nekoray белый список

nekoray белый список

Nekoray и белый список: как не попасть в ловушку «безопасного» трафика

nekoray белый список — это не просто настройка в интерфейсе приложения. Это техническое решение, которое определяет, какие домены или IP-адреса обходят шифрованный туннель, а какие остаются под защитой. На первый взгляд, функция кажется безобидной: «пусть банк идёт напрямую, а всё остальное — через VPN». Но именно здесь кроется масса рисков, особенно если вы используете Nekoray в условиях агрессивного DPI (Deep Packet Inspection) от российских провайдеров вроде Ростелекома или МТС. В этом материале разберём, почему белый список может стать чёрной дырой для вашей приватности, как его правильно настроить и какие скрытые уязвимости игнорируют большинство гайдов.

Почему «белый список» в Nekoray — это не про удобство, а про компромисс безопасности

Nekoray — это open-source клиент для Android, построенный на базе протокола Sing-Box, который поддерживает современные методы обхода блокировок: Reality, Shadowsocks, Tuic, Hysteria 2. Его главная фишка — гибкая маршрутизация трафика с возможностью указать белый (bypass) или чёрный (proxy-only) список доменов.

Когда вы добавляете домен в белый список, Nekoray направляет трафик к нему напрямую, минуя VPN-туннель. Это делается ради:

• снижения задержки для банковских приложений,
• ускорения загрузки локальных сервисов (например, Яндекс.Маркет),
• обхода проблем с двухфакторной аутентификацией, которая иногда ломается при смене IP.

Но есть нюанс: прямой трафик виден вашему провайдеру. Если вы находитесь в публичном Wi-Fi в кофейне, злоумышленник с ARP-спуфингом тоже увидит, что вы зашли на sberbank.ru. И если на этом сайте нет HSTS или сертификат подменён — вас ждёт классическая MITM-атака (Man-in-the-Middle).

Более того, многие пользователи не осознают, что DNS-запросы для доменов из белого списка тоже уходят в открытый эфир, если не настроен DoH/DoT. Провайдер фиксирует не только факт подключения к tinkoff.ru, но и время, частоту, устройство. Это достаточно для профилирования.

Чего вам НЕ говорят в других гайдах

Большинство статей советуют «добавить банки в белый список — и спите спокойно». Это опасное упрощение. Вот что умалчивают:

1. Бесплатные конфиги Nekoray часто содержат поддельные белые списки

Многие Telegram-каналы распространяют «готовые подписки» с предзаполненным белым списком. Проблема в том, что эти списки могут включать трекеры, аналитические домены (metrica.yandex.ru, mc.yandex.ru) или даже CDN-серверы рекламы. Вы думаете, что экономите трафик, а на деле разрешаете сбор данных о ваших действиях вне туннеля.

1. Утечки WebRTC не зависят от белого списка — но усиливаются им

Даже если весь браузерный трафик идёт через VPN, WebRTC может раскрыть ваш реальный IP. А если вы добавили google.com в белый список, то при открытии Gmail через Chrome ваш локальный IP отправится на серверы Google — и провайдер это увидит. Инструменты вроде browserleaks.com/webrtc покажут утечку за 10 секунд.

1. Kill switch в Nekoray не работает для белого списка

Kill switch (аварийное отключение интернета при падении VPN) защищает только трафик внутри туннеля. Домены из белого списка продолжают работать даже при отвале соединения. Представьте: вы скачиваете торрент через qBittorrent (через туннель), а параллельно обновляете приложение СберБанк (из белого списка). При обрыве VPN торрент остановится, но банк — нет. И ваш IP окажется в логах банка в момент, когда вы, возможно, уже не в РФ.

1. Юрисдикция не важна — важна архитектура

Многие верят: «раз Nekoray — open-source, значит, безопасен». Но сам клиент не хранит логи — их может собирать ваш сервер, если вы используете собственный бэкенд. Если вы арендуете VPS в Германии и не настроили политику no-log, ваш хостер может передать данные по запросу. Особенно если вы используете протоколы без perfect forward secrecy (PFS), например, старый IPsec с фиксированными ключами.

1. DPI умеет различать «белый» и «чёрный» трафик по поведению

Российские провайдеры применяют поведенческий анализ: если 95% вашего трафика идёт через зашифрованный туннель, а 5% — напрямую к известным доменам, система может пометить вас как пользователя обходчика. Это не блокировка, но повод для усиленного мониторинга. Особенно если среди «прямых» доменов есть github.com или cloudflare.com — частые цели анализа.

Как настроить белый список в Nekoray без рисков: пошаговый технический гайд

Если вы всё же решили использовать белый список — делайте это правильно.

Шаг 1. Откажитесь от DNS-резолвера провайдера

В настройках Nekoray перейдите в DNS Settings → DNS Servers и укажите:

https://dns.google/dns-query
https://cloudflare-dns.com/dns-query

Включите DNS over HTTPS (DoH) и активируйте Fake IP (если используете Reality или Shadowsocks с obfs). Это предотвратит утечку доменных имён.

Шаг 2. Используйте только доверенные домены

Добавляйте в белый список только те домены, которые действительно требуют прямого подключения. Например:

• sberbank.ru
• online.sberbank.ru
• id.tinkoff.ru
• api.passport.yandex.ru

Не добавляйте целые зоны вроде *.yandex.ru — это открывает доступ к трекерам.

Шаг 3. Включите split tunneling по IP, а не только по домену

Некоторые приложения (например, мобильный банк) используют IP-адреса напрямую. Чтобы не пропустить их, добавьте в белый список IP-диапазоны банков. Их можно найти через nslookup или dig:

dig +short sberbank.ru
Вернёт A-записи, например: 185.71.76.100

Затем в Nekoray: Routing Rules → Add Rule → IP CIDR → 185.71.76.0/24.

Шаг 4. Проверьте утечки после настройки

Используйте:

• ipleak.net — проверка IP и DNS,
• browserleaks.com/webrtc — WebRTC,
• dnsleaktest.com — DNS-утечки.

Убедитесь, что при открытии сайта из белого списка DNS-запрос уходит через DoH, а не к 8.8.8.8 или провайдерскому резолверу.

Шаг 5. Отключите фоновую синхронизацию для «прямых» приложений

В Android: Настройки → Приложения → выберите банк → Мобильные данные → отключите Фоновые данные. Это снизит риск случайных подключений вне вашего контроля.

Сравнение: как белый список влияет на безопасность в разных VPN-клиентах

* WireGuard требует ручной настройки правил маршрутизации через AllowedIPs.

Как видно, Nekoray предлагает наибольшую гибкость, но и наибольшие риски при неправильной настройке. В отличие от коммерческих решений (Proton, Mullvad), он не изолирует DNS-трафик автоматически — это ваша ответственность.

Реальные сценарии: когда белый список полезен, а когда — смертелен

✅ Журналист в командировке

Вы в отеле с публичным Wi-Fi. Нужно зайти в корпоративную почту (через туннель) и оплатить проживание через СберБанк.
Решение: добавьте online.sberbank.ru в белый список + включите DoH. Так вы избежите задержек при 3D-Secure и сохраните анонимность основного трафика.

✅ Айтишник на кофеварке в кафе

Работаете через SSH на сервер, но нужно быстро проверить баланс на Тинькофф.
Риск: если не отключить WebRTC в браузере, ваш IP уйдёт в Google Analytics сайта банка.
Решение: используйте отдельный профиль браузера с отключённым WebRTC + белый список только для id.tinkoff.ru.

❌ Пользователь торрентов

Добавляете rutracker.org в белый список, чтобы быстрее грузились картинки.
Ошибка: весь торрент-трафик должен идти только через туннель. Даже один прямой запрос к трекеру раскроет ваш IP.
Правило: торренты = 100% чёрный список. Никаких исключений.

❌ Обход блокировки мессенджера

Пытаетесь добавить telegram.org в белый список, потому что «и так работает».
Проблема: в РФ Telegram блокируется на уровне IP и DPI. Прямой трафик будет перехвачен и заблокирован.
Правильно: весь Telegram — строго через туннель с обфускацией (например, Reality + XTLS).

Вывод

nekoray белый список — мощный инструмент, но не панацея. Он даёт контроль над маршрутизацией, но требует глубокого понимания сетевой безопасности. Если вы просто скопируете чужой список доменов и включите bypass «для скорости», вы рискуете раскрыть часть своей цифровой личности провайдеру, рекламным сетям или даже государственным системам мониторинга.

Настоящая безопасность начинается не с включения функции, а с осознания: каждое исключение из туннеля — это потенциальная утечка. Проверяйте DNS, отключайте WebRTC, используйте DoH и никогда не доверяйте «готовым» конфигам из Telegram. Только так белый список останется инструментом, а не лазейкой для слежки.

VPN замедляет интернет на сколько реально?

Зависит от протокола и сервера. WireGuard добавляет 5–15 мс пинга и сохраняет 90–98% скорости канала. OpenVPN — 20–50 мс и 70–90%. Reality (в Nekoray) — до 30 мс, но лучше обходит DPI. На 100 Мбит/с вы получите 85–95 Мбит/с через хороший сервер.

Меня найдёт спецслужба при использовании VPN?

Если вы используете коммерческий VPN с логами (даже «no-log» без аудита) — да, по запросу суда. Если свой VPS + Nekoray с Reality и без логов — шанс минимален. Но помните: метаданные (время, объём трафика) всё равно видны провайдеру.

🛠️Инструмент для работы

WireGuard или OpenVPN — что безопаснее?

WireGuard современнее: меньше кода (меньше уязвимостей), поддержка ChaCha20, perfect forward secrecy по умолчанию. OpenVPN проверен годами, но медленнее и сложнее в настройке. Для большинства пользователей WireGuard предпочтительнее.

Можно ли использовать Nekoray без белого списка?

Да, и это самый безопасный режим. Все приложения идут через туннель. Единственный минус — возможны задержки в банках или двухфакторной аутентификации. Но современные протоколы (Reality, Hysteria 2) почти нивелируют эту проблему.

Белый список защищает от блокировок?

Нет. Наоборот: прямой трафик к заблокированным ресурсам (например, YouTube) будет перехвачен DPI. Белый список нужен только для разрешённых локальных сервисов, которые работают хуже через туннель.

🛡️Безопасный интернет

Как проверить, что домен действительно в белом списке?

В Nekoray включите логирование трафика (в настройках профиля). Затем откройте сайт из списка — в логах должно быть указано direct, а не proxy. Также используйте tcpdump на Android через Termux для анализа пакетов.