#xtls — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #xtls, aggregated by home.social.
-
Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP. Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли мы наступили. Без маркетинга, по делу.
https://habr.com/ru/articles/1038412/
#обход_блокировок #VLESS #Reality #singbox #XTLS #прокси #цензура #iOS #Swift #gomobile
-
Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP. Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли мы наступили. Без маркетинга, по делу.
https://habr.com/ru/articles/1038412/
#обход_блокировок #VLESS #Reality #singbox #XTLS #прокси #цензура #iOS #Swift #gomobile
-
Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP. Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли мы наступили. Без маркетинга, по делу.
https://habr.com/ru/articles/1038412/
#обход_блокировок #VLESS #Reality #singbox #XTLS #прокси #цензура #iOS #Swift #gomobile
-
Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP. Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли мы наступили. Без маркетинга, по делу.
https://habr.com/ru/articles/1038412/
#обход_блокировок #VLESS #Reality #singbox #XTLS #прокси #цензура #iOS #Swift #gomobile
-
CW: Любопытный обзор про новости на ТСПУ в феврале. Если кратко - метят по сигнатурам VPN на HTTP/2
Утащу любопытный текст у https://rsshub.top/telegram/channel/normvpn
___Мы продолжаем разбирать инцидент последней недели и копать глубже.
Что произошло? В ночных тестах мы наткнулись на странную аномалию: подняли сервер и обманку Reality — то, что должно работать стабильно, оказалось полностью мёртвым. Но стоило переключиться на WebSocket с определёнными настройками — всё внезапно ожило.
Спойлер для тех, кто поднимает свои VPN: не используйте WebSocket. Он «голый» и сам по себе плохое решение проблемы.
Дальше мы полезли в логи тестового сервера — и вывод оказался тревожным: это уже не старые блокировки, когда РКН просто ломал хендшейк. Теперь первые пакеты проходят нормально. Система слушает трафик, анализирует структуру соединения (TLS, XTLS, Reality), и если паттерн кажется подозрительным — соединение рубят сразу.
Теория двух этапов
Судя по поведению блокировок, Роскомнадзор внедрил (или тестирует) двухуровневую систему фильтрации. Это невероятно дорого, поэтому работает выборочно:
Этап первый: “фейсконтроль”
Система смотрит на IP, хост и SNI. Если адрес «чистый», не светился в VPN и не вызывает подозрений — его пропускают без лишних затрат.Этап второй: глубокая инспекция (DPI + ML)
Если возникают сомнения, трафик отправляют на детальный анализ. И здесь включается Machine Learning — по сути, нейросеть, которая ищет сигнатуры конкретных протоколов.Почему мы уверены?
Во время тестов мы заметили, что #XTLS перестал работать на современном HTTP/2. Мы сделали даунгрейд — принудительно переключились на HTTP/1.1 — и всё заработало.
Объяснение простое: ML-модель цензора, скорее всего, натренирована на паттерны современного трафика (TLS 1.3, HTTP/2). Она «выучила», как выглядит технологичный интернет, а старые стандарты воспринимает как обычный безопасный веб-сёрфинг.
Именно поэтому сейчас деградирует качество связи вообще везде, а не только у сервисов обхода. VPN просто попадает под раздачу как самый технологичный сегмент.
История повторяется
Помните замедление YouTube, когда параллельно на две недели лёг #shadowsocks? Сейчас происходит то же самое.
YouTube и WhatsApp уже вывели из сложных цепочек DNS и DPI, чтобы просто отключить напрямую. Зачем? Чтобы освободить мощности #ТСПУ и бросить их на нынешнюю волну блокировок.
Что это значит?
#РКН учится. Мы зафиксировали сигнатурный анализ и первое применение нейросетей для атаки на интернет-трафик — чтобы блокировать VPN и Telegram.
Проблема в том, что задевает вообще всех по пути: Apple, обычные сайты, инфраструктуру.
Но у этой системы есть слабое место: Роскомнадзор уже начал частично откатывать фильтрацию. Причина банальна — они не тянут.
Нейросеть, которая в реальном времени анализирует весь HTTP/2-трафик страны, — это невозможно поддерживать долго. Ни по железу, ни по финансам.
___
#ru_vpn -
Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет
Эта статья — расширенный туториал того, как установить и настроить свой VPN на VLESS с XTLS-Reality с управлением через GUI интерфейс 3x-UI всего за 10 минут.
https://habr.com/ru/articles/909120/
#vless #xtls #reality #xtlsreality #vpn #vpnсервер #vpnтуннель #vpnclient #vpnсоединения #vpnсервис
-
Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет
Эта статья — расширенный туториал того, как установить и настроить свой VPN на VLESS с XTLS-Reality с управлением через GUI интерфейс 3x-UI всего за 10 минут.
https://habr.com/ru/articles/909120/
#vless #xtls #reality #xtlsreality #vpn #vpnсервер #vpnтуннель #vpnclient #vpnсоединения #vpnсервис
-
Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет
Эта статья — расширенный туториал того, как установить и настроить свой VPN на VLESS с XTLS-Reality с управлением через GUI интерфейс 3x-UI всего за 10 минут.
https://habr.com/ru/articles/909120/
#vless #xtls #reality #xtlsreality #vpn #vpnсервер #vpnтуннель #vpnclient #vpnсоединения #vpnсервис
-
Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет
Эта статья — расширенный туториал того, как установить и настроить свой VPN на VLESS с XTLS-Reality с управлением через GUI интерфейс 3x-UI всего за 10 минут.
https://habr.com/ru/articles/909120/
#vless #xtls #reality #xtlsreality #vpn #vpnсервер #vpnтуннель #vpnclient #vpnсоединения #vpnсервис
-
Взломай цензуру за 10 минут: искусство мимикрии в эпоху блокировок
Представьте: ваш VPN становится невидимкой для цензоров, маскируясь под обычный трафик Google. Никаких блокировок, никаких подозрений. — В этой статье вы не просто узнаете, как настроить такой «стелс» за 10 минут через удобный 3x-UI интерфейс, но и поймёте, почему VLESS с XTLS-Reality — это золотой стандарт обхода запретов в 2025. метод, который 2 года работает в Иране, теперь доступен вам.Но спешите — белые списки не вечны. Это лишь присказка — сказка внутри
https://habr.com/ru/articles/905286/
#vless #vpn #vpnclient #xtls #xtlsreality #шифрование #шифрование_трафика
-
[Перевод] Как XTLS Reality обходит whitelist? Анализ исходного кода Reality
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали. С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны. Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core. Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей. Что такое белый список SNI? В чем связь между SNI и TLS? Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения. TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
-
[Перевод] Как XTLS Reality обходит whitelist? Анализ исходного кода Reality
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали. С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны. Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core. Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей. Что такое белый список SNI? В чем связь между SNI и TLS? Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения. TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
-
The REALITY pipeline understood in a simple diagram. Questions welcomed.
#AntiCensorship #Xray #SingBox #REALITY #XTLS -
We're working on a complete rewrite of https://github.com/unredacted/freesocks-control-plane into a fully-fledged web application to help anyone with the distribution of Outline & Xray/XTLS access keys.
Here's a sneak peak of the admin UI.
-
Как сделать и настроить собственный VPN
В этой статье я подробно расскажу как оформить сервер и поднять свой VPN на протоколе VLESS с XTLS-Reality, который выделяется на общем плане тем, что трафик шифруется и маскируется под подключение к популярным сайтам (доменам), тем самым станет тёмной лошадкой для ТСПУ.
https://habr.com/ru/articles/852040/
#vpn #vless #обход_блокировок #обход_блокировок_youtube #ркн #xtlsreality #xtls
-
#vpn #opensource #wireguad #WireGuardVPN #v2ray #xtls #Роскомнадзор
ВПН готов. Скорость в нём даже выше, чем в wireguard :blobfoxnerd: -
@NitrousLife к слову, я тоже агитирую за #XTLS и #VLess
Вот неплохая статья https://habr.com/ru/articles/770400/
-
Domain fronting для чайников
Давайте сразу вопрос на засыпку: может ли быть так, что клиент подключается, ну, например, к серверу www.python.org (самому настоящему, тому, к которому обращаются еще миллионы клиентов со всего мира), а потом использует его как прокси и гоняет через это подключение трафик до своего VPS для доступа в неподцензурный интернет? Если вы не уверены в ответе на этот вопрос, добро пожаловать в статью. Я уже не раз рассказывал здесь о технологии XTLS-Reality ( 1 , 2 , 3 ) суть которой в том, что ваш прокси-сервер VPS может очень достоверно маскироваться под какой-нибудь популярный веб-сайт - принимать подключения, которые будут выглядит точно так же, как обращения к настоящему сайту, отвечать на них полностью аутентичным TLS-сертификатом, и в целом вести себя как тот настоящий сайт.Единственная проблема - сам IP-адрес. Немного подозрительно, когда к какому-нибудь якобы www.google.com постоянно обращается только один пользователь, а IP-адрес этого сервера на самом деле даже не относится к автономной сети Google. Еще я рассказывал о разных вариантах проксировать трафик посредством вебсокетов и простых HTTP-туннелей через различные CDN , такие как Cloudflare и Gcore. Вероятность того, что под блокировку попадет вся CDN гораздо ниже, чем что забанят какой-то один сервер или диапазон хостера, но та схема требовала регистрацию своего домена для работы через CDN. И наверняка многим в голову приходила идея, а нельзя ли как-нибудь совместить эти два механизма? Проксироваться через CDN, но при этом "прикрываясь" каким-нибудь чужим доменом? Ответ: да, можно, и сейчас мы посмотрим, как именно.
https://habr.com/ru/articles/778134/
#domain_fronting #cdn #websocket #xtls #прокси #обход_блокировок
-
XRay (с VLESS/XTLS): проброс портов, реверс-прокси, и псевдо-VPN
Я уже написал тут много статей на тему установки и настройки прокси-серверов XRay с недетектируемыми протоколами Shadowsocks-2022, VLESS (с XTLS), и т.п. И один из очень часто поднимаемых в комментариях вопросов звучит так: можно ли с использованием XRay как-то организовать проброс портов или получать доступ к внутренностям корпоративной сети? Можно, и сейчас я расскажу как. Итак, что же можно сделать с помощью реверс-проксирования? Можно получать доступ к каким-либо сервисам на хосте за NAT'ом или строгим фаерволом, и даже более того - можно получать доступ к сервисам на других устройствах в локальной сети, к которой имеет доступ этот самый хост за NAT'ом файерволом. Можно маршрутизировать весь (или некоторый в зависимости от настроенных правил) трафик на хост за NAT'ом или фаерволом и выпускать его оттуда в Интернет. Например, вы проживаете за границей, хотите оплачивать счета за ЖКХ вашей недвижимости оставшейся России, но сервис оплаты не пускает вас с забугорных IP и не пускает вас с IP-адресов даже российских VPS-хостеров. Тогда можно поставить у кого-нибудь из друзей или родственников в РФ преднастроенный роутер или одноплатник типа Raspberry Pi, который подключится к вашему прокси-серверу, а вы, в свою очередь, через прокси-сервер сможете достучаться до этого роутера/р-пишки и выйти через него во внешний интернет как обычный пользователь, находящийся в России - и всем ресурсам будет виден IP-адрес российского домашнего интернет-провайдера. Можно выборочно пробрасывать порты, например, все подключения на 80 порт прокси-сервера будут переадресовываться на 80 (или любой другой) порт "изолированного" хоста или еще куда-то дальше. Можно даже в теории соорудить псевдо-VPN, чтобы подключенные клиенты прокси-сервера могли достукиваться друг до друга.