VPN Статус — каталог рабочих VPNVPN Статус
Мы в Telegram

NaiveProxy — маскировка под Chrome через сетевой стек Chromium

NaiveProxy — прокси-протокол от автора klzgrad, который вместо имитации HTTPS использует реальный сетевой стек Chromium. Трафик не «похож на браузер» — он буквально является браузерным: те же TLS-параметры, тот же HTTP/2-поток, тот же fingerprint. На фоне VLESS Reality, Trojan и Shadowsocks это самый радикальный подход к незаметности, и в России 2026 он стабильно проходит ТСПУ.

Обновлено

Клиенты с поддержкой NaiveProxy

Логотип VPN NekoBox / NekoRay
NekoBox / NekoRaywin · linux · android · atv

Подробнее о протоколе NaiveProxy

Идея NaiveProxy выросла из простого наблюдения: любая обфускация, пытающаяся «выглядеть как Chrome», рано или поздно отличается от настоящего Chrome — TLS-fingerprint, порядок расширений, тайминги пакетов, размеры handshake. klzgrad пошёл противоположным путём: взял исходники Chromium и оставил только сетевой стек (~0,3% оригинального кода). Получился клиент, который для DPI неотличим от обычного браузера, потому что это и есть код браузера. Репозиторий — github.com/klzgrad/naiveproxy (BSD-3-Clause, 145+ релизов, активная разработка).

Трафик идёт через HTTP/2 поверх TLS: клиент устанавливает одно TLS-соединение с сервером, отправляет HTTP CONNECT для каждого нового адреса назначения, а потоки мультиплексируются внутри одной сессии. Сервер — форк Caddy с плагином forwardproxy от того же автора (github.com/klzgrad/forwardproxy): Caddy сам получает TLS-сертификат от Let's Encrypt, и снаружи ваш VPS выглядит как обычный веб-сайт. Как альтернатива поддерживается HAProxy.

Защита от продвинутого DPI устроена на трёх уровнях:

  • Padding 8 первых DATA-фреймов в каждом направлении — фрагментирует и удлиняет начало потока, ломая website-fingerprinting по размерам пакетов.
  • Случайные заголовки в CONNECT-запросах — каждый запрос немного отличается, не оставляя стабильной сигнатуры.
  • END_STREAM до RST_STREAM — корректная HTTP/2-семантика завершения потоков, неотличимая от поведения настоящего браузера.

В отличие от VLESS+Reality (где угоняется TLS-handshake чужого сайта) и Trojan (имитация HTTPS на 443 порту), NaiveProxy решает задачу на уровне самого браузерного TLS-клиента. Активный пробинг ТСПУ получает легитимный TLS-handshake Chrome, HTTP/2-сессию с правильными настройками padding и закрытия — повод что-то заподозрить не возникает. Также NaiveProxy свободен от уязвимости TLS-in-TLS, на которой ловится классический Trojan.

Поддержка на стороне клиентов: на Windows / Linux / macOS — родной бинарь naive из релизов klzgrad/naiveproxy; на Android — NekoBox, husi, Exclave с плагином Naive; на iOS / macOS — sing-box 1.13+ через Libbox (только sing-box даёт «настоящую» Chromium-маскировку, остальные клиенты говорят протоколом, но без браузерного fingerprint). На роутерах с OpenWrt тоже есть пакет.

В России 2026 NaiveProxy работает стабильно у всех провайдеров, включая мобильные ТСПУ. Главный минус один: протокол менее популярен, чем VLESS Reality — клиентов с поддержкой меньше, готовых публичных ключей у бренд-сервисов почти нет. Имеет смысл, если вы поднимаете свой VPS: установка сервера — буквально одна команда (xcaddy build --with github.com/klzgrad/forwardproxy@naive и базовый Caddyfile), и дальше — никаких ограничений по трафику и устройствам. Для self-hosted-сценария — один из лучших современных вариантов наравне с VLESS+Reality.

Часто задаваемые вопросы

Что такое NaiveProxy и чем он отличается от VLESS?

NaiveProxy использует реальный сетевой стек Chromium (~0,3% исходников браузера), а не имитацию. VLESS+Reality маскирует трафик через подмену TLS-handshake чужого сайта. Подход NaiveProxy радикальнее: для DPI это и есть Chrome-браузер, со всеми его реальными TLS-параметрами и HTTP/2-шаблонами. Минус — клиенты NaiveProxy менее распространены, чем VLESS Reality.

NaiveProxy работает в России на ТСПУ?

Да, NaiveProxy стабильно проходит ТСПУ у домашних и мобильных операторов (МТС, МегаФон, Билайн, Tele2, Ростелеком). Трафик HTTP/2 поверх TLS неотличим от обычного веб-сёрфинга в Chrome, и DPI не за что зацепиться. Padding 8 первых DATA-фреймов плюс рандомизированные CONNECT-заголовки дополнительно ломают website-fingerprinting.

Какие клиенты поддерживают NaiveProxy?

На Windows, Linux и macOS — официальный naive-бинарь от klzgrad из релизов на GitHub. На Android — NekoBox, husi, Exclave с плагином Naive. На iOS и macOS — sing-box 1.13+ через Libbox (только sing-box даёт полную Chromium-маскировку). Также есть пакет для OpenWrt-роутеров.

Как поднять собственный NaiveProxy-сервер?

Серверная часть — форк Caddy с плагином forwardproxy от klzgrad. Сборка одной командой через xcaddy: xcaddy build --with github.com/klzgrad/forwardproxy@naive. Caddy сам получит TLS-сертификат от Let's Encrypt, и снаружи VPS выглядит как обычный веб-сайт. Альтернатива — HAProxy. Подходит для дешёвого VPS у DigitalOcean, Hetzner, Vultr (~$5/мес).

NaiveProxy лучше Trojan?

Технически — да. Trojan имитирует HTTPS, но имеет уязвимость TLS-in-TLS (DPI может детектировать по размерам handshake). NaiveProxy не имитирует, а буквально использует код Chromium, поэтому TLS-in-TLS-проблемы у него нет в принципе. На практике Trojan дольше существует и имеет больше клиентов; NaiveProxy — выбор тех, кто поднимает свой сервер и хочет максимальную незаметность.

Есть ли готовые NaiveProxy-ключи у VPN-сервисов?

Публичные сервисы пока в массе используют VLESS+Reality как основной протокол — NaiveProxy в их выдаче встречается редко. Реалистичный сценарий: поднять собственный NaiveProxy-сервер на VPS за ~$5/мес и пользоваться с любого устройства. Это часовая разовая настройка, дальше — никаких ограничений по трафику и устройствам.

К каталогу VPN