Всем привет,помогите чайнику,вопрос следующий,если я арендую впс в РФ и накачу на него xray затем арендую еще один впс за границей и сделаю между ними wg тонель это будет работать?
Будет, если на хосте в РФ не заблокирован вайргард забугор
Можно еще амнезию попробовать вместо ванильного вг
Но, а вообще, в качестве моста можно использовать тот же влесс, или vless encrypt
А зачем? В xray есть транспорты, маскирующиеся под обычный трафик; работают как на вход, так и на выход. На сервере-мосте заворачиваешь трафик сinboundв outbound (в правиле маршрута указываешь вход и выход, всё просто).
у чайника с 146% вероятностью что-нибудь да не взлетит
зачем в этой схеме прослойка из рувпс?
шанс достать тот что будет в доступе при бс на lte околоноля
зачем к ру именно vless? - на этом 99% прогорают
vless ищют и палят активней банального wg
внутре эрэфии wg даже ванильный вроде как работает как есть
если брать забугорный - то лучше именно с него исходящий туннель на ру делать а не с ру к нему
но тогда опять же вместо ру прокладки взять прямой ip на дом.клиента - входящие мониторятся не так как исходящие
Чтобы ру сервисы открывать, меньше пинг для связности, чтобы сервисы вас определяли как пользователя РФ для рекомендаций и выбора языка.
Причем по дефолту неизвестное проксируйте в Warp, а белый список в котором YouTube – напрямую.
Иностранный VPS не нужен, поднимайте Tor на самой рувпс.
На бс всё равно, мы про проводной интернет, но с сотовой для этого используется временный detour к своему рувпс.
Для Reality, маскировки под сайт в подсети хостера.
С одной стороны – так и должно быть, формально они не имеют никакого права запрещать туннели к своим серверам (мало ли какой проект). С другой (мерзкой) – это пока их недоработка, а не Ваша заслуга.
Лично я не вижу смысла. Зачем вам забугорный? OpenAI, Spotify, Habr, TikTok условные – все открываются через Tor. Современный Tor сейчас очень шустрый.
Если коротко расписать “идеальную” схему:
Спойлер, роскошный максимум
Me → VLESS → WARP → Неизвестное
Me → VLESS → Tor или ( ShadowSocks с/без WARP ) → Вредные сервисы (с геоблоком)
Me → VLESS → YouTube и прочие хорошие, доверенные сервисы.
Me → VLESS → I2P, причём I2P роутер на самом сервере.
Me → VLESS → SSH (к выходному IP) → мой сервер.
Ещё есть Me → bridges over ru email-pgp GitHub Actions bot → Tor → SSH / SSH-over-onion → мой сервер (чтобы не оставлять single point of failure).
Me → DIRECT → Bittorrent
DNS over VLESS: RU → Yandex DoU; Default → Google DoT
VLESS: VLESS-XTLS-uTLS-REALITY-xudp-gRPC.
Правила маршрутизации реализованы на сервере по geosite / geoip / портам и user_auth.
Ещё и принуждение Yandex DoU для RU доменов, даже если клиент хотел другой DNS.
Выходной IPv4 – дефолтный в системе, входной IPv4 – дополнительный.
Проброс 80\TCP и 443\UDP на входном. SSH слушать только на выходном IPv4.
Здесь еще можно добавить.
Если есть ipv6, то самое логичное - использовать ipv6 для конекта к VPS, а ipv4 для выхода.
за доп ipv4 приходится немало платить и не везде доступно
если нет ipv6 , но есть внешник, можно пробросить через туннель брокер, хотя это и не лучшим образом скажется на скорости
выход ipv6 можно делать с другого ipv6, чем вход. стоят они копейки или сразу дают целую /64
Если нужен доступ к определённой стране по какой-то причине, низкий пинг или чистый IP-адрес, то иностранный VPS предпочтительнее.
абсолютно такие же доводы работают и без ru прокладки
разница лишь что для одного устройства\рутера
Я имею ввиду, основной сервер должен быть именно рувпс, а не иностранный. То есть прокладка к нему – не нужна.
Белые списки? Какую-то временную изменяющуются прокладку как detour к нему.
Нужен выход в определенную страну? Прокси / Tor.
Здесь просто по дефолту будут открываться все ру сервисы. Иначе нужен был бы ру прокси. Но рувпс дешевле, легче купить, меньше шансов на его “замедление” и внимания к нему.
Я оптимизировал схему для среднего пользователя, которому по дефолту нужны ру сервисы, которому сложно справляться с санкциями (для оплаты), у которого скорей всего будут сервисы с геоблоком открываться через тор и не нужна определенная страна или чистый IP. Но в моей схеме всё равно есть / может быть прокси, просто он не дефолтный.
а я про другое - воспринимать ruvps как домашний комп, даже если временно чебурнилы там не так озверели - так это временно
поэтому нет никакой разницы между vps или домашним “серваком” в плане настроек входа\выхода
и сложность настроек и способы связи\туннелей идентичны
Чебурнилы на то чебурнилы, что только чебурнет и будет доступен. А чебурнет это весь ру сегмент интернета, в том числе российские датацентры (иначе на чём сайты ещё работают?), в том числе для малого бизнеса, всяческих IT проектов.
А вот с этих датацентров - уже запросто наружу (кто бы что не говорил что РКН связность не волнует – думаю для ру датацентров наверняка – исключение, может бизнес внутри поддержать).
Да, я именно как удаленный мозг маршрутизации его и воспринимаю. Клиенты должны быть тупыми пользователями сети (без собственных мозгов для исправления “помех в сети” – транспорта – для самих же себя), а роутер (наш удаленный мозг) – умным.
Условный iOS (как и задумывала Apple) не должен заниматься транспортом, этим должен заниматься шлюз в сети. А то напридумывали себе всякие ByeByeDPI на Android, и думают что их конечные устройства ну просто обязаны уметь это делать, даже условный тостер или телевизор.
Вот у меня iOS / ПК / мак сейчас прозрачно 24/7 VPN интерфейс имеют и любые сервисы прозрачно работают (хоть с геоблоком, хоть рф, хоть любые), в DIRECT только bittorrent.
И я минимизирую его расстояние к устройствам, и вероятность его уничтожения.
То есть датацентр всё равно 100% нужен же где-то, и связность с другими датацентрами. Без них интернет не существует.
Да, sing-box симметрично работает и документация одна и та же, очень хороший движок.
Только вот к рунету нужен прокси, за который надо уплачивать и поддерживать в работоспособности, а к интернету – Tor обычно работает, бесплатно. И если единичные сервисы его не уважают, – это их проблема.
Я вот уже намучался с этими проксями чьими-то, Tor намного стабильнее канал и uptime держит.
смысл?
общий\частный
Вот не знаю насколько WARP поддерживает доступ с общего exit. Как минимум с Tor в него не зайти. Думаю им особо проблемы не нужны, чтобы какая-то толпа без однозначной идентификации абонентов могла им пользоваться, чтобы потом иметь проблемы при расследовании.
WARP задумывался сидеть на каждом отдельном устройстве отдельно, а не использоваться как общий egress.
Со своим частным узлом проще, там просто мозг маршрутизации и точка наблюдения переносятся, и он всё равно зарегистрирован на владельца. Юридически чисто.
Вот это всё равно прокси, за который нужно уплачивать и поддерживать в работоспособном состоянии. Слишком большая поверхность инфраструктуры, которую нужно поддерживать. В моей схеме всего лишь один сервер и с чёрными входами.
Если Вы имеете ввиду с конечных устройств делать split-tunneling к второму впс – это ломает всю магию “тупых клиентов”.
Зачем нужен WARP? Как минимум, чтобы открывались ру сервисы, которые детектят нерезидентский ASN IP и отказывают в обслуживании. Например, Кинопоиск.
А как максимум, вы для всех резидент, а не пользователь прокси, большой anonimity set. Скрыть IP сервера и местоположение от левых сайтов.
ok, дома / с ноутом мы завернули с мобилы по дороге в проксю и мобила да, тупенький клиент, его никакие вопросы шифрования не беспокоят; но когда utun один на один с ISP (читай - dpi), пролезет или нет - сейчас уже вопрос “их недоработки” или перекура на КПП, или недостатка железячных мощностей, потому что fingerprint-ы есть у любого протокола и они публичны, а архитектура ios/android такова, что сеть = система, ее не объедешь
ты про случай с вдс чтоб его не светить рассказал.
а в случае с домом - если уже все задрочные маршруты выяснены и разделены не вижу смысла.
тем более если ты tor за основной маршрут считаешь и лишь ruip мимо.
другими словами всё сводится к задрочке с выяснением ip которые не нужно через забугор
тогда остальное хошь tor а проще а-ля протон, или миллиард вариантов
вплоть до того что руварп как прослойка на пути к протону
т.е. ну реально много подвариантов - но основное дрочево с маршрутами какие-куда
В соседней профильной теме (по вашим тезисам) вышла новость, что сейчас стали в обязательном порядке обяжут сервисы добавлять шпионские модули.
Если коротко: Светите домашний и входной IP – будьте готовы к обнаружению, детекту туннеля, его деградации и последующей блокировке.
Минимальный фикс: разделите входной / выходной IP. Я так сделал, и проблемы исчезли. А лучше кому попало домашний IP не светить для того чтобы не привязали вас к конкретному ТСПУ.
UPD: Куда-то пропал пост, удалили походу..
Вы уже не первый раз пишете об этом. Может, набросаете руководство для чайников? VPS сейчас явно многие арендуют и такое много кому пригодилось бы, кто не готов читать километры документации.
Мне только что ещё один человек в ЛС об этом попросил. То есть уже два человека в ЛС. Я как раз об этом думаю, что нужно сделать инструкцию для всех.
боты ркп жалобы налупили на сообщение
Сообщение было скрыто из-за жалоб сообщества,
Могу тоже в личку написать, буду третьим 
Ну или на слово поверить можете мне, что всегда лучше подкреплять полезные советы краткими инструкциями.