💡 Полезные Советы

Владельцы ТВ-приставок от Сбера сейчас сталкиваются с двойной проблемой: во-первых, провайдерские ТСПУ (DPI) режут трафик к YouTube, а во-вторых, закрытая экосистема StarOS без сервисов Google (GMS) не дает нормально использовать официальные приложения.

Стандартные VPN-клиенты с пульта управляются ужасно, а ключи Outline отваливаются из-за блокировок по сигнатурам. В этой статье на riopass.ru мы разберем ультимативный способ настройки: поднимем современный протокол VLESS (Xray + Reality) через клиент v2rayNG и поставим независимый клиент YouTube.

1. Установка правильного VPN-клиента (v2rayNG)

Мы будем использовать v2rayNG - мощный инструмент, который идеально работает с пультом и поддерживает современные протоколы вроде VLESS, маскирующиеся под обычный HTTPS-трафик (например, визит на сайт института в Европе).

Как закинуть приложение на SberBox:

У Сбера есть удобное облачное хранилище, но оно принимает строго файлы в формате только в .apk .
 

1. Идем на GitHub разработчика 2dust/v2rayNG и качаем APK из раздела Releases.
2. Аппаратный нюанс: Процессор у SberBox 64-битный (arm64-v8a), но ради экономии 2 ГБ оперативной памяти сама ОС Android часто урезана до 32 бит. Если версия arm64-v8a не появляется в системе после загрузки, смело качайте версию armeabi-v7a или universal.
3. Авторизуйтесь на сайте apps.sber.ru/my apps.sber.ru/my под своим Сбер ID.
4. Загрузите скачанный .apk файл.
5. На телевизоре перейдите в Каталог приложений -> Мои приложения -> Загруженные и установите v2rayNG.
   (Если приложение не появилось - перезагрузите приставку по питанию для принудительной синхронизации облака или обычной перезагрузкой удерживая кнопку выключения -> появиться круг "перезагрузить" -> одинарное нажатие на кнопку выкелючения).

2. Настройка VLESS (Reality)

Протокол Reality невероятно чувствителен к опечаткам. Ошибка в одном символе Public Key приведет к тому, что соединение не установится. Вводить 200 символов с пульта - плохая идея. Но разработчики Сбера сделали убогий браузер урезанные элементы управления и многое другое. (Если Вы нашли способ, как сделать без ручного ввода опишите его на нашу почту support@riopass.ru )

Если облако Сбера отказывается принимать картинки с QR-кодами, а скопировать текст через встроенный браузер не получается, придется идти по пути истинного джедая - забивать настройки вручную с D-pad'а пульта. Протокол Reality параноидально чувствителен к опечаткам: ошибка в одном регистре или лишний пробел, и сервер сбросит соединение.

Пример ключа с которого необходимо будет перепечатать данные(ключ не рабочий, предоставлен для примера!):

vless://12345678-abcd-1234-abcd-123456789abc@192.168.1.100:443?encryption=none&security=reality&type=tcp&sni=www.microsoft.com&fp=chrome&pbk=2TRaaychV1yeUxFJgC8sXztZxLCaGRxS8AcqP9gOKjA&sid=15a4e0b35cac5865&flow=xtls-rprx-vision&spx=%2F#AmneziaVPN

Давайте разберем эту "абракадабру" на запчасти, чтобы вы понимали, откуда брать данные для полей в v2rayNG:

•    vless:// - Указание на протокол.
•    12345678-abcd-1234-abcd-123456789abc (Всё, что идет до символа @) - Это ваш UUID. Именно его мы вписываем в поле Идентификатор (ID).
•    192.168.1.100:443 (Между @ и ?) - Это Адрес (IP вашего сервера) и Порт (443).
•    ? - Знак вопроса означает, что дальше идут дополнительные параметры. Каждый параметр отделяется друг от друга символом амперсанда &.

Ищем нужные параметры в хвосте ссылки:

•    flow=xtls-rprx-vision - Вписываем в поле Поток.
•    sni=www.microsoft.com - Домен маскировки. Вписываем в поле SNI.
•    fp=chrome - Отпечаток браузера. Вписываем в поле Отпечаток (Fingerprint).
•    pbk=2TRaaychV... - Ваш публичный ключ. Самая длинная строка, вписываем в Открытый ключ (Public Key).
•    sid=15a4e0b35cac5865 - Ваш короткий идентификатор, вписываем в ShortID.
•    spx=%2F - Кодированное обозначение символа слэш. В программе просто вписываем / в поле SpiderX.

И в самом конце:

•    #AmneziaVPN (Всё, что идет после знака решетки) — Это тег или название. Знак # отбрасываем, а само слово AmneziaVPN пишем в самую первую строку настроек — Имя (Remarks).

Открываем v2rayNG, жмем иконку "+" в правом верхнем углу и выбираем "Добавить VLESS". Перед вами появится длинный список параметров. Заполняем строго по инструкции:

Базовые настройки подключения

• Имя (Remarks): Любое понятное название (например, My_VPN). Внимание: если ваш генератор ключей добавил в конец ссылки тег вроде #AmneziaVPN, само это слово можно вписать сюда, но без знака решетки.
• Адрес (Address): IP-адрес вашего VPN-сервера (например, 192.168.1.1). Как его сделать читайте здесь.
• Порт (Port): Порт вашего подключения (обычно 443).
• Идентификатор (ID): Ваш UUID. Это строка из 36 символов (только строчные буквы и цифры), разделенная четырьмя дефисами (формат xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Вводить нужно предельно внимательно, соблюдая все дефисы.

Настройки маршрутизации и шифрования

• Поток (Flow): Строго xtls-rprx-vision (все буквы маленькие, без пробелов). Не используйте варианты с udp443, чтобы не вызвать конфликт.
• Шифрование (Encryption): Вписываем none. VLESS лишен собственного механизма шифрования ради снижения нагрузки на процессор (для ТВ-приставок это критично), за криптографию здесь будет отвечать сам Reality.
• Сеть (Network): Выбираем tcp. - должно быт ьпо умолчанию
• Тип заголовка (Header type): Выбираем none.

⚠️ Важное правило чистых полей:
Строки Узел HTTP (HTTP Host) и Путь (Path) оставляем абсолютно пустыми. Если вписать туда домен маскировки, Xray сформирует кривой пакет, и туннель не поднимется.

Настройки маскировки (Reality)

Пролистайте вниз до пункта Безопасность (TLS). По умолчанию там стоит none. Нажмите на него и выберите reality. Как только вы это сделаете, ниже "магическим образом" развернутся скрытые поля для настройки маскировки:

• SNI: Домен, под который маскируется ваш сервер (например, www.google.com - строго то, что указано в настройках вашего VPS).
• Отпечаток (Fingerprint): Вписываем chrome. Это заставит провайдера думать, что пакеты отправляет обычный браузер.
• Открытый ключ (Public Key): Самое важное поле. Длинная строка из 43 символов. Вводим крайне осторожно, строго соблюдая заглавные и строчные буквы!
• ShortID: Короткий идентификатор, обычно состоящий из 16 символов (цифры и строчные буквы).
• SpiderX: Ставим просто символ косой черты / (слэш).
• Поле "Необработанный JSON FinalMask" игнорируем и оставляем пустым.

Как только вбит последний символ, поднимаемся в самый верх экрана и жмем иконку Галочки (сохранить). Карточка сервера появится на главном экране. Выделяем ее и жмем круглую кнопку запуска!

Лечим ошибку маршрутизации (Красный экран)

При первой попытке запуска v2rayNG на чистой приставке вы, скорее всего, получите красное окно с ошибкой: geosite.dat: no such file or directory.

Это происходит потому, что программа пытается разделить трафик (пускать заблокированные сайты через VPN, а местные - напрямую), но баз геоданных в системе еще нет.

Как исправить:

1.    На главном экране v2rayNG (где карточка вашего сервера) нажмите на три вертикальные точки в правом верхнем углу -> Файлы ресурсов.

   

2.    Правый верхний угол заначек облачко "Обновить файлы геоданных" (Update GeoSite/GeoIP).
3.    Дождитесь уведомления об успешной загрузке.
      (Проверить загрузку можно в боковом меню: Настройки -> Файлы ресурсов. Там должны появиться файлы с указанием их веса в мегабайтах).

После этого выделите сервер и нажмите круглую кнопку запуска внизу. Проверьте соединение через меню сервера -> "Тестирование реальной задержки". Если появились миллисекунды (например, 60ms) - туннель пробил блокировки провайдера.

Что делать, если всё заполнено верно, но YouTube всё равно выдает ошибку?

Если вы идеально перенесли все ключи, тест задержки (Real ping) показывает стабильные миллисекунды, но IP-адрес на приставке не меняется и YouTube продолжает ругаться на ошибку сети, дело в кривых правилах маршрутизации по умолчанию.

Так как v2rayNG - проект международный (изначально ориентированный на обход "Великого китайского файрвола"), в нем "из коробки" могут стоять настройки маршрутизации strictly для Китая. В итоге приложение просто пускает весь трафик до серверов Google в обход созданного туннеля.

Лечится это в три клика прямо через интерфейс приставки:

1.    На главном экране v2rayNG откройте боковое меню и перейдите в раздел "Маршрутизация" (Routing).
2.    В правом верхнем углу нажмите на меню из трех вертикальных точек.
3.    Выберите пункт "Импортировать из набора правил" (Import from ruleset).
4.    В открывшемся списке выберите конфигурацию для России (чтобы автоматически заворачивать заблокированные ресурсы) или переключите режим на Глобальный (Global), чтобы пустить абсолютно весь интернет-трафик через ваш VPS.

После этого обязательно вернитесь на главный экран, выключите туннель большой круглой кнопкой и запустите его заново для применения новых правил.

Выходить лучше не на кнопку назад, а кнопку домой, тогда приложение останется в оперативной памяти и продолжит работать.

3. Замена YouTube на SmartTube

Встроенный клиент YouTube или его официальный APK на SberBox будут выдавать ошибку "Произошла ошибка. Повторите попытку позже" или сбрасывать авторизацию. Причина проста: в StarOS вырезаны сервисы Google Play, без которых официальное приложение жить не может.

Решение - установка SmartTube. Это легендарный open-source клиент для Android TV, который работает полностью автономно от сервисов Google.

1. Найдите на GitHub репозиторий SmartTube (от yuliskov).
2. Скачайте стабильную версию (SmartTube_stable.apk), если она не работает то которая заканчивается на armeabi-v7a.apk.
3. Закиньте её на SberBox через тот же apps.sber.ru/my и установите.

Почему SmartTube лучше оригинала:

• Не требует Google Services (GMS).
• Полностью вырезает рекламу.
• Имеет встроенный SponsorBlock (проматывает рекламные вставки самих блогеров).
• Легко управляется с пульта.

Как войти в аккаунт:
В самом SmartTube перейдите в раздел аккаунтов и нажмите "Войти". На экране ТВ появится код. Откройте на смартфоне страницу youtube.com/activate, введите код с экрана телевизора, и все ваши подписки и история мгновенно подтянутся.

Теперь ваш SberBox оборудован современным, неблокируемым VPN-туннелем, и лучшим клиентом для YouTube на рынке. Приставка не тормозит от тяжелых сервисов Google, а трафик надежно зашифрован.

Остались вопросы или что-то не работает? Пишите на почту тех поддержки riopass.ru, разберем любые ошибки!

Успешных настроек! Больше технических инструкций и гайдов для IT-специалистов и энтузиастов читайте на riopass.ru.

Глоссарий

• DPI (ТСПУ): Технические средства противодействия угрозам. Оборудование провайдера, которое осуществляет глубокий анализ пакетов. Именно оно распознает стандартные VPN-протоколы (вроде WireGuard или Outline/Shadowsocks) и блокирует доступ к YouTube.
• v2rayNG: Мощное приложение-клиент для Android и Android TV. В отличие от простых VPN-приложений, оно умеет работать с продвинутыми протоколами маскировки и гибко настраивать маршрутизацию трафика.
• Xray-core (Xray): Современное сетевое ядро (движок), которое работает на вашем VPS-сервере и внутри приложения v2rayNG. Отвечает за прием, обработку и маскировку трафика.
• VLESS: Облегченный протокол передачи данных. В отличие от старых протоколов, он не имеет собственного шифрования (что экономит ресурсы процессора, например ТВ-приставки), передавая эту задачу более мощным алгоритмам.
• Reality: Передовая технология маскировки трафика. Не просто шифрует данные, а создает полноценную иллюзию того, что вы посещаете обычный разрешенный сайт (например, сайт Microsoft или Apple). ТСПУ провайдера видит этот "белый" трафик и пропускает его без блокировок.
• XTLS-Vision (xtls-rprx-vision): Специальный алгоритм потоковой передачи внутри Xray. Он скрывает характерные следы (паттерны) того, что внутри вашего соединения спрятан еще один зашифрованный туннель (защита от обнаружения "TLS in TLS").
• UUID (ID / Идентификатор): Ваш уникальный "пароль" пользователя. Строка из 36 символов (букв и цифр, разделенных дефисами), по которой сервер узнает, что подключаетесь именно вы.
• SNI (Server Name Indication): Домен-прикрытие. Тот самый разрешенный адрес (например, www.sap.com), под который протокол Reality маскирует ваше соединение от глаз провайдера.
• Открытый ключ (Public Key / pbk): Длинная криптографическая строка, которая используется протоколом Reality для установления защищенного сеанса связи с сервером. Самый чувствительный к опечаткам параметр.
• SmartTube: Независимый open-source клиент YouTube для умных телевизоров. Работает без сервисов Google (GMS), вырезает всю рекламу (включая встроенную блогерами) и не конфликтует с закрытыми системами вроде StarOS.
• GeoSite / GeoIP: Встроенные базы данных маршрутизации. Они содержат списки IP-адресов и доменов, позволяя v2rayNG понимать, какой трафик нужно отправлять в зашифрованный туннель (например, заблокированные соцсети), а какой - напрямую (например, локальные сервисы Сбера).

Если вы работаете с Visual Studio Code на Raspberry Pi (или любом другом Linux-дистрибутиве с нестандартной графической оболочкой, например на Wayland), то рано или поздно при попытке авторизоваться в GitHub или синхронизировать настройки вы увидите назойливое окно:

"An OS keyring couldn't be identified for storing the encryption related data in your current desktop environment."

Редактор предложит перейти по ссылке или выбрать Use weaker encryption. В этой статье мы разберем, почему нельзя нажимать кнопку слабого шифрования, и как настроить всё правильно с точки зрения безопасности.

Почему это происходит?

VS Code (построенный на базе Chromium) пытается найти системное защищенное хранилище (keyring), чтобы безопасно спрятать туда ваш токен авторизации (OAuth). Однако в легковесных средах на Raspberry Pi демон ключей часто либо не установлен, либо запускается не так, как ожидает редактор. В итоге VS Code "слепнет" и выдает ошибку.

Быстрое, но опасное решение (Не рекомендую)

Самый частый совет в интернете - прописать в настройках запуска VS Code параметр "password-store": "basic". Да, окно ошибки пропадет. Но ваш секретный токен от GitHub будет сохранен в обычном текстовом файле. Если кто-то получит доступ к файловой системе вашей "малинки" - он получит и полный доступ к вашим репозиториям.

Правильное решение: Настраиваем gnome-keyring

Мы пойдем по пути системного администратора и заставим VS Code работать с системным шифрованием через libsecret.

1. Установка необходимых библиотек

Открываем терминал и ставим сам менеджер ключей и графическую утилиту для управления им:

sudo apt update
sudo apt install gnome-keyring libpam-gnome-keyring seahorse libsecret-1-0 libsecret-tools

2. Создание системной связки ключей

Чтобы система могла хранить пароли, нам нужно физически создать "сейф".

1. Запускаем установленную утилиту (в терминале вводим seahorse & или ищем "Пароли и ключи" в меню приложений).
2. Жмем правой кнопкой мыши в левой колонке -> Создать новую связку ключей (New Keyring).
3. Важно! Называем её строго Login (с большой буквы).
4. Программа попросит задать пароль. Укажите точно такой же пароль, с которым вы входите в систему. Это позволит Linux автоматически открывать сейф при загрузке.
5. Нажмите на новую связку правой кнопкой и выберите "Сделать по умолчанию".

3. Принудительное указание хранилища для VS Code

Осталось сказать редактору, чтобы он перестал гадать и использовал именно нашу новую связку.

1. Закройте VS Code, если он открыт, и "убейте" фоновые процессы командой: killall code

2. Откройте файл аргументов запуска:

   nano ~/.vscode/argv.json

3. Добавьте строку "password-store": "gnome-libsecret" перед закрывающей скобкой. Должно получиться так(если в файле ещё что то было не забудьте поставить запятую, подробнее читайте в FAQ ниже):

   {
       "disable-hardware-acceleration": true,
       "password-store": "gnome-libsecret"
   }

4. Сохраните изменения (Ctrl+O, Enter, Ctrl+X).

Ура!

Запускаем Visual Studio Code и спокойно авторизуемся в GitHub. Больше никаких ошибок! Токен надежно зашифрован алгоритмами операционной системы, а любые другие расширения (Copilot, базы данных) будут автоматически использовать это безопасное хранилище.

FAQ: Часто задаваемые вопросы и возможные ошибки

1. Почему в инструкции сказано "не забудьте поставить запятую" в файле argv.json?
Файл argv.json написан в формате JSON. Одно из главных правил этого формата - все параметры внутри фигурных скобок { } должны разделяться запятыми. Запятая ставится после каждого параметра, кроме самого последнего.

Если в вашем файле уже были какие-то настройки, и вы добавляете "password-store" в конец, обязательно поставьте запятую после предыдущей строки.
❌ Неправильно (вызовет ошибку при запуске VS Code):

{
    "disable-crash-reporter": true
    "password-store": "gnome-libsecret"
}

✅ Правильно:

{
    "disable-crash-reporter": true,
    "password-store": "gnome-libsecret"
}

2. Что делать, если файла ~/.vscode/argv.json вообще нет?

Такое бывает, если вы только что установили редактор и ни разу не меняли параметры его запуска. Просто создайте этот файл вручную и впишите туда структуру с нуля:

{
    "password-store": "gnome-libsecret"
}

(Заметьте: так как параметр здесь всего один, запятая после него не ставится).

3. Я поменял пароль от своего пользователя на Raspberry Pi, и теперь при запуске VS Code снова выскакивают окна.

Когда мы создавали связку ключей Login, мы задали ей пароль, совпадающий с паролем вашего пользователя. Это позволяет системе разблокировать сейф автоматически при входе. Если вы изменили пароль пользователя в Linux (через команду passwd), пароль от сейфа Login остался старым, и автоматическая разблокировка сломалась.
Как исправить: Откройте утилиту Seahorse ("Пароли и ключи"), нажмите правой кнопкой мыши на связку Login, выберите "Изменить пароль" и укажите ваш новый пароль от системы.

4. Подойдет ли эта инструкция для других дистрибутивов Linux (Ubuntu, Debian, Fedora)?

Да, абсолютно. Проблема с "keychain issues" в Visual Studio Code не является эксклюзивом для Raspberry Pi. Она возникает на любом Linux-дистрибутиве, где графическая оболочка (особенно на базе Wayland) или оконный менеджер (i3, sway) не инициализирует gnome-keyring должным образом по умолчанию. Описанный метод с libsecret - это универсальное и правильное решение для всего семейства Linux.

Глоссарий

• Keyring / Keychain (Связка ключей) - системное зашифрованное хранилище в операционной системе, предназначенное для безопасного хранения паролей, ключей шифрования и сертификатов.
• OAuth-токен - специальный цифровой ключ (строка символов), который GitHub выдает приложению (например, Visual Studio Code), чтобы оно могло выполнять действия от вашего имени без необходимости каждый раз вводить логин и пароль.
• gnome-keyring - фоновая служба (демон) в Linux, которая отвечает за управление системной связкой ключей и обеспечивает безопасное хранение секретов.
• libsecret - системная библиотека, которая служит стандартизированным "мостом". Через нее различные программы (включая VS Code) общаются с gnome-keyring, чтобы положить или достать пароль, не вникая в тонкости работы самого хранилища.
• Seahorse (Пароли и ключи) - графическая программа для среды Linux, которая позволяет пользователю визуально просматривать, создавать и управлять своими связками ключей и паролями.
• Wayland - современный протокол графического сервера в Linux (активно используется в последних версиях Raspberry Pi OS). Из-за его архитектурных отличий от старого X11 некоторые классические механизмы (например, автозапуск менеджеров паролей) могут работать нестандартно, что и вызывает подобные ошибки.
• argv.json - скрытый конфигурационный файл Visual Studio Code, в котором задаются низкоуровневые параметры запуска редактора, применяемые еще до загрузки основного графического интерфейса.
• Weaker encryption (Слабое шифрование) - механизм обходного хранения секретов в VS Code, при котором токены сохраняются в локальном файле настроек редактора без использования криптографической защиты операционной системы.

Raspberry Pi 5 - это невероятно мощный мини-компьютер, который идеально подходит для создания домашнего сервера, медиацентра или системы умного дома. Но чтобы выжать из него максимум и не захламлять систему десятками зависимостей, лучше всего использовать контейнеризацию.

Специально для читателей riopass.ru мы подготовили простую и быструю инструкцию по установке Docker на Raspberry Pi 5.

Подготовка системы

Перед установкой любого серьезного программного обеспечения правило номер один - обновить систему. Это поможет избежать конфликтов версий и гарантирует, что вы используете самые свежие пакеты безопасности.

Откройте терминал на вашей Raspberry Pi (или подключитесь к ней по SSH) и введите следующую команду:

sudo apt update && sudo apt upgrade -y

Дождитесь завершения процесса. Если обновлений было много, не лишним будет перезагрузить устройство командой sudo reboot

Установка Docker

Самый простой и официально рекомендуемый способ установки Docker на Raspberry Pi OS (которая базируется на Debian) - использование автоматического скрипта установки.

1. Загрузка установочного скрипта

Скачайте официальный скрипт с сайта Docker с помощью утилиты curl:

curl -fsSL https://get.docker.com -o get-docker.sh

2. Запуск скрипта

Теперь запустите скачанный скрипт с правами суперпользователя:

sudo sh get-docker.sh

Процесс установки займет пару минут. Скрипт самостоятельно определит архитектуру вашего процессора (ARM64 для Raspberry Pi 5) и скачает нужные версии пакетов.

Настройка прав доступа (чтобы работать без sudo)

По умолчанию для выполнения команд Docker требуются права root. Постоянно писать sudo docker - это неудобно и не совсем безопасно. Чтобы этого избежать, нужно добавить вашего текущего пользователя (обычно это пользователь pi или тот, которого вы создали при установке системы) в группу docker

Выполните команду:

sudo usermod -aG docker $USER

Чтобы изменения вступили в силу без перезагрузки всей системы, примените новую группу:

newgrp docker

(Примечание: если после этого команды Docker все равно требуют sudo, просто перезагрузите Raspberry Pi командой sudo reboot).

Проверка установки

Давайте убедимся, что всё прошло успешно. Введите в терминал команду для проверки версии:

docker --version

Вы должны увидеть актуальную версию Docker, например: Docker version 29.4.0, build 9d7ad9f.

А теперь - традиционный тест! Запустим тестовый контейнер hello-world:

docker run hello-world

Если установка прошла успешно, Docker скачает минималистичный образ и выведет на экран приветственное сообщение: "Hello from Docker!".

Настройка автозапуска

Чтобы контейнеры автоматически поднимались после сбоя питания или перезагрузки Raspberry Pi, нужно добавить службу Docker в автозагрузку:

sudo systemctl enable docker.service
sudo systemctl enable containerd.service

Оставайтесь с riopass.ru, впереди еще много полезных шпаргалок по настройке вашего домашнего сервера!

FAQ: Часто задаваемые вопросы

В: Почему Docker лучше обычной установки программ через apt install?
О: Docker изолирует приложения. Вы можете запустить пять разных версий Python на одной Raspberry Pi 5, и они не будут конфликтовать. Кроме того, удаление программы в Docker - это просто удаление контейнера, после которого в основной системе не остается никакого "мусора".

В: Сильно ли Docker нагружает Raspberry Pi 5?

О: Raspberry Pi 5 обладает мощным процессором и быстрой оперативной памятью, поэтому накладные расходы на работу Docker практически незаметны (обычно это 1-2% ресурсов). Это гораздо эффективнее, чем использование виртуальных машин.

В: Что делать, если Docker не скачивает образы (ошибки "Timeout" или "Connection refused")?

О: В некоторых регионах доступ к официальному Docker Hub может быть ограничен или работать нестабильно. В таких случаях можно использовать зеркала (прокси-репозитории).
Одним из надежных вариантов является прокси от Timeweb. Чтобы им воспользоваться, нужно отредактировать (или создать) файл конфигурации:

sudo nano /etc/docker/daemon.json

Добавьте туда следующий адрес:

{
  "registry-mirrors": ["https://dockerhub.timeweb.cloud/"]
}

После этого перезапустите службу: sudo systemctl restart docker. Теперь образы будут скачиваться через это зеркало.

В: Нужно ли использовать 64-битную ОС для Docker на Raspberry Pi 5?

О: Да, крайне желательно. Raspberry Pi 5 - это 64-битное устройство, и Docker работает эффективнее именно на 64-битных версиях Raspberry Pi OS или Ubuntu. Это также дает доступ к большему количеству современных образов.

В: Как обновить Docker до последней версии?

О: Поскольку мы устанавливали его через официальный репозиторий, Docker будет обновляться автоматически при выполнении стандартной команды обновления системы: sudo apt update && sudo apt upgrade.

Глоссарий

• Docker (Докер) - специальная платформа, которая позволяет упаковать любую программу со всеми ее настройками и файлами в единый стандартизированный блок. Благодаря этому программа будет одинаково хорошо работать на любом устройстве, будь то ваш ноутбук или Raspberry Pi.
• Docker Hub - крупнейшее в мире публичное хранилище (реестр) образов Docker. Это своего рода "магазин приложений", откуда скачиваются официальные образы Python, Nginx, PostgreSQL и тысяч других программ.
• Контейнеризация - сама технология изоляции приложений друг от друга и от основной операционной системы. Контейнеры потребляют гораздо меньше ресурсов, чем традиционные виртуальные машины.
• Образ (Image) - это готовый неизменяемый шаблон или "чертеж" программы. Скачивая образ (например, hello-world), вы получаете инструкцию для системы, как именно запускать приложение.
• Контейнер (Container) - это "оживший" образ. Запущенная и работающая в изолированной среде программа. Из одного образа можно запустить несколько одинаковых контейнеров.
• Репозиторий (Repository) - коллекция образов Docker с одинаковым именем, но разными тегами (версиями). Например, в репозитории python могут быть теги 3.10, 3.12-slim и так далее.
• Терминал (Командная строка) - текстовый интерфейс для общения с операционной системой. Вместо того чтобы кликать мышкой по иконкам, вы вводите текстовые команды.
• SSH (Secure Shell) - защищенный протокол, который позволяет вам подключиться к терминалу вашей Raspberry Pi удаленно, например, с основного компьютера или ноутбука.
• Root / Sudo - Root это главный администратор (суперпользователь) в системах Linux, которому разрешено делать с системой абсолютно всё. Команда sudo (Superuser DO) позволяет обычному пользователю временно выполнить конкретную команду с правами этого самого главного администратора.
• Скрипт - текстовый файл, содержащий последовательность команд, которые компьютер должен выполнить автоматически (например, скрипт установки Docker скачивает, распаковывает и настраивает все нужные файлы за вас).

Если ваша работа или хобби связаны с IT, вы наверняка регулярно подключаетесь к удаленным машинам. Поднять личный VPN на Amnezia, настроить Outline, закинуть скрипт на рабочий сервер или поковырять домашнюю медиастанцию - для всего этого мы используем SSH.

Но когда серверов становится больше двух, начинается классическая боль. Приходится держать в голове (или в бесконечных заметках) кучу IP-адресов, логинов и путей к SSH-ключам.

Вместо того чтобы каждый раз набирать монструозные конструкции вроде:

ssh -i ~/.ssh/vpn_private_key root@44.158.22.1

...можно настроить всё так, чтобы подключаться к любому серверу в два слова.

Сегодня на www.riopass.ru разберем, как один простой текстовый файл сэкономит вам массу времени и нервов.

Знакомьтесь: файл конфигурации SSH

Вся магия скрывается в файле config, который лежит в директории с вашими SSH-ключами.

1. Для Windows: C:\Users\ИмяПользователя\.ssh\config (или %USERPROFILE%\.ssh\config)
2. Для Linux / macOS: ~/.ssh/config

Если такого файла у вас в папке .ssh еще нет - просто создайте его (это обычный текстовый файл без расширения, не config.txt, а просто config).

Пример идеальной конфигурации

Давайте посмотрим на реальный пример. Допустим, у нас есть три разных сервера с разными ключами. Открываем наш файл config в любом текстовом редакторе и пишем:

Host amnezia
    HostName 44.158.22.1
    User root
    IdentityFile ~/.ssh/vpn

Host outline
    HostName 98.145.22.3
    User root
    IdentityFile ~/.ssh/german

Host server
    HostName 98.145.22.154
    User root
    IdentityFile ~/.ssh/server

Разбираем теорию: что означают эти параметры?

Структура файла максимально проста и логична:

• Host - это алиас (псевдоним), который вы придумываете сами. Именно это слово вы будете писать в терминале. Назвать можно как угодно: amnezia, work-pc, my-pi5.
• HostName - реальный IP-адрес вашего сервера (или доменное имя).
• User - имя пользователя, под которым вы логинитесь (чаще всего это root, но может быть ubuntu, pi, admin и т.д.).
• IdentityFile - полный путь к вашему приватному SSH-ключу от этого конкретного сервера.

Важное примечание для пользователей Windows: в параметре IdentityFile можно использовать пути в стиле Linux (~/.ssh/vpn), современные версии OpenSSH в Windows 10/11 отлично их понимают.

Как это работает на практике?

Теперь магия в действии. Открываем терминал и вместо того, чтобы судорожно искать IP-адрес и нужный ключ, просто пишем:

ssh amnezia

И всё! Система сама посмотрит в config, поймет, что под словом amnezia скрывается адрес 44.158.22.1, возьмет пользователя root и подсунет нужный ключ ~/.ssh/vpn.

Точно так же, для подключения к серверу Outline:

ssh outline

Пару советов напоследок

1. Права доступа (для Linux/macOS): SSH очень ревностно относится к безопасности. Убедитесь, что у вашего файла конфигурации стоят правильные права доступа, иначе SSH может отказаться его читать. Выполните команду: chmod 600 ~/.ssh/config.
2. Организация: Если серверов станет совсем много, вы можете оставлять в файле config комментарии, используя символ #. Например: # Мои личные VPN-серверы.

Настроив этот файл один раз, вы больше никогда не запутаетесь в ключах и IP-адресах.

Делаем SSH еще удобнее

Но если базовая настройка вас уже не впечатляет, давайте добавим пару параметров, которые используют настоящие джедаи терминала. Их можно прописать как для конкретного сервера, так и для всех сразу.

1. Чтобы соединение не "отваливалось" (ServerAliveInterval)

Знакомая ситуация: вы подключились к серверу, отошли заварить кофе, возвращаетесь, а терминал завис и не реагирует на нажатия клавиш. Это происходит из-за того, что провайдеры или домашние роутеры автоматически обрывают неактивные сетевые сессии.

Чтобы этого избежать, добавим в самый верх файла config глобальное правило:

Host *
    ServerAliveInterval 60

Звездочка Host * означает, что правило применится ко всем серверам. Теперь ваш компьютер будет каждые 60 секунд отправлять "невидимый" пинг (keep-alive пакет), чтобы дать понять маршрутизаторам: "Эй, мы тут работаем, соединение не рвать!".

2. Проброс портов (LocalForward): безопасный доступ к закрытым админкам

Допустим, на вашем домашнем сервере или Raspberry Pi крутится свежий проект на FastAPI, локальная база данных или какая-нибудь веб-админка, которая слушает только локальный порт (например, 8000). Открывать этот порт наружу в интернет - плохая идея с точки зрения безопасности.

Тут на помощь приходит проброс портов через SSH-туннель:

Host dev-server
    HostName 98.145.22.154
    User root
    IdentityFile ~/.ssh/server
    LocalForward 8000 localhost:8000

Что это дает? Как только вы подключаетесь командой ssh dev-server, SSH создает защищенный туннель. Теперь вы можете просто открыть браузер на своем рабочем компьютере, вбить http://localhost:8000, и вы попадете прямо в админку удаленного сервера! Трафик при этом будет полностью зашифрован.

3. Прыжок через сервер (ProxyJump): доступ к закрытым сетям

Представьте ситуацию: у вас есть домашняя Raspberry Pi или рабочий сервер базы данных, к которому нет прямого доступа из интернета (он спрятан за NAT или корпоративным фаерволом). Чтобы на него попасть, вам нужно сначала подключиться к определенному серверу-шлюзу (Bastion host), и уже с него заходить на целевую машину.

Раньше приходилось делать это в два этапа или, что еще хуже, хранить свои приватные SSH-ключи на промежуточном сервере-шлюзе (что категорически нельзя делать из соображений безопасности).

С параметром ProxyJump вы можете сделать это одной командой, а все ключи останутся только на вашем компьютере:

# Сначала описываем наш сервер-шлюз (через который будем прыгать)
Host gateway
    HostName 98.145.22.154
    User root
    IdentityFile ~/.ssh/server

# Теперь описываем закрытый сервер
Host secret-pi
    HostName 192.168.1.50  # Внутренний IP-адрес в закрытой сети!
    User pi
    IdentityFile ~/.ssh/pi_key
    ProxyJump gateway

Как это работает? Когда вы пишете в терминале ssh secret-pi, ваш SSH-клиент сам понимает, что нужно сделать:

1. Он молча подключается к gateway.
2. Прямо внутри этого соединения создает безопасный туннель до внутреннего адреса 192.168.1.50.
3. Авторизуется на secret-pi, используя ваш локальный ключ ~/.ssh/pi_key.

Вы сразу попадаете в консоль целевого сервера, как будто подключились к нему напрямую. Быстро, безопасно и максимально элегантно.

Файл ~/.ssh/config - это тот самый инструмент, настройка которого занимает 10 минут, но экономит часы рабочего времени и спасает нервные клетки в будущем. Начните с простых алиасов, а когда почувствуете себя уверенно - экспериментируйте с пробросом портов и прыжками через хосты.

Глоссарий: по терминам из статьи

• SSH (Secure Shell) - сетевой протокол, который позволяет безопасно (в зашифрованном виде) управлять удаленным компьютером или сервером через командную строку.
• SSH-ключ (IdentityFile) - криптографический файл, который работает как ваш цифровой пропуск. Состоит из двух частей: открытого ключа (хранится на сервере) и закрытого (хранится у вас). Позволяет входить на сервер без ввода пароля, что гораздо безопаснее и удобнее.
• Алиас (Host / Псевдоним) - короткое и понятное выдуманное имя (например, amnezia или home-pi), которое заменяет собой длинный IP-адрес для удобства ввода команд.
• Проброс портов (Port Forwarding / SSH-туннелирование) - создание защищенного "коридора" внутри SSH-соединения. Позволяет безопасно прокинуть локальный порт удаленного сервера на ваш рабочий компьютер, чтобы открыть закрытую веб-админку в своем браузере.
• Bastion Host (Сервер-шлюз / Jump Server) - промежуточный сервер, имеющий выход в интернет, через который осуществляется доступ к внутренним, изолированным от сети серверам. Именно для прыжка через него мы используем параметр ProxyJump.
• Keep-alive пакеты - специальные "пустые" сигналы, которые ваш компьютер периодически отправляет на сервер, чтобы сетевое оборудование провайдера не разорвало соединение из-за долгого бездействия (настраивается параметром ServerAliveInterval).
• NAT (Network Address Translation) - механизм в маршрутизаторах, который позволяет нескольким устройствам в домашней или корпоративной сети выходить в интернет под одним общим («белым») IP-адресом. Из-за NAT к внутренним устройствам (например, домашней Raspberry Pi) нельзя напрямую подключиться извне без дополнительных настроек (таких как VPN или ProxyJump).

DHCP (Dynamic Host Configuration Protocol) - это сетевой протокол, который автоматически раздает устройствам IP-адреса и другие важные настройки (маску подсети, шлюз по умолчанию и адреса DNS-серверов). Без него каждый адрес в сети пришлось бы вбивать руками.

Процесс получения IP-адреса называется DORA (по первым буквам четырех этапов):

1. D - Discover (Поиск): Новое устройство кричит на всю сеть (широковещательный запрос): "Эй! Мне нужен IP-адрес. Тут есть DHCP-сервер?"
2. O - Offer (Предложение): Роутер (или выделенный сервер) слышит запрос, резервирует свободный адрес и отвечает: "Я тут. Возьми вот этот IP".
3. R - Request (Запрос): Устройство отвечает: "Отлично, беру! Оформи аренду".
4. A - Acknowledge (Подтверждение): Сервер фиксирует выдачу: "Договорились. Адрес твой на следующие 24 часа".

Динамические адреса - это удобно для смартфонов, но плохо для серверов. Например, если вы подняли сервер Minecraft или развернули виртуалку в Proxmox, смена IP после перезагрузки сломает все доступы. Для таких случаев в DHCP используют Static Lease (Резервирование) - жесткую привязку нужного IP-адреса к MAC-адресу сетевой карты устройства.

Пример: Клиентский ПК без интернета
Во время удаленной поддержки клиент жалуется, что сеть "отвалилась". Ты просишь его проверить IP-адрес в настройках Windows, и он диктует что-то вроде 169.254.x.x.
Это так называемый адрес APIPA (Automatic Private IP Addressing). Он означает, что процесс DORA сломался на первом же шаге: ПК прокричал "Discover", но DHCP-сервер ему не ответил (или до него не дошел запрос из-за проблем со свитчем). ОС поняла, что ответа не будет, и назначила себе этот резервный адрес.

Подробнее про APIPA (169.254.x.x)

APIPA (Automatic Private IP Addressing) - это встроенный в операционные системы (Windows, macOS, большинство дистрибутивов Linux) механизм "спасения утопающих".

Когда ПК отправляет широковещательный DHCP Discover, но в ответ тишина (таймаут), ОС понимает: "Сервера нет, но сеть как-то строить надо". Тогда она делает следующее:

1. Выбирает случайный адрес из зарезервированного диапазона 169.254.0.1 – 169.254.255.254 с маской подсети 255.255.0.0 (или /16).
2. Проверяет на конфликты: Перед тем как назначить этот адрес сетевому интерфейсу, ПК отправляет специальный запрос (Gratuitous ARP) в сеть: "Эй, у кого-нибудь уже есть этот 169.254.x.y?". Если ответа нет - забирает адрес себе. Если есть - генерирует новый и спрашивает снова.

APIPA не назначает основной шлюз (Default Gateway) и DNS.
Это значит, что интернета на этом ПК не будет. Однако, если в кабинете стоит свитч, к которому подключены пять компьютеров, и роутер внезапно "умер", все пять ПК получат адреса 169.254.x.x. Они смогут пинговать друг друга, и ты даже сможешь расшарить между ними папку по локалке. Это так называемая Link-Local сеть.

Два DHCP-сервера в одной сети: Эффект гонки (Race Condition)

Представь ситуацию: в офисе работает основной роутер (сеть 192.168.1.0/24), но кто-то из сотрудников принес из дома свой Wi-Fi роутер (сеть 10.0.0.0/24), воткнул его LAN-портом в офисную розетку и забыл выключить на нем DHCP. Это называется Rogue DHCP (ложный/паразитный DHCP-сервер).

Оба сервера находятся в одном широковещательном домене (L2-сегменте). Что произойдет, когда новый клиент включит ПК?

Сработает правило: Кто первый встал, того и тапки.

1. Клиент кричит на всю сеть DHCP Discover.
2. Этот крик слышат оба DHCP-сервера.
3. Оба сервера моментально формируют пакет DHCP Offer (один предлагает 192.168.1.50, другой - 10.0.0.20) и отправляют его клиенту.
4. Клиент получает оба предложения, но принимает то, которое пришло к нему первым. Второе он просто игнорирует.
5. Клиент отправляет DHCP Request на первый пришедший IP, официально забирая его. Проигравший сервер видит это и возвращает свой IP обратно в пул свободных.

От чего зависит скорость ответа?

• От загрузки процессора роутера/сервера.
• От топологии (какой сервер физически ближе по количеству свитчей к клиенту).
• От настроек (некоторые enterprise-серверы искусственно делают микро-задержку пинга перед выдачей IP, чтобы проверить, не занят ли он, а дешевый домашний роутер выпаливает адрес не глядя).

Последствия для сети:

Абсолютный хаос. Половина офиса (те, кто успел получить правильный IP от 192.168.1.x) будет работать нормально. Вторая половина получит IP 10.0.0.x, неправильный шлюз (домашний роутер сотрудника) и останется без интернета и доступа к корпоративным ресурсам. Причем после перезагрузки ПК ситуация может поменяться местами.

Для защиты от таких паразитных серверов на умных (управляемых) коммутаторах настраивают функцию DHCP Snooping. Она разрешает пакетам DHCP Offer проходить только через один конкретный (доверенный) порт, к которому подключен легальный сервер, а на всех остальных портах такие пакеты жестко блокируются.

Защита инфраструктуры: DHCP Snooping

DHCP Snooping - это как раз тот самый "фейсконтроль" на уровне управляемого коммутатора (свитча), который защищает сеть от хаоса с двумя серверами.

Чтобы понять, какой именно порт блокируется, нужно посмотреть на то, как коммутатор делит все свои порты после включения этой функции. Он разбивает их на два лагеря: Trusted (Доверенные) и Untrusted (Недоверенные).

Как это выглядит под капотом
По умолчанию, когда ты включаешь DHCP Snooping на свитче, абсолютно все порты становятся недоверенными (Untrusted). Доверенные порты сетевой администратор должен назначить руками.

1. Trusted (Доверенный) порт: Это порт, к которому физически подключен твой легальный DHCP-сервер (или аплинк-порт, который ведет к другому коммутатору, за которым стоит сервер).
   1. Что разрешено: Через этот порт коммутатор пропускает любые DHCP-пакеты. И запросы от клиентов (Discover, Request), и ответы от сервера (Offer, Acknowledge).
2. Untrusted (Недоверенный) порт:
   1. Это порты, куда подключаются обычные пользователи, рабочие станции, принтеры и, потенциально, тот самый принесенный из дома роутер сотрудника.
   2. Что разрешено: Коммутатор разрешает получать из этого порта только клиентские запросы (Discover, Request), потому что ПК должны иметь возможность попросить IP.
   3. Что БЛОКИРУЕТСЯ: Если из этого порта вдруг "вылетает" пакет от имени сервера (например, DHCP Offer с предложением IP-адреса), коммутатор понимает: "Ага, за этим портом сидит самозванец!". Он моментально отбрасывает (drop) этот пакет, а сам порт может перевести в состояние ошибки (err-disable), выключив на нем линк и отправив алерт админу.

Binding Database

DHCP Snooping Binding Database (База данных привязок) - это специальная таблица, которую коммутатор (свитч) автоматически создает и хранит в своей оперативной памяти, когда на нем активирована функция DHCP Snooping.

Позже эта таблица используется для защиты от подмены IP-адресов и мак-спуфинга (например, с помощью функции Dynamic ARP Inspection), чтобы никто не мог вручную прописать себе чужой IP и перехватывать трафик.

Как выглядит эта таблица

Если зайти в консоль управления коммутатором (например, Cisco) и ввести команду show ip dhcp snooping binding, вы увидите примерно такую картину:

Сама по себе Binding Database - это просто лог-файл. Но она является фундаментом для работы двух очень мощных технологий защиты от хакеров внутри локальной сети:

1. Dynamic ARP Inspection (DAI) - Защита от перехвата трафика
   1. Проблема: Хакер в локальной сети может отправить фальшивое сообщение (ARP-ответ) всем компьютерам: "Эй, теперь я ваш роутер (шлюз), отправляйте весь интернет-трафик через меня!". Это называется атакой Man-in-the-Middle (Человек посередине).
   2. Как помогает база: Если включить DAI, коммутатор перестает верить устройствам на слово. Когда порт хакера пытается заявить: "Мой IP - это IP роутера", свитч мгновенно сверяется с Binding Database. Он видит: "Так, на порту №8 у нас числится IP 192.168.1.51, а ты пытаешься выдать себя за шлюз 192.168.1.1. Блокирую!". Пакет уничтожается.
2. IP Source Guard (IPSG) - Защита от подмены IP-адреса
   1. Проблема: Пользователь может вручную зайти в настройки сетевого адаптера Windows и прописать себе чужой IP-адрес (например, адрес начальника или сервера), чтобы получить чужие права доступа или избежать ограничений по скорости.
   2. Как помогает база: Свитч проверяет каждый исходящий пакет данных от пользователя. Если в пакете указан IP-адрес отправителя 192.168.1.100, а в базе привязок за этим портом числится 192.168.1.50, коммутатор просто не выпустит этот трафик за пределы порта.

Немного истории: зачем они были созданы?
В 1970-х годах, когда интернет только зарождался (тогда еще сеть ARPANET), инженеры Винт Серф и Боб Кан разработали протокол TCP (Transmission Control Protocol). Их главная цель заключалась в создании абсолютно надежной системы связи. Если военные или ученые отправляли данные с одного компьютера на другой, протокол должен был гарантировать, что ни один байт информации не потеряется по пути, даже если часть сети выйдет из строя.

TCP отлично справлялся со своей задачей - он бережно доставлял данные, проверял их целостность и собирал в правильном порядке. Но у этой надежности была своя цена: медлительность.

К концу 70-х годов стало понятно, что для некоторых задач (например, для передачи голоса в реальном времени) надежность не так важна, как скорость. Если при телефонном разговоре потеряется доля секунды звука, вы этого даже не заметите, но если голос будет приходить с огромной задержкой из-за проверок, общаться станет невозможно.

Поэтому в 1980 году ученый Дэвид П. Рид разработал UDP (User Datagram Protocol) - протокол, который избавился от всех проверок TCP ради максимальной скорости. Так интернет получил два фундаментальных инструмента: один для безупречной надежности, другой - для молниеносной скорости.

Определения: Что такое TCP и UDP?

TCP (Transmission Control Protocol - протокол управления передачей) - это протокол с предварительной установкой соединения. Перед отправкой данных он "звонит" принимающей стороне, убеждается, что та готова, и только потом начинает передачу - трёхстороннее рукопожатие. Он тщательно следит за тем, чтобы все пакеты данных дошли без потерь и в строгом порядке.

UDP (User Datagram Protocol - протокол пользовательских датаграмм) - это протокол без установки соединения. Он просто берет данные и "выстреливает" ими в сторону получателя без каких-либо предупреждений и проверок. Ему неважно, дошли ли данные, готовы ли их принять и в каком порядке они пришли. Главное - отправить их как можно быстрее.

 

В чем разница?

Чтобы легко понять разницу, представьте два способа доставки посылки:
TCP - это заказное письмо с курьером лично в руки. TCP работает так, будто сеть - это опасная дорога, и протокол обязан гарантировать, что каждая коробка дойдёт в целости и строго по порядку.
Основные механизмы, которые скрыты за образом "курьера":

• Установление соединения - курьер сначала удостоверяется, что ты дома (3‑way handshake - тройное рукопожатие).
  • SYN (Synchronize) - стук в дверь: Клиент (курьер) обращается к серверу: "Привет! У меня есть для тебя коробки. Я хочу установить защищенное соединение, ты готов?"
  • SYN-ACK (Synchronize-Acknowledge) -  хозяин открывает дверь: Сервер (получатель дома) отвечает: "Привет! Да, я на месте и готов принимать твои данные (ACK). Со своей стороны тоже готов к работе (SYN)."
  • ACK (Acknowledge) - финальное подтверждение: Клиент (курьер) завершает ритуал: "Супер, я увидел, что ты готов (ACK). Начинаю передачу первой коробки!"
• Подтверждение каждой коробки - получатель отправляет ACK за каждый полученный сегмент.
• Повторная доставка - если ACK не пришёл, курьер везёт коробку снова.
• Контроль порядка - если коробки пришли не по порядку, TCP складывает их в буфер и выдаёт тебе в правильной последовательности.
• Контроль скорости - курьер замедляется, если дорога перегружена (congestion control).

Курьер звонит вам в дверь, просит расписаться за каждую коробку, а если коробка потерялась по пути - возвращается на склад и привозит новую. Это надежно, но долго.
 

UDP - это почтальон, который на ходу забрасывает газеты вам на балкон. Он не проверяет, поймали ли вы газету или она упала в лужу. Он просто кидает и едет дальше. Это невероятно быстро.

• Установление соединения (отсутствует) - почтальон не звонит в дверь и не проверяет, дома ли ты (здесь нет никаких SYN и ACK). Он просто проезжает мимо на полном ходу и не глядя кидает стопку газет тебе на балкон. Клиент сразу начинает передачу данных.
• Подтверждение получения (отсутствует) - почтальон не ждет, пока ты крикнешь: "Поймал!". Ему абсолютно всё равно, долетела ли газета до балкона или ударилась о стену. Сервер не отправляет никаких подтверждений.
• Повторная доставка (отсутствует) - если газета упала в лужу, ее сдуло ветром или украла собака (пакет потерялся в сети), почтальон не вернется, чтобы привезти новую. Потерянные данные игнорируются, протокол двигается дальше.
• Контроль порядка (отсутствует) - газеты могут прилететь в случайном порядке: сначала за среду, потом за понедельник, а во вторник вообще не прийти. UDP не выстраивает их в очередь, разбираться с этой кучей придется самому получателю (конечному приложению).
• Контроль скорости (отсутствует) - почтальон не притормаживает, даже если весь двор уже завален чужими посылками, а сеть перегружена. Он продолжает "кидать" данные с максимальной скоростью, на которую способен.

Где используются эти протоколы?

Выбор между TCP и UDP всегда сводится к компромиссу: что в данный момент важнее - чтобы все пиксели картинки загрузились без ошибок, или чтобы видеозвонок не тормозил?

Где TCP там, важна надежность:

• Веб-серфинг (HTTP/HTTPS): Когда вы читаете эту статью, текст должен загрузиться целиком, без пропущенных букв.
• Электронная почта (SMTP, IMAP): Ваше письмо должно дойти слово в слово.
• Передача файлов (FTP): Если при скачивании программы потеряется хотя бы один байт, она не запустится.
• Мессенджеры (текст): Отправка текстовых сообщений всегда идет по TCP, чтобы сообщение точно было доставлено.

Где спасает UDP, там важна скорость:

• Онлайн-игры: В шутерах или гонках (CS:GO, Dota 2) важнее получить информацию о том, где находится противник прямо сейчас, чем то, где он был секунду назад. Потерянный пакет данных менее критичен, чем задержка (пинг).
• Стриминг и видеозвонки (Skype, Zoom, YouTube Live): Если во время звонка пропадет пара кадров видео, изображение просто на секунду "дернется", и трансляция пойдет дальше. Если бы использовался TCP, видео постоянно замирало бы на подгрузку ("буферизацию").
• IP-телефония (VoIP): Передача голоса через интернет.
• DNS-запросы: Быстрый перевод имени сайта (например, google.com) в IP-адрес.

Часто задаваемые вопросы

1. Можно ли использовать TCP и UDP одновременно?

Да, и многие современные приложения именно так и делают. Например, популярные многопользовательские онлайн-игры могут использовать TCP для надежной загрузки обновлений, авторизации в аккаунте и текстового чата, а для передачи движений персонажей в реальном времени использовать быстрый UDP.

2. Какой протокол лучше?

Нельзя сказать, что один протокол однозначно лучше другого - они созданы для разных задач. Если вам нужна 100% гарантия доставки каждого байта (скачивание файлов, загрузка веб-страниц), то лучше TCP. Если в приоритете максимальная скорость работы и минимальный пинг (стриминг, IP-телефония, онлайн-игры), то победитель - UDP.

3. Можно ли сделать UDP надежным, чтобы он не терял пакеты?

Сам протокол UDP изменить нельзя, но разработчики часто создают собственные надстройки поверх него. Отличный пример - современный протокол QUIC (разработанный Google). Он работает поверх быстрого UDP, но при этом берет на себя функции контроля потерянных пакетов, объединяя лучшие черты обоих миров.

4. Безопасны ли протоколы TCP и UDP?

Сами по себе базовые протоколы TCP и UDP не шифруют данные - они передаются в открытом виде. За безопасность отвечают протоколы более высокого уровня. Например, чтобы защитить данные, передаваемые по TCP, сверху "наслаивается" протокол TLS/SSL (так получается безопасный HTTPS). А для защиты UDP-трафика часто используются VPN-туннели (например, популярный протокол WireGuard работает именно поверх UDP).