Cloak obfuscation : configuration et connexion en 2026
Cloak obfuscation : configuration et connexion en 2026 Si le fournisseur coupe WireGuard ou OpenVPN par DPI — une histoire courante pour les réseaux russes de 2026 — Cloak obfuscation : configuration et connexion deviennent un sujet nécessaire plutôt qu'optionnel. Cet article est une analyse techniq
Cloak obfuscation : configuration et connexion en 2026
Si le fournisseur coupe WireGuard ou OpenVPN par DPI — une histoire courante pour les réseaux russes de 2026 — Cloak obfuscation : configuration et connexion deviennent un sujet nécessaire plutôt qu'optionnel. Cet article est une analyse technique sans fioritures : comment fonctionne Cloak, comment configurer un serveur, connecter un client sur Android/iOS/Windows et comprendre pourquoi la connexion ne s'établit pas.
Qu'est-ce que Cloak et pourquoi a-t-on besoin d'obfuscation du trafic
Cloak est un transport pluggable, c'est-à-dire une enveloppe de transport. Il ne remplace pas le VPN et n'est pas un proxy en soi. Son rôle est de prendre le trafic Shadowsocks ou OpenVPN et de l'emballer de manière à ce qu'il ressemble à une requête TLS ordinaire vers un site quelconque.
Sans obfuscation, le matériel DPI voit des motifs caractéristiques des poignées de main WireGuard ou OpenVPN et coupe la connexion. Avec Cloak, le trafic ressemble à du HTTPS vers un conditionnelexample.com. Le fournisseur voit un TLS légitime, le laisse passer — et à l'intérieur circule votre tunnel VPN.
Comment le DPI reconnaît le trafic VPN
L'inspection approfondie des paquets fonctionne selon plusieurs critères simultanément. Tout d'abord, les signatures des protocoles : WireGuard a un format de poignée de main spécifique, OpenVPN a un TLS-ClientHello caractéristique avec des suites de chiffrement non standard. Deuxièmement, l'entropie des paquets : le trafic VPN chiffré a une entropie très élevée, ce qui le distingue du véritable HTTPS, où une partie des données est prévisible.
Roskomnadzor utilise activement depuis 2023 des TSPU — des moyens techniques de lutte contre les menaces. Ces systèmes savent non seulement regarder le port, mais aussi analyser le comportement de la connexion, les temps, les longueurs des paquets. C'est pourquoi le "changement de port" ne suffit plus, une véritable dissimulation est nécessaire.
Principe de fonctionnement de Cloak : dissimulation sous du HTTPS/TLS ordinaire
Cloak établit une session TLS, dans laquelle le ClientHello ressemble à une requête de navigateur. Le ServerName (SNI) pointe vers un site réel existant. En même temps, le serveur Cloak (ck-server) sait rediriger les "intrus" — ceux qui se connectent sans UID correct — vers un véritable site de couverture. Cela s'appelle RedirAddr, et c'est une partie importante de la dissimulation que beaucoup ignorent.
À l'intérieur de la session TLS circule votre Shadowsocks ou OpenVPN. À l'extérieur — du trafic web ordinaire. Les systèmes DPI voient un TLS correct vers un domaine connu et ne touchent pas à la connexion.
En quoi Cloak se distingue-t-il de Shadowsocks, VLESS/XRay et Amnezia (AmneziaWG)
C'est une comparaison honnête, sans déclaration de vainqueur.
Cloak — une enveloppe universelle au-dessus de Shadowsocks ou OpenVPN. Nécessite son propre domaine et VPS. Fonctionne bien là où Reality n'est pas disponible. Supporté sur la plupart des plateformes via des plugins.
VLESS+Reality (XRay) — imite la poignée de main TLS d'un site étranger, votre domaine n'est pas nécessaire. Intégré dans le noyau XRay/Sing-box. Protégé contre le sondage actif (active probing) mieux que le Shadowsocks de base, mais la configuration est plus complexe.
AmneziaWG — WireGuard modifié avec randomisation des en-têtes. Plus facile à configurer, plus rapide en termes de vitesse, mais moins universel contre le DPI profond, car le comportement du trafic diffère encore de celui du HTTPS.
Ce qu'il faut choisir dépend de votre fournisseur, de votre matériel et de votre préparation technique. Cloak est avantageux là où un serveur Shadowsocks fonctionnel existe déjà et où une surcouche rapide est nécessaire.
Ce dont vous avez besoin avant la configuration : serveur, clés et client
Avant de passer aux commandes, assurez-vous d'avoir tout ce qu'il faut. Omettre un point est la raison la plus fréquente pour laquelle la connexion ne s'établit pas du premier coup.
Exigences pour le serveur et le domaine
Vous avez besoin d'un VPS en dehors de la Russie avec une adresse IPv4 propre. Exigences minimales : 512 Mo de RAM, Ubuntu 22.04 ou Debian 12. Le port 443 doit être ouvert et non occupé par d'autres services.
Un domaine ou une adresse de redirection pour la dissimulation — souhaitable, mais pas strictement obligatoire. Sans cela, Cloak fonctionne, mais le sondage actif du fournisseur découvrira qu'il n'y a pas de site réel derrière le "HTTPS". Pour RedirAddr, n'importe quel grand site sur TLS fera l'affaire — tant qu'il n'est pas bloqué par Roskomnadzor. Par exemple,www.bing.com:443 ouwww.kernel.org:443.
Si vous ne souhaitez pas configurer votre propre VPS — il existe des services prêts à l'emploi avec support d'obfuscation, comme NvoVPN, où l'infrastructure est déjà configurée et vous obtenez des paramètres de connexion prêts à l'emploi.
Génération de clés publiques et privées (ck-server, ck-client)
Cloak utilise son propre schéma sur Curve25519. Les clés sont générées par l'utilitaireck-server :
ck-server -key
La sortie sera à peu près comme suit :
Votre clé publique est : AAAA...BBBB=
La clé publique s'inscrit dans la configuration du client (champPublicKey). La clé privée — uniquement sur le serveur, elle n'est publiée ni transmise. Si vous perdez la clé privée, vous générez une nouvelle paire.
UID — c'est un identifiant utilisateur distinct. Il est généré par la commande :
ck-server -uid
Chaque utilisateur a son propre UID. Cela permet de révoquer l'accès à un client spécifique sans changer les clés.
Choix du transport : Cloak + Shadowsocks ou Cloak + OpenVPN
Cloak + Shadowsocks — combinaison recommandée. Elle est prise en charge nativement dans les applications Android (Shadowsocks + plugin Cloak depuis F-Droid), plus facile à configurer et a moins de frais généraux.
Cloak + OpenVPN fonctionne, mais la configuration est plus complexe : il faut lancer OpenVPN sur un port local, et Cloak redirige le trafic vers celui-ci. Sur Windows, c'est réalisable, mais sur les plateformes mobiles, cela a déjà des limitations.
Configuration étape par étape du serveur Cloak (ck-server)
Installation de ck-server sur un VPS Linux
Connectez-vous au serveur par SSH. Téléchargez la dernière version depuis GitHub (au moment de la rédaction, c'est v2.7.0) :
wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
Avant l'installation, assurez-vous que le port 443 est libre :
ss -tlnp | grep :443
S'il y a nginx ou Apache — soit vous les déplacez sur un autre port, soit vous configurez le transfert à travers eux (plus compliqué). La solution la plus propre — 443 uniquement pour Cloak.
Configuration du fichier config et ProxyBook
Créez un répertoire et un fichier de configuration :
mkdir /etc/cloak
Exemple de configuration (placeholders au lieu de valeurs réelles) :
{
ProxyBook indique à Cloak où transmettre le trafic — dans ce cas à Shadowsocks sur le port local 8388.RedirAddr — adresse à laquelle toutes les connexions "étrangères" sans UID correct sont envoyées. C'est un paramètre critique pour le masquage.
Le fichier des utilisateurs est créé séparément :
ck-server -u -dbPath /etc/cloak/userinfo.db -uid VOTRE_UID -bandwidth 0 -bypass false -expiry 0
Démarrage en tant que service systemd et vérification du port 443
Créez un fichier d'unité :
nano /etc/systemd/system/cloak-server.service
[Unit]
systemctl daemon-reload
Si le statutactive (running) — le service est en cours d'exécution. Vérifiez le port :
ss -tlnp | grep :443
Il doit êtreck-server sur 0.0.0.0:443. S'il n'est pas là — regardezjournalctl -u cloak-server -n 50.
Configuration de RedirAddr pour masquer un site réel
C'est l'endroit où la plupart des manuels se taisent, puis s'étonnent que le DPI détecte quand même le trafic. Sans un RedirAddr correct, Cloak se bloque ou renvoie une réponse vide lors de la connexion sans UID. Un sondage actif de la part du fournisseur le remarquera immédiatement.
RedirAddr doit pointer vers un site HTTPS vivant, qui n'est pas bloqué en Russie. Vérifiez avant la configuration :curl -I https://www.kernel.org — doit renvoyer 200 ou 301, pas de timeout.
Les réseaux d'entreprise et scolaires avec interception MITM TLS cassent complètement cette dissimulation — là, Cloak ne pourra pas aider, car le réseau déchiffre lui-même le TLS et voit le contenu. Ce n'est pas un bug de Cloak, mais une limitation de l'approche elle-même.
Connexion client : Android, iPhone/iOS, Windows, Mac et routeurs
Android : Shadowsocks + plugin Cloak
Sur Android, cela fonctionne le mieux. Vous installez deux applications :Shadowsocks depuis F-Droid ou Google Play, et le pluginCloak Plugin for Android (disponible aussi sur F-Droid, paquetcom.github.shadowsocks.plugin.ck).
Dans les paramètres du profil Shadowsocks :
- Serveur : IP de votre VPS
- Port : 443
- Mot de passe : mot de passe Shadowsocks
- Méthode de chiffrement :
aes-256-gcmouchacha20-ietf-poly1305 - Plugin : choisissez Cloak
Dans les options du plugin (Plugin Options), vous saisissez une ligne de type :
UID=VOTRE_UID;PublicKey=VOTRE_CLE_PUBLIQUE;ServerName=www.kernel.org;BrowserSig=chrome;NumConn=4
NumConn=4 — nombre de connexions TLS parallèles. Sur mobile, il vaut mieux ne pas en mettre plus de 4, sinon la batterie se décharge plus vite sans augmentation notable de la vitesse.
iPhone/iOS : clients prenant en charge obfs/Cloak
Sur iOS, le choix des clients est nettement plus limité. L'App Store en Russie est périodiquement nettoyé, donc la situation change. Au moment de la rédaction, des options fonctionnent viaShadowrocket (payant, 2,99 $, compte App Store d'un autre pays) ouSing-Box.
Dans Shadowrocket, vous ajoutez un serveur de type Shadowsocks, dans le champ Plugin, vous choisissezcloak, vous saisissez les mêmes paramètres. L'interface est moins conviviale que sur Android, mais ça fonctionne.
Sur Apple TV, Cloak ne peut pas être installé directement — il n'y a pas de support pour les applications tierces avec des extensions VPN. La seule option est de partager une connexion déjà obfusquée depuis le routeur.
Windows et Mac : ck-client et liaison avec Shadowsocks
Téléchargez le binaireck-client pour votre plateforme depuis le même dépôt GitHub. La configuration du client (ckclient.json) :
{
Lancez :
ck-client -c ckclient.json -s IP_VOTRE_VPS -p 443 -l 1984 -i
Cela lance un SOCKS5 local sur le port 1984, par lequel le client Shadowsocks (par exemple,Shadowsocks-Windows ouOutline en mode manuel) se connecte au serveur.
Conflit avec un VPN système déjà actif — problème fréquent sur Windows. Si vous avez WireGuard ou un autre VPN en cours d'exécution, ck-client peut ne pas établir le SOCKS5 ou ne pas atteindre le serveur. Déconnectez l'autre VPN avant de lancer.
Routeurs (OpenWrt) et Smart TV / Apple TV : limitations et solutions de contournement
Sur OpenWrt, vous pouvez installerck-client directement — il existe des versions pour MIPS et ARM. La configuration est la même, lancement via init.d ou procd. Le trafic du routeur passe par Cloak de manière transparente pour tous les appareils connectés, y compris les Smart TV et les consoles.
Mais : si le routeur est fourni par le fournisseur et que vous ne pouvez pas installer le firmware — il n'y a pas d'options. Vous avez besoin d'un routeur séparé avec OpenWrt ou un équivalent commeGL.iNet avec un support de plugins déjà intégré.
Les opérateurs mobiles avec un proxy transparent coupent parfois les connexions sur le port 443 s'ils remarquent un comportement non standard de la session TLS. Dans ce cas, essayezBrowserSig : "firefox" au lieu de"chrome" — l'imitation est légèrement différente.
Vérification du fonctionnement et test de vitesse après obfuscation
Comment s'assurer que le trafic est réellement masqué
Vérification de base : ouvrez2ip.ru ouwhoer.net — cela doit afficher l'IP de votre VPS, et non celle de votre domicile. Vérifiez l'accès aux ressources bloquées : Instagram, Twitter/X, YouTube (s'il est limité par votre fournisseur), Telegram.
Plus techniquement : lancez Wireshark sur votre machine et regardez le trafic vers le serveur. Vous devez voir des connexions TLS sur le port 443 avec le SNI de votre ServerName. Aucun handshake OpenVPN, aucun paquet WireGuard UDP — tout ressemble à un HTTPS de navigateur.
Contre le sondage actif : le fournisseur peut se connecter à votre serveur sur le port 443 et vérifier ce qu'il y a. Si RedirAddr est configuré correctement — le fournisseur obtiendra une redirection vers le vrai site et ne verra rien de suspect.
Réelle chute de vitesse due à l'obfuscation
Honnêtement : Cloak est plus lent que le WireGuard pur. C'est un fait, et il ne faut pas le cacher.
Les frais généraux dus à l'enveloppe TLS, à plusieurs connexions parallèles (NumConn), le chiffrement supplémentaire de Shadowsocks sur TLS — tout cela consomme une partie de la bande passante et augmente la latence. Combien exactement — cela dépend de votre serveur, de sa charge, de la distance jusqu'à lui et du fournisseur. Je ne vais pas inventer de chiffres précis.
Méthode de mesure autonome : allez surspeedtest.net oufast.com, faites un test sans VPN, notez le résultat. Ensuite, connectez-vous à Cloak et refaites le test. La différence — c'est vos frais réels sur votre trajet.
Que faire en cas de ralentissement de la part du fournisseur
Si le fournisseur applique du shaping — un ralentissement intentionnel — essayez de réduireNumConn à 2. Parfois, trop de connexions TLS parallèles depuis une seule adresse semblent suspectes.
Il vaut également la peine de vérifier si le fournisseur applique un blocage par SNI. Si votre ServerName (par exemple,www.bing.com) est lui-même bloqué par Roskomnadzor — Cloak fonctionnera de manière incorrecte, car la connexion à un domaine bloqué est suspecte en soi. Changez le ServerName pour un domaine non bloqué.
Erreurs de connexion typiques et leur résolution
Erreur de poignée de main TLS et non-correspondance des clés
Symptôme : la connexion se fige à l'étape d'établissement de la session, le client afficheTLS handshake failed ou simplement un timeout.
Le premier candidat — une clé PublicKey incorrecte dans la configuration du client. Vérifiez byte par byte : les clés Cloak sont des chaînes base64, toute lettre ou espace superflu casse tout. Copiez la clé directement à partir de la sortieck-server -key, ne la retapez pas manuellement.
Le deuxième candidat — un UID incorrect. Assurez-vous que l'UID dans la configuration du client correspond à celui qui est ajouté à la base d'utilisateurs du serveur (userinfo.db).
Désynchronisation de l'heure système
C'est l'une des raisons les plus sous-estimées des erreurs, que la plupart des manuels ne mentionnent pas. Cloak vérifie le timestamp dans la poignée de main. Si la différence entre l'heure sur le client et le serveur est supérieure à quelques minutes — la session est rejetée.
Sur le serveur, vérifiez :
timedatectl status
NTP doit être synchronisé. Si ce n'est pas le cas :
systemctl enable --now systemd-timesyncd
Sur Android, l'horloge est généralement synchronisée automatiquement. Sur Windows — vérifiez viaw32tm /query /status.
Le fournisseur bloque par SNI / ServerName
Si le ServerName dans votre configuration pointe vers un domaine bloqué — le DPI coupe la connexion TLS avant l'établissement de la session. Cloak ne pourra pas aider, car le SNI est transmis en clair dans le ClientHello.
Solution : changez le ServerName pour un domaine qui n'est certainement pas bloqué en Russie. Vérifiez viacurl -I https://ваш-domain.com avec une IP russe (vous pouvez le faire via un opérateur mobile sans VPN).
La connexion est là, mais pas d'accès à Internet
Le tunnel Cloak est établi, l'adresse IP a changé, mais les sites ne s'ouvrent pas. Ce n'est pas un problème de Cloak, mais de transport interne — Shadowsocks ou OpenVPN.
Vérifiez : le serveur Shadowsocks fonctionne-t-il sur le port 8388 localement :
ss -tlnp | grep 8388
Vérifiez le DNS : parfois lors du tunneling, les requêtes DNS ne passent pas par le VPN. Dans le client Shadowsocks, activezDNS distant ou spécifiez explicitement8.8.8.8 dans les paramètres.
Si un double VPN — déjà un WireGuard actif ou un VPN d'entreprise — conflit avec le routage. Il n'est pas possible de maintenir deux tunnels avec une route par défaut en même temps. Désactivez-en un ou configurez le split tunneling.
Questions fréquentes
En quoi Cloak diffère-t-il de VLESS+Reality et AmneziaWG ?
Cloak est une couche au-dessus de Shadowsocks ou OpenVPN, masquant le trafic sous TLS et nécessitant son propre domaine. Reality est intégré dans XRay/Sing-box et imite le TLS d'un domaine tiers sans avoir besoin de le contrôler — techniquement plus élégant, mais la configuration est plus complexe. AmneziaWG modifie lui-même le handshake WireGuard, en randomisant les en-têtes, ce qui est plus simple à configurer, mais moins efficace contre l'analyse approfondie du comportement du trafic. Chacun a ses forces contre des méthodes DPI spécifiques — il n'y a pas de gagnant universel.
A-t-on besoin d'un serveur propre pour Cloak ?
Pour un contrôle total — oui, un VPS avec ck-server installé est nécessaire et de préférence un domaine pour RedirAddr. Cela offre une flexibilité maximale, mais nécessite des compétences techniques et du temps. Une alternative — des services prêts à l'emploi avec support d'obfuscation, où tout est déjà configuré du côté du fournisseur, et vous ne recevez que les paramètres de connexion.
Cloak ralentit-il Internet ?
Oui, il ralentit. L'enveloppe TLS, plusieurs connexions parallèles et le double chiffrement ajoutent des frais généraux. De combien exactement — cela dépend du serveur, de la distance jusqu'à celui-ci et de votre fournisseur. Le meilleur moyen de connaître vos chiffres réels est de comparer Speedtest avant et après la connexion vous-même.
Pourquoi la connexion à Cloak ne s'établit-elle pas ?
Les raisons les plus fréquentes : clé publique ou UID incorrect (vérifiez byte par byte, sans espaces), désynchronisation de l'heure système entre le client et le serveur (écart de plus de quelques minutes — la session est rejetée), ServerName bloqué par SNI (changez pour un domaine non bloqué), port incorrect ou conflit avec un autre VPN actif. Une analyse détaillée — dans la section sur les erreurs ci-dessus.
Cloak fonctionne-t-il sur iPhone et Apple TV ?
Sur iOS — via Shadowrocket ou Sing-Box, les deux prennent en charge le plugin Cloak, mais le choix d'applications est plus limité que sur Android. Sur Apple TV, il n'est pas possible d'installer Cloak directement — il n'y a pas de support pour les plugins VPN. La seule option — un routeur avec OpenWrt et Cloak configuré, qui distribue déjà une connexion obfusquée à tous les appareils connectés.
Cloak contourne-t-il les blocages de YouTube, Instagram et Telegram ?
Cloak ne contourne pas à lui seul les blocages de sites spécifiques — il masque le canal VPN des DPI du fournisseur, afin qu'il ne coupe pas le protocole VPN lui-même. L'accès à YouTube, Instagram, TikTok, Twitter/X et Telegram est assuré par le tunnel VPN (Shadowsocks ou OpenVPN), qui passe par-dessus Cloak. Le schéma fonctionne ainsi : le fournisseur voit un HTTPS normal et ne coupe pas la connexion, tandis qu'à l'intérieur du tunnel, vous avez un accès complet aux ressources bloquées.
Articles similaires
Cela pourrait aussi vous intéresser
OpenConnect : configuration et connexion en 2026
OpenConnect : configuration et connexion en 2026 Si vous avez entre les mains la configuration d'un...
Lire la suiteTUIC : configuration et connexion VPN en 2026
TUIC : configuration et connexion VPN en 2026 Si tu as déjà essayé VLESS et Shadowsocks, mais que le...
Lire la suiteSing-box : configuration et connexion — guide complet 2026
Sing-box : configuration et connexion — guide complet 2026 Si vous avez un fichier de configuration...
Lire la suite