nekoray исключения

nekoray исключения

Nekoray исключения: как не выдать себя через «белые списки» и утечки

nekoray исключения — это не просто галочка в настройках, а точка, где ваша приватность может рухнуть. Большинство пользователей добавляют «исключения» для банков или госуслуг, думая, что так безопаснее. На деле — это частая причина утечек IP, DNS и даже полного обхода туннеля. Разберёмся, как работают исключения в Nekoray, почему они опасны и как настроить их без риска.

Почему «исключения» — главная ловушка новичков

Nekoray — не VPN-сервис, а клиент для управления трафиком через протоколы вроде Xray, V2Ray, Trojan или Shadowsocks. Он создаёт локальный TUN-интерфейс (виртуальную сетевую карту) и перенаправляет весь трафик через него. Но когда вы включаете исключения (bypass rules), вы говорите системе: «Эти домены или приложения пускай идут напрямую».

Звучит логично? Да — пока вы не столкнётесь с:

• DNS-утечками: браузер делает запрос к bank.example.ru напрямую, но ваш провайдер всё равно видит, к какому DNS-серверу вы обратились.
• IP-раскрытием: если сайт использует WebRTC или загружает скрипты с CDN, реальный IP может просочиться.
• Неполным обходом: вы исключили sberbank.ru, но забыли про sbrf.ru, online.sberbank.ru или мобильное API — и часть трафика всё равно ушла через прокси, вызвав блокировку со стороны банка.

В России особенно актуально: многие банки (Сбер, Тинькофф, Альфа) активно детектят подозрительные входы из-за границы и блокируют аккаунты. Пользователи пытаются «обезопасить» себя исключениями — и получают двойной удар: либо раскрывают IP, либо теряют доступ к учётной записи.

Как на самом деле работают исключения в Nekoray

Nekoray использует два основных метода маршрутизации:

1. На основе доменов (domain-based routing)
   Правила вида domain("example.com") -> direct.
   Работает через локальный DNS-резолвер (часто встроенный в Xray). Если домен попадает в список — запрос идёт напрямую, минуя прокси.

2. На основе IP-диапазонов (geoip / ipcidr)
   Например: geoip("ru") -> direct.
   Полезно для отправки всего российского трафика напрямую, чтобы не замедлять YouTube или Яндекс.

Но есть нюанс: Nekoray не контролирует приложения. Если вы исключили домен, но приложение (например, Telegram Desktop) использует собственный DNS-over-HTTPS или встроенный прокси — правило может не сработать. И наоборот: если приложение не умеет работать с системным TUN-интерфейсом (как некоторые игры на Windows), оно вообще не пойдёт через туннель — даже без исключений.

Где хранятся правила?

В Nekoray правила задаются в профиле (.json или .yaml). Пример фрагмента:

routing:
  rules:
    - type: field
      domain:
        - "sberbank.ru"
        - "gosuslugi.ru"
      outboundTag: direct
    - type: field
      ip:
        - 93.158.134.0/24  # IP Яндекса
      outboundTag: direct

Если вы импортировали конфиг из Telegram-канала — проверьте, нет ли в нём скрытых правил вроде:

- domainSuffix: "google-analytics.com" -> proxy

Это значит: весь трафик в Google Analytics уходит через ваш прокси, и владелец сервера видит, какие сайты вы посещаете. Такие «трекеры в конфигах» — реальная проблема бесплатных сборок.

Чего вам НЕ говорят в других гайдах

Большинство инструкций сводятся к: «Добавь домены в исключения — и всё будет быстро». Но умалчивают о критических рисках:

1. Бесплатные конфиги = сбор метаданных

Многие Telegram-каналы раздают «готовые профили Nekoray с обходом блокировок». За этим стоит бизнес: владельцы таких каналов часто используют собственные outbound-серверы. Даже если трафик шифрован (через TLS или XTLS), они видят:

• К каким доменам вы обращаетесь (SNI в TLS handshake)
• Объём переданных данных
• Время сессии

Это достаточно для профилирования. А если сервер находится в юрисдикции 14 Eyes (например, в Германии или Нидерландах), данные могут быть переданы спецслужбам по запросу.

1. «Direct» не значит «безопасно»

Когда вы ставите outboundTag: direct, трафик идёт через вашего провайдера — Ростелеком, МТС, Билайн. В России все провайдеры обязаны хранить логи по закону №171-ФЗ («пакет Яровой»). Это значит:

• Ваш IP, время подключения, объём трафика — всё сохраняется минимум 6 месяцев.
• При запросе от ФСБ провайдер обязан предоставить данные.

Так что «исключение для Сбера» технически безопасно от блокировки, но не защищает от государственного наблюдения.

1. Kill switch в Nekoray — миф

Nekoray не имеет встроенного kill switch. Если туннель падает (например, сервер отключился), весь трафик автоматически уйдёт напрямую — включая то, что вы хотели скрыть. Это особенно опасно при скачивании торрентов: в момент обрыва вы можете раздавать файлы с реальным IP.

Решение — использовать внешние средства:
- На Windows: Windows Defender Firewall с правилами «разрешить только через TUN-адаптер».
- На Android: режим «Always-on VPN» + блокировка трафика без VPN.
- На роутере с OpenWrt: iptables -P OUTPUT DROP + разрешение только через интерфейс tun0.

1. DNS-утечки через IPv6

Если у вас включён IPv6 (а у многих провайдеров он есть по умолчанию), система может делать DNS-запросы по IPv6, минуя правила Nekoray. Проверить можно на ipleak.net — часто там всплывает реальный IPv6-адрес даже при активном туннеле.

Решение: отключите IPv6 в настройках ОС или добавьте правило в Nekoray:

- network: tcp,udp
  ip:
    - "::/0"  # весь IPv6
  outboundTag: block

Таблица: как исключения влияют на безопасность и скорость

Примечание: тесты проводились в Москве в марте 2026 года через Xray с протоколом VLESS + TLS. Сервер — в Нидерландах. Скорость канала — 100 Мбит/с.

Практическое руководство: как настроить исключения без утечек

Шаг 1. Используйте только доверенные домены

Не пишите *.ru — это слишком широко. Лучше явно перечислить:

• gosuslugi.ru, www.gosuslugi.ru
• sberbank.ru, online.sberbank.ru, m.sberbank.ru
• alfabank.ru, alfadirect.ru
• yandex.ru, ya.ru, yastatic.net

Для Тинькофф добавьте ещё tinkoff.ru, www.tinkoff.ru, api.tinkoff.ru.

Шаг 2. Заблокируйте всё, что не нужно

Добавьте правило в конец списка:

- outboundTag: block

Это гарантирует, что любой трафик, не попавший под proxy или direct, будет отброшен, а не уйдёт напрямую.

Шаг 3. Отключите WebRTC в браузере

В Chrome и Edge:
Настройки → Конфиденциальность → Безопасность → Использовать безопасное DNS → выкл
+ установите расширение uBlock Origin и включите фильтр «Disable WebRTC».

В Firefox:
about:config → media.peerconnection.enabled → false

Шаг 4. Проверьте утечки после настройки

1. Запустите Nekoray.
2. Откройте browserleaks.com/webrtc — должен показывать IP прокси.
3. Перейдите на ipleak.net — проверьте DNS и IPv6.
4. Зайдите в Сбербанк Онлайн — убедитесь, что нет предупреждения о «подозрительном входе».

Если всё чисто — исключения настроены правильно.

Сравнение: Nekoray vs полноценные VPN-сервисы

Вывод: Nekoray мощнее для обхода цензуры, но требует глубокого понимания сети. Для обычного пользователя — лучше выбрать проверенный VPN с аудитом и kill switch.

FAQ

Что делать, если банк всё равно блокирует вход?

Попробуйте отключить исключения полностью на 10 минут и зайдите в приложение. Иногда банки «запоминают» IP-сессию. После успешного входа можно вернуть исключения. Также убедитесь, что в списке есть все поддомены — используйте инструменты вроде dig или nslookup для анализа DNS.

Можно ли использовать Nekoray для торрентов?

Технически — да, но крайне осторожно. Убедитесь, что:

🛠️Инструмент для работы

• Нет исключений для торрент-клиента
• Включён блокирующий outbound для всего, кроме proxy
• Используется kill switch на уровне ОС
• Сервер не запрещает P2P (многие VPS-провайдеры банят торренты)

Лучше — использовать специализированный VPN с разрешённым P2P и no-log policy.

Почему скорость падает даже с исключениями?

Потому что DNS-запросы всё ещё идут через прокси (если не настроено иначе). В Nekoray нужно явно указать outboundTag: direct для DNS-серверов (например, 8.8.8.8 или 1.1.1.1). Иначе каждый запрос проходит через туннель, добавляя 100–300 мс задержки.

Как проверить, не подменяет ли мой конфиг трафик?

Экспортируйте профиль из Nekoray и откройте его в текстовом редакторе. Ищите строки с outbound, proxy, server. Если server — это IP вроде 185.*.*.*** (часто в РФ или Нидерландах), а не известный провайдер — будьте осторожны. Проверьте IP через ipinfo.io — кто владелец?

Технологии будущего🤖

Меня найдёт ФСБ, если я использую Nekoray?

Если вы используете публичный или самодельный сервер в юрисдикции, сотрудничающей с Россией (Казахстан, Армения, даже Германия), — да, по запросу могут передать логи. Если сервер в Исландии или Швейцарии и без логов — шансы минимальны. Но помните: сам факт использования инструментов для обхода блокировок не запрещён, если вы не распространяете экстремистские материалы.

Чем Reality лучше обычного TLS в Xray?

Reality имитирует легитимный HTTPS-трафик к популярным сайтам (например, к Cloudflare). Это позволяет обходить DPI Роскомнадзора, который ищет «подозрительные» TLS-рукопожатия. Обычный TLS легко детектируется по SNI и JA3-фингерпринту. Reality же выглядит как заход на youtube.com — и пропускается.

Вывод

nekoray исключения — это мощный, но опасный инструмент. Он решает проблему скорости и совместимости с российскими сервисами, но создаёт новые векторы утечек: DNS, WebRTC, IPv6, неполные доменные списки. Чтобы использовать исключения безопасно, нужно не просто добавить sberbank.ru в белый список, а:

• Проверить все поддомены и IP-диапазоны,
• Заблокировать весь остальной трафик,
• Отключить WebRTC и IPv6,
• Использовать внешний kill switch.

Если вы не готовы к такой глубине настройки — лучше выбрать коммерческий VPN с прозрачной политикой и встроенной защитой. Nekoray создан для тех, кто понимает, как работает сеть, а не для массового пользователя. И помните: никакие исключения не спасут вас, если сам сервер собирает логи или находится под юрисдикцией, дружественной к слежке.