Naive и AmneziaWG: альтернативные протоколы
Когда VLESS/Reality начинают фингерпринтить, полезно иметь канал другой природы. Naive и AmneziaWG — оба не-Xray, поднимаются отдельным сервисом и отдаются клиенту своим конфигом. Держи как аварийный резерв. Впиши свои данные в конструктор сверху.
Зачем нужны протоколы «другой природы»
Логика проста и много раз проверена: несколько разных по природе протоколов = живучесть. Зарезали Reality — у клиента есть Naive или AWG, построенные на совсем другом стеке, под ту же волну блокировок они не попадают. Оба протокола ниже — не Xray, панель их в подписке нативно не раздаёт, они поднимаются отдельным сервисом и отдаются клиенту своим конфигом или ссылкой. Держи их как резерв или премиум-канал на крайний случай.
NaiveProxy — маскировка под обычный Chrome
Naive использует сетевой стек Chromium, поэтому его трафик неотличим от обычного сёрфинга в Chrome — тот же TLS-отпечаток, HTTP/2, та же реакция на активные пробы. Фингерпринтить его очень дорого, отсюда прозвище «король маскировки». Минус — отдельный сервис на Caddy, не в панели, и нужен свой домен с сертом.
Сервер — Caddy, собранный с плагином forwardproxy (naive-форк; бери готовый бинарь naiveproxy/caddy):
cat >/etc/caddy/Caddyfile <<'EOF'
{
order forward_proxy before file_server
}
:443, your-domain.com
tls admin@your-domain.com
route {
forward_proxy {
basic_auth USER СИЛЬНЫЙ_ПАРОЛЬ
hide_ip
hide_via
probe_resistance
}
file_server { root /var/www/html }
}
EOF
systemctl reload caddy
ufw allow 443/tcpРазбор ключевого:
probe_resistance— отвечает как обычный сайт на «тык», активная проба не видит прокси.file_server { root /var/www/html }— сайт-обманка для всех, кроме клиента с верным паролем. Держи там правдоподобный сайт, как в selfsteal.basic_auth— логин и пароль клиента, они же пойдут в клиентскую ссылку.
Клиент: строка naive+https://USER:СИЛЬНЫЙ_ПАРОЛЬ@your-domain.com — импортируется в NekoBox/NekoRay, v2rayN (с поддержкой naive), Hiddify (через sing-box). Отдавай отдельной ссылкой, не через подписку панели.
Когда доставать: топ-маскировка под жёстким DPI, когда Reality «поймали» точечным фингерпринтом. Требует свой домен и серт.
AmneziaWG — обфусцированный WireGuard
Обычный WireGuard в РФ часто режут по сигнатуре хэндшейка — у него узнаваемый профиль. AmneziaWG (AWG) добавляет «мусорные» байты и меняет константы заголовков, из-за чего DPI не видит WireGuard. Быстрый (ядро WG), хорош на мобильных.
Параметры обфускации должны совпадать у сервера и клиента: Jc (количество junk-пакетов), Jmin/Jmax (размер junk), S1/S2 (junk в init/response), H1–H4 (кастомные константы заголовков). Разошлись — соединение не встанет.
Поднять проще всего одним из способов:
- Self-hosted Amnezia — установщик Amnezia VPN сам поднимает сервер AmneziaWG в Docker и выдаёт конфиг/QR. Самый быстрый путь.
- На базе Cloudflare WARP (бесплатно) — генераторы AmneziaWG-конфига (сайт
warp2.llimonix.pwили бот@warp_generator_bot) отдают готовый.conf, импортируешь в клиент AmneziaWG / Amnezia VPN. - Ручной сервер — пакет
amneziawg-tools/awg(форк wireguard-tools): конфиг как у обычного WG плюс строкиJc/Jmin/Jmax/S1/S2/H1..H4.
Клиент: приложение AmneziaWG (iOS/Android/desktop) или Amnezia VPN; Hiddify тоже умеет AWG. Конфиг отдаётся отдельным файлом или QR.
Когда доставать: мобильные сети, где режут и WG, и VLESS; быстрый резерв «другого типа».
Как встроить в сервис
Оба — отдельные точки входа, не часть подписки панели. Варианты встраивания:
- Отдельная ссылка или QR в боте для премиум-тарифа.
- «Аварийный канал», который выдаёшь клиентам при массовых блокировках, когда основные протоколы легли.
Идея та же, что везде в этом деле: несколько разных протоколов держат сервис живым. Reality — основа, Naive и AWG — резерв другой природы. Как собрать основной обход на Xray-протоколах — в статьях про VLESS/Reality; тут — два сильных запасных канала на случай, когда основное поймали.
Следующий гайд 3x-ui: VLESS + Reality пошагово → ↗ Не понравилась статья или что-то непонятно? Напишите мне — помогу или поправлю. @notrealvpn →