Чистый интернет во всей домашней сети, блокировка мобильной рекламы, защита от трекеров и полное скрытие DNS-запросов от провайдера - всё это можно реализовать силами одной лишь Raspberry Pi или другим устройством на Linux.

Долгое время королем сетевой блокировки считался Pi-hole, но сегодня индустрия двинулась дальше. AdGuard Home - более современное решение: оно написано на Go, работает "из коробки" с шифрованием (DoH, DoT, DoQ) и поддерживает мощный Adblock-синтаксис фильтров.

В этой статье мы разберем, как правильно развернуть AdGuard Home в Docker на Raspberry Pi, как решить частую проблему занятого 53-го порта (особенно если у вас стоят другие сервисы вроде v2rayA/Xray) и как правильно настроить систему для RU-сегмента.

Подготовка: Решаем проблему 53-го порта

Главная сложность при установке любого DNS-сервера в Docker - борьба за порт 53. Этот порт необходим для работы DNS, но в современных дистрибутивах Linux (включая Raspberry Pi OS и Ubuntu) он часто уже занят системным резолвером (systemd-resolved), встроенным dnsmasq или прокси-глушилками (например, движком Xray).

Перед стартом проверим, свободен ли порт. Выполните команду в терминале малинки:

sudo ss -tulpn | grep :53

Сценарий 1: Порт занят службой systemd-resolved

Если в выводе вы увидели этот процесс, его нужно отключить, чтобы освободить порт для Docker:

sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved
sudo rm /etc/resolv.conf
echo "nameserver 1.1.1.1" | sudo tee /etc/resolv.conf

Сценарий 2: Порт частично занят другими сервисами (Xray, VPN, dnsmasq)

Если вы увидели, что на порту 53 висят другие важные службы (например, на локальных адресах 127.2.0.17 или 10.42.0.1), отключать их нельзя - это сломает ваши туннели или внутреннюю сеть.

Решение: Мы заставим AdGuard Home слушать порт 53 только на основном IP-адресе вашей Raspberry Pi, который смотрит в домашнюю сеть.

Узнайте локальный IP-адрес малинки:

hostname -I

(Допустим, ваш адрес 192.168.1.50. Запомните его, он пригодится при написании Docker Compose).

Шаг 1: Развертывание через Docker Compose (Предполагается, что у Вас уже установлен и настроен Docker)

Создадим отдельную директорию для проекта и конфигурационный файл:

mkdir -p ~/adguard && cd ~/adguard
nano docker-compose.yml

Вставьте в файл следующий конфиг. Внимание: замените 192.168.1.50 на реальный IP-адрес вашей Raspberry Pi!

services:
  adguardhome:
    image: adguard/adguardhome
    container_name: adguardhome
    restart: unless-stopped
    ports:
      # Привязываем DNS к конкретному IP малинки, чтобы избежать конфликтов
      - "192.168.1.50:53:53/tcp"
      - "192.168.1.50:53:53/udp"
      # Веб-панель управления
      - "80:80/tcp"
      # Порт для первичной инициализации      
      - "3000:3000/tcp"  
    volumes:
      - ./work:/opt/adguardhome/work
      - ./conf:/opt/adguardhome/conf

Сохраните файл (Ctrl+O, затем Enter) и закройте редактор (Ctrl+X).

Запускаем контейнер:

docker compose up -d

Шаг 2: Первичная настройка AdGuard Home

Откройте браузер и перейдите по адресу: http://<IP_ВАШЕЙ_МАЛИНКИ>:3000.

Перед вами откроется приветственный мастер установки:

1. Веб-интерфейс: Оставляйте "Все интерфейсы" и порт 80.

2. DNS-сервер: Оставляйте "Все интерфейсы" и порт 53.

   Примечание: Внутри контейнера AdGuard должен слушать всё, Docker сам перенаправит трафик с внешнего IP на внутренний.

3. Нажмите Далее, придумайте логин и надежный пароль для администратора.

После завершения панель управления станет доступна по обычному адресу: http://<IP_ВАШЕЙ_МАЛИНКИ>.

Шаг 3: Настройка шифрования (DNS-over-HTTPS / QUIC)

По умолчанию AdGuard отправляет запросы в сеть в открытом виде. Провайдер может их перехватывать, анализировать и подменять (так работают базовые блокировки сайтов). Защитим наш трафик.

• В панели управления перейдите в Настройки -> Настройки DNS.

• В поле Апстрим DNS-серверы удалите всё и вставьте этот список быстрых и зашифрованных серверов:

  https://dns.cloudflare.com/dns-query
  quic://dns.adguard-dns.com
  tls://dns.quad9.net
  https://dns.google/dns-query

• Ниже в режиме маршрутизации выберите "Параллельные запросы" - AdGuard будет опрашивать все серверы одновременно и выбирать самый быстрый ответ. Это ускорит загрузку сайтов.

• В поле Серверы начальной загрузки (Bootstrap DNS) вставьте обычные IP-адреса. Они нужны системе только для того, чтобы в первый раз узнать координаты зашифрованных серверов:

  9.9.9.10
  149.112.112.10
  2620:fe::10
  2620:fe::fe:10
  1.1.1.1
  1.0.0.1
  8.8.8.8
  9.9.9.9

• Нажмите Проверить апстримы и, если всё ок, нажмите Применить.

Шаг 4: Подключаем лучшие фильтры для рунета (и где искать пропавшие списки)

Чтобы не перегружать оперативную память Raspberry Pi и не вызывать "поломку" нормальных сайтов, списки блокировок нужно подбирать аккуратно. В последних версиях AdGuard Home разработчики сильно почистили встроенные каталоги.

Перейдите в Фильтры -> Черные списки DNS -> Добавить черный список

Рекомендуемый сбалансированный набор:

• Общие: AdGuard DNS filter (включен по умолчанию, отлично режет базовую рекламу и трекеры) и OISD Blocklist Full (идеальный агрегатор без ложных срабатываний)..
• Региональные: AdGuard Russian filter и RU AdList (без них реклама Яндекса, Mail.ru и локальных сетей будет пролетать).
• Безопасность: Phishing URL Blocklist (PhishTank and OpenPhish), Malicious URL Blocklist (URLhaus) (Они надежно защитят домашнюю сеть от фишинга и вирусов.), WindowsSpyBlocker (глушит телеметрию Windows, не ломая обновления системы).

Куда пропал список для России и защита от трекеров?

Если вы не нашли в меню "Региональные" привычный российский фильтр - не пугайтесь. Дело в том, что разработчики AdGuard перенесли все актуальные DNS-блокировки для России (и правила против трекеров) прямо в базовый AdGuard DNS filter. Технически, вы уже защищены от отечественной рекламы "из коробки".

Как добавить кастомные списки вручную (Для продвинутых):

Для максимальной, бескомпромиссной фильтрации специфического мусора в рунете и телеметрии, добавьте пару легендарных списков вручную.
Нажмите "Добавить свой список" и введите:

• Для блокировки телеметрии Windows 10/11 (без поломки обновлений):
  • Название: WindowsSpyBlocker
  • URL: https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
• Для жесткой блокировки Яндекс.Метрики, Mail.ru и тизерных сетей:
  • Название: RU AdList
  • URL: https://easylist-downloads.adblockplus.org/advblock.txt

Нажмите "Сохранить", и AdGuard сам скачает актуальные правила.

Заключение: Направляем трафик

Теперь, когда ваш персональный DNS-сервер готов, нужно направить на него трафик.

У вас есть два пути:

1. Для всего дома: Зайдите в настройки вашего домашнего роутера, найдите параметры DHCP и в поле Primary DNS (Основной DNS) введите IP-адрес вашей Raspberry Pi. Перезагрузите роутер. Теперь все устройства (телефоны, ТВ, ноутбуки) защищены автоматически.
2. Для одного устройства: Если не хотите трогать роутер, зайдите в сетевые настройки конкретного ПК или смартфона и укажите IP малинки в качестве DNS вручную.

Что в итоге?

Вы получили полный контроль над своим сетевым трафиком. Вкладка "Журнал запросов" в AdGuard Home наглядно покажет, какие устройства и куда пытаются "стучаться" в фоновом режиме. Если какой-то нужный вам сайт или банк случайно заблокируется - вы сможете внести его в белый список прямо из лога в один клик.

Часто задаваемые вопросы (FAQ)

Почему AdGuard Home не блокирует рекламу внутри видео на YouTube, VK или Rutube?

Потому что эти платформы используют технологию серверной вклейки рекламы (SSAI - Server-Side Ad Insertion). Рекламные ролики и основное видео склеиваются на серверах корпораций и отдаются на ваше устройство с одного и того же домена единым зашифрованным потоком. DNS-фильтр работает на уровне доменов: он либо заблокирует весь видеопоток целиком, либо пропустит его вместе с рекламой. Для блокировки in-stream рекламы вам всё еще понадобятся браузерные расширения (например, uBlock Origin) или модифицированные клиенты (ReVanced).

У меня перестал открываться нужный сайт (Сбербанк, Госуслуги, Кинопоиск). Как починить?

Такое иногда случается - это типичное "ложное срабатывание" одного из черных списков. Не паникуйте! Откройте веб-панель AdGuard Home, перейдите в раздел "Журнал запросов". Найдите там свежую красную строчку с заблокированным доменом вашего сервиса и просто нажмите кнопку "Разблокировать". Сайт моментально заработает.

Что произойдет, если Raspberry Pi зависнет или я выдерну ее из розетки?

Это важный нюанс, о котором нужно помнить. Если вы указали малинку в настройках роутера как единственный DNS-сервер для всего дома, то при её отключении у всех устройств в квартире "пропадет" интернет. Сайты просто перестанут открываться (хотя мессенджеры по прямым IP могут работать). Если вы планируете выключить сервер надолго, не забудьте вернуть в настройках роутера автоматическое получение DNS от провайдера.

Что будет, если дома отключится электричество? Придется ли запускать всё заново?

Нет. В конфигурации нашего Docker-файла прописано правило restart: unless-stopped. Это значит, что как только Raspberry Pi получит питание и загрузится, AdGuard Home запустится автоматически, и интернет у всех устройств в доме восстановится.

Можно ли использовать AdGuard Home одновременно с VPN или обходом DPI (например, v2rayA / Xray)?

Да, они прекрасно работают на одном сервере. Более того, это классическая связка для современного домашнего сервера. Главное правило - грамотно настроить порты (как описано в нашей инструкции), чтобы движок VPN и Docker-контейнер с AdGuard не пытались одновременно занять 53-й порт на всех сетевых интерфейсах. Привязка AdGuard к локальному IP-адресу полностью решает эту проблему.

Глоссарий терминов

• DNS (Domain Name System) - "телефонная книга" интернета. Переводит понятные человеку адреса (например, riopass.ru) в числовые IP-адреса серверов (например, 192.168.1.1), которые понимают компьютеры.
• Апстрим DNS (Upstream DNS) - вышестоящий сервер в интернете. Когда вы вводите адрес сайта, а ваш домашний AdGuard Home не знает его IP-адреса, он обращается именно к апстрим-серверам (например, к серверам Cloudflare или Google) за ответом.
• Серверы начальной загрузки (Bootstrap DNS) - обычные, нешифрованные серверы (например, 1.1.1.1). Они нужны вашему AdGuard только в самую первую секунду работы: чтобы перевести буквенный адрес шифрованного апстрим-сервера (типа dns.cloudflare.com) в цифры и установить с ним защищенное соединение.
• DNS-over-HTTPS (DoH) / DNS-over-QUIC (DoQ) - современные протоколы шифрования. Заворачивают ваши DNS-запросы в непроницаемый криптографический туннель. Благодаря им ваш интернет-провайдер не видит, на какие сайты вы заходите, и не может подменить ответ (например, выдать страницу-заглушку о блокировке).
• Порт 53 - стандартная "дверь" в сетевом оборудовании, через которую проходит весь нешифрованный DNS-трафик.
• DHCP (Dynamic Host Configuration Protocol) - служба на вашем домашнем роутере, которая автоматически раздает IP-адреса и настройки сети (включая адрес нашего нового DNS-сервера) всем подключающимся телефонам, телевизорам и компьютерам.
• Docker / Docker Compose - система контейнеризации. Позволяет запускать программы (например, AdGuard Home) в изолированной среде со всеми необходимыми зависимостями, чтобы они не конфликтовали с основной операционной системой (Raspberry Pi OS).
• systemd-resolved - встроенная в Linux системная служба для управления сетевыми именами. Часто является главной головной болью при настройке собственных DNS-серверов, так как намертво занимает порт 53.
• v2rayA / Xray - мощные современные инструменты для маршрутизации трафика и обхода систем глубокого анализа пакетов (DPI). Часто устанавливаются на тот же сервер, что и AdGuard Home, для создания комплексного домашнего шлюза.
• SSAI (Server-Side Ad Insertion) - серверная вклейка рекламы. Технология, из-за которой AdGuard Home и другие сетевые блокировщики не могут вырезать рекламу внутри видеороликов на YouTube или VK Video. Видео и реклама отдаются с одного домена единым зашифрованным потоком.
• Ложные срабатывания (False Positives) - ситуация, когда из-за слишком агрессивных списков фильтрации под блокировку попадает полезный домен. Из-за этого может сломаться верстка сайта или перестать работать авторизация в приложении банка.
• Локальный IP-адрес - внутренний адрес устройства в вашей домашней сети (обычно начинается на 192.168.x.x или 10.x.x.x). Доступ к нему есть только у устройств, подключенных к вашему домашнему Wi-Fi, из интернета напрямую до него не добраться.

Приветствую! С вами riopass.ru, и сегодня мы поговорим о боли, слезах и единственной вещи, которая отделяет системного администратора от нервного срыва - о резервном копировании.

Предыстория: ничто не предвещало беды. Изначально я задумал развернуть локальную нейросеть на базе Ollama на своей Raspberry Pi 5 под управлением Raspberry Pi OS. Через скрипты Pi-Apps установка не завелась. Я, как положено, всё вычистил и решил ставить с официального сайта, чтобы скрипт сам подтянул нужную архитектуру и всё настроил.

Туда же "до кучи" была установлена пачка других утилит и запущен процесс обновления компонентов. А потом я просто решил выключить "Малинку" для плановой замены домашнего роутера. И оставил так спустя день.

И она больше не включилась...

При подаче питания вентилятор начинал выть на все 120%, а графическая оболочка и система в целом отказывались стартовать. Умные ИИ-ассистенты, к которым я пошел за советом, дружно начали хоронить железо: "у вас умер адаптер - просадка V5", "сгорела SD-карта", "повредилась файловая система". Максимум, что показала диагностика - это пресловутый dirty bit на загрузочном разделе (признак внезапного отключения питания), который утилита fsck успешно сняла, но систему это не оживило.

Основная проблема крылась в самой Ollama и криво вставших обновлениях - они просто намертво вешали инициализацию ядра.

И тут я вспомнил про raspiBackup. Это гениальный скрипт от немецких разработчиков, который я когда-то давно настроил на еженедельный сброс дампов на свой мини-сервер через SMB-шару. Помню, тогда ещё думал: "Блин, ну это же минус 30-40 ГБ места на диске! Бэкапы, которые никогда не пригодятся мне не пригодяться".

В итоге именно эти "лишние" гигабайты меня и спасли. Потому что реанимировать систему удалось только накатив бэкап. Ниже - подробная инструкция, как восстановить Raspberry Pi из архива raspiBackup, используя сторонний ПК (в моем случае - рабочий ноутбук на Debian 13).

Инструкция: Восстановление raspiBackup на другом Linux-ПК

Если ваша Малинка "мертва", вы не сможете запустить скрипт восстановления на ней самой. Нам понадобится любой компьютер с Linux (например, Ubuntu, Debian или Mint) и кардридер/переходник.

Шаг 1. Готовим накопитель и бэкап

1. Подключаем флешку или NVMe-накопитель от мертвой Raspberry к нашему Linux-ПК.

2. Проверяем, под каким именем накопитель определился в системе:

   lsblk

   Внимательно ищем свой диск по размеру (например, /dev/sdb). Это критически важно, чтобы случайно не отформатировать системный диск ноутбука!

3. Убеждаемся, что папка с вашим бэкапом (вида Имя@debian-tar-backup-Дата) доступна на этом ПК - локально или примонтирована по сети. Я перекинул заранее через команду scp.

Шаг 2. Скачиваем утилиту

Если скрипта raspiBackup нет на вашем ПК, скачиваем его одной командой:

curl -sSLO https://raw.githubusercontent.com/framps/raspiBackup/master/raspiBackup.sh
chmod +x raspiBackup.sh

Шаг 3. Запускаем магию (Осторожно, пофиг!)

Если вы просто запустите скрипт на ПК (архитектура x86_64), он выдаст ошибку RBK0268E: Only Raspberries running Raspberry PI OS are supported. Он "видит", что вы не на ARM, и отказывается работать.

Чтобы заставить скрипт развернуть бэкап на "чужеродной" системе, нужно использовать специальный флаг --unsupportedEnvironment.

Выполняем команду (не забудьте подставить свои данные!):

sudo ./raspiBackup.sh --unsupportedEnvironment -d /dev/sdb /путь/к/папке/с/бэкапом

Где /dev/sdb - это ваш накопитель от Малинки.

На скриншоте выделил красным IPv6 Link-Local, то что подключился по RDP с PC на ноутбук. (на самом роутере у меня IPv6 выключен)

Что произойдет дальше:
Скрипт прочитает структуру старого диска, сам переразметит разделы, зальет boot-сектор и распакует ваш тяжелый tar.zst архив прямо в корень. Прогресс-бара распаковки архива не будет - терминал просто "задумается" на 10–20 минут. Не прерывайте процесс! Дождитесь сообщения об успехе, извлеките диск и вставляйте его в Raspberry. Она загрузится так, будто ничего и не ломалось. (У меня в обще ноутбук заснул, я думал всё сломалось, но нет, успех!)

Бонус: IPv6 Link-Local - как найти сервер, если роутер умер

В моей истории всё началось с замены роутера. Часто при смене сетевого оборудования, изменении подсетей (например, с 192.168.1.x на 192.168.0.x) или выходе из строя DHCP-сервера, ваш headless-сервер (без монитора) становится недоступным по сети. Вы не знаете его новый IP-адрес.

Здесь на сцену выходит IPv6 Link-Local (Локальный адрес канала).

Даже если в вашей сети нет интернета, нет роутера и нет DHCP-сервера, любое современное устройство с поддержкой IPv6 автоматически генерирует себе адрес в диапазоне fe80::/10. Этот адрес создается на основе MAC-адреса сетевой карты и существует только в пределах физического сегмента сети (от кабеля до кабеля).

Как это использовать для спасения?

Если Raspberry Pi потерялась в сети:

1. Берем обычный патч-корд и соединяем порт Ethernet на вашем ноутбуке напрямую с портом Raspberry Pi.
2. Включаем устройства. Они автоматически договорятся и создадут себе Link-Local адреса.
3.  На вашем ноутбуке (Windows/Linux) открываем терминал и сканируем соседей по IPv6 с помощью мультикаст-пинга:

•        На Linux/macOS: ping6 -I eth0 ff02::1 (где eth0 — ваше сетевое подключение).
•        На Windows: ping -6 ff02::1

Вам ответят адреса, начинающиеся на fe80::.... Один из них - это ваш ноутбук, второй - ваша потерянная Raspberry Pi!

Берем этот адрес и спокойно подключаемся по SSH:

ssh user@fe80::xxxx:xxxx:xxxx:xxxx%eth0

(Знак процента и имя интерфейса в конце обязательны, чтобы система поняла, через какой именно кабель стучаться).

Подключились напрямую - поправили настройки netplan или dhcpcd.conf под новый роутер, и сервер снова в строю.

Мораль: Изучайте сетевые технологии и делайте бэкапы. Это экономит не только время, но и не будете как Ганвест разговаривать потом.

Глоссарий к статье

Для тех, кто только погружается в мир Linux и домашних серверов, вот расшифровка ключевых терминов из статьи:

•  Ollama - инструмент (фреймворк), позволяющий разворачивать и запускать большие языковые нейросети (LLM) прямо у себя на домашнем железе, без интернета и цензуры.
•  Headless-сервер (безголовый сервер) - компьютер или микрокомпьютер (как наша Raspberry Pi), который работает без подключенного монитора, клавиатуры и мыши. Управляется исключительно по сети.
•  fsck (File System Consistency Check) - стандартная системная утилита в Linux. Врач-травматолог для жестких дисков и флешек: проверяет файловую систему на ошибки и пытается их исправить.
• Dirty bit (Грязный бит) - специальный флаг (метка) в файловой системе. Ставится автоматически, если выдернуть питание устройства до того, как система успела безопасно завершить работу с диском. Сигнализирует о том, что при следующей загрузке нужно запустить fsck.
• raspiBackup - мощный opensource-скрипт для Raspberry Pi. Умеет делать резервные копии работающей системы по расписанию и сохранять их на сетевые диски.
• SMB-шара (SMB Share) - общая сетевая папка, доступная другим устройствам в локальной сети. Названа в честь протокола Server Message Block, который исторически используется в Windows, но отлично понимается и Linux-системами.
• tar.zst - формат сжатого архива. Утилита tar собирает всю файловую систему в один большой файл-контейнер, а алгоритм zstd (Zstandard) сжимает его. Работает гораздо быстрее и эффективнее старых форматов вроде .gz или .zip.
• NVMe (Non-Volatile Memory Express) - современный протокол и формат быстрых твердотельных накопителей (SSD). Raspberry Pi 5 поддерживает их подключение через специальный шлейф (PCIe), что дает колоссальный прирост скорости по сравнению с обычными MicroSD-картами.
• DHCP-сервер (Dynamic Host Configuration Protocol) - служба, которая автоматически выдает IP-адреса всем устройствам в вашей домашней сети. Чаще всего эта функция встроена в ваш домашний Wi-Fi роутер.
• IPv6 Link-Local (Локальный адрес канала) - автоматический сетевой адрес (всегда начинается с fe80::), который любое современное устройство назначает себе само. Работает только в пределах одного физического провода или Wi-Fi сегмента. Позволяет устройствам общаться напрямую, даже если роутер сгорел, а DHCP-сервер мертв.
• SSH (Secure Shell) - защищенный сетевой протокол для удаленного управления компьютером через командную строку. Тот самый черный экран с белыми буквами, через который админы творят магию.

Владельцы ТВ-приставок от Сбера сейчас сталкиваются с двойной проблемой: во-первых, провайдерские ТСПУ (DPI) режут трафик к YouTube, а во-вторых, закрытая экосистема StarOS без сервисов Google (GMS) не дает нормально использовать официальные приложения.

Стандартные VPN-клиенты с пульта управляются ужасно, а ключи Outline отваливаются из-за блокировок по сигнатурам. В этой статье на riopass.ru мы разберем ультимативный способ настройки: поднимем современный протокол VLESS (Xray + Reality) через клиент v2rayNG и поставим независимый клиент YouTube.

1. Установка правильного VPN-клиента (v2rayNG)

Мы будем использовать v2rayNG - мощный инструмент, который идеально работает с пультом и поддерживает современные протоколы вроде VLESS, маскирующиеся под обычный HTTPS-трафик (например, визит на сайт института в Европе).

Как закинуть приложение на SberBox:

У Сбера есть удобное облачное хранилище, но оно принимает строго файлы в формате только в .apk .
 

1. Идем на GitHub разработчика 2dust/v2rayNG и качаем APK из раздела Releases.
2. Аппаратный нюанс: Процессор у SberBox 64-битный (arm64-v8a), но ради экономии 2 ГБ оперативной памяти сама ОС Android часто урезана до 32 бит. Если версия arm64-v8a не появляется в системе после загрузки, смело качайте версию armeabi-v7a или universal.
3. Авторизуйтесь на сайте apps.sber.ru/my apps.sber.ru/my под своим Сбер ID.
4. Загрузите скачанный .apk файл.
5. На телевизоре перейдите в Каталог приложений -> Мои приложения -> Загруженные и установите v2rayNG.
   (Если приложение не появилось - перезагрузите приставку по питанию для принудительной синхронизации облака или обычной перезагрузкой удерживая кнопку выключения -> появиться круг "перезагрузить" -> одинарное нажатие на кнопку выкелючения).

2. Настройка VLESS (Reality)

Протокол Reality невероятно чувствителен к опечаткам. Ошибка в одном символе Public Key приведет к тому, что соединение не установится. Вводить 200 символов с пульта - плохая идея. Но разработчики Сбера сделали убогий браузер урезанные элементы управления и многое другое. (Если Вы нашли способ, как сделать без ручного ввода опишите его на нашу почту support@riopass.ru )

Если облако Сбера отказывается принимать картинки с QR-кодами, а скопировать текст через встроенный браузер не получается, придется идти по пути истинного джедая - забивать настройки вручную с D-pad'а пульта. Протокол Reality параноидально чувствителен к опечаткам: ошибка в одном регистре или лишний пробел, и сервер сбросит соединение.

Пример ключа с которого необходимо будет перепечатать данные(ключ не рабочий, предоставлен для примера!):

vless://12345678-abcd-1234-abcd-123456789abc@192.168.1.100:443?encryption=none&security=reality&type=tcp&sni=www.microsoft.com&fp=chrome&pbk=2TRaaychV1yeUxFJgC8sXztZxLCaGRxS8AcqP9gOKjA&sid=15a4e0b35cac5865&flow=xtls-rprx-vision&spx=%2F#AmneziaVPN

Давайте разберем эту "абракадабру" на запчасти, чтобы вы понимали, откуда брать данные для полей в v2rayNG:

•    vless:// - Указание на протокол.
•    12345678-abcd-1234-abcd-123456789abc (Всё, что идет до символа @) - Это ваш UUID. Именно его мы вписываем в поле Идентификатор (ID).
•    192.168.1.100:443 (Между @ и ?) - Это Адрес (IP вашего сервера) и Порт (443).
•    ? - Знак вопроса означает, что дальше идут дополнительные параметры. Каждый параметр отделяется друг от друга символом амперсанда &.

Ищем нужные параметры в хвосте ссылки:

•    flow=xtls-rprx-vision - Вписываем в поле Поток.
•    sni=www.microsoft.com - Домен маскировки. Вписываем в поле SNI.
•    fp=chrome - Отпечаток браузера. Вписываем в поле Отпечаток (Fingerprint).
•    pbk=2TRaaychV... - Ваш публичный ключ. Самая длинная строка, вписываем в Открытый ключ (Public Key).
•    sid=15a4e0b35cac5865 - Ваш короткий идентификатор, вписываем в ShortID.
•    spx=%2F - Кодированное обозначение символа слэш. В программе просто вписываем / в поле SpiderX.

И в самом конце:

•    #AmneziaVPN (Всё, что идет после знака решетки) — Это тег или название. Знак # отбрасываем, а само слово AmneziaVPN пишем в самую первую строку настроек — Имя (Remarks).

Открываем v2rayNG, жмем иконку "+" в правом верхнем углу и выбираем "Добавить VLESS". Перед вами появится длинный список параметров. Заполняем строго по инструкции:

Базовые настройки подключения

• Имя (Remarks): Любое понятное название (например, My_VPN). Внимание: если ваш генератор ключей добавил в конец ссылки тег вроде #AmneziaVPN, само это слово можно вписать сюда, но без знака решетки.
• Адрес (Address): IP-адрес вашего VPN-сервера (например, 192.168.1.1). Как его сделать читайте здесь.
• Порт (Port): Порт вашего подключения (обычно 443).
• Идентификатор (ID): Ваш UUID. Это строка из 36 символов (только строчные буквы и цифры), разделенная четырьмя дефисами (формат xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Вводить нужно предельно внимательно, соблюдая все дефисы.

Настройки маршрутизации и шифрования

• Поток (Flow): Строго xtls-rprx-vision (все буквы маленькие, без пробелов). Не используйте варианты с udp443, чтобы не вызвать конфликт.
• Шифрование (Encryption): Вписываем none. VLESS лишен собственного механизма шифрования ради снижения нагрузки на процессор (для ТВ-приставок это критично), за криптографию здесь будет отвечать сам Reality.
• Сеть (Network): Выбираем tcp. - должно быт ьпо умолчанию
• Тип заголовка (Header type): Выбираем none.

⚠️ Важное правило чистых полей:
Строки Узел HTTP (HTTP Host) и Путь (Path) оставляем абсолютно пустыми. Если вписать туда домен маскировки, Xray сформирует кривой пакет, и туннель не поднимется.

Настройки маскировки (Reality)

Пролистайте вниз до пункта Безопасность (TLS). По умолчанию там стоит none. Нажмите на него и выберите reality. Как только вы это сделаете, ниже "магическим образом" развернутся скрытые поля для настройки маскировки:

• SNI: Домен, под который маскируется ваш сервер (например, www.google.com - строго то, что указано в настройках вашего VPS).
• Отпечаток (Fingerprint): Вписываем chrome. Это заставит провайдера думать, что пакеты отправляет обычный браузер.
• Открытый ключ (Public Key): Самое важное поле. Длинная строка из 43 символов. Вводим крайне осторожно, строго соблюдая заглавные и строчные буквы!
• ShortID: Короткий идентификатор, обычно состоящий из 16 символов (цифры и строчные буквы).
• SpiderX: Ставим просто символ косой черты / (слэш).
• Поле "Необработанный JSON FinalMask" игнорируем и оставляем пустым.

Как только вбит последний символ, поднимаемся в самый верх экрана и жмем иконку Галочки (сохранить). Карточка сервера появится на главном экране. Выделяем ее и жмем круглую кнопку запуска!

Лечим ошибку маршрутизации (Красный экран)

При первой попытке запуска v2rayNG на чистой приставке вы, скорее всего, получите красное окно с ошибкой: geosite.dat: no such file or directory.

Это происходит потому, что программа пытается разделить трафик (пускать заблокированные сайты через VPN, а местные - напрямую), но баз геоданных в системе еще нет.

Как исправить:

1.    На главном экране v2rayNG (где карточка вашего сервера) нажмите на три вертикальные точки в правом верхнем углу -> Файлы ресурсов.

   

2.    Правый верхний угол заначек облачко "Обновить файлы геоданных" (Update GeoSite/GeoIP).
3.    Дождитесь уведомления об успешной загрузке.
      (Проверить загрузку можно в боковом меню: Настройки -> Файлы ресурсов. Там должны появиться файлы с указанием их веса в мегабайтах).

После этого выделите сервер и нажмите круглую кнопку запуска внизу. Проверьте соединение через меню сервера -> "Тестирование реальной задержки". Если появились миллисекунды (например, 60ms) - туннель пробил блокировки провайдера.

Что делать, если всё заполнено верно, но YouTube всё равно выдает ошибку?

Если вы идеально перенесли все ключи, тест задержки (Real ping) показывает стабильные миллисекунды, но IP-адрес на приставке не меняется и YouTube продолжает ругаться на ошибку сети, дело в кривых правилах маршрутизации по умолчанию.

Так как v2rayNG - проект международный (изначально ориентированный на обход "Великого китайского файрвола"), в нем "из коробки" могут стоять настройки маршрутизации strictly для Китая. В итоге приложение просто пускает весь трафик до серверов Google в обход созданного туннеля.

Лечится это в три клика прямо через интерфейс приставки:

1.    На главном экране v2rayNG откройте боковое меню и перейдите в раздел "Маршрутизация" (Routing).
2.    В правом верхнем углу нажмите на меню из трех вертикальных точек.
3.    Выберите пункт "Импортировать из набора правил" (Import from ruleset).
4.    В открывшемся списке выберите конфигурацию для России (чтобы автоматически заворачивать заблокированные ресурсы) или переключите режим на Глобальный (Global), чтобы пустить абсолютно весь интернет-трафик через ваш VPS.

После этого обязательно вернитесь на главный экран, выключите туннель большой круглой кнопкой и запустите его заново для применения новых правил.

Выходить лучше не на кнопку назад, а кнопку домой, тогда приложение останется в оперативной памяти и продолжит работать.

3. Замена YouTube на SmartTube

Встроенный клиент YouTube или его официальный APK на SberBox будут выдавать ошибку "Произошла ошибка. Повторите попытку позже" или сбрасывать авторизацию. Причина проста: в StarOS вырезаны сервисы Google Play, без которых официальное приложение жить не может.

Решение - установка SmartTube. Это легендарный open-source клиент для Android TV, который работает полностью автономно от сервисов Google.

1. Найдите на GitHub репозиторий SmartTube (от yuliskov).
2. Скачайте стабильную версию (SmartTube_stable.apk), если она не работает то которая заканчивается на armeabi-v7a.apk.
3. Закиньте её на SberBox через тот же apps.sber.ru/my и установите.

Почему SmartTube лучше оригинала:

• Не требует Google Services (GMS).
• Полностью вырезает рекламу.
• Имеет встроенный SponsorBlock (проматывает рекламные вставки самих блогеров).
• Легко управляется с пульта.

Как войти в аккаунт:
В самом SmartTube перейдите в раздел аккаунтов и нажмите "Войти". На экране ТВ появится код. Откройте на смартфоне страницу youtube.com/activate, введите код с экрана телевизора, и все ваши подписки и история мгновенно подтянутся.

Теперь ваш SberBox оборудован современным, неблокируемым VPN-туннелем, и лучшим клиентом для YouTube на рынке. Приставка не тормозит от тяжелых сервисов Google, а трафик надежно зашифрован.

Остались вопросы или что-то не работает? Пишите на почту тех поддержки riopass.ru, разберем любые ошибки!

Успешных настроек! Больше технических инструкций и гайдов для IT-специалистов и энтузиастов читайте на riopass.ru.

Глоссарий

• DPI (ТСПУ): Технические средства противодействия угрозам. Оборудование провайдера, которое осуществляет глубокий анализ пакетов. Именно оно распознает стандартные VPN-протоколы (вроде WireGuard или Outline/Shadowsocks) и блокирует доступ к YouTube.
• v2rayNG: Мощное приложение-клиент для Android и Android TV. В отличие от простых VPN-приложений, оно умеет работать с продвинутыми протоколами маскировки и гибко настраивать маршрутизацию трафика.
• Xray-core (Xray): Современное сетевое ядро (движок), которое работает на вашем VPS-сервере и внутри приложения v2rayNG. Отвечает за прием, обработку и маскировку трафика.
• VLESS: Облегченный протокол передачи данных. В отличие от старых протоколов, он не имеет собственного шифрования (что экономит ресурсы процессора, например ТВ-приставки), передавая эту задачу более мощным алгоритмам.
• Reality: Передовая технология маскировки трафика. Не просто шифрует данные, а создает полноценную иллюзию того, что вы посещаете обычный разрешенный сайт (например, сайт Microsoft или Apple). ТСПУ провайдера видит этот "белый" трафик и пропускает его без блокировок.
• XTLS-Vision (xtls-rprx-vision): Специальный алгоритм потоковой передачи внутри Xray. Он скрывает характерные следы (паттерны) того, что внутри вашего соединения спрятан еще один зашифрованный туннель (защита от обнаружения "TLS in TLS").
• UUID (ID / Идентификатор): Ваш уникальный "пароль" пользователя. Строка из 36 символов (букв и цифр, разделенных дефисами), по которой сервер узнает, что подключаетесь именно вы.
• SNI (Server Name Indication): Домен-прикрытие. Тот самый разрешенный адрес (например, www.sap.com), под который протокол Reality маскирует ваше соединение от глаз провайдера.
• Открытый ключ (Public Key / pbk): Длинная криптографическая строка, которая используется протоколом Reality для установления защищенного сеанса связи с сервером. Самый чувствительный к опечаткам параметр.
• SmartTube: Независимый open-source клиент YouTube для умных телевизоров. Работает без сервисов Google (GMS), вырезает всю рекламу (включая встроенную блогерами) и не конфликтует с закрытыми системами вроде StarOS.
• GeoSite / GeoIP: Встроенные базы данных маршрутизации. Они содержат списки IP-адресов и доменов, позволяя v2rayNG понимать, какой трафик нужно отправлять в зашифрованный туннель (например, заблокированные соцсети), а какой - напрямую (например, локальные сервисы Сбера).

Сегодня мы разберем одно из самых удобных решений для селф-хостинга - установку Outline VPN. Он работает на базе зашифрованного протокола Shadowsocks, который изначально создавался для обхода Великого китайского файрвола. Главный плюс Outline - невероятно простое управление доступом для всех ваших устройств, семьи и друзей через удобный графический интерфейс.

Что такое Outline, кому он принадлежит и почему это надежно?

Outline - это не просто очередное VPN-приложение, а проект с открытым исходным кодом, который разрабатывается Jigsaw - технологическим инкубатором внутри корпорации Google (Alphabet). Изначально Outline создавался специально для журналистов, правозащитников и новостных организаций, чтобы обеспечить им безопасный доступ к информации в странах с жесткой интернет-цензурой.

Почему Outline считается надежным и безопасным:

•  Протокол маскировки: В основе Outline лежит протокол Shadowsocks. Он не просто шифрует данные, но и маскирует их. Для систем блокировок (DPI) ваш трафик выглядит не как VPN-соединение, а как обычный, нечитаемый "белый шум". Это позволяет успешно обходить даже "Великий китайский файрвол".
• Независимый аудит: Поскольку код проекта полностью открыт (Open Source), его регулярно проверяют независимые компании в сфере кибербезопасности (например, Radically Open Security и Cure53). В нем нет скрытых "бэкдоров".
• Отсутствие логов (No-logs policy): Outline Manager и серверная часть технически не собирают и не хранят историю ваших веб-запросов. Вы контролируете свой сервер, и никто (даже Google) не имеет доступа к вашему трафику. Менеджер собирает лишь статистику объема переданных мегабайт, чтобы вы могли контролировать лимиты.

Скриншот приложения клиента:

Задача 1: Аренда сервера (VPS)

Для начала нам нужен виртуальный сервер за пределами РФ (не у хостера, который аффилирован с российскими компаниями или имеет российские стыки. Это не паранойя - это реальная техническая проблема, и она влияет и на приватность, и на обход блокировок, и на SEO‑репутацию IP).

• Локация: Для пользователей из РФ идеальный баланс между пингом и стабильностью дают Германия, Нидерланды или Швеция. Выберите любого удобного зарубежного хостинг-провайдера (Hetzner, DigitalOcean, Vultr, Linode, OVHcloud или проверенных посредников).

  Можем посоветовать реселлера koara.io :

  Можете использовать нашу реферальную ссылку: https://koara.cloud/?from=1893 

  Промокод: sale_1893

•    Тариф: Арендуйте самый дешевый тариф (обычно хватает 1 vCPU и 1-2 GB RAM).
•    Операционная система: Строго чистая Ubuntu 22.04 (и выше) или Debian 12 (и выше).
•    Виртуализация: Строго KVM.

После оплаты хостер выдаст вам IP-адрес сервера и пароль пользователя root.

Задача 2: Базовая безопасность сервера (Отказ от паролей)

Оставлять сервер с доступом по паролю в интернете - плохая идея. Его начнут атаковать боты-брутфорсеры в первые же минуты. Мы настроим доступ по криптографическому SSH-ключу.

Откройте PowerShell (если у вас Windows) или терминал (Linux/macOS) и выполните следующие шаги:

0. Первая кровь - смена пароля root

Подключитесь к серверу через терминал:
ssh root@ВАШ_IP

Введите команду passwd для смены пароля.

Важно: Не используйте простые слова. Мы рекомендуем генерировать пароль длиной не менее 13 символов. Для создания надежного пароля воспользуйтесь генератором на нашем сайте https://riopass.ru/. Такой пароль методом брутфорса будут взламывать десятилетиями.

На домашнем ПК:

1. Генерация ключа:

   Введите команду:

   ssh-keygen -t ed25519 -f "$HOME\.ssh\vpn_key" -C "outline-server"

   Нажмите дважды Enter, когда система попросит ввести пароль (passphrase). В вашей папке .ssh появятся два файла: vpn_key (ваш секретный ключ) и vpn_key.pub (публичный ключ для сервера).

2. Копирование публичного ключа на сервер:

   Выведите содержимое публичного ключа на экран и скопируйте его:

   cat "$HOME\.ssh\vpn_key.pub"

   Теперь подключитесь к вашему новому серверу по паролю, который дал хостер:
   ssh root@ВАШ_IP_АДРЕС

   Cоздайте папку для ключей и запишите туда скопированный ключ:

   mkdir -p ~/.ssh
   chmod 700 ~/.ssh
   nano ~/.ssh/authorized_keys

   Вставьте ваш ключ (ssh-ed25519...) в редактор, сохраните файл (Ctrl+O, Enter, Ctrl+X) и выдайте права:
   chmod 600 ~/.ssh/authorized_keys

3. Отключение входа по паролю:

   Теперь скажем серверу пускать только владельца ключа. Откройте конфигурацию SSH:

   nano /etc/ssh/sshd_config

   Найдите и измените следующие строки:

   PasswordAuthentication no
   PermitRootLogin prohibit-password
   KbdInteractiveAuthentication no

   Перезапустите службу SSH, чтобы применить настройки:

   systemctl restart ssh

   Готово! Ваш сервер теперь защищен.

Задача 3: Установка Outline VPN

Архитектура Outline состоит из двух программ: Manager (для управления сервером на вашем ПК) и Client (для подключения к VPN на телефоне или ПК).

1. Подготовка Outline Manager:

   1. Скачайте Outline Manager с официального сайта (getoutline.org) и установите на свой компьютер. Если сайт блокируется, то перейдите в официальный репозиторий на GitHub

      Прямо на главной странице в описании (файл README.md) собраны прямые ссылки на загрузку Outline Manager (для Windows, macOS, Linux) и Outline Client для всех платформ.

   2. Откройте программу и выберите плитку "Настроить Outline где угодно" (Set up Outline anywhere).
   3. Программа выдаст вам длинную команду, которая начинается с sudo bash -c .... Скопируйте её
2. Установка на сервер:
   1. Вернитесь в терминал (PowerShell), где вы подключены к вашему серверу.

   2. Вставьте скопированную команду и нажмите Enter.

      Примечание: Если скрипт спросит, установить ли Docker, соглашайтесь (нажмите Y и Enter).

   3. Установка займет пару минут. В конце терминал выдаст зеленый текст — это ваши конфигурационные данные (API URL и сертификат), которые выглядят примерно так: {"apiUrl":"https://...","certSha256":"..."}. Скопируйте весь этот блок.

3. Привязка сервера к Менеджеру:

   1. Вернитесь в Outline Manager.
   2. Вставьте скопированный из терминала зеленый блок во второе поле ввода и нажмите "Готово".

   Сервер настроен! Теперь перед вами панель управления вашим VPN.

Этап 4: Подключение устройств и раздельное туннелирование

Создание ключей и подключение:

1. В Outline Manager нажмите "Добавить новый ключ". Вы можете переименовать его (например, "Мой iPhone" или "Ноутбук жены").

   

2. Нажмите кнопку "Поделиться" рядом с ключом. Скопируйте полученный код доступа (начинается на ss://...). Но не забудьте про ПРЕФИКСЫ - https://riopass.ru/tips/117/ без них могут блокировать соединение.
3. Скачайте приложение Outline Client на ваш телефон (из Google Play / App Store) или компьютер.

Чтобы безопасно подключиться к интернету, используйте этот сервер.

1. Скачайте и установите на устройство приложение Outline:

iOS: https://itunes.apple.com/app/outline-app/id1356177741
macOS: https://itunes.apple.com/app/outline-app/id1356178125
Windows: https://s3.amazonaws.com/outline-releases/client/windows/stable/Outline-Client.exe
Linux: https://support.getoutline.org/client/getting-started/install-linux/
Android: https://play.google.com/store/apps/details?id=org.outline.android.client
Дополнительная ссылка для Android: https://s3.amazonaws.com/outline-releases/client/android/stable/Outline-Client.apk

2. Получите ключ доступа, который начинается с ss://, а затем скопируйте его.

3. Откройте клиент Outline. Если ваш ключ доступа определился автоматически, нажмите "Подключиться". Если этого не произошло, вставьте ключ в поле и нажмите "Подключиться".

Теперь у вас есть доступ к свободному интернету. Чтобы убедиться, что вы подключились к серверу, введите в Google Поиске фразу "Какой у меня IP-адрес". IP-адрес, указанный в Google, должен совпадать с IP-адресом в клиенте Outline.

Дополнительные сведения можно найти на странице https://getoutline.org/.

Откройте Client. Он автоматически распознает скопированный ключ из буфера обмена. Нажмите "Добавить сервер" и затем "Подключить". И не забудьте про ПРЕФИКСЫ - https://riopass.ru/tips/117/ 

Раздельное туннелирование (Split Tunneling):

В отличие от Amnezia, десктопный клиент Outline пропускает через VPN весь трафик устройства по умолчанию.

Поздравляем! Теперь у вас есть собственный, надежный VPN. Остались вопросы? Пишите на почту техподдержки riopass.ru, разберем любые ошибки!

FAQ: Частые вопросы и решение проблем

В: Провайдер всё-таки заблокировал мой Outline. Подключение идет, но интернета нет. Что делать?
О: Протокол Shadowsocks, на котором базируется Outline, иногда подвергается ковровым блокировкам со стороны ТСПУ (особенно во время массовых ограничений). Роскомнадзор может блокировать конкретный порт на вашем сервере.

• Решение: Зайдите в Outline Manager, нажмите на настройки сервера и измените "Порт для новых ключей доступа" на случайный (например, 8443, 443 или любой от 1024 до 65535). После этого создайте новый ключ доступа для своего устройства — часто это полностью решает проблему.

В: Можно ли поделиться своим VPN с семьей или друзьями?
О: Да, и Outline создан именно для этого! Вы можете создать десятки независимых ключей в Outline Manager. Вы будете видеть, сколько гигабайт трафика потратил каждый пользователь, и сможете удалить ключ в один клик.
Но помните: Чем больше людей одновременно качают тяжелые файлы через ваш единственный IP-адрес, тем выше риск привлечь внимание систем блокировки. Делитесь доступом с умом.

В: Скорость через VPN сильно упала. Как исправить?
О: Ваш магистральный провайдер пытается "зашейпить" (искусственно ограничить) трафик. Попробуйте сменить порт в настройках сервера (как описано выше) или перевыпустить ключи. Если это не помогает регулярно, возможно, вам стоит рассмотреть установку протокола Xray/Reality (см. нашу инструкцию по Amnezia VPN).

В: Почему периодически обрывается прямое подключение к серверу по SSH?
О: Чаще всего это банальный таймаут - сервер сам разрывает соединение из-за долгого бездействия (если вы ничего не вводите в консоль). Если падает активное подключение, это может означать, что провайдер видит факт SSH-соединения с зарубежным IP и обрывает его. В тяжелых случаях поможет смена хостинг-провайдера на менее "засвеченного" у систем фильтрации.

В: Мой российский провайдер увидит, какие сайты я посещаю через Outline?
О: Нет. Провайдер будет видеть только то, что вы передаете нечитаемый зашифрованный поток данных на неизвестный зарубежный IP-адрес. Ваши DNS-запросы, история посещений и скачанные файлы надежно спрятаны.

Глоссарий

• VPS (Virtual Private Server): Виртуальный выделенный сервер. Грубо говоря, это изолированная часть мощного компьютера (сервера) в дата-центре, которую вы арендуете и полностью контролируете.
• SSH (Secure Shell): Сетевой протокол, позволяющий безопасно подключаться к удаленному серверу и управлять им с помощью текстовых команд в терминале.
• Shadowsocks: Открытый протокол шифрования данных, изначально разработанный в Китае для обхода государственной цензуры. В отличие от классических VPN, он маскирует трафик под обычное HTTPS-соединение.
• DPI (Deep Packet Inspection): Технология глубокого анализа сетевых пакетов. Провайдеры используют её для проверки того, какие именно данные вы передаете, чтобы блокировать неугодные протоколы и сайты.
• ТСПУ (Технические средства противодействия угрозам): Оборудование, которое Роскомнадзор обязывает устанавливать всех российских провайдеров. Именно эта "черная коробка" занимается фильтрацией (DPI) и блокировкой сайтов.
• Раздельное туннелирование (Split Tunneling): Настройка, позволяющая пустить часть интернет-трафика (например, заблокированные сайты) через VPN, а другую часть (например, банковские приложения) - напрямую через вашего провайдера.
• Брутфорс (Brute-force): Хакерский метод угадывания паролей путем их сплошного автоматического перебора. Именно поэтому мы отключили вход по паролю в Задаче 2.
• Docker: Программная платформа, которая упаковывает приложения (в нашем случае серверную часть Outline) и все их зависимости в изолированные контейнеры. Это позволяет легко развернуть VPN на сервере одной командой, не засоряя саму операционную систему.
• KVM (Kernel-based Virtual Machine): Технология аппаратной виртуализации, позволяющая создать на сервере полностью изолированную виртуальную машину со своим ядром ОС. В отличие от более дешевой технологии контейнеризации (например, OpenVZ), KVM гарантирует, что Docker и Outline будут работать без сбоев.
• Open Source (Открытый исходный код): Модель разработки программного обеспечения, при которой любой желающий (в том числе независимые аудиторы безопасности) может посмотреть, как написан код программы. Это гарантия того, что в приложении нет скрытых шпионских модулей.
• Ping (Пинг): Время в миллисекундах, за которое пакет данных доходит от вашего компьютера до сервера и возвращается обратно. Чем он ниже, тем отзывчивее будет интернет через VPN.
• Root: Главный администратор (суперпользователь) в системах на базе Linux, имеющий абсолютные, неограниченные права на изменение любых настроек сервера.
• SSH-ключ (Криптографический ключ): Альтернатива обычному паролю. Это связка из двух файлов (приватного и публичного). Приватный ключ надежно хранится только на вашем устройстве, а публичный - на сервере. Войти на сервер может только обладатель приватного ключа.
• Бэкдор (Backdoor): Буквально "черный ход" или программная "закладка". Это преднамеренно скрытая уязвимость или специальный алгоритм в коде программы, который позволяет разработчикам, хакерам или спецслужбам получить несанкционированный доступ к устройству, обойти шифрование и незаметно перехватывать трафик в обход стандартных систем защиты. Благодаря тому, что код Outline полностью открыт (Open Source), независимые аудиторы могут проверить его и гарантировать, что в нем нет подобных скрытых угроз.

Стандартная утилита ping есть в каждой операционной системе, и мы все привыкли к её аскетичному выводу. Но когда нужно отследить плавающую проблему - например, периодические скачки пинга до удаленного VPS или потери пакетов на маршрутизаторе - вглядываться в бесконечный поток строк становится утомительно.

Здесь на помощь приходит gping - кроссплатформенная консольная утилита, написанная на Rust. Она делает ровно одну вещь, но делает её красиво: пингует указанные узлы и строит наглядный график задержек прямо в терминале.

В этой статье разберем, как установить, использовать и настроить gping в среде Windows.

Установка gping в Windows

Так как gping является утилитой командной строки, проще всего установить её через пакетные менеджеры для Windows. Это избавит вас от необходимости вручную скачивать бинарные файлы и прописывать пути в переменные среды.

Это самый простой способ для современных версий Windows 10 и 11. Откройте PowerShell или командную строку от имени администратора и введите:

winget install gping

Альтернатива: Вы всегда можете скачать скомпилированный .exe файл напрямую со страницы релизов на GitHub (репозиторий orf/gping) и положить его в любую папку, добавленную в переменную PATH.

Базовое использование

Откройте командную строку (cmd, PowerShell или Windows Terminal - в последнем графики выглядят лучше всего) и введите команду с указанием нужного хоста:

gping google.com ya.ru

Утилита сразу же начнет отрисовывать график, где по вертикали будет указано время отклика (в миллисекундах), а по горизонтали - время.

Продвинутые возможности и настройка

gping не имеет отдельного конфигурационного файла, всё управление происходит через ключи командной строки. Вот самые полезные сценарии:

1. Одновременный мониторинг нескольких узлов

Это киллер-фича утилиты. Вы можете передать ей несколько адресов через пробел. gping присвоит каждому свой цвет и выведет их на один график.

Например, классический кейс диагностики сети - сравнить пинг до шлюза (допустим, вашего Mikrotik) и до внешнего DNS-сервера:

gping 192.168.88.1 8.8.8.8

Так вы сразу визуально поймете, где именно происходит провал или скачок задержки - внутри локальной сети или уже у провайдера.

2. Изменение размера буфера (длины графика)

По умолчанию график отображает определенное количество последних ответов. Если вы хотите наблюдать за картиной на более длинном отрезке времени, используйте ключ -b (buffer):

gping -b 100 8.8.8.8

3. Принудительное использование IPv4 или IPv6

Как и в стандартном пинге, вы можете заставить утилиту использовать конкретную версию протокола ключами -4 и -6:

gping -4 ya.ru

4. Изменение цвета

По умолчанию gping сам раскрашивает графики, но если вы используете специфическую цветовую схему в терминале, цвета можно задать вручную через ключ -c (поддерживаются hex-коды), в примере белый цвет:

gping -c "#FFFFFF" 8.8.8.8

Из минусов стоит отметить, что не работает через туннель

gping - это отличный пример того, как классические сетевые инструменты могут эволюционировать. Он не заменяет тяжеловесные системы мониторинга вроде Zabbix или Prometheus, но идеально подходит для "здесь и сейчас", когда нужно быстро оценить состояние сети перед глазами. Если ваша работа связана с настройкой сетей, диагностикой подключений или администрированием серверов, gping определенно заслуживает места на вашей рабочей машине.

Глоссарий

• Ping (Пинг) - базовая сетевая утилита для проверки целостности и качества соединений в сетях на основе TCP/IP. Отправляет эхо-запросы (ICMP Echo-Request) к проверяемому узлу и фиксирует время поступления ответов.
• VPS (Virtual Private Server) - виртуальный выделенный сервер. В контексте статьи - удаленная машина, к которой настраивается подключение и стабильность которого нужно проверять.
• Пакетный менеджер (Package Manager) - программное обеспечение для автоматизации процесса установки, обновления, настройки и удаления программ. В Windows популярными примерами являются winget (официальный от Microsoft), Scoop и Chocolatey.
• Переменная среды PATH - системная переменная, содержащая список директорий, в которых операционная система ищет исполняемые файлы. Если путь к файлу утилиты (например, .exe) добавлен в PATH, её можно запускать из командной строки без указания полного пути.
• Шлюз (Gateway) - аппаратный маршрутизатор или программное обеспечение, настроенное для соединения сетей с разными протоколами (в домашних и офисных сетях обычно это роутер, через который идет выход в интернет).
• DNS-сервер (Domain Name System) - компьютер, распределенная система для получения информации о доменах. Главная функция - преобразование удобных для человека доменных имён (например, google.com) в IP-адреса, понятные компьютерам (например, 8.8.8.8).
• IPv4 и IPv6 (Internet Protocol version 4 / 6) - версии интернет-протокола, определяющие формат IP-адресов. IPv4 использует 32-битные адреса (формат 192.168.1.1), а IPv6 - 128-битные адреса, созданные для решения проблемы нехватки адресов в сети.
• Hex-код цвета (Hexadecimal code) - способ кодирования цвета с помощью шестнадцатеричной системы счисления. Записывается с решеткой в начале, например #00FF00 (зеленый).
• Rust - современный мультипарадигмальный компилируемый язык программирования общего назначения, на котором написана утилита gping. Отличается высокой скоростью работы и безопасностью работы с памятью.

Если ваша работа или хобби связаны с IT, вы наверняка регулярно подключаетесь к удаленным машинам. Поднять личный VPN на Amnezia, настроить Outline, закинуть скрипт на рабочий сервер или поковырять домашнюю медиастанцию - для всего этого мы используем SSH.

Но когда серверов становится больше двух, начинается классическая боль. Приходится держать в голове (или в бесконечных заметках) кучу IP-адресов, логинов и путей к SSH-ключам.

Вместо того чтобы каждый раз набирать монструозные конструкции вроде:

ssh -i ~/.ssh/vpn_private_key root@44.158.22.1

...можно настроить всё так, чтобы подключаться к любому серверу в два слова.

Сегодня на www.riopass.ru разберем, как один простой текстовый файл сэкономит вам массу времени и нервов.

Знакомьтесь: файл конфигурации SSH

Вся магия скрывается в файле config, который лежит в директории с вашими SSH-ключами.

1. Для Windows: C:\Users\ИмяПользователя\.ssh\config (или %USERPROFILE%\.ssh\config)
2. Для Linux / macOS: ~/.ssh/config

Если такого файла у вас в папке .ssh еще нет - просто создайте его (это обычный текстовый файл без расширения, не config.txt, а просто config).

Пример идеальной конфигурации

Давайте посмотрим на реальный пример. Допустим, у нас есть три разных сервера с разными ключами. Открываем наш файл config в любом текстовом редакторе и пишем:

Host amnezia
    HostName 44.158.22.1
    User root
    IdentityFile ~/.ssh/vpn

Host outline
    HostName 98.145.22.3
    User root
    IdentityFile ~/.ssh/german

Host server
    HostName 98.145.22.154
    User root
    IdentityFile ~/.ssh/server

Разбираем теорию: что означают эти параметры?

Структура файла максимально проста и логична:

• Host - это алиас (псевдоним), который вы придумываете сами. Именно это слово вы будете писать в терминале. Назвать можно как угодно: amnezia, work-pc, my-pi5.
• HostName - реальный IP-адрес вашего сервера (или доменное имя).
• User - имя пользователя, под которым вы логинитесь (чаще всего это root, но может быть ubuntu, pi, admin и т.д.).
• IdentityFile - полный путь к вашему приватному SSH-ключу от этого конкретного сервера.

Важное примечание для пользователей Windows: в параметре IdentityFile можно использовать пути в стиле Linux (~/.ssh/vpn), современные версии OpenSSH в Windows 10/11 отлично их понимают.

Как это работает на практике?

Теперь магия в действии. Открываем терминал и вместо того, чтобы судорожно искать IP-адрес и нужный ключ, просто пишем:

ssh amnezia

И всё! Система сама посмотрит в config, поймет, что под словом amnezia скрывается адрес 44.158.22.1, возьмет пользователя root и подсунет нужный ключ ~/.ssh/vpn.

Точно так же, для подключения к серверу Outline:

ssh outline

Пару советов напоследок

1. Права доступа (для Linux/macOS): SSH очень ревностно относится к безопасности. Убедитесь, что у вашего файла конфигурации стоят правильные права доступа, иначе SSH может отказаться его читать. Выполните команду: chmod 600 ~/.ssh/config.
2. Организация: Если серверов станет совсем много, вы можете оставлять в файле config комментарии, используя символ #. Например: # Мои личные VPN-серверы.

Настроив этот файл один раз, вы больше никогда не запутаетесь в ключах и IP-адресах.

Делаем SSH еще удобнее

Но если базовая настройка вас уже не впечатляет, давайте добавим пару параметров, которые используют настоящие джедаи терминала. Их можно прописать как для конкретного сервера, так и для всех сразу.

1. Чтобы соединение не "отваливалось" (ServerAliveInterval)

Знакомая ситуация: вы подключились к серверу, отошли заварить кофе, возвращаетесь, а терминал завис и не реагирует на нажатия клавиш. Это происходит из-за того, что провайдеры или домашние роутеры автоматически обрывают неактивные сетевые сессии.

Чтобы этого избежать, добавим в самый верх файла config глобальное правило:

Host *
    ServerAliveInterval 60

Звездочка Host * означает, что правило применится ко всем серверам. Теперь ваш компьютер будет каждые 60 секунд отправлять "невидимый" пинг (keep-alive пакет), чтобы дать понять маршрутизаторам: "Эй, мы тут работаем, соединение не рвать!".

2. Проброс портов (LocalForward): безопасный доступ к закрытым админкам

Допустим, на вашем домашнем сервере или Raspberry Pi крутится свежий проект на FastAPI, локальная база данных или какая-нибудь веб-админка, которая слушает только локальный порт (например, 8000). Открывать этот порт наружу в интернет - плохая идея с точки зрения безопасности.

Тут на помощь приходит проброс портов через SSH-туннель:

Host dev-server
    HostName 98.145.22.154
    User root
    IdentityFile ~/.ssh/server
    LocalForward 8000 localhost:8000

Что это дает? Как только вы подключаетесь командой ssh dev-server, SSH создает защищенный туннель. Теперь вы можете просто открыть браузер на своем рабочем компьютере, вбить http://localhost:8000, и вы попадете прямо в админку удаленного сервера! Трафик при этом будет полностью зашифрован.

3. Прыжок через сервер (ProxyJump): доступ к закрытым сетям

Представьте ситуацию: у вас есть домашняя Raspberry Pi или рабочий сервер базы данных, к которому нет прямого доступа из интернета (он спрятан за NAT или корпоративным фаерволом). Чтобы на него попасть, вам нужно сначала подключиться к определенному серверу-шлюзу (Bastion host), и уже с него заходить на целевую машину.

Раньше приходилось делать это в два этапа или, что еще хуже, хранить свои приватные SSH-ключи на промежуточном сервере-шлюзе (что категорически нельзя делать из соображений безопасности).

С параметром ProxyJump вы можете сделать это одной командой, а все ключи останутся только на вашем компьютере:

# Сначала описываем наш сервер-шлюз (через который будем прыгать)
Host gateway
    HostName 98.145.22.154
    User root
    IdentityFile ~/.ssh/server

# Теперь описываем закрытый сервер
Host secret-pi
    HostName 192.168.1.50  # Внутренний IP-адрес в закрытой сети!
    User pi
    IdentityFile ~/.ssh/pi_key
    ProxyJump gateway

Как это работает? Когда вы пишете в терминале ssh secret-pi, ваш SSH-клиент сам понимает, что нужно сделать:

1. Он молча подключается к gateway.
2. Прямо внутри этого соединения создает безопасный туннель до внутреннего адреса 192.168.1.50.
3. Авторизуется на secret-pi, используя ваш локальный ключ ~/.ssh/pi_key.

Вы сразу попадаете в консоль целевого сервера, как будто подключились к нему напрямую. Быстро, безопасно и максимально элегантно.

Файл ~/.ssh/config - это тот самый инструмент, настройка которого занимает 10 минут, но экономит часы рабочего времени и спасает нервные клетки в будущем. Начните с простых алиасов, а когда почувствуете себя уверенно - экспериментируйте с пробросом портов и прыжками через хосты.

Глоссарий: по терминам из статьи

• SSH (Secure Shell) - сетевой протокол, который позволяет безопасно (в зашифрованном виде) управлять удаленным компьютером или сервером через командную строку.
• SSH-ключ (IdentityFile) - криптографический файл, который работает как ваш цифровой пропуск. Состоит из двух частей: открытого ключа (хранится на сервере) и закрытого (хранится у вас). Позволяет входить на сервер без ввода пароля, что гораздо безопаснее и удобнее.
• Алиас (Host / Псевдоним) - короткое и понятное выдуманное имя (например, amnezia или home-pi), которое заменяет собой длинный IP-адрес для удобства ввода команд.
• Проброс портов (Port Forwarding / SSH-туннелирование) - создание защищенного "коридора" внутри SSH-соединения. Позволяет безопасно прокинуть локальный порт удаленного сервера на ваш рабочий компьютер, чтобы открыть закрытую веб-админку в своем браузере.
• Bastion Host (Сервер-шлюз / Jump Server) - промежуточный сервер, имеющий выход в интернет, через который осуществляется доступ к внутренним, изолированным от сети серверам. Именно для прыжка через него мы используем параметр ProxyJump.
• Keep-alive пакеты - специальные "пустые" сигналы, которые ваш компьютер периодически отправляет на сервер, чтобы сетевое оборудование провайдера не разорвало соединение из-за долгого бездействия (настраивается параметром ServerAliveInterval).
• NAT (Network Address Translation) - механизм в маршрутизаторах, который позволяет нескольким устройствам в домашней или корпоративной сети выходить в интернет под одним общим («белым») IP-адресом. Из-за NAT к внутренним устройствам (например, домашней Raspberry Pi) нельзя напрямую подключиться извне без дополнительных настроек (таких как VPN или ProxyJump).