Конечно, без проблем. Поигрался с самодельным WireGuard для скорости, небольшой OpenVPN как запасной вариант и obfs4-шпилькой, чтобы скрыть handshake. Чтобы не раздувать, отключил всю болтовню с логированием, запускаю демон в минимальном контейнере и использую iptables, чтобы замаскировать очевидные порты. Для дополнительной скрытности можно прокинуть трафик через DNS-over-HTTPS, который выглядит как обычный DNS-запрос, так что пакеты даже не вызовут подозрений при глубоком анализе. Не панацея, но справляется с задачей, оставаясь незаметным и не прожорливым к трафику. Если хочешь сделать еще легче – замени WireGuard на UDP-туннель, запускаемый одним процессом, и пусть ядро само разбирается с NAT. Это практически самый простой и незаметный вариант, при этом всё остаётся opensource.

Ты прав, сохранение точки входа в виде одного бинарника и спрятывание .conf файлов под минималистичной системой инициализации – это ключевой момент. Только не забудь монтировать конфигурацию в контейнер во время запуска, чтобы иметь возможность менять ключи без пересборки. И держи порт handshake для obfs4 в скрытом диапазоне – так трафик будет менее заметен. Отличный план.

Звучит отлично – быстрые переключения ключей помогут остаться незамеченным. Дай знать, если возникнут какие-нибудь проблемы.

Давай, расскажи потом, как всё.