NekoBox RU Fork

Форк NekoBox For Android (база 1.4.2) c фиксами утечек трафика/DNS и ру правилами для маршрутов
🚀 Быстрый старт

Обновите базы: Меню -> Маршруты -> Три точки -> Управление ресурсами. Нажмите на иконку загрузки у файлов geoip.db и geosite.db. (Приложение само напомнит об этом при первом запуске).
Настройте режим VPN: Настройки -> Режим VPN для приложений -> Включить -> Выбрать "Прокси". Отметьте только те приложения, которым нужен обход блокировок (рекомендуемый и самый безопасный режим).

📥 Скачать

GitHub Releases
🛡 Ключевые изменения безопасности (RKN Hardening)
1. Строгая маршрутизация и изоляция туннеля

В оригинальных клиентах приложения, добавленные в исключения (Bypass), могли направлять трафик через туннель и выявлять IP VPN-сервера.

В ядре (sing-box) принудительно включена функция find_process.
Трафик исключенных приложений строго фильтруется по UID, предотвращая любые случайные утечки IP.
Тест: команда curl 2ip.io --interface tun0 в Termux завершится ошибкой, если приложению не выдан доступ к VPN.

2. Безопасность локального SOCKS5/HTTP прокси

По умолчанию отключен локальный порт 10808 (закрытие потенциальной уязвимости обхода TUN-интерфейса).
При включении опции «Разрешить подключения из локальной сети» на прокси-порт автоматически генерируется уникальный криптографический пароль. (сейчас вырезал включение lan, потому что были проблемы в RKN Hardening. пока что нет времени разбираться)

3. Защита от подмены IP

sniff_override_destination и sniff включены по умолчанию. Подробнее - NekoBox by kkkyloo (закрыты дыры безопасности) (Пост Awxof_ #142912913)

🇷🇺 Адаптация для РФ и стабильность
1. Bypass из коробки

Предустановлены правила для прямого доступа (Direct) к зонам .ru, .рф, .su
Диапазон российских IP-адресов (geoip:ru) автоматически пускается в обход VPN.
Тест подключения (Ping) переведен на протокол HTTPS

⚙️ Улучшения интерфейса (UX)

При попытке запустить VPN без баз geosite/geoip приложение не упадет (краш ядра), а покажет окно с предложением их скачать.

Я внимательно проанализировал изменения в исходном коде Kotlin (`*.kt`) и файлах настроек (`*.xml/строках`) между оригинальной версией `NekoBoxForAndroid` и кастомным форком `NekoBoxForAndroid-1.4.2-ru.6`.

Форк имеет ряд серьезных доработок и нововведений, связанных с обходом блокировок (работа в условиях ограничений РКН), а также повышением стабильности (VPN Watchdog). Для вашего удобства я создал подробный и структурированный отчет.

### Краткая сводка основных нововведений форка:

1. **VPN Watchdog (Авто-реконнект)**: Форк содержит новый фоновый механизм `VpnWatchdog`, который по таймауту проверяет HTTP-соединение. Если VPN "зависает" без разрывов, система автоматически сбрасывает клиентские сокеты и перезапускает туннель.

2. **RKN Hardening (Внедренные защиты)**:
- Запрещена подмена SNI-адреса назначения (`sniff_override_destination = false`) для защиты от прослушивания и перехвата трафика системами DPI с целью деанонимизации VPN.
- Механизм строгой изоляции приложений (`find_process = true`): если приложение стоит в исключениях (Bypass), пакеты от него блокируются внутри VPN, чтобы предупредить утечки IP через туннель. В VPN-режиме также "отрубаются" любые входящие соединения кроме самого `tun` интерфейса и прямых сетей.

3. **Безопасность конфигураций локального прокси**: Системные порты для YACD и Mixed Proxy теперь защищены надежными 10-символьными паролями `mixedPassword` / `clashApiSecret`, которые генерируются при старте приложения.

4. **Адаптация маршрутизации под РФ "из коробки"**: Отключена устаревшая логика проверки региона пользователя и добавлены "жесткие" правила обхода в Direct (минуя VPN) для зон `*.ru`, `domain:su`, `domain:рф`, сетей `geoip:ru`, `yandex`, `vk` и `mailru`.

5. **Фиксы UX и DNS Багов**: Добавлен диалог, обязательно требующий от пользователя скачать базы `geoip.db` и `geosite.db` перед включением VPN (раньше приложение могло упасть или некорректно работать). Добавлена опция использования системных DNS (в обход Google), а также системное правило для обхода бага с Private DNS на Android. Решен баг "утечки батареи" постоянными оповещениями ядра о скорости.

# Анализ изменений форка NekoBoxForAndroid-1.4.2-ru.6

В данном отчете представлен подробный анализ отличий форка `NekoBoxForAndroid-1.4.2-ru.6` от оригинала `NekoBoxForAndroid`. Анализ охватывает изменения в исходном коде на языке Kotlin (`*.kt`), а также в XML-файлах настроек и ресурсов.

## 1. Архитектурные и логические изменения (Kotlin)

### 1.1. Система Автоматического Переподключения (VPN Watchdog)
* **`VpnWatchdog.kt` [NEW]**: Добавлен новый класс `VpnWatchdog`, который работает в фоновом режиме вместе с основным `VPNService`. Он периодически отправляет HTTP запросы `Libcore.urlTest` (по умолчанию на `https://cp.cloudflare.com/`) для проверки доступности рабочего VPN соединения.
* Если VPN "зависает" (превышение лимита ошибок), Watchdog принудительно "будит" ядро proxy (sing-box), сбрасывает сокеты клиентов `Libcore.resetAllConnections(true)` и восстанавливает сеть. Также вмонтирован тестовый режим `testModeRequested` для проверки функционала из интерфейса.

### 1.2. RKN Hardening (Защита от блокировок и утечек)
* **`ConfigBuilder.kt`**:
* **Отключение SNI Spoofing уязвимости**: Параметр `sniff_override_destination = false` зафиксирован жестко. Теперь оригинальный IP назначения не подменяется из SNI-хедера, что защищает от перехвата трафика вредоносными или цензурными узлами.
* **Изоляция UID (app proxy split tunnel bypass)**: Включен `find_process = true`. Пакеты анализируются с привязкой к Process UID (ID приложения). В зависимости от настроек bypass, ядро sing-box будет **блокировать** маршрут вне хоста через VPN (`outbound = TAG_BLOCK`), чтобы не допустить утечки трафика приложений, добавленных в список исключений.
* **Очистка Inbounds в VPN**: Из json-конфига принудительно удаляются все inbounds, кроме `tun` и `direct` (`inboundsList?.removeAll { ... }`). Это защищает от уязвимостей "открытого порта", когда злоумышленник мог бы через локальный IP извне подключиться к открытому inbound proxy в телефоне.
* **Автогенерация паролей**: `DataStore` теперь автоматически генерирует 10-символьные безопасные пароли (`SecurePassword`) для `clashApiSecret` и `mixedPassword`. API менеджера YACD больше не открыто без пароля.
* **`RawUpdater.kt` / `AssetsActivity.kt` / `AboutFragment.kt`**: Глобально из методов `Libcore.newHttpClient()` удалено обращение к локальному прокси `trySocks5(DataStore.mixedPort)`.

### 1.3. Адаптация маршрутизации под РФ (СНГ)
* **`ProfileManager.kt`**:
* Удалена старая логика фолбека (где проверялся регион устройства для китая `cn` или Ирана `ir`).
* Вместо него жестко вшиты новые правила-bypass для РФ: `geosite:category-ru`, `geosite:yandex`, `geosite:vk`, `geosite:mailru`, `domain:ru`, `domain:su`, `domain:рф`, `geoip:ru`. Вся эта зона идет в обход `TAG_DIRECT` (`outbound = -1L`).
* Добавлен блок `geosite:category-ads-all` (Блокировка Рекламы).
* **Блокировка UDP/QUIC 443**: Добавлено правило блокировки трафика `udp` на `443` порту. Это решает проблему с замедлением видео на YouTube / Instagram (заставляет использовать fallback на TCP).

### 1.4. Настройки DNS
* **`DataStore.kt`**:
* Настройка `directDns` изменена с `https://223.5.5.5/dns-query` на стандартный IP Google `8.8.8.8`.
* Добавлен флаг `useLocalDns`. В `ConfigBuilder.kt` если он включен, DirectDNS конфигурируется как "local" для использования DNS-сервера Android по умолчанию.
* DoT (Port 853) принудительно отправляется в `TAG_DIRECT` (`route.rules.add` в `ConfigBuilder.kt`), что решает баг "Private DNS" в Android при DPI.

### 1.5. Интерфейс и улучшения UX
* **`MainActivity.kt`**: При нажатии на кнопку включения VPN проверяется наличие файлов `geoip.db` и `geosite.db`. Если их нет, выводится предупреждающее диалоговое окно, направляющее пользователя в раздел AssetsActivity для их загрузки. Это предотвращает падение ядра приложения при первом запуске.
* **`ServiceNotification.kt`**: Отключено обновление статистики трафика в UI уведомлениях `ServiceNotification`. Это позволило обойти баг WakeLock на прошивках Realme/ColorOS, где загорался экран при постоянном обновлении уведомления Service'a.
* **`SettingsPreferenceFragment.kt`**: Добавлены диалоги для тестирования функции Watchdog, а также связанные зависимости для Local Proxy.

## 2. Изменения Интерфейса и Настроек (XML)

### 2.1. `global_preferences.xml`
* **Скрытие настройки локального прокси**: Раздел "inbound_settings" (входящие подключения / локальный порт / разрешение LAN) скрыт от пользователя через атрибут `app:isPreferenceVisible="false"`. Это защищает неопытного пользователя от случайного открытия портов.
* **Добавлена опция Use Local DNS**: Переключатель `useLocalDns` - "Использовать системные DNS (local)".
* **Раздел VPN Watchdog**: Добавлена новая категория `VPN Watchdog (Авто-рестарт)` с настройками интервала и кнопкой тестирования `vpnWatchdogTest`.

### 2.2. `neko_preferences.xml`
* **Profile-specific Watchdog**: В настройки конкретного профиля (proxy configuration) добавлены аналогичные опции для переопределения поведения VPN Watchdog (включение, интервал и тест).

### 2.3. `strings.xml` / `values-ru/strings.xml`
* Переведены / добавлены строки, связанные с новыми функциями:
* Новые ключи для "Авто-переподключения" (Watchdog) и его описания.
* Изменены переводы, в частности добавлены красные предупреждающие метки `<font color="#D32F2F">Разрешить LAN подключения (Опасно)</font>` и HTTP Proxy, чтобы обратить внимание пользователя на потенциальную угрозу безопасности.

---

## Краткое резюме форка
**NekoBoxForAndroid-1.4.2-ru.6** - это глубоко доработанная версия (hardened fork), целенаправленная на:
1. **Бесперебойность**: Внедрен Watchdog, который решает проблему с разрывами DPI-блокировок, автоматически перезапуская Sing-Box без вмешательства пользователя.
2. **"Из коробки" для РФ**: Вшиты bypass-правила для ru-доменов, СНГ сервисов и блокировка рекламы/QUIC.
3. **Безопасность**: Защита от утечки адресов через UID (strict tunnel bypass), закрытие открытых портов API Yacd / Local TCP паролями и фильтрацией конфигураций Inbounds.
4. **UX**: GUI проверки на скачивание баз (geoip/geosite), исправление бага с уведомлением на Android устройствах BBK Electronics.

вернул по дефолту использование значений sniff из настроек и по умолчанию сделал sniff + sniff_override_destination. в ру переводе пункт называется включить анализ трафика. если вы обновляетесь с прошлой версии, а не ставите на чистую, то надо поставить в этом пункте 3 значение "результат проверки для адрес назначения".

Версия: 1.4.2-ru.6 NekoBox-1.4.2-kkkyloo-ru.6-arm64-v8a.apk ( 14.53 МБ )