Cloak offuscazione: configurazione e collegamento nel 2026
Cloak offuscazione: configurazione e collegamento nel 2026 Se il provider taglia WireGuard o OpenVPN tramite DPI — una storia comune per le reti russe del 2026 — Cloak offuscazione: configurazione e collegamento diventano un tema necessario, non opzionale. Questo articolo è un'analisi tecnica senza
Cloak offuscazione: configurazione e collegamento nel 2026
Se il provider taglia WireGuard o OpenVPN tramite DPI — una storia comune per le reti russe del 2026 — Cloak offuscazione: configurazione e collegamento diventano un tema necessario, non opzionale. Questo articolo è un'analisi tecnica senza fronzoli: come funziona Cloak, come impostare un server, collegare un client su Android/iOS/Windows e capire perché la connessione non si stabilisce.
Che cos'è Cloak e a cosa serve l'offuscazione del traffico
Cloak è un trasporto pluggable, cioè un involucro di trasporto. Non sostituisce un VPN e non è un proxy di per sé. Il suo compito è prendere il traffico di Shadowsocks o OpenVPN e impacchettarlo in modo che dall'esterno appaia come una normale richiesta TLS a un sito qualsiasi.
Senza offuscazione, l'hardware DPI vede i caratteristici schemi di handshake di WireGuard o OpenVPN e taglia la connessione. Con Cloak, il traffico appare come HTTPS a un condizionaleexample.com. Il provider vede un TLS legittimo, lo lascia passare — e all'interno viaggia il vostro tunnel VPN.
Come il DPI riconosce il traffico VPN
Il Deep Packet Inspection funziona su più segnali contemporaneamente. In primo luogo, le firme dei protocolli: WireGuard ha un formato specifico di handshake, OpenVPN ha un caratteristico TLS-ClientHello con suite di cifratura non standard. In secondo luogo, l'entropia dei pacchetti: il traffico VPN crittografato ha un'entropia molto alta, che lo distingue dal reale HTTPS, dove parte dei dati è prevedibile.
Roskomnadzor dal 2023 utilizza attivamente il TSPU — mezzi tecnici per contrastare le minacce. Questi sistemi non solo guardano la porta, ma analizzano anche il comportamento della connessione, i tempi, le lunghezze dei pacchetti. È per questo che "cambiare porta" non aiuta più, ma è necessaria una mascheratura completa.
Principio di funzionamento di Cloak: mascheratura come normale HTTPS/TLS
Cloak stabilisce una sessione TLS, in cui il ClientHello appare come una richiesta del browser. Il ServerName (SNI) indica un sito reale esistente. Inoltre, il server Cloak (ck-server) è in grado di reindirizzare i "non autorizzati" — coloro che si collegano senza un UID corretto — al vero sito di copertura. Questo si chiama RedirAddr, ed è una parte importante della mascheratura, che molti ignorano.
All'interno della sessione TLS viaggia il vostro Shadowsocks o OpenVPN. All'esterno — traffico web normale. I sistemi DPI vedono un TLS corretto verso un dominio noto e non toccano la connessione.
Cosa distingue Cloak da Shadowsocks, VLESS/XRay e Amnezia (AmneziaWG)
Questa è una comparazione onesta, senza dichiarare un vincitore.
Cloak — un involucro universale sopra Shadowsocks o OpenVPN. Richiede un proprio dominio e VPS. Funziona bene dove Reality non è disponibile. È supportato su la maggior parte delle piattaforme tramite plugin.
VLESS+Reality (XRay) — imita l'handshake TLS di un sito esterno, non è necessario il vostro dominio. È integrato nel nucleo di XRay/Sing-box. È protetto meglio contro la sondatura attiva (active probing) rispetto al base Shadowsocks, ma la configurazione è più complessa.
AmneziaWG — WireGuard modificato con randomizzazione degli header. È più semplice da configurare, più veloce a livello di velocità, ma meno universale contro il DPI profondo, perché il comportamento del traffico è ancora diverso da HTTPS.
Cosa scegliere — dipende dal vostro provider, dall'hardware e dalla preparazione tecnica. Cloak vince dove c'è già un server Shadowsocks funzionante e serve un rapido sovrapposizione.
Cosa serve prima della configurazione: server, chiavi e client
Prima di passare ai comandi, è necessario assicurarsi di avere tutto il necessario. Saltare qualsiasi punto è la causa più comune per cui la connessione non si stabilisce al primo tentativo.
Requisiti per il server e il dominio
Avete bisogno di un VPS al di fuori della Russia con un indirizzo IPv4 pulito. I requisiti minimi sono 512 MB di RAM, Ubuntu 22.04 o Debian 12. La porta 443 deve essere aperta e non occupata da altri servizi.
Un dominio o un indirizzo di reindirizzamento per la mascheratura — desiderabile, ma non strettamente necessario. Senza di esso, Cloak funziona, ma la sondatura attiva del provider scoprirà che dietro "HTTPS" non c'è un sito reale. Per RedirAddr va bene qualsiasi grande sito su TLS — l'importante è che non sia bloccato da Roskomnadzor. Ad esempio,www.bing.com:443 owww.kernel.org:443.
Se non volete configurare un VPS proprio — ci sono servizi pronti con supporto per l'offuscazione, come NvoVPN, dove l'infrastruttura è già configurata e ricevete parametri di connessione pronti.
Generazione di chiavi pubbliche e private (ck-server, ck-client)
Cloak utilizza un proprio schema su Curve25519. Le chiavi vengono generate dall'utilityck-server:
ck-server -key
L'output sarà approssimativamente così:
La tua chiave pubblica è: AAAA...BBBB=
La chiave pubblica viene inserita nel file di configurazione del client (campoPublicKey). La chiave privata — solo sul server, non viene pubblicata né trasferita. Se perdi la chiave privata, genera nuovamente la coppia.
UID — è un identificatore utente separato. Viene generato dal comando:
ck-server -uid
Ogni utente ha il proprio UID. Questo consente di revocare l'accesso a un client specifico senza cambiare le chiavi.
Scelta del trasporto: Cloak + Shadowsocks o Cloak + OpenVPN
Cloak + Shadowsocks — combinazione consigliata. È supportata nativamente nelle applicazioni Android (Shadowsocks + plugin Cloak da F-Droid), più semplice da configurare e ha meno overhead.
Cloak + OpenVPN funziona, ma la configurazione è più complessa: è necessario avviare OpenVPN su una porta locale, e Cloak reindirizza il traffico a essa. Su Windows è realizzabile, ma su piattaforme mobili ci sono già delle limitazioni.
Configurazione passo-passo del server Cloak (ck-server)
Installazione di ck-server su Linux VPS
Accedi al server tramite SSH. Scarica l'ultima versione da GitHub (al momento della scrittura è v2.7.0):
wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
Prima dell'installazione, assicurati che la porta 443 sia libera:
ss -tlnp | grep :443
Se ci sono nginx o Apache in esecuzione — o li sposti su un'altra porta, o configuri il port forwarding attraverso di essi (più complesso). La soluzione più pulita è avere la porta 443 solo per Cloak.
Configurazione del file di config e ProxyBook
Crea una directory e un file di configurazione:
mkdir /etc/cloak
Esempio di configurazione (placeholder invece di valori reali):
{
ProxyBook dice a Cloak dove inviare il traffico — in questo caso a Shadowsocks sulla porta locale 8388.RedirAddr — indirizzo a cui vengono inviati tutte le connessioni "esterne" senza un UID corretto. Questa è una configurazione critica per l'oscuramento.
Il file degli utenti viene creato separatamente:
ck-server -u -dbPath /etc/cloak/userinfo.db -uid IL_TUO_UID -bandwidth 0 -bypass false -expiry 0
Avvio come servizio systemd e verifica della porta 443
Crea un file unit:
nano /etc/systemd/system/cloak-server.service
[Unit]
systemctl daemon-reload
Se lo statoactive (running) — il servizio è attivo. Controlla la porta:
ss -tlnp | grep :443
Dovrebbe essereck-server su 0.0.0.0:443. Se non c'è — guardajournalctl -u cloak-server -n 50.
Configurazione di RedirAddr per mascherarsi da sito reale
Questo è il punto in cui la maggior parte dei manuali tace, e poi si sorprende che il DPI comunque rileva il traffico. Senza un corretto RedirAddr, Cloak si blocca o restituisce una risposta vuota quando ci si connette senza UID. Un sondaggio attivo da parte del provider lo noterà subito.
RedirAddr deve puntare a un sito HTTPS attivo, che non sia bloccato in Russia. Controlla prima della configurazione:curl -I https://www.kernel.org — deve restituire 200 o 301, non timeout.
Le reti aziendali e scolastiche con intercettazione MITM TLS rompono completamente questa mascheratura — lì Cloak non aiuta, perché la rete stessa decripta TLS e vede il contenuto. Questo non è un bug di Cloak, ma una limitazione dell'approccio stesso.
Connessione del cliente: Android, iPhone/iOS, Windows, Mac e router
Android: Shadowsocks + plugin Cloak
Su Android funziona in modo più pulito. Installa due applicazioni:Shadowsocks da F-Droid o Google Play, e il pluginCloak Plugin for Android (disponibile anche su F-Droid, pacchettocom.github.shadowsocks.plugin.ck).
Nelle impostazioni del profilo Shadowsocks:
- Server: IP del tuo VPS
- Porta: 443
- Password: password di Shadowsocks
- Metodo di crittografia:
aes-256-gcmochacha20-ietf-poly1305 - Plugin: scegli Cloak
Nelle opzioni del plugin (Plugin Options) inserisci una stringa del tipo:
UID=IL_TUO_UID;PublicKey=IL_TUO_CHIAVE_PUBBLICA;ServerName=www.kernel.org;BrowserSig=chrome;NumConn=4
NumConn=4 — numero di connessioni TLS parallele. Su mobile è meglio non impostare più di 4, altrimenti la batteria si scarica più velocemente senza un aumento significativo della velocità.
iPhone/iOS: client con supporto obfs/Cloak
Su iOS la scelta dei client è notevolmente ridotta. L'App Store in Russia viene periodicamente ripulito, quindi la situazione cambia. Al momento della scrittura funzionano opzioni tramiteShadowrocket (a pagamento, $2.99, account App Store di un altro paese) oSing-Box.
In Shadowrocket aggiungi un server tipo Shadowsocks, nel campo Plugin sceglicloak, inserisci gli stessi parametri. L'interfaccia è meno comoda rispetto ad Android, ma funziona.
Su Apple TV Cloak non può essere installato direttamente — non c'è supporto per applicazioni di terze parti con estensioni VPN. L'unica opzione è condividere una connessione già offuscata dal router.
Windows e Mac: ck-client e integrazione con Shadowsocks
Scaricate il binariock-client per la vostra piattaforma dallo stesso repository GitHub. La configurazione del client (ckclient.json):
{
Avviate:
ck-client -c ckclient.json -s IP_DEL_VOSTRO_VPS -p 443 -l 1984 -i
Questo avvia un SOCKS5 locale sulla porta 1984, attraverso il quale il client Shadowsocks (ad esempio,Shadowsocks-Windows oOutline in modalità manuale) si connette al server.
Conflitto con un VPN di sistema già attivo — un problema comune su Windows. Se avete attivo WireGuard o un altro VPN, ck-client potrebbe non avviare il SOCKS5 o non riuscire a connettersi al server. Disattivate l'altro VPN prima di avviare.
Router (OpenWrt) e Smart TV / Apple TV: limitazioni e soluzioni alternative
Su OpenWrt è possibile installareck-client direttamente — ci sono build per MIPS e ARM. La configurazione è la stessa, avvio tramite init.d o procd. Il traffico dal router passa attraverso Cloak in modo trasparente per tutti i dispositivi connessi, comprese Smart TV e console.
Ma: se il router è fornito dal provider e non potete installare il firmware — non ci sono opzioni. Serve un router separato con OpenWrt o un analogo tipoGL.iNet con supporto plugin già integrato.
Gli operatori mobili con proxy trasparente a volte interrompono le connessioni sulla porta 443, se notano un comportamento non standard della sessione TLS. In questo caso provateBrowserSig: "firefox" invece di"chrome" — l'imitazione è leggermente diversa.
Verifica del funzionamento e test di velocità dopo l'offuscamento
Come assicurarsi che il traffico sia effettivamente mascherato
Controllo di base: aprite2ip.ru owhoer.net — dovrebbe mostrare l'IP del vostro VPS, non quello di casa. Verificate l'accesso a risorse bloccate: Instagram, Twitter/X, YouTube (se limitato dal vostro provider), Telegram.
Più tecnicamente: avviate Wireshark sulla vostra macchina e osservate il traffico verso il server. Dovreste vedere connessioni TLS sulla porta 443 con SNI del vostro ServerName. Nessun handshake OpenVPN, nessun pacchetto WireGuard UDP — tutto appare come HTTPS da browser.
Contro il sondaggio attivo: il provider può connettersi al vostro server sulla porta 443 e verificare cosa c'è. Se RedirAddr è configurato correttamente — il provider riceverà un reindirizzamento al sito reale e non vedrà nulla di sospetto.
Reale calo di velocità a causa dell'offuscamento
Onestamente: Cloak è più lento di WireGuard puro. Questo è un fatto e non vale la pena nasconderlo.
Sovraccarichi dovuti al wrapping TLS, da più connessioni parallele (NumConn), dalla crittografia aggiuntiva di Shadowsocks sopra TLS — tutto ciò consuma parte della larghezza di banda e aumenta la latenza. Quanto precisamente — dipende dal tuo server, dal suo carico, dalla distanza e dal provider. Non inventerò numeri specifici.
Metodo di misurazione autonoma: vai suspeedtest.net ofast.com, fai il test senza VPN, annota il risultato. Poi connetti Cloak e fai di nuovo il test. La differenza è il tuo reale sovraccarico proprio sul tuo percorso.
Cosa fare in caso di rallentamento da parte del provider
Se il provider applica shaping — rallentamento intenzionale — prova a ridurreNumConn a 2. A volte troppe connessioni TLS parallele da un unico indirizzo sembrano sospette.
Vale anche la pena controllare se il provider applica il blocco per SNI. Se il tuo ServerName (ad esempio,www.bing.com) è stato bloccato da Roskomnadzor — Cloak funzionerà in modo errato, perché la connessione a un dominio bloccato è di per sé sospetta. Cambia il ServerName con un dominio non bloccato.
Errori tipici di connessione e loro soluzione
Errore di handshake TLS e chiavi non corrispondenti
Sintomo: la connessione si blocca nella fase di installazione della sessione, il client restituisceTLS handshake failed o semplicemente timeout.
Il primo candidato è una chiave PublicKey errata nella configurazione del client. Controlla byte per byte: le chiavi di Cloak sono stringhe base64, qualsiasi lettera o spazio in più rompe tutto. Copia la chiave direttamente dall'outputck-server -key, non riscriverla a mano.
Il secondo candidato è un UID errato. Assicurati che l'UID nella configurazione del client corrisponda a quello aggiunto nel database utenti del server (userinfo.db).
Disallineamento dell'orario di sistema
Questa è una delle cause di errore più sottovalutate, che la maggior parte dei manuali non menziona. Cloak controlla il timestamp nell'handshake. Se la differenza tra l'ora del client e quella del server è superiore a pochi minuti — la sessione viene rifiutata.
Sul server controlla:
timedatectl status
NTP deve essere sincronizzato. Se non lo è:
systemctl enable --now systemd-timesyncd
Su Android gli orologi sono solitamente sincronizzati automaticamente. Su Windows — controlla tramitew32tm /query /status.
Il provider blocca per SNI / ServerName
Se il ServerName nella tua configurazione punta a un dominio bloccato — DPI taglia la connessione TLS prima dell'installazione della sessione. Cloak non aiuterà, perché SNI viene trasmesso in chiaro in ClientHello.
Soluzione: cambia il ServerName con un dominio che sicuramente non è bloccato in Russia. Controlla tramitecurl -I https://tuo-domain.com con un IP russo (puoi farlo tramite un operatore mobile senza VPN).
La connessione c'è, ma non c'è accesso a Internet
Il tunnel Cloak si è stabilito, l'indirizzo IP è cambiato, ma i siti non si aprono. Questo problema non è di Cloak, ma del trasporto interno — Shadowsocks o OpenVPN.
Controlli: il server Shadowsocks funziona sulla porta 8388 localmente:
ss -tlnp | grep 8388
Controlla il DNS: a volte durante il tunneling le richieste DNS non passano attraverso il VPN. Nel client Shadowsocks attiviRemote DNS oppure specifichi esplicitamente8.8.8.8 nelle impostazioni.
Se il doppio VPN — già attivo WireGuard o VPN aziendale — c'è un conflitto di routing. Non puoi mantenere due tunnel con il percorso predefinito contemporaneamente. Disattivi uno o configuri lo split tunneling.
Domande frequenti
In cosa si differenzia Cloak da VLESS+Reality e AmneziaWG?
Cloak è un wrapper sopra Shadowsocks o OpenVPN, maschera il traffico sotto TLS e richiede il proprio dominio. Reality è integrato in XRay/Sing-box e imita il TLS di un dominio esterno senza la necessità di controllarlo — tecnicamente più elegante, ma la configurazione è più complessa. AmneziaWG modifica il handshake di WireGuard stesso, randomizzando le intestazioni, il che è più semplice da configurare, ma meno efficace contro l'analisi approfondita del comportamento del traffico. Ognuno ha i propri punti di forza contro metodi specifici di DPI — non c'è un vincitore universale.
Serve un server proprio per Cloak?
Per un controllo completo — sì, serve un VPS con ck-server installato e preferibilmente un dominio per RedirAddr. Questo offre la massima flessibilità, ma richiede competenze tecniche e tempo. Un'alternativa sono i servizi pronti con supporto per offuscamento, dove tutto è già configurato dal fornitore, e tu ricevi solo i parametri di connessione.
Cloak rallenta Internet?
Sì, rallenta. L'involucro TLS, diverse connessioni parallele e la doppia crittografia aggiungono sovraccarichi. Quanto esattamente — dipende dal server, dalla distanza da esso e dal tuo fornitore. Il modo migliore per conoscere i tuoi numeri reali è confrontare Speedtest prima e dopo la connessione da solo.
Perché la connessione a Cloak non si stabilisce?
Le cause più comuni: PublicKey o UID errati (controlli byte per byte, senza spazi), disallineamento dell'ora di sistema tra client e server (una differenza di più di qualche minuto — la sessione viene rifiutata), ServerName bloccato per SNI (cambi su un dominio non bloccato), porta errata o conflitto con un altro VPN attivo. Analisi dettagliata — nella sezione sugli errori sopra.
Funziona Cloak su iPhone e Apple TV?
Su iOS — tramite Shadowrocket o Sing-Box, entrambi supportano il plugin Cloak, ma la scelta delle applicazioni è minore rispetto ad Android. Su Apple TV non è possibile installare Cloak direttamente — non c'è supporto per i plugin VPN. L'unica opzione è un router con OpenWrt e Cloak configurato, che distribuisce già una connessione offuscata a tutti i dispositivi connessi.
Cloak bypassa i blocchi di YouTube, Instagram e Telegram?
Cloak di per sé non bypassa i blocchi di siti specifici — maschera il canale VPN dal DPI del fornitore, affinché non tagli il protocollo VPN stesso. L'accesso a YouTube, Instagram, TikTok, Twitter/X e Telegram è garantito dal tunnel VPN (Shadowsocks o OpenVPN), che passa sopra Cloak. Lo schema funziona così: il fornitore vede un normale HTTPS e non taglia la connessione, mentre all'interno del tunnel ottieni accesso completo alle risorse bloccate.
Articoli correlati
Potrebbero interessarti anche
OpenConnect: configurazione e connessione nel 2026
OpenConnect: configurazione e connessione nel 2026 Se hai in mano la configurazione del server ocser...
Leggi di piùTUIC: configurazione e connessione VPN nel 2026
TUIC: configurazione e connessione VPN nel 2026 Se hai già provato VLESS e Shadowsocks, ma il provid...
Leggi di piùSing-box: configurazione e collegamento — guida completa 202...
Sing-box: configurazione e collegamento — guida completa 2026 Se hai in mano un config o un link di...
Leggi di più