Когда Reality не хватает: добавляем Hysteria2 + Salamander в iOS-мессенджер, и как всегда грабли по дороге (ч.2)

В прошлой статье я рассказывал, как мы встроили VLESS + Reality прямо в наше iOS-приложение через sing-box, чтобы обход блокировок был не задачей пользователя, а деталью реализации. Если коротко: TLS-рукопожатие проксируется на посторонний крупный сайт, активный пробинг упирается в этот сайт, IP относимся как к расходнику, конфиг доставляется отдельно от сборки. Подход работает, и для подавляющего большинства соединений из России работает прямо сейчас. Кроме одного класса сетей, в которых не работал. Внутри этого класса оказались, в том числе, корпоративные подсети, гостевой Wi-Fi в некоторых аэропортах и часть регионального покрытия одного из операторов. Картина в логах одна и та же. Туннель поднимается, TCP-соединение на relay открывается, TLS-рукопожатие начинается, и через секунду sing-box на сервере пишет в журнал: REALITY: processed invalid connection . Сразу обрыв, нет ретраев которые что-то меняют. Эта статья про то, что мы увидели в этих сетях, почему Reality в одиночку их не пробивает, и что мы поставили рядом, чтобы пробивал. Если читали предыдущую часть, продолжайте отсюда. Если не читали, важен один тезис: туннель у нас живёт внутри приложения, через sing-box, скомпилированный в нативный фреймворк, без системного VPN. Дальше про Hysteria2

https://habr.com/ru/articles/1039810/

#обход_блокировок #Hysteria2 #Salamander #singbox #DPI #белый_список #QUIC #iOS #Swift #gomobile

Open-source VPN клиент Tunguska

Tunguska — открытый Android-клиент для собственных VPN-профилей. Фокус — на безопасность. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии. Это клиент для людей, у которых уже есть свои профили, свои серверы или свой провайдер. Я начал писать его из-за российской практики вокруг VPN. Сетевые блокировки никуда не делись, но теперь часть проблем приходит уже с телефона: приложение видит активный VPN, отправляет этот признак на сервер, а при трафике через туннель ещё и светит выходной IP или адрес VPS. Площадки должны делиться сведениями о новых выявленных VPN с регулятором; в такой схеме выходной IP может попасть в общие списки блокировки. Tunguska решает часть выявленных обществом проблем и предоставляет удобные шаблоны для конфигурации из РФ.

https://habr.com/ru/articles/1039264/

#VPN #Android #Tunguska #singbox #Xray #tun2socks #маршрутизация #VPNдетект #DNS #безопасность

Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге

Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP. Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли мы наступили. Без маркетинга, по делу.

https://habr.com/ru/articles/1038412/

#обход_блокировок #VLESS #Reality #singbox #XTLS #прокси #цензура #iOS #Swift #gomobile

Обход блокировок на OpenWRT с помощью HomeProxy-hiddify (hiddify-core) и баз GeoIP, Geosite Re:filter

Это гайд по настройке через UI русифицированного приложения для OpenWRT с hiddify-core - HomeProxy Hiddify , он позволяет настроить подключение к NaiveProxy, Mieru, ShadowTLS, Hysteria2, XRay, VLESS (XHTTP), VMESS, Trojan, TUIC и иным протоколам которые поддерживает Hiddify App в т.ч. с помощью подписок (subscription). В статье рассмотрим установку и настройку приложения для раздельного туннелирования на примере списков Re:filter

https://habr.com/ru/articles/1036064/

#openwrt #блокировки #singbox #subscriptions #split_tunneling #hysteria2 #hiddify #раздельное_туннелирование #подписки #xhttp

L×Box: диагностика per-app трафика, посмотрим кто куда ходит

Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся , но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state , /connections , /logs и ручного matching'а conn_id'ов между ними картина прояснилась. Часть доменов вида *.t-bank-app.ru корректно матчится в мой ru-domains rule_set и идёт напрямую . Но другая часть резолвится через CNAME на *.trbcdn.net (TLD .net !) — этот target в ru-domains уже не попадает, и sing-box честно отправляет трафик через bypass-VPN в Польшу. Получается split: часть запросов уходит с моего домашнего IP, часть — с польского. Bank-backend, который привязывает session к source-IP / fingerprint'у, видит непоследовательного клиента и просто отказывается поднимать auth state. Симптом — «login завис», корень — domain-level split routing внутри одного приложения. Стало ясно: такая диагностика не должна занимать 30 минут. Поэтому в L×Box (мой Android-клиент на sing-box, open source ) появилась фича — Per-app traffic profiler .

https://habr.com/ru/articles/1033178/

#VPN #singbox #Android #Flutter #DNS #CNAME #splitrouting #диагностика #open_source #traffic_profiler

Как я писал трей-утилиту для управления sing-box на Windows

Эта статья о том, как я хотел сэкономить несколько секунд при переключении системного прокси в Nekobox, а в итоге уже несколько месяцев пишу мини-программу для управления sing-box . Началось с того, что для прокси на Windows я стал использовать Nekobox. Про гибкое раздельное туннелирование я еще не знал, и приходилось постоянно включать и выключать системный прокси, чтобы зайти то туда (сайт заблокирован), то сюда (сайт блокирует IP прокси). Много раз в час: клик по значку в трее, режим системного прокси, отключить (а потом обратно). И я подумал, что было бы удобнее просто кликать по значку. Ничего сложного — почему бы не реализовать? Начал я, конечно же, с рисования значка. Решил, что хорошо подойдет портал из «Рика и Морти» как метафора беспрепятственного перемещения между измерениями. Провел целый вечер в Procreate на iPad, замучился, устал и отложил затею на потом. Что было дальше

https://habr.com/ru/articles/1031978/

#singbox #прокси #winapi #delphi #программирование

LxBox: переносим опыт singbox-launcher в Android

Привет. Полгода назад я выложил singbox-launcher — десктопный GUI для управления ядром sing-box . По фидбеку стало понятно: идея зашла, людям удобно собирать и отлаживать конфиги на ноутбуке, а потом переносить их на роутеры и другие сетевые устройства. Подробнее о десктопной версии я писал на Хабре . Пару слов для тех, кто не в контексте. Есть небольшой класс кроссплатформенных сетевых ядер, которые умеют гибкую маршрутизацию трафика и поддерживают современный набор протоколов: WireGuard, VLESS, SOCKS5, Shadowsocks, Hysteria2, TUIC и так далее. Sing-box в этом списке — не самый раскрученный, но для меня он оказался наиболее интересным: быстрая эволюция, внимание к деталям, чистый код, живое общение мейнтейнеров с пользователями, классно организованный по логике конфиг. Довольно быстро стали приходить запросы на Android-порт. Первое время казалось, что это будет прямое переиспользование десктопного кода. На практике сценарии потребления на мобильных оказались сильно другими: другой UX, другой lifecycle, Doze и background-лимиты, OEM-специфика, ограниченный экран, другие ожидания от автозапуска и обновлений. В итоге пришлось переписать практически всё с нуля. Результат этой работы — LxBox , и сегодня я хочу рассказать, чем он отличается от существующих Android-клиентов и как устроен изнутри.

https://habr.com/ru/articles/1027734/

#singbox #LxBox #Flutter #Android #Dart #WireGuard #маршрутизация_трафика #open_source #VLESS #specdriven

NaïveProxy в sing-box (альтернатива VLESS)

Читая статьи про прокси, можно подумать, что VLESS с XHTTP — это чуть ли не единственный рабочий протокол проксирования в условиях блокировок. На самом деле существуют не менее современные альтернативы. Сегодня я расскажу о протоколе Naive , его особенностях, а также о настройке клиента и сервера с использованием sing-box и Caddy .

https://habr.com/ru/articles/1024990/

#singbox #naive #caddy #прокси

Sing-box и белый список приложений

Всем привет, расскажу про свою конфигурацию для доступа к своему любимому Youtube и нужным мне сервисам. Буду излагать максимально лаконично и без всяких ИИ. Данная конфигурация решает на корню проблемы следящих приложений, кроме одного комичного. О нём я немного опишу чуть ниже.

https://habr.com/ru/articles/1023946/

#singbox

Из-за критической уязвимости VLESS клиентов скоро все ваши VPN будут заблокированы

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах. Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете. При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик. Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости. Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

https://habr.com/ru/articles/1020080/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1020080

#прокси #socks5 #обход_блокировок #xray #singbox #слежка #spyware #роскомнадзор #тспу #vpn