Cloak ofuscación: configuración y conexión en 2026
Cloak ofuscación: configuración y conexión en 2026 Si el proveedor corta WireGuard o OpenVPN por DPI — una historia común para las redes rusas del año 2026 — Cloak ofuscación: configuración y conexión se convierte en un tema no opcional, sino en una necesidad. Este artículo es un análisis técnico si
Cloak ofuscación: configuración y conexión en 2026
Si el proveedor corta WireGuard o OpenVPN por DPI — una historia común para las redes rusas del año 2026 — Cloak ofuscación: configuración y conexión se convierte en un tema no opcional, sino en una necesidad. Este artículo es un análisis técnico sin rodeos: cómo funciona Cloak, cómo levantar un servidor, conectar un cliente en Android/iOS/Windows y entender por qué no se establece la conexión.
Qué es Cloak y para qué sirve la ofuscación del tráfico
Cloak es un transporte plugable, es decir, una envoltura de transporte. No reemplaza a un VPN y no es un proxy por sí mismo. Su tarea es tomar el tráfico de Shadowsocks o OpenVPN y empaquetarlo de tal manera que desde afuera parezca una solicitud TLS normal a algún sitio web.
Sin ofuscación, el equipo DPI ve patrones característicos de los handshakes de WireGuard o OpenVPN y corta la conexión. Con Cloak, el tráfico parece un HTTPS a unexample.com. El proveedor ve un TLS legítimo, lo permite — y dentro viaja tu túnel VPN.
Cómo DPI reconoce el tráfico VPN
La Inspección Profunda de Paquetes funciona por varios signos a la vez. En primer lugar, las firmas de los protocolos: WireGuard tiene un formato específico de handshake, OpenVPN tiene un TLS-ClientHello característico con suites de cifrado no estándar. En segundo lugar, la entropía de los paquetes: el tráfico VPN cifrado tiene una entropía muy alta, lo que lo distingue del HTTPS real, donde parte de los datos es predecible.
Roskomnadzor desde 2023 utiliza activamente TSPU — medios técnicos para contrarrestar amenazas. Estos sistemas no solo pueden mirar el puerto, sino también analizar el comportamiento de la conexión, los tiempos, las longitudes de los paquetes. Es por eso que "cambiar de puerto" ya no ayuda, y se necesita una camuflaje completo.
Principio de funcionamiento de Cloak: camuflaje como un HTTPS/TLS normal
Cloak establece una sesión TLS, en la que el ClientHello parece una solicitud del navegador. ServerName (SNI) apunta a un sitio real existente. Al mismo tiempo, el servidor Cloak (ck-server) puede redirigir a "extraños" — aquellos que se conectan sin el UID correcto — al verdadero sitio de camuflaje. Esto se llama RedirAddr, y es una parte importante del camuflaje que muchos ignoran.
Dentro de la sesión TLS va tu Shadowsocks o OpenVPN. Afuera — tráfico web normal. Los sistemas DPI ven un TLS correcto a un dominio conocido y no tocan la conexión.
Qué diferencia a Cloak de Shadowsocks, VLESS/XRay y Amnezia (AmneziaWG)
Es una comparación honesta, sin declarar un ganador.
Cloak — una envoltura universal sobre Shadowsocks o OpenVPN. Requiere su propio dominio y VPS. Funciona bien donde Reality no está disponible. Se admite en la mayoría de las plataformas a través de plugins.
VLESS+Reality (XRay) — imita el handshake TLS de un sitio ajeno, no necesitas tu propio dominio. Está integrado en el núcleo de XRay/Sing-box. Está mejor protegido contra la sondeación activa (active probing) que el Shadowsocks básico, pero la configuración es más complicada.
AmneziaWG — WireGuard modificado con aleatorización de encabezados. Más fácil de configurar, más rápido en términos de velocidad, pero menos universal contra DPI profundo, porque el comportamiento del tráfico aún se diferencia del HTTPS.
Qué elegir — depende de tu proveedor, equipo y preparación técnica. Cloak gana donde ya hay un servidor Shadowsocks funcionando y se necesita una rápida superestructura.
Qué necesitas antes de la configuración: servidor, claves y cliente
Antes de pasar a los comandos, debes asegurarte de que tienes todo lo necesario. Pasar por alto cualquier punto es la razón más común por la que la conexión no se establece a la primera.
Requisitos para el servidor y el dominio
Necesitas un VPS fuera de Rusia con una dirección IPv4 limpia. Los requisitos mínimos son 512 MB de RAM, Ubuntu 22.04 o Debian 12. El puerto 443 debe estar abierto y no ocupado por otros servicios.
Un dominio o dirección de redirección para el camuflaje — deseable, pero no estrictamente obligatorio. Sin él, Cloak funciona, pero la sondeación activa del proveedor descubrirá que detrás de "HTTPS" no hay un sitio real. Para RedirAddr, cualquier gran sitio en TLS servirá — lo importante es que no esté bloqueado por Roskomnadzor. Por ejemplo,www.bing.com:443 owww.kernel.org:443.
Si no quieres configurar tu propio VPS — hay servicios listos con soporte de ofuscación, como NvoVPN, donde la infraestructura ya está configurada y obtienes parámetros de conexión listos.
Generación de claves públicas y privadas (ck-server, ck-client)
Cloak utiliza su propio esquema en Curve25519. Las claves se generan con la utilidadck-server:
ck-server -key
La salida será aproximadamente así:
Tu clave pública es: AAAA...BBBB=
La clave pública se escribe en la configuración del cliente (campoPublicKey). La privada — solo en el servidor, no se publica ni se transfiere. Si pierdes la clave privada, generas un par de nuevo.
UID — es un identificador de usuario separado. Se genera con el comando:
ck-server -uid
A cada usuario — su propio UID. Esto permite revocar el acceso a un cliente específico sin cambiar las claves.
Selección de transporte: Cloak + Shadowsocks o Cloak + OpenVPN
Cloak + Shadowsocks — combinación recomendada. Se soporta de forma nativa en aplicaciones de Android (Shadowsocks + plugin Cloak de F-Droid), es más fácil de configurar y tiene menos sobrecarga.
Cloak + OpenVPN funciona, pero la configuración es más complicada: necesitas ejecutar OpenVPN en un puerto local, y Cloak redirige el tráfico hacia él. En Windows es factible, pero en plataformas móviles ya tiene limitaciones.
Configuración paso a paso del servidor Cloak (ck-server)
Instalación de ck-server en Linux VPS
Accede al servidor por SSH. Descarga la última versión de GitHub (en el momento de escribir esto es v2.7.0):
wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
Antes de la instalación, asegúrate de que el puerto 443 esté libre:
ss -tlnp | grep :443
Si hay nginx o Apache corriendo — o los mueves a otro puerto, o configuras el reenvío a través de ellos (más complicado). La opción más limpia es que el 443 sea solo para Cloak.
Configuración del archivo config y ProxyBook
Crea un directorio y un archivo de configuración:
mkdir /etc/cloak
Ejemplo de configuración (placeholders en lugar de valores reales):
{
ProxyBook le dice a Cloak a dónde enviar el tráfico — en este caso a Shadowsocks en el puerto local 8388.RedirAddr — dirección a la que se envían todas las conexiones "externas" sin el UID correcto. Esta es una configuración crítica para el enmascaramiento.
El archivo de usuarios se crea por separado:
ck-server -u -dbPath /etc/cloak/userinfo.db -uid TU_UID -bandwidth 0 -bypass false -expiry 0
Ejecutar como servicio systemd y verificar el puerto 443
Crea un archivo de unidad:
nano /etc/systemd/system/cloak-server.service
[Unit]
systemctl daemon-reload
Si el estadoactive (running) — el servicio se ha iniciado. Verifica el puerto:
ss -tlnp | grep :443
Debería serck-server en 0.0.0.0:443. Si no está, veajournalctl -u cloak-server -n 50.
Configuración de RedirAddr para disfrazarse como un sitio real
Este es el lugar donde la mayoría de los manuales guardan silencio y luego se sorprenden de que DPI aún detecta el tráfico. Sin un RedirAddr correcto, Cloak al conectarse sin UID simplemente se cuelga o devuelve una respuesta vacía. Un sondeo activo por parte del proveedor lo notará de inmediato.
RedirAddr debe apuntar a un sitio HTTPS vivo que no esté bloqueado en Rusia. Verifique antes de configurar:curl -I https://www.kernel.org — debe devolver 200 o 301, no timeout.
Las redes corporativas y escolares con interceptación MITM de TLS rompen completamente este disfraz: allí Cloak no ayudará, porque la red descifra TLS y ve el contenido. Esto no es un error de Cloak, sino una limitación del enfoque mismo.
Conexión del cliente: Android, iPhone/iOS, Windows, Mac y routers
Android: Shadowsocks + plugin Cloak
En Android, esto funciona de la manera más limpia. Instala dos aplicaciones:Shadowsocks de F-Droid o Google Play, y el pluginCloak Plugin for Android (también está en F-Droid, paquetecom.github.shadowsocks.plugin.ck).
En la configuración del perfil de Shadowsocks:
- Servidor: IP de tu VPS
- Puerto: 443
- Contraseña: contraseña de Shadowsocks
- Método de cifrado:
aes-256-gcmochacha20-ietf-poly1305 - Plugin: seleccionas Cloak
En las opciones del plugin (Plugin Options) escribes una línea del tipo:
UID=TU_UID;PublicKey=TU_CLAVE_PUBLICA;ServerName=www.kernel.org;BrowserSig=chrome;NumConn=4
NumConn=4 — número de conexiones TLS paralelas. En móviles es mejor no poner más de 4, de lo contrario, la batería se agota más rápido sin un aumento notable de velocidad.
iPhone/iOS: clientes con soporte obfs/Cloak
En iOS, la selección de clientes es notablemente más limitada. La App Store en Rusia se limpia periódicamente, por lo que la situación cambia. En el momento de escribir, funcionan opciones a través deShadowrocket (de pago, $2.99, cuenta de App Store de otro país) oSing-Box.
En Shadowrocket agregas un servidor tipo Shadowsocks, en el campo Plugin seleccionascloak, escribes los mismos parámetros. La interfaz es menos conveniente que en Android, pero funciona.
En Apple TV, Cloak no se instala directamente; no hay soporte para aplicaciones de terceros con extensiones VPN. La única opción es compartir una conexión ya ofuscada desde el router.
Windows y Mac: ck-client y combinación con Shadowsocks
Descargan el binariock-client para su plataforma desde el mismo repositorio de GitHub. La configuración del cliente (ckclient.json):
{
Inician:
ck-client -c ckclient.json -s IP_DE_SU_VPS -p 443 -l 1984 -i
Esto levanta un SOCKS5 local en el puerto 1984, a través del cual el cliente de Shadowsocks (por ejemplo,Shadowsocks-Windows oOutline en modo manual) se conecta al servidor.
Conflicto con un VPN del sistema ya activo: un problema común en Windows. Si tienen WireGuard u otro VPN en funcionamiento, ck-client puede no levantar SOCKS5 o no poder conectarse al servidor. Desconecten otro VPN antes de iniciar.
Routers (OpenWrt) y Smart TV / Apple TV: limitaciones y soluciones
En OpenWrt se puede instalarck-client directamente; hay compilaciones para MIPS y ARM. La configuración es la misma, se inicia a través de init.d o procd. El tráfico del router pasa a través de Cloak de manera transparente para todos los dispositivos conectados, incluyendo Smart TV y consolas.
Pero: si el router es del proveedor y no pueden instalar el firmware, no hay opciones. Se necesita un router separado con OpenWrt o un análogo comoGL.iNet con soporte de plugins ya integrado.
Los operadores móviles con proxy transparente a veces cortan conexiones en el puerto 443 si detectan un comportamiento no estándar de la sesión TLS. En este caso, intentenBrowserSig: "firefox" en lugar de"chrome" — la imitación es un poco diferente.
Verificación de funcionamiento y prueba de velocidad después de la ofuscación
Cómo asegurarse de que el tráfico realmente se está enmascarando
Verificación básica: abren2ip.ru owhoer.net — debería mostrar la IP de su VPS, no la doméstica. Verifican el acceso a recursos bloqueados: Instagram, Twitter/X, YouTube (si está restringido por su proveedor), Telegram.
Más técnicamente: inician Wireshark en su máquina y observan el tráfico hacia el servidor. Deberían ver conexiones TLS en el puerto 443 con el SNI de su ServerName. Ningún handshake de OpenVPN, ningún paquete UDP de WireGuard; todo se ve como HTTPS de navegador.
Contra la sondeo activo: el proveedor puede conectarse a su servidor en el 443 y verificar qué hay allí. Si RedirAddr está configurado correctamente, el proveedor recibirá un redireccionamiento al sitio real y no verá nada sospechoso.
Caída real de velocidad debido a la ofuscación
Honestamente: Cloak es más lento que WireGuard puro. Es un hecho, y no vale la pena ocultarlo.
Los gastos generales de la envoltura TLS, de varias conexiones paralelas (NumConn), de la encriptación adicional de Shadowsocks sobre TLS — todo esto consume parte del ancho de banda y aumenta la latencia. Cuánto exactamente depende de tu servidor, su carga, la distancia hasta él y el proveedor. No voy a inventar cifras concretas.
Método de medición independiente: vas aspeedtest.net ofast.com, haces la prueba sin VPN, anotas el resultado. Luego conectas Cloak y haces la prueba de nuevo. La diferencia son tus gastos reales en tu ruta.
Qué hacer en caso de desaceleración por parte del proveedor
Si el proveedor aplica shaping — desaceleración intencionada — intenta reducirNumConn a 2. A veces, demasiadas conexiones TLS paralelas desde una sola dirección parecen sospechosas.
También vale la pena verificar si el proveedor aplica bloqueo por SNI. Si tu ServerName (por ejemplo,www.bing.com) está bloqueado por Roskomnadzor — Cloak funcionará incorrectamente, porque la conexión con un dominio bloqueado es sospechosa por sí misma. Cambia el ServerName a un dominio no bloqueado.
Errores típicos de conexión y su solución
Error de apretón de manos TLS y desajuste de claves
Síntoma: la conexión se queda atascada en la etapa de establecimiento de sesión, el cliente muestraTLS handshake failed o simplemente un tiempo de espera.
El primer candidato — PublicKey incorrecto en la configuración del cliente. Verifica byte por byte: las claves de Cloak son cadenas base64, cualquier letra o espacio extra lo rompe todo. Copia la clave directamente de la salidack-server -key, no la escribas manualmente.
El segundo candidato — UID incorrecto. Asegúrate de que el UID en la configuración del cliente coincida con el que está agregado en la base de usuarios del servidor (userinfo.db).
Desincronización del tiempo del sistema
Esta es una de las razones de errores más subestimadas, que la mayoría de los manuales no mencionan. Cloak verifica la marca de tiempo en el apretón de manos. Si la diferencia entre el tiempo en el cliente y el servidor es mayor a unos minutos — la sesión es rechazada.
En el servidor verifica:
timedatectl status
NTP debe estar sincronizado. Si no:
systemctl enable --now systemd-timesyncd
En Android, el reloj generalmente se sincroniza automáticamente. En Windows — verifica a través dew32tm /query /status.
El proveedor bloquea por SNI / ServerName
Si el ServerName en tu configuración apunta a un dominio bloqueado — DPI corta la conexión TLS antes de establecer la sesión. Cloak no ayudará, porque SNI se transmite en texto claro en ClientHello.
Solución: cambia el ServerName a un dominio que definitivamente no esté bloqueado en Rusia. Verifica a través decurl -I https://ваш-domain.com con una IP rusa (puedes hacerlo a través de un operador móvil sin VPN).
La conexión está, pero no hay acceso a internet
Cloak-туннель se ha establecido, la dirección IP ha cambiado, pero los sitios no se abren. Este es un problema no de Cloak, sino del transporte interno — Shadowsocks o OpenVPN.
Verifica: ¿funciona el servidor Shadowsocks en el puerto 8388 localmente?
ss -tlnp | grep 8388
Verifica DNS: a veces al hacer túneles, las solicitudes DNS no pasan por VPN. En el cliente de Shadowsocks activasRemote DNS o lo escribes explícitamente8.8.8.8 en la configuración.
Si hay un doble VPN — ya sea WireGuard activo o un VPN corporativo — hay un conflicto con el enrutamiento. No se pueden mantener dos túneles con la ruta predeterminada al mismo tiempo. Desconectas uno o configuras el split tunneling.
Preguntas frecuentes
¿En qué se diferencia Cloak de VLESS+Reality y AmneziaWG?
Cloak es una envoltura sobre Shadowsocks o OpenVPN, oculta el tráfico bajo TLS y requiere su propio dominio. Reality está integrado en XRay/Sing-box e imita TLS de un dominio ajeno sin necesidad de controlarlo — técnicamente es más elegante, pero la configuración es más complicada. AmneziaWG modifica el propio handshake de WireGuard, aleatorizando los encabezados, lo que es más fácil de configurar, pero menos efectivo contra el análisis profundo del comportamiento del tráfico. Cada uno tiene sus fortalezas contra métodos específicos de DPI — no hay un ganador universal.
¿Se necesita un servidor propio para Cloak?
Para un control total — sí, se necesita un VPS con ck-server instalado y preferiblemente un dominio para RedirAddr. Esto proporciona la máxima flexibilidad, pero requiere conocimientos técnicos y tiempo. La alternativa son servicios listos con soporte de ofuscación, donde todo ya está configurado del lado del proveedor, y tú solo recibes los parámetros de conexión.
¿Cloak ralentiza Internet?
Sí, ralentiza. La envoltura TLS, varias conexiones paralelas y el doble cifrado añaden sobrecargas. Cuánto exactamente — depende del servidor, la distancia a él y tu proveedor. La mejor manera de conocer tus cifras reales es comparar Speedtest antes y después de la conexión por tu cuenta.
¿Por qué no se establece la conexión a Cloak?
Las razones más comunes: PublicKey o UID incorrectos (verifica byte a byte, sin espacios), desincronización del tiempo del sistema entre el cliente y el servidor (una diferencia de más de unos minutos — la sesión es rechazada), ServerName bloqueado por SNI (cámbialo por un dominio no bloqueado), puerto incorrecto o conflicto con otro VPN activo. Un análisis detallado — en la sección sobre errores arriba.
¿Funciona Cloak en iPhone y Apple TV?
En iOS — a través de Shadowrocket o Sing-Box, ambos soportan el plugin Cloak, pero la selección de aplicaciones es menor que en Android. En Apple TV no se puede instalar Cloak directamente — no hay soporte para plugins de VPN. La única opción es un router con OpenWrt y Cloak configurado, que distribuye ya una conexión ofuscada a todos los dispositivos conectados.
¿Cloak elude bloqueos de YouTube, Instagram y Telegram?
Cloak por sí mismo no elude bloqueos de sitios específicos — oculta el canal VPN del DPI del proveedor, para que no corte el propio protocolo VPN. El acceso a YouTube, Instagram, TikTok, Twitter/X y Telegram es proporcionado por el túnel VPN (Shadowsocks o OpenVPN), que va por encima de Cloak. El esquema funciona así: el proveedor ve un HTTPS normal y no corta la conexión, mientras que dentro del túnel obtienes acceso completo a los recursos bloqueados.
Noticias relacionadas
También te puede interesar
OpenConnect: configuración y conexión en 2026
OpenConnect: configuración y conexión en 2026 Si tienes en tus manos la configuración del servidor o...
Leer másTUIC: configuración y conexión de VPN en 2026
TUIC: configuración y conexión de VPN en 2026 Si ya has probado VLESS y Shadowsocks, pero el proveed...
Leer másSing-box: configuración y conexión — guía completa 2026
Sing-box: configuración y conexión — guía completa 2026 Si tienes en tus manos un config o un enlace...
Leer más