WebTunnel мост Tor на VPS: трафик внутри обычного HTTPS

obfs4 много лет был основным «подключаемым транспортом» Tor: он превращает трафик в поток случайных байтов без видимой структуры. Проблема в том, что у DPI-систем 2026 года логика перевернулась. Они уже не ищут известные сигнатуры протоколов - они исключают всё, что не похоже на разрешённый трафик. Соединение, которое не выглядит ни как HTTPS, ни как QUIC, ни как один из белых протоколов, само по себе становится подозрительным. Именно так ТСПУ в России и аналогичные системы в Иране и Казахстане режут obfs4: не по содержимому, а по факту «это не понятный нам протокол».

WebTunnel решает это иначе. Он инкапсулирует трафик Tor внутри настоящего HTTPS-соединения (через WebSocket) к реальному веб-серверу. Для наблюдателя ваш мост выглядит как обычный сайт на 443 порту с валидным сертификатом от Let's Encrypt. Ключевые отличия:

• obfs4 - поток случайного шума. DPI: «не HTTPS - режем».
• WebTunnel - настоящий TLS 1.3 хендшейк, настоящий сертификат, настоящий веб-сервер, который при прямом заходе отдаёт обычную страницу. DPI: «это сайт - пропускаем».

Цена за это - WebTunnel требует того, что obfs4 не требовал: домен и валидный TLS-сертификат. Зато по устойчивости к блокировкам в строгих условиях он сегодня превосходит obfs4. Если ваши пользователи в РФ жалуются, что obfs4-мосты «перестали подключаться», - это тот самый случай, когда стоит перейти на WebTunnel.

WebTunnel принципиально не запускается на «голом» IP, как obfs4. Архитектура трёхслойная: nginx терпит публичный HTTPS на 443, проксирует один секретный путь на локальный порт, а на этом порту слушает плагин WebTunnel, который заворачивает трафик в Tor. Чтобы это собрать, понадобится:

• Офшорный VPS вне российской юрисдикции, со статическим IPv4 и возможностью открыть 443/TCP наружу. От 1 ГБ RAM (рекомендуется 2-4 ГБ), любой стабильный канал. Подойдёт даже небольшой план - см. наши офшорные VPS планы.
• Домен или поддомен, A-запись которого указывает на IP вашего VPS. Можно купить дешёвый домен специально под мост.
• Валидный TLS-сертификат для этого домена (Let's Encrypt / acme.sh - бесплатно).
• Веб-сервер - nginx или Apache как обратный прокси.

Почему важна именно офшорная локация: мост держит реальный долгоживущий публичный сервис на вашем IP, и при росте трафика вы заметны. VPS вне РФ снимает юридические риски российского провайдера и не подпадает под СОРМ/ТСПУ на стороне хостинга. Для постоянного, заметного моста с хорошей пропускной способностью разумно смотреть в сторону офшорных выделенных серверов, но для старта хватает VPS.

Сначала направьте A-запись домена на IP вашего VPS и дождитесь распространения DNS. Затем выпустите сертификат - например, через acme.sh в standalone-режиме (порт 80 должен быть свободен):

~/.acme.sh/acme.sh --issue --standalone --domain bridge.example.com

Сгенерируйте случайный секретный путь длиной 24 символа - это «вход» к мосту, который знают только клиенты. Без него прямой заход на домен покажет обычную страницу:

openssl rand -hex 12

В vhost nginx добавьте проксирование только этого пути на локальный порт WebTunnel (по умолчанию 15000), с обязательным апгрейдом до WebSocket:

location = /ВАШ_СЕКРЕТНЫЙ_ПУТЬ {
    proxy_pass http://127.0.0.1:15000;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

Ключевой момент маскировки: на корне домена / отдавайте что-то правдоподобное - дефолтную страницу, лендинг, документацию. Сервер должен вести себя как настоящий сайт при любом заходе, кроме обращения к секретному пути. Чем «обычнее» выглядит ресурс, тем меньше поводов у DPI его трогать.

WebTunnel поставляется как серверный плагин транспорта. Установите бинарник плагина (готовые сборки и Docker-вариант есть в репозитории Tor Project) и пропишите в torrc конфигурацию именно моста, а не обычного релея:

BridgeRelay 1
ORPort 127.0.0.1:auto
AssumeReachable 1
ExtORPort auto

ServerTransportPlugin webtunnel exec /usr/local/bin/webtunnel-server
ServerTransportListenAddr webtunnel 127.0.0.1:15000
ServerTransportOptions webtunnel url=https://bridge.example.com/ВАШ_СЕКРЕТНЫЙ_ПУТЬ

Nickname mybridge
ContactInfo you@example.com

Обратите внимание: ORPort и порт плагина слушают только 127.0.0.1 - наружу всё идёт исключительно через nginx на 443. Это и делает мост неотличимым от веб-сайта: открытым в мир остаётся только обычный HTTPS-порт.

После старта Tor в логах появится строка моста (bridge-line) с реальным отпечатком и адресом. Именно её вы передаёте пользователям - вручную через защищённый канал, без публикации в открытых базах, чтобы мост дольше прожил. Формат:

webtunnel [IP]:443 ОТПЕЧАТОК url=https://bridge.example.com/ВАШ_СЕКРЕТНЫЙ_ПУТЬ

В Tor Browser пользователь вставляет эту строку в «Настройки соединения» → «Добавить мост вручную». На стороне клиента ничего, кроме самого Tor Browser, не требуется.

Приватный мост ценен ровно до тех пор, пока он неизвестен цензору. Несколько правил из практики:

• Не публикуйте bridge-line в открытых списках и Telegram-каналах. Раздавайте адресно - конкретным людям, которым доверяете. Публичные мосты ТСПУ собирает и блокирует первыми.
• Держите домен «живым». Корень / должен отдавать осмысленный контент. Пустой сервер или дефолтная заглушка nginx - это сигнал.
• Следите за продлением сертификата. Просроченный TLS ломает и маскировку, и подключение. Настройте автообновление acme.sh по cron.
• Один домен - один мост. Не вешайте десяток секретных путей на один хост; при компрометации одного «утекает» весь сервер.
• Ротируйте при подозрении. Если подключения резко обрываются у всех пользователей сразу - вероятно, IP или домен попал под блок. Поднимите новый мост на новом домене и IP.

WebTunnel - не панацея, а инструмент с конкретным профилем угроз: он силён против блокировок по типу протокола и слаб против таргетированной блокировки конкретного известного IP/домена. Поэтому приватность раздачи bridge-line важнее тонкостей конфигурации. Для тех, кому нужен устойчивый постоянный мост с запасом по ресурсам и юрисдикцией вне РФ, разумная база - офшорный VPS, который не отключат по жалобе и не отдадут по запросу местного регулятора.