Как обойти белые списки используя wss и yandex cloud

somula · May 13, 2026, 7:55pm

Прошу пояснить или дать инструкцию как правильно обойти белые списки используя wss и yandex cloud. Поделитесь готовыми рабочими конфигурациями. Самостоятельно пробовал настроить, но ничего не вышло.

Roo_Admin · May 13, 2026, 8:40pm

Почему и зачем именно wss?
Так называемые “IP из белых списков” трудно было в Я-клауд “выбить” еще месяца полтора назад. Насколько это сейчас реально - надо у тех, кто пытался вчера и сегодня, спросить. Но они тут вряд ли сидят, у них другие заботы.

somula · May 13, 2026, 9:32pm

При работе через wss и yandex cloud тебе выдается персональный адрес вида: 123456abcdf.54321abc.apigw.yandexcloud.net и эти адреса почти всегда в белых списках и к этим адресам привязан wss напрямую. У меня даже получилось увидеть свой сайт при работе белых списков, но настроить VPN не получается, я не знаю как правильно протолкнуть трафик через этот wss.

Incos · May 14, 2026, 6:53am

Какую вы интеграцию использовали? Покажите пример спецификации.

Uporoty · May 14, 2026, 8:49am

У Яндекса очень всратый API Gateway (плохо живут длинные подключения и выкидывает часть хедеров), и еще более всратая реализация WS в serverless функциях, поэтому при проксировании работает оно все как говно. Из существующих реализаций есть вот такое:
noiseonwires/yac-ws-bridge: YC Serverless Functions websocket tunnel/proxy и вот что сказано:

Основная идея - использовать туннель совместно с VLESS-over-Websocket. Работает хреново. По ощущениям - как во времена dial-up’а Из-за особенной работы Serverless Function Яши и API Gateway, пакеты иногда приходят в неправильном порядке (я пробовал делать reordering в адаптере с короткой буферизацией, стало почему-то только хуже), либо же иногда вообще теряются (в том числе CONNECT-запросы). Потратив час на попытки разобраться с причиной, забил и переключился на версию с адаптером + хелпером (бранч main).

Поэтому серфить интернет кое-как можно, но часто TLS-соединения обрываются на этапе хендшейка, и чтобы сайты загружались целиком приходится по несколько раз обновлять страницу. Сайты, где все ресурсы грузятся с одного сервера и которые хорошо попадают в кэш, через какое-то время смотреть можно даже весьма комфортно, хоть и неторопливо. Мобильные приложения - какие как, например вполне можно читать Reddit, но тоже часто приходиться тапать на Refresh если не загрузился пост или комменты. Зато внезапно неплохо работает Telegram, он часто сваливается в Connecting/Updating, но сообщения доходят исправно, и даже картинки/видео можно смотреть. Видимо, у них протокол хорошо оптимизирован для нестабильной связи. XMPP-over-websocket с некоторыми клиентами (патченный Conversations) работает тоже весьма неплохо.

Рекомендации для VLESS-over-WS: Ставьте ?ed=8000 или что-то подобное в path в XRay, оно очень сильно улучшает работу. MUX, в теории, мог бы помочь, но с ним вообще ничего не работает - пробовал и mux.cool из XRay, и h2mux/smux/yamux из Sing-box - нет и все (подозреваю, что они там делают очень много мелких write() в сокет, которые летят как отдельные ws-сообщения, и в итоге повышается шанс потери их по пути или неправильного порядка).

Bronner · May 14, 2026, 2:28pm

Задумка конечно хороша, однако по-моему это дохлый номер. Гейтвей это тебе не прокси. Он терминирует соединение и имеет лютые лимиты. Классического wss там не получится

somula · May 14, 2026, 10:01pm

Вот так можно перенаправить все к себе на сайт, и я согласен с написанным выше, тупит и все тормозит просто безбожно, иногда сайт НЕ открывается вообще, а иногда по 5 сек, иногда нормально. Прошу помощи в дальнейшей настройки, что можно сделать чтобы работала хотя бы телега через wss yandex?

# настройки для Яндекс шлюза чтобы перенаправить все запросы с их сайта .yandexcloud.net на мой сайт
openapi: 3.0.0
info:
  title: example redirect
  version: 1.0.0
servers:
# тут ваш url и он ставится системой, а не вами
- url: https://12345.abc.apigw.yandexcloud.net
x-yc-apigateway:
  ignoreTrailingSlashes: false
paths:
  /{path+}:
    x-yc-apigateway-any-method:

      parameters:
        - name: path
          in: path
          required: true
          schema:
            type: string

      x-yc-apigateway-integration:
        type: http
        # нужно указать сайт на http:// т.к. нет сертификата и его не получится получить и будет матюкаться на сертификат
        url: http://mysite.ru/{path}
        # method можно не указывать: тогда уйдет тот же HTTP-метод, с которым обратились к API Gateway.
        headers:
          Host: mysite.ru
          '*': '*'
        query:
          '*': '*'
        omitEmptyHeaders: true
        omitEmptyQueryParameters: true
        timeouts:
          connect: 2
          read: 10

Uporoty · May 15, 2026, 7:26am

апдейт из noiseonwires/yac-ws-bridge: YC Serverless Functions websocket tunnel/proxy:

Что нового — 15.05.2026
Эта версия серьёзно оптимизирована. Хелпер теперь переупорядочивает фреймы по SeqID на приёме, пред-регистрирует stream до отправки OPEN (так что первые DATA-пакеты после OPEN_OK больше не теряются), использует асинхронную очередь записи на каждый stream (медленный локальный клиент больше не блокирует все остальные streams), и корректно делает half-close по FIN (HTTP-ответы больше не обрываются). На практике: подключение устанавливается заметно быстрее, и туннель работает значительно стабильнее, особенно на мобильных устройствах.
А еще теперь к одному адаптеру/функции могут одновременно подключаться несколько клиентов (хелперов), не мешая друг другу. Прежнее ограничение «один адаптер — одна функция — один клиент» больше не действует.

k008 · May 21, 2026, 10:59am

На днях мой белый IP VPS у yandex cloud перестал работать при ограничениях. Что сломалось, не понятно. Возможно теперь он в чёрном списке. Вот и думаю, что теперь делать, то ли адрес менять, то ли ещё чего.

До этого у VK у меня был белый IP, но потом у меня его в наглую забрали и я ушёл от них, так как перебор не дал мне нужный адрес.

Белый IP работает так, что хоть по IP, хоть по DNS имени можно было попасть на веб страницу (80/443 порт).

А конфигурация обычная
443-tcp-vision-reality-qq

mertvychuvak · May 21, 2026, 11:09am

Мой выбили Мегафон, Йота, МТС и Т-мобайл. Причем избирательно в разных регионах. МСК и СПБ умерло под ноль, другие города-миллионники живут с переменным успехом.
Как будто накатывают волнами на разные ТСПУ что ли… конфиг тот же.

При этом сам ip не в бане и вне белых списков подключается и работает стабильно. То есть это не бан РКН, а фильтр белосписочных ip

k008 · May 23, 2026, 7:37am

Не совсем понял, то есть на каких-то операторах и в каких-то регионах, у вас работает обход?

Как определить IP белого списка, имеет смысл мне тогда держать данные IP, который когда-то был в белом списке, или надо ещё IP поискать у яндекса?

mertvychuvak · May 23, 2026, 11:16am

Именно.

Дано: один vps и один ip на yandex cloud. Одна панель 3x-ui, один инбаунд vless+reality.
2 пользователя в Рязани и в СПБ. И там и там режим белых списков на мобильном интернете.
В Рязани тестировали Т2 и МТС - оба работают.
В СПБ Т2 работает, МТС, Мегафон, Йота, Т-мобайл не могут пробиться до сервера yandex cloud.

Как это пробить - без понятия. Пробовал hy2, разные вариации vless - без вариантов. То есть дело в доступе к впс, а не в транспорте или протоколе.

k008 · May 29, 2026, 7:43am

Значит придётся забыть про обход белых списков?

mertvychuvak · June 2, 2026, 4:30pm

ну чисто гипотетически стабильные решения - ip из подсетей самой яши.