конфигурация формата sing box

конфигурация формата sing-box

Конфигурация формата sing-box: как не утонуть в настройках

конфигурация формата sing-box — это не просто JSON-файл с кучей параметров. Это точка входа в мир гибкой маршрутизации трафика, где один неверный ключ может превратить ваш «анонимный» туннель в прозрачную трубу для провайдера или даже третьих лиц. В России, где с 2022 года усилилась фильтрация контента и растёт число DPI-систем у операторов (Ростелеком, МТС), правильная конфигурация становится вопросом не удобства, а реальной информационной безопасности.

Почему ваш текущий VPN — иллюзия защиты?

Большинство пользователей считают, что установили приложение → нажали «Подключиться» → всё зашифровано. Это опасное заблуждение. Даже платные сервисы могут:

• Логировать DNS-запросы под предлогом «технического обслуживания»;
• Не блокировать WebRTC-утечки, из-за чего браузер выдаёт ваш реальный IP;
• Использовать устаревшие шифры (например, AES-128-CBC вместо AES-256-GCM);
• Отсутствие kill switch — при обрыве соединения весь трафик идёт напрямую через провайдера.

Всё это особенно критично в публичных Wi-Fi сетях (кофейни, аэропорты), где любой злоумышленник может перехватить незащищённые пакеты. А если вы качаете торренты — ваш IP виден всем участникам раздачи, даже если основной канал «вроде бы» защищён.

Что такое sing-box и зачем он нужен?

Sing-box — это универсальный прокси-платформа с открытым исходным кодом, поддерживающая десятки протоколов: Shadowsocks, VLESS, Trojan, WireGuard, SOCKS, HTTP и другие. В отличие от классических VPN-клиентов, он не привязан к одному провайдеру. Вы сами собираете цепочку подключения: например, трафик → Shadowsocks (обход DPI) → WireGuard (шифрование) → интернет.

Это даёт максимальный контроль, но требует понимания структуры конфигурации. Ошибки здесь не прощают: неправильно указанный outbound может отправить трафик мимо туннеля, а отсутствие sniffing приведёт к утечке SNI в открытом виде.

Чего вам НЕ говорят в других гайдах

Большинство инструкций в рунете сводятся к: «скопируйте этот config.json и запустите». Но никто не предупреждает:

1. Бесплатные конфиги = продажа вашего трафика. Многие сайты раздают «бесплатные» серверы sing-box. На деле — это прокси-ботнеты. Ваш трафик анализируется, пароли перехватываются, а устройство используется для DDoS.
2. Fake-kill switch. Некоторые клиенты эмулируют функцию «автоматического отключения», но на уровне ОС она не работает. При перезагрузке или сбое сети трафик сразу идёт в обход.
3. Юрисдикция 14 Eyes. Даже если сервер физически в Германии, владелец может быть зарегистрирован в США или Великобритании. По запросу спецслужб он обязан выдать логи — даже если заявляет «no logs».
4. Отсутствие независимых аудитов. WireGuard прошёл проверку Cure53. А большинство проприетарных протоколов в sing-box (например, VLESS) — нет. Их безопасность основана на «security through obscurity».
5. DNS-over-HTTPS ≠ полная защита. Если в конфиге не указан fakeip или domain_strategy, часть запросов может уходить напрямую к DNS провайдера (например, 77.88.8.8 у Яндекса).

Разбор структуры конфигурации: что критично для безопасности

Конфигурация формата sing-box строится по принципу inbound → route → outbound. Вот ключевые блоки, которые нельзя оставлять по умолчанию:

log

"log": {
  "level": "error",
  "output": "/var/log/sing-box.log"
}

Никогда не ставьте level: "debug" в продакшене. Логи могут содержать доменные имена, IP и даже части payload.

dns

"dns": {
  "servers": ["https://dns.google/dns-query"],
  "strategy": "ipv4_only",
  "disable_cache": false,
  "fakeip": {
    "enabled": true,
    "inet4_range": "198.18.0.0/15"
  }
}

fakeip маскирует реальные IP-адреса сайтов, предотвращая утечки через DNS. Без него даже при использовании DoH ваш провайдер видит, какие ресурсы вы открываете.

inbounds

"inbounds": [
  {
    "type": "tun",
    "address": ["172.19.0.1/30"],
    "auto_route": true,
    "strict_route": true,
    "sniff": true,
    "sniff_override_destination": true
  }
]

sniff_override_destination перехватывает SNI из TLS-запросов и направляет их по правилам маршрутизации. Без этого YouTube может идти напрямую, даже если вы настроили обход.

outbounds
Здесь указываются цепочки подключения. Пример безопасного WireGuard:

{
  "type": "wireguard",
  "server": "185.123.xx.xx",
  "server_port": 51820,
  "local_address": ["10.66.66.2/32"],
  "private_key": "AIl...",
  "peer_public_key": "Rd...",
  "mtu": 1420,
  "reserved": [0, 0, 0],
  "workers": 4
}

Обратите внимание на mtu: 1420 — стандартное значение для UDP-туннелей. Завышенный MTU вызывает фрагментацию и снижает скорость.

Сравнение: готовый VPN против самописной конфигурации sing-box

Как проверить, что ваша конфигурация работает?

1. Проверка IP: зайдите на ipleak.net. Должен отображаться только IP удалённого сервера.
2. DNS-утечки: тот же сайт покажет, какие DNS-серверы используются. Если видите 77.88.8.8 или 8.8.8.8 — утечка.
3. WebRTC: откройте browserleaks.com/webrtc. Реальный IP не должен появляться.
4. SNI-утечки: используйте Wireshark или tcpdump. В пакетах не должно быть открытых имён доменов.
5. Kill switch: отключите интернет на 10 секунд. После восстановления соединения трафик не должен идти напрямую — проверяйте через curl ifconfig.me.

На Windows можно добавить правило в брандмауэр:

New-NetFirewallRule -DisplayName "Block non-VPN" -Direction Outbound -InterfaceType Any -Action Block

А затем разрешить только трафик через интерфейс TUN.

Сценарии использования в условиях РФ

Журналист в командировке
Нужно скрыть источники и избежать слежки. Использует цепочку: Tor → sing-box (Shadowsocks + fake TLS) → сервер в Германии. В конфиге включён strict_route и fakeip, чтобы даже локальный провайдер не видел посещаемые домены.

IT-специалист в кафе
Подключается к корпоративной сети через WireGuard в sing-box. Все запросы к внутренним ресурсам (*.corp.local) идут напрямую, остальное — через туннель (split tunneling). Это экономит трафик и ускоряет работу.

Пользователь торрентов
Использует отдельный outbound с domain_strategy: "force_ipv4" и mtu: 1300, чтобы избежать фрагментации UDP-пакетов. DNS настроен на https://cloudflare-dns.com/dns-query с отключённым кэшем.

Обход блокировки Telegram
Операторы Ростелеком и МТС блокируют IP Telegram через DPI. Sing-box с протоколом Hysteria + TLS-fingerprinting обходит фильтрацию, так как трафик выглядит как обычный HTTPS к Cloudflare.

Распространённые ошибки в конфигурации

• Отсутствие auto_route → трафик не перенаправляется в TUN-интерфейс.
• Неправильный routing_domain_strategy → домены разрешаются локально, а не через туннель.
• Использование insecure: true в TLS → отключает проверку сертификатов, открывая путь для MITM.
• Пропущенный geosite или geoip → правила маршрутизации не применяются к российским сайтам, и они идут напрямую.
• Хранение приватного ключа в открытом доступе — особенно на GitHub. Даже в приватном репозитории это риск.

VPN замедляет интернет на сколько реально?

Зависит от протокола и расстояния до сервера. WireGuard добавляет 3–8 мс пинг и сохраняет 95–98% скорости канала. OpenVPN — 15–30 мс и 70–85%. Shadowsocks — почти без потерь, но только при обходе DPI.

Меня найдёт спецслужба при использовании VPN?

Если вы используете легальный коммерческий VPN с no-logs и юрисдикцией вне 14 Eyes — маловероятно. Но если сервер арендован на имя или через SMS-активацию в РФ — да, по запросу Роскомнадзора или ФСБ данные могут быть переданы. Sing-box с самописной конфигурацией не даёт гарантий — всё зависит от владельца сервера.

🛠️Инструмент для работы

WireGuard или OpenVPN — что безопаснее?

WireGuard безопаснее: меньше кода (4 000 строк против 100 000 у OpenVPN), современные криптопримитивы (Curve25519, ChaCha20, Poly1305), perfect forward secrecy по умолчанию. OpenVPN уязвим к атакам типа Heartbleed (если используется OpenSSL) и медленнее на мобильных устройствах.

Нужен ли мне kill switch, если я использую sing-box?

Да. Sing-box сам по себе не блокирует прямой трафик при отвале. Нужно настраивать на уровне ОС: в Linux — через nftables, в Windows — через брандмауэр, в Android — через ADB или root-правила.

Можно ли использовать sing-box бесплатно?

Можно, но крайне рискованно. Бесплатные серверы часто принадлежат мошенникам. Они внедряют рекламу, крадут куки, продают трафик. Аренда минимального VPS (1 CPU, 512 МБ RAM) стоит от $3/мес (~280 ₽). Это цена за базовую безопасность.

🔐Защити свои данные

Что делать, если после настройки sing-box пропал интернет?

Скорее всего, не сработал маршрут или TUN-интерфейс не поднялся. Проверьте: 1) права на /dev/net/tun, 2) включён ли IP forwarding в ядре, 3) нет ли конфликта с другими VPN-клиентами. В логах будет ошибка типа "permission denied" или "route add failed".

Вывод

Конфигурация формата sing-box — это мощный, но острый инструмент. Он даёт контроль, которого нет у коммерческих VPN, но требует глубокого понимания сетевой безопасности. В условиях российской реальности (DPI, блокировки, требования к хранению данных) он может стать эффективным средством обхода цензуры и защиты от перехвата в публичных сетях. Однако без правильной настройки dns, fakeip, sniffing и routing вы получите не анонимность, а иллюзию защиты. Помните: безопасность — это не одна строчка в конфиге, а система мер. И конфигурация формата sing-box — лишь её часть.