Cloak obfuskacja: konfiguracja i połączenie w 2026
Cloak obfuskacja: konfiguracja i połączenie w 2026 Jeśli dostawca tnie WireGuard lub OpenVPN za pomocą DPI — to typowa historia dla rosyjskich sieci w 2026 roku — Cloak obfuskacja: konfiguracja i połączenie stają się nie opcjonalnym tematem, a koniecznością. Ten artykuł to techniczna analiza bez zbę
Cloak obfuskacja: konfiguracja i połączenie w 2026
Jeśli dostawca tnie WireGuard lub OpenVPN za pomocą DPI — to typowa historia dla rosyjskich sieci w 2026 roku — Cloak obfuskacja: konfiguracja i połączenie stają się nie opcjonalnym tematem, a koniecznością. Ten artykuł to techniczna analiza bez zbędnych słów: jak działa Cloak, jak uruchomić serwer, podłączyć klienta na Android/iOS/Windows i zrozumieć, dlaczego połączenie nie jest nawiązywane.
Co to jest Cloak i po co potrzebna jest obfuskacja ruchu
Cloak to pluggable transport, czyli transportowa powłoka. Nie zastępuje VPN i nie jest samodzielnym proxy. Jego zadaniem jest wziąć ruch Shadowsocks lub OpenVPN i zapakować go tak, aby na zewnątrz wyglądał jak zwykłe zapytanie TLS do jakiejś strony.
Bez obfuskacji sprzęt DPI widzi charakterystyczne wzorce handshake WireGuard lub OpenVPN i tnie połączenie. Z Cloak ruch wygląda jak HTTPS do warunkowegoexample.com. Dostawca widzi legalny TLS, przepuszcza — a wewnątrz jedzie twój tunel VPN.
Jak DPI rozpoznaje ruch VPN
Deep Packet Inspection działa na podstawie kilku cech jednocześnie. Po pierwsze, sygnatury protokołów: WireGuard ma specyficzny format handshake, a OpenVPN — charakterystyczny TLS-ClientHello z niestandardowymi zestawami szyfrów. Po drugie, entropia pakietów: szyfrowany ruch VPN ma bardzo wysoką entropię, co odróżnia go od prawdziwego HTTPS, gdzie część danych jest przewidywalna.
Roskomnadzor od 2023 roku aktywnie wykorzystuje TSPU — techniczne środki przeciwdziałania zagrożeniom. Te systemy potrafią nie tylko patrzeć na port, ale także analizować zachowanie połączenia, czasy, długości pakietów. Dlatego "zmiana portu" już nie pomaga, a potrzebna jest pełna maskowanie.
Zasada działania Cloak: maskowanie pod zwykłe HTTPS/TLS
Cloak ustanawia sesję TLS, w której ClientHello wygląda jak zapytanie przeglądarki. ServerName (SNI) wskazuje na rzeczywistą istniejącą stronę. Przy tym serwer Cloak (ck-server) potrafi przekierowywać "obcych" — tych, którzy łączą się bez poprawnego UID — na prawdziwą stronę przykrywkę. To nazywa się RedirAddr, i to ważna część maskowania, którą wielu ignoruje.
Wewnątrz sesji TLS jedzie twój Shadowsocks lub OpenVPN. Na zewnątrz — zwykły ruch internetowy. Systemy DPI widzą poprawny TLS do znanej domeny i nie dotykają połączenia.
Czym Cloak różni się od Shadowsocks, VLESS/XRay i Amnezia (AmneziaWG)
To uczciwe porównanie, bez ogłaszania zwycięzcy.
Cloak — uniwersalna powłoka nad Shadowsocks lub OpenVPN. Wymaga swojej domeny i VPS. Dobrze działa tam, gdzie Reality jest niedostępne. Jest wspierany na większości platform przez wtyczki.
VLESS+Reality (XRay) — imituje handshake TLS obcej strony, twoja domena nie jest potrzebna. Wbudowane w jądro XRay/Sing-box. Przeciwko aktywnemu sondowaniu (active probing) jest lepiej chronione niż podstawowy Shadowsocks, ale konfiguracja jest trudniejsza.
AmneziaWG — zmodyfikowany WireGuard z randomizacją nagłówków. Łatwiejszy w konfiguracji, szybszy na poziomie prędkości, ale mniej uniwersalny przeciwko głębokiemu DPI, ponieważ zachowanie ruchu wciąż różni się od HTTPS.
Co wybrać — zależy od twojego dostawcy, sprzętu i przygotowania technicznego. Cloak wygrywa tam, gdzie już jest działający serwer Shadowsocks i potrzebna jest szybka nakładka.
Co potrzebne przed konfiguracją: serwer, klucze i klient
Zanim przejdziesz do poleceń, musisz upewnić się, że masz wszystko, co potrzebne. Pominięcie jakiegokolwiek punktu to najczęstszy powód, dla którego połączenie nie jest nawiązywane za pierwszym razem.
Wymagania dotyczące serwera i domeny
Potrzebujesz VPS poza Rosją z czystym adresem IPv4. Minimalne wymagania to 512 MB RAM, Ubuntu 22.04 lub Debian 12. Port 443 musi być otwarty i nie zajęty przez inne usługi.
Domena lub adres przekierowania do maskowania — pożądane, ale nie ściśle obowiązkowe. Bez niego Cloak działa, ale aktywne sondowanie dostawcy wykryje, że za "HTTPS" nie ma rzeczywistej strony. Do RedirAddr nada się każda duża strona na TLS — ważne, aby nie była zablokowana przez Roskomnadzor. Na przykład,www.bing.com:443 lubwww.kernel.org:443.
Jeśli nie chcesz konfigurować własnego VPS — są gotowe usługi z obsługą obfuskacji, na przykład NvoVPN, gdzie infrastruktura jest już skonfigurowana i otrzymujesz gotowe parametry połączenia.
Generowanie kluczy publicznych i prywatnych (ck-server, ck-client)
Cloak używa własnego schematu na Curve25519. Klucze są generowane przez narzędzieck-server:
ck-server -key
Wynik będzie mniej więcej taki:
Twój klucz publiczny to: AAAA...BBBB=
Klucz publiczny wpisuje się w konfiguracji klienta (polePublicKey). Klucz prywatny — tylko na serwerze, nigdzie nie jest publikowany ani przekazywany. Straciliście klucz prywatny — generujecie parę od nowa.
UID — to oddzielny identyfikator użytkownika. Generowany jest poleceniem:
ck-server -uid
Każdemu użytkownikowi — swój UID. To pozwala na odwołanie dostępu konkretnego klienta bez zmiany kluczy.
Wybór transportu: Cloak + Shadowsocks lub Cloak + OpenVPN
Cloak + Shadowsocks — zalecana kombinacja. Jest natywnie wspierana w aplikacjach na Androida (Shadowsocks + wtyczka Cloak z F-Droid), łatwiejsza w konfiguracji i ma mniej kosztów dodatkowych.
Cloak + OpenVPN działa, ale konfiguracja jest trudniejsza: trzeba uruchomić OpenVPN na lokalnym porcie, a Cloak przekierowuje do niego ruch. Na Windows jest to wykonalne, ale na platformach mobilnych — już z ograniczeniami.
Krok po kroku konfiguracja serwera Cloak (ck-server)
Instalacja ck-server na Linux VPS
Logujesz się na serwer przez SSH. Pobierasz najnowszą wersję z GitHub (w momencie pisania to v2.7.0):
wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
Przed instalacją upewnij się, że port 443 jest wolny:
ss -tlnp | grep :443
Jeśli wisi tam nginx lub Apache — albo przenosisz je na inny port, albo konfigurujesz przekierowanie przez nie (trudniejsze). Najczystsza opcja — 443 tylko dla Cloak.
Konfiguracja pliku config i ProxyBook
Tworzysz katalog i plik konfiguracyjny:
mkdir /etc/cloak
Przykład konfiguracji (placeholdery zamiast rzeczywistych wartości):
{
ProxyBook mówi Cloak, dokąd przekazywać ruch — w tym przypadku do Shadowsocks na lokalnym porcie 8388.RedirAddr — adres, na który wysyłane są wszystkie "obce" połączenia bez poprawnego UID. To krytyczna konfiguracja dla maskowania.
Plik użytkowników tworzony jest osobno:
ck-server -u -dbPath /etc/cloak/userinfo.db -uid TWÓJ_UID -bandwidth 0 -bypass false -expiry 0
Uruchomienie jako usługa systemd i sprawdzenie portu 443
Tworzysz plik jednostki:
nano /etc/systemd/system/cloak-server.service
[Unit]
systemctl daemon-reload
Jeśli statusactive (running) — usługa została uruchomiona. Sprawdzasz port:
ss -tlnp | grep :443
Powinien byćck-server na 0.0.0.0:443. Jeśli go nie ma — zobaczjournalctl -u cloak-server -n 50.
Konfiguracja RedirAddr do maskowania pod prawdziwą stronę
To miejsce, gdzie większość podręczników milczy, a potem dziwi się, że DPI i tak przechwytuje ruch. Bez poprawnego RedirAddr Cloak przy połączeniu bez UID po prostu się zawiesza lub zwraca pustą odpowiedź. Aktywne sondowanie ze strony dostawcy od razu to zauważy.
RedirAddr powinien wskazywać na żywą stronę HTTPS, która nie jest zablokowana w Rosji. Sprawdź przed konfiguracją:curl -I https://www.kernel.org — powinien zwrócić 200 lub 301, nie timeout.
Sieci korporacyjne i szkolne z przechwytywaniem MITM TLS całkowicie łamią to maskowanie — tam Cloak nie pomoże, ponieważ sieć sama deszyfruje TLS i widzi zawartość. To nie błąd Cloak, a ograniczenie samego podejścia.
Połączenie klienta: Android, iPhone/iOS, Windows, Mac i routery
Android: Shadowsocks + wtyczka Cloak
Na Androidzie działa to najczystsze. Instalujesz dwie aplikacje:Shadowsocks z F-Droid lub Google Play, i wtyczkęCloak Plugin for Android (również dostępna na F-Droid, pakietcom.github.shadowsocks.plugin.ck).
W ustawieniach profilu Shadowsocks:
- Serwer: IP twojego VPS
- Port: 443
- Hasło: hasło Shadowsocks
- Metoda szyfrowania:
aes-256-gcmlubchacha20-ietf-poly1305 - Wtyczka: wybierasz Cloak
W opcjach wtyczki (Plugin Options) wpisujesz ciąg w formacie:
UID=TWÓJ_UID;PublicKey=TWÓJ_PUBLICZNY_KLUCZ;ServerName=www.kernel.org;BrowserSig=chrome;NumConn=4
NumConn=4 — liczba równoległych połączeń TLS. Na urządzeniach mobilnych lepiej nie ustawiać więcej niż 4, w przeciwnym razie bateria rozładowuje się szybciej bez zauważalnego wzrostu prędkości.
iPhone/iOS: klienci z obsługą obfs/Cloak
Na iOS wybór klientów jest znacznie mniejszy. App Store w Rosji okresowo się oczyszcza, więc sytuacja się zmienia. W momencie pisania działają opcje przezShadowrocket (płatny, $2.99, konto App Store innego kraju) lubSing-Box.
W Shadowrocket dodajesz serwer typu Shadowsocks, w polu Plugin wybieraszcloak, wpisujesz te same parametry. Interfejs jest mniej wygodny niż na Androidzie, ale działa.
Na Apple TV bezpośrednio Cloak nie jest instalowany — nie ma wsparcia dla aplikacji z rozszerzeniami VPN. Jedyną opcją jest udostępnienie już obfuskującego połączenia z routera.
Windows i Mac: ck-client i połączenie z Shadowsocks
Pobierasz binarkęck-client dla swojej platformy z tego samego repozytorium GitHub. Konfiguracja klienta (ckclient.json):
{
Uruchamiasz:
ck-client -c ckclient.json -s IP_TWÓJ_VPS -p 443 -l 1984 -i
To uruchamia lokalny SOCKS5 na porcie 1984, przez który klient Shadowsocks (na przykład,Shadowsocks-Windows lubOutline w trybie ręcznym) łączy się z serwerem.
Konflikt z już aktywnym systemowym VPN — częsty problem na Windows. Jeśli masz uruchomiony WireGuard lub inny VPN, ck-client może nie uruchomić SOCKS5 lub nie połączyć się z serwerem. Wyłącz inny VPN przed uruchomieniem.
Routery (OpenWrt) i Smart TV / Apple TV: ograniczenia i obejścia
Na OpenWrt można zainstalowaćck-client bezpośrednio — są wersje dla MIPS i ARM. Konfiguracja ta sama, uruchomienie przez init.d lub procd. Ruch z routera przechodzi przez Cloak przezroczysto dla wszystkich podłączonych urządzeń, w tym Smart TV i konsol.
Ale: jeśli router jest od dostawcy i nie możesz zainstalować oprogramowania — nie ma opcji. Potrzebny jest oddzielny router z OpenWrt lub analog typuGL.iNet z już wbudowaną obsługą wtyczek.
Operatorzy mobilni z przezroczystym proxy czasami przerywają połączenia na porcie 443, jeśli zauważą nietypowe zachowanie sesji TLS. W takim przypadku spróbujBrowserSig: "firefox" zamiast"chrome" — imitacja jest nieco inna.
Sprawdzanie działania i test prędkości po obfuskacji
Jak upewnić się, że ruch jest rzeczywiście maskowany
Podstawowe sprawdzenie: otwierasz2ip.ru lubwhoer.net — powinno pokazywać IP twojego VPS, a nie domowe. Sprawdzasz dostęp do zablokowanych zasobów: Instagram, Twitter/X, YouTube (jeśli jest ograniczony przez twojego dostawcę), Telegram.
Bardziej technicznie: uruchamiasz Wireshark na swoim komputerze i patrzysz na ruch do serwera. Powinieneś widzieć połączenia TLS na porcie 443 z SNI twojego ServerName. Żadnego OpenVPN handshake, żadnych pakietów WireGuard UDP — wszystko wygląda jak przeglądarkowy HTTPS.
Przeciwko aktywnemu sondowaniu: dostawca może sam połączyć się z twoim serwerem na 443 i sprawdzić, co tam jest. Jeśli RedirAddr jest skonfigurowany poprawnie — dostawca otrzyma przekierowanie na prawdziwą stronę i nic podejrzanego nie zobaczy.
Rzeczywisty spadek prędkości z powodu obfuskacji
Szczerze: Cloak jest wolniejszy od czystego WireGuard. To fakt i nie ma sensu tego ukrywać.
Koszty związane z opakowaniem TLS, z kilku równoległych połączeń (NumConn), dodatkowe szyfrowanie Shadowsocks na TLS — to wszystko pochłania część przepustowości i zwiększa opóźnienie. Jak bardzo — zależy od twojego serwera, jego obciążenia, odległości do niego i dostawcy. Nie będę wymyślał konkretnych liczb.
Metodyka samodzielnego pomiaru: idziesz naspeedtest.net lubfast.com, robisz test bez VPN, zapisujesz wynik. Potem łączysz się z Cloak i robisz test ponownie. Różnica — to twoje rzeczywiste koszty na twojej trasie.
Co robić w przypadku spowolnienia ze strony dostawcy
Jeśli dostawca stosuje shaping — celowe spowolnienie — spróbuj zmniejszyćNumConn do 2. Czasami zbyt wiele równoległych połączeń TLS z jednego adresu wygląda podejrzanie.
Warto również sprawdzić, czy dostawca nie stosuje blokady po SNI. Jeśli twój ServerName (na przykład,www.bing.com) sam wpadł pod blokadę Roskomnadzoru — Cloak będzie działać niepoprawnie, ponieważ połączenie z zablokowaną domeną samo w sobie jest podejrzane. Zmieniasz ServerName na niezablokowaną domenę.
Typowe błędy połączenia i ich rozwiązanie
Błąd handshake TLS i niezgodność kluczy
Objaw: połączenie zawiesza się na etapie ustanawiania sesji, klient zgłaszaTLS handshake failed lub po prostu timeout.
Pierwszy kandydat — nieprawidłowy PublicKey w konfiguracji klienta. Sprawdzasz bajt po bajcie: klucze Cloak — to ciągi base64, każda zbędna litera lub spacja psuje wszystko. Kopiujesz klucz bezpośrednio z wyjściack-server -key, nie przepisuj ręcznie.
Drugi kandydat — nieprawidłowy UID. Upewniasz się, że UID w konfiguracji klienta zgadza się z tym, co dodano do bazy użytkowników serwera (userinfo.db).
Rozsynchornizowanie czasu systemowego
To jedna z najbardziej niedocenianych przyczyn błędów, o której większość podręczników nie wspomina. Cloak sprawdza znacznik czasowy w handshake. Jeśli różnica między czasem na kliencie a serwerze wynosi więcej niż kilka minut — sesja jest odrzucana.
Na serwerze sprawdzasz:
timedatectl status
NTP powinien być zsynchronizowany. Jeśli nie:
systemctl enable --now systemd-timesyncd
Na Androidzie zegary są zazwyczaj synchronizowane automatycznie. Na Windows — sprawdzasz przezw32tm /query /status.
Dostawca blokuje po SNI / ServerName
Jeśli ServerName w twojej konfiguracji wskazuje na zablokowaną domenę — DPI tnie połączenie TLS przed ustanowieniem sesji. Cloak w tym nie pomoże, ponieważ SNI jest przesyłane w otwartej formie w ClientHello.
Rozwiązanie: zmieniasz ServerName na domenę, która na pewno nie jest zablokowana w Rosji. Sprawdzasz przezcurl -I https://twój-domain.com z rosyjskiego IP (można przez operatora komórkowego bez VPN).
Połączenie jest, ale nie ma dostępu do internetu
Tunel Cloak został zainstalowany, adres IP się zmienił, ale strony się nie otwierają. To nie jest problem Cloak, a transportu wewnętrznego — Shadowsocks lub OpenVPN.
Sprawdzacie: czy serwer Shadowsocks działa lokalnie na porcie 8388:
ss -tlnp | grep 8388
Sprawdzacie DNS: czasami podczas tunelowania zapytania DNS nie przechodzą przez VPN. W kliencie Shadowsocks włączacieRemote DNS lub wpisujecie jawnie8.8.8.8 w ustawieniach.
Jeśli podwójny VPN — już aktywny WireGuard lub korporacyjny VPN — konflikt z routowaniem. Nie można jednocześnie utrzymywać dwóch tuneli z domyślną trasą. Wyłączacie jeden lub konfigurujecie split tunneling.
Często zadawane pytania
Czym Cloak różni się od VLESS+Reality i AmneziaWG?
Cloak to nakładka na Shadowsocks lub OpenVPN, maskuje ruch pod TLS i wymaga własnej domeny. Reality jest wbudowane w XRay/Sing-box i imituje TLS obcej domeny bez potrzeby jej kontrolowania — technicznie bardziej eleganckie, ale konfiguracja jest trudniejsza. AmneziaWG modyfikuje sam handshake WireGuard, randomizując nagłówki, co jest prostsze w konfiguracji, ale mniej skuteczne przeciwko głębokiej analizie zachowania ruchu. Każdy z nich ma swoje mocne strony przeciwko konkretnym metodom DPI — nie ma uniwersalnego zwycięzcy.
Czy potrzebny jest własny serwer dla Cloak?
Dla pełnej kontroli — tak, potrzebny jest VPS z zainstalowanym ck-server i najlepiej domena dla RedirAddr. Daje to maksymalną elastyczność, ale wymaga wiedzy technicznej i czasu. Alternatywa — gotowe usługi z obsługą obfuskacji, gdzie wszystko jest już skonfigurowane po stronie dostawcy, a wy otrzymujecie tylko parametry połączenia.
Czy Cloak spowalnia internet?
Tak, spowalnia. Nakładka TLS, kilka równoległych połączeń i podwójne szyfrowanie dodają narzutów. Jak bardzo — zależy od serwera, odległości do niego i waszego dostawcy. Najlepszym sposobem na poznanie swoich rzeczywistych wyników jest samodzielne porównanie Speedtest przed i po połączeniu.
Dlaczego połączenie z Cloak nie jest nawiązywane?
Najczęstsze przyczyny: nieprawidłowy PublicKey lub UID (sprawdzacie bajt po bajcie, bez spacji), rozbieżność czasu systemowego między klientem a serwerem (różnica większa niż kilka minut — sesja jest odrzucana), zablokowana ServerName według SNI (zmieniacie na odblokowaną domenę), nieprawidłowy port lub konflikt z innym aktywnym VPN. Szczegółowa analiza — w sekcji o błędach powyżej.
Czy Cloak działa na iPhone i Apple TV?
Na iOS — przez Shadowrocket lub Sing-Box, oba wspierają wtyczkę Cloak, ale wybór aplikacji jest mniejszy niż na Androidzie. Na Apple TV nie można bezpośrednio zainstalować Cloak — nie ma wsparcia dla wtyczek VPN. Jedyną opcją jest router z OpenWrt i skonfigurowanym Cloak, który udostępnia już obfuskowane połączenie dla wszystkich podłączonych urządzeń.
Czy Cloak omija blokady YouTube, Instagram i Telegram?
Cloak sam w sobie nie omija blokad konkretnych stron — maskuje kanał VPN przed DPI dostawcy, aby ten nie przerywał samego protokołu VPN. Dostęp do YouTube, Instagram, TikTok, Twitter/X i Telegram zapewnia tunel VPN (Shadowsocks lub OpenVPN), który idzie ponad Cloak. Schemat działa tak: dostawca widzi zwykły HTTPS i nie przerywa połączenia, a wewnątrz tunelu uzyskujecie pełny dostęp do zablokowanych zasobów.
Powiązane artykuły
Może Cię zainteresować
OpenConnect: konfiguracja i połączenie w 2026
OpenConnect: konfiguracja i połączenie w 2026 Jeśli trzymasz w rękach konfigurację serwera ocserv lu...
Czytaj więcejTUIC: konfiguracja i połączenie VPN w 2026 roku
TUIC: konfiguracja i połączenie VPN w 2026 roku Jeśli już próbowałeś VLESS i Shadowsocks, ale dostaw...
Czytaj więcejSing-box: konfiguracja i połączenie — pełny przewodnik 2026
Sing-box: konfiguracja i połączenie — pełny przewodnik 2026 Jeśli trzymasz w rękach konfigurację lub...
Czytaj więcej