## Концепция - **Сервер A** (_РФ_):\ Точка входа, принимает трафик пользователей Telegram-прокси напрямую через **Xray** (порт `443\tcp`)\ и отправляет его в туннель на Сервер **B**.\ Порт для клиентов Telegram — `443\tcp` - **Сервер B** (_условно Нидерланды_):\ Точка выхода, на нем работает **Xray-сервер** (принимает подключения точки входа) и **telemt**.\ На сервере должен быть неограниченный доступ до серверов Telegram.\ Порт для VLESS/REALITY (вход) — `443\tcp`\ Внутренний порт telemt (куда пробрасывается трафик) — `8443\tcp` Туннель работает по протоколу VLESS-XTLS-Reality (или VLESS/xhttp/reality). Оригинальный IP-адрес клиента сохраняется благодаря протоколу PROXYv2, который Xray на Сервере А добавляет через локальный loopback перед упаковкой в туннель, благодаря чему прозрачно доходит до telemt. --- ## Шаг 1. Настройка туннеля Xray (A <-> B) На обоих серверах необходимо установить **Xray-core** (рекомендуется версия 1.8.4 или новее). Официальный скрипт установки (выполнить на обоих серверах): ```bash bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install ``` ### Генерация ключей и параметров (выполнить один раз) Для конфигурации потребуются уникальные ID и ключи Xray Reality. Выполните на любом сервере с установленным Xray: 1. **UUID клиента:** ```bash xray uuid # Сохраните вывод (например: 12345678-abcd-1234-abcd-1234567890ab) — это ``` 2. **Пара ключей X25519 (Private & Public) для Reality:** ```bash xray x25519 # Сохраните Private key () и Public key () ``` 3. **Short ID (идентификатор Reality):** ```bash openssl rand -hex 16 # Сохраните вывод (например: 0123456789abcdef0123456789abcdef) — это ``` 4. **Random Path (путь для xhttp):** ```bash openssl rand -hex 8 # Сохраните вывод (например, abc123def456), чтобы заменить в конфигах ``` --- ### Конфигурация Сервера B (_Нидерланды_): Создаем или редактируем файл `/usr/local/etc/xray/config.json`. Этот Xray-сервер будет слушать порт `443` и прозрачно пропускать валидный Reality трафик дальше, а "замаскированный" трафик (например, если кто-то стучится в лоб веб-браузером) пойдет на `yahoo.com`. ```bash nano /usr/local/etc/xray/config.json ``` Содержимое файла: ```json { "log": { "loglevel": "error", "access": "none" }, "inbounds": [ { "tag": "vless-in", "port": 443, "protocol": "vless", "settings": { "clients": [ { "id": "" } ], "decryption": "none" }, "streamSettings": { "network": "xhttp", "security": "reality", "realitySettings": { "dest": "yahoo.com:443", "serverNames": [ "yahoo.com" ], "privateKey": "", "shortIds": [ "" ] }, "xhttpSettings": { "path": "/", "mode": "auto" } } } ], "outbounds": [ { "tag": "tunnel-to-telemt", "protocol": "freedom", "settings": { "destination": "127.0.0.1:8443" } } ], "routing": { "domainStrategy": "AsIs", "rules": [ { "type": "field", "inboundTag": [ "vless-in" ], "outboundTag": "tunnel-to-telemt" } ] } } ``` Открываем порт на фаерволе (если включен): ```bash sudo ufw allow 443/tcp ``` Перезапускаем Xray: ```bash sudo systemctl restart xray sudo systemctl enable xray ``` --- ### Конфигурация Сервера A (_РФ_): Аналогично, редактируем `/usr/local/etc/xray/config.json`. Здесь Xray выступает публичной точкой: он принимает трафик на внешний порт `443\tcp`, пропускает через локальный loopback (порт `10444`) для добавления PROXYv2-заголовка, и упаковывает в Reality до Сервера B, прося тот доставить данные на *свой локальный* порт `127.0.0.1:8443` (именно там будет слушать telemt). ```bash nano /usr/local/etc/xray/config.json ``` Содержимое файла: ```json { "log": { "loglevel": "error", "access": "none" }, "inbounds": [ { "tag": "public-in", "port": 443, "listen": "0.0.0.0", "protocol": "dokodemo-door", "settings": { "address": "127.0.0.1", "port": 10444, "network": "tcp" } }, { "tag": "tunnel-in", "port": 10444, "listen": "127.0.0.1", "protocol": "dokodemo-door", "settings": { "address": "127.0.0.1", "port": 8443, "network": "tcp" } } ], "outbounds": [ { "tag": "local-injector", "protocol": "freedom", "settings": { "proxyProtocol": 2 } }, { "tag": "vless-out", "protocol": "vless", "settings": { "vnext": [ { "address": "", "port": 443, "users": [ { "id": "", "encryption": "none" } ] } ] }, "streamSettings": { "network": "xhttp", "security": "reality", "realitySettings": { "serverName": "yahoo.com", "publicKey": "", "shortId": "", "spiderX": "/", "fingerprint": "chrome" }, "xhttpSettings": { "path": "/" } } } ], "routing": { "domainStrategy": "AsIs", "rules": [ { "type": "field", "inboundTag": ["public-in"], "outboundTag": "local-injector" }, { "type": "field", "inboundTag": ["tunnel-in"], "outboundTag": "vless-out" } ] } } ``` *Замените `` на внешний IP-адрес Сервера B.* Открываем порт на фаерволе для клиентов: ```bash sudo ufw allow 443/tcp ``` Перезапускаем Xray: ```bash sudo systemctl restart xray sudo systemctl enable xray ``` --- ## Шаг 2. Установка и настройка telemt на Сервере B (_Нидерланды_) Установка telemt описана [в основной инструкции](../QUICK_START_GUIDE.ru.md). Отличие в том, что telemt должен слушать *внутренний* порт (так как 443 занят Xray-сервером), а также ожидать `PROXY` протокол из Xray туннеля. В конфиге `config.toml` прокси (на Сервере B) укажите: ```toml [server] port = 8443 listen_addr_ipv4 = "127.0.0.1" proxy_protocol = true [general.links] show = "*" public_host = "" public_port = 443 ``` - `port = 8443` и `listen_addr_ipv4 = "127.0.0.1"` означают, что telemt принимает подключения только изнутри (приходящие от локального Xray-процесса). - `proxy_protocol = true` заставляет telemt парсить PROXYv2-заголовок (который добавил Xray на Сервере A через loopback), восстанавливая IP-адрес конечного пользователя (РФ). - В `public_host` укажите публичный IP-адрес или домен Сервера A, чтобы ссылки на подключение генерировались корректно. Перезапустите `telemt`, и клиенты смогут подключаться по выданным ссылкам.