v2ray белый список
v2ray белый список
v2ray белый список: как настроить без утечек
Подробный гайд: v2ray белый список — настройка split tunneling, защита от DPI и реальные риски. Узнайте, как не попасть в ловушку «безопасного» прокси.
v2ray белый список — это не просто фильтр доменов. Это ключевой элемент split tunneling в V2Ray, который определяет, какой трафик пойдёт через зашифрованный туннель, а какой останется в открытом доступе. Неправильная настройка превращает «защиту» в источник утечек: DNS-запросы уходят провайдеру, WebRTC раскрывает ваш IP, а корпоративные сервисы перестают работать. В этой статье разберём, как собрать белый список так, чтобы он действительно работал — без компромиссов для скорости, безопасности и функциональности.
Почему «всё через VPN» — плохая идея (и когда это правда)
Многие считают: если подключил V2Ray — всё должно идти через него. На практике это замедляет работу с локальными ресурсами. Примеры:
- Банковские приложения (СберБанк, Тинькофф) часто блокируют вход с иностранных IP. Если весь трафик идёт через сервер в Германии, вы не войдёте в аккаунт.
- Локальные сервисы: торрент-трекеры вроде rutracker.org или региональные зеркала YouTube могут быть недоступны из-за geo-блокировок на стороне сервера.
- Корпоративные сети: доступ к внутренним CRM, базам данных или почтовым серверам требует прямого подключения без прокси.
Split tunneling решает это. Белый список в V2Ray — один из способов реализовать его. Он говорит: «Только эти домены/адреса идут через туннель. Остальное — напрямую». Обратный подход — чёрный список («всё, кроме…») — менее безопасен: забыли добавить новый трекер — и ваши запросы ушли в открытом виде.
Как работает белый список в V2Ray: технические детали
V2Ray использует систему routing rules. Каждое правило содержит:
domainилиip— что фильтруем;outboundTag— куда отправляем (например,proxy,direct,block);- приоритет (
priority) — чем выше, тем раньше применяется.
Пример конфигурации белого списка:
{
"routing": {
"rules": [
{
"type": "field",
"domain": ["google.com", "youtube.com", "twitter.com"],
"outboundTag": "proxy"
},
{
"type": "field",
"outboundTag": "direct"
}
]
}
}
Здесь:
- Только указанные домены идут через proxy.
- Всё остальное — напрямую (direct).
Важно: V2Ray поддерживает wildcard-домены (geosite:category-ads), гео-IP (geoip:ru), регулярные выражения и даже поддомены ("domain": ["domain:example.com"] включает все поддомены).
Но есть нюанс: если приложение использует жёстко прописанный IP (а не домен), правило по домену не сработает. Тогда нужно добавлять IP вручную или использовать geoip.
Чего вам НЕ говорят в других гайдах
Большинство инструкций молчат о реальных рисках. Вот что скрывают:
- Бесплатные V2Ray-сервисы — это ботнеты с интерфейсом
Стоимость аренды одного сервера в Европе — от $5/мес. Бесплатный сервис должен зарабатывать. Способы:
- Сбор и продажа трафика (особенно DNS-запросов);
- Подмена рекламы на сайтах;
-
Использование вашего устройства как реле для других пользователей (как Hola VPN в 2015 году).
-
«No logs» — не значит «никогда»
Провайдер может хранить метаданные: время подключения, объём трафика, IP-адреса. При запросе суда (особенно в юрисдикциях 14 Eyes) эти данные передаются. Аудитов у большинства «дешёвых» сервисов нет.
- Kill switch в V2Ray — не встроен
Если соединение с сервером обрывается, трафик может пойти напрямую. Чтобы этого избежать, нужно настраивать iptables или использовать сторонние утилиты. В Windows — через PowerShell политики маршрутизации.
- Fake-утечки через WebRTC и IPv6
Даже при правильном белом списке браузер может раскрыть ваш реальный IP через WebRTC. Или система автоматически переключится на IPv6, который не обрабатывается правилами V2Ray (если вы не настроили ipv6: true).
- DPI всё равно видит шифрованный трафик
Глубокая инспекция пакетов (DPI) не читает содержимое, но определяет паттерны: частота пакетов, размер, временные задержки. V2Ray с протоколом VMess + TLS + WebSocket маскирует трафик под обычный HTTPS, но не гарантирует 100% обход.
Split tunneling vs полный туннель: сравнение в реальных сценариях
| Сценарий | Белый список (split) | Полный туннель |
|---|---|---|
| Доступ к Telegram в РФ | ✅ Работает (если telegram.org в списке) | ✅ Работает |
| Онлайн-банк (Сбер) | ✅ Работает (трафик напрямую) | ❌ Может блокировать вход |
| Торренты (rutracker + magnet) | ⚠️ Только если трекер в списке | ✅ Весь трафик скрыт |
| Публичный Wi-Fi в кофейне | ⚠️ Локальные ресурсы быстрее | ✅ Макс. защита от MITM |
| Стриминг Netflix US | ✅ Только если netflix.com в списке | ✅ Работает, но медленнее |
Вывод: белый список эффективен, если вы точно знаете, какие сервисы требуют обхода. Для максимальной анонимности (например, при работе с чувствительными данными) лучше полный туннель + kill switch.
Как собрать свой белый список: пошагово
- Определите цели: что хотите разблокировать? YouTube? Twitter? GitHub?
- Соберите домены: используйте
nslookup,digили urlscan.io для анализа зависимостей. - Добавьте поддомены:
"domain": ["domain:youtube.com"]вместо"youtube.com". - Учтите CDN: Google использует
googlevideo.com,ytimg.com— их тоже надо включить. - Проверьте утечки: зайдите на ipleak.net и browserleaks.com/webrtc.
- Настройте DNS: используйте
dns.hijackв V2Ray, чтобы все DNS-запросы шли через туннель.
Пример для YouTube:
{
"domain": [
"domain:youtube.com",
"domain:googlevideo.com",
"domain:ytimg.com",
"domain:gstatic.com"
],
"outboundTag": "proxy"
}
Защита от DPI: как сделать трафик «невидимым»
Роскомнадзор и другие регуляторы используют DPI для блокировки VPN. V2Ray позволяет обходить это через:
- Transport = WebSocket + TLS: трафик выглядит как обычное соединение к сайту (например, к cloudflare.com).
- Fake domain: указываете домен, который реально существует и использует TLS (например,
www.cloudflare.com). - Path: добавляете путь вроде
/websocket, чтобы запрос выглядел легитимно.
Конфигурация:
{
"transport": {
"wsSettings": {
"path": "/websocket",
"headers": {
"Host": "www.cloudflare.com"
}
}
}
}
Это не делает вас невидимым, но снижает шансы на блокировку на уровне провайдера.
Реальные угрозы при использовании V2Ray
- MITM-атаки в публичных сетях: если не настроен сертификат TLS, злоумышленник может подменить сервер.
- Утечка времени подключения: даже без логов, провайдер видит, когда вы подключились к IP-адресу, известному как V2Ray-нода.
- Фингерпринт браузера: если вы не используете Tor или профилирование, сайт может идентифицировать вас по параметрам браузера.
- Отсутствие perfect forward secrecy (PFS): если используется статический ключ, компрометация сервера раскроет всю историю сессий. VMess поддерживает PFS, но только при правильной настройке.
Таблица: сравнение подходов к split tunneling
| Критерий | V2Ray (белый список) | OpenVPN (route-nopull) | WireGuard (AllowedIPs) | Shadowsocks + ACL | Браузерные расширения |
|---|---|---|---|---|---|
| Гибкость правил | ⭐⭐⭐⭐⭐ (домены, geo, regex) | ⭐⭐ (только IP) | ⭐⭐ (только CIDR) | ⭐⭐⭐ (домены + IP) | ⭐ (только URL) |
| Защита от DNS-утечек | ✅ (при настройке dns.hijack) | ❌ (требует доп. настройки) | ❌ | ⚠️ (зависит от клиента) | ❌ |
| Скорость | Высокая (мин. накладные расходы) | Средняя | Очень высокая | Высокая | Низкая |
| Поддержка DPI-обхода | ✅ (WebSocket+TLS) | ❌ | ❌ | ⚠️ (требует obfs) | ❌ |
| Сложность настройки | Высокая | Средняя | Низкая | Средняя | Низкая |
V2Ray лидирует по гибкости, но требует глубокого понимания сети. Для новичков WireGuard проще, но не даёт контроля на уровне доменов.
Как проверить, что белый список работает
-
Откройте терминал и выполните:
bash curl -x socks5://127.0.0.1:1080 ifconfig.me
Должен показать IP вашего V2Ray-сервера. -
Проверьте локальный ресурс:
bash curl https://api.sberbank.ru --resolve api.sberbank.ru:443:127.0.0.1
Если соединение идёт напрямую — вы получите ответ. Если через прокси — ошибку (так как SberBank блокирует иностранные IP). -
Используйте dnsleaktest.com: тест должен показать DNS-серверы вашего провайдера для локальных доменов и серверы V2Ray — для тех, что в белом списке.
Вывод
v2ray белый список — мощный инструмент, но не волшебная таблетка. Он даёт контроль над маршрутизацией, экономит трафик и ускоряет доступ к локальным сервисам. Однако его эффективность зависит от точности настройки, понимания сетевых протоколов и осознания ограничений. Без защиты от DNS/WebRTC-утечек, без kill switch и без маскировки трафика от DPI даже самый продуманный белый список оставит вас уязвимым. Используйте его как часть комплексной стратегии информационной безопасности — а не как единственную меру защиты.
VPN замедляет интернет на сколько реально?
Зависит от протокола и расположения сервера. WireGuard: +5–15 мс пинг, 90–97% от исходной скорости. OpenVPN: +20–50 мс, 70–85%. V2Ray с VMess+TLS: +30–70 мс, 60–90% — но сильно зависит от нагрузки на сервер и качества шифрования.
Меня найдёт спецслужба при использовании VPN?
Если вы нарушаете закон — да. Провайдер VPN может передать метаданные по запросу суда. Особенно в юрисдикциях 14 Eyes (США, Великобритания, Канада и др.). В России действует закон о хранении данных: если сервер физически в РФ, логи могут быть запрошены без международного запроса.
WireGuard или OpenVPN — что безопаснее?
Оба используют AES-256 или ChaCha20 — криптостойкость одинакова. WireGuard новее, проще в аудите (4000 строк кода против 100 000 у OpenVPN), поддерживает perfect forward secrecy «из коробки». OpenVPN имеет больше настроек для обхода DPI, но медленнее.
Можно ли использовать V2Ray бесплатно и безопасно?
Только если вы сами арендуете сервер (от 300 ₽/мес на Hetzner). Бесплатные публичные ноды — риск: они могут логировать трафик, внедрять вредоносный код или быть honeypot’ами. Проверенных бесплатных сервисов с no-log policy не существует.
Что делать, если YouTube не грузится при белом списке?
Добавьте все зависимые домены: youtube.com, googlevideo.com, ytimg.com, gstatic.com, googleusercontent.com. Используйте правило "domain": ["domain:youtube.com"]. Проверьте, не блокируется ли IPv6 — отключите его в настройках ОС или добавьте "network": "tcp" в правило.
Нужно ли отключать IPv6 при использовании V2Ray?
Да, если вы не настроили правила для IPv6. Иначе система может отправить трафик через IPv6 напрямую, минуя туннель. В Linux: sysctl -w net.ipv6.conf.all.disable_ipv6=1. В Windows: отключите «Internet Protocol Version 6 (TCP/IPv6)» в свойствах адаптера.
Question: Do withdrawals usually go back to the same method as the deposit? Worth bookmarking.