Как я построил VPN-сервис на VLESS+REALITY для 670 пользователей и что из этого вышло

TL;DR: Поднял VPN-инфраструктуру на VLESS+REALITY с нуля. Telegram-бот + мини-приложение, горячее управление пользователями через gRPC без рестартов XRay, балансировка между серверами, почасовой биллинг. В статье — полный разбор протокола, почему DPI его не видит, как устроена архитектура на 670+ юзеров, и все грабли, на которые я наступил в production. Предыстория Полгода назад я решил разобраться, как работают современные VPN-протоколы. Не на уровне «скачал WireGuard, поставил, работает», а глубже — как устроено шифрование, почему одни протоколы детектируются DPI, а другие нет, и можно ли собрать что-то своё. Начал с OpenVPN. Потом WireGuard. Потом Shadowsocks. И каждый раз натыкался на одну и ту же проблему: DPI-системы провайдеров со временем учатся распознавать любой нестандартный трафик. А потом я нашёл VLESS+REALITY. И понял, что это принципиально другой подход. Соник, расскажи!

https://habr.com/ru/articles/1007540/

#vless #reality #xray #vpn #шифрование_трафика #dpi #tls_13 #wireguard #python #telegram_bot

Эпоха «белых списков»: почему ваши конфиги в декабре 2025 года начали превращаться в тыкву, и что нас ждет…

Всем привет, декабрь 2025-го принес нам не только предновогоднюю суету, но и явное ощущение того, что гайки закручиваются на новый уровень. Если раньше блокировки напоминали стрельбу по площадям, то сейчас мы видим признаки внедрения концепции Default Deny (запрещено всё, что не разрешено). Пока это не тотальный «белый список» на всю страну, но в отдельных регионах и на мобильных сетях тенденция налицо: если твой трафик не похож на типичный поход за хлебом в Яндекс или ВК, то с большой вероятностью он будет придушен Сразу скажи, это статья по факту является выжимкой всей инфы, которую мне удалось раскопать, общаясь в чатах с ребятами и админами из разных регионов, и тестом разных конфигов, на разных провайдерах, и естественно где то я могу ошибаться Картина вырисовывается интересная и местами печальная:

https://habr.com/ru/articles/979128/?utm_source=habrahabr&utm_medium=rss&utm_campaign=979128

#VLESS #Reality #xHTTP #Xraycore #gRPC #XTLSvision #Shadowsocks #TLS_13 #ECH

Эпоха «белых списков»: почему ваши конфиги в декабре 2025 года начали превращаться в тыкву, и что нас ждет…

Всем привет, декабрь 2025-го принес нам не только предновогоднюю суету, но и явное ощущение того, что гайки закручиваются на новый уровень. Если раньше блокировки напоминали стрельбу по площадям, то сейчас мы видим признаки внедрения концепции Default Deny (запрещено всё, что не разрешено). Пока это не тотальный «белый список» на всю страну, но в отдельных регионах и на мобильных сетях тенденция налицо: если твой трафик не похож на типичный поход за хлебом в Яндекс или ВК, то с большой вероятностью он будет придушен Сразу скажи, это статья по факту является выжимкой всей инфы, которую мне удалось раскопать, общаясь в чатах с ребятами и админами из разных регионов, и тестом разных конфигов, на разных провайдерах, и естественно где то я могу ошибаться Картина вырисовывается интересная и местами печальная:

https://habr.com/ru/articles/979128/

#VLESS #Reality #xHTTP #Xraycore #gRPC #XTLSvision #Shadowsocks #TLS_13 #ECH

«Кривые руки» или новый уровень DPI? Разбор выходных блокировок XRay и VLESS

Эти выходные прошли под эгидой Connection Reset. Пока новостные каналы писали расплывчатое «пользователи жалуются на сбои», мы в чатах и на тестовых стендах пытались понять физику процесса.

https://habr.com/ru/articles/969618/?utm_source=habrahabr&utm_medium=rss&utm_campaign=969618

#vpn #VLESS #XRay #Reality #Shadowsocks #DPI #ТСПУ #Роскомнадзор #блокировки #TLS_13

«Кривые руки» или новый уровень DPI? Разбор выходных блокировок XRay и VLESS

Эти выходные прошли под эгидой Connection Reset. Пока новостные каналы писали расплывчатое «пользователи жалуются на сбои», мы в чатах и на тестовых стендах пытались понять физику процесса.

https://habr.com/ru/articles/969618/

#vpn #VLESS #XRay #Reality #Shadowsocks #DPI #ТСПУ #Роскомнадзор #блокировки #TLS_13

SMB over QUIC на всех платформах: «VPN-less» файловые шары в 2025 (Windows Server 2025 + Samba 4.23)

Годами доступ к файловым шарам извне означал VPN или костыли вроде RDP-копипаста. Но в 2025-м всё изменилось. SMB over QUIC стал штатной фичей в Windows Server 2025, а с выходом Samba 4.23 технология стала по-настоящему кросс-платформенной. Внутри — подробный туториал по настройке безопасного доступа к файлам через порт 443/UDP. Без VPN, с TLS 1.3, контролем доступа по сертификатам и готовыми командами для PowerShell и smb.conf. Разбираем, как это работает, где сэкономит нервы и когда старый-добрый TCP/445 всё ещё нужен.

https://habr.com/ru/articles/951084/

#SMB_over_QUIC #windows_server_2025 #samba #системное_администрирование #файловый_сервер #quic #tls_13

Разбираем байты постквантовой ML-KEM на примере «браузерного» TLS

В TLS 1.3 постквантовые криптосистемы используются в составе гибридных схем, совместно с обычными, классическими, криптосистемами. Посмотрим на дампы TLS-сообщений и, на примере дампов, попробуем разобраться с основами практического использования ML-KEM - пока что единственного постквантового варианта для распространённых браузеров.

https://habr.com/ru/articles/882282/

#криптография #tls #tls_13 #web #браузеры

Постквантовый TLS внедряют уже сейчас

Квантовый компьютер, который будет решать криптографические задачи (cryptographically-relevant quantum computer или CRQC в терминологии АНБ ), пока далёк от реальности. Но проблема в том, что создатели такого компьютера вряд ли сразу сообщат миру о его существовании, а могут тайно воспользоваться возможностью взлома мировой криптографической системы. Хуже всего, что с появлением CRQC можно будет расшифровать весь зашифрованный трафик, перехваченный и сохранённый в предыдущие годы (то есть сейчас). Записью и сохранением зашифрованного трафика сейчас занимаются хостинг-провайдеры, операторы мобильной связи, интернет-провайдеры и спецслужбы (стратегия harvest now, decrypt later ).

https://habr.com/ru/companies/globalsign/articles/832078/

#Kyber #MLKEM #X25519Kyber768 #X25519 #Kyber_768 #TLS #постквантовое_шифрование #асимметричная_криптография #PKI #NIST #IETF #Chrome #RSA2048 #QUIC #TLS_13 #HTTPS

Атака на SSH и взлом туннелей VPN

SSH стал практически стандартом де-факто для подключения к серверу или удалённому десктопу. Поэтому уязвимости вызывают определённое беспокойство. Тем более в нынешних условиях, когда весь трафик в интернете записывается и сохраняется в хранилищах провайдеров и хостеров. То есть в будущем его могут расшифровать, будь найдена уязвимость, подрывающая базовую криптографию. Опасную уязвимость нашли исследователи из Рурского университета в Бохуме. Атака получила название Terrapin (CVE-2023-48795). Правда, её вряд ли можно использовать именно на сохранённом трафике, потому что схема MiTM предусматривает подбор значений во время рукопожатия сервера и клиента. У злоумышленника должен быть доступ к каналу и возможность подменять пакеты.

https://habr.com/ru/companies/globalsign/articles/788980/

#SSH #TunnelCrack #SSH3 #SSH2 #HTTP/3 #QUIC #VPN #LocalNet #ServerIP #TLS_13 #HTTP_Authorization #авторизация #OAuth_20 #OpenID #сканирование_портов #OpenSSH #MiTM #Terrapin

Атака на SSH и взлом туннелей VPN

SSH стал практически стандартом де-факто для подключения к серверу или удалённому десктопу. Поэтому уязвимости вызывают определённое беспокойство. Тем более в нынешних условиях, когда весь трафик в интернете записывается и сохраняется в хранилищах провайдеров и хостеров. То есть в будущем его могут расшифровать, будь найдена уязвимость, подрывающая базовую криптографию. Опасную уязвимость нашли исследователи из Рурского университета в Бохуме. Атака получила название Terrapin (CVE-2023-48795). Правда, её вряд ли можно использовать именно на сохранённом трафике, потому что схема MiTM предусматривает подбор значений во время рукопожатия сервера и клиента. У злоумышленника должен быть доступ к каналу и возможность подменять пакеты.

https://habr.com/ru/companies/globalsign/articles/788980/

#SSH #TunnelCrack #SSH3 #SSH2 #HTTP/3 #QUIC #VPN #LocalNet #ServerIP #TLS_13 #HTTP_Authorization #авторизация #OAuth_20 #OpenID #сканирование_портов #OpenSSH #MiTM #Terrapin