tls 1.3 / quic / utls / self-hosted

Stealthlink

Приватный, устойчивый и современный транспорт для сетей, где обычный VPN слишком легко выглядит как VPN.

Установить GitHub

tcp tls mode udp quic mode socks5 :1080 beta

$ ./client -server edge.example:443 \
  -psk "YOUR_PSK" -sni www.microsoft.com \
  -fingerprint chrome
[transport] tls 1.3 tunnel established
[proxy] socks5 listening on 127.0.0.1:1080

01 / client path

Клиент поднимает локальный прокси и ведёт трафик через зашифрованный туннель.

Пользовательские приложения подключаются к локальному SOCKS5 или HTTP-прокси. Клиент Stealthlink устанавливает соединение с сервером, выбирает TLS или QUIC, проходит аутентификацию по ключу и передаёт сетевые запросы дальше уже внутри защищённого транспорта.

Простая модель подключения

На стороне клиента не нужен тяжёлый интерфейс: достаточно адреса сервера, PSK, SNI и выбранного fingerprint. Сервер принимает трафик на обычном порту вроде 443 и может отдавать камуфляжный веб-ответ для нерелевантных запросов.

cli Client SOCKS5 или HTTP-прокси на устройстве

tls Encrypted tunnel TLS 1.3 или QUIC с маскировкой

srv Server Аутентификация, ACL и транспортный контроль

net Internet Доступ к нужным ресурсам через сервер

02 / vless comparison

Почему это лучше VLESS в задачах, где важна естественность транспорта.

VLESS остаётся популярным и зрелым подходом, но Stealthlink делает акцент не на очередной обвязке вокруг прокси-схемы, а на контролируемом транспортном слое, камуфляже и поведении, похожем на нормальный веб-трафик.

Stealthlink

transport first

Использует TLS 1.3 и QUIC как базовые режимы, чтобы выбирать совместимость или низкую задержку под конкретную сеть.
Поддерживает uTLS fingerprint, padding, replay protection и адаптивное поведение при подозрительном трафике.
Держит конфиг сервера простым: пользователи, ключи, лимиты, ACL и выбор транспорта описываются явно.
Может выглядеть как обычный веб-сервис, а не как отдельный узнаваемый VPN-протокол.

VLESS

proxy ecosystem

Сильно зависит от внешней экосистемы транспортов, профилей и совместимых клиентов.
Может быть удобен, но часто требует больше ручной сборки из параметров, плагинов и маскировочных слоёв.
Популярность даёт совместимость, но одновременно делает типовые конфигурации более заметными для фильтрации.
Хорошо решает прокси-задачу, но не всегда даёт полный контроль над поведением нижнего транспорта.

03 / network future

Будущее за протоколами, которые не спорят с сетью, а выглядят в ней естественно.

Чем агрессивнее фильтрация, тем меньше смысла в транспорте, который сразу просит особого отношения. Практичный ответ - приватные self-hosted решения, похожие на привычный HTTPS/HTTP3-трафик и управляемые владельцем инфраструктуры.

Приватность

Шифрование транспорта и минимальная публичная поверхность помогают не раскрывать лишнее о соединении.

Антицензура

Естественный сетевой профиль снижает зависимость от простых сигнатур и грубых правил блокировки.

Self-hosting

Сервер можно держать на собственной инфраструктуре, контролируя ключи, пользователей и политику доступа.

Независимость

Открытый код и понятная сборка уменьшают зависимость от крупных платформ и закрытых клиентов.

04 / easy setup

Stealthlink - это легко.

Ниже базовый путь для Linux-сервера: подготовить окружение, собрать бинарники, создать конфиг, запустить сервер и подключить клиент. Значения домена, IP, PSK и SNI заменяются на свои.

Подготовить сервер

Обновите систему и откройте порт, на котором будет слушать Stealthlink. Для TLS обычно используют TCP 443, для QUIC нужен UDP 443.

serverubuntu/debian

$ sudo apt update
$ sudo apt install -y git ca-certificates
$ sudo ufw allow 443/tcp
$ sudo ufw allow 443/udp

Установить зависимости

Нужен Go. В локальном README проекта указано требование Go 1.22 или выше.

runtimego

$ go version
$ sudo apt install -y golang

Скачать Stealthlink

Клонируйте репозиторий и перейдите в директорию протокола.

sourcegithub

$ git clone https://github.com/komarukomaru/stealthlink.git
$ cd stealthlink
$ chmod +x build.sh
$ ./build.sh

Настроить конфиг

Сгенерируйте базовый JSON, затем задайте bind_address, SNI, transport, camouflage и пользователей.

configjson

$ ./build/server-linux-amd64 -gen-config
$ nano config.json

Запустить сервер

После проверки конфигурации запустите сервер. Для постоянной работы лучше оформить systemd-unit.

daemonserver

$ ./build/server-linux-amd64 -config config.json

Подключить клиент

Клиент можно запустить вручную или через subscription-ссылку формата stealthlink://. По умолчанию поднимается SOCKS5-прокси на 127.0.0.1:1080.

clientmanual

$ ./build/client-linux-amd64 -server "your_server:443" \
  -psk "YOUR_SECURE_KEY" \
  -sni "www.microsoft.com" \
  -transport tls \
  -fingerprint chrome

ready

Попробуйте Stealthlink на своём сервере.

Откройте код, соберите бинарники, поднимите тестовый endpoint и проверьте, как транспорт ведёт себя в вашей сети.

Открыть GitHub К установке