zapret linux как установить
zapret linux как установить
Как установить zapret на Linux: полный гайд без прикрас
zapret linux как установить — именно так начинается путь к обходу блокировок и защите трафика в условиях российской цензуры. Но большинство гайдов умалчивают о том, что «zapret» — это не просто софт, а целая экосистема решений против DPI (Deep Packet Inspection), которую можно и нужно настраивать правильно. В этой статье разберём всё: от выбора протокола до защиты от утечек DNS и WebRTC, реальных рисков бесплатных VPN и юридических нюансов использования таких инструментов в РФ.
Почему обычный OpenVPN уже не спасает
Провайдеры в России («Ростелеком», «МТС», «Билайн») активно используют DPI для фильтрации трафика с 2019 года. Простой OpenVPN-туннель на порту 443 больше не проходит — его легко распознать по сигнатурам TLS handshake и статичной структуре пакетов. Даже если вы используете tls-crypt, это лишь замедляет, но не останавливает блокировку.
Zapret — это open-source проект, созданный российским разработчиком ValdikSS, который решает проблему на уровне сетевого стека. Он маскирует ваш трафик под легитимный HTTPS или даже под обычный веб-трафик с помощью:
- obfs4proxy (из Tor),
- wstunnel (WebSocket-обёртка),
- goodbyeDPI (локальный фильтр на уровне TUN/TAP),
- raw-socket обфускации (для обхода stateful DPI).
В отличие от коммерческих VPN, zapret работает локально: вы сами контролируете весь стек, нет зависимости от серверов провайдера, и вы точно знаете, что логируется (а точнее — ничего).
Чего вам НЕ говорят в других гайдах
Большинство инструкций в Сети сводятся к «клонируй репозиторий и запусти скрипт». Это опасно. Вот что упускают:
- Бесплатные «антизапретные» сервисы — это ботнеты
Многие сайты предлагают «бесплатный zapret через наш сервер». На деле они: - собирают ваш IP и домены,
- внедряют JavaScript-трекеры,
-
продают трафик рекламным сетям (пример: Hola Free VPN, 2020 — утечка 5 млн пользователей).
-
Утечки DNS и WebRTC остаются даже при включённом zapret
Если вы не настроилиsystemd-resolvedилиdnsmasqна использование локального DNS-over-HTTPS, ваш браузер продолжит слать запросы провайдеру. То же с WebRTC — Chrome и Firefox по умолчанию раскрывают реальный IP даже в туннеле. -
Kill switch в zapret — миф без ручной настройки
Проект не включает автоматический kill switch. Если соединение с обфусцирующим прокси рвётся, трафик может пойти напрямую. Чтобы этого избежать, нужны правилаiptablesилиnftables. -
Юрисдикция не важна — важен код
Коммерческие VPN хвастаются «юрисдикцией вне 14 Eyes». Но если их клиент закрытый, они могут вшить бэкдор. Zapret — open-source, проверяемый сообществом. Здесь доверяй, но проверяй. -
Обновления ядра Linux ломают TUN-модули
Начиная с ядра 6.0, изменились API для raw-сокетов. Старые версии zapret перестают работать. Нужно использовать актуальную веткуmasterили патчить вручную.
Шаг за шагом: как установить zapret на Linux в 2026 году
Требования: дистрибутив с поддержкой systemd (Ubuntu 22.04+, Fedora 38+, Arch), права root, интернет до установки.
Шаг 1. Установите зависимости
Ubuntu / Debian
sudo apt update
sudo apt install git build-essential cmake libnfnetlink-dev libnetfilter-queue-dev \
libssl-dev libpcap-dev net-tools iptables curl wget
Fedora / RHEL
sudo dnf install git gcc cmake make libnfnetlink-devel libnetfilter_queue-devel \
openssl-devel libpcap-devel net-tools iptables curl wget
Arch
sudo pacman -S git base-devel cmake libnfnetlink libnetfilter_queue openssl \
libpcap net-tools iptables curl wget
Шаг 2. Клонируйте репозиторий
git clone https://github.com/ValdikSS/zapret.git
cd zapret
Не используйте сторонние зеркала — только официальный GitHub. Проверьте PGP-подпись коммитов, если умеете.
Шаг 3. Выберите метод обхода DPI
В каталоге install_easy.sh есть интерактивный установщик. Но лучше понять, что делаете:
| Метод | Плюсы | Минусы | Подходит для |
|---|---|---|---|
tpws |
Работает без внешнего сервера | Только HTTP(S), не для торрентов | Браузер, YouTube |
wstunnel |
Полный трафик, WebSocket маскировка | Нужен свой VPS или доверенный сервер | Любые приложения |
obfs4proxy |
Высокая стойкость к анализу | Медленнее, требует Tor Bridge | Журналисты, активисты |
goodbyeDPI |
Локальный фильтр, не требует VPS | Не работает против stateful DPI (Ростелеком) | Старые провайдеры |
Для большинства пользователей в РФ в 2026 году wstunnel — оптимальный выбор.
Шаг 4. Запустите установку
sudo ./install_easy.sh
Следуйте подсказкам:
- Выберите wstunnel.
- Укажите IP вашего VPS (можно арендовать за ~300 руб/мес на Hetzner или DigitalOcean).
- Разрешите создание systemd-сервиса.
Если у вас нет VPS — используйте
tpws. Он работает локально, но только для веб-трафика.
Шаг 5. Защититесь от утечек
DNS-утечки
Отключите systemd-resolved и настройте dnscrypt-proxy:
sudo systemctl stop systemd-resolved
sudo systemctl disable systemd-resolved
sudo apt install dnscrypt-proxy # или аналог
В /etc/dnscrypt-proxy/dnscrypt-proxy.toml укажите:
server_names = ['cloudflare', 'google']
listen_addresses = ['127.0.0.1:53']
Затем в /etc/resolv.conf:
nameserver 127.0.0.1
WebRTC-утечки
В Firefox: about:config → media.peerconnection.enabled = false
В Chrome: установите расширение WebRTC Leak Prevent и выберите «Disable non-proxied UDP».
Kill switch через iptables
Создайте скрипт /usr/local/bin/zapret-killswitch.sh:
#!/bin/bash
Разрешить только трафик через wstunnel (порт 443)
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -d YOUR_VPS_IP -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -d 127.0.0.1 -j ACCEPT
Добавьте в автозагрузку через systemd.
Сравнение: zapret vs коммерческие VPN (2026)
| Критерий | Zapret (self-hosted) | NordVPN | ProtonVPN Free | HMA | Mullvad |
|---|---|---|---|---|---|
| Юрисдикция | Ваш VPS (выбираете сами) | Панама | Швейцария | Великобритания | Швеция |
| Логирование | Нет (open-source) | No-logs (аудит 2025) | Ограничено | Да (по закону UK) | Нет (аудит 2024) |
| Протоколы | wstunnel, obfs4, tpws | NordLynx (WG), OpenVPN | IKEv2, OpenVPN | Proprietary | WireGuard, OpenVPN |
| Цена | От 300 ₽/мес (VPS) | ~700 ₽/мес | Бесплатно | ~600 ₽/мес | ~800 ₽/мес |
| Скорость (на 100 Мбит/с) | 92–97 Мбит/с | 70–85 Мбит/с | 10–25 Мбит/с | 60–75 Мбит/с | 80–90 Мбит/с |
| Защита от DPI (РФ) | ✅ Да (настраивается) | ❌ Часто блокируется | ❌ Не работает | ❌ Иногда | ✅ Через Obfuscated WG |
Mullvad и ProtonVPN добавили обфускацию в 2025, но в РФ её часто детектят. Zapret остаётся самым гибким решением.
Реальные сценарии: кому и зачем это нужно
-
Журналист в командировке
Используетobfs4proxy+ Tor Bridge на своём VPS. Трафик выглядит как обычный HTTPS к Google. Провайдер не видит ни контента, ни конечного адреса. -
IT-специалист в кафе
Подключается к корпоративному GitLab черезwstunnel. Без zapret — MITM-атака возможна. С ним — весь трафик шифруется дважды (TLS + WebSocket). -
Пользователь торрентов
Наwstunnel+transmission-daemon. Важно: в РФ распространение контента под запретом, но техническая возможность есть. Мы не призываем к нарушению закона. -
Обход блокировки Telegram / YouTube
tpwsдостаточно. Он перехватывает HTTP-запросы и подменяет заголовки, чтобы обмануть DPI «Ростелекома». -
Защита от утечек в публичных Wi-Fi
Даже если сеть «дружелюбная», соседи могут сниффить трафик. Zapret + kill switch гарантируют, что данные не уйдут в открытом виде.
Технические нюансы: шифрование, PFS и MTU
- Шифрование:
wstunnelиспользует TLS 1.3 с AES-256-GCM или ChaCha20-Poly1305. Оба поддерживают Perfect Forward Secrecy — даже при компрометации ключа прошлые сессии остаются защищёнными. - MTU: При обфускации размер пакета растёт. Установите в
/etc/wstunnel.conf:--mtu=1300, чтобы избежать фрагментации. - Фрагментация пакетов: В
goodbyeDPIесть опция--frag. Она режет пакеты на части < 500 байт — это ломает stateful DPI, но снижает скорость на 10–15%.
VPN замедляет интернет на сколько реально?
Зависит от протокола и сервера. Zapret с wstunnel на своём VPS теряет 3–8% скорости. Коммерческие VPN — от 15% (Mullvad) до 70% (бесплатные). При 100 Мбит/с вы получите 92–97 Мбит/с с zapret.
Меня найдёт спецслужба при использовании zapret?
Если вы используете свой VPS и не оставляете цифровых следов (логины, платежи, metadata), — крайне маловероятно. Но если арендуете VPS на своё имя и используете для незаконной деятельности — да, через запрос к хостинг-провайдеру.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (4 тыс. строк против 100 тыс. у OpenVPN), современная криптография, встроен в ядро Linux. Но он не обфусцирован — в РФ его легко заблокировать. Поэтому в zapret его не используют напрямую.
Можно ли использовать zapret без VPS?
Да, но только для веб-трафика через tpws или goodbyeDPI. Для торрентов, игр, мессенджеров нужен внешний сервер (wstunnel или obfs4proxy).
Будет ли работать zapret после обновления системы?
Возможно, нет. Ядро Linux меняет API. После обновления пересоберите zapret: cd zapret && make clean && make. Или используйте скрипт update.sh из репозитория.
Что делать, если zapret не помогает обойти блокировку?
Попробуйте другой метод: если wstunnel блокируют — перейдите на obfs4proxy. Или используйте Shadowsocks (есть форк zapret с поддержкой). Также проверьте, не блокирует ли сам сайт по IP (например, YouTube через CDN).
Вывод
zapret linux как установить — вопрос не технический, а стратегический. Это не «ещё один VPN», а инструмент для тех, кто хочет контролировать свой трафик полностью. В условиях усиления DPI в РФ (особенно у «Ростелекома» и «МТС») zapret остаётся одним из немногих рабочих решений в 2026 году. Но помните: даже самый надёжный софт не спасёт от человеческой ошибки. Настройте DNS, отключите WebRTC, проверьте kill switch и регулярно обновляйте код. И главное — не используйте это для нарушения закона. Техническая свобода не отменяет юридическую ответственность.
Thanks for sharing this; it sets realistic expectations about max bet rules. The explanation is clear without overpromising anything.