Комментарии 115
Это уже не первый вендор-лок-мануал
Зочем?
Ради рекламы конечно же!
ну мануал вроде хороший, на вид по нему сможет настроить даже не прошаренный пользователь
Чем хороший? Тем что nano 3x-ui.txt? На голом ubuntu?
Где bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh) ? Почему я должен юзать какую то предустановленную панель?
С каких пор вообще разворачивание такой конфигурации вне виртуализации (вне docker контейнера хотя бы) является нормальной практикой в 2025 году??
причем уже публиковалась статья с таким именем в прошлом году, и вроде даже этим же автором. По содержанию тоже очень похожа. Картинка из другой статьи дернута, в общем идеи кончились, а продолжать прогревать гоев "доить корову" нужно
лол, в прошлом году, https://habr.com/ru/articles/905286/
Куда проще взять какой нибудь VPS на DataCheap и запустить на нем амнезию. Недорого, и очень удобно, целой семьёй пользуемся.
У Амнезии нет веб-интерфейса, всё управление через сомнительного удобства и функциональности клиент.
Но для новичка что-то проще придумать сложно.
Ну видимо да. Поднять WG я не смог, не работает.
Есть такая штука - wg-easy, с веб-мордой из коробки, ставится довольно легко, но это обычный wg со всеми вытекающими. Всё-таки awg намного надёжнее в плане детектируемости ТСПУ.
А вот в том то и прикол, что ни один скрипт помочь мне не смог. Я долго пытался, но все сводилось к тому что первый хендшейк проходит, а дальше - тишина, трафик не идёт.
Про это и речь. Нативный Wireguard легко детектится и блочится. Тут, кстати, ещё от хостера зависит и от провайдера. На одном из моих vps висит чистый wireguard, периодически отваливается через мобильный билайн, через остальных провайдеров всё пучком. С другим вообще никакие ОПСОСы не работают. Лотерея. Будущее за awg и VLESS.
Будущее за awg и VLESS.
Если до них доберутся, то будущее будет за tcp фрагментацией и подобным.
Наращивать мощности ТСПУ для анализа различных типов фрагментации всего трафика будет всё же проблематичнее, чем конкретному пользователю - свои для соответствующей задачи.
VLESS у меня тоже периодически отваливается, причем как назло у пожилого родственника (АКАДО через ТВ-антенну, ЕМНИП), с которым не поковырять по телефону клиент.
VLESS - проанализирует фигли ты ходишь так много на условный гугл.ком и гонишь столько трафа на него, проверять что этот айпи вообще левый и не принадлежит сетке гугла и поблочать этот айпи.
Вот тебе и маскировка трафика.
VLESS - проанализирует фигли ты ходишь так много на условный гугл.ком и гонишь столько трафа на него, проверять что этот айпи вообще левый и не принадлежит сетке гугла и поблочать этот айпи.
вы сейчас описали детектирование XTLS-Reality с чужим доменом, а не VLESS.
сам VLESS не зависит от Reality и может использоваться во многих других схемах и без него.
погуглите на тему (это все синонимы, все про одно, про cloudflare warp и обход блокировки) - warpgen warp, llimonix warp, bash warp
возможно что-то из этого подойдет
У wg-easy есть несколько форков для работы с AWG.
Понятно, товарищ майор
Запомню, datacheap - ни ногой
На DataCheap vds в 2,5 раза подороже аезы по нижней планке. Даже если добавить впн на аезу(он не бесплатен), то все равно немного дешевле выйдет.
Нам нормально, 250р в месяц и гигабитная сеть, можно настроить на любом устройстве, в то время как HitVPN (которым мы пользовались) 100р/мес на устройство и привязка к приложению. На тот момент когда купили, это был один из самых дешёвых вариантов, нас все устраивает.
аеза же привлекла внимание назгулов, в любой момент может пропасть
Для таких чайников как я это не особо понятно. Думаю у меня на это уйдет час, если не больше :D
"Расширенный туториал "? Эта статья -- одна из наименее подробных публикация на эту тему на хабре. Все это уже было написано год-два назад (может даже больше), например в статьях @neodavinchi и цикле от @Deleted-user .
уже месяц сижу на аезе.
1) Когда зарегался дали ИП не доступный из России. Поменяли. Пинг был около 70-80
2) Пошла новость что владельцев в России арестовали.
3) Отвалилось половина европы. Помогла опять смена ИП через саппорт.
После смены ИП подрос пинг до 200мс иногда....
Хз че с ними происходит)
А ещё лучше, чтобы не гонять весь трафик через ВПН, поставить некобокс, добавить туда профиль впн, запустить его и для впн юзать фаирфокс и прописать у него в настройках проксю 127.0.0.1:2080 и тогда всё в фаирфоксе пойдет через ВПН. А ещё в некобоксе можно настроить маршрутизацию и прописать геоИП и домены на какие ходить без впн.
А то уже новость проскакивала что научились детектировать впн, если от юзера весь трафик идёт на гугл
Детектить можно тупо по невалидному сертификату.
А почему он будет невалидный то?
А откуда вы валидный сертификат на yahoo.com возьмёте?
Почитайте как разботают Reality и Cloak. Если клиент не опознан как "свой", то соединение проксируется на настоящий Yahoo.com, и соответственно клиент получает валидный сертификат от yahoo и поведение сервера полностью как у настоящего Yahoo.
А если клиент "свой", то там уже и не важно - в TLS 1.3 сертификат передается уже после обмена ключами в зашифрованном виде, сторонний наблюдатель его не увидит.
Разве TLS 1.3 не рубится ТСПУ, чтобы такого просто не было?
Я имплементировал подобный механизм в своём VPN: во время TLS-handshake проверяю SESSION ID. Если он не совпадает с ожидаемым значением (вычисляется как функция от времени), хендшейк перенаправляется на домен, указанный в поле SNI и сервер работает как прокси для этого подключения.
в случае с Reality он будет как раз-таки валидный.
Зачем что-то там детектить? Ркн смотрит что юзер ежедневно ходит по одному и тому же адресу и выкачивает гигабайты, или даже десятки гигабайт - баним, или просто режем скорость до 256 кбит/с. Ну да, могут постранать невиновные, только вряд ли этих людей данный факт будет волновать.
С наибольшей долей вероятности это окажется офисный VPN, количество которых с 2020-го выросло на порядки.
SSH-туннели замедляют до 512 кбит в реальном времени после нескольких прогонов speedtest.
VLESS, как я слышал, уже начали банить в регионах, тк нашли брешь в протоколе. И не только nekobox удобен. Для обычного пользователя куда проще будет Hiddify, особенно на телефоне, где тоже можно выбрать, кто и что будет использовать.
VLESS, как я слышал, уже начали банить в регионах, тк нашли брешь в протоколе
Не начали. На NTC-форуме чуть ли не каждую неделю кто-то кричит "VLESS научились банить", а при глубоком разбирательстве выясняется что тупо банят TLS (иногда TLS 1.3, иногда вообще весь TLS) до некоторых диапазонов адресов популярных VPS-хостеров - то есть даже простые сайты размещенные по соседству (где никаких прокси никогда не было) не работали. РКН же с наглым видом отвечает "пользуйтесь для своих сайтов услугами отечественных хостеров".
Были новости о том, что Роскомпозор стали блокировать хендшейки xray и в паре регионов РФ, где это тестировали, у людей vpn не работает. На форуме ntc party мелькали сообщения об этом
некобоксе можно настроить маршрутизацию
нужно настроить маршрутизацию =)
Есть еще расширение для браузеров SwitchyOmega, в котором можно прописать список сайтов, которые надо открывать через прокси, а остальные сайты будут открываться в обход.
А если не на Гугл?
А чем эта статья отличается от уже опубликованной 12.12.2024? (https://habr.com/ru/articles/865974/)
Правильно, ничем!
Я зашёл почитать новые способы применения народного vless, а увидел рекламную статью аезы(
Потрачено!
У меня сервер от аезы в штатах, 9 мая пришло письмо что цод разрывает с ними договор. И мне нужно за 3 дня до 12 мая в ручную перенести данные на новый сервер. Причём никаких средств миграции не предоставили.
Но почему Амстердам? Не соглашусь. Нужно выбирать самую ближайшую локацию - Швеция/Финляндия.
Пользуюсь уже почти год акционным тарифом копеешным.
Но что еще более интересно - это их локации в РФ. Через которые большую часть времени ютуб работает на полной скорости и без рекламы. Через них работают сайты на полу-блокируемом cloudflare, работает rutracker. Работают даже укр. сайты (конечно кроме тех, что блокируют со своей стороны).
Пытался у поддержки выпытать как так - в ответ конечно лишь отписки, мол мы на работу тспу не влияем... оно само там как-то работает/не работает :) В общем мутно, но нам-то что? Работает и отлично. Пользуюсь и уже подзабыл эти постоянные вставки инородной рекламы в ютубе.
Надо ли уточнять, что vpn через Москву имеет минимальнейшие задержки и макс. скорость. Так что какой там Амстердам, кому он нужен...
(конечно кроме тех, что блокируют со своей стороны)
Вот в этом и проблема.
Раньше выгодней было иметь VPN с иностранным IP прикидывающимся Российским. Сейчас же, когда сами сервисы на своей стороне блокируют доступ, то выгодней иметь чистый иностранный IP, который не только по GeoIP светится иностранным, но и компания на которую зарегистрированы эти IP в базе данных была тоже иностранная.
Но что еще более интересно - это их локации в РФ. Через которые большую часть времени ютуб работает на полной скорости и без рекламы. Через них работают сайты на полу-блокируемом cloudflare, работает rutracker. Работают даже укр. сайты (конечно кроме тех, что блокируют со своей стороны).
Достаточно частое явление что на каналах дата центров ТСПУ либо не фильтрует совсем, либо фильтрует в заметно более лайтовом режиме.
Вы ближайшую локацию не по географической карте смотрите, а по карте больших магистральных линий связи. И возможно окажется, что Швеция/Финляндия от Вас дальше, чем Нидерланды
Внезапно с такими же ньюансами (ну кроме укросайтов - тут просто не было нужды проверять) - поведение подключения через Cloudflare Warp в России (даже если он заблокирован - чаще всего заблокировано получение конфигов, можно отдельно обойти)
Вышеприведенный укросиноптик у меня на варпе замечательно открылся. бесплатно. безлимитно. без рекламы. быстро.
Все эти VLESSы - это как увлечение выживальщиков. Если вдруг долбанут ядреной бомбой, гораздо лучше, когда у тебя в тайге подготовлена землянка и запасы тушенки. Но ядерной войны все нет и нет, а расходов денег, сил и времени эта землянка требует регулярно.
Так же и варп (через amneziawg) - во всем превосходит VLESS (до ядерной войны). Ну а когда будет (если на нашем веку), там уж, думаю, будет возможность все настроить-наладить.
Когда в статье или комменте идет рефссылка, никогда не знаешь, человек просто ссылку добавил, но он честно перебрал тысячи вариантов и делится лучшим. Или же он просто хочет срубить на лохах пару баксов.
Я скрин для того и прикрепил, чтобы показать что сам действительно пользуюсь. Один аккаунт в шведской локации и еще один есть в московской. Перепробовал не тысячи, но многих. Плюс еще есть другой (не аеза) в Амстердаме. Нравилась скорость через vps в Литве. Ссылок не даю, чтоб не нервировать нелохов.
И роутером разруливаю какой куда траффик пускать (3-4 vpn'а в среднем имеется на хозяйстве). Т.к. именно одного "лучшего" не существует. Есть подходящий под задачу.
Рефссылка... ну извините, что уж. Но за лайки распинаться тут тоже интереса не вижу. Есть "тема" (про отсутствие блокировок на их рос. локациях), ею поделился т.к. не встречал чтобы кто-то об этом говорил. А вместо лайков никому не нужных, лучше пусть кто-нть пройдет по ссылке и тоже может откроет для себя интернет почти как до 22го.
Аналогично Швеция. Но видимо она сам, т.к. на телевизоре реклама в YT иностранная чуть ли ни каждые 5 минут на их языке
Заглядываю почитать в среднем раз в неделю. И даже с такой переодичностью уже во второй или третий раз вижу практически (или даже полностью) идентичную статью со ссылкой на Aeza. Спасибо, теперь точно буду знать, где не стоит брать хостинг!
Сами авторы Xray не приветствуют этот gui - подозрение на слив данных.
Сами авторы Xray рекомендуют перейти на XHTTP, называя его Beyond Reality, а тут опять одно и то же.
3x-ui так то опенсорсный, если у авторов xray какие-то подозрения есть то надо их обосновывать, а не пустыми словами разбрасываться.
WARNING: Please DO NOT USE plain HTTP panels like 3X-UI, as they are believed to be bribed by Iran GFW for supporting plain HTTP by default and refused to change (#3884 (comment)), which has already put many users' data security in danger in the past few years.
Там основная претензия - 3x-ui позволяет работать под несекурным http, и разработчики отказываются это менять
А это не решается установкой обратного прокси с сертификатами между клиентом и панелью и всё такое?
Решается. Но об этом нужно знать.
Можно даже без обратного прокси решить, просто сделать чтобы панель слушала только на 127.0.0.1, и подключаться к ней прокидывая порт через SSH - это элементарно делается одной командой.
Но 99% пользователей таких панелей ничего из этого не делают, потому что не знают, что это такое и зачем оно (потому что панелями как раз обычно пользуются неопытные пользователи), в этом и проблема.
В итоге после установки панель светит на стандартном порту голым HTTP свою морду, то есть 1) можно элементарно определить, что на этом сервере стоит прокси и забанить его 2) есть опасения, что в некоторых странах всякие не очень порядочные люди перехватывают трафик в целях нахождения таких панелей и получения реквизитов доступа от них.
Разработчиков панелей уже очень давно просят сделать что-то с этим (слушать по умолчанию на 127.0.0.1, или добавить HTTPS по умолчанию с маскировкой морды), но те отказываются без объяснений и просто закрывают все обсуждения на эту тему. Поэтому авторы XRay и рекомендуют от таких панелей держаться подальше.
Сами авторы Xray рекомендуют перейти на XHTTP, называя его Beyond Reality
Не совсем так. У XTLS-Reality и XHTTP разные предназначения и кейсы использования.
Я не так давно столкнулся с ещё одной проблемой. С тех пор, как WG стал блокироваться, я перешёл на AWG, и всё работало отлично. НО! Ради удобства я исполью двухсегментную схему, в которой первое подключение идёт до внутрироссийского сервера, далее происходит выборочная маршрутизация с помощью ipset, а затем траффик уже перенаправляется на зарубежный сервер. Так вот в какой-то момент половина сайтов просто отвалилась и перестала загружаться вообще в любом виде, словно где-то стояло правило DROP. Другие сайты открывались, но после задержки в 10-15 секунад. Я подозреваю, что причина была в ТСПУ, потому что после обращения к провайдеру мне сменили IP, и всё заработало снова. И получается, что можно сколько угодно строить схемы, но в какой-то момент ТСПУ переводит твой IP в категория разрешено только то, что разрешено.
Я не слышал про случаи когда ТСПУ кидало пользователя в whitelist, думаю что на сегодняшний день там нет такой реакции на обнаружение впн. А вот блокировать трафик до впн сервера если оно спалило что на нем есть впн оно может. Мне так два сервера заблокировало вплоть до того что я по ssh даже зайти туда не мог.
Если вы весь свой трафик пускаете через AWG на сервер в России и уже там маршрутизируете - это не очень хорошая затея. ТСПУ все же не настолько тупая штука и обнаружить аномалию когда с одного айпишника почти весь трафик идет на один и тот же сервер точно должно уметь. Лучше маршрутизацию настраивать в рамках своей домашней сети.
Так в том-то и дело, что блокировки наблюдаются даже с отключённым VPN. Что касается траффика до одного сервера - а какая разница с вариантом с домашнего компа заворачивать весь траффик напрямую до зарубежного? Если бы проблема была в этом, то всех бы пользователей VPN добавляли в whitelist независимо от метода обхода блокировок.
Вы не поняли моего посыла насчет маршрутизации в домашней сети - не заворачивайте весь трафик из домашней сети в VPN (не важно где конечный сервер находится) и будет вам счастье. Пока у вас трафик ходит относительно разнообразно (даже с каким-то перекосом в сторону одного адреса) маловероятно что ТСПУ на вас стриггерится.
Настроить переброску конкретных забаненых доменов в VPN все еще сильно проще, чем постоянно участвовать в гонке с ТСПУ и покупать новые VPS или долбить провайдера чтобы вам поменяли IP в надежде что провайдеру это не надоест и он вас не пошлет нафиг.
Статья чисто ради рекламы аезы, которая итак из каждого утюга лезет
предупреждение для тех, кто обдумывает возможность использовать услуги именно этого хостера для впн
Справедливости ради - я по этому же гайду полгода назад на АЕЗЕ как раз и поднял. В один из дней все встало колом (когда к ним наведались маски-шоу) и пока не работало я срулил на beget, по цене +- тоже самое, но пока проблем не было.
И человеку, писавшему статью, когда я ее читал в конце 24 года в свете блокировок дискорда - всего самого хорошего, выручил и меня и моих друзей)
насколько я помню они после этого они полностью вынесли аренду зарубежных серверов на зарубежное (вроде бы британское) юрлицо формально не имеющее отношение к российскому
На web морду ходим по обычному http без шифрования, передавая логин пароль на весь интернет? Хотя бы самоподписанный сертификат прикрутили, а если есть какой-нибудь домен, то можно создать для web морды отдельный субдомен и сделать уже нормальный сертификат от Let's Encrypt.
а если есть какой-нибудь домен
А если нет, всегда есть sslip.io и nip.io
А еще https://open-domains.net/ и мой любимый https://freedns.afraid.org/
Del
Так это было уже. И не раз. Самый лучший гайд от @neodavinchi хоть и устарел уже. Да и сложного там ничего нет, все элементарно. Я бы почитал, как сделать подписоку, чтоб пользователь мог подключаться в один клик. Сейчас пилю ТГ -бота для подписок - хоть убейся, но получается автоматизировать отправку ключа и установку лимита трафика.
У меня есть пример конфига nginx для подписки в статье. Если лень выковыривать оттуда, то суть вкратце в том, чтобы держать на веб-сервере текстовик, в котором построчно запакованы конфиги подключений. Имя должно быть максимально рандомное, чтобы его не нашли подборщики и без всяких ссылок, чтобы не добрались поисковые пауки.
P.S Если у Вас есть наводки, как сделать шейпинг трафика на серваке, то буду признателен
Гайд для VPN на локальном компе никому не интересен. Есть много разных полезных скриптов/проксей/расширений для браузера, которые позволяют смотреть запрещёнку без лишних телодвижений с оплатой зарубежного хостинга и настройкой своего сервера.
Более того, все эти упрощенные мануалы для новичков, скорее опасны, т.к. нигде не говорится хотя бы о смене ssh порта и настройке fail2ban сразу после установки сервера, т.к. без этого ваш сервер скорее всего либо взломают, либо на нем кончится место из-за переполнения логов авторизации (ротацию же тоже никто не настраивал).
Поэтому совет для тех, кому нужен условный "доступ к ютубу" на одном устройстве: не мучайтесь с настройкой ВПН сервера. Есть много бесплатных или гораздо более простых способов решить эту проблему.
Гайд для VPN на локальном компе никому не интересен.
Говорите за себя, "никому" - слишком категоричное и голословное заявление.
Ну серьезно. Если у вас только ПК или ноутбук, подключенный к интернету и нет роутера, то зачем вам зарубежный хостинг, поднимать Linux, настраивать VLESS? Если можно просто заплатить +/- те же деньги за условную Амнезию и не знать проблем?
Понимаю кейс, когда нужно настроить маршрутизацию на роутере, чтобы и на телевизоре ютуб работал и на всех остальных устройствах в сети. У меня у самого такая ситуация - на микротике настроено разделение трафика по mangle + address list. Но остальным-то зачем? Я имею в виду новичков, для которых пишут такие мануалы.
Только прошу, давайте все-таки аргументированно.
Есть много разных полезных скриптов/проксей/расширений для браузера, которые позволяют смотреть запрещёнку без лишних телодвижений с оплатой зарубежного хостинга и настройкой своего сервера
Эти расширения тормозные как твари и не решают проблему, например, приложения Дискорда.
Я с этих расширений перешел на нормальный VPN через Shadowsocks с клиентом на локальной машине, и всё работает прекрасно.
Ну хорошо, если расширения не нравятся, то например какой-нибудь запрет-дискорд-ютуб работает вполне прилично и решает, например, проблему приложения дискорда.
Я часто настраивал Linux-сервера и мне просто хочется предостеречь новичков (на которых расчитаны подобные мануалы) от предстоящих проблем, связанных с обслуживанием сервера, настроенного по данной инструкции: веб-морда не прикрыта, ssh не прикрыт, сертификатов нет, файрвола нет. Это прямой путь к тому, чтобы машина в скором времени стала частью ботнета. Все диапазоны айпишников таких хостеров известны и постоянно сканируются на предмет уязвимостей.
Если не хочется в этом разбираться, то проще заплатить те же деньги за платный впн и просто им пользоваться.
Каждый раз, когда я вижу очередную статью о VPN, идет речь только о Аезе. Что мешает просто зайти на гитхаб и скопировать пару строк об установке? Так что либо скопированы старые статьи, либо реклама подпортившего свою репутацию хостинга.
@
настраиваем супер-секьюрный vpn, тщательно прячем все следы от РКН
@
хостуем на том же ip специфичную веб-морду, доступную любому, кто прозвонит порты
А чем плохи готовые vpn за 5 долларов через обычный клиент типа варисока?
Всегда под подобными темами отправляю ссылку на вот этот вот гитхаб с неопределенной целью: https://github.com/EmptyLibra/Configure-Xray-with-VLESS-Reality-on-VPS-server
И совсем не потому что там подробнейший гайд про свой впн, который подробно описывает не только практическую часть, но и хорошо обозревает теорию
Есть отличная альтернатива для обхода блокировок. Установка Zapret на российский vps. А до vps - wireguard. Это дешевле! И не нужно дополнительных настроек для посещения российских сайтов. Да ещё и рекламы на Ютубе не будет.
И в комментах начался сущий кошмар...
Аеза, увольте своего пиарщика и включите мозг. Вы вывалили точно такую же статью как уже здесь была, про (калечный) 3x-UI, без разделения трафика по geoip (весь трафик идет на один заграничный IP, бань-не-хочу), вебмордой торчащий в интернет (ломай-брутфорсь-не-хочу), и с тем же провокационным заголовком. Новой информации нет, зато лишнее привлечение внимания. Вот введет РКН доступ к загранице по белым спискам, тогда плакать будем мы. Или забанят ваш диапазон полностью. Смейтесь дальше, да пишите про себя почаще.
FoXray недоступно в этой_стране.
Дорого же, а с почасовой оплатой еще дороже - сервак замедлят и будете с саппортом бодаться.
Вот когда носки заблокируют, тогда и поговорим.
Не используйте 3x-ui
Почему?
Web Panel - WARNING: Please DO NOT USE plain HTTP panels like 3X-UI, as they are believed to be bribed by Iran GFW for supporting plain HTTP by default and refused to change (https://github.com/XTLS/Xray-core/pull/3884#issuecomment-2439595331), which has already put many users' data security in danger in the past few years. If you are already using 3X-UI, please switch to the following panels, which are verified to support HTTPS and SSH port forwarding only:
Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет