Shadowsocks: konfiguracja i połączenie w 2026 roku

Jeśli otrzymałeś konfigurację od dostawcy lub znalazłeś instrukcję na czacie, ale nadal nie rozumiesz, co gdzie wstawić — ten materiał jest dla Ciebie. Shadowsocks: konfiguracja i połączenie w praktyce okazują się prostsze, niż się wydaje, ale jest kilka miejsc, w których ludzie regularnie utknęli. Rozłożymy wszystko na czynniki pierwsze: od struktury konfiguracji po diagnostykę, gdy połączenie jest, a strony się nie otwierają.

Czym jest Shadowsocks i po co jest potrzebny do omijania blokad

Shadowsocks — to nie VPN w klasycznym sensie. To zaszyfrowany proxy oparty na SOCKS5, który maskuje ruch jako zwykły HTTPS. Z punktu widzenia dostawcy i sprzętu DPI — to po prostu jakiś żądanie webowe, nic podejrzanego.

Dlatego tak trudno go zablokować na poziomie protokołu. Roskomnadzor może zablokować konkretny adres IP serwera, ale samo w sobie wykrycie „to jest Shadowsocks” do głębokiej inspekcji ruchu jest znacznie trudniejsze niż złapanie OpenVPN lub WireGuard.

Czym Shadowsocks różni się od klasycznego VPN

VPN tworzy zaszyfrowany tunel dla całego ruchu urządzenia na poziomie sieci. Shadowsocks działa inaczej — jako proxy. To znaczy, że tylko te aplikacje, które potrafią pracować z SOCKS5 lub HTTP-proxy, będą przez niego przechodzić automatycznie. Na klientach mobilnych rozwiązuje się to przez interfejs TUN, na desktopie — przez systemowy proxy.

Praktyczne konsekwencje: jeśli uruchomiłeś Shadowsocks na Windows w trybie PAC, twój klient torrentowy lub Teams mogą spokojnie działać bezpośrednio, omijając proxy. To nie jest błąd — tak działa architektura.

Jak Shadowsocks maskuje ruch i omija DPI

Standardowy HTTPS wygląda jak strumień zaszyfrowanych bajtów z handshake TLS. Shadowsocks z szyfrowaniem chacha20-ietf-poly1305 generuje podobny obraz — przypadkowy na pierwszy rzut oka strumień danych bez charakterystycznych nagłówków protokołów VPN. DPI nie widzi wyraźnych sygnatur, więc nie ma czego blokować.

Ale w 2026 roku dostawcy w Rosji nauczyli się heurystycznie określać „podobny do Shadowsocks” ruch — na podstawie entropii strumienia i wzorców połączenia. Bez wtyczki obfuskacji SS coraz częściej jest cięty. O tym więcej poniżej.

Kiedy Shadowsocks działa lepiej niż WireGuard i OpenVPN

Czysty OpenVPN jest wykrywany od razu — ma charakterystyczny handshake TLS z znanymi certyfikatami i portami. WireGuard również ma rozpoznawalne wzorce UDP, chociaż jest trudniejszy do wykrycia. Shadowsocks bez obfuskacji przebija średnie DPI lepiej niż oba.

Ale VLESS/XRay z Reality i Amnezia z obfuskacją — to następny poziom. W warunkach agresywnych blokad 2026 roku są bardziej odporne. SS — dobre rozwiązanie dla większości zadań, ale nie panaceum. Takie usługi jak NvoVPN oferują kilka protokołów jednocześnie, a jeśli SS zaczyna szwankować u konkretnego dostawcy, można przełączyć się bez szukania nowej usługi.

Co trzeba przygotować przed konfiguracją

Zanim otworzysz klienta, musisz zrozumieć, co masz w rękach. Konfiguracja Shadowsocks to cztery obowiązkowe parametry: adres serwera, port, metoda szyfrowania i hasło. To wszystko.

Gdzie znaleźć działającą konfigurację (ss:// link, kod QR, JSON)

Jeśli korzystasz z płatnej usługi VPN, konfiguracja jest wydawana w panelu użytkownika. Zwykle to albo ss:// link, albo kod QR (co jest tym samym, tylko w innej formie), albo plik JSON do ręcznego importu.

Link wygląda mniej więcej tak:ss://[email protected]:8388#MyServer. Część przed @ — to zakodowane metoda szyfrowania i hasło, po — adres serwera i port, po # — nazwa profilu.

Kod QR — to ten sam link, tylko w formie obrazka. Większość mobilnych klientów potrafi go odczytać kamerą bezpośrednio z interfejsu.

Jakie parametry są ważne: serwer, port, metoda szyfrowania, hasło

Metoda szyfrowania — to to, na czym najczęściej się myli. Polecamchacha20-ietf-poly1305 — świetnie działa na urządzeniach mobilnych, efektywnie pod względem zasobów procesora. Na desktopie działa normalnieaes-256-gcm.

Unikaj rc4-md5, table i innych starych metod. Są niebezpieczne, słabo radzą sobie z atakami, a nowoczesne DPI potrafią je wykrywać lepiej niż nowe szyfry AEAD.

Port — to osobna historia. Jeśli dostawca blokuje niestandardowe porty (typowe dla sieci korporacyjnych i mobilnych), będzie działał tylko 443. Wybieraj serwer lub konfigurację z obsługą 443, jeśli często przebywasz w ograniczonych sieciach.

Wybór wtyczki: simple-obfs i v2ray-plugin przeciwko DPI

Wtyczki obfuskacji — to dodatkowa warstwa maskowania nad Shadowsocks. Simple-obfs imituje ruch HTTP lub TLS. V2ray-plugin — bardziej zaawansowany, potrafi robić WebSocket + TLS, co jest praktycznie nieodróżnialne od zwykłej strony HTTPS.

W Rosji w 2026 roku bez wtyczki SS działa niestabilnie u wielu dostawców — szczególnie u „wielkiej trójki”. Jeśli konfiguracja bez obfuskacji nie działa lub działa niestabilnie — od razu szukaj serwera z v2ray-plugin w trybie websocket+tls. Simple-obfs już jest uważane za przestarzałe rozwiązanie.

Konfiguracja Shadowsocks na Androidzie

Na Androidzie jest to najprostsze — jest kilka normalnych klientów, a one są darmowe.

Instalacja klienta (shadowsocks-android / v2rayNG)

Główny klient —shadowsocks-android od dewelopera „Max Lv”. Szukaj w Google Play lub pobierz APK z GitHub (repozytorium shadowsocks/shadowsocks-android). Wersja w momencie pisania — 5.3.x.

Jeśli potrzebujesz jednego klienta zarówno dla SS, jak i dla VLESS/XRay — weźv2rayNG. Obsługuje Shadowsocks na równi z innymi protokołami. Wygodne, jeśli masz kilka konfiguracji różnych typów.

Import konfiguracji przez ss:// i kod QR

W shadowsocks-android: naciśnij „+” w prawym dolnym rogu → „Skanuj kod QR” lub „Importuj z schowka”. Jeśli masz link ss:// — skopiuj go, wejdź do aplikacji i naciśnij import z bufora. Aplikacja automatycznie rozpozna format.

Dla ręcznego wprowadzenia: „+” → „Wprowadź ręcznie” → wypełnij pola Server, Remote Port, Password, Encryption Method. Resztę można pozostawić domyślnie.

Po dodaniu profilu naciśnij na niego, aby wybrać jako aktywny, następnie naciśnij ikonę samolotu w prawym dolnym rogu. Aplikacja poprosi o pozwolenie na połączenie VPN — zgódź się.

Konfiguracja wtyczki obfuskacji i sprawdzenie połączenia

Jeśli konfiguracja używa wtyczki: w ustawieniach profilu znajdź pole „Plugin” → wybierz v2ray-plugin lub simple-obfs → wprowadź parametry wtyczki (zwykle jest to ciąg w postaciobfs=websocket;host=example.com).

Po połączeniu sprawdź IP przez przeglądarkę — wejdź na 2ip.ru lub whoer.net. Jeśli wyświetla się adres serwera, a nie twój domowy — wszystko działa.

Konfiguracja Shadowsocks na iPhone i iOS

Tutaj zaczyna się ból. W rosyjskim App Store nie ma normalnego darmowego klienta dla Shadowsocks. To fakt, nie opinia.

Jakie klienci są dostępni w App Store (Shadowrocket, Potatso)

Shadowrocket — najlepsza opcja. Kosztuje 2,99 USD, obsługuje SS, VLESS, Trojan i jeszcze wiele innych protokołów. Kupuje się jednorazowo, działa bez subskrypcji. Problem w tym, że nie jest dostępny w rosyjskim App Store z powodu blokad.

Potatso Lite — darmowy, ale bardziej ograniczony. Jeśli jest w twoim regionie — spróbuj na początek. Obsługuje podstawowe konfiguracje SS.

Do zainstalowania Shadowrocket potrzebny jest Apple ID z amerykańskim lub europejskim regionem. Najczystszy sposób — stworzyć oddzielny Apple ID dla innego regionu, nie zmieniając głównego. Rodzinny dostęp nie działa dla aplikacji zakupionych w innym regionie.

Import konfiguracji i praca z regionalnymi ograniczeniami App Store

Po zainstalowaniu Shadowrocket: naciśnij „+” w prawym górnym rogu → wybierz typ „SS” → wklej link ss:// w polu URI lub wypełnij pola ręcznie. Kod QR skanowany jest przez przycisk skanera obok pola URI.

Jeśli masz link ss:// w schowku — Shadowrocket zazwyczaj sam proponuje jego import przy uruchomieniu. To wygodniejsze niż ręczne wprowadzanie.

Włączenie profilu VPN i uprawnień iOS

Podczas pierwszego połączenia iOS pokaże prośbę o dodanie konfiguracji VPN. Naciśnij „Zezwól” i wprowadź kod dostępu urządzenia. Bez tego pozwolenia proxy nie zadziała.

Po połączeniu w pasku stanu pojawi się ikona VPN. W ustawieniach iOS (Ustawienia → VPN i zarządzanie urządzeniem) można zobaczyć aktywne połączenie i zarządzać nim niezależnie od aplikacji.

Konfiguracja Shadowsocks na Windows i Mac

Na desktopie SS działa jako lokalny proxy. To różni się od VPN — ważne jest, aby zrozumieć to od samego początku.

Shadowsocks dla Windows: klient i systemowy proxy

Pobierz oficjalnego klienta z GitHub (repozytorium shadowsocks/shadowsocks-windows). Instalacja nie jest wymagana — po prostu wypakuj i uruchom Shadowsocks.exe.

Po uruchomieniu w trayu pojawi się ikona. Prawy klik → „Serwery” → „Dodaj serwer” → wypełnij pola. Lub: „Importuj URL z schowka”, jeśli masz link ss://.

Aby aktywować: prawy klik na ikonie → „System Proxy” → włącz. To automatycznie skonfiguruje systemowy proxy Windows. Przeglądarki (Chrome, Edge) przechwycą go od razu. Inne aplikacje — zależy od tego, czy potrafią czytać systemowe ustawienia proxy.

Jako alternatywa —v2rayN, który obsługuje zarówno SS, jak i VLESS w jednym interfejsie.

ShadowsocksX-NG dla macOS

ShadowsocksX-NG — standardowy klient dla Mac. Pobierz z GitHub (shadowsocks/ShadowsocksX-NG), zainstaluj jak zwykłą aplikację. Przy pierwszym uruchomieniu macOS zapyta o pozwolenie na uruchomienie — zezwól w Ustawieniach systemowych → Prywatność i bezpieczeństwo.

Dodanie serwera: ikona w menu → „Otwórz ShadowsocksX-NG” → „Serwery” → „Preferencje serwera” → przycisk „+”. Lub import przez „Importuj adres URL serwera z schowka”.

Tryb globalnego proxy i tryb według zasad (PAC)

Tryb globalny — cały ruch przechodzi przez proxy. Tryb PAC — tylko strony z listy. PAC jest wygodniejszy do codziennej pracy: rosyjskie strony działają bezpośrednio, zablokowane — przez SS.

Ale PAC ma pułapkę: aplikacje, które nie używają systemowego proxy (wiele natywnych aplikacji macOS, niektóre gry, klienci torrentów), będą działać bezpośrednio niezależnie od trybu. Jeśli potrzebujesz przekierować cały ruch — użyj Global lub skonfiguruj przez Proxifier.

Obchodzenie blokad YouTube, Instagram, Telegram i innych usług

To jest powód, dla którego większość konfiguruje Shadowsocks. Zobaczmy, co naprawdę działa.

Obchodzenie spowolnienia YouTube przez Shadowsocks

YouTube w Rosji jest spowolniony na poziomie dostawcy — nie jest całkowicie zablokowany, ale ładowanie na 480p z buforowaniem. SS rozwiązuje problem, ponieważ ruch przechodzi przez zewnętrzny serwer, omijając „inteligentny” DPI dostawcy.

Dla streamingu ważna jest prędkość samego serwera. Chacha20-ietf-poly1305 działa szybciej niż aes-256-gcm na urządzeniach bez sprzętowego przyspieszenia AES — przede wszystkim na telefonach komórkowych. Na 4K YouTube potrzebne jest stabilne 25+ Mb/s od serwera.

Dostęp do Instagram, Facebook, Twitter/X

Instagram i Facebook (Meta) są zablokowane decyzją sądu od 2022 roku. Twitter/X działa niestabilnie. Przy skonfigurowanym Shadowsocks otwierają się w zwykłej przeglądarce lub natywnych aplikacjach — ruch przechodzi przez zewnętrzny serwer, który tych blokad nie widzi.

Szczegół: na Androidzie i iOS natywne aplikacje Instagram i Facebook używają systemowego proxy, więc wystarczy włączyć klienta SS. Na Windows w trybie PAC sprawdź, czy domeny meta.com i instagram.com są na liście zasad.

Stabilność Telegram i WhatsApp przez proxy

Telegram w Rosji okresowo jest przerywany przez niektórych dostawców — nie całkowicie, ale z opóźnieniami i problemami z mediami. SS stabilizuje połączenie. WhatsApp działa bez blokad, ale przez SS jest szybszy u niektórych operatorów komórkowych z agresywnym QoS.

Jeśli SS z obfuskacją nie radzi sobie z konkretnym dostawcą — to sygnał, aby przejść na VLESS/XRay z Reality lub Amnezia. Tam jest inny poziom maskowania.

Co zrobić, jeśli Shadowsocks się nie łączy

Najczęstsze pytanie. Rozłóżmy to na kroki.

Połączenie jest, ale strony się nie otwierają

Pierwsza rzecz, którą sprawdzasz — metoda szyfrowania. Jeśli w konfiguracji jest podane aes-256-cfb, a serwer jest ustawiony na chacha20-ietf-poly1305, połączenie formalnie zostanie nawiązane, ale ruch będzie szumem. Klient nie zawsze o tym wyraźnie informuje.

Lista kontrolna w takim przypadku:

• Metoda szyfrowania w kliencie dokładnie odpowiada serwerowej
• Hasło skopiowane poprawnie (bez zbędnych spacji)
• Na Windows/Mac włączone jest systemowe proxy (nie tylko uruchomiony klient)
• Przeglądarka nie używa własnych ustawień proxy, które nadpisują systemowe

Dostawca blokuje port lub DPI tnie ruch

Jeśli SS w ogóle się nie łączy — najpierw spróbuj portu 443. Blokują go nieliczni, ponieważ na nim działa cały HTTPS-internet. Jeśli usługa obsługuje różne porty, 443 to pierwszy wybór dla problematycznych sieci.

Jeśli łączy się, ale przerywa po kilku minutach — to DPI w działaniu. Dostawca określa ruch heurystycznie i zrywa połączenie. Rozwiązanie jest jedno: wtyczka obfuskacji. V2ray-plugin w trybie websocket+tls na porcie 443 — to praktycznie niewidoczny ruch dla większości systemów DPI.

Jeśli i to nie pomaga — czas przejść na VLESS/XRay (Reality) lub Amnezia. Niektórzy dostawcy już blokują każdy „podejrzany” ruch niezależnie od obfuskacji.

Niska prędkość i przerywanie połączenia

Niska prędkość — w 90% przypadków to problem samego serwera lub trasy do niego, a nie ustawień klienta. Sprawdź ping do serwera przez wbudowany test w kliencie lub przez terminal.

Przerywanie na mobilnym internecie często związane jest z przełączaniem między nadajnikami lub przejściem Wi-Fi ↔ LTE. Włącz opcję „keepalive” lub „heartbeat” w ustawieniach klienta, jeśli jest dostępna. W shadowsocks-android to parametr „TCP Fast Open” i „UDP Relay” — spróbuj je wyłączyć, jeśli występuje niestabilność.

Osobny przypadek — Smart TV i Apple TV. Nie ma natywnego klienta SS dla nich. Jedyną działającą opcją jest konfiguracja na routerze przez OpenWrt lub analogi z pakietem shadowsocks-libev. To temat osobnego materiału, ale ważne jest, aby wiedzieć, że w obejściu routera tam nie da się rozwiązać.