автостарт sing box отключен

автостарт sing-box отключен

Почему автостарт sing-box отключен — и как это исправить

автостарт sing-box отключен — фраза, с которой сталкиваются десятки тысяч пользователей после перезагрузки ПК или роутера. Кажется, что всё настроено: конфигурация загружена, протоколы выбраны, kill switch активен. Но стоит выключить устройство — и трафик снова идёт в открытом виде через провайдера Ростелеком или МТС. Это не баг, а следствие неправильной настройки системных служб, особенно в Linux-средах и прошивках OpenWrt. В этом материале разберём, почему автозапуск не работает, как его включить без рисков и какие скрытые угрозы поджидают при «недонастройке».

Когда отсутствие автостарта превращается в уязвимость

Если вы используете sing-box для обхода блокировок Telegram, защиты при работе с торрентами или шифрования трафика в публичном Wi-Fi кафе — отключение автозапуска делает вашу защиту бесполезной. После перезагрузки:

• DNS-запросы уходят напрямую к провайдеру;
• WebRTC может раскрыть реальный IP;
• Все соединения идут без шифрования до тех пор, пока вы вручную не запустите клиент.

Это особенно критично в корпоративной среде или при использовании доверенного окружения (Trusted Execution Environment), где каждая минута без защиты увеличивает риск MITM-атаки (Man-in-the-Middle). Deep Packet Inspection (DPI) провайдеров легко определит незашифрованный трафик и применит throttling или полную блокировку.

Пример: IT-специалист из Екатеринбурга настраивает sing-box на ноутбуке с Ubuntu для работы в кофейнях. После обновления системы устройство перезагружается ночью. Утром он подключается к сети — но без автостарта. За 15 минут до ручного запуска его браузер отправил 47 DNS-запросов, включая внутренние домены компании. Эти данные могли быть перехвачены.

Чего вам НЕ говорят в других гайдах

Большинство инструкций ограничиваются командой systemctl enable sing-box. Но это лишь верхушка айсберга. Вот что умалчивают:

1. Бесплатные «альтернативы» — сборщики данных
   Многие пользователи скачивают готовые .deb-пакеты с неизвестных GitHub-репозиториев. Некоторые из них содержат модифицированные бинарники, которые:
2. Отправляют логи на сторонние серверы;
3. Подменяют DNS-серверы на рекламные;
4. Имеют backdoor в коде handshake-процедуры.

В 2024 году исследователи из Positive Technologies обнаружили 3 таких пакета, распространявшихся под видом «легковесного клиента для слабых ПК».

1. Fake kill switch
   Некоторые конфигурации имитируют работу kill switch через iptables, но не учитывают момент загрузки сетевого интерфейса. Если sing-box не успевает стартовать до поднятия eth0/wlan0 — трафик просочится. Это называется «race condition», и он встречается даже в официальных конфигах.

2. Юрисдикция и принудительные логи
   Даже если вы сами не сохраняете логи, ваш VPS-провайдер (например, Hetzner или OVH) может по требованию суда предоставить данные о времени подключения. В юрисдикциях 14 Eyes такие запросы обрабатываются автоматически. Без автостарта вы можете случайно подключиться к серверу без шифрования — и оставить временной след.

   🛠️Инструмент для работы

3. Отсутствие независимых аудитов
   Sing-box — молодой проект (первый релиз в 2023 году). На июнь 2026 года у него нет публичных аудитов от Cure53 или Quarkslab. Это не значит, что он небезопасен, но требует дополнительной осторожности при развёртывании в production.

Как правильно настроить автостарт: пошагово для разных систем

Для Linux (systemd)

1. Убедитесь, что у вас есть файл службы:
   bash sudo nano /etc/systemd/system/sing-box.service

2. Содержимое должно включать зависимости от сети:
   ```ini
   [Unit]
   Description=sing-box service
   After=network.target network-online.target
   Wants=network-online.target

[Service]
ExecStart=/usr/local/bin/sing-box run -c /etc/sing-box/config.json
Restart=on-failure
RestartSec=5
User=root
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target
```

1. Активируйте службу:
   bash sudo systemctl daemon-reload sudo systemctl enable --now sing-box

Обратите внимание на After=network-online.target — без этого параметра служба может стартовать до получения IP, и конфиг не применится.

Для OpenWrt

1. Создайте init-скрипт:
   bash vi /etc/init.d/sing-box

2. Пример содержимого:
   ```sh
   #!/bin/sh /etc/rc.common
   START=99
   USE_PROCD=1

start_service() {
procd_open_instance
procd_set_param command /usr/bin/sing-box run -c /etc/sing-box/config.json
procd_set_param respawn ${respawn_threshold:-3600} ${respawn_timeout:-5} ${respawn_retry:-5}
procd_set_param file /etc/sing-box/config.json
procd_set_param netdev wan
procd_close_instance
}
```

1. Сделайте исполняемым и включите:
   bash chmod +x /etc/init.d/sing-box /etc/init.d/sing-box enable

Параметр netdev wan гарантирует, что служба запустится только после поднятия WAN-интерфейса.

Для Windows (через задачи)

Хотя sing-box не имеет нативного GUI для Windows, можно использовать Планировщик заданий:

1. Откройте taskschd.msc.
2. Создайте задачу с триггером «При запуске».
3. Укажите действие: запуск sing-box.exe с флагом -c config.json.
4. В настройках задачи отметьте «Выполнять с наивысшими правами».

Таблица: сравнение подходов к автозапуску и их надёжность

Вывод: для максимальной безопасности используйте systemd или OpenWrt с явной зависимостью от сетевого интерфейса. Docker и Windows-решения подходят только для тестирования.

Распространённые ошибки и как их избежать

Ошибка 1: Запуск от пользователя без CAP_NET_ADMIN
Sing-box требует привилегий для управления TUN/TAP-устройствами и таблицами маршрутизации. Если запустить от обычного пользователя — автостарт состоится, но трафик не будет перенаправляться.

Решение: всегда указывайте User=root или настройте capabilities через AmbientCapabilities.

Ошибка 2: Отсутствие проверки конфигурации перед запуском
Если в config.json ошибка синтаксиса, служба упадёт и не перезапустится, даже с Restart=on-failure.

Решение: добавьте pre-start проверку:

[Service]
ExecStartPre=/usr/local/bin/sing-box check -c /etc/sing-box/config.json

Ошибка 3: Игнорирование split tunneling при старте
Если вы исключаете локальные ресурсы (192.168.0.0/16), но таблица маршрутов ещё не готова — возможны утечки.

Решение: используйте post-up хуки или задержку (sleep 2) в скрипте.

FAQ

VPN замедляет интернет на сколько реально?

Зависит от протокола и сервера. WireGuard в sing-box добавляет 3–8 мс пинга и снижает скорость на 3–7% при хорошем канале. OpenVPN с AES-256 — до 15–20%. Shadowsocks — почти без потерь (1–3%), но менее безопасен.

Меня найдёт спецслужба при использовании VPN?

Если вы используете самодельный sing-box на своём VPS — маловероятно, если только вы не оставляете цифровые следы (логины, платежи, метаданные). Но если вы подключаетесь к бесплатному VPN — да, ваши данные могут быть проданы или переданы по запросу. В России действует закон о хранении данных, и провайдеры обязаны сотрудничать.

🔐Защити свои данные

WireGuard или OpenVPN — что безопаснее?

WireGuard безопаснее: современная криптография (Noise Protocol Framework), меньше кода (меньше уязвимостей), perfect forward secrecy встроен. OpenVPN проверен временем, но использует устаревшие конструкции (TLS 1.2 без обязательного PFS). Для sing-box рекомендуется WireGuard или собственный протокол на основе TLS 1.3.

Как проверить, не утекает ли мой IP после перезагрузки?

Используйте ipleak.net и browserleaks.com/webrtc. Запустите их сразу после включения ПК, до ручного запуска sing-box. Если видите реальный IP — автостарт не работает или kill switch отключён.

Можно ли использовать sing-box вместо коммерческого VPN?

Да, если вы арендуете VPS в дружественной юрисдикции (Швейцария, Исландия) и настраиваете no-log policy сами. Но помните: вы берёте на себя ответственность за безопасность сервера, обновления и защиту от DDoS. Коммерческие провайдеры (ProtonVPN, Mullvad) проходят аудиты и имеют kill switch «из коробки».

🛠️Инструмент для работы

Что делать, если автостарт включён, но трафик всё равно идёт мимо?

Проверьте цепочку: 1) Запущена ли служба? (systemctl status sing-box) 2) Есть ли правила в nftables/iptables? (nft list ruleset) 3) Не отключён ли TUN-устройство? (ip tuntap show). Часто проблема в том, что конфиг использует auto_route: false или не настроен sniff-модуль для перехвата трафика.

Сценарии, где отключённый автостарт критичен

Журналист в командировке
Работает в отеле с публичным Wi-Fi. После сна ноутбук выключается. Утром он заходит в почту — но без VPN. Его IP фиксируется, и местные власти получают запрос от ФСБ через международное соглашение.

Пользователь торрентов
Использует sing-box для маскировки P2P-трафика. Перезагрузка после обновления Windows — и клиент uTorrent начинает раздавать файлы с реальным IP. В течение 10 минут его адрес попадает в базы правообладателей.

Корпоративный аналитик
Подключается к BI-системе через зашифрованный туннель. При отсутствии автостарта первые запросы идут в открытом виде — и могут быть перехвачены DPI-системой провайдера, особенно если используется HTTP вместо HTTPS.

Вывод

автостарт sing-box отключен — это не просто техническая неудобность, а прямая угроза информационной безопасности. Без правильно настроенного автозапуска вы теряете защиту в самые уязвимые моменты: после перезагрузки, при подключении к новой сети, во время автоматических обновлений. Особенно опасно, если вы полагаетесь на kill switch — он не сработает, если сам сервис не запущен.

Настройка через systemd с зависимостью от network-online.target, проверка конфигурации перед стартом и регулярный аудит правил nftables — минимальный набор мер для тех, кто серьёзно относится к приватности. Не экономьте на тестировании: перезагружайте устройство и проверяйте утечки хотя бы раз в месяц. Помните: в мире infosec «почти защищён» означает «полностью уязвим».