sing box документация
sing-box документация
sing-box документация: технический разбор без прикрас
Почему «просто прочитать документацию» — плохая идея
sing-box документация — это не просто набор инструкций, а ключ к пониманию того, как работает один из самых гибких прокси-движков нового поколения. Но если вы откроете официальный репозиторий на GitHub и начнёте читать конфигурационные примеры, вас ждёт ловушка: там нет контекста угроз, реальных сценариев использования и предупреждений о том, что может пойти не так. Особенно в условиях, когда ваш интернет-провайдер — «Ростелеком», а Telegram периодически недоступен без обхода.
Эта статья не повторяет мануал. Мы разберём, как правильно использовать sing-box, чтобы не создать себе уязвимость вместо защиты. Рассмотрим шифрование, утечки, юрисдикции, DPI-обход и то, почему даже идеально настроенный клиент может подвести вас в публичной сети кофейни.
Что такое sing-box и зачем он вам (если вы не программист)
Sing-box — это универсальный прокси-платформа с открытым исходным кодом, написанная на Go. Он поддерживает десятки протоколов: Shadowsocks, VLESS, Trojan, WireGuard, SOCKS, HTTP, даже Tor через obfs4. В отличие от классических VPN-клиентов (OpenVPN, IKEv2), sing-box не навязывает один способ работы. Он — как конструктор: вы сами решаете, какой трафик и как шифровать, маршрутизировать и фильтровать.
Для рядового пользователя это означает:
- Возможность объединить несколько серверов в одну цепочку (fallback).
- Настройку split tunneling по доменам или IP-диапазонам.
- Обход DPI (глубокой инспекции пакетов) без сторонних утилит.
- Использование современных протоколов вроде VLESS+XTLS, которые почти не блокируются в РФ.
Но есть нюанс: гибкость = ответственность. Ошибка в конфигурации может привести к полной потере защиты.
Чего вам НЕ говорят в других гайдах
Большинство руководств по sing-box хвалят его скорость и поддержку протоколов. Мало кто предупреждает о скрытых рисках:
- Бесплатные конфиги — это троянские кони
В Telegram и на форумах часто делятся «рабочими конфигами» для sing-box. Проблема: такие файлы могут содержать DNS-серверы злоумышленника, который перехватит все ваши запросы. Например, dns.server: ["8.8.8.8"] заменяют на ["185.220.101.101"] — IP-адрес известного сборщика трафика. Проверяйте каждый параметр.
- Утечки WebRTC и IPv6 — реальны даже при включённом kill switch
Sing-box по умолчанию не блокирует WebRTC в браузере. Если вы используете Firefox или Chrome без дополнительных расширений, ваш реальный IP может просочиться через STUN-запросы. То же касается IPv6: если провайдер даёт вам IPv6-адрес (например, «МТС»), а в конфиге не отключён IPv6, трафик пойдёт в обход прокси.
- «No-log policy» — маркетинг, а не гарантия
Sing-box — клиент. Он сам по себе не ведёт логов. Но сервер, к которому вы подключаетесь, может записывать всё: время сессии, объём трафика, даже TLS SNI. Если этот сервер находится в стране «14 Eyes» (например, Германия или Франция), данные могут быть переданы спецслужбам по запросу. Юрисдикция важнее, чем протокол.
- Fake kill switch: переподключение ≠ защита
Многие считают, что если в конфиге указано "sniffing": true и "rules": [...], то при отвале соединения весь трафик остановится. Это миф. Sing-box не имеет встроенного сетевого фильтра на уровне ядра (как OpenVPN с iptables). При потере связи трафик может уйти напрямую — особенно на Windows и Android без дополнительных правил.
- Отсутствие независимых аудитов
На 2026 год ни один крупный аудитор (Cure53, Quarkslab) не проверял кодовую базу sing-box. Проект активно развивается, но содержит экспериментальные функции (например, XTLS Reality), которые теоретически могут иметь уязвимости. Доверяйте, но проверяйте.
Как не проиграть в скорости: выбор протокола под вашу задачу
Не все протоколы одинаково полезны. Вот сравнение по ключевым параметрам:
| Протокол | Шифрование | Скорость (на 100 Мбит/с) | Устойчивость к DPI | Поддержка в sing-box | Риск утечки |
|---|---|---|---|---|---|
| WireGuard | ChaCha20-Poly1305 | 95–98 Мбит/с | Средняя | Полная | Низкий (при правильной настройке) |
| VLESS + XTLS | AES-128-GCM | 90–95 Мбит/с | Высокая | Полная | Средний (зависит от сервера) |
| Trojan | TLS 1.3 | 85–90 Мбит/с | Очень высокая | Полная | Низкий (маскируется под HTTPS) |
| Shadowsocks | AES-256-GCM | 80–88 Мбит/с | Средняя | Полная | Средний (легко детектируется без obfs) |
| OpenVPN (TCP) | AES-256-CBC | 50–70 Мбит/с | Низкая | Через внешний клиент | Высокий (устаревший handshake) |
Примечание: WireGuard — самый быстрый, но легко блокируется по UDP-порту. VLESS и Trojan маскируются под обычный HTTPS-трафик, что критично в регионах с агрессивным DPI (включая Россию).
Три сценария, где sing-box спасает (и один — где подводит)
Сценарий 1: Журналист в командировке
Вы в отеле с Wi-Fi без пароля. Провайдер может перехватывать трафик.
Решение: Запустите sing-box с конфигом Trojan + TLS. Включите sniffing и правило domain: ["*"] → proxy. Отключите IPv6 в системе. Проверьте утечки на ipleak.net.
Сценарий 2: Айтишник на кофеварке в кафе
Нужен доступ к корпоративному GitLab и Jira, но не хотите, чтобы личный трафик шёл через прокси.
Решение: Используйте split tunneling:
"rules": [
{"domain": ["gitlab.corp", "jira.corp"], "outbound": "trojan-out"},
{"ip_cidr": ["10.0.0.0/8"], "outbound": "direct"}
]
Личные сайты (YouTube, ВКонтакте) пойдут напрямую — без замедления.
Сценарий 3: Обход блокировки YouTube
Провайдер «Ростелеком» блокирует по IP и SNI.
Решение: VLESS с XTLS Reality. Он использует легитимный TLS-сертификат (например, от Cloudflare), поэтому DPI видит обычное HTTPS-соединение. Реальный трафик идёт внутри него.
Сценарий 4: Торренты через sing-box — опасно!
Если вы используете торрент-клиент без bind-интерфейса, он может игнорировать системный прокси и слать трафик напрямую. Sing-box не перехватывает P2P-соединения автоматически.
Что делать: Настройте torrent-клиент на использование SOCKS5-прокси из sing-box или запустите его в network namespace с принудительным маршрутом через tun-интерфейс.
Как проверить, что всё работает: чек-лист без иллюзий
- Проверка DNS: Откройте browserleaks.com/dns. Убедитесь, что все DNS-запросы идут через ваш прокси-сервер.
- WebRTC: На том же сайте проверьте WebRTC leak. Если виден ваш реальный IP — установите расширение uBlock Origin с опцией «Prevent WebRTC from leaking local IP».
- IPv6: Отключите IPv6 в настройках ОС или добавьте в конфиг sing-box правило
"ip_version": 4. - Kill switch: Отключите Wi-Fi на 10 секунд. Попробуйте открыть сайт. Если страница загружается — у вас утечка.
- Сертификаты: Для Trojan/VLESS убедитесь, что
server_nameсовпадает с CN сертификата. Иначе возможна MITM-атака.
Бесплатный VPN vs. sing-box: почему «даром» дороже
Стоимость аренды одного сервера в Европе — от $5/мес. Бесплатные сервисы компенсируют расходы:
- Продажей вашего трафика рекламным сетям.
- Внедрением скриптов для майнинга.
- Использованием вашего устройства как ретранслятора (как Hola VPN в 2019 году).
Sing-box бесплатен, но требует своего сервера. Минимальная стоимость: VPS за 300 руб./мес (Hetzner, Contabo). Это в 10 раз дешевле подписки на коммерческий VPN, но даёт полный контроль.
Вывод
sing-box документация — отправная точка, а не конечная цель. Чтобы получить реальную защиту, нужно понимать не только синтаксис JSON-конфигов, но и угрозы информационной безопасности в вашем регионе. В России это DPI, блокировки по SNI, обязательное хранение метаданных у провайдеров и риск утечек через IPv6/WebRTC.
Используйте sing-box как инструмент, а не волшебную таблетку. Тестируйте каждую настройку, проверяйте утечки, выбирайте серверы вне юрисдикции «14 Eyes». Только так вы получите не просто рабочее соединение, а действительно защищённый канал.
VPN замедляет интернет на сколько реально?
Зависит от протокола и расстояния до сервера. WireGuard добавляет 3–8 мс пинг и снижает скорость на 2–5%. VLESS/Trojan — 5–15 мс и 5–10% потерь. OpenVPN по TCP — до 50% потерь на высоких скоростях из-за overhead и lack of parallelism.
Меня найдёт спецслужба при использовании VPN?
Если вы используете коммерческий VPN без аудита и зарегистрированного no-log policy — да, по запросу суда. Если вы управляете своим сервером (например, через sing-box) и не оставляете цифровых следов (логины, платежи), шансы стремятся к нулю. Но помните: поведенческая аналитика (время онлайн, паттерны трафика) тоже может идентифицировать вас.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: современная криптография (Noise protocol framework), perfect forward secrecy по умолчанию, минимальный attack surface (4000 строк кода против 100 000 у OpenVPN). OpenVPN уязвим к атакам на handshake и требует ручной настройки PFS.
Можно ли использовать sing-box на роутере Keenetic?
Да, но только через Entware. Установите пакет `sing-box`, загрузите конфиг в `/opt/etc/sing-box/config.json`, запустите как демон. Важно: отключите UPnP и включите строгий firewall, иначе при перезагрузке трафик пойдёт напрямую.
Что такое DPI и как sing-box его обходит?
DPI (Deep Packet Inspection) — анализ содержимого пакетов для блокировки трафика. Sing-box обходит его, маскируя трафик под легитимный (HTTPS, DNS, QUIC). Протоколы вроде Trojan используют настоящий TLS, поэтому DPI видит обычное соединение с google.com или cloudflare.com.
Нужен ли мне kill switch в sing-box?
Sing-box не имеет встроенного kill switch на уровне ОС. Вы должны реализовать его самостоятельно: через iptables (Linux), Windows Firewall (через PowerShell), или network namespaces. Без этого при обрыве соединения трафик уйдёт в открытый интернет.
This is a useful reference; the section on withdrawal timeframes is clear. The structure helps you find answers quickly. Clear and practical.