💡 Полезные Советы

Если вы настроили VPN (O******, W***** Op****) или прокси-сервер, но сталкиваетесь с низкой скоростью передачи данных при хорошем канале, причина часто кроется не в ширине канала, а в устаревших алгоритмах управления перегрузкой TCP.

В этой инструкции мы разберем, как включить алгоритм TCP BBR от Google, который де-факто стал стандартом для оптимизации высоконагруженных и удаленных серверов.

Что такое TCP BBR и зачем он нужен?

По умолчанию в большинстве дистрибутивов Linux используется алгоритм TCP CUBIC. Он был создан в эпоху проводных сетей и работает по принципу "loss-based" (основан на потере пакетов):

1. Сервер наращивает скорость передачи.

2. Как только теряется хотя бы один пакет, CUBIC считает, что канал забит, и резко сбрасывает скорость (обычно в 2 раза).

3. Затем начинается медленный набор скорости заново.

Проблема: В современных сетях (особенно мобильных и международных) потеря пакетов часто носит случайный характер и не означает, что канал перегружен. В результате CUBIC «тормозит» там, где можно работать на полную мощность.

Решение (TCP BBR): Algorithm BBR (Bottleneck Bandwidth and Round-trip propagation time), разработанный Google, использует другой подход. Он моделирует сеть, постоянно измеряя два параметра:

• Максимальную пропускную способность (Bandwidth).

• Минимальное время отклика (RTT).

BBR игнорирует случайные потери пакетов и поддерживает скорость передачи на уровне реальной пропускной способности канала. Это дает прирост скорости от 30% до 1000% на нестабильных соединениях.

Инструкция по включению

Шаг 0: Проверка версии ядра

Для работы BBR требуется ядро Linux версии 4.9 или выше. Абсолютное большинство современных систем (Ubuntu 18.04+, Debian 10+, CentOS 8+) уже соответствуют этому требованию.

Проверьте версию ядра командой:

uname -r

Если версия ниже 4.9, вам необходимо сначала обновить ядро ОС.

Шаг 1: Включение BBR

Нам нужно изменить два параметра ядра через sysctl.

1. Изменить планировщик пакетов (Queue Discipline) на fq (Fair Queueing), так как BBR требует его для корректной работы.

2. Включить сам алгоритм bbr.

# Добавляем настройки в конфигурационный файл
echo "net.core.default_qdisc=fq" | sudo tee -a /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" | sudo tee -a /etc/sysctl.conf
# Применяем изменения без перезагрузки
sudo sysctl -p

Шаг 2: Проверка результата

Убедитесь, что настройки применились корректно.

1. Проверяем, какой алгоритм управления перегрузкой используется сейчас:

2. sysctl net.ipv4.tcp_congestion_control

3. Проверяем, запущен ли модуль BBR:

4. lsmod | grep bbr

Ожидаемый вывод (пример):

tcp_bbr 20480 14

Результаты

После включения BBR перезагрузка сервера не требуется, изменения вступают в силу мгновенно для новых соединений.

Что вы заметите:

• Стабильность: YouTube и потоковое видео перестанут буферизироваться.

• Скорость: Speedtest покажет результаты, близкие к заявленным хостером, даже если клиент находится на другом континенте.

• Плавность: Исчезнут резкие провалы скорости при использовании мобильного интернета.

Техническое примечание (для администраторов)

• Почему fq, а не fq_codel? Хотя fq_codel часто является дефолтным в современных дистрибутивах, для работы BBR необходим именно планировщик fq, так как он обеспечивает pacing (равномерную подачу пакетов), на который опирается модель BBR.

• Совместимость: BBR работает только на стороне отправителя (в данном случае — вашего VPN-сервера). Клиентам (телефонам, ноутбукам) ничего настраивать не нужно.

Это руководство поможет вам получить доступ к Gemini путем настройки DNS-over-HTTPS (DoH) в вашем браузере. Этот метод шифрует DNS-запросы, что может обойти некоторые виды блокировок.

Важное примечание:

1. Этот способ работает, только если ваш интернет-провайдер не заблокировал доступ к самому прокси-серверу.
2. В качестве примера используется публичный DNS-сервер comss.one. Его стабильность и политика конфиденциальности зависят от его владельца.

Что такое DNS-over-HTTPS (DoH)?

DNS-over-HTTPS (DoH) - это современный протокол, который шифрует ваши DNS-запросы. Обычные DNS-запросы отправляются в открытом виде, что позволяет посторонним видеть, какие сайты вы посещаете. DoH прячет эти запросы внутри защищенного HTTPS-соединения, повышая вашу конфиденциальность и безопасность.

Быстрая навигация по инструкциям

• Google Chrome / Chromium
• Яндекс.Браузер
• Microsoft Edge
• Mozilla Firefox
• Opera

Google Chrome / Браузеры на Chromium

1. Откройте Настройки (через меню ⋮ → «Настройки»).
2. В боковом меню выберите раздел «Конфиденциальность и безопасность», затем нажмите «Безопасность».
3. Быстрый переход: введите в адресной строке chrome://settings/security
4. Пролистайте до раздела «Дополнительные».
5. Включите опцию «Использовать безопасный DNS».
6. Выберите «Указать другого поставщика услуг DNS».
7. В появившемся поле введите адрес: https://dns.comss.one/dns-query Сохраните изменения и перезагрузите браузер.

Яндекс.Браузер

1. Перейдите в Настройки (меню ≡ → «Настройки»).
2. В боковом меню выберите вкладку «Безопасность».
3. Быстрый переход: введите в адресной строке browser://protect/
4. Найдите настройку «Использовать безопасный DNS-сервер» и включите её.
5. Выберите опцию «Указать другой адрес».
6. Введите следующий адрес: https://dns.comss.one/dns-query Сохраните изменения и перезагрузите браузер.

Microsoft Edge

1. Откройте Параметры (меню ... → «Параметры»).
2. В боковом меню выберите «Конфиденциальность, поиск и службы».
3. Быстрый переход: введите в адресной строке edge://settings/privacy
4. Пролистайте страницу вниз до раздела «Безопасность».
5. Включите переключатель «Использовать безопасные DNS-серверы...».
6. Выберите пункт «Выбрать поставщика услуг DNS».
7. В поле ввода укажите: https://dns.comss.one/dns-query Сохраните изменения и перезагрузите браузер.

Mozilla Firefox

1. Откройте Настройки (меню ≡ → «Настройки»).
2. В левом меню перейдите в раздел «Приватность и защита».
3. Быстрый переход: введите в адресной строке about:preferences#privacy
4. Пролистайте страницу вниз до раздела «DNS через HTTPS».
5. Установите галочку «Включить DNS через HTTPS».
6. В выпадающем списке «Выбрать поставщика» выберите «Другой».
7. В поле «URL-адрес» введите:

https://dns.comss.one/dns-query Закройте страницу настроек, они сохранятся автоматически.

Opera

1. Перейдите в Настройки (меню O → «Настройки»).
2. В боковом меню выберите «Конфиденциальность и безопасность», затем — «Безопасность».
3. Быстрый переход: введите в адресной строке opera://settings/security
4. Найдите настройку «Использовать безопасный DNS-сервер» и активируйте её.
5. Выберите опцию «Указать другого поставщика услуг DNS».
6. Введите адрес: https://dns.comss.one/dns-query После выполнения этих шагов попробуйте зайти на сайт Gemini. Если доступ не появился, это может означать, что данный метод обхода блокировки не работает с вашим провайдером.

DoH(DNS over HTTPS) - это протокол, который шифрует ваши DNS-запросы с помощью HTTPS, того же протокола, что защищает соединения с банками и интернет-магазинами. Вместо отправки простого текстового запроса на порт 53 (как в классическом DNS), DoH "упаковывает" его в зашифрованное HTTPS-соединение и отправляет на порт 443.

DNS over HTTPS (DoH) на роутере даёт следующие преимущества:

• Конфиденциальность: Ваш интернет-провайдер, администратор публичной Wi-Fi сети или любой человек в той же сети не может видеть, какие доменные имена вы запрашиваете. Они видят лишь одно зашифрованное соединение с IP-адресом DoH-резолвера.

• Целостность данных: Шифрование предотвращает подмену DNS-ответов (DNS spoofing). Злоумышленник не может перенаправить вас на фишинговый сайт, манипулируя DNS-запросами.

• Обход цензуры: Поскольку провайдер не может анализировать или блокировать отдельные DNS-запросы, многие виды блокировок на уровне DNS становятся неэффективными.

Инструкция для версии прошивки OpenWrt 24.10.4:

1 . Сделайте бэкап прошивки и сохраните её на отдельном диске или флешке

2 . Установите: luci-app-https-dns-proxy (для отображения в Web интерфейсе) и https-dns-proxy

3 . Зайдите по SSH на роутер и проверьте командой nslookup openwrt.org localhost - если появился ip значит всё в порядке

4 . По умолчанию установлен Cloudflare и Google, в списке есть множество известных публичных DNS, например Adguard для дополнительной блокировки рекламы и прочее. Если необходимо исправить зайдите в web интерфейсеServices -> HTTPS DNS Proxy -> HTTPS DNS Proxy - Instances меняем у которого порт 5053 -> Edit -> выбираем Provider из списка -> Save -> внизу страницы Save and Apply.

5 . HTTPS DNS Proxy - Status указаны какие прокси на каком порту работают.

Что делать, если в Web интерфейсе не появились Services -> HTTPS DNS Proxy?

Скорее всего необходимо очистить кэш браузера (Ctrl+F5) или не установилось luci-app-https-dns-proxy. Или попробуйте выйти и заново войти в LuCI и перезагрузить роутер.

Важное уточнение:

Недостаток DoH заключается в том, что при использовании публичных DNS-сервисов (например, Cloudflare или Google DNS) вы перекладываете доверие с провайдера на крупную компанию. С одной стороны, она обещает не передавать вашу информацию третьим лицам, с другой — фактически вы отдаете статистику о своих запросах другому крупному игроку на рынке.

Не забудьте протестировать на утечки и защиту ваши настройки:

Тест на утечку DNS

Тест DNSSEC

Proxy сервер (прокси сервер) — это промежуточный сервер, который выступает посредником между вашим устройством (компьютером, смартфоном) и другими серверами в интернете. Вместо прямого подключения к целевому ресурсу (сайту, сервису), вы подключаетесь к прокси, а он уже от вашего имени запрашивает данные у конечного сервера и возвращает их вам.

Основные функции и цели proxy-серверов:

• Анонимизация: Скрытие вашего реального IP-адреса от целевого сервера. Сайт видит IP прокси, а не ваш.
• Обход ограничений: Доступ к ресурсам, заблокированным по географическому признаку (геоблокировка), корпоративным правилам или интернет-цензуре.
• Кэширование: Сохранение копий часто запрашиваемых веб-страниц или файлов на самом прокси для ускорения доступа и снижения нагрузки на сеть.
• Контроль и фильтрация трафика: В корпоративных сетях или образовательных учреждениях для блокировки нежелательных сайтов, контроля доступа сотрудников, мониторинга трафика.
• Безопасность (ограниченная): Может выступать как дополнительный барьер между вашей локальной сетью и интернетом, фильтруя часть угроз (хотя полноценный файерволл безопаснее).
• Балансировка нагрузки: Распределение входящих запросов между несколькими серверами для повышения производительности и отказоустойчивости.

Основные типы proxy-серверов (классификация по ключевым признакам):

1 . По Уровню Анонимности:

Прозрачные (Transparent):

Как работают: Не скрывают ваш реальный IP-адрес. Целевой сервер видит, что вы используете прокси, но также получает ваш настоящий IP через специальные заголовки (например, X-Forwarded-For).

Зачем: В основном для кэширования и принудительного перенаправления трафика (например, в корпоративных сетях или публичных Wi-Fi без цели анонимности).

Анонимные (Anonymous):

Как работают: Скрывают ваш реальный IP-адрес. Целевой сервер видит IP прокси и знает, что это прокси (заголовки типа Via или Proxy-Connection), но не видит ваш IP.

Зачем: Базовая анонимность, обход простых географических блокировок.

Искажающие (Distorting):

Как работают: Подвид анонимных. Передают целевым серверам ваш реальный IP, но намеренно искажают его (подменяют на фальшивый) в заголовках типа X-Forwarded-For. Сам прокси при этом раскрывается.

Зачем: Попытка обмануть серверы, которые блокируют известные адреса прокси, выдавая себя за обычного пользователя с "левым" IP. Не всегда эффективно.

Элитные или Высокоанонимные (Elite или High Anonymity):

Как работают: Максимальная анонимность. Целевой сервер видит только IP прокси и не получает никаких признаков, что это прокси (нет специфических заголовков). Ваш реальный IP полностью скрыт.

Зачем: Когда нужна максимальная конфиденциальность и обход сложных систем обнаружения прокси.

2 . По Доступности:

Публичные (Public или Open) Proxy:

Бесплатные прокси, списки которых можно найти в интернете.

Плюсы: Бесплатны, легко доступны.

Минусы: Очень медленные, ненадежные (часто отключаются), перегруженные, опасные (могут логировать и воровать ваши данные, внедрять вредоносный код), часто блокируются сайтами.

Приватные (Private) Proxy:

Платные прокси, доступные только вам (или ограниченному кругу пользователей).

Плюсы: Высокая скорость, надежность, стабильность, чистота IP (меньше шансов быть заблокированными), лучше анонимность (если провайдер не ведет логи), выделенный IP или пул IP.

Минусы: Платные.

Важно помнить:

1. Не все прокси шифруют трафик! HTTP-прокси передают данные открыто. Для безопасности нужен HTTPS или VPN.
2. Доверяйте только надежным провайдерам, особенно приватных прокси. Бесплатные публичные прокси сопряжены с высокими рисками.
3. Использование прокси для обхода блокировок может нарушать правила сервисов или законодательство вашей страны. Всегда проверяйте легальность своих действий.