sing box настройка
sing-box настройка
Sing-box: как настроить без ошибок и утечек
Подробный гайд по sing-box настройка — защитите трафик от провайдера и обходите блокировки. Пошагово для новичков и профи.
sing-box настройка — это не просто установка очередного прокси-инструмента. Это создание собственного защищённого канала связи с возможностью тонкой настройки маршрутизации, шифрования и обхода DPI. В отличие от типовых VPN-клиентов, sing-box даёт контроль над каждым пакетом, но требует понимания принципов работы современных протоколов и угроз информационной безопасности. Эта статья покажет, как правильно настроить sing-box в 2026 году, избежать скрытых рисков и использовать его по назначению — без ложного чувства безопасности.
Почему «просто поставить» — хуже, чем ничего
Многие пользователи скачивают конфигурации с Telegram-каналов или GitHub, запускают их через TUN/TAP и считают себя в безопасности. На деле такие действия часто приводят к:
- Утечкам DNS через системный резолвер;
- Отсутствию защиты от WebRTC;
- Подмене трафика при переподключении (fallback на чистый канал);
- Использованию устаревших или поддельных сертификатов;
- Неправильной маршрутизации локальных сетей (192.168.0.0/16), что делает устройство уязвимым внутри домашней сети.
Sing-box — мощный инструмент, но он не заменяет знаний. Без правильной sing-box настройка вы получаете лишь иллюзию приватности.
Чего вам НЕ говорят в других гайдах
Большинство руководств молчат о реальных угрозах, связанных с неправильным использованием open-source прокси-стеков. Вот что скрывают:
Бесплатные конфиги = продажа вашего трафика
Конфигурации «бесплатных серверов» в Telegram часто принадлежат операторам, которые:
- Логируют IP-адреса и временные метки подключений;
- Продают анонимизированные данные маркетологам;
- Используют ваш трафик для DDoS-атак (например, Hola Luminati).
Стоимость аренды одного VPS с 1 ТБ трафика — от $5/мес. Если сервис «бесплатный», вы — товар.
Fake kill switch
Некоторые клиенты имитируют функцию «аварийного отключения», но на деле:
- Не блокируют весь трафик при падении соединения;
- Оставляют открытыми порты для локальных приложений (например, торрент-клиентов);
- Не работают при переходе между Wi-Fi и мобильной сетью.
В sing-box kill switch реализуется через правила outbound и routing, но требует явного указания block в fallback-сценариях.
Юрисдикция и «no-log policy»
Даже если вы разворачиваете свой сервер, важно, где он физически расположен. Сервер в Германии подпадает под соглашения 14 Eyes. При запросе от правоохранительных органов хостинг может передать:
- Время подключения;
- Объём переданных данных;
- Исходный IP (если не используется дополнительный прокси).
«No-log» — маркетинговый термин, если нет независимого аудита (например, от Cure53).
Подделка DNS-over-HTTPS (DoH)
Некоторые конфиги используют DoH через публичные резолверы (Cloudflare, Google). Это лучше, чем провайдерский DNS, но:
- Cloudflare сохраняет запросы 24 часа;
- Google связывает их с вашим аккаунтом, если вы вошли в браузер.
Лучше использовать локальный DoH-прокси (например, dnsproxy) или доверенный резолвер вроде Quad9 (9.9.9.9) с политикой zero-log.
Утечки через IPv6
Если ваш провайдер (например, Ростелеком или МТС) раздаёт IPv6, а в конфиге sing-box не отключён стек IPv6 — трафик пойдёт напрямую, минуя туннель. Это частая причина утечек на устройствах с Android 12+ и Windows 11.
Как работает sing-box: не просто прокси, а маршрутизатор уровня ядра
Sing-box — это универсальный прокси-платформа с поддержкой:
- WireGuard (быстрый, современный, с perfect forward secrecy);
- Shadowsocks (обход DPI через шифрование на прикладном уровне);
- Trojan (маскировка под HTTPS-трафик);
- VMess/VLESS (протоколы от проекта V2Ray);
- HTTP/HTTPS/SOCKS (классические прокси);
- DNS-over-HTTPS/TLS/QUIC (защита от сниффинга имён доменов).
Главное преимущество — гибкая система маршрутизации. Вы можете:
- Отправлять торрент-трафик через один сервер;
- Банковские приложения — напрямую (split tunneling);
- Заблокированные сайты (например, YouTube при локальных ограничениях) — через Shadowsocks с obfs4;
- Все остальное — через WireGuard с шифрованием ChaCha20-Poly1305.
Это невозможно в большинстве коммерческих VPN.
Пошаговая sing-box настройка: от нуля до защиты
Шаг 1. Установка
Для Linux/macOS:
curl -fsSL https://sing-box.app/gpg.key | sudo gpg --dearmor -o /usr/share/keyrings/sagernet-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/sagernet-archive-keyring.gpg] https://deb.sagernet.org/ * *" | sudo tee /etc/apt/sources.list.d/sagernet.list
sudo apt update && sudo apt install sing-box
Для Windows — скачайте .exe с официального GitHub.
Шаг 2. Базовый конфиг (WireGuard + DNS)
Пример минимального config.json:
{
"log": { "level": "warn" },
"dns": {
"servers": [
{
"address": "tls://9.9.9.9",
"strategy": "ipv4_only"
}
],
"rules": [
{ "domain_suffix": ["youtube.com", "googlevideo.com"], "server": "remote-dns" }
]
},
"inbounds": [{ "type": "tun", "tag": "tun-in", "inet4_address": "172.19.0.1/30" }],
"outbounds": [
{
"type": "wireguard",
"tag": "wg-out",
"server": "your-vps.example.com",
"server_port": 51820,
"private_key": "YOUR_PRIVATE_KEY",
"peer_public_key": "SERVER_PUBLIC_KEY",
"reserved": [123, 45, 67],
"mtu": 1320
},
{ "type": "direct", "tag": "direct" },
{ "type": "block", "tag": "block" }
],
"route": {
"rules": [
{ "ip_is_private": true, "outbound": "direct" },
{ "domain_keyword": ["bank", "gosuslugi"], "outbound": "direct" },
{ "network": "udp,tcp", "outbound": "wg-out" }
],
"final": "wg-out"
}
}
Ключевые моменты:
- ip_is_private: true → трафик в локальную сеть (роутер, NAS) идёт напрямую;
- domain_keyword → банковские и госсайты не проксируются (важно для двухфакторной аутентификации);
- mtu: 1320 — оптимально для мобильных сетей и OpenVZ-контейнеров;
- reserved — помогает обходить простые DPI-фильтры.
Шаг 3. Защита от утечек
Проверьте утечки:
1. Зайдите на ipleak.net — должен отображаться только IP вашего сервера.
2. На browserleaks.com/webrtc — WebRTC должен быть отключён или маскирован.
3. Выполните nslookup google.com в терминале — ответ должен приходить от 9.9.9.9, а не от dhcp.rtt.ru.
Если видите свой реальный IP или DNS провайдера — конфиг неполный.
Шаг 4. Split tunneling по приложениям (Android/iOS)
На мобильных устройствах используйте Per-App Tunnel:
- Включите «Разрешить только выбранные приложения»;
- Добавьте Telegram, YouTube, торрент-клиенты;
- Исключите СберБанк Онлайн, Госуслуги, Яндекс.Еда.
Это снижает задержку в локальных сервисах и повышает безопасность.
Сравнение: самодельный sing-box vs коммерческие VPN
| Критерий | Самостоятельный sing-box | NordVPN | ProtonVPN | Hola Free | Windscribe |
|---|---|---|---|---|---|
| Юрисдикция | Любая (вы выбираете VPS) | Панама | Швейцария | Израиль | Канада |
| Политика логов | Зависит от вас | No logs (аудит 2023) | No logs (аудит Quarkslab) | Логирует всё | Частичные логи |
| Поддержка WireGuard | Да | Да | Да | Нет | Да |
| Обход DPI (Роскомнадзор) | Через Shadowsocks/Trojan | Obfuscation | Нет | Нет | Нет |
| Цена (в месяц) | От 250 ₽ ($3) | 790 ₽ | 650 ₽ | Бесплатно | 400 ₽ (лимит 10 ГБ) |
| Реальная скорость (на 100 Мбит/с) | 92–97 Мбит/с | 70–85 | 75–88 | 5–15 | 60–78 |
Вывод: если вам нужен обход блокировок в РФ и полный контроль — sing-box вне конкуренции. Для простоты — коммерческие решения.
Сценарии использования в реальных условиях (RU)
- Журналист в командировке
Подключается к Wi-Fi в аэропорту Домодедово. Без защиты:
- Провайдер аэропорта логирует все HTTP-запросы;
- MITM-атака через поддельный сертификат.
С sing-box:
- Весь трафик шифруется через WireGuard;
- DNS — через Quad9 с DoT;
- Локальные ресурсы (например, внутренний портал авиакомпании) доступны напрямую.
- Айтишник в кофейне
Использует публичный Wi-Fi в «Кофемании». Без защиты:
- Соседи в сети могут сниффить пароли от GitHub;
- WebRTC раскрывает реальный IP даже в Tor Browser.
С split tunneling:
- GitHub, Slack, Jira — через зашифрованный туннель;
- Spotify и карты — напрямую (экономия трафика и пинга).
- Пользователь торрентов
Раздаёт Linux-дистрибутивы. Без защиты:
- Провайдер (МТС, Билайн) отправляет предупреждения;
- IP попадает в базы правообладателей.
С sing-box:
- Только торрент-клиент идёт через отдельный outbound с другим сервером;
- Kill switch блокирует весь трафик при отвале;
- IPv6 отключён на уровне системы.
- Обход блокировки Telegram (при локальных ограничениях)
Использует Trojan поверх TLS:
- Трафик выглядит как обычный HTTPS к cloudflare.com;
- DPI не может определить протокол;
- Задержка — +12 мс.
FAQ
VPN замедляет интернет на сколько реально?
Зависит от протокола и расположения сервера. WireGuard в sing-box добавляет 3–8 мс пинга и снижает скорость на 3–8% при хорошем канале. Shadowsocks — до 15% из-за шифрования AES-GCM. Если потеря больше 30% — проблема в сервере или DPI.
Меня найдёт спецслужба при использовании VPN?
Если вы используете свой VPS в юрисдикции 14 Eyes и не применяете дополнительную анонимизацию (Tor, временные аккаунты), — да. При наличии судебного запроса хостинг передаст IP и время подключения. Для максимальной защиты используйте оплату криптовалютой и серверы в Швейцарии или Исландии.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (30 тыс. строк против 100 тыс. у OpenVPN), современные криптоалгоритмы (ChaCha20, Poly1305), perfect forward secrecy по умолчанию. OpenVPN уязвим к атакам через слабые DH-параметры и утечкам через IPv6.
Как проверить, работает ли kill switch в sing-box?
Отключите интернет на 10 секунд. Запустите ping 8.8.8.8. Если пакеты уходят — kill switch не настроен. Правильная конфигурация должна иметь "final": "block" в разделе route при отсутствии активного outbound.
Можно ли использовать sing-box для обхода блокировок в России?
Да, но только с протоколами, маскирующими трафик под легитимный HTTPS: Trojan, Shadowsocks с obfs4, VLESS+XTLS. Чистый WireGuard легко блокируется по порту и сигнатуре. Также рекомендуется менять порт на 443/TCP.
Нужно ли отключать IPv6 при использовании sing-box?
Обязательно, если в конфиге нет правил для IPv6. Иначе часть трафика (особенно в новых ОС) пойдёт напрямую. В Linux: sysctl -w net.ipv6.conf.all.disable_ipv6=1. В Windows — отключите «Internet Protocol Version 6 (TCP/IPv6)» в свойствах адаптера.
Вывод
sing-box настройка — это не однократное действие, а процесс постоянной адаптации под угрозы и задачи. Инструмент даёт невероятную гибкость: от обхода DPI до корпоративного split tunneling. Но эта свобода требует ответственности. Неправильно настроенный sing-box опаснее отсутствия защиты — он создаёт ложное ощущение безопасности. Проверяйте утечки, обновляйте конфиги, избегайте «бесплатных» серверов и всегда помните: шифрование — лишь часть защиты. Настоящая безопасность начинается с осознанного выбора протоколов, юрисдикции и поведения в сети.
Good reminder about slot RTP and volatility. The sections are organized in a logical order.