас на сервере стоит Debian или Ubuntu, то нужно устанавливать не просто пакет nginx, а nginx-full, потому что нам потребуются специфические модули Nginx, которые не входят в стандартную поставку
Если подключена репа от разработчиков, то годится пакет nginx.
Сначала спасибо за серию статей. Очень помогли. Всё поставилось и работает.
Возник вопрос есть ли простой способ настроить subscription на правила для клиента? Например панель hiddify после сканирования qr-кода для подписки в Shadowrocket в разделе Config добавляет конфиг и можно его обновлять. Но там в панели не реализовано редактирование правил.
Хочется такое для знакомых, которые не поймут как на клиенте добавлять заумные правила.
Жаль что нет чего-то простого и автоматизированного.
Нашел пример как это реализовать: https://mishatugushev.ru/blog/?go=all/shadowrocket-ios-wireguard/. Правда не понял пока автоматически правила обновляются или нет.
Сделал себе что-то похожее.
иногда кажется что проще (нет) переместить себя за пределы цензуры чем насроить всё енто дело
А для sing-box какие конфиги должны быть ?
Насколько использование cdnа подрезает скорость ?
Теперь это надо выкладывать в виде PFD чтобы удобно было сохранять до прихода надзора.
Два вопроса по поводу Nekobox:
- Как открыть/пробросить порт? Так и не удалось разобраться.
- При каждом включении режима "TUN" (он же "VPN") программа подряд трижды (!) требует ввести пароль админа — для установки DNS, доменов и маршрутизации. Дико раздражает делать это каждый раз при включении/переключении серверов. Как отключить требование пароля? Речь о версии под Linux.
Что конкретно имеется в виду?
Имеется ввиду следующее. Некоторые программы требуют для внешних соединений открытый порт (port forwarding). Обычно это настраивается на роутере, в случае VPN — в панели управления VPN. А вот где это настраивается в Nekobox я не могу понять. Грубо говоря, мне надо, чтобы на сайте проверки открытости порта вроде portchecker.co для соответствующего порта было написано "открыто".
Как решение — запускать Nekobox сразу от имени рута, тогда спрашивать не должен.
А как это настроить? У меня Nekobox запускается автоматически вместе с системой.
я как понимаю tun мод создает новый интерфейс на устройстве но не на сервере, таким образом можно взаимодействовать между устройствами( пинговать, подключаться по ssh ). Или я не совсем правильно понимаю как это работает ?
Как думаете, блокировки коснутся ipv6?
Спасибо огромное за статьи! Очень полезная и актуальная тема.
UPD: Кстати, было бы интересно если бы вы также смогли дать краткое описание и пример настройки функционала xray bridge для тех кому нужен функционал реверс прокси и прокидывания доступа из внешней сети к домашней
Большое спасибо за цикл статей! Блягодаря этой статье наконец таки осилин СDN ;) Смог настроить ss,vless-tls+cdn, vless reality но на свой локальный хост.
Пока не могу разобраться только с одним моментом: Пытаюсь настроить Reality на сторонний сайт и получаю такой результат: с камими то сайтам все работает, но если в браузере ввожу свой домен то вместо переадресами на сторойнний сайт получаю: Invalid URL The requested URL "[no URL]", is invalid. Такое например если указываю в качестве dest www.microsoft.com:443, Server Names: www.microsoft.com. Бывает другой результат. Например, ессли в качестве dest указать mwomercs.com:443б а в качестве Server Names mwomercs.com, то при заходе на свой сайт получаю страницу поддельного, НО прокся перестает соединяться. Во всех описанных вариантах Google Chrome выдает в строке адреса что сертификат недействительный (ну тут наверное логично, т.к. адрес мой, а самое содержимае не мое). Но блин, никак не могу сделать так, чтобы и сайт открывался и соединение станавливалось :(
Спасибо большое за ответ. Да, вы правы, все так и есть как вы описали. В данный момент все таки нашел сайт который и открывается и прокся работает как надо. .без изменения hosts. Но это была уже наверное 30-я моя попытка :)
Щас задумываюсь найти какой нибудь сайтик из адресного пространства моей vps, тогда вообще все клево должно получиться. Единственное не знаю какой еще порт можно настроить. Для ss выделил рандомный. Vless+ ttl + cdn (по второму пункту этой инструкции) на 443 сделал, а вот какой порт сделать для vless + reality что б это все хоть чуть чуть было похоже на правду не понятно, т.к. 443 занят.
И еще вопросик. Тестировал все типы соединения (пропускал openvpn внутри прокси), наименьший пинг(с разницей несколько мс) получается с ss проксей. Но клиент(NekoRay) на ss соединение пишет что ttl выключено. Это норм? Ss не использует ttl?
P.s. и еше одно уточнение для ваших инструкций, долго очень искал решения проблемы, везде в xray и в веб панели 3x-ui надо скармливать не файл сертификата, а fullchain.
О, точно, это супер идея, спасибо, замаскирую по почтовик ;)
443 порт у меня занят связкой vless-tls с локальной заглушкой + CDN(второй вариант этой вашей инструкции), мне такой вариант как то больше понравился чем делать по 3-тьеуму варианту reality+cdn.
сделал на 443 порту и vless-reality, и свой маленький реальный сайт, всё работает, но, возможно, детектируется:
stream {
map $ssl_preread_server_name $sni_name {
www.microsoft.com reality;
mywebsite.com mywebsite;
www.mywebsite.com mywebsite;
default reality;
}
upstream mywebsite {
server 127.0.0.1:1443;
}
upstream reality {
server 127.0.0.1:2443;
}
server {
listen 443 reuseport;
proxy_pass $sni_name;
ssl_preread on;
}
}а также: держу на одном сервере outline (это shadowsocks), а также xray-reality и xray-shadowsocks. Почти всё работает ок, но google.com (почта, карты - ок) возвращает 403, если пользоваться клиентами foxray или shadowrocket (всё на iphone) и любым из трех прокси (их можно настроить, в том числе, чтобы работали с outline-сервером). с outline-клиента с outline-сервером гугл тоже ок, вот такая вот загадка
собираетесь ли вы публиковать данные статьи в децентрализованных сетях, если да, где именно? поговаривают, что с марта 2024 собираются блокировать информацию об обходе блокировок
Спасибо вам за гайды. К сожалению новичок, в нужной ветке не могу отписать, задам вопрос по XLTS здесь.
Настроил XLTS Reality через X-ui панель по вашему гайду. Все работает. Но с настройками на клиенте возникла странная трабла. Клиент nekoray для android. На сервере отключил блокировку ру подключений. Установил правила маршрутизации обход для нужных приложений, обход по geoip:ru и обход по domain:ru. И вот с последним возникает странная ситуация.
1. прокси выключено. Все ру сайты открываются, 2ip.ru выдает русский ip.
2. включаем прокси и включаем правило по домену. Часть ру сайтов открывается (пикабу например), часть перестает (не работает яндекс, zzap.ru возможно еще какие то). при этом 2ip.ru открывается и выдает русский ip.
3. включаем прокси но выключаем правило по домену. Все ру сайты открываются, 2ip.ru открывается и выдает ip адрес VPS.
Что это может быть и как попробовать бороться? Понимаю что простым решением будет выключить прямой маршрут до ру сегмента, но хотелось бы большей устойчивости, а как понял из ваших статей, такой вариант допускает блокировку vps сервера по "косвенным" данным
включить Resolve Destination
Отлично, помогло!
вместо domain:ru должно быть domain_suffix:ru
Про domain:ru прочитал где то в гайдах, когда искал решение. Только что перепроверил. Если выключить маршрут domain:ru то 2ip.ru выдает ip адрес VDS. Если включить, то выдает ip из россии. Так что видимо работает?
пока такое не умеют
Ну мы им помогать статистикой тоже не будем
Установил 3X-UI. С сертификатами настроил подключения она работают. Но при включении proxy через Cloudflire подключения перестают работать.
Пробовал разные конфигурации SS, VLESS ничего не работает. При тестировании в Nekobox ошибка. C телефона тоже не работает.
Hidden text
INFO[0000] outbound/vless[proxy]: outbound connection to cp.cloudflare.com:80
INFO[0000] outbound/direct[direct]: outbound packet connection to 192.168.183.2:53
[[VLESS] Test1346-57gz502w] ошибка теста: Get "http://cp.cloudflare.com/": context deadline exceededHidden text
Благодарю за супер-подробный контент по обходу блокировок от РКН, отправил вам "на чай" донат.
Есть небольшой вопрос: а можно ли ставить outline на тот же сервер, что и shadowsocks/VLESS? Чисто технически — можно, я проверял, все работает. Но вопрос именно в безопасности и скрытности. Я в этом пока что лузер, хотел ответ от профессионала получить)
на одном из компов обновил клиент Nekobox. Сразу перестало конектится по SS - пишет что неправильная длинна ключа. "Bad key length, required 16 , got 24" А ключ я не менял и на других компах где не обновлялся Nekoray - там все работает с теми же ключами? Кто сталкивался?
Слушай а ты вкусе что в телеграмме сидит мошенник пол твоим никнеймом
Добрый день! Благодарю за прекрасные и простые гайды, настроил по вашему гайду https://habr.com/ru/articles/731608/ себе впн, всё вроде работает за исключением пары моментов. К тому поступ комментарии мне оставить не даёт, поэтому пишу сюда.
рабочий впн работает через опенвпн протокол, и вот как только я включаю v2box VLESS свой впн, у меня начинается реконнект к опенвпн рабочему, и переподключения так и не происходит. Может быть вы могли бы подсказать как мне подиагностировать эту проблему? или может это вообще не будет вместе работать VLESS и OpenVPN?
Я пробовал в настройках роутинга сделать direct доступ до сервера рабочего впн, пробовал по домену сделать direct доступ, всё никак.
Но почему-то у меня при входе в госуслуги появляется плашка что "вы похоже используете впн" но всё вроде работает, и емиас и госуслуги, не работает только мобильное приложение газпромнефти.
Это я что-то настроил не так? или как они могут вообще это отслеживать?
У Вас есть догадки каким способом передается UUID во время инициализации-аутентификации клиента с прокси сервером ? Нужно со стороны VLESS прокси ограничить доступ на кол-во одновременных подключений к одной конфигурации. Если со стороны nginx добавить конфигурацию grpc_set_header X-Real-IP $http_cf_connecting_ip то CDN CF передает реальные ip адреса клиентов Nginx и в панели 3x-ui в ip log видны они, далее fail2ban считывает логи и происходит бан 2 адреса (в случае если ограничение выставлено на 1 ip), но доступ по не понятным мне причинам у 2 клиента остаётся, хотя к другим конфигурациям ss, reality доступа в этот момент уже нет. Насколько понял ограничивать нужно со стороны FW CDN CF ?
Я немного имел в виду другое, нужно ограничить доступ с разных ip адресов к одному конфигу, чтобы например только устройства с 2 разными адресами могли одновременно пользоваться, а при подключении 3 ip соединения сбрасывалось, с shadowsocks, reality и другими реализация с баном через fail2ban работает, но з CDN по понятным причинам нет. И мыслей как это реализовать з CDN у меня также нет. Если бы UUID как то передавался во время аутентификации, чтобы можно было указать правило на стороне CDN что при запросе с таким-то UUID пропускать запросы только с 1 ip, остальные сбрасывать, но он передается в зашифрованном виде и поэтому никак.
Спасибо!!!!!!!!! Очень актуально!
С октября 2019 настраивал Shadowsocks через Cloudflare CDN по известной статье на Overlockers (автор vanyaindigo) - других вменяемых мануалов тогда не было. Последнее обновление его статьи от июля прошлого года - устарело, но работало. Там используется устаревший и необновляемый shadowsocks-libev... .
Уважаемый, а представьте пожалуйста себе на минутку, что вы намерены использовать 3xui с одной единственной конфигурацией, а именно vless ws tls cdn на 443 порту разумеется.
У вас есть парочка доменов подключенных к скажем к gcore, через которые вы и проксируете соединение.
В этом случае, получается что вы подключаетесь к серверу через sni, в котором фигурируют ваши домены. Для цензора это выглядит так, будто вы регулярно устанавливаете соединения с неким сайтом.
Разумеется, через некоторое время, он также заинтересуется посетить ваши домены под видом браузера и выяснить что к чему.
А значит надо установить nginx, и запустить камуфляжный сайт на оном, чтобы вводить цензора в заблуждение.
Так каковой должна быть конструкция nginx ,именно для этого случая, учитывая также что опция fallback здесь невозможна, бо для нее нужен tcp, в то время как у нас исключительно websocket transport.
Окей, взгляните, в той первой вашей конфигурации nginx, если мне нужен только ipv4 что написать вверху: ipv4only=on?
Также, если пользую больше одного домена, как их добавлять там?
А также в колонке location для vless ws , так как он у меня с tls и cdn на 443м, как правильно заполнить тута?
proxy_pass http://127.0.0.1:
Вы определитесь сначала, какую вы вообще схему хотите сделать - кто должен слушать на 443 порту вашего адреса и терминировать сессию - Nginx или Xray? И то и то одновременно не получится. От этого зависит все остальное. Если у вас Xray слушает на 443 порту и терминирует сессию, то Nginx для вебсокетов вам вообще не нужен
Так я и описал свою схему во вчерашнем посту, уважаемый, вы уж простите за такую нубовость
Значит мне nginx и нужен лишь для камуфляжа моих cdn доменов, чтобы подсунуть цензору полноценный веб-сайт при проверке оных, вот это то я и ищу тщетно
Попытаюсь набросать конфиг nginx для такого варианта, исходя из того, насколько я понял ваши инструкции, а вы пожалуйста направьте в верное русло если что.
Конфиг Xray в Xui в то же время: vless ws tls на 443 порту, сертификаты для доменов с помощью certbot , и указаны fullchain пути к ним.
server {
listen 0.0.0.0:80 default_server
server_name mysite1.com mysite2.net
location/{
proxy_pass https:bing.com
}
}Ну конечно я понимаю, что тут полная лажа??
Как считаете, будет хорошей маскировкой поднятый на VPS nextcloud и установка его в качестве фейкового веб-сайта?
А как быть с тем, что и для nextcloud и для xray надо 443 порт?
А как это сделать, nextcloud устанавливал по вашей статье из контейнера, где искать настройку?
Все получилось, спасибо! Нормальный вариант выходит, не надо microsoft, не надо сайта с кошечками, облако - качай сколько хочешь, подозрений быть не должно. Наверное можно и к статье добавить. Еще вопрос, у nekorаy есть варианты запуска из командной строки, чтобы, GUI глаза не мозолил или можно было запускать из голого линукса, без графической оболочки?
Нет ли простейшего варианта, чтобы ненужное не устанавливать на слабенький VPS? А-ля статичная страничка с формой авторизации (типа первой страницы Netbox), но с обработкой ввода (всегда выдает другую, с ошибкой авторизации).
Наверное, можно в Nginx прописать в качестве фейковой страницы свой netbox на другой машинке (я все в кубере держу, но на ноду кубера ставить эту прелесть вряд ли стоит). Видимо тогда имя хоста придется на nginx подменять (ведь на него придет с "левым" FQDN, который через CloudFlare, а на netbox надо его родной отдать, чтобы без редиректов обойтись).
Тогда получается, вообще любой чужой сайт можно поставить в качестве "обманки"?
Вот есть вариант файла default, из известной статьи "Настройка VPN на основе Shadowsocks через Cloudflare CDN".
Там используется именно опция "proxy_pass", чтобы переадресовывать запросы на любой известный сайт, в том случае на youtube.
Видимо, можно взять данный файл за основу. И не нужно никаких фейковых сайтов на свой VPS вешать.
Планирую сделать именно так.
А вот, какие настройки менять и как подгонять под вариант описанный в данной статье - кто-то из Гуру может подскажет?
Можно как-то избавиться от использования nginx, если на сервере установлен nextcloud, а то уж больно сложно все получается?
Сейчас попробовал сделать по третьему варианту, с XTLS-Reality и SNI. Теперь так: XTLS работает, а подключения через WS и gRPS в Некобокс выдают такую ошибку: [[VLESS] VLESS-Websocket-p9r2h9m3] test error: Get "http://cp.cloudflare.com/": x509: cannot validate certificate for ***.**.***.** because it doesn't contain any IP SANs (звездочками закрыл IPшник). Какая-то ошибка сертификата? Я использую внутренний, сгенерированный от СF.
Поставил в Nekobox адрес домена вместо IP адреса, теперь пишет так: [[VLESS] VLESS-Websocket-p9r2h9m3] test error: Get "http://cp.cloudflare.com/": websocket: bad handshake: HTTP 525 525 Origin SSL Handshake Error. А с gRPC вот так: [[VLESS] VLESS-gRPC-830sd7op] test error: Get "http://cp.cloudflare.com/": unexpected status: 526 526
Не получается завести... Сертификаты прописывал в конфиге nginx по вашей статье, в панели СF пробовал и внутренний, и самоподписанный сертификат... Одинаковая ошибка, TLS подключение с сервером не устанавливается...
В общем, ура-ура, после нескольких итераций все завелось и работает вроде. Так и не понял, почему не получалось с самого начала - то ли что-то с сертификатами было, то ли в конфигах я ошибки делал. Настроил по варианту 1 с отдельным IPv6 через СF.
Но: в настройке написано, что надо VLESS inbound через порт 443 - надо на 127.0.0.1 настроить. У меня так не работает, прописал в "listen" IP4 своего сервера. Если настроить в конфиге Xray, чтобы слушал на 127.0.0.1, Некобокс пишет: test error: Get "http://cp.cloudflare.com/": dial tcp ***.**.***.**:443: connectex: No connection could be made because the target machine actively refused. С прописанным айпишником - все запустилось.
И еще, почему-то на клиенте Android VLESS-gRPC/Websocket отказывается работать, при том, что в виндовс-версии все запустилось. Андроид клиент NekoBox пишет что-то типа "exchange6: name error, exchange4: name error". Видимо, что-то в настройках самого клиента, профиль подключения один и тот же, с виндовс-версии.
Спасибо, поставил v2rayNG, всё завелось, действительно. Клиент там, правда, криво считывает qr-код на Shadowsocks, и через буфер обмена не вбивается почему-то, вручную вбил - работает. Остальные профили - Reality, Vless-gRPC/WS - через QR коды вносятся нормально.
Теперь я практически всесилен и готов к чебурнету, йо хо хо :) Плюсов вам в карму.
Спасибо за твои старания добрый человек ;)
За твои труды на пользу обществу вселенная отплатит тебе, в той или иной форме (но это не точно).
Сохранил все статьи себе в телегу, на случай удаления с хабра. На сегодня такая информация очень ценная.
Да пребудет с тобой сила
Выглядит слишком офигенно, чтобы быть правдой :)
Есть хоть какие-то ограничения? Ну, например, обязателен клиент, а расширения для браузера не существует. Т.е. не получится одновременно работать с одним браузером напрямую, а с другим - "в обход". Впрочем, если клиент можно настроить на разные приложения (кого заворачивать, кого байпасить) - тоже хорошо.
А как проверить, что правильно все работает? Ну вот gRPC и WS подключение - они же через CF идут, и ip должен показываться Cloudflare, так? А то всякие 2ip.io при проверке показывают ip сервера VPS, или это нормально? Простите за вопросы от чайника... Как убедиться, что подключение точно идет через СF?
Здравствуйте неудалось разобраться с настройками застрял в панели 3XU, не понятно какие данные тут заполнить?
в gcore не должны же быть дополнительные сертификаты
Обывателю трудно все это настроить, вот мои конфиги и настройки, я получаю ошибки при подключении. Не знаю куда копать
И не понятен этот пункт «TestChatGRPC» и «TestChatWS» должны совпадать с секретными URL'ами, которые мы потом внесем в конфиг Nginx, какие конкретно urlы имеются ввиду?
короче так и ничего не получилось, пробовал менять порт на 8889 в панели и отключил tls, все равно не подключается, оставлю до лучших времен.
Извините, если этот вопрос уже был, но так много комментариев.
Правильно ли я понял, что нужно два домена: один для Cloudflare, другой для фейкового сайта?
Здравствуйте еще вопрос, если в gcore, я указал доменное имя второго уровня которое мне предоставил vps и поменял на нем настройки dns в кабинете vps на те которые предоставил gcore, все же правильно? Потому что у меня нету домена и gcore был выбран из-за настройки без домена.
Как с устройств WireGuard сети РФ направлять пакеты напрямую по адресу в случае .ru домена, а в других случаях на другой сервер за пределами РФ с XRay с XTLS-Reality. И может ли такая связка оставаться конфидециальной?
Это нужно для работы между устройствами в одной сети и упростить жизнь коллегам по настройке уже WG клиента, а не прокси. Где они могли бы случайно не включить uTLS.
Нужно обходить блокировки с XRay XTLS-Reality и чтобы устройства видели друг друга внутри vpn. Также устройства должны ходить на .ru доменты напрямую, а на другие домены через прокси XRay.
1 вариант. Как-то использовать связку WG+Xray на одном сервере за РФ;
2 вариант: Использовать еще один сервер на территории РФ для подключения клиентов по WG, а потом на .ru домент идти напрямую или идти на серер с XRay за РФ.
Какой вариант лучше использовать? Есть ли статья с похожей реализацией для связки WG и XRay (либо другого прокси)? И как правильно настроить маршрутизацию?
Здравствуйте, доброго дня! У меня вопрос по cdn Gcore. В статье написано что gcore можно использовать для тех кто не хочет покупать еще и домен и можно обойтись без него, но в настройках нужно указать домен и поменять cname, получается без домена ну никак?
Custom domain — тут укажите ваш домен, который вы будете использовать. Не забудьте включить галочку «Enable HTTPS» и выбрать «Get free Let's Encrypt certificate». Нажимаем Confirm чтобы идти дальше. После этого Gcore скажет вам, какое именно значение надо прописать в поле CNAME для вашего домена — это будет какой‑то адрес, скорее всего заканчивающийся на *.gcdn.co:
Здравствуйте, вы можете скинуть скрин с правильными настройками клиента, уже всю голову сломал, не работает, серер настроен по этой статье (Bleeding-edge обход блокировок с полной маскировкой: настраиваем сервер и клиент XRay с XTLS-Reality быстро и просто) , один раз трафик даже вроде прошел через gcore, в статистике видно, но все равно не понятно как нормально клиент заставить работать.
Задержки 1100-1800 ms для Нидерландского сервера это норм для XTLS-Reality?
Скорость не падает. Пробовал и на Финском сервере, задержки те же. Устанавливал x-ui через docker.
Доброго дня, нашла ошибку у вас в настройках, исправьте пожалуйста.
Поясните пожалуйста:
"В первую очередь, редактируем ваш конфиг XRay, сделаем так, чтобы его VLESS/XTLS‑Vision inbound слушал на локалхосте на порту 8443:
"listen": "127.0.0.1",
"port": 8443
"
Это в какой секции исправлять, в
{
"listen": "127.0.0.1",
"port": 8888,
"protocol": "vless",
"tag": "grpc",
"settings": {
"clients": [
{
"id": "_UUID_вашего_пользователя"
}
],
"decryption": "none"
},
"streamSettings":
{
"network": "grpc",
"grpcSettings":
{
"serviceName": "TestChatGRPC"
}
и т. д.
Где этот самый VLESS/XTLS‑Vision inbound ?
Исправлять в секции "inbounds":
если у вас ее нет, конфиг неполный
Я настраивал по "Bleeding-edge обход блокировок с полной маскировкой: настраиваем сервер и клиент XRay с XTLS-Reality быстро и просто". Нигде VLESS/XTLS‑Vision inbound нет. Есть только:
"inbounds": [
{
"port": 23,
"tag": "ss",
"protocol": "shadowsocks",
"settings": {
"method": "2022-blake3-aes-128-gcm",
"password": "aaaaaaaaaaaaaaaabbbbbbbbbbbbbbbb",
"network": "tcp,udp"
}
},
{
"port": 443,
"protocol": "vless",
"tag": "vless_tls",
"settings": {
"clients":[
{
"id": "4c3fe585-ac09-41df-b284-70d3fbe18884",
"email": "user1@myserver",
"flow": "xtls-rprx-vision"
}
],
"decryption": "none"
},
Который из них VLESS/XTLS‑Vision inbound?
То есть должно быть так:
{
"listen": "127.0.0.1",
"port": 8443
"protocol": "vless",
"tag": "vless_tls",
"settings": {
"clients":[
{
"id": "4c3fe585-ac09-41df-b284-70d3fbe18884",
"email": "user1@myserver",
"flow": "xtls-rprx-vision"
}
],
"decryption": "none"
},
?
Прочитайте пожалуйста статьи, автор и так все непонятные моменты подсветил
Еще раз огромное спасибо за статьи! А вот такой интересный вопрос - если я хочу создать отдельный сервер и спрятать его за CDN - то нужно ли "городить огород" с маскировкой и соответственно разруливать все это ngnx и тп. ? А можно просто установить Vision и все? Ходить только через CDN - ( это же по факту является тем случаем когда цензор вас уже вычислил и IP забанил - какой уже смысл притворятся сайтом?)
Особенности проксирования через CDN/Websocket/gRPC для обхода блокировок