Библиотека гайдов
Пошагово по всей инфраструктуре — от установки панели до продаж.
Что такое коммерческий VPN в 2026 и почему свой
Не про «анонимность в интернете», а про инфраструктуру, которую ты держишь сам. Чем свой сервис отличается от подписки на чужой и зачем вообще в это лезть.
Как устроен VPN-туннель под капотом
Что физически происходит, когда клиент «подключается к VPN». Инкапсуляция, шифрование, выходная точка — на пальцах, но без вранья.
Обзор протоколов: кто кого и когда выбирать
Карта транспортов без фанатизма. Чем VLESS-Reality отличается от XHTTP и Hysteria2, что переживает инспекцию в 2026 и какую связку ставить по умолчанию.
Как работает интернет-цензура: DPI, ТСПУ, блокировки
Не «список запрещённых сайтов», а как инспекция реально ловит трафик в 2026. Сигнатуры, JA3, активный пробинг и поведенческий анализ — механика противника.
Как выбрать сервер и локацию
Где брать VPS под ноды и панель, почему выход только за рубежом, как не купить грязный IP и зачем разносить ноды по разным ASN.
Чеклист старта: что нужно перед первым сервером
Практические проверки до того, как ставить панель. DNS, белизна IP, базовая защита хоста, файервол — команды, которые ловят проблемы на старте, а не в проде.
Экономика VPN-сервиса: откуда маржа
Себестоимость на клиента, где живёт прибыль и что её убивает. Не «как разбогатеть», а как считать юнит и не работать в минус на автопилоте.
Словарь: VLESS, Reality, SNI, DPI, нода, инбаунд простыми словами
Термины, которые встречаются в каждой статье, объяснённые по-человечески. Возвращайся сюда, когда наткнулся на незнакомое слово в конфиге.
Remnawave или 3x-ui: какую панель выбрать
Две панели под свой VPN — тяжёлая оркестрация нод и лёгкий одиночный сервер. Чем отличаются по архитектуре, порогу входа, масштабу и удобству, и под какую задачу брать какую.
Панель за 15 минут: Remnawave и первая подписка
Ставим панель на чистый сервер, цепляем домен, выпускаем первого клиента. Без магии и лишних телодвижений.
Что такое Remnawave и зачем вообще панель
Почему без панели ты не сервис, а набор конфигов вручную. Что делает Remnawave, из каких контейнеров состоит и как устроена связка профиль→инбаунд→хост→сквад.
Ноды и подписки: как панель раздаёт доступ
Как панель пушит конфиг на ноду, что такое подписка на самом деле и почему один URL отдаёт и страницу, и конфиг. Механика раздачи доступа без команд.
Подключение ноды и выпуск первой подписки
По шагам: регистрируем ноду в панели, ставим агент на сервер, собираем цепочку профиль→инбаунд→хост→сквад и выпускаем живую подписку. С проверкой руками.
Брендинг страницы подписки под свой сервис
Как сделать страницу подписки лицом сервиса: свой домен и путь, логотип, цвета, кнопки «добавить в приложение», QR и приватный флаг, скрывающий сырой ключ.
Hosts и inbounds: как панель собирает ссылку клиенту
Что такое хост на самом деле, чем он отличается от инбаунда и почему отпечаток живёт на хосте, а не в конфиге ноды. Механика сборки клиентской ссылки.
Настройка hosts: собираем рабочую ссылку
По шагам: генерим ключи Reality, кладём инбаунд в профиль, создаём хост с правильным отпечатком и отдаём клиенту. Плюс одна нода на три транспорта сразу.
Бэкап и обновление панели без даунтайма
Дамп базы Remnawave, авто-бэкап по cron с выгрузкой наружу, проверенное восстановление и мониторинг, который ловит падение ноды раньше клиентов.
Админ панели: роли, доступы, сброс пароля
Расширяем управление Remnawave: Telegram-бот и веб-панель с ролями, 2FA и анти-абузом. API-токен, доступы, восстановление входа через CLI напрямую в базе.
Лимиты, сроки и сброс трафика пользователям
Как считать лимит ГБ только на дорогих нодах через коэффициент использования, делать обходы безлимитными и рисовать «красивые цифры» в оффере приёмом ×10.
Установка 3x-ui за 10 минут
Ставим 3x-ui одной командой на чистый сервер, забираем случайные логин-пароль-порт-путь и заходим в панель. Что делает установщик и куда он всё кладёт.
3x-ui: настройки панели и харднинг
Панель из коробки открыта голым HTTP на весь интернет. Закрываем: секретный путь, TLS на панель, смена порта, ограничение доступа по IP, fail2ban и телеграм-логин-алерты.
3x-ui: клиенты и ссылка-подписка
Заводим клиента правильно — только через UI (иначе панель обнулит его в конфиге), настраиваем лимиты и срок, включаем сервис подписки и отдаём человеку одну ссылку на все его серверы.
Что такое Reality и почему он держит ноду живой
Разбираю без маркетинга, как Reality прячет VPN внутри чужого TLS-хендшейка и почему именно он выжил под РФ-DPI, где остальное умирает.
VLESS + Reality: конфиг, который не палится
Разбираем Reality по косточкам и собираем маскировку под чужой TLS. Каждый параметр — с объяснением, зачем он.
Vision (xtls-rprx-vision): зачем нужен flow
Почему одного Reality мало и что именно делает flow Vision — как он убирает двойное шифрование и ломает анализ длин пакетов, которым DPI добивает обфусцированный трафик.
VLESS + TLS: базовый рабочий конфиг
Честный TLS на своём домене и сертификате — простой конфиг, который дружит с CDN и умеет fallback на реальный сайт. Рабочий профиль плюс выпуск серта.
XHTTP-транспорт: когда и зачем
Что за транспорт XHTTP (бывший SplitHTTP), чем он лучше WebSocket, почему именно он проходит за CDN и когда его стоит доставать из резерва вместо TCP-Reality.
Настройка XHTTP поверх Reality
Рабочий XHTTP-инбаунд в двух обвязках — прямой с донорским Reality и за CDN с честным TLS. Ключи, path, режимы mode и что вписать на хост.
VLESS gRPC: конфиг и когда падать на него
gRPC поверх Reality — мультиплекс по HTTP/2, хорош как скрытый резервный автовыбор. Рабочий профиль, selfsteal-вариант и честно про deprecated-статус в xray 26.
Hysteria2 и QUIC: плюсы и подвохи
Почему Hysteria2 летит там, где TCP умирает, что даёт агрессивный BBR поверх QUIC/UDP и где подвох — от режущих UDP провайдеров до тонкости с учётом трафика в панели.
Hysteria2: поднимаем и цепляем к панели
Полный путь Hysteria2 в Remnawave — серт через Certbot в Docker, проброс в контейнер ноды, конфиг-профиль, автообновление серта и обязательная подмена ядра для учёта трафика.
Выбор SNI и донора: как не спалить маскировку
Донор — это чужой сайт, за которым прячется твоя нода. Разбираю, какой донор годится, а какой убьёт стелс, почему нельзя один SNI на все ноды и что такое рассинхрон «SNI ≠ владелец IP».
Inbounds: собираем конфиги протоколов руками
Каждый способ подключения — комбинация протокола, транспорта и security. Разбираем каркас конфиг-профиля, как менять только нужные строки и как привязать профиль → нода → Host → сквад.
Selfsteal: как нода притворяется обычным сайтом
Максимальный стелс Reality — нода маскируется под свой же реальный сайт на том же IP. Разбираю, как selfsteal убирает рассинхрон SNI ≠ IP и почему активная проба попадает на настоящую страницу.
Selfsteal + nginx: пошагово
Собираем максимальный стелс руками — сайт-обманка на nginx через unix-сокет с PROXY-protocol, серт на свой домен, inbound по официальному шаблону Remnawave и проверка стелса.
MTProto-прокси: быстрый бонус к сервису
Нативный для Telegram прокси на дешёвом VPS — резервный вход в мессенджер и точка входа в воронку. Два варианта: официальный со спонсорским тегом и mtg v2 с FakeTLS. Честно про то, что MTProto уже не серебряная пуля.
Naive и AmneziaWG: альтернативные протоколы
Два сильных не-Xray резерва — NaiveProxy с маскировкой под обычный Chrome-сёрфинг через Caddy и AmneziaWG, обфусцированный WireGuard. Когда доставать и как поднять.
3x-ui: VLESS + Reality пошагово
Собираем VLESS+Reality в интерфейсе 3x-ui — вкладка Безопасность, авто-генерация ключей, выбор живого донора и flow Vision. С важным предупреждением про донора, который ломает Reality на Xray 26.
3x-ui: XHTTP поверх Reality
Собираем XHTTP-инбаунд в 3x-ui — вкладка Поток с network=xhttp, path и режим mode, поверх стелса Reality. Плюс вариант XHTTP+TLS для фронта за CDN и грабли с path и mode.
3x-ui: gRPC-транспорт
gRPC поверх Reality в 3x-ui — мультиплекс по HTTP/2 как скрытый резерв на случай, когда TCP-Reality начали фингерпринтить. Форма создания подключения, serviceName и честно про deprecated-статус в Xray 26.
3x-ui: Hysteria2
Поднимаем Hysteria2 в 3x-ui — серт через Certbot, инбаунд с protocol=hysteria2 и ALPN h3, открытый UDP/443, обфускация salamander. Плюс подвохи: UDP режут, ALPN должен быть h3, серт живёт 90 дней.
Trojan: конфиг (и почему это устаревает)
Trojan прикидывается обычным HTTPS-сайтом с fallback на реальную страницу. Два рабочих профиля — TLS со своим сертом и Reality без него — и честный разговор, почему это резерв, а не основа.
Shadowsocks: почему это уже не вариант
Старый простой прокси без TLS-маскировки. Под DPI 2026 мёртв, в каскаде — слабое звено. Держим статью для справки, как основу ставить не советую.
Как ТСПУ думает: фингерпринт, статистика, пробинг
Механика инспекции без единой команды. Что именно смотрит ТСПУ, почему статистика опаснее сигнатур и как думать про маскировку, а не заучивать конфиги.
Обход ТСПУ и DPI в 2026: что реально работает
Не список протоколов, а стратегия. Как ведёт себя ТСПУ сейчас, что оно душит первым и как ноду сделать скучной для инспекции.
Активный пробинг: как тебя проверяют
Почему цензор сам стучится на твой сервер и что он ищет в ответе. Разбор механики active probing и идеи self-steal без единой команды.
Устойчивость к активному пробингу: настройка
Ставим self-steal вручную — сайт-обманка на unix-сокете nginx, Reality через PROXY-protocol, поля Host и проверка стелса. Реальные команды.
Диагностика блокировок: логи, метрики, инструменты
Клиент пишет «не работает». Идём по цепочке клиент → подписка → нода → порт → протокол → роутинг и находим слой, где рвётся. Реальные команды.
WARP на выходе: зачем и что даёт
Почему сервисы режут твою ноду как дата-центр и как WARP-выход это чинит. Что WARP даёт, а чего не решает — без единой команды.
WARP на выходе: подключаем
Ставим WARP как outbound Xray — креды через wgcf, wireguard-аутбаунд, критичный reserved и noKernelTun на ноде в Docker. Реальные команды.
Zapret и разблокировка YouTube
YouTube душат на уровне пакетов, а гнать его за границу — чужой регион и реклама. Решение: дешёвый РФ-хост с zapret как отдельный YouTube-выход. Команды.
Работа под белыми списками
При веерных отключениях мобильный интернет пускает только «белый список». Как поднять вход в белой подсети, какой SNI ставить и где брать списки. Команды.
Харднинг Reality под РФ: 443, fp, vision
Три вещи, из-за которых Reality «работает пару минут → стоп»: нестандартный порт, chrome-отпечаток и не тот транспорт. Как заставить вход держаться из РФ. Команды.
Сводка блокировок: лето 2026
Свежий срез того, что усилилось в РФ-фильтрации этим летом, по чему бьют первым и как операторы на это реагируют. Без паники и без мануалов позапрошлого года.
Зачем нужны каскады и цепочки нод
Не «просто больше нод», а живучесть, белый выход и гибридный роутинг из одной архитектуры. Принцип «вход-расходник, выход-актив» без единой команды.
Каскад из двух нод + WARP на выходе
Дешёвый РФ-релей как вход, белый заграничный выход, а на выходе — WARP для проблемных сервисов. Команды socat/iptables и wireguard-аутбаунд.
Тройной каскад: вход → релей → выход
Белый РФ-вход вообще не ходит наружу, трафик уходит со второго IP через sendThrough. Хостер и ТСПУ видят чистый сайт. Готовый профиль и грабля vision-в-vision.
Транспорт каскада: MTU, sockopt, почему рвётся
Каскад собран верно, но «одни сайты грузятся, другие нет». Разбор MTU-схлопывания, вложенного vision и капризов sendThrough — механика без команд.
Гео-разделение трафика: зачем маршрутизация
Почему «всё через ноду» — плохой VPN, а сплит-роутинг делает его «невидимым». Логика RU-direct, антифрод на зарубежных доменах, порядок правил — без команд.
Правила маршрутизации: настройка
Готовый конфиг сплит-роутинга — РФ через direct, заблокированное через proxy, реклама в block. Список критичных доменов и доставка клиенту. Реальный JSON.
Балансеры и автовыбор: как это работает
Четыре уровня балансировки от клиента до транспортного фронта, четыре стратегии Xray и почему leastPing «работает → заглохает». Механика без команд.
Автовыбор leastPing: собираем
Боевой автовыбор в шаблоне подписки — leastLoad по пулу, geo-dat-free роутинг, пул задаётся тегами хостов. Плюс главные грабли доставки. Реальный JSON.
Здоровье нод: healthcheck и отказоустойчивость
Нода жива в мире, но зарезана для РФ — observatory этого не видит. Как проверять здоровье из РФ, механически сливать мёртвую ноду и держать горячий резерв. Команды.
Гео Google/YouTube без рекламы через РФ-выход
Почему YouTube через РФ-IP идёт почти без рекламы и как это собрать: маршрут Google на РФ-выход, dns-блок без ECS, глушёный IPv6, QUIC в туннель. Конфиг.
Запасной вход за час
Основной РФ-вход попал под блок, клиенты сыпятся. Как за час поднять резервный вход в каскад, не трогая выход и ключи, чтобы никто ничего не переустанавливал. Команды.
Что такое грязный IP и почему он всё ломает
Разбираем, откуда у адреса берётся репутация, почему один и тот же конфиг работает с одной ноды и краснеет с другой, и что именно видят сервисы.
Где брать белые подсети и как проверить
Практика: конкретные чекеры репутации, боевой тест адреса и как держать готовый запас белых IP на замену сгоревшим.
Проверка репутации IP и прогрев
Практика: регулярный мониторинг репутации адреса, что делать с «тёплым» и «холодным» IP и как аккуратно вводить новый адрес в работу.
Как IP попадают в блэклисты и как не попасть
Механика чёрных списков — кто их ведёт, за что туда попадают адреса, почему страдает вся подсеть и как вести себя, чтобы твои ноды не жгли себя сами.
Где брать белые IP в 2026
Рынок белых подсетей за год заметно подорожал и поредел. Где искать адреса с нормальной репутацией в 2026, за что реально платить, а где переплата на пустом месте.
Обзор клиентов: Happ, v2rayTun, Hiddify и кто кому
Какое приложение давать клиенту под какую платформу, чем «расширенные» клиенты отличаются от простых и почему правильный выбор снимает половину тикетов.
Happ: установка и импорт подписки
Пошагово ставим Happ на iOS/Android, импортируем подписку, включаем обход для России и kill-switch. Инструкция, которую можно отдать клиенту.
v2rayTun: настройка на телефоне
Ставим v2rayTun на Android/iOS, импортируем подписку и чиним главную боль — когда российский сайт всё равно уходит через ноду. Про gVisor и сниффинг.
Hiddify: кроссплатформенный клиент
Один клиент на Windows, macOS, Linux, Android и iOS. Ставим, импортируем подписку, включаем обход для России и разбираем, чем Hiddify удобен на десктопе.
Streisand на iOS: настройка
Лёгкий нативный клиент для iPhone и iPad. Ставим, импортируем подписку, включаем обход для России и разбираем, когда Streisand лучше Happ.
NekoBox / sing-box: для десктопа и продвинутых
Клиент с максимумом контроля. Импорт подписки, ручная маршрутизация, TUN-режим и когда стоит лезть в sing-box вместо дружелюбных клиентов.
Импорт подписки: ссылка, QR, обновление
Три способа завести подписку в любой клиент и как работает автообновление. Универсальная механика, одинаковая для Happ, Hiddify, v2rayTun и остальных.
Server Description: подсказки клиенту в Happ/INCY
Как заменить пугающее «VLESS | TCP | REALITY» на человеческие подписи плиток, где это настраивается и почему видят его только «расширенные» клиенты.
Правила маршрутизации на стороне клиента
Готовый сплит-роутинг в клиентском xray-конфиге: РФ-сайты напрямую, заблокированное через ноду. Полный блок routing, как читать правила и как раздать через подписку.
Анонимность оператора: модель угроз
Не «как стать невидимкой», а как не привязать сервис к своей личности. Где на самом деле палятся операторы и почему деанон идёт не через сервер.
Опсек на практике: разносим следы
Организационная изнанка анонимности оператора. Отдельные личности, номера, оплата криптой, разрыв цепочки KYC — по слоям и с граблями.
Харднинг панели: закрываем доступы
Панель — главная цель атаки: угнали её, угнали весь сервис. Прячем за reverse-proxy с basic-auth и IP-allowlist, закрываем порты, ssh по ключу, fail2ban.
Базовая защита сервера: ssh, фаервол, fail2ban
Минимум, который ставят на каждый сервер до всего остального. Закрываем порты, переводим ssh на ключ, вешаем fail2ban — три фронта базовой обороны.
Детект шеринга ключей: как ловят раздачу
Почему HWID-лимит не спасает от раздачи ключа, где реально видна раздача и по каким сигналам её ловят. Механика детекта без единой команды.
Анти-шеринг: HWID, лимиты, детект по IP
Ставим HWID-лимит, собираем онлайн-IP по нодам, флагуем раздачу по порогу и закрываем её сбросом ключа. С вайтлистом и без автобана.
Уязвимость страницы подписки: как закрыть
В отдельном компоненте subscription-page нашли критическую дыру. Детали эксплойта под эмбарго, но окно атаки уже открыто. Проверяем, уязвимы ли мы, и закрываем двумя способами.
Мониторинг и бэкап: чтобы не проспать падение
Сервис умирает тихо: нода легла ночью, серт протух, у хостинга кончился баланс. Ставим Uptime Kuma с алертами в Telegram и настраиваем бэкап БД с выгрузкой наружу.
Cloudflare ECH и блок из РФ: почему сайт не грузится
Сайт за Cloudflare открывается из РФ только с VPN, а без — нет, хотя домен не заблокирован. Разбираем, почему виноват ECH и как устроен этот блок.
Чеклист анонимности оператора
Сжатый пробеговый список опсека: личности, номера, оплата, приём денег, поведение. Пройди перед стартом и раз в квартал — чтобы не оставить мостик к своему имени.
Экспресс-проверка живости ноды
Клиент пишет «не работает». За 5 минут по чеклисту понять, жив ли выход, отвечает ли порт, идёт ли трафик и не задушен ли он под РФ. Команды.
Как устроен биллинг-контур: бот, панель, API
Из чего собрана машина, которая продаёт подписки без тебя. Роли бота, панели и API, и почему выдача доступа — это одна цепочка, а не набор кнопок.
Telegram-бот и приём платежей: продажи на автопилоте
Как замкнуть цепочку деньги → подписка без ручного труда. Оплата, выдача ключа, автопродление, реф-система.
Приём платежей: Stars, крипта, процессинг
Какие платёжки реально подключить к боту, что требует юрлица, а что нет, и как включить каждую. С упором на то, чтобы деньги шли, а не терялись на двойных выдачах.
Тарифы и промокоды: настройка
Как завести тариф в Remnawave (это сквад, а не строчка в прайсе), связать его с ботом и включить промокоды без дыр для абуза.
Автопродление подписок
Как сделать, чтобы срок продлевался без клиента — от простых напоминаний в боте до полноценного autopay с сохранённой картой. И где тут грабли.
Grace-схема для неплательщиков
Спасательный круг для тех, кто забыл продлить: маленький аварийный доступ дойти до кассы. Как собрать в боте, где грабли с двумя датами и статусом панели.
Антифрод: чарджбеки и мультиаккаунты
Три дыры, через которые из сервиса утекают деньги — двойные выдачи, шеринг и абуз триалов/чарджбэки. Как закрыть каждую процедурно.
Реф-система: рост без рекламного бюджета
Как настроить реферальную программу, которая приводит клиентов бесплатно — бонус-дни обоим, выплата за оплату, защита от самореферала.
Скрипты автоматизации сервиса
Интерактивные скрипты, которые снимают рутину оператора — генератор Reality-инбаунда, установка ноды, selfsteal, бэкап по крону, авто-рестарт ноды при обновлении серта.
Поддержка на автопилоте: FAQ-бот и шаблоны
Как построить многоуровневую поддержку, которая гасит большинство тикетов сама и доводит до живого человека только сложные случаи. FAQ, шаблоны, эскалация.
Юнит-экономика VPN-сервиса в деталях
Как считать себестоимость на клиента, ставить маржу и понимать, где реально теряется прибыль. Не блокировка убивает сервис, а плохая экономика.
Ценообразование: как не продешевить и не отпугнуть
Как ставить цену на VPN-подписку — почему демпинг убивает, откуда берётся якорь, зачем годовой тариф и как премиум-тариф вытягивает маржу. Теория без цифр из воздуха.
Воронка: путь от клика до оплаты
Почему бот, который «просто продаёт подписку», теряет деньги. Четыре стадии воронки — захват, конверсия, удержание, доверие — и логика каждой.
Настройка воронки в боте
Как собрать воронку в боте по шагам — бесплатный MTProto-крючок, чистое меню с автосвапом транспорта, miniapp с кольцом дней, оплата на своём сайте, реф-система и рулетка.
Маркетинг VPN: каналы, которые работают
Где реально брать клиентов на VPN — почему аудитория решает всё, зачем бартер с блогерами, ферма Reels под взрослых и как не слить трафик на покупке.
Удержание: почему это дешевле привлечения
Почему удержать клиента в разы дешевле, чем привести нового, и что реально держит клиента в VPN-нише — саппорт, привычка, приёмы против оттока.
Заморозка подписки и режим отпуска
Как собрать «заморозку» подписки в боте — банк дней вместо оттока, когда клиент уезжает. Поля, две операции, обязательные лимиты. С реальной механикой.
Зачем CDN-фронтинг: работать под белыми списками
Почему блок по IP становится бесполезным за CDN, что можно спрятать за него, а что нет, и почему CDN-фронт спасает даже при веерных отключениях.
Yandex CDN перед нодой: пошагово
Рабочий рецепт из реального внедрения — Yandex Cloud CDN как фронт для ноды. yc CLI, сертификат, ресурс, обход блокировки POST через GET-only XHTTP, nginx. С чек-листом граблей.
Cloudflare перед сервисом
Cloudflare как фронт для ноды — самый предсказуемый эталон, настройка за четыре шага. Но из РФ свои нюансы, поэтому он для зарубежа и резерва.
CDN-фронтинг: расширенный кейс
Бесплатный РФ-CDN как фронт для VLESS-XHTTP ноды — полная схема с packet-up инбаундом, фронтом на Caddy или nginx, настройкой ресурса CDN и хостом Remnawave. Расширенный кейс.
Как работают белые списки и почему CDN спасает
При веерных отключениях мобильный интернет работает только по белому списку — это не блок, а allow-list. Почему обычный VPS в это время мёртв и как выжить.
IP-rolling: ротация адресов под давлением
Почему заблокированный IP — это мёртвый актив и отток, и как держать запас белых адресов, чтобы клиенты не замечали блокировок. Логика массового подбора IP.
Авто-деплой: как разворачивать сервис под ключ
Почему запуск VPN-сервиса — это десятки SSH-команд, которые ещё и ломаются, и как авто-деплой убирает эту боль — панель, ноды, маскировку и продажи в пару кликов.