💡 Полезные Советы

Сегодня мы разберем одно из самых удобных решений для селф-хостинга - установку Outline VPN. Он работает на базе зашифрованного протокола Shadowsocks, который изначально создавался для обхода Великого китайского файрвола. Главный плюс Outline - невероятно простое управление доступом для всех ваших устройств, семьи и друзей через удобный графический интерфейс.

Что такое Outline, кому он принадлежит и почему это надежно?

Outline - это не просто очередное VPN-приложение, а проект с открытым исходным кодом, который разрабатывается Jigsaw - технологическим инкубатором внутри корпорации Google (Alphabet). Изначально Outline создавался специально для журналистов, правозащитников и новостных организаций, чтобы обеспечить им безопасный доступ к информации в странах с жесткой интернет-цензурой.

Почему Outline считается надежным и безопасным:

•  Протокол маскировки: В основе Outline лежит протокол Shadowsocks. Он не просто шифрует данные, но и маскирует их. Для систем блокировок (DPI) ваш трафик выглядит не как VPN-соединение, а как обычный, нечитаемый "белый шум". Это позволяет успешно обходить даже "Великий китайский файрвол".
• Независимый аудит: Поскольку код проекта полностью открыт (Open Source), его регулярно проверяют независимые компании в сфере кибербезопасности (например, Radically Open Security и Cure53). В нем нет скрытых "бэкдоров".
• Отсутствие логов (No-logs policy): Outline Manager и серверная часть технически не собирают и не хранят историю ваших веб-запросов. Вы контролируете свой сервер, и никто (даже Google) не имеет доступа к вашему трафику. Менеджер собирает лишь статистику объема переданных мегабайт, чтобы вы могли контролировать лимиты.

Скриншот приложения клиента:

Задача 1: Аренда сервера (VPS)

Для начала нам нужен виртуальный сервер за пределами РФ (не у хостера, который аффилирован с российскими компаниями или имеет российские стыки. Это не паранойя - это реальная техническая проблема, и она влияет и на приватность, и на обход блокировок, и на SEO‑репутацию IP).

• Локация: Для пользователей из РФ идеальный баланс между пингом и стабильностью дают Германия, Нидерланды или Швеция. Выберите любого удобного зарубежного хостинг-провайдера (Hetzner, DigitalOcean, Vultr, Linode, OVHcloud или проверенных посредников).

  Можем посоветовать реселлера koara.io :

  Можете использовать нашу реферальную ссылку: https://koara.cloud/?from=1893 

  Промокод: sale_1893

•    Тариф: Арендуйте самый дешевый тариф (обычно хватает 1 vCPU и 1-2 GB RAM).
•    Операционная система: Строго чистая Ubuntu 22.04 (и выше) или Debian 12 (и выше).
•    Виртуализация: Строго KVM.

После оплаты хостер выдаст вам IP-адрес сервера и пароль пользователя root.

Задача 2: Базовая безопасность сервера (Отказ от паролей)

Оставлять сервер с доступом по паролю в интернете - плохая идея. Его начнут атаковать боты-брутфорсеры в первые же минуты. Мы настроим доступ по криптографическому SSH-ключу.

Откройте PowerShell (если у вас Windows) или терминал (Linux/macOS) и выполните следующие шаги:

0. Первая кровь - смена пароля root

Подключитесь к серверу через терминал:
ssh root@ВАШ_IP

Введите команду passwd для смены пароля.

Важно: Не используйте простые слова. Мы рекомендуем генерировать пароль длиной не менее 13 символов. Для создания надежного пароля воспользуйтесь генератором на нашем сайте https://riopass.ru/. Такой пароль методом брутфорса будут взламывать десятилетиями.

На домашнем ПК:

1. Генерация ключа:

   Введите команду:

   ssh-keygen -t ed25519 -f "$HOME\.ssh\vpn_key" -C "outline-server"

   Нажмите дважды Enter, когда система попросит ввести пароль (passphrase). В вашей папке .ssh появятся два файла: vpn_key (ваш секретный ключ) и vpn_key.pub (публичный ключ для сервера).

2. Копирование публичного ключа на сервер:

   Выведите содержимое публичного ключа на экран и скопируйте его:

   cat "$HOME\.ssh\vpn_key.pub"

   Теперь подключитесь к вашему новому серверу по паролю, который дал хостер:
   ssh root@ВАШ_IP_АДРЕС

   Cоздайте папку для ключей и запишите туда скопированный ключ:

   mkdir -p ~/.ssh
   chmod 700 ~/.ssh
   nano ~/.ssh/authorized_keys

   Вставьте ваш ключ (ssh-ed25519...) в редактор, сохраните файл (Ctrl+O, Enter, Ctrl+X) и выдайте права:
   chmod 600 ~/.ssh/authorized_keys

3. Отключение входа по паролю:

   Теперь скажем серверу пускать только владельца ключа. Откройте конфигурацию SSH:

   nano /etc/ssh/sshd_config

   Найдите и измените следующие строки:

   PasswordAuthentication no
   PermitRootLogin prohibit-password
   KbdInteractiveAuthentication no

   Перезапустите службу SSH, чтобы применить настройки:

   systemctl restart ssh

   Готово! Ваш сервер теперь защищен.

Задача 3: Установка Outline VPN

Архитектура Outline состоит из двух программ: Manager (для управления сервером на вашем ПК) и Client (для подключения к VPN на телефоне или ПК).

1. Подготовка Outline Manager:

   1. Скачайте Outline Manager с официального сайта (getoutline.org) и установите на свой компьютер. Если сайт блокируется, то перейдите в официальный репозиторий на GitHub

      Прямо на главной странице в описании (файл README.md) собраны прямые ссылки на загрузку Outline Manager (для Windows, macOS, Linux) и Outline Client для всех платформ.

   2. Откройте программу и выберите плитку "Настроить Outline где угодно" (Set up Outline anywhere).
   3. Программа выдаст вам длинную команду, которая начинается с sudo bash -c .... Скопируйте её
2. Установка на сервер:
   1. Вернитесь в терминал (PowerShell), где вы подключены к вашему серверу.

   2. Вставьте скопированную команду и нажмите Enter.

      Примечание: Если скрипт спросит, установить ли Docker, соглашайтесь (нажмите Y и Enter).

   3. Установка займет пару минут. В конце терминал выдаст зеленый текст — это ваши конфигурационные данные (API URL и сертификат), которые выглядят примерно так: {"apiUrl":"https://...","certSha256":"..."}. Скопируйте весь этот блок.

3. Привязка сервера к Менеджеру:

   1. Вернитесь в Outline Manager.
   2. Вставьте скопированный из терминала зеленый блок во второе поле ввода и нажмите "Готово".

   Сервер настроен! Теперь перед вами панель управления вашим VPN.

Этап 4: Подключение устройств и раздельное туннелирование

Создание ключей и подключение:

1. В Outline Manager нажмите "Добавить новый ключ". Вы можете переименовать его (например, "Мой iPhone" или "Ноутбук жены").

   

2. Нажмите кнопку "Поделиться" рядом с ключом. Скопируйте полученный код доступа (начинается на ss://...). Но не забудьте про ПРЕФИКСЫ - https://riopass.ru/tips/117/ без них могут блокировать соединение.
3. Скачайте приложение Outline Client на ваш телефон (из Google Play / App Store) или компьютер.

Чтобы безопасно подключиться к интернету, используйте этот сервер.

1. Скачайте и установите на устройство приложение Outline:

iOS: https://itunes.apple.com/app/outline-app/id1356177741
macOS: https://itunes.apple.com/app/outline-app/id1356178125
Windows: https://s3.amazonaws.com/outline-releases/client/windows/stable/Outline-Client.exe
Linux: https://support.getoutline.org/client/getting-started/install-linux/
Android: https://play.google.com/store/apps/details?id=org.outline.android.client
Дополнительная ссылка для Android: https://s3.amazonaws.com/outline-releases/client/android/stable/Outline-Client.apk

2. Получите ключ доступа, который начинается с ss://, а затем скопируйте его.

3. Откройте клиент Outline. Если ваш ключ доступа определился автоматически, нажмите "Подключиться". Если этого не произошло, вставьте ключ в поле и нажмите "Подключиться".

Теперь у вас есть доступ к свободному интернету. Чтобы убедиться, что вы подключились к серверу, введите в Google Поиске фразу "Какой у меня IP-адрес". IP-адрес, указанный в Google, должен совпадать с IP-адресом в клиенте Outline.

Дополнительные сведения можно найти на странице https://getoutline.org/.

Откройте Client. Он автоматически распознает скопированный ключ из буфера обмена. Нажмите "Добавить сервер" и затем "Подключить". И не забудьте про ПРЕФИКСЫ - https://riopass.ru/tips/117/ 

Раздельное туннелирование (Split Tunneling):

В отличие от Amnezia, десктопный клиент Outline пропускает через VPN весь трафик устройства по умолчанию.

Поздравляем! Теперь у вас есть собственный, надежный VPN. Остались вопросы? Пишите на почту техподдержки riopass.ru, разберем любые ошибки!

FAQ: Частые вопросы и решение проблем

В: Провайдер всё-таки заблокировал мой Outline. Подключение идет, но интернета нет. Что делать?
О: Протокол Shadowsocks, на котором базируется Outline, иногда подвергается ковровым блокировкам со стороны ТСПУ (особенно во время массовых ограничений). Роскомнадзор может блокировать конкретный порт на вашем сервере.

• Решение: Зайдите в Outline Manager, нажмите на настройки сервера и измените "Порт для новых ключей доступа" на случайный (например, 8443, 443 или любой от 1024 до 65535). После этого создайте новый ключ доступа для своего устройства — часто это полностью решает проблему.

В: Можно ли поделиться своим VPN с семьей или друзьями?
О: Да, и Outline создан именно для этого! Вы можете создать десятки независимых ключей в Outline Manager. Вы будете видеть, сколько гигабайт трафика потратил каждый пользователь, и сможете удалить ключ в один клик.
Но помните: Чем больше людей одновременно качают тяжелые файлы через ваш единственный IP-адрес, тем выше риск привлечь внимание систем блокировки. Делитесь доступом с умом.

В: Скорость через VPN сильно упала. Как исправить?
О: Ваш магистральный провайдер пытается "зашейпить" (искусственно ограничить) трафик. Попробуйте сменить порт в настройках сервера (как описано выше) или перевыпустить ключи. Если это не помогает регулярно, возможно, вам стоит рассмотреть установку протокола Xray/Reality (см. нашу инструкцию по Amnezia VPN).

В: Почему периодически обрывается прямое подключение к серверу по SSH?
О: Чаще всего это банальный таймаут - сервер сам разрывает соединение из-за долгого бездействия (если вы ничего не вводите в консоль). Если падает активное подключение, это может означать, что провайдер видит факт SSH-соединения с зарубежным IP и обрывает его. В тяжелых случаях поможет смена хостинг-провайдера на менее "засвеченного" у систем фильтрации.

В: Мой российский провайдер увидит, какие сайты я посещаю через Outline?
О: Нет. Провайдер будет видеть только то, что вы передаете нечитаемый зашифрованный поток данных на неизвестный зарубежный IP-адрес. Ваши DNS-запросы, история посещений и скачанные файлы надежно спрятаны.

Глоссарий

• VPS (Virtual Private Server): Виртуальный выделенный сервер. Грубо говоря, это изолированная часть мощного компьютера (сервера) в дата-центре, которую вы арендуете и полностью контролируете.
• SSH (Secure Shell): Сетевой протокол, позволяющий безопасно подключаться к удаленному серверу и управлять им с помощью текстовых команд в терминале.
• Shadowsocks: Открытый протокол шифрования данных, изначально разработанный в Китае для обхода государственной цензуры. В отличие от классических VPN, он маскирует трафик под обычное HTTPS-соединение.
• DPI (Deep Packet Inspection): Технология глубокого анализа сетевых пакетов. Провайдеры используют её для проверки того, какие именно данные вы передаете, чтобы блокировать неугодные протоколы и сайты.
• ТСПУ (Технические средства противодействия угрозам): Оборудование, которое Роскомнадзор обязывает устанавливать всех российских провайдеров. Именно эта "черная коробка" занимается фильтрацией (DPI) и блокировкой сайтов.
• Раздельное туннелирование (Split Tunneling): Настройка, позволяющая пустить часть интернет-трафика (например, заблокированные сайты) через VPN, а другую часть (например, банковские приложения) - напрямую через вашего провайдера.
• Брутфорс (Brute-force): Хакерский метод угадывания паролей путем их сплошного автоматического перебора. Именно поэтому мы отключили вход по паролю в Задаче 2.
• Docker: Программная платформа, которая упаковывает приложения (в нашем случае серверную часть Outline) и все их зависимости в изолированные контейнеры. Это позволяет легко развернуть VPN на сервере одной командой, не засоряя саму операционную систему.
• KVM (Kernel-based Virtual Machine): Технология аппаратной виртуализации, позволяющая создать на сервере полностью изолированную виртуальную машину со своим ядром ОС. В отличие от более дешевой технологии контейнеризации (например, OpenVZ), KVM гарантирует, что Docker и Outline будут работать без сбоев.
• Open Source (Открытый исходный код): Модель разработки программного обеспечения, при которой любой желающий (в том числе независимые аудиторы безопасности) может посмотреть, как написан код программы. Это гарантия того, что в приложении нет скрытых шпионских модулей.
• Ping (Пинг): Время в миллисекундах, за которое пакет данных доходит от вашего компьютера до сервера и возвращается обратно. Чем он ниже, тем отзывчивее будет интернет через VPN.
• Root: Главный администратор (суперпользователь) в системах на базе Linux, имеющий абсолютные, неограниченные права на изменение любых настроек сервера.
• SSH-ключ (Криптографический ключ): Альтернатива обычному паролю. Это связка из двух файлов (приватного и публичного). Приватный ключ надежно хранится только на вашем устройстве, а публичный - на сервере. Войти на сервер может только обладатель приватного ключа.
• Бэкдор (Backdoor): Буквально "черный ход" или программная "закладка". Это преднамеренно скрытая уязвимость или специальный алгоритм в коде программы, который позволяет разработчикам, хакерам или спецслужбам получить несанкционированный доступ к устройству, обойти шифрование и незаметно перехватывать трафик в обход стандартных систем защиты. Благодаря тому, что код Outline полностью открыт (Open Source), независимые аудиторы могут проверить его и гарантировать, что в нем нет подобных скрытых угроз.

В условиях постоянно умнеющих систем глубокого анализа пакетов (DPI) стандартные протоколы обхода блокировок всё чаще попадают под раздачу. Если ваши пользователи или вы сами столкнулись с тем, что Outline VPN перестал подключаться, проблема, скорее всего, кроется в распознавании сигнатур Shadowsocks брандмауэром.

Начиная с версии Outline Client 1.9.0, разработчики внедрили поддержку опции "prefix" (префикс подключения). В этой статье разберем теорию того, как это работает, и на практических примерах покажем, как применить это для ваших ключей доступа.

Теоретическая часть: Как работает маскировка префиксом?

Опция "prefix" позволяет добавить заданный список байтов в самое начало TCP-соединения Shadowsocks (в качестве первых байтов соли).

Что это дает на практике? DPI-системы провайдеров анализируют заголовки пакетов. Добавляя специфичный префикс, мы заставляем наше Shadowsocks-соединение выглядеть для брандмауэра как совершенно другой, легитимный и разрешенный в сети протокол (например, обычный веб-серфинг по HTTP/HTTPS или DNS-запрос). Брандмауэр "видит" знакомый заголовок, не распознает в нем VPN-туннель и пропускает трафик.

Три главных правила использования префиксов:

1. Длина не более 16 байт. Более длинные префиксы повышают вероятность коллизий солей шифрования. Это не только снизит безопасность соединения, но и может выдать ваш трафик аналитическим системам. Используйте минимально возможную длину, достаточную для обхода блокировки.
2. Соответствие портов. Это критически важно для сетевой инфраструктуры. Выбранный префикс должен логически соответствовать порту сервера. Если вы маскируете трафик под HTTPS (TLS), используйте порт 443. Если под DNS - 53.
3. Метод проб и ошибок. Если текущий префикс перестал работать, скорее всего, сигнатуру заблокировали. Просто смените префикс и порт на другие из таблицы ниже.

Практические примеры префиксов

В таблице собраны готовые значения для популярных протоколов. Обратите внимание, что формат записи отличается в зависимости от того, какой тип ключа вы используете.

Инструкция по настройке ключей

Вариант 1: Динамические ключи доступа (ssconf://)
Если вы используете динамическое распределение ключей (когда конфигурация подтягивается по ссылке), вам нужно отредактировать JSON-файл конфигурации на вашем сервере.

Добавьте параметр "prefix" и укажите значение в JSON-кодировке. Пример конфигурации, маскирующейся под DNS-запрос:

{
    "server": "example.com",
    "server_port": 53,
    "password": "your_secure_password",
    "method": "chacha20-ietf-poly1305",
    "prefix": "\u0005\u00DC\u005F\u00E0\u0001\u0020"
}

(Не забудьте изменить порт на соответствующий протоколу, в данном случае - 53).

Вариант 2: Статические ключи доступа (ss://)
Если вы генерируете классические ключи через Outline Manager, вам придется модифицировать саму строку ключа перед тем, как отправлять её пользователю.

Здесь используется префикс в URL-кодировке. Просто добавьте параметр &prefix=значение в самый конец ссылки.

Пример (маскировка под TLS ClientHello):

ss://Z34nthataITHiTNIHTohithITHbVBqQ1o3bkk@127.0.0.1:443/?outline=1&prefix=%16%03%01%00%C2%A8%01%01

Совет для продвинутых администраторов: > Если вам нужно закодировать свой собственный кастомный префикс из JSON-формата в URL-формат, не нужно искать сторонние конвертеры. Откройте консоль разработчика в любом браузере (F12 -> вкладка Console) и используйте встроенную функцию JS:

encodeURIComponent("\u0016\u0003\u0001\u0000\u00a8\u0001\u0001")

Нажмите Enter, и консоль выдаст готовую строку для вставки в ss:// ссылку: '%16%03%01%00%C2%A8%01%01'.

Использование префиксов - это эффективный и легковесный способ продлить жизнь вашим туннелям без необходимости разворачивать тяжеловесные решения вроде Xray/V2Ray. Экспериментируйте с портами и сигнатурами, чтобы найти оптимальный вариант для вашего провайдера.

Остались вопросы или что-то не работает? Пишите на почту тех поддержки riopass.ru, разберем любые ошибки! Но прежде прочитайте FAQ ниже.

Часто задаваемые вопросы (FAQ)

В: Нужно ли обновлять сам сервер Outline для работы префиксов?
O: Нет, вся магия происходит на стороне клиента и в самом формате ключа доступа. Сервер Shadowsocks просто обрабатывает входящий TCP-поток. Главное требование - на устройствах пользователей должно быть установлено приложение Outline Client версии 1.9.0 или новее.

В: Я добавил префикс в ссылку ss://, но Outline перестал подключаться. Что я сделал не так?

О: В 90% случаев проблема кроется в несовпадении порта. Если вы добавили префикс от HTTP-запроса, порт в вашем ключе (и на сервере!) обязательно должен быть 80. Если маскируетесь под TLS (HTTPS) - порт должен быть 443 (или другой из списка поддерживаемых).
Вторая частая ошибка - неправильная кодировка. Убедитесь, что для статических ss:// ссылок вы используете именно URL-кодированный вариант префикса (с процентами %), а не JSON.

В: Какой префикс самый надежный для обхода глухих блокировок?

О: В современных реалиях DPI-систем наиболее надежной является маскировка под обычный защищенный веб-серфинг. Используйте префиксы TLS ClientHello или Данные приложения TLS в связке с портом 443. Провайдеры крайне редко блокируют 443-й порт, так как на нем работает 99% сайтов в интернете, включая банковские и государственные сервисы.

В: Можно ли придумать свой собственный префикс, длиннее 16 байт, чтобы точно никто не догадался?

О: Категорически не рекомендуется. Официальная документация неспроста вводит ограничение в 16 байт. Использование более длинных префиксов приводит к "коллизиям солей" при шифровании Shadowsocks. Говоря простым языком: ваш зашифрованный трафик станет предсказуемым. DPI-система быстро заметит повторяющиеся паттерны и заблокирует ваш IP-адрес. Правило простое: используйте максимально короткий префикс, который справляется с блокировкой.

В: Outline Manager выдал мне ключ со случайным портом (например, 33142). Как мне поменять его на 443 для префикса TLS?

О: К сожалению, стандартный графический интерфейс Outline Manager не позволяет вручную изменять порты для уже созданных ключей. Чтобы задать нужный порт, вам потребуется либо пересоздать сервер/пользователя с нужными параметрами через API, либо подключиться к вашему VPS по SSH и вручную отредактировать конфигурационный файл Shadowsocks (обычно это /opt/outline/persisted-state/shadowsocks.json), после чего перезапустить контейнер сервера.

В: Работают ли эти настройки на мобильных устройствах?

О: Да. Приложения Outline Client для iOS и Android обновляются синхронно с десктопными версиями. Если у пользователя на смартфоне установлен клиент версии 1.9.0+, он без проблем распознает ключ с добавленным параметром &prefix=.

Глоссарий к гайду

• DPI (Deep Packet Inspection - Глубокий анализ пакетов)
  Технология проверки сетевого трафика, которую используют интернет-провайдеры и государственные регуляторы. DPI не просто смотрит на адреса отправителя и получателя, а анализирует само содержимое (заголовки) пакетов данных, чтобы выявлять и блокировать специфичные протоколы, такие как VPN.
• Shadowsocks
  Защищенный протокол туннелирования данных с открытым исходным кодом, лежащий в основе работы Outline VPN. Был изначально разработан для обхода систем цензуры (в частности, Великого китайского файрвола).
• Префикс подключения (Prefix)
  Искусственно заданная последовательность байтов, которая добавляется в самое начало сетевого пакета. Её цель - подменить "подпись" (сигнатуру) трафика, чтобы система DPI приняла VPN-туннель за обычный, разрешенный в сети трафик (например, за загрузку веб-страницы).
• Соль (Cryptographic Salt)
  Случайный набор данных, который добавляется к исходной информации перед её шифрованием. В контексте TCP-соединений Shadowsocks соль гарантирует, что даже при передаче одних и тех же данных зашифрованный трафик всегда будет выглядеть по-разному, усложняя его анализ.
• Коллизия солей (Salt Collision)
  Нежелательная ситуация в криптографии, когда для разных сеансов шифрования используется одна и та же соль (например, из-за слишком длинного статического префикса). Это создает предсказуемые паттерны в трафике, что позволяет DPI-системам легко вычислить и заблокировать VPN-соединение.
• TCP (Transmission Control Protocol)
  Один из базовых протоколов интернета, обеспечивающий надежную и последовательную доставку данных между программами. Shadowsocks (и опция префикса) манипулирует первыми байтами именно на уровне TCP-соединения.
• ClientHello / ServerHello
  Стандартные системные сообщения, которыми клиент (например, ваш браузер) и сервер обмениваются на самом первом этапе установки защищенного TLS-соединения (процесс рукопожатия, "handshake"). Поскольку эти сообщения всегда передаются в открытом виде до начала самого шифрования, маскировка префиксов Outline под них выглядит для брандмауэров максимально естественно.
• DNS over TCP
  Метод отправки запросов к серверам доменных имен (DNS) с использованием протокола TCP (порт 53) вместо стандартного UDP. Маскировка под DNS часто помогает пробиться даже через самые строгие корпоративные или гостевые Wi-Fi сети.
• JSON-кодировка
  Способ текстового представления данных. В Outline используется для настройки динамических ключей (ssconf://). Префиксы в этом формате часто содержат управляющие Unicode-коды (например, \u0016\u0003).
• URL-кодировка
  Механизм преобразования специальных символов в формат, который безопасно передавать прямо в адресной строке или веб-ссылке. Для статических ключей Outline (ss://) JSON-символы префикса конвертируются в URL-формат, начинаясь со знака процента (например, %16%03).

Ситуация с блокировками классических VPN-сервисов и протоколов (OpenVPN, WireGuard, Outline, Shadowsocks  и т.д.) становится всё сложнее. Системы глубокого анализа трафика (DPI) легко распознают их сигнатуры и режут скорость или блокируют соединения полностью.

Сегодня мы разберем ультимативное решение - селф-хостинг Amnezia VPN на собственном сервере с использованием протокола Xray (Reality), который маскирует ваш трафик под обычные запросы к белым сайтам.

Мы не просто поставим VPN, а сделаем это по уму, защитив сервер от взлома.

Задача 1: Аренда сервера (VPS).

Для начала нам нужен виртуальный сервер за пределами РФ. (нужен VPS за пределами РФ и не у хостера, который аффилирован с российскими компаниями или имеет российские стыки. Это не паранойя - это реальная техническая проблема, и она влияет и на приватность, и на обход блокировок, и на SEO‑репутацию IP.)

1. Выберите любого удобного хостинг-провайдера (Hetzner, DigitalOcean, Vultr или Linode (Akamai), OVHcloud, Scaleway или посредников например PQ.Hosting). Локация: Для пользователей из РФ идеальный баланс между пингом и стабильностью дают Германия, Нидерланды или Швеция.
2. Арендуйте самый дешевый тариф (обычно хватает 1 vCPU и 2 GB RAM).
3. Операционная система: Строго чистая Ubuntu 22.04(и выше) или Debian 12(и выше).
4. Виртуализация: Строго KVM (Избегайте OpenVZ или LXC - на них Docker (сердце Amnezia) может работать нестабильно или не запуститься вовсе.).

После оплаты хостер выдаст вам IP-адрес сервера и пароль пользователя root.

Задача 2: Базовая безопасность сервера (Отказ от паролей).

Оставлять сервер с доступом по паролю в интернете - плохая идея. Его начнут атаковать боты-брутфорсеры в первые же минуты. Мы настроим доступ по криптографическому SSH-ключу.

Откройте PowerShell (если у вас Windows) или терминал (Linux/macOS) и выполните следующие шаги:

0. Первая кровь - смена пароля root

• Подключитесь к серверу через терминал:

  ssh root@ВАШ_IP

• Введите команду passwd для смены пароля.

• Важно: Не используйте простые слова. Мы рекомендуем генерировать пароль длиной не менее 13 символов, включающий цифры, спецсимволы и разные регистры.

  Для создания надежного пароля воспользуйтесь генератором на нашем сайте riopass.ru. Такой пароль методом брутфорса (перебора) будут взламывать десятилетиями.

На домашнем ПК:

1. Генерация ключа:
Введите команду:

ssh-keygen -t ed25519 -f "$HOME\.ssh\vpn_key" -C "amnezia-server"

Нажмите дважды Enter, когда система попросит ввести пароль (passphrase). В вашей папке .ssh появятся два файла: vpn_key (ваш секретный ключ) и vpn_key.pub (публичный ключ для сервера).

2. Копирование публичного ключа на сервер:
Выведите содержимое публичного ключа на экран и скопируйте его:

cat "$HOME\.ssh\vpn_key.pub"

Теперь подключитесь к вашему новому серверу по паролю, который дал хостер:

ssh root@ВАШ_IP_АДРЕС

Создайте папку для ключей и запишите туда скопированный ключ:

mkdir -p ~/.ssh
chmod 700 ~/.ssh
nano ~/.ssh/authorized_keys

Вставьте ваш ключ (ssh-ed25519...) в редактор, сохраните файл (Ctrl+O, Enter, Ctrl+X) и выдайте права:

chmod 600 ~/.ssh/authorized_keys

3. Отключение входа по паролю:
Теперь скажем серверу пускать только владельца ключа. Откройте конфигурацию SSH:

nano /etc/ssh/sshd_config

Найдите и измените следующие строки:

PasswordAuthentication no
PermitRootLogin prohibit-password
KbdInteractiveAuthentication no

Перезапустите службу SSH, чтобы применить настройки:

systemctl restart ssh

Готово! Ваш сервер теперь неприступен, но лучше ещё настройте Firewall и Fail2Ban!

Задача 3: Установка Amnezia VPN

Теперь переходим к самому VPN. Никаких сложных консольных команд больше не будет - всё делается через удобное приложение.

1. Подключение сервера:
   1. Скачайте клиент Amnezia VPN (если не открывается ищите зеркало сайта) для вашего компьютера и запустите его.

   2. Выберите "Настроить свой сервер".

      

   3. Введите IP-адрес сервера и имя пользователя root.

      

   4. В поле "Пароль или закрытый ключ SSH" нужно вставить содержимое вашего приватного ключа.
   5. Откройте PowerShell и введите: cat "$HOME\.ssh\vpn_key". Выделите весь текст от -----BEGIN OPENSSH PRIVATE KEY----- до конца и скопируйте его в окно Amnezia. Нажмите Продолжить.
2. Выбор протокола Xray:
   1. Программа подключится к серверу и предложит варианты настройки. Выберите "Пользовательская установка" (или Мастер настройки), чтобы вручную выбрать протоколы.
   2. Обязательно отметьте протокол Xray. Он обеспечивает максимальную защиту от блокировок по сигнатурам.
   3. Клиент сам установит Docker и развернет контейнеры. Это займет пару минут.
3. Маскировка трафика (SNI):
   Чтобы провайдер не резал скорость, трафик нужно замаскировать под легальный сайт.
   1. Перейдите в настройки сервера в Amnezia -> Протоколы -> Xray.
   2. В поле "Сайт для маскировки" (SNI) впишите крупный зарубежный домен, который не заблокирован в РФ. Отличные вариант будет, чтоб домен находился в той же стране что и Ваш VPS и был.
   3. Сохраните настройки. Сервер перегенерирует ключи.

Этап 4: Раздельное туннелирование (Split Tunneling)

Главная "фишка" Amnezia - возможность выбирать, какие сайты должны ходить через VPN, а какие напрямую. Это полезно, если вам нужно зайти в российский банк или на Госуслуги, не выключая туннель.

1. Перейдите на вкладку "Раздельное туннелирование" в приложении.

   

   

2. Исключение конкретных приложений
   Если вы не хотите, чтобы VPN влиял на пинг в онлайн-играх или работу тяжелого софта, который чувствителен к смене IP, вы можете настроить App-based Split Tunneling.

   1. В настройках выберите режим работы "Приложения из списка не должны работать через VPN" или "Для всех, кроме списка".

      

   2. Добавьте исполняемые файлы (например, browser.exe, discord.exe или ваш рабочий терминал).
      Это позволяет, например, оставить один браузер "чистым" для работы с российскими сервисами, а другой пустить через туннель для обхода блокировок. Единственный минус, это нужна настраивать на каждом клиенте, хотя можно слить настройки в бэкап и разворачивать их.
3.  Доступ к домашнему серверу и локалке (LAN Bypass)
   Типичная проблема: включаешь VPN и больше не можешь зайти на свой домашний NAS, Raspberry Pi или сервер на Proxmox по локальному адресу. Чтобы этого не происходило, в Amnezia нужно настроить исключения для локальных подсетей.
   1. Перейдите в настройки раздельного туннелирования.

   2. В поле для исключения IP-адресов добавьте вашу домашнюю подсеть в формате CIDR.

      

   3. Например, если адрес вашего сервера 192.168.1.10, добавьте диапазон 192.168.1.0/24.
   4. Теперь весь трафик к вашим локальным железкам будет идти напрямую, минуя сервер VPN, а доступ к админ-панелям и сетевым папкам сохранится.

Как поделиться доступом с телефоном?

Вам не нужно настраивать всё заново на смартфоне.

1. Скачайте приложение Amnezia на телефон с Google Play или iStore.
2. В десктопном клиенте (на компьютере) нажмите кнопку «Поделиться» в настройках сервера или подключения.
3. Отсканируйте появившийся QR-код камерой смартфона прямо из приложения Amnezia.

Поздравляем! Теперь у вас есть собственный, надежный и неподконтрольный цензуре VPN, работающий на максимальной скорости вашего провайдера.

Остались вопросы или что-то не работает? Пишите на почту тех поддержки riopass.ru, разберем любые ошибки!

FAQ: Частые вопросы и решение проблем

В: Как правильно выбрать домен для маскировки (SNI) под конкретную страну?
О: Строгой привязки нет, но для максимальной «естественности» лучше выбирать крупные сайты той страны, где физически находится ваш сервер. Это нужно, чтобы у DPI не возникло подозрений, почему плотный трафик в Германию идет под маской сайта США. Ищите сайты главных банков, университетов или государственных порталов (например, для Финляндии - www.nokia.com, для Латвии - www.swedbank.lv, для Германии - www.sap.com).

Важно: Сайт должен поддерживать HTTPS (TLS) и не быть заблокированным в РФ. При смене SNI клиент перегенерирует ключи, их нужно будет обновить на ваших устройствах.

В: Провайдер всё-таки заблокировал IP-адрес моего сервера. Что делать?
О: Такое случается, если ваш сервер привлек внимание систем DPI (например, вы раздали доступ десятку друзей, и они начали одновременно качать торренты).
Решение: Напишите в поддержку вашего хостинг-провайдера с просьбой сменить IP-адрес (многие идут навстречу бесплатно). Если откажут - просто арендуйте новый сервер за пару евро. С нашей инструкцией вы перенастроите всё с нуля ровно за 5 минут.

В: Сервер пингуется, но интернет через VPN не работает (скорость 0 байт/с). В чем дело?
О: Это типичный сценарий работы ТСПУ (систем глубокого анализа трафика Роскомнадзора). Пинг (протокол ICMP) - это крошечные диагностические пакеты, которые почти никогда не блокируют. А вот ваш VPN-трафик идет по другим протоколам (UDP/TCP) и передает большие объемы зашифрованных данных. Провайдер блокирует не сам сервер, а распознанный поток VPN-трафика к нему. Скорее всего, под фильтр попал домен (SNI), под который вы маскируетесь. Смените его в настройках.

В: Скорость через VPN сильно упала (до 0.1 - 1 Мбит/с). Как исправить?
О: Ваш магистральный провайдер пытается "зашейпить" (искусственно ограничить) подозрительный трафик.
Решение: Зайдите в настройки клиента Amnezia -> Протоколы -> Xray и просто смените "Сайт для маскировки" (например, с www.microsoft.com на www.apple.com). Сервер сгенерирует новые ключи, вы станете "новым" пользователем для провайдера, и скорость восстановится. В идеале нужно поставить такой сервис, блокировка трафика которого положила бы пол интернета.
В: Безопасно ли использовать встроенный DNS-сервер от Amnezia?
О: Да, это идеальное решение. Поднятый на вашем сервере DNS предотвращает утечки запросов (DNS Leaks). Вы сами контролируете этот узел: он не собирает логи и никуда ничего не передает. Дополнительный плюс - он кэширует ваши запросы, поэтому при повторном обращении к ресурсам ответ возвращается мгновенно, делая серфинг более быстрым и отзывчивым.

В: VPN подключен, но сайты вообще не грузятся. В чем дело?
О: Если сам туннель работает, но страницы выдают ошибку ERR_NAME_NOT_RESOLVED, значит проблема со службой доменных имен.
Решение: В приложении Amnezia перейдите в Настройки -> Соединение и включите опцию "Использовать кастомный DNS". Впишите туда надежные публичные адреса: 1.1.1.1 (от Cloudflare) или 8.8.8.8 (от Google) или другие публичные DNS.

В: Можно ли поделиться своим VPN с семьей или друзьями?
О: Технически - да. Протокол Xray позволяет использовать один QR-код на множестве устройств одновременно, никаких конфликтов IP-адресов не будет.
Но есть нюанс: Чем больше людей с разных провайдеров (МТС, Ростелеком, Мегафон) будут одновременно генерировать тяжелый трафик на ваш единственный IP-адрес в Европе, тем быстрее этот IP улетит в бан Роскомнадзора. Делитесь доступом с умом и только в узком семейном кругу.

В: Мой российский провайдер увидит, какие сайты я посещаю?
О: Нет. Провайдер и системы цензуры будут видеть только то, что вы установили защищенное HTTPS-соединение с сайтом, который вы указали для маскировки (например, с сервером Microsoft). Весь ваш реальный интернет-серфинг, скачанные файлы и DNS-запросы надежно зашифрованы и спрятаны внутри этого туннеля.
В: Можно ли поднять SOCKS5 прокси на этом сервере?
О: Крайне не рекомендуется выставлять его наружу! Сам по себе SOCKS5 не имеет шифрования. Если вы пропишете внешний (публичный) IP вашего сервера в клиенте, ТСПУ моментально увидит открытый трафик и может заблокировать весь IP-адрес сервера целиком. Использовать SOCKS5 безопасно только в том случае, если он настроен для работы исключительно внутри зашифрованного VPN-туннеля (по внутренним локальным IP-адресам вроде 10.0.x.x).
В: Почему периодически обрывается прямое подключение к серверу по SSH?
О: Чаще всего это банальный таймаут - сервер сам разрывает соединение из-за долгого бездействия (если вы ничего не вводите в консоль). Однако, если падает даже активное подключение, это может означать, что провайдер видит сам факт SSH-соединения с зарубежным IP и обрывает его. В тяжелых случаях поможет смена хостинг-провайдера на менее "засвеченного" у систем фильтрации.

Для кого это решение:
Идеально подходит тем, у кого дома нет публичного/статического ("белого") IP-адреса, чтобы напрямую открыть порты, но есть любой недорогой VPS-сервер. В данном руководстве для примера, мы используем сервер игры Counter-Strike 1.6.
Как работает эта архитектура:
Мы превращаем VPS сервер в публичную "витрину" для домашнего железа, связывая их через неблокируемый VPN-туннель.

• VPS (Внешний шлюз): Смотрит в интернет своим реальным IP-адресом и принимает подключения игроков. Внутри туннеля AmneziaWG он получает адрес 10.8.0.1.
• Raspberry Pi 5 (Домашний сервер): Спокойно стоит за провайдерским NAT. Она сама инициирует подключение к VPS, пробивая туннель, и получает внутренний адрес 10.8.0.2.
• Магия маршрутизации: Мы берем внешний игровой порт (27015 UDP/TCP) на VPS и прозрачно пробрасываем его сквозь туннель прямо на вашу домашнюю "малинку", ну или linux сервер.

Главный плюс: мы буквально "вытягиваем" Raspberry Pi в глобальную сеть, не ломая то, что уже работает. Порт-форвардинг настраивается настолько ювелирно, что крутящиеся на VPS сайты, веб-сервисы и боты даже не заметят соседства с игровым сервером.

1. Установка AmneziaWG 

На сервере VPS (Ubuntu/Debian):

sudo add-apt-repository ppa:amnezia/ppa
sudo apt update
sudo apt install amneziawg-tools amneziawg-dkms -y

На Raspberry Pi 5 (Особый способ установки ключей, обходящий блокировки):

sudo apt update
sudo apt install -y gnupg2 curl linux-headers-$(uname -r)
# Скачиваем ключ через 80 порт
gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 57290828
gpg --export 57290828 | sudo tee /usr/share/keyrings/amnezia.gpg > /dev/null
# Добавляем репозиторий
echo "deb [signed-by=/usr/share/keyrings/amnezia.gpg] https://ppa.launchpadcontent.net/amnezia/ppa/ubuntu focal main" | sudo tee /etc/apt/sources.list.d/amneziawg.list
sudo apt update
sudo apt install -y amneziawg-tools amneziawg-dkms

2. Генерация ключей

Все ключи для удобства генерируем на VPS, чтобы потом просто скопировать их в конфиги.

Выполняем на VPS:

mkdir -p ~/awg-keys && cd ~/awg-keys
awg genkey | tee server_private | awg pubkey > server_public
awg genkey | tee client_private | awg pubkey > client_public

# Выводим на экран и копируем в блокнот:
cat server_private && cat server_public
cat client_private && cat client_public

3. Настройка VPS (Сервер)

1. Включаем маршрутизацию (форвардинг) в ядре:

   echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
   sudo sysctl -p

2. Создаем конфигурационный файл:

   sudo nano /etc/amnezia/amneziawg/awg0.conf

3. Вставляем настройки (замените ключи на сгенерированные). Внимание: если ваш основной сетевой интерфейс называется не eth0, а ens3 - измените его в правилах PostUp/PostDown.

   [Interface]
   PrivateKey = <server_private>
   Address = 10.8.0.1/24
   ListenPort = 51820
   
   # Магические параметры Amnezia
   Jc = 4
   Jmin = 40
   Jmax = 70
   S1 = 29
   S2 = 15
   H1 = 2021056581
   H2 = 641527027
   H3 = 1018901243
   H4 = 301646271
   
   # Маскарадинг для выхода туннеля в сеть
   PostUp = iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
   PostDown = iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
   
   [Peer]
   PublicKey = <client_public>
   AllowedIPs = 10.8.0.2/32

4. Открываем порт в фаерволе (если используете UFW) и запускаем туннель:

   sudo ufw allow 51820/udp
   sudo systemctl enable --now awg-quick@awg0

4. Настройка Raspberry Pi 5 (Клиент)

1. Создаем конфигурационный файл:

   sudo nano /etc/amnezia/amneziawg/awg0.conf

2. Вставляем настройки. Важно: Обязательно проверьте наличие заголовка [Peer], без него парсер выдаст ошибку Line unrecognized

   [Interface]
   PrivateKey = <client_private>
   Address = 10.8.0.2/24
   
   Jc = 4
   Jmin = 40
   Jmax = 70
   S1 = 29
   S2 = 15
   H1 = 2021056581
   H2 = 641527027
   H3 = 1018901243
   H4 = 301646271
   
   [Peer]
   PublicKey = <server_public>
   Endpoint = IP_ВАШЕГО_VPS:51820
   AllowedIPs = 10.8.0.0/24
   PersistentKeepalive = 25

3. Запускаем туннель и проверяем пинг до VPS:

   sudo systemctl enable --now awg-quick@awg0
   ping -c 4 10.8.0.1

5. Настройка проброса портов (NAT и UFW) на VPS

Чтобы внешний трафик, приходящий на публичный IP VPS по порту 27015, улетал на домашнюю малинку, выполняем на VPS:

1. Открываем нужные порты для входящих подключений:

   sudo ufw allow 27015/udp
   sudo ufw allow 27015/tcp

2. Критически важный шаг: Разрешаем транзитный (FORWARD) трафик в UFW, иначе фаервол молча убьет пакеты, идущие сквозь сервер в туннель:

   sudo ufw route allow proto udp to 10.8.0.2 port 27015
   sudo ufw route allow proto tcp to 10.8.0.2 port 27015

3. Прописываем правила iptables для перенаправления (DNAT) и обратной подмены адреса (SNAT/MASQUERADE):

   # Перенаправление внутрь туннеля
   sudo iptables -t nat -A PREROUTING -p udp --dport 27015 -j DNAT --to-destination 10.8.0.2:27015
   sudo iptables -t nat -A PREROUTING -p tcp --dport 27015 -j DNAT --to-destination 10.8.0.2:27015
   
   # Обратный маскарадинг
   sudo iptables -t nat -A POSTROUTING -d 10.8.0.2 -p udp --dport 27015 -j MASQUERADE
   sudo iptables -t nat -A POSTROUTING -d 10.8.0.2 -p tcp --dport 27015 -j MASQUERADE

4. Сохраняем правила iptables, чтобы они пережили перезагрузку сервера:

   sudo apt install iptables-persistent -y
   sudo netfilter-persistent save

Вывод:
Сервер работает стабильно, трафик полностью скрыт от DPI, а игровой сервер светит в мир с выделенного IP-адреса.

Многие владельцы Nintendo Switch столкнулись с неприятной проблемой: eShop перестал открываться даже при смене региона аккаунта, выдавая глухую ошибку подключения. Причина кроется не только в прошлых ограничениях самой Nintendo, но и в недавних массовых блокировках инфраструктуры Cloudflare со стороны Роскомнадзора. Пытаясь заблокировать технологию шифрования ECH (Encrypted Client Hello) и другие сервисы, под блокировку попали целые подсети IP-адресов, на которых работают серверы цифрового магазина Nintendo.

Nintendo Switch не поддерживает установку VPN‑клиентов. На консоль нельзя поставить приложение, которое бы шифровало трафик или меняло IP‑адрес. Поэтому единственный рабочий способ - дать консоли доступ к интернету, который уже проходит через VPN.
И здесь появляется Android‑смартфон: он умеет подключаться к VPN, а с помощью приложения Every Proxy может "раздавать" этот VPN‑трафик другим устройствам в локальной сети.

Почему чужие прокси небезопасны, а локальный прокси через телефон - безопасен.

Публичный прокси - это как попросить незнакомца из подворотни(гетто) отправить вашу почту.
Локальный прокси - это как передать письмо самому себе в соседнюю комнату.

Когда люди слышат слово "прокси", они часто представляют себе сомнительные публичные сервера, где непонятно кто сидит по ту сторону. И это справедливо: чужие прокси действительно могут быть опасны! Но локальный прокси, который работает на вашем собственном телефоне, - это совершенно другая история.

Почему публичные или "чужие" прокси небезопасны.
Когда вы подключаетесь к прокси, который принадлежит неизвестному человеку или компании, вы фактически отдаёте им весь свой интернет‑трафик. Это значит, что владелец прокси может:
•     перехватывать незашифрованные данные (логины, пароли, токены, куки);
•     подменять ответы сайтов (фишинг, реклама, вредоносные скрипты);
•     собирать историю посещений;
•     встраивать трекинг;
•     вмешиваться в трафик игр и сервисов.
Публичные прокси - это чёрный ящик. Вы не знаете, кто их контролирует, что они логируют и какие цели преследуют.

Почему локальный прокси на Android безопасен

1. Вы контролируете устройство - прокси работает на вашем телефоне.
Никто, кроме вас, не имеет к нему доступа.

2. Трафик не выходит наружу - Switch -> ваш телефон -> VPN -> интернет. Никаких сторонних серверов между вами и VPN нет.

3. Прокси не шифрует и не расшифровывает данные - он просто пересылает трафик дальше. HTTPS‑сайты шифруются TLS, VPN шифрует весь трафик телефона, прокси не может "подглядывать" внутрь пакетов.
4. Прокси работает только в вашей Wi‑Fi сети.

5. Every Proxy не имеет доступа к вашему трафику

Подготовка

1. У Вас должен быть телефон OS Android (владельцы Iphone идут лесом), у Вас должен быть рабочий VPN
2. Подключите оба устройства к одной сети. Ваш Android-смартфон и Nintendo Switch должны быть подключены к одной и той же Wi-Fi сети (к одному роутеру).
3. Установите VPN на телефон. Скачайте и установите любой надежный VPN-сервис на ваш Android, если у вас его еще нет.
4. Установите Every Proxy. Скачайте приложение Every Proxy из Google Play Market.

Настройка Android-устройства

1. Откройте ваш VPN-клиент на телефоне.
2. Выберите сервер в стране, где Nintendo eShop работает без ограничений (например, США, Великобритания, Польша и т.д.), и подключитесь к нему.
3. Убедитесь, что VPN работает (обычно появляется значок ключика в верхней панели телефона).

Настройка приложения Every Proxy

1. Откройте приложение Every Proxy на телефоне.
2. В главном меню вы увидите переключатель HTTP/HTTPS. Переведите его во включенное положение.
3. Ниже появятся данные вашего подключения:

4. IP Address (IP-адрес): Обычно выглядит как 192.168.X.X (выбирайте тот, который соответствует вашей локальной Wi-Fi сети, а не внутренний IP типа 10.X.X.X).

   

5. Port (Порт): По умолчанию обычно 8080.
6. Запишите или запомните эти две цифры - они понадобятся для консоли.
7. Нажмите на три точки (Настройки) в правом верхнем углу Every Proxy и убедитесь, что в разделе настроек не стоят ограничения, мешающие раздаче интернета. (По умолчанию стандартных настроек достаточно).

Настройка Nintendo Switch

1. Включите Nintendo Switch и зайдите в Настройки системы (иконка шестеренки на главном экране).
2. Перейдите в раздел Интернет -> Настройки интернета.
3. Консоль начнет поиск сетей. Выберите вашу домашнюю Wi-Fi сеть (к которой уже подключен телефон).
4. Нажмите Изменить настройки.
5. Прокрутите вниз до пункта Прокси-сервер и измените его значение на Вкл.
6. В появившихся полях введите данные из Every Proxy:
7. В поле Сервер введите IP-адрес из приложения (например, 192.168.1.149).
8. В поле Порт введите порт из приложения (например, 8080).
9. Сохраните изменения и нажмите Подключиться к этой сети.
10. Консоль проверит подключение. Если все сделано верно, тест пройдет успешно.

💡 Для особо одаренных.

• Регион аккаунта: Чтобы зайти в зарубежный eShop, регион вашей учетной записи Nintendo (Nintendo Account) должен быть регионом, который не находиться под санкциями. Регион аккаунта меняется через браузер на официальном сайте Nintendo (в настройках профиля), а не на самой консоли!

• Спящий режим: Когда вы переводите телефон в спящий режим, система Android может "убивать" фоновые процессы для экономии батареи, включая Every Proxy или VPN. Если интернет на Switch пропал, проверьте телефон - возможно, нужно отключить оптимизацию батареи для этих двух приложений.

• Отключение: Когда вы закончите скачивать игры и захотите играть по обычной сети, не забудьте зайти в настройки интернета на Switch и выключить Прокси-сервер.

Вы настроили свой Outline VPN, и дома через Wi-Fi всё летает. Instagram грузится, YouTube показывает в 4K. Но стоит выйти на улицу и переключиться на LTE/4G, как магия исчезает. Сайты перестают открываться, а приложение выдает ошибки вроде error network changed или просто бесконечно переподключается.

Почему так? 

Разница между домашним провайдером и мобильным оператором часто кроется в настройках систем фильтрации трафика (DPI — Deep Packet Inspection).

Мобильные операторы часто используют более агрессивные настройки DPI. Когда вы включаете Outline, он создает зашифрованный туннель. Простой Shadowsocks (протокол, на котором работает Outline) шифрует содержимое, но сам процесс соединения (рукопожатие) может выглядеть подозрительно для умных фильтров.

Оператор видит «непонятный» поток данных, который не похож на обычный просмотр сайтов (HTTP/HTTPS), и на всякий случай разрывает соединение (connection reset), что и приводит к ошибке смены сети.
Здесь добавлю мем про разрыва сессии "Звонок в саппорт Стрима в три часа ночи". (Для TCP важно стабильное соединение без разрывов, в отличие от UDP)

Решение: Маскировка под обычный сайт.

Нужно добавить к вашему ключу доступа специальный "хвост"(prefix). Это заставит соединение выглядеть как обычная отправка данных на веб-сайт (HTTP POST), и оператор его пропустит. Для оборудования провайдера это будет выглядеть так, будто вы просто отправляете форму на сайте или загружаете картинку.

Инструкция:

1. Скопируйте ваш текущий ключ Outline в заметки. 

2. В самый конец ключа, без пробелов, добавьте этот текст:

   &prefix=POST%20

   (Важно: %20 — это код пробела, пишите именно так!)

   Было: ss://Y2hh...443/?outline=1

   Стало: ss://Y2hh...443/?outline=1&prefix=POST%20

3. Скопируйте новый длинный ключ.
4. Удалите старый сервер из приложения Outline и добавьте новый.

Если не помогло: Попробуйте вместо POST использовать GET. Добавьте в конец: &prefix=GET%20