Немного про протоколы.
Известно, что:

• VPN‑протоколы OpenVPN, WireGuard, IPsec и многие другие легко детектируются и периодически блокируются.
  
• Зашифрованные прокси‑протоколы без маскировки (shadowsocks, vmess, mtproto для телеграмма) тоже периодически блокируются. Если работает сегодня, но были прецеденты блокировок — не факт что будет работать завтра. Стоит ли использовать решение, которое может перестать работать в любой момент по воле РКН? Конечно нет.

REALITY, представляет собой новаторскую разработку, являющуюся развитием и улучшением существующих технологий TLS (Transport Layer Security).

Немного рекламы, если вам лень всё это делать, то можете купить ВПН у меня: Nur VPN, а также это выйдет дешевле нежели содержать одному сервер.

Вот ключевые аспекты, которые помогут понять, как работает REALITY:

1. Устойчивость к Атакам на Цепочку Сертификатов: Одна из ключевых особенностей REALITY - это улучшенная устойчивость к атакам, связанным с цепочкой сертификатов. В традиционном TLS, безопасность соединения во многом зависит от доверия к центрам сертификации (CA), которые выдают сертификаты. Атаки на цепочку сертификатов могут происходить, если злоумышленник может скомпрометировать или подделать сертификат, выданный CA. REALITY стремится уменьшить эту уязвимость, предоставляя дополнительные механизмы безопасности, которые делают такие атаки менее эффективными.
   
2. Сокрытие Отпечатков TLS: Отпечатки TLS - это уникальные характеристики, которые могут быть использованы для идентификации и блокировки определенных типов зашифрованного трафика. В странах с жесткой интернет-цензурой, например, правительства могут использовать отпечатки TLS для обнаружения и блокировки VPN-трафика. REALITY разрабатывается с целью минимизации этих отпечатков, делая трафик менее узнаваемым и, следовательно, более устойчивым к цензуре и блокировкам.
   
3. Прямая Секретность: Этот принцип безопасности гарантирует, что даже если ключи шифрования будут скомпрометированы в будущем, злоумышленники не смогут расшифровать прошлые сессии. REALITY поддерживает прямую секретность, обеспечивая, что каждая сессия зашифрована уникальным сеансовым ключом.
   
4. Reality позволяет указывать на чужие сайты без необходимости покупки собственного домена или настройки TLS-сервера, что делает его более удобным для использования и позволяет представлять полностью реальный TLS с определенным SNI посреднику.
   
5. Совместимость с Существующими Протоколами: REALITY разработан так, чтобы быть совместимым с существующими протоколами, это означает, что он может быть интегрирован в существующие системы без необходимости кардинальных изменений, но это не рекомендуется из-за существующих и легко распознаваемых особенностей TLS в TLS.
   
6. Прозрачность для Пользователей и Серверов: Протокол предназначен для работы таким образом, чтобы быть прозрачным как для клиентов, так и для серверов, что облегчает его внедрение и использование.
   
7. Поддержка Современных Стандартов: REALITY поддерживает современные стандарты безопасности и шифрования, обеспечивая высокий уровень защиты данных.
   
8. Гибкость и Настройка: Протокол предлагает различные опции настройки для удовлетворения специфических требований безопасности и производительности.

Что не в коем случае нельзя делать:

• Не компрометировать VPS протоколами.
  
  Протоколы которые могут быть обнаружены (не ставить туда WireGuard, OpenVPN, Shadowsocks, ...). Некоторые провайдеры уже блокируют VPS, на которых в прошлом были замечены подобные протоколы.
  
• Не ходить в рунет через VPS
  
  Вместо этого посещать рунет напрямую, мимо прокси (легко настроить). В крайнем случае, пускать российский трафик по цепочке Я->VPS->Warp->Рунет (это тоже легко настроить). Дело в том, что если трафик пересекает границу РФ дважды в условную секунду (сначала туда, потом сразу обратно), то цензор может заподозрить прокси и заблокировать его. В Китае так делают, у нас - нет, но могут научиться в любой момент.
  
• Не раздавать доступ к прокси большому количеству людей.
  
  Примерно 5-10 близких максимум. В Китае уже вычисляют аномальный трафик к серверу от большого числа юзеров (и блокируют сервер), у нас - опять же - могут перенять их опыт в любой момент.

При выполнении этих условий (в текущих реалиях) сервер невозможно вычислить и заблокировать.
Стоит понимать, что если Вы проделали все указанные действия в этом мануале и у Вас что-то не работает, это не значит что мануал плох или же Вы что-то сделали не так (с) Влессо-Реалити
А ТАКЖЕ ЧИТАЙТЕ ВНИМАТЕЛЬНО!!
Перейдем к настройке протокола:

• Покупка сервера

• Установка панели 3x-UI

• Установка Warp

• Настройка самой панели

• Настройка Xray

• Переходим к использованию нашего детище

• Проверка Прокси

На этом настройка Vless + reality завершена.
Также можно повысить уровень защиты сервера.
Например, можно изменить порт для входа на сервер на любой другой и добавить его в файрволл: ufw allow port/tcp. А старый порт удалить: ufw delete allow 22/tcp. Важно помнить, что сначала нужно открыть новый порт, а затем удалить старый! Для начала на сервере введите: vi /etc/ssh/sshd_config Включите редактирование нажав на “i” Потом ищите строку #Port и раскомментируйте её (Уберите “#”) и вместо 22впишите свой порт по которому будете входить на сервер, к примеру 8765:

Дальше нажимаете Esc и введите на клавиатуре это: wq И в консоли прописываете: sudo systemctl restart ssh И всё!
А также добавить BBR (Bottleneck Bandwidth and RTT) — алгоритма контроля перегрузки TCP, патчи с которым ещё в 2016 году были опубликованы компанией Google и приняты в основное ядро Linux. Применение этой технологии в некоторых случаях позволяет значительно увеличить пропускную способность канала передачи данных. Включить его можно через всю туже команду x-ui и 22 пункт.
Чтобы сравнить, что лучше по скорости — BBR или отсутствие его, можно выполнить тестирование на самом сервере.
Измерьте скорость интернета к разным странам и к российским провайдерам:
Для тестирования скорости к разным странам:



Код:


Для измерения скорости к российским провайдерам :



Код:


После проведения тестов сравните результаты и выберите, что лучше подходит вам, учитывая, что BBR не всегда способен ускорить.
И добавить Fail2Ban – это сервис для блокировки хостов, вызывающих множественные ошибки при попытках аутентификации: Fail2ban - самое полное руководство по установке и настройке. Если лень смотреть видео то можно просто в терминале прописать x-ui выбрать пункт 20 и подпункт 1.

А Как ограничить количество подключений по ключу скажем до 5 устройств?

Есть туториал как установить vless vpn на роутер с прошивкой OpenWRT?

Есть, в гугле легко ищется :

Обход блокировок на OpenWRT с помощью Sing-box (vless, vmess, trojan, ss2022) и баз GeoIP, Geosite

В данном гайде будем устанавливать пакет sing-box на OpenWRT на примере стабильной 22.03.5 и 23.05.0 . Рекомендуется роутер минимум с 128 МБ RAM (256 предпочтительно) и памятью более 16...

habr.com


Поднимаем на OpenWrt клиент прокси VLESS, Shadowsocks, Shadowsocks2022. Настройка sing-box и tun2socks

Обучающее руководство описывающее, как поднять на роутере Shadowsocks, VMess, VLESS, Trojan и даже SOCKS5 proxy и ходить к нему через сетевой интерфейс. Трафиком на роутере удобно управлять, когда у...

habr.com

В чистом Xray-core (XTLS/Xray) нет встроенной функции для ограничения количества одновременных подключений по одному ключу (UUID в VLESS)

Но можно попробовать включить логирование, потом прикрутить fail2ban или чтото еще подобное для анализа и блока "лишних" подключений. Вот такой костыль.

а хотя бы чисто теоретически - данную инструкцию можно адаптировать для использования с сервером, у которого порты 443 и 80 доступны только по ipv6, а по ipv4 доступен ограниченный пул портов (например, 32000-32020). У меня получилось разместить на таком сервере сайт, но вот vpn поднять - никак.

Если у вас есть свободный порт TCP, вы прямо на нём можете поднять SS/VLESS/etc . C Reality VLESS.

Если портов нет, надо ставить nginx, haproxy иной мульиплексор, чтоб разделить трафик например к веб серверу и к xrey.

PS: и веб-морда 3x-ui отлично прячется за nginx основного сайта.

Мне поставили задачу по открытию доступа к чатгпт, Вотсапу и прочим ресурсам для 15+ сотрудников в офисе за короткий срок.
Реализовал через xray на Ubuntu vps с минимальным конфигом, прямым IP и доменом который поднимает inbound в socks5.
Outbound я могу назначить любой, но я просто сделал сразу 5 штук и 3 запасных на порты 10801-10808.
Конфиг серверов для xray взял с подписки xeovo. Оплату делал биткоином.
В офисе обычный keenetic, но там есть клиент socks который умеет поднимать сразу несколько соединений.
Поэтому сразу настроил 5 политик выхода в интернет на 5 разных outbound. Затем машинам сотрудников проставил свою политику, по одной на 3 машины.
А ещё в rules прописал прямой трафик на Россию.
Регистрацию в чатгпт делал на аккаунты Майкрософт, они все были у каждого сотрудника для коллаборации в office360.
Точнее я просто написал инструкцию как входить в чатгпт с аккаунта который уже был на машине каждого сотрудника.
Реализовал за пару выходных, работаем уже три месяца.

как сделать из vpn, прокси?

Наверное у всех клиентов ss/vless/etc протоколов основной режим это локальный прокси, обычно socks5, но можно включить и режим туннеля.