#sing-box — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #sing-box, aggregated by home.social.
-
Had a genuine question about #ipv6 and the brilliant project #singbox https://sing-box.sagernet.org/ for proxy with tunneling, and found a nixos setup that worked after many days of hunting. https://github.com/SagerNet/sing-box/issues/4220
which was closed as spam and labeled as not planned, though for me the "issue" is solved in the post which shows my setup and it works already without changes needed! #nettiquette -
Had a genuine question about #ipv6 and the brilliant project #singbox https://sing-box.sagernet.org/ for proxy with tunneling, and found a nixos setup that worked after many days of hunting. https://github.com/SagerNet/sing-box/issues/4220
which was closed as spam and labeled as not planned, though for me the "issue" is solved in the post which shows my setup and it works already without changes needed! #nettiquette -
Прячем метаданные в мессенджере: 2-hop onion-lite поверх обычных VLESS + Reality relay, и почему это почти бесплатно
В прошлые разы я разбирал, как мы встроили обход блокировок прямо в iOS-приложение: sing-box внутри бинарника, VLESS + Reality, relay как расходник, конфиг отдельно от сборки. Та статья закрывала ровно одну задачу: довести трафик мессенджера до сервера там, где прямое соединение режется. Но в самом конце был честный абзац, который мне не давал покоя. Я написал тогда: туннель меняет то, как соединение выглядит для цензора по дороге, и не меняет того, кто стоит на концах. Оператор relay (в нашем случае мы сами) видит ваш трафик ровно так же, как его видел бы провайдер при прямом подключении. Вот про эту дыру и будет текст. Она называется красиво: метаданные. На практике это означает, что один relay видит больше, чем должен. И мы её закрыли, не трогая боевой парк relay вообще. Без маркетинга, по делу.
https://habr.com/ru/articles/1047920/
#обход_блокировок #VLESS #Reality #singbox #onion_routing #метаданные #DPI #цензура #мессенджер #приватность
-
sing-box-lx: как, почему и зачем я завёл fork сетевого ядра — XHTTP + AWG2 для всех
Если вы пользовались моим LxBox или десктопным лаунчером , то могли натыкаться на оранжевый баннер: «с этим узлом, скорее всего, не соединится». Так клиент честно сознаётся, что наткнулся на узел с транспортом XHTTP , а ядро sing-box, на котором всё крутится, его не умеет. В этот момент лаунчер тихо даунгрейдит конфиг до HTTPUpgrade. А еще сразу как я выпустил приложение пришли запросы с AWG/AWG2 и такие: сделай! а я сюда В какой-то момент я устал ждать и собрал свой форк ядра — sing-box-lx . Сегодня расскажу, зачем он понадобился, что внутри, и почему главное в нём — не сами фичи, а то, как он сделан.
https://habr.com/ru/articles/1045706/
#XHTTP #AmneziaWG #WireGuard #DPI #обход_блокировок #open_source #Go #форк #singbox #vless+reality
-
Когда Reality не хватает: добавляем Hysteria2 + Salamander в iOS-мессенджер, и как всегда грабли по дороге (ч.2)
В прошлой статье я рассказывал, как мы встроили VLESS + Reality прямо в наше iOS-приложение через sing-box, чтобы обход блокировок был не задачей пользователя, а деталью реализации. Если коротко: TLS-рукопожатие проксируется на посторонний крупный сайт, активный пробинг упирается в этот сайт, IP относимся как к расходнику, конфиг доставляется отдельно от сборки. Подход работает, и для подавляющего большинства соединений из России работает прямо сейчас. Кроме одного класса сетей, в которых не работал. Внутри этого класса оказались, в том числе, корпоративные подсети, гостевой Wi-Fi в некоторых аэропортах и часть регионального покрытия одного из операторов. Картина в логах одна и та же. Туннель поднимается, TCP-соединение на relay открывается, TLS-рукопожатие начинается, и через секунду sing-box на сервере пишет в журнал: REALITY: processed invalid connection . Сразу обрыв, нет ретраев которые что-то меняют. Эта статья про то, что мы увидели в этих сетях, почему Reality в одиночку их не пробивает, и что мы поставили рядом, чтобы пробивал. Если читали предыдущую часть, продолжайте отсюда. Если не читали, важен один тезис: туннель у нас живёт внутри приложения, через sing-box, скомпилированный в нативный фреймворк, без системного VPN. Дальше про Hysteria2
https://habr.com/ru/articles/1039810/
#обход_блокировок #Hysteria2 #Salamander #singbox #DPI #белый_список #QUIC #iOS #Swift #gomobile
-
Open-source VPN клиент Tunguska
Tunguska — открытый Android-клиент для собственных VPN-профилей. Фокус — на безопасность. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии. Это клиент для людей, у которых уже есть свои профили, свои серверы или свой провайдер. Я начал писать его из-за российской практики вокруг VPN. Сетевые блокировки никуда не делись, но теперь часть проблем приходит уже с телефона: приложение видит активный VPN, отправляет этот признак на сервер, а при трафике через туннель ещё и светит выходной IP или адрес VPS. Площадки должны делиться сведениями о новых выявленных VPN с регулятором; в такой схеме выходной IP может попасть в общие списки блокировки. Tunguska решает часть выявленных обществом проблем и предоставляет удобные шаблоны для конфигурации из РФ.
https://habr.com/ru/articles/1039264/
#VPN #Android #Tunguska #singbox #Xray #tun2socks #маршрутизация #VPNдетект #DNS #безопасность
-
Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP. Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли мы наступили. Без маркетинга, по делу.
https://habr.com/ru/articles/1038412/
#обход_блокировок #VLESS #Reality #singbox #XTLS #прокси #цензура #iOS #Swift #gomobile
-
Обход блокировок на OpenWRT с помощью HomeProxy-hiddify (hiddify-core) и баз GeoIP, Geosite Re:filter
Это гайд по настройке через UI русифицированного приложения для OpenWRT с hiddify-core - HomeProxy Hiddify , он позволяет настроить подключение к NaiveProxy, Mieru, ShadowTLS, Hysteria2, XRay, VLESS (XHTTP), VMESS, Trojan, TUIC и иным протоколам которые поддерживает Hiddify App в т.ч. с помощью подписок (subscription). В статье рассмотрим установку и настройку приложения для раздельного туннелирования на примере списков Re:filter
https://habr.com/ru/articles/1036064/
#openwrt #блокировки #singbox #subscriptions #split_tunneling #hysteria2 #hiddify #раздельное_туннелирование #подписки #xhttp
-
L×Box: диагностика per-app трафика, посмотрим кто куда ходит
Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся , но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state , /connections , /logs и ручного matching'а conn_id'ов между ними картина прояснилась. Часть доменов вида *.t-bank-app.ru корректно матчится в мой ru-domains rule_set и идёт напрямую . Но другая часть резолвится через CNAME на *.trbcdn.net (TLD .net !) — этот target в ru-domains уже не попадает, и sing-box честно отправляет трафик через bypass-VPN в Польшу. Получается split: часть запросов уходит с моего домашнего IP, часть — с польского. Bank-backend, который привязывает session к source-IP / fingerprint'у, видит непоследовательного клиента и просто отказывается поднимать auth state. Симптом — «login завис», корень — domain-level split routing внутри одного приложения. Стало ясно: такая диагностика не должна занимать 30 минут. Поэтому в L×Box (мой Android-клиент на sing-box, open source ) появилась фича — Per-app traffic profiler .
https://habr.com/ru/articles/1033178/
#VPN #singbox #Android #Flutter #DNS #CNAME #splitrouting #диагностика #open_source #traffic_profiler
-
Как я писал трей-утилиту для управления sing-box на Windows
Эта статья о том, как я хотел сэкономить несколько секунд при переключении системного прокси в Nekobox, а в итоге уже несколько месяцев пишу мини-программу для управления sing-box . Началось с того, что для прокси на Windows я стал использовать Nekobox. Про гибкое раздельное туннелирование я еще не знал, и приходилось постоянно включать и выключать системный прокси, чтобы зайти то туда (сайт заблокирован), то сюда (сайт блокирует IP прокси). Много раз в час: клик по значку в трее, режим системного прокси, отключить (а потом обратно). И я подумал, что было бы удобнее просто кликать по значку. Ничего сложного — почему бы не реализовать? Начал я, конечно же, с рисования значка. Решил, что хорошо подойдет портал из «Рика и Морти» как метафора беспрепятственного перемещения между измерениями. Провел целый вечер в Procreate на iPad, замучился, устал и отложил затею на потом. Что было дальше
-
LxBox: переносим опыт singbox-launcher в Android
Привет. Полгода назад я выложил singbox-launcher — десктопный GUI для управления ядром sing-box . По фидбеку стало понятно: идея зашла, людям удобно собирать и отлаживать конфиги на ноутбуке, а потом переносить их на роутеры и другие сетевые устройства. Подробнее о десктопной версии я писал на Хабре . Пару слов для тех, кто не в контексте. Есть небольшой класс кроссплатформенных сетевых ядер, которые умеют гибкую маршрутизацию трафика и поддерживают современный набор протоколов: WireGuard, VLESS, SOCKS5, Shadowsocks, Hysteria2, TUIC и так далее. Sing-box в этом списке — не самый раскрученный, но для меня он оказался наиболее интересным: быстрая эволюция, внимание к деталям, чистый код, живое общение мейнтейнеров с пользователями, классно организованный по логике конфиг. Довольно быстро стали приходить запросы на Android-порт. Первое время казалось, что это будет прямое переиспользование десктопного кода. На практике сценарии потребления на мобильных оказались сильно другими: другой UX, другой lifecycle, Doze и background-лимиты, OEM-специфика, ограниченный экран, другие ожидания от автозапуска и обновлений. В итоге пришлось переписать практически всё с нуля. Результат этой работы — LxBox , и сегодня я хочу рассказать, чем он отличается от существующих Android-клиентов и как устроен изнутри.
https://habr.com/ru/articles/1027734/
#singbox #LxBox #Flutter #Android #Dart #WireGuard #маршрутизация_трафика #open_source #VLESS #specdriven
-
NaïveProxy в sing-box (альтернатива VLESS)
Читая статьи про прокси, можно подумать, что VLESS с XHTTP — это чуть ли не единственный рабочий протокол проксирования в условиях блокировок. На самом деле существуют не менее современные альтернативы. Сегодня я расскажу о протоколе Naive , его особенностях, а также о настройке клиента и сервера с использованием sing-box и Caddy .
-
Sing-box и белый список приложений
Всем привет, расскажу про свою конфигурацию для доступа к своему любимому Youtube и нужным мне сервисам. Буду излагать максимально лаконично и без всяких ИИ. Данная конфигурация решает на корню проблемы следящих приложений, кроме одного комичного. О нём я немного опишу чуть ниже.
-
Из-за критической уязвимости VLESS клиентов скоро все ваши VPN будут заблокированы
Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах. Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете. При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик. Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости. Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.
https://habr.com/ru/articles/1020080/
#прокси #socks5 #обход_блокировок #xray #singbox #слежка #spyware #роскомнадзор #тспу #vpn
-
Знакомство с sing-box
Sing-box — это программа, которая знает много протоколов проксирования и умеет их очень гибко применять. Работает на разных устройствах (роутеры, телефоны, стационарные компьютеры) и операционных системах (Windows, Linux, iOS, Android и др.). Может быть клиентом (работать на конечном устройстве пользователя), сервером (принимать соединения от клиентов), клиентом и сервером одновременно (промежуточный узел для перенаправления трафика). В этой статье я познакомлю вас с sing-box и расскажу о его настройке. Покажу базовую конфигурацию sing-box, с которой не нужно постоянно включать и выключать VPN для доступа то к одному, то к другому сайту или приложению. И это будет работать на разных устройствах с минимальными изменениями. Это вводная статья для тех, кто уже пользуется готовыми GUI-клиентами, но хочет перейти на чистый sing-box.
-
-
-
One Open-source Project Daily
Multi-platform auto-proxy client, supporting Sing-box, X-ray, TUIC, Hysteria, Reality, Trojan, SSH etc. It’s an open-source, secure and ad-free.
https://github.com/hiddify/hiddify-app
#1ospd #opensource #clash #clashmeta #ech #hysteria #hysteria2 #proxy #reality #shadowsocks #shadowtls #singbox #singbox #ssh #tuic #v2ray #vless #vmess #wireguard #xray -
One Open-source Project Daily
Multi-platform auto-proxy client, supporting Sing-box, X-ray, TUIC, Hysteria, Reality, Trojan, SSH etc. It’s an open-source, secure and ad-free.
https://github.com/hiddify/hiddify-app
#1ospd #opensource #clash #clashmeta #ech #hysteria #hysteria2 #proxy #reality #shadowsocks #shadowtls #singbox #singbox #ssh #tuic #v2ray #vless #vmess #wireguard #xray -
Sing-Box Launcher: как собрать VPN + WireGuard + split-tunneling без JSON-конфигов
Многие, наверное, хотели сделать конфигурацию чтобы и рабочие ресурсы через WireGuard, и российские сайты напрямую, и заблокированные — через VLESS, а доступные только из РФ сервисы — через RU-прокси. В статье покажу, как собрать такую схему без единой строчки JSON и почему Sing-Box Launcher постепенно превратился в GUI-оркестратор конфигураций sing-box.
https://habr.com/ru/articles/1007568/
#vless+reality #wireguard #tun #vibecoding #singbox #gui #fyne
-
Десять лет кошек и мышей между цензорами и интернетом
10 лет назад OpenVPN считался надёжным инструментом. Сегодня он блокируется за секунды. За это время сменилось пять поколений протоколов — каждый новый рождался как ответ на то, чему научился цензор. Это история гонки вооружений между математикой и политикой. И она ещё не закончена. И где мы сейчас ?
https://habr.com/ru/articles/1005774/
#DPI #ТСПУ #XHTTP #singbox #цензура #Xray #VLESS #Reality #сетевая_безопасность #право
-
VPN на Go засыпает вместе со смартфоном: дебажим таймеры, Android и CLOCK_BOOTTIME
Вы подняли свой прокси-сервер, настроили навороченный sing-box на Android, всё летает, 4K видео грузится мгновенно. Но стоит положить телефон в карман на пять минут и магия исчезает. Соединение залипает, SSH-сессии рвутся, а WhatsApp-звонки превращаются в тишину Как только вы включаете экран сеть оживает. Казалось бы, типичный агрессивный энергосберегатор Android, но всё гораздо глубже. Я обнаружил там проблему на стыке рантайма Go, логики ядра Linux Улика №1: conntrack и чистка сети Первое, что бросается в глаза при анализе логов это странное поведение системы при событиях Pause и Wake. В Android-клиенте sing-box при выключении экрана срабатывает механизм приостановки DEBUG inbound/hysteria2[hy2-in]: connection failed: timeout: no recent network activity panic: runtime error: index out of range [0] with length 0 goroutine 615 [running]: github.com/sagernet/sing/common/bufio.(*SyscallVectorisedWriter).WriteVectorised(...) В современных сборках sing-box включен флаг with_conntrack. Когда Android сообщает приложению, что пора уходить в спячку (Pause), срабатывает метод ResetNetwork(). Внутри он вызывает conntrack.Close() Разработчики хотели как лучше: очистить таблицу состояний, чтобы при смене сети (например, переход с Wi-Fi на LTE) не оставалось мертвых записей. К чему это приводит? На мобилке это буквально рубит все активные TCP-сессии при каждом засыпании экрана. Если ваше приложение не умеет мгновенно переподнимать сессию, вы получаете обрыв Улика №2: Проблема замершего времени Почему WireGuard в официальном приложении работает стабильно, а в Go-клиентах (вроде sing-box или других форков) постоянно отваливается? Всё дело в том, как Go считает время. По умолчанию рантайм Go для всех таймеров и time.Sleep использует системные часы CLOCK_MONOTONIC В режиме глубокого сна на Android часы CLOCK_MONOTONIC останавливаются Если вы настроили WireGuard на отправку keepalive каждые 20 секунд:
-
#singbox exits with an error
configure tun interface: invalid argumentGuess what i did wrong
Now please help me guess why the fuck it's not a config parsing error but some obscure runtime error instead
-
#singbox exits with an error
configure tun interface: invalid argumentGuess what i did wrong
Now please help me guess why the fuck it's not a config parsing error but some obscure runtime error instead
-
Sing-Box Launcher теперь на macOS
Месяц назад я описывал wizard-подход к настройке sing-box без ручного JSON. Теперь это полноценный нативный macOS-клиент и Windows-клиент с TUN, системным прокси, menu bar, быстрым переключением узлов и решением бага Fyne через Objective-C.
https://habr.com/ru/articles/978634/
#singbox #macOS #Windows #GUI #wizard #VLESS #proxy #Go #open_source #proxyserver
-
Настройка sing-box и Momo (TPROXY) на OpenWrt: быстрый и точный обход блокировок
Статья объясняет, как настроить эффективное перенаправление трафика в sing-box на OpenWrt с использованием TPROXY. В отличие от решений вроде Podkop, метод позволяет гибко управлять трафиком, использовать сниффинг доменов, подключать внешние списки заблокированных сайтов и автоматически их обновлять.
https://habr.com/ru/articles/977950/
#OpenWrt #singbox #tproxy #обход_блокировок #обход_блокировки #туториал
-
(VLESS) VPN-клиент под Windows
Недавно мне нужно было запустить VLESS-подписку под Windows, подружить её с рабочим VPN и всеми сопутствующими «прелестями». Попробовал v2rayN, Nekoray, Hiddify — и довольно быстро понял, что хочу написать собственный клиент. Так появился singbox-launcher : 👉 https://github.com/Leadaxe/singbox-launcher Ниже — немного подробностей, почему так и что получилось.
https://habr.com/ru/articles/973754/
#vless #singbox #windows #launcher #vpn_клиент #wintun #singbox_GUI #Nekoray #v2rayN
-
У меня наконец получилось настроить обход цензуры на домашнем сервере. Теперь мне с телефона больше не придётся переключаться между десятком разных приложений, а достаточно просто подключить #WireGuard, где в #singbox на пире уже как надо настроен роутинг. Осталось туда же присобачить блокировку рекламы для полного счастья.
SMTPd работает напрямую, потому что иначе сервер не пройдёт проверку SPF. Но протокол довольно устойчивый к перебоям, так что пока не буду париться насчёт этого.
-
У меня наконец получилось настроить обход цензуры на домашнем сервере. Теперь мне с телефона больше не придётся переключаться между десятком разных приложений, а достаточно просто подключить #WireGuard, где в #singbox на пире уже как надо настроен роутинг. Осталось туда же присобачить блокировку рекламы для полного счастья.
SMTPd работает напрямую, потому что иначе сервер не пройдёт проверку SPF. Но протокол довольно устойчивый к перебоям, так что пока не буду париться насчёт этого.
-
Какую книгу мне нужно прочитать, чтобы понимать, как на домашнем сервере с кучей сервисов настроить сеть таким образом, чтобы все исходящие подключения проходили через tun-интерфейс, на котором слушает sing-box?
-
Какую книгу мне нужно прочитать, чтобы понимать, как на домашнем сервере с кучей сервисов настроить сеть таким образом, чтобы все исходящие подключения проходили через tun-интерфейс, на котором слушает sing-box?
-
А, всё это время я мог в sing-box в конфиге TUN исключить отдельные интерфейсы, чтобы прокси не ломало мне роуты Wireguard и не мешало дебагу на локалхосте.
И по непонятной причине добавление exclude_interface ещё фиксит нерабочий ICMP, даже при strict_route=true.
"inbounds": [ { "type": "tun", "address": "172.18.0.1/30", "auto_route": true, "auto_redirect": true, "strict_route": true, // вот эта штука "exclude_interface": [ "lo", "wg0" ], // ^^^^ "stack": "system" }, // ... ]