sing box как настроить
sing-box как настроить
Sing-box — гайд по настройке с нуля
Пошаговая инструкция: sing-box как настроить для обхода блокировок и защиты от слежки провайдера. Без воды — только практика.
sing-box как настроить — вопрос, который возникает у тех, кто уже вышел за рамки обычных коммерческих VPN. Вы не хотите доверять трафик «чёрному ящику» вроде NordVPN или ExpressVPN? Хотите полный контроль над маршрутизацией, шифрованием и правилами фильтрации? Тогда sing-box — ваш выбор. Это не просто клиент, а полноценный прокси-стек с поддержкой Shadowsocks, VLESS, Trojan, WireGuard, Tor и даже DNS-over-HTTPS. Но мощь требует понимания. Неправильная конфигурация не только не защитит — она создаст ложное чувство безопасности. В этом гайде разберём всё: от установки до проверки утечек, с акцентом на реальные риски и скрытые подводные камни.
Почему стандартные VPN-клиенты вас подводят
Большинство пользователей думают, что установка приложения из App Store решает проблему. На деле — нет. Коммерческие VPN:
- Часто используют устаревшие протоколы (IKEv2 без perfect forward secrecy).
- Не раскрывают, где физически расположены серверы.
- Могут хранить connection logs, даже если заявляют о no-log policy.
- Подвержены DPI (Deep Packet Inspection) — особенно OpenVPN на TCP 443 без обфускации.
- Не дают гибкого split tunneling: нельзя отправить YouTube через прокси, а Сбербанк — напрямую.
Sing-box решает эти проблемы, но ценой сложности. Он не прячет детали — он даёт вам инструменты. Ваша задача — собрать их правильно.
Установка: не так просто, как кажется
Sing-box официально поддерживает Linux, Windows, macOS, Android и iOS (через TestFlight или AltStore). Для Windows и macOS есть бинарники на GitHub. Для Android — приложение SagerNet (оболочка над sing-box). На iOS — Shadowrocket или Stash, но они требуют подписи разработчика.
Важно: никогда не скачивайте sing-box с сторонних сайтов. Только официальный репозиторий.
Установка на Ubuntu 22.04:
curl -L https://github.com/SagerNet/sing-box/releases/latest/download/sing-box-linux-amd64.tar.gz | tar xz
sudo mv sing-box /usr/local/bin/
sudo chmod +x /usr/local/bin/sing-box
После установки создаёте файл конфигурации config.json в папке /etc/sing-box/ или ~/.config/sing-box/.
Базовая структура конфига: что обязательно указать
Конфигурация sing-box — это JSON-файл с секциями:
log: уровень логирования (рекомендуется"warn"в продакшене).dns: настройки DNS-резолвера (важно для предотвращения утечек).inbounds: входящие соединения (обычноtunилиmixed).outbounds: исходящие прокси (WireGuard, VLESS, Shadowsocks и т.д.).route: правила маршрутизации (геоблоки, доменные списки, IP-диапазоны).
Пример минимального inbound для Android через SagerNet:
"inbounds": [
{
"type": "tun",
"tag": "tun-in",
"inet4_address": "172.19.0.1/30",
"auto_route": true,
"strict_route": true,
"sniff": true,
"sniff_override_destination": true
}
]
Флаг strict_route: true гарантирует, что весь трафик идёт через TUN-интерфейс — даже если система пытается обойти его.
Шифрование: не все протоколы одинаково полезны
Sing-box поддерживает десятки протоколов, но безопасность зависит от реализации:
| Протокол | Шифрование | Устойчивость к DPI | Скорость | Рекомендация |
|---|---|---|---|---|
| WireGuard | ChaCha20-Poly1305 | Низкая (легко детектится) | Очень высокая | Для скорости, но нужна обфускация |
| VLESS + XTLS | AES-128-GCM | Высокая | Высокая | Лучший выбор для обхода блокировок |
| Shadowsocks | AES-256-GCM | Средняя | Средняя | Устаревает, но работает в Китае |
| Trojan | TLS 1.3 | Высокая | Средняя | Хорошо маскируется под HTTPS |
| Tor | Многослойное | Очень высокая | Низкая | Только для анонимности, не для потоков |
Perfect forward secrecy (PFS) реализован в WireGuard и TLS-протоколах (VLESS, Trojan). Это значит, что даже при компрометации долгосрочного ключа прошлые сессии остаются зашифрованными.
DNS и WebRTC: главные источники утечек
Даже идеальный прокси бесполезен, если DNS-запросы идут напрямую к провайдеру. В sing-box настройте локальный DNS-резолвер:
"dns": {
"servers": [
{
"address": "tls://1.1.1.1",
"strategy": "ipv4_only"
},
{
"address": "https://dns.google/dns-query",
"strategy": "ipv4_only"
}
],
"rules": [
{
"rule_set": "geosite-ru",
"server": "local"
}
]
}
Здесь geosite-ru — список российских доменов, которые разрешаются локально (без прокси), чтобы не замедлять доступ к Сберу или Госуслугам.
WebRTC-утечки проверяются на browserleaks.com/webrtc. В Firefox отключите media.peerconnection.enabled. В Chrome — используйте расширение uBlock Origin с фильтром WebRTC.
Split tunneling: когда прокси вредит
Не всё нужно пропускать через VPN. Корпоративные сервисы, банки, госсайты могут блокировать зарубежные IP. Sing-box позволяет делать split по:
- Доменам (
geosite:category-bank) - IP-диапазонам (
geoip:private,geoip:ru) - Приложениям (на Android через метки в SagerNet)
Пример правила маршрутизации:
"route": {
"rules": [
{
"ip_is_private": true,
"outbound": "direct"
},
{
"rule_set": "geoip-ru",
"outbound": "direct"
},
{
"default": true,
"outbound": "proxy-out"
}
]
}
Такой подход ускоряет работу и снижает риск блокировки.
Чего вам НЕ говорят в других гайдах
Большинство инструкций молчат о трёх критических моментах:
- Kill switch может не работать. Если TUN-интерфейс падает, а система не блокирует fallback-трафик, данные пойдут напрямую. Включите
strict_route: trueи проверьте поведение при отключении Wi-Fi. - Бесплатные конфиги — ловушка. Telegram-каналы раздают «рабочие VLESS-серверы». На деле — это либо honeypot, либо перепродажа трафика. Оператор видит всё: какие сайты вы посещаете, сколько данных передаёте.
- Юрисдикция не важна, если сервер в РФ. Даже если компания зарегистрирована в Панаме, но арендует VPS у Selectel или Hetzner, российские власти могут запросить логи. Проверяйте ASN через
whois <IP>.
Также: многие «аудиты» коммерческих VPN — PR-ходы. Cure53 и Quarkslab действительно проводят независимые проверки, но их отчёты редко покрывают всю инфраструктуру. Sing-box — open source, поэтому любой может проверить код. Это единственный способ быть уверенным.
Практический чек-лист после настройки
- Запустите
sing-box check— проверит синтаксис конфига. - Откройте ipleak.net — должен показывать IP прокси, а не ваш.
- Проверьте DNS-утечку: должен быть указан DNS вашего провайдера прокси (например, Cloudflare).
- Отключите интернет на 5 секунд — убедитесь, что трафик не пошёл напрямую после восстановления.
- Используйте
tcpdumpили Wireshark, чтобы убедиться, что нет plaintext-пакетов вне TUN.
На Windows перезапуск службы:
net stop sing-box && net start sing-box
На роутерах с OpenWrt добавьте скрипт в /etc/hotplug.d/iface/ для автоматического рестарта при смене WAN.
Сравнение: sing-box против коммерческих решений
| Критерий | Sing-box (self-hosted) | ProtonVPN | Mullvad | Hola Free VPN |
|---|---|---|---|---|
| Юрисдикция | Ваша (вы выбираете VPS) | Швейцария | Швеция | Израиль |
| Логирование | Нет (если не включено) | No logs | No logs | Полные логи |
| Протоколы | 10+ (включая Tor) | OpenVPN, WireGuard | WireGuard | P2P-прокси |
| Цена (месяц) | От 150 ₽ (VPS) | $12.99 | €5 | Бесплатно |
| Реальная скорость | До 95% от канала | 60–80% | 70–85% | <20% + реклама |
Hola Free VPN использует модель P2P: ваш трафик становится выходным узлом для других. Это значит, что через ваш IP могут идти незаконные действия — и ответственность ляжет на вас.
FAQ
VPN замедляет интернет на сколько реально?
Зависит от протокола и расстояния до сервера. WireGuard на ближайшем VPS (Москва → Амстердам) теряет 3–7% скорости. OpenVPN — 15–30%. Бесплатные VPN — до 80%. Sing-box с VLESS+XTLS обычно даёт 90–95% от исходной скорости.
Меня найдёт спецслужба при использовании VPN?
Если вы используете self-hosted sing-box на VPS за границей — маловероятно. Но если сервер в РФ, ФСБ может запросить данные у хостинга. Также: если вы авторизуетесь в аккаунтах (Google, Telegram), ваша личность связывается с трафиком. VPN скрывает IP, но не поведение.
WireGuard или OpenVPN — что безопаснее?
WireGuard современнее: меньше кода, быстрее, поддерживает PFS. OpenVPN проверен временем, но медленнее и уязвим к fingerprinting. Однако WireGuard не маскируется под HTTPS — его легко блокируют через DPI. Поэтому в sing-box часто комбинируют WireGuard с obfs4 или оборачивают в VLESS.
Нужен ли мне kill switch в sing-box?
Да, но он реализуется через strict_route: true и auto_route: true. Это системный уровень: ядро ОС блокирует весь трафик, если TUN недоступен. Это надёжнее, чем kill switch в приложении, который может зависнуть.
Можно ли использовать sing-box для торрентов?
Да, но только если ваш VPS-провайдер разрешает P2P. Hetzner, OVH — запрещают. DigitalOcean — разрешает. Убедитесь, что в конфиге нет утечек IP и что вы не используете общедоступные серверы. И помните: торренты с копирайтом в РФ — уголовно наказуемы, даже через VPN.
Как проверить, что sing-box не пишет логи?
По умолчанию логи отключены. Убедитесь, что в секции log стоит "level": "warn" или "silent". Также проверьте, не включён ли packet_log в outbound'ах — это записывает сырые пакеты. В продакшене это должно быть false.
Вывод
sing-box как настроить — это не просто копипаст конфига из Telegram. Это осознанный выбор в пользу контроля над своим трафиком. Вы получаете максимальную гибкость: от обхода DPI Роскомнадзора до защиты в публичном Wi-Fi в кофейне у метро. Но эта свобода требует знаний. Не пропускайте этап тестирования утечек. Не используйте чужие серверы без понимания, кто за ними стоит. И помните: никакой VPN не спасёт от фишинга, слабых паролей или авторизации под реальным аккаунтом. Sing-box — инструмент. Как им воспользоваться — решать вам.
Helpful explanation of payment fees and limits. The sections are organized in a logical order. Overall, very useful.