Пока мы по старинке крутим Reality на 443 порту, архитектура обхода блокировок в 2026 году начинает напоминать слоеный пирог, где каждый слой норовит развалиться. Старые мануалы из коробки у многих не работают
В чем дело давайте разбираться
1. Бан незашифрованного трафика
RPRX (разработчик Xray) выкатил жесткий ультиматум: в 2026 году голый трафик через впн-протоколы на публичных портах будет запрещен
Многие в Иране и РФ начали использовать VLESS без TLS (на 80 порту или через CDN), потому что ТСПУ иногда лояльнее к чистому HTTP, чем к подозрительному TLS
Теперь вводится обязательное VLESS Encryption. Если вы используете транспорт вроде xHTTP без REALITY/TLS, вы обязаны включить шифрование внутри самого протокола. Иначе ядро просто откажется поднимать инбаунд
Как это будет работать:
По умолчанию такие соединения будут заперты внутри Localhost. То есть, если вы подняли VLESS на 80 порту без шифрования, он просто не примет пакеты извне
Что делать:
Разработчики настаивают на переходе на VLESS Encryption. В чатах подтверждают, что это решение уже обкатано и стабильно работает
Для тех, кто сидит в танке и хочет оставить всё как есть, оставят лазейку специальную переменную окружения (RPRX не привел пример что за переменная, или я плохо искал), которая позволит принудительно разрешить незашифрованные подключения. Но это будет считаться небезопасным режимом
2. Ловушка для Gemini: Почему WARP на ноде «не вывозит»?
«Поднял WARP на европейской ноде, добавил правила для Gemini/AI Studio, а Google всё равно пишет "Not available in your region"» знакомо?)
Анатомия ошибки:
В 90% случаев это баг логики в блоке routing. Правила в Xray применяются сверху вниз. Если у вас выше по списку стоит правило direct для geosite:google, то запрос к Gemini улетит напрямую через IP хостера (который часто забанен гуглом), не дойдя до правила с тегом warp
Правильный порядок в конфиге:
"routing": { "rules": [ { "type": "field", "outboundTag": "warp-out", // Сначала заворачиваем нейронки в WARP "domain": [ "aistudio.google.com", "gemini.google.com" ] }, { "type": "field", "outboundTag": "DIRECT", // И только потом всё остальное русское/служебное "domain": [ "geosite:google", "geosite:category-ru" ] } ] }
Если WARP всё равно висит, проверьте IPv6. Официальный клиент WARP на портах сокса (типа 40000) часто не обслуживает UDP. Если Gemini пытается стучаться по QUIC всё ляжет. Фикс: принудительно ставим domainStrategy: UseIPv4 в аутбаунде варпа
3. Баг импорта: v2raytun:// и «невалидный URL»
Если вы раздаете подписки через Marzban или свои скрипты, вы могли столкнуться с тем, что ссылки типа v2raytun://import/{link} выдают ошибку у 30% юзеров
В чем прикол: Если ваша панель висит не на стандартном 443 порту (например, на 8000), клиентские приложения часто криво парсят префиксы
В файле .env вашей панели обязательно пропишите префикс с явным указанием порта:
XRAY_SUBSCRIPTION_URL_PREFIX = "https://ваш-домен.com:8000"
Без этого импорт в один клик превращается в лотерею.
4. Hysteria2: Теперь официально внутри Xray?
На GitHub вовсю пилят нативный Hysteria2 inbound. Раньше приходилось городить цепочки с отдельным бинарником, теперь это будет частью ядра.
Что это дает?
UDP Hop: ТСПУ теперь сложнее забанить Hysteria по сигнатуре «стабильный поток на один UDP порт». Порты будут прыгать
Brutal Congestion: Агрессивный метод борьбы с потерей пакетов. Если провайдер шейпит канал, Hysteria будет пробивать его за счет повторов
Draft-конфиг (на заметку):
"streamSettings": { "network": "hysteria", "hysteriaSettings": { "version": 2, "congestion": "brutal", "up": "100mbps", "down": "100mbps", "udphop": { "port": "20000-50000", "interval": 30 } } }
5. Считаем байты
Еще одна крутая фича, которую просит комьюнити добавление размера запроса/ответа в access.log
Зачем это нам? Сейчас в логах видно только факт коннекта. Если у вас завелся сосед, который через ваш конфиг гонит терабайты торрентов, вы это узнаете только по счету от хостера. В новых версиях обещают request_bytes и response_bytes прямо в строке лога. Это позволит настроить Fail2Ban на тех, кто жрет слишком много в рамках одной сессии
Ребята, планирую открыть ТГ канал или чат создать, что бы там много полезной инфы выкладывать, так как статьи улетают в 403, что думаете вообще, кому то нужно это?
