Способы обхода белых списков (актуально 24.03.26)
Белые списки режут трафик по ASN и по SNI в TLS-рукопожатии. VK Cloud живёт в ASN AS47764 VKhosting, которая внесена в белые списки операторов, а домен max.ru считается «своим» и тоже проходит фильтрацию. Если сделать входной сервер в VK Cloud и в REALITY указывать SNI max.ru, ТСПУ видит «легальный внутренний трафик VK» и не режет соединение.
Способ 1: одиночная нода в VK Cloud (вход + выход). Формально можно остановиться на одной ВМ в VK Cloud и выпускать трафик прямо оттуда в интернет:
— арендуешь VPS в VK Cloud в московской зоне, обязательно IP из подсети ASN AS47764 ( проверка через whois по диапазону 176.16.240.0/20 и другие);
— ставишь Xray через готовый скрипт с GitHub, поднимаешь VLESS + REALITY inbound на 443/TCP;
— в REALITY используешь SNI max.ru, под него же генеришь ключи X25519 (приватный в конфиг сервера, публичный — в клиент), задаёшь short id;
— клиентом (Happ или другим) подключаешься к этому серверу, VLESS + REALITY, TCP, flow Vision, в SNI пишешь max.ru, fingerprint Chrome, вставляешь public key и short id.
ТСПУ видит: IP из белого ASN, домен max.ru в TLS — пропускает. Минус: весь выходной трафик торчит с российского VK Cloud, что не всегда ок по приватности.
Способ 2: два прыжка (то, что используют все VPN сервисы на данный момент). Это рекомендованный мною вариант: входная нода в VK Cloud, выходная нода за рубежом.
Входная нода (Россия, VK Cloud):
— поднимаешь ВМ в VK Cloud (Убунту 20.04, Москва, любой тариф, главное — IP из подсети AS47764);
— пробрасываешь в фаерволе 22, 443 и вообще «любой входящий»;
— ставишь Xray;
— inbound: VLESS + REALITY, порт 443, UUID любой (генератор), transport TCP, security REALITY, serverName max.ru, names ["max.ru"], privateKey и shortId — сгенерированные X25519;
— outbound: VLESS на европейскую ноду, в конфиге вписан её IP и порт 10000, свой UUID.
Выходная нода (Европа — Финляндия/Латвия/Эстония и т.п.).
— арендуешь второй VPS в любом европейском хостинге (в видео — отдельный провайдер, не VK Cloud);
— ставишь Xray;
— inbound: VLESS на порт 10000, UUID тот же, что указан в outbound первой ноды;
— outbound: freedom (в интернет).
Итого: клиент → VLESS+REALITY (SNI max.ru) → нода в VK Cloud (443) → VLESS → нода в Европе (10000) → freedom в интернет.
На момент написания статьи VK Cloud обычным работягам не получить, поэтому нужно пользоваться Yandex Cloud. Предпочтительные диапазоны: начинается на 51. (работает на всех операторах)
Списков всех айпи-адресов, которые находятся в белом списке расположены тут - https://github.com/hxehex/russia-mobile-internet-whitelist/blob/main/ipwhitelist.txt
Также не обязательно ставить SNI max.ru, еще как варианты: eh.vk.com, ads.x5.ru и другие домены с белого списка.