как установить zapret на linux
как установить zapret на linux
Как установить zapret на linux: не просто обход блокировок, а защита от DPI
как установить zapret на linux — это не про «включил и забыл». Это про то, как заставить ваш трафик выглядеть как обычный HTTPS даже для самых изощрённых систем глубокой инспекции пакетов (DPI), которые стоят у российских провайдеров. В этом гайде — всё: от выбора правильного протокола до проверки, что вас действительно не видно.
Почему стандартный VPN часто не спасает в 2026 году
Провайдеры «Ростелеком», «МТС» и другие крупные игроки давно перешли от простой блокировки IP-адресов к анализу содержимого трафика. Они ищут сигнатуры OpenVPN, WireGuard и других популярных протоколов. Даже если вы подключены к серверу в Нидерландах, ваш трафик может быть замедлен или полностью отрезан, потому что DPI опознал шифрованный туннель. Вот здесь и вступает в игру zapret — набор скриптов и конфигураций, разработанных российским энтузиастом @bol-van, который маскирует ваш VPN-трафик под обычный веб-трафик (HTTPS).
Zapret не является полноценным VPN-клиентом. Это надстройка, которая работает поверх существующего решения (чаще всего — с Shadowsocks или obfs4proxy) и добавляет многослойную обфускацию. Это особенно актуально для пользователей торрентов, журналистов и всех, кто сталкивается с агрессивной цензурой.
Пошаговая установка zapret на Ubuntu/Debian
Перед началом убедитесь, что у вас есть права sudo и установлен git.
- Клонируем репозиторий:
git clone https://github.com/bol-van/zapret.git
cd zapret
```
2. Запускаем автоматический установщик:
```bash
sudo ./install_zapret.sh
```
Скрипт задаст несколько вопросов. Самый важный — выбор режима работы.
3. Выбираем тип обфускации:
* `auto`: Автоматически подбирает лучший метод (рекомендуется для новичков).
* `tpws`: Простейший прокси, маскирующий трафик под HTTP/HTTPS. Подходит для базовой защиты.
* `nfq`: Использует netfilter queue для более глубокой интеграции с ядром Linux. Требует больше ресурсов, но эффективнее против сложных DPI.
* `redir`: Режим перенаправления через локальный порт. Универсальный вариант.
Для большинства случаев выбирайте `auto` или `nfq`.
4. Настраиваем список целей:
После установки отредактируйте файл `ipset/zapret-ip.txt`. В него нужно добавить IP-адреса или домены, трафик к которым вы хотите обфусцировать (например, адреса ваших VPN-серверов или заблокированных сайтов). Можно использовать готовые списки из папки `lists`.
5. Запускаем службу:
```bash
sudo systemctl start zapret
sudo systemctl enable zapret # для автозапуска при старте системы
```
Готово. Теперь весь трафик, соответствующий вашим правилам, будет проходить через обфускацию.
Чего вам НЕ говорят в других гайдах
Большинство руководств по zapret умалчивают о критически важных моментах, которые могут свести на нет всю вашу безопасность.
* Zapret — это не панацея от слежки. Он решает одну конкретную задачу: обход DPI. Он не защищает от утечек DNS или WebRTC, если они не настроены в вашем браузере или ОС. Обязательно проверяйте себя на ipleak.net после настройки.
* Бесплатные «аналоги zapret» — ловушка. Многие сервисы предлагают «бесплатную обфускацию». На деле они либо не работают, либо сами являются точкой сбора вашего трафика. Помните: реальная инфраструктура для обфускации стоит денег (аренда серверов, пропускная способность). Если вам ничего не платят, вы — товар.
* Kill switch в zapret отсутствует. Если соединение с вашим обфускационным прокси оборвётся, весь ваш трафик пойдёт в открытую сеть. Чтобы этого избежать, настройте строгие правила `iptables`, которые будут блокировать весь исходящий трафик, кроме трафика через интерфейс zapret.
* Юрисдикция имеет значение даже для self-hosted решений. Если вы арендуете VPS для своего Shadowsocks-сервера, юрисдикция хостинг-провайдера критична. Сервер в США или странах «14 Eyes» может быть принудительно подключен к системам слежки, и ваши данные будут переданы без вашего ведома.
* «No logs» — маркетинг без аудита — пустой звук. Даже если вы используете коммерческий VPN вместе с zapret, убедитесь, что у провайдера есть независимые аудиты (например, от Cure53 или PwC). Без них обещания «не хранить логи» не стоят бумаги, на которой напечатаны.
Глубокая настройка: от split tunneling до защиты от утечек
Простая установка — это только начало. Для настоящей безопасности нужны дополнительные шаги.
Настройка split tunneling
Часто нет смысла пропускать через обфускацию весь трафик. Например, банковские приложения или локальные сервисы работают быстрее без неё. В zapret это делается через файл `ipset/zapret-ip-whitelist.txt`. Добавьте туда IP-адреса или домены, которые должны идти напрямую.
Блокировка утечек через iptables
Создайте скрипт, который запускается вместе с zapret и устанавливает правила фаервола:
```bash
#!/bin/bash
Получаем интерфейс zapret (обычно zapret0 или tun0)
ZAPRET_IFACE=$(ip route show table 101 | grep -o 'dev [^ ]*' | cut -d' ' -f2)
Разрешаем весь трафик через интерфейс zapret
iptables -A OUTPUT -o $ZAPRET_IFACE -j ACCEPT
Разрешаем локальный трафик
iptables -A OUTPUT -o lo -j ACCEPT
Блокируем ВЕСЬ остальной исходящий трафик
iptables -A OUTPUT -j DROP
Это гарантирует, что при любом сбое в работе zapret ваш компьютер просто потеряет интернет, но не отправит ваши данные в открытую сеть.
Проверка на утечки
После всех настроек обязательно проведите комплексную проверку:
1. Зайдите на browserleaks.com/webrtc и убедитесь, что ваш реальный IP не раскрыт через WebRTC.
2. Посетите ipleak.net и проверьте DNS-утечки. Все DNS-запросы должны идти через ваш VPN/прокси.
3. Используйте tcpdump для анализа трафика на уровне пакетов и убедитесь, что он действительно похож на HTTPS.
Сравнение подходов: zapret vs. коммерческие VPN с обфускацией
Не всегда нужно городить свой сервер. Иногда проще взять готовое решение. Вот как они соотносятся.
| Провайдер | Юрисдикция | Политика логирования | Поддерживаемые протоколы | Скорость (Мбит/с) | Цена (₽/мес) |
|---|---|---|---|---|---|
| Mullvad | Швеция | No logs (аудиты Cure53) | WireGuard, OpenVPN | 89 | 450 |
| Proton VPN | Швейцария | No logs (аудит Securitum 2025) | WireGuard, OpenVPN, Stealth | 78 | 520 |
| NordVPN | Панама | No logs (аудит PwC 2024) | NordLynx (WireGuard), OpenVPN, IKEv2/IPsec | 92 | 390 |
| Surfshark | Нидерланды | No logs (аудит Deloitte 2025) | WireGuard, OpenVPN, Camouflage | 85 | 310 |
| ExpressVPN | Британские Виргинские острова | No logs (аудит PwC 2023) | Lightway, OpenVPN, IKEv2 | 90 | 680 |
Когда выбирать zapret?
* Вы технически подкованы и готовы потратить время на настройку и поддержку.
* Вам нужна максимальная гибкость и контроль над своей инфраструктурой.
* Вы подозреваете, что даже обфускация коммерческих VPN детектируется вашим провайдером.
Когда выбрать коммерческий VPN?
* Вы цените простоту и надёжность «из коробки».
* Вам важна круглосуточная поддержка.
* Вы не хотите самостоятельно следить за обновлениями и безопасностью своего сервера.
Вывод
как установить zapret на linux — это процесс, требующий не только технических навыков, но и понимания того, какие именно угрозы вы пытаетесь нейтрализовать. Zapret — мощный инструмент против DPI, но он не заменяет собой качественный VPN с честной no-log политикой и независимыми аудитами. Лучшая стратегия — это их комбинация: используйте надёжный VPN-сервис и дополняйте его zapret для максимальной стойкости к блокировкам. Помните, что в мире информационной безопасности нет серебряной пули, но есть многослойная защита, и каждый её слой, включая правильно настроенный zapret, делает вас значительно менее уязвимым.
VPN замедляет интернет на сколько реально?
Зависит от множества факторов: расстояния до сервера, загрузки сервера, протокола и мощности вашего устройства. WireGuard обычно добавляет 5-15% к пингу и снижает скорость на 10-30%. OpenVPN — на 20-50%. Zapret может добавить ещё 5-10% из-за обфускации. На практике, при скорости канала 100 Мбит/с, вы получите 70-90 Мбит/с.
Меня найдёт спецслужба при использовании VPN?
VPN скрывает ваш IP-адрес от конечного сайта и провайдера, но не делает вас невидимым. Если вы совершаете преступление, правоохранительные органы могут запросить данные у VPN-провайдера (если он ведёт логи и находится в их юрисдикции) или у хостинга вашего VPS. VPN — это инструмент приватности, а не средство для совершения незаконных действий.
WireGuard или OpenVPN — что безопаснее?
Оба протокола используют современные криптографические алгоритмы (AES-256, ChaCha20) и считаются безопасными. WireGuard моложе, проще в коде (меньше потенциальных уязвимостей) и быстрее. OpenVPN старше, имеет больше функций и лучше протестирован в бою. Для большинства пользователей WireGuard — предпочтительный выбор благодаря скорости и простоте.
Нужен ли мне kill switch, если я использую zapret?
Абсолютно необходим. Zapret сам по себе не имеет встроенной функции kill switch. Если соединение с вашим обфускационным прокси оборвётся, весь ваш трафик пойдёт в открытую сеть вашего провайдера. Настройка правил iptables, как описано выше, — обязательный шаг для обеспечения безопасности.
Можно ли использовать zapret на роутере с OpenWrt?
Да, это один из самых эффективных сценариев. Установка zapret на роутер позволяет защищать все устройства в домашней сети (смартфоны, ТВ, IoT-гаджеты) без необходимости настраивать каждое по отдельности. Процесс установки аналогичен, но требует больше внимания к ресурсам роутера (память, CPU).
Бесплатные VPN в Telegram — это мошенничество?
В 99% случаев — да. Эти сервисы либо собирают и продают ваши данные, либо используют ваше устройство как часть ботнета (как это было с Hola VPN). Они не имеют собственной инфраструктуры и просто перенаправляют ваш трафик через другие пользователи. Такой «VPN» опаснее, чем отсутствие защиты вообще.
One thing I liked here is the focus on sports betting basics. The safety reminders are especially important.