Владимир: Новая страница: « = Hysteria 2: каскад РФ → EU — полная инструкция = Инструкция охватывает полный цикл: поднять сервер Hysteria 2 на EU-VPS, настроить на нём релей sing-box на РФ-VPS, сгенерировать ссылки для клиентов и выполнить обслуживание серверов. Все команды выполняются **по одно...»

2026-04-18T20:01:02Z

Новая страница: « = Hysteria 2: каскад РФ → EU — полная инструкция = Инструкция охватывает полный цикл: поднять **сервер Hysteria 2** на EU-VPS, настроить на нём **релей sing-box** на РФ-VPS, сгенерировать ссылки для клиентов и выполнить обслуживание серверов. Все команды выполняются **по одно...»

Новая страница

= Hysteria 2: каскад РФ → EU — полная инструкция =
Инструкция охватывает полный цикл: поднять **сервер Hysteria 2** на EU-VPS, настроить на нём **релей sing-box** на РФ-VPS, сгенерировать ссылки для клиентов и выполнить обслуживание серверов.

Все команды выполняются **по одной** (или одним логическим блоком — запись файла), результат после каждой шага — проверяемый.

== Схема каскада ==
<pre>
Клиент / роутер
│ Hysteria 2 (пароль «клиент→РФ») UDP :40000
▼
РФ-VPS 81.30.105.134 (sing-box)
├─ inbound: hysteria2 UDP :40000 ← от клиентов
└─ outbound: hysteria2 → EU UDP :40001 (пароль «РФ→EU»)
│
▼
EU-VPS 148.253.213.5 (hysteria server)
└─ UDP :40001 → выход в интернет
</pre>

; Почему два пароля
: '''Пароль «клиент → РФ»''' — знают только ваши устройства и sing-box РФ.
: '''Пароль «РФ → EU»''' — знают только sing-box РФ и hysteria EU. На клиентах он '''не''' нужен.

== Параметры развёртывания ==
{| class="wikitable"
!Параметр
!Значение
!Примечание
|-
|ОС EU
|Ubuntu 24.04 LTS
|apt / systemd
|-
|IP EU (публичный)
|<code>148.253.213.5</code>
|Изменить на свой
|-
|UDP-порт EU
|<code>40001</code>
|Вход для РФ-релея
|-
|Бинарь EU
|<code>hysteria v2.8.1</code>
|<code>/usr/local/bin/hysteria</code>
|-
|Конфиг EU
|<code>/etc/hysteria/server-eu.yaml</code>
|Права 0640
|-
|TLS EU
|<code>/etc/hysteria/tls-eu/eu.crt</code> + <code>eu.key</code>
|Самоподпись на IPv4
|-
|Сервис EU
|<code>hysteria-eu-hy2test.service</code>
|systemd
|-
|ОС РФ
|Debian 13 (trixie)
|apt / systemd
|-
|IP РФ (публичный)
|<code>81.30.105.134</code>
|Изменить на свой
|-
|UDP-порт РФ (вход клиентов)
|<code>40000</code>
|Не пересекаться с Xray
|-
|Бинарь РФ
|<code>sing-box v1.13.8</code>
|<code>/usr/local/bin/sing-box</code>
|-
|Конфиг РФ
|<code>/etc/sing-box/config.json</code>
|Права 0600
|-
|TLS РФ
|<code>/etc/sing-box/tls-ru/ru.crt</code> + <code>ru.key</code>
|Самоподпись на IPv4
|-
|Сервис РФ
|<code>sing-box-hy2relay-test.service</code>
|systemd
|}
----

= Часть 1. Сервер EU (Ubuntu 24.04) =

== 1.1 Диагностика перед установкой ==
Выполнять на '''EU-VPS''' под root.

=== 1.1.1 Дата и время ===
<syntaxhighlight lang="bash">
date -u
timedatectl status
</syntaxhighlight>'''Ожидаемо:''' <code>System clock synchronized: yes</code>, <code>NTP service: active</code>.

=== 1.1.2 Публичный IP и интерфейсы ===
<syntaxhighlight lang="bash">
curl -4sS --max-time 10 https://api.ipify.org; echo
ip -br a
</syntaxhighlight>

=== 1.1.3 Занятые порты (не пересечься с Xray/Docker) ===
<syntaxhighlight lang="bash">
ss -tulpen | head -n 50
</syntaxhighlight>

=== 1.1.4 Проверить, что UDP-порт 40001 свободен ===
<syntaxhighlight lang="bash">
ss -ulpen | grep ':40001' && echo "ЗАНЯТ" || echo "OK: свободен"
</syntaxhighlight>

== 1.2 Установка Hysteria ==

=== 1.2.1 Обновить пакеты ===
<syntaxhighlight lang="bash">
apt-get update
apt-get install -y ca-certificates curl openssl
</syntaxhighlight>

=== 1.2.2 Создать каталог конфигурации ===
<syntaxhighlight lang="bash">
install -d -m 0755 /etc/hysteria
</syntaxhighlight>

=== 1.2.3 Задать версию и URL ===
<syntaxhighlight lang="bash">
export HY2_TAG="app/v2.8.1"
export HY2_BIN_URL="https://github.com/apernet/hysteria/releases/download/${HY2_TAG}/hysteria-linux-amd64"
echo "${HY2_BIN_URL}"
</syntaxhighlight>

=== 1.2.4 Скачать бинарь (с повторами при 504) ===
<syntaxhighlight lang="bash">
curl -4fL --connect-timeout 20 --max-time 300 --retry 8 --retry-delay 2 --retry-all-errors \
-o /tmp/hysteria "${HY2_BIN_URL}"
</syntaxhighlight>

=== 1.2.5 Проверить размер (~15–17 МБ) ===
<syntaxhighlight lang="bash">
ls -la /tmp/hysteria
</syntaxhighlight>

=== 1.2.6 Установить ===
<syntaxhighlight lang="bash">
install -m 0755 /tmp/hysteria /usr/local/bin/hysteria
rm -f /tmp/hysteria
</syntaxhighlight>

=== 1.2.7 Версия ===
<syntaxhighlight lang="bash">
/usr/local/bin/hysteria version
</syntaxhighlight>'''Ожидаемо:''' строка <code>Version: v2.8.1</code>.

== 1.3 TLS (самоподписанный сертификат на IPv4) ==
Используется, когда нет домена с DNS-записью. Клиент подключается с <code>insecure: true</code> или по pin SHA-256.

=== 1.3.1 Переменные ===
<syntaxhighlight lang="bash">
export HY2_IP="148.253.213.5" # ← ваш публичный IP EU
export HY2_TLS_DIR="/etc/hysteria/tls-eu"
install -d -m 0755 "${HY2_TLS_DIR}"
</syntaxhighlight>

=== 1.3.2 Сгенерировать сертификат EC P-256 с SAN=IP ===
<syntaxhighlight lang="bash">
openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 \
-days 3650 -nodes \
-keyout "${HY2_TLS_DIR}/eu.key" \
-out "${HY2_TLS_DIR}/eu.crt" \
-subj "/CN=${HY2_IP}" \
-addext "subjectAltName=IP:${HY2_IP}"
</syntaxhighlight>

=== 1.3.3 Права ===
<syntaxhighlight lang="bash">
chmod 0640 "${HY2_TLS_DIR}/eu.key"
chmod 0644 "${HY2_TLS_DIR}/eu.crt"
</syntaxhighlight>

=== 1.3.4 Проверить CN и SAN ===
<syntaxhighlight lang="bash">
openssl x509 -in "${HY2_TLS_DIR}/eu.crt" -noout -subject -dates -ext subjectAltName
</syntaxhighlight>'''Ожидаемо:''' <code>CN = 148.253.213.5</code>, <code>IP Address:148.253.213.5</code>.

=== 1.3.5 (Опционально) Получить fingerprint SHA-256 для pin на клиентах ===
<syntaxhighlight lang="bash">
openssl x509 -in "${HY2_TLS_DIR}/eu.crt" -noout -fingerprint -sha256
</syntaxhighlight>Сохраните вывод — пригодится для <code>pinSHA256</code> в URI клиентов.

== 1.4 Конфиг сервера и systemd ==

=== 1.4.1 Задать порт и путь к TLS ===
<syntaxhighlight lang="bash">
export HY2_UDP_PORT=40001
export HY2_TLS_DIR="/etc/hysteria/tls-eu"
</syntaxhighlight>

=== 1.4.2 Сгенерировать пароль линка РФ→EU (сохраните его в менеджер паролей) ===
<syntaxhighlight lang="bash">
export HY2_RU_TO_EU_PASSWORD="$(openssl rand -base64 32 | tr -d '\n')"
echo "${HY2_RU_TO_EU_PASSWORD}"
</syntaxhighlight>'''Важно:''' скопируйте значение. Оно понадобится при настройке РФ-сервера.

=== 1.4.3 Записать /etc/hysteria/server-eu.yaml ===
<syntaxhighlight lang="bash">
umask 077
tee /etc/hysteria/server-eu.yaml >/dev/null <<EOF
listen: :${HY2_UDP_PORT}

tls:
cert: ${HY2_TLS_DIR}/eu.crt
key: ${HY2_TLS_DIR}/eu.key

auth:
type: password
password: '${HY2_RU_TO_EU_PASSWORD}'

masquerade:
type: proxy
proxy:
url: https://news.ycombinator.com/
rewriteHost: true
EOF
chmod 0640 /etc/hysteria/server-eu.yaml
</syntaxhighlight>

=== 1.4.4 Создать systemd-юнит ===
<syntaxhighlight lang="bash">
tee /etc/systemd/system/hysteria-eu-hy2test.service >/dev/null <<'EOF'
[Unit]
Description=Hysteria2 EU test (UDP)
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
ExecStart=/usr/local/bin/hysteria server -c /etc/hysteria/server-eu.yaml
Restart=on-failure
RestartSec=2
LimitNOFILE=1048576

[Install]
WantedBy=multi-user.target
EOF
</syntaxhighlight>

=== 1.4.5 Включить и запустить ===
<syntaxhighlight lang="bash">
systemctl daemon-reload
systemctl enable hysteria-eu-hy2test.service
systemctl start hysteria-eu-hy2test.service
</syntaxhighlight>

=== 1.4.6 Проверить статус ===
<syntaxhighlight lang="bash">
systemctl --no-pager -l status hysteria-eu-hy2test.service
</syntaxhighlight>'''Ожидаемо:''' <code>Active: active (running)</code>.

=== 1.4.7 Убедиться, что UDP-порт слушается ===
<syntaxhighlight lang="bash">
ss -ulpen | grep ':40001' || echo "НЕ СЛУШАЕТ"
</syntaxhighlight>'''Ожидаемо:''' процесс <code>hysteria</code>, <code>UNCONN</code>, порт <code>40001</code>.

=== 1.4.8 Логи ===
<syntaxhighlight lang="bash">
journalctl -u hysteria-eu-hy2test -n 40 --no-pager
</syntaxhighlight>'''Ожидаемо:''' строка <code>server up and running {"listen": ":40001"}</code>.

== 1.5 Локальный self-test (клиент на том же EU-VPS) ==

=== 1.5.1 Прочитать пароль из конфига в переменную ===
<syntaxhighlight lang="bash">
PASSWORD="$(python3 - <<'PY'
import re
from pathlib import Path
text = Path("/etc/hysteria/server-eu.yaml").read_text(encoding="utf-8")
m = re.search(r"(?m)^\s*password:\s*'([^']*)'\s*$", text)
if not m:
raise SystemExit("Не нашёл password в server-eu.yaml")
print(m.group(1))
PY
)"
echo "PASSWORD_len=${#PASSWORD}"
</syntaxhighlight>

=== 1.5.2 Временный клиентский конфиг ===
<syntaxhighlight lang="bash">
cat > /tmp/hy2-eu-selftest.yaml <<EOF
server: 127.0.0.1:40001
auth: ${PASSWORD}
tls:
insecure: true
socks5:
listen: 127.0.0.1:19800
EOF
</syntaxhighlight>

=== 1.5.3 Запустить клиент в фоне ===
<syntaxhighlight lang="bash">
hysteria client -c /tmp/hy2-eu-selftest.yaml >/tmp/hy2-eu-selftest.log 2>&1 &
sleep 1
</syntaxhighlight>

=== 1.5.4 Проверить IP через SOCKS5 ===
<syntaxhighlight lang="bash">
curl -4fsS --max-time 15 --socks5-hostname 127.0.0.1:19800 https://api.ipify.org; echo
</syntaxhighlight>'''Ожидаемо:''' <code>148.253.213.5</code> (ваш EU-IP).

=== 1.5.5 Остановить и убрать ===
<syntaxhighlight lang="bash">
pkill -f "/tmp/hy2-eu-selftest.yaml" || true
rm -f /tmp/hy2-eu-selftest.yaml /tmp/hy2-eu-selftest.log
</syntaxhighlight>
----

= Часть 2. Сервер РФ (Debian 13) — релей sing-box =

== 2.1 Диагностика перед установкой ==
Выполнять на '''РФ-VPS''' под root.

=== 2.1.1 Публичный IP и порты ===
<syntaxhighlight lang="bash">
curl -4sS --max-time 10 https://api.ipify.org; echo
ss -tulpen | head -n 50
</syntaxhighlight>

=== 2.1.2 Проверить, что UDP-порт 40000 свободен ===
<syntaxhighlight lang="bash">
ss -ulpen | grep ':40000' && echo "ЗАНЯТ" || echo "OK: свободен"
</syntaxhighlight>

== 2.2 Установка sing-box ==

=== 2.2.1 Пакеты ===
<syntaxhighlight lang="bash">
apt-get update
apt-get install -y ca-certificates curl tar openssl
</syntaxhighlight>

=== 2.2.2 Каталоги ===
<syntaxhighlight lang="bash">
install -d -m 0755 /etc/sing-box
install -d -m 0755 /etc/sing-box/tls-ru
</syntaxhighlight>

=== 2.2.3 Задать версию и скачать архив ===
<syntaxhighlight lang="bash">
export SB_VER="1.13.8"
export SB_TAG="v${SB_VER}"
export SB_TARBALL="sing-box-${SB_VER}-linux-amd64-glibc.tar.gz"
export SB_URL="https://github.com/SagerNet/sing-box/releases/download/${SB_TAG}/${SB_TARBALL}"
curl -4fL --connect-timeout 20 --max-time 300 --retry 8 --retry-delay 2 --retry-all-errors \
-o "/tmp/${SB_TARBALL}" "${SB_URL}"
</syntaxhighlight>'''Важно:''' каталог внутри архива называется <code>sing-box-X.Y.Z-linux-amd64-'''glibc'''</code>, не просто <code>…-linux-amd64</code>.

=== 2.2.4 Распаковать и установить ===
<syntaxhighlight lang="bash">
tar -C /tmp -xzf "/tmp/${SB_TARBALL}"
install -m 0755 "/tmp/sing-box-${SB_VER}-linux-amd64-glibc/sing-box" /usr/local/bin/sing-box
rm -rf "/tmp/sing-box-${SB_VER}-linux-amd64-glibc" "/tmp/${SB_TARBALL}"
</syntaxhighlight>

=== 2.2.5 Версия ===
<syntaxhighlight lang="bash">
sing-box version
</syntaxhighlight>'''Ожидаемо:''' <code>sing-box version 1.13.8</code>.

== 2.3 TLS для входа Hy2 (самоподпись на IPv4 РФ) ==

=== 2.3.1 Переменная IP ===
<syntaxhighlight lang="bash">
export HY2_RU_IP="81.30.105.134" # ← ваш публичный IP РФ
</syntaxhighlight>

=== 2.3.2 Сгенерировать сертификат ===
<syntaxhighlight lang="bash">
openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 \
-days 3650 -nodes \
-keyout /etc/sing-box/tls-ru/ru.key \
-out /etc/sing-box/tls-ru/ru.crt \
-subj "/CN=${HY2_RU_IP}" \
-addext "subjectAltName=IP:${HY2_RU_IP}"
chmod 0640 /etc/sing-box/tls-ru/ru.key
chmod 0644 /etc/sing-box/tls-ru/ru.crt
</syntaxhighlight>

=== 2.3.3 Проверить ===
<syntaxhighlight lang="bash">
openssl x509 -in /etc/sing-box/tls-ru/ru.crt -noout -subject -dates -ext subjectAltName
</syntaxhighlight>

=== 2.3.4 (Опционально) SHA-256 fingerprint для клиентских ссылок ===
<syntaxhighlight lang="bash">
openssl x509 -in /etc/sing-box/tls-ru/ru.crt -noout -fingerprint -sha256
</syntaxhighlight>

== 2.4 Конфиг sing-box и systemd ==

=== 2.4.1 Задать переменные (выполнять в одной SSH-сессии) ===
<syntaxhighlight lang="bash">
export HY2_RU_IP="81.30.105.134"
export HY2_RU_CLIENT_PORT=40000
export HY2_EU_IP="148.253.213.5"
export HY2_EU_PORT=40001
</syntaxhighlight>

=== 2.4.2 Ввести пароль линка РФ→EU (вслепую, не попадёт в history) ===
<syntaxhighlight lang="bash">
read -s HY2_EU_PW
export HY2_EU_PW
echo "HY2_EU_PW_len=${#HY2_EU_PW}"
</syntaxhighlight>Введите пароль из шага [[Hysteria 2 каскад#1.4.2 Сгенерировать пароль линка РФ→EU|1.4.2]] вслепую и нажмите Enter.

=== 2.4.3 Сгенерировать пароль «клиент → РФ» (новый, сохранить) ===
<syntaxhighlight lang="bash">
export HY2_RU_CLIENT_PW="$(openssl rand -base64 24 | tr -d '\n')"
echo "Сохраните пароль КЛИЕНТ→РФ (длина=${#HY2_RU_CLIENT_PW}):"
echo "${HY2_RU_CLIENT_PW}"
</syntaxhighlight>Скопируйте пароль в менеджер паролей. '''Не''' вставляйте в чаты.

=== 2.4.4 Записать /etc/sing-box/config.json ===
<syntaxhighlight lang="bash">
python3 - <<'PY'
import json, os
from pathlib import Path

cfg = {
"log": {"level": "info", "timestamp": True},
"inbounds": [{
"type": "hysteria2",
"tag": "hy2-in",
"listen": "::",
"listen_port": int(os.environ["HY2_RU_CLIENT_PORT"]),
"users": [{"name": "client1", "password": os.environ["HY2_RU_CLIENT_PW"]}],
"tls": {
"enabled": True,
"certificate_path": "/etc/sing-box/tls-ru/ru.crt",
"key_path": "/etc/sing-box/tls-ru/ru.key",
},
"masquerade": {"type": "proxy", "url": "https://news.ycombinator.com/", "rewrite_host": True},
}],
"outbounds": [
{"type": "direct", "tag": "direct"},
{
"type": "hysteria2",
"tag": "hy2-eu",
"server": os.environ["HY2_EU_IP"],
"server_port": int(os.environ["HY2_EU_PORT"]),
"password": os.environ["HY2_EU_PW"],
"tls": {"enabled": True, "server_name": os.environ["HY2_EU_IP"], "insecure": True},
},
],
"route": {"rules": [], "final": "hy2-eu"},
}
path = Path("/etc/sing-box/config.json")
path.write_text(json.dumps(cfg, indent=2, ensure_ascii=False) + "\n", encoding="utf-8")
path.chmod(0o600)
print("OK:", path)
PY
</syntaxhighlight>

=== 2.4.5 Проверить синтаксис конфига ===
<syntaxhighlight lang="bash">
sing-box check -c /etc/sing-box/config.json
echo "exit_code=$?"
</syntaxhighlight>'''Ожидаемо:''' пустой вывод и <code>exit_code=0</code>.

=== 2.4.6 Создать systemd-юнит ===
<syntaxhighlight lang="bash">
tee /etc/systemd/system/sing-box-hy2relay-test.service >/dev/null <<'EOF'
[Unit]
Description=sing-box Hy2 relay (RU client -> EU exit) test
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
ExecStart=/usr/local/bin/sing-box run -c /etc/sing-box/config.json
Restart=on-failure
RestartSec=2
LimitNOFILE=1048576

[Install]
WantedBy=multi-user.target
EOF
</syntaxhighlight>

=== 2.4.7 Включить и запустить ===
<syntaxhighlight lang="bash">
systemctl daemon-reload
systemctl enable sing-box-hy2relay-test.service
systemctl restart sing-box-hy2relay-test.service
</syntaxhighlight>

=== 2.4.8 Статус ===
<syntaxhighlight lang="bash">
systemctl --no-pager -l status sing-box-hy2relay-test.service
</syntaxhighlight>'''Ожидаемо:''' <code>Active: active (running)</code>, строка <code>udp server started at [::]:40000</code>.

=== 2.4.9 UDP-порт ===
<syntaxhighlight lang="bash">
ss -ulpen | grep ':40000' || echo "НЕ СЛУШАЕТ"
</syntaxhighlight>

== 2.5 Тест каскада на РФ-VPS (ожидается IP EU) ==

=== 2.5.1 Установить hysteria-клиент (если нет) ===
<syntaxhighlight lang="bash">
command -v hysteria || {
export HY2_TAG="app/v2.8.1"
curl -4fL --connect-timeout 20 --max-time 300 --retry 8 --retry-delay 2 --retry-all-errors \
-o /tmp/hysteria "https://github.com/apernet/hysteria/releases/download/${HY2_TAG}/hysteria-linux-amd64"
install -m 0755 /tmp/hysteria /usr/local/bin/hysteria
rm -f /tmp/hysteria
}
hysteria version
</syntaxhighlight>

=== 2.5.2 Прочитать пароль «клиент→РФ» из config.json ===
<syntaxhighlight lang="bash">
RUCL_PW="$(python3 - <<'PY'
import json
from pathlib import Path
cfg = json.loads(Path("/etc/sing-box/config.json").read_text(encoding="utf-8"))
print(cfg["inbounds"][0]["users"][0]["password"])
PY
)"
echo "RUCL_PW_len=${#RUCL_PW}"
</syntaxhighlight>

=== 2.5.3 Временный клиентский конфиг ===
<syntaxhighlight lang="bash">
cat > /tmp/hy2-ru-selftest.yaml <<EOF
server: 127.0.0.1:40000
auth: ${RUCL_PW}
tls:
insecure: true
socks5:
listen: 127.0.0.1:19900
EOF
</syntaxhighlight>

=== 2.5.4 Запуск и проверка IP ===
<syntaxhighlight lang="bash">
hysteria client -c /tmp/hy2-ru-selftest.yaml >/tmp/hy2-ru-selftest.log 2>&1 &
sleep 1
curl -4fsS --max-time 20 --socks5-hostname 127.0.0.1:19900 https://api.ipify.org; echo
</syntaxhighlight>'''Ожидаемо:''' <code>148.253.213.5</code> — публичный IP EU, '''не''' РФ. Это означает, что трафик прошёл через EU.

=== 2.5.5 Остановить и убрать ===
<syntaxhighlight lang="bash">
pkill -f "/tmp/hy2-ru-selftest.yaml" || true
rm -f /tmp/hy2-ru-selftest.yaml /tmp/hy2-ru-selftest.log
</syntaxhighlight>
----

= Часть 3. Генерация ссылок для клиентов =
Клиент подключается '''только к РФ-серверу'''. Пароль — «клиент→РФ» (<code>inbounds[0].users[0].password</code> в <code>config.json</code> на РФ).

== 3.1 Стандартный URI hysteria2:// ==
Формат по [https://v2.hysteria.network/docs/developers/URI-Scheme/ официальной спецификации]:<pre>
hysteria2://ПАРОЛЬ@IP_РФ:ПОРТ/?insecure=1&sni=IP_РФ
</pre>Если пароль содержит символы <code>/</code>, <code>+</code>, <code>=</code> и т.п. — их нужно percent-encode.

=== 3.1.1 Сгенерировать URI на РФ-VPS (Python автоматически кодирует пароль) ===
<syntaxhighlight lang="bash">
python3 - <<'PY'
import json, urllib.parse
from pathlib import Path

cfg = json.loads(Path("/etc/sing-box/config.json").read_text(encoding="utf-8"))
pw = cfg["inbounds"][0]["users"][0]["password"]
ip = "81.30.105.134" # публичный IP РФ — замените на свой
port = cfg["inbounds"][0]["listen_port"]

uri = f"hysteria2://{urllib.parse.quote(pw, safe='')}@{ip}:{port}/?insecure=1&sni={ip}"
print("\n=== URI для импорта в NekoBox / Hiddify / V2Box ===")
print(uri)
print("===")
PY
</syntaxhighlight>'''Скопируйте URI''' — его можно:

* вставить в NekoBox → '''Добавить профиль → Из буфера обмена''';
* вставить в Hiddify → '''Новый профиль''';
* импортировать в V2Box.

=== 3.1.2 URI с pinSHA256 вместо insecure (более безопасно) ===
Сначала получить fingerprint (на EU-сервере или РФ, зависит от чьего сертификата):<syntaxhighlight lang="bash">
openssl x509 -in /etc/sing-box/tls-ru/ru.crt -noout -fingerprint -sha256 \
| sed 's/SHA256 Fingerprint=//;s/://g' | tr '[:upper:]' '[:lower:]'
</syntaxhighlight>Пример URI с pin (замените <code>FINGERPRINT_HEX</code>):<pre>
hysteria2://ПАРОЛЬ@81.30.105.134:40000/?pinSHA256=FINGERPRINT_HEX&sni=81.30.105.134
</pre>

=== 3.1.3 Сгенерировать QR-код (текстовый, в терминале) ===
<syntaxhighlight lang="bash">
apt-get install -y qrencode
qrencode -t ANSIUTF8 'ВСТАВЬТЕ_URI_СЮДА'
</syntaxhighlight>'''Примечание:''' пароль будет виден в QR и в истории shell — делайте это только на изолированной сессии или перенаправляйте вывод в файл PNG и передавайте по защищённому каналу.

== 3.2 Параметры для ручного добавления в NekoBox ==
{| class="wikitable"
!Поле
!Значение
|-
|Тип
|Hysteria 2 (именно Hy2, не Hysteria 1)
|-
|Сервер
|<code>81.30.105.134</code>
|-
|Порт
|<code>40000</code>
|-
|Пароль
|пароль «клиент→РФ» из <code>/etc/sing-box/config.json</code>
|-
|TLS → Insecure
|включить (или задать pin)
|-
|SNI
|<code>81.30.105.134</code>
|-
|Obfs
|'''не включать''' (salamander не настроен)
|}

; Ожидаемый IP при проверке
: Внешний IP должен быть '''европейским''' (<code>148.253.213.5</code>), а не российским.

----

= Часть 4. Обслуживание серверов =

== 4.1 Просмотр статуса сервисов ==

=== EU ===
<syntaxhighlight lang="bash">
systemctl --no-pager -l status hysteria-eu-hy2test.service
</syntaxhighlight>

=== РФ ===
<syntaxhighlight lang="bash">
systemctl --no-pager -l status sing-box-hy2relay-test.service
</syntaxhighlight>

== 4.2 Просмотр логов ==

=== EU (последние 60 строк) ===
<syntaxhighlight lang="bash">
journalctl -u hysteria-eu-hy2test -n 60 --no-pager
</syntaxhighlight>

=== РФ (последние 60 строк) ===
<syntaxhighlight lang="bash">
journalctl -u sing-box-hy2relay-test -n 60 --no-pager
</syntaxhighlight>

=== Хвост в реальном времени (EU) ===
<syntaxhighlight lang="bash">
journalctl -u hysteria-eu-hy2test -f
</syntaxhighlight>

== 4.3 Узнать текущие пароли ==

=== Пароль линка РФ→EU (читать на EU) ===
<syntaxhighlight lang="bash">
python3 - <<'PY'
import re
from pathlib import Path
text = Path("/etc/hysteria/server-eu.yaml").read_text(encoding="utf-8")
m = re.search(r"(?m)^\s*password:\s*'([^']*)'\s*$", text)
print("EU_PASSWORD:", m.group(1) if m else "NOT FOUND")
PY
</syntaxhighlight>

=== Пароль «клиент→РФ» (читать на РФ) ===
<syntaxhighlight lang="bash">
python3 - <<'PY'
import json
from pathlib import Path
cfg = json.loads(Path("/etc/sing-box/config.json").read_text(encoding="utf-8"))
print("CLIENT_TO_RU_PASSWORD:", cfg["inbounds"][0]["users"][0]["password"])
PY
</syntaxhighlight>

=== Пароль «РФ→EU» (читать на РФ) ===
<syntaxhighlight lang="bash">
python3 - <<'PY'
import json
from pathlib import Path
cfg = json.loads(Path("/etc/sing-box/config.json").read_text(encoding="utf-8"))
for ob in cfg["outbounds"]:
if ob.get("type") == "hysteria2":
print("RU_TO_EU_PASSWORD:", ob["password"])
PY
</syntaxhighlight>

== 4.4 Ротация паролей (после отладки — обязательно) ==
Если пароль засветился в чате или логах:

=== Шаг 1: новый пароль на EU ===
<syntaxhighlight lang="bash">
NEW_EU_PW="$(openssl rand -base64 32 | tr -d '\n')"
echo "Новый пароль EU (сохраните):"
echo "${NEW_EU_PW}"

# Заменить в конфиге
python3 - <<PY
import re
from pathlib import Path
p = Path("/etc/hysteria/server-eu.yaml")
text = p.read_text(encoding="utf-8")
text = re.sub(r"(password:\s*')[^']*(')", r"\g<1>${NEW_EU_PW}\g<2>", text)
p.write_text(text, encoding="utf-8")
print("Обновлено:", p)
PY
</syntaxhighlight>'''Или''' отредактируйте файл вручную:<syntaxhighlight lang="bash">
nano /etc/hysteria/server-eu.yaml
</syntaxhighlight>

=== Шаг 2: перезапустить EU ===
<syntaxhighlight lang="bash">
systemctl restart hysteria-eu-hy2test.service
systemctl is-active hysteria-eu-hy2test.service
</syntaxhighlight>

=== Шаг 3: обновить пароль «РФ→EU» в конфиге РФ ===
<syntaxhighlight lang="bash">
# На РФ — отредактируйте поле "password" в блоке outbound hy2-eu
python3 - <<'PY'
import json
from pathlib import Path

new_pw = input("Введите новый пароль EU: ")
path = Path("/etc/sing-box/config.json")
cfg = json.loads(path.read_text(encoding="utf-8"))
for ob in cfg["outbounds"]:
if ob.get("tag") == "hy2-eu":
ob["password"] = new_pw
print(f"Обновлён outbound '{ob['tag']}'")
path.write_text(json.dumps(cfg, indent=2, ensure_ascii=False) + "\n", encoding="utf-8")
path.chmod(0o600)
print("Сохранено:", path)
PY
</syntaxhighlight>

=== Шаг 4: перезапустить РФ ===
<syntaxhighlight lang="bash">
systemctl restart sing-box-hy2relay-test.service
systemctl is-active sing-box-hy2relay-test.service
</syntaxhighlight>

=== Шаг 5: обновить URI клиентов ===
Заново выполнить [[Hysteria 2 каскад#3.1.1 Сгенерировать URI на РФ-VPS|раздел 3.1.1]] и передать новые ссылки на устройства.

== 4.5 Перезапуск после правки конфигов ==

=== EU ===
<syntaxhighlight lang="bash">
systemctl restart hysteria-eu-hy2test.service
</syntaxhighlight>

=== РФ ===
<syntaxhighlight lang="bash">
systemctl restart sing-box-hy2relay-test.service
</syntaxhighlight>

== 4.6 Остановка и отключение сервисов (при необходимости) ==

=== EU ===
<syntaxhighlight lang="bash">
systemctl disable --now hysteria-eu-hy2test.service
</syntaxhighlight>

=== РФ ===
<syntaxhighlight lang="bash">
systemctl disable --now sing-box-hy2relay-test.service
</syntaxhighlight>

== 4.7 Проверка занятости портов ==

=== Смотреть все UDP-порты ===
<syntaxhighlight lang="bash">
ss -ulpen
</syntaxhighlight>

=== Конкретный порт EU ===
<syntaxhighlight lang="bash">
ss -ulpen | grep ':40001'
</syntaxhighlight>

=== Конкретный порт РФ ===
<syntaxhighlight lang="bash">
ss -ulpen | grep ':40000'
</syntaxhighlight>

== 4.8 Проверка TLS сертификатов ==

=== EU — когда истекает ===
<syntaxhighlight lang="bash">
openssl x509 -in /etc/hysteria/tls-eu/eu.crt -noout -dates
</syntaxhighlight>

=== РФ — когда истекает ===
<syntaxhighlight lang="bash">
openssl x509 -in /etc/sing-box/tls-ru/ru.crt -noout -dates
</syntaxhighlight>Самоподписанные сертификаты выдаются на 10 лет. При необходимости перевыпустить — повторить [[Hysteria 2 каскад#1.3 TLS|раздел 1.3]] (EU) или [[Hysteria 2 каскад#2.3 TLS для входа Hy2|2.3]] (РФ), затем перезапустить сервис.
----

= Часть 5. Типичные проблемы =
{| class="wikitable"
!Симптом
!Причина
!Что сделать
|-
|Сервис не стартует
|Занят порт, ошибка в конфиге, нет прав на ключ
|<code>journalctl -u ИМЯ_СЕРВИСА -n 80</code>; <code>ss -ulpen</code>; <code>sing-box check</code>
|-
|<code>curl</code> даёт IP РФ вместо EU
|Маршрут <code>final</code> не <code>hy2-eu</code>; EU недоступен с РФ по UDP
|Проверить <code>route.final</code> в <code>config.json</code>; пинг EU-порта вручную
|-
|Клиент не подключается
|Фаервол хостера режет UDP; неверный пароль; неверный SNI
|Проверить Security Group/Firewall у хостера; проверить пароль командой [[Hysteria 2 каскад#4.3 Узнать текущие пароли|4.3]]
|-
|TLS handshake failed
|Несовпадение SNI с CN/SAN сертификата; <code>insecure</code> не задан
|SNI в клиенте должен совпадать с IP, на который выдан серт; или включить <code>insecure=1</code>
|-
|<code>curl</code> к GitHub даёт 504
|Временный сбой GitHub CDN
|Повторить с <code>--retry 8</code>; первая попытка часто обрывается, следующая проходит
|-
|NekoBox — ошибка при импорте URI
|Пароль не закодирован (%, /, +, = в пароле)
|Использовать Python-генератор URI из [[Hysteria 2 каскад#3.1.1 Сгенерировать URI|раздела 3.1.1]]
|}
----

= Часть 6. Справочник файлов и сервисов =
{| class="wikitable"
!Сервер
!Файл / сервис
!Назначение
|-
|EU
|<code>/usr/local/bin/hysteria</code>
|Бинарь Hysteria v2.8.1
|-
|EU
|<code>/etc/hysteria/server-eu.yaml</code>
|Конфиг сервера (порт, TLS, пароль, masquerade)
|-
|EU
|<code>/etc/hysteria/tls-eu/eu.crt</code>
|Самоподписанный TLS-сертификат (CN=IP EU)
|-
|EU
|<code>/etc/hysteria/tls-eu/eu.key</code>
|Приватный ключ TLS (права 0640)
|-
|EU
|<code>hysteria-eu-hy2test.service</code>
|systemd-сервис Hysteria
|-
|РФ
|<code>/usr/local/bin/sing-box</code>
|Бинарь sing-box v1.13.8
|-
|РФ
|<code>/usr/local/bin/hysteria</code>
|Бинарь Hysteria (только для локальных тестов)
|-
|РФ
|<code>/etc/sing-box/config.json</code>
|Конфиг релея (inbound Hy2 + outbound Hy2 на EU)
|-
|РФ
|<code>/etc/sing-box/tls-ru/ru.crt</code>
|Самоподписанный TLS-сертификат (CN=IP РФ)
|-
|РФ
|<code>/etc/sing-box/tls-ru/ru.key</code>
|Приватный ключ TLS (права 0640)
|-
|РФ
|<code>sing-box-hy2relay-test.service</code>
|systemd-сервис sing-box
|}

← Предыдущая версия		Версия от 10:12, 26 апреля 2026
Строка 82:		Строка 82:
	=== Полная схема прохождения трафика ===		=== Полная схема прохождения трафика ===

	[[File:hysteria2-chain-traffic-flow.png\|center\|~~900px~~\|Схема трафика Hysteria2: Клиенты → RU Entry Node → EU Exit Node → WARP → Интернет]]		[[File:hysteria2-chain-traffic-flow.png\|center\|768x768px\|Схема трафика Hysteria2: Клиенты → RU Entry Node → EU Exit Node → WARP → Интернет]]

	=== Протоколы на каждом участке цепочки ===		=== Протоколы на каждом участке цепочки ===

Hysteria 2 каскад - История изменений

Владимир: /* 3.4 Исходный код скрипта */

Владимир: /* Полная схема прохождения трафика */

Владимир в 10:01, 26 апреля 2026