GitHub/olcrtc
1
0
Fork 0
mirror of https://github.com/openlibrecommunity/olcrtc.git synced 2026-05-26 07:08:11 +00:00
Code Issues Packages Projects Releases Wiki Activity

doc: add about project doc

Browse Source
This commit is contained in:
zarazaex69
2026-05-10 14:47:00 +03:00
parent 7aec207603
commit bd30832094
1 changed files with 877 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

877
docs/about.md Normal file
View File

@@ -0,0 +1,877 @@
# olcRTC — полная документация
> **olcRTC** (OpenLibreCommunity RTC) — инструмент обхода интернет-блокировок через паразитирование на легальных WebRTC-сервисах видеозвонков, уже находящихся в российских белых списках.
>
> Проект: [github.com/openlibrecommunity/olcrtc](https://github.com/openlibrecommunity/olcrtc)
> Лицензия: WTFPL
> Статус: **Beta**
---
## Содержание
1. [Почему olcRTC существует](#1-почему-olcrtc-существует)
2. [Идея и история создания](#2-идея-и-история-создания)
3. [Как это работает](#3-как-это-работает)
4. [Архитектура](#4-архитектура)
5. [Структура репозитория](#5-структура-репозитория)
6. [Carriers — провайдеры](#6-carriers--провайдеры)
7. [Transports — транспорты](#7-transports--транспорты)
8. [Шифрование](#8-шифрование)
9. [Мультиплексирование](#9-мультиплексирование)
10. [SOCKS5 прокси](#10-socks5-прокси)
11. [Mobile / Android](#11-mobile--android)
12. [Python PoC скрипты](#12-python-poc-скрипты)
13. [Сборка и деплой](#13-сборка-и-деплой)
14. [CLI — все флаги](#14-cli--все-флаги)
15. [URI-формат и подписки](#15-uri-формат-и-подписки)
16. [Матрица совместимости](#16-матрица-совместимости)
17. [CI/CD](#17-cicd)
18. [Что планируется сделать — Issues](#18-что-планируется-сделать--issues)
19. [Контрибуторы](#19-контрибуторы)
20. [Частые ошибки](#20-частые-ошибки)
---
## 1. Почему olcRTC существует
В России работают ТСПУ (технические средства противодействия угрозам). В мобильных сетях провайдеры перешли в режим **белых списков**: ТСПУ дропает все пакеты, кроме явно разрешённых IP-адресов и SNI.
Фильтрация двухуровневая:
- **L3** — по IP-адресу назначения. Не разрешён → пакет физически не уходит дальше второго хопа.
- **L7** — по SNI в TLS ClientHello. Есть в чёрном списке → RST.
Классические обходы через VPS ломаются когда VPS не попадает в белый список. Yandex Cloud, VK Cloud, Timeweb в списке — но провайдеры активно банят инстансы используемые как прокси.
**Решение olcRTC**: не пытаться попасть в белый список — использовать сервисы, которые там уже есть навсегда. Телемост, SaluteJazz и WB Stream — сервисы видеозвонков крупных российских компаний. Пока они живы, olcRTC работает. Чтобы их заблокировать — нужно заблокировать сам сервис.
Трафик идёт через WebRTC SFU этих сервисов:
```
Клиент (cnc) → SFU Яндекса/Сбера/WB → Сервер (srv, ваш VPS)
```
Для ТСПУ это выглядит как обычный видеозвонок.
---
## 2. Идея и история создания
### Хронология
**2025-04-03** — первый коммит `init repo`. Идея.
**2025-04-06**`remove text`. Единственная правка за целый год.
**2026-04-04**`Initialize project with base configuration and assets`. Реальный перезапуск с нуля.
**2026-04-05**За один день появляются Python PoC:
- `telemost_poc_datachannel.py` — первое рабочее соединение через Telemost DataChannel
- `vcsend.py` — передача данных QR-кодами через видеопоток
- `flood.py` — стресс-тест соединений
- `limits.py` — обнаружен лимит Telemost DataChannel: 8KB на сообщение, всё что выше молча дропается
- `info.py` — исследование API Telemost
**2026-04-06** — QR-код двусторонняя передача (`invicible`), первые замеры: **44 Mbps** через DataChannel.
**2026-04-07** — первый Go бинарник: WebRTC туннель с ChaCha20-Poly1305 шифрованием, SOCKS5 прокси, деплой через Podman. Провайдер: только Telemost.
**2026-04-08..09** — активная Go разработка: клиент-серверная архитектура, кастомный мультиплексор с sequence numbering, имена участников из файла, graceful shutdown, DNS поддержка, Android мост.
**2026-04-10..11** — простой UI, Docker образ сервера, SaluteJazz PoC от community-контрибутора `0xcodepunk`.
**2026-04-12..14** — большой рефакторинг: golangci-lint, Jazz провайдер с protobuf-style пакетами, автогенерация Room ID для Jazz, Windows скрипты от `DeNcHiK3713`.
**2026-04-19..20** — архитектурный рефакторинг: выделение слоёв `carrier` / `transport` / `link`, WB Stream провайдер через LiveKit SDK, видеоканальный PoC на Python.
**2026-04-21..22**`videochannel` транспорт (данные кодируются в QR-коды внутри VP8 видеопотока через ffmpeg), `vp8channel` транспорт (данные в VP8 payload), NVENC поддержка.
**2026-04-25..30** — tile кодек для videochannel с Reed-Solomon коррекцией ошибок, `vp8channel` поверх KCP для надёжной доставки, замена самописного мультиплексора на smux.
**2026-05-01..06**`seichannel` (данные в H264 SEI NAL-юнитах), E2E тесты на реальных провайдерах, URI-формат и формат подписок, `-client-id` для привязки клиента к серверу, SOCKS5 аутентификация.
**2026-05-07..10** — финальная полировка: исправлен throughput bug в vp8channel (ограничение было в 32 раза ниже реального), документация, SEI конфигурация, `-socks-user`/`-socks-pass`.
### Статья на Хабре
Проект описан в двух статьях на Хабре:
- *«Это — всё что вам надо знать о белых списках»* — технический анализ как работает фильтрация, 63k IP в белом списке из 46 млн российских, методы обхода
- *«BAREBONE2022: чтобы заблокировать этот протокол придётся запретить MAX и Yandex»* — описание идеи olcRTC, первые замеры скорости
---
## 3. Как это работает
```
Браузер/приложение
│ (обычные TCP соединения)
SOCKS5 :8808 ← cnc (клиент), работает на вашей машине
│ ChaCha20-Poly1305
│ smux поверх muxconn
Transport (datachannel / vp8channel / seichannel / videochannel)
Carrier (jazz / wbstream / telemost)
│ WebRTC DataChannel или VideoTrack
SFU Яндекса / Сбера / WB ← сервер в белом списке у всех провайдеров
Transport (datachannel / vp8channel / seichannel / videochannel)
srv (сервер), работает на вашем VPS
│ (обычный TCP/DNS)
Интернет
```
Клиент (`cnc`) поднимает локальный SOCKS5. Любой браузер или приложение подключается к нему как к обычному прокси. Трафик мультиплексируется через smux, шифруется ChaCha20-Poly1305 и передаётся через выбранный транспорт поверх WebRTC SFU.
Сервер (`srv`) стоит на вашем VPS. Он подключается к той же комнате видеозвонка, получает зашифрованный поток и от своего имени делает TCP соединения к нужным адресам в интернете.
ТСПУ видит трафик к IP Яндекса/Сбера/WB с корректным TLS и SNI — ничем не отличается от обычного видеозвонка.
---
## 4. Архитектура
Проект разбит на чёткие слои. Каждый слой можно заменить независимо.
```
cmd/olcrtc/ CLI entrypoint, парсинг флагов
internal/app/session/ конфигурация, валидация, роутинг в server/client
│ │
internal/server/ internal/client/ бизнес-логика: SOCKS5, smux
internal/muxconn/ io.ReadWriteCloser поверх link.Link + AEAD
internal/link/direct/ pass-through, пробрасывает в transport
internal/transport/ интерфейс Transport + реестр
├── datachannel/ WebRTC DataChannel как byte stream
├── vp8channel/ VP8 видео + KCP поверх него
├── seichannel/ H264 SEI NAL-юниты
└── videochannel/ QR-коды / тайлы в VP8 видеофрейме через ffmpeg
internal/carrier/ интерфейс Carrier + реестр
├── builtin/ регистрация провайдеров
└── bytestream.go ByteStream, VideoTrack capability
internal/provider/ WebRTC реализации
├── jazz/ SaluteJazz (salutejazz.ru)
├── telemost/ Yandex Telemost (telemost.yandex.ru)
└── wbstream/ WB Stream (stream.wb.ru) через LiveKit SDK
internal/crypto/ ChaCha20-Poly1305 AEAD
internal/names/ генератор имён участников
internal/protect/ Android VPN protect() интеграция
internal/logger/ структурированное логирование
internal/link/ интерфейс Link + реестр
internal/e2e/ E2E тесты на реальных провайдерах
```
---
## 5. Структура репозитория
### Корень
| Файл/папка | Что это |
|---|---|
| `readme.md` | Краткое описание, команды сборки, ссылки |
| `about.md` | Этот документ |
| `SECURITY.md` | Политика безопасности |
| `magefile.go` | Система сборки на Mage (аналог Makefile для Go). Таргеты: `build`, `cross`, `mobile`, `docker`, `podman`, `lint`, `test`, `e2e` |
| `Dockerfile` | Многоэтапный образ: Alpine build → Alpine runtime с непривилегированным пользователем `olcrtc` |
| `docker-compose.server.yml` | Compose для серверного режима |
| `.gitmodules` | Субмодуль `internal/transport/videochannel/gr` — кастомные кодеки QR и tile |
| `.golangci.yml` | Конфиг линтера golangci-lint |
| `.github/workflows/ci.yml` | CI: тесты, покрытие, E2E, lint, сборка CLI для всех платформ, сборка Android AAR |
### `cmd/olcrtc/`
| Файл | Что делает |
|---|---|
| `main.go` | Точка входа. Парсит флаги (`flag.FlagSet`), настраивает логирование, подавляет шум LiveKit/pion в не-debug режиме, запускает `session.Run` или `session.Gen`. Graceful shutdown по SIGTERM/SIGINT с 5-секундным таймаутом |
| `main_test.go` | Юнит-тесты CLI: валидация флагов, режимы, edge cases |
### `internal/app/session/`
| Файл | Что делает |
|---|---|
| `session.go` | Главная точка конфигурации. `RegisterDefaults()` регистрирует все carriers, links, transports. `Validate()` проверяет все флаги. `Run()` роутит в `server.Run` или `client.Run`. `Gen()` генерирует Room ID для jazz/wbstream с ретраями. `buildRoomURL()` строит URL для каждого carrier |
| `session_test.go` | Тесты валидации конфига |
### `internal/server/`
| Файл | Что делает |
|---|---|
| `server.go` | Серверная сторона туннеля. Подключается к комнате как второй участник звонка. Создаёт `muxconn``smux.Session`. Для каждого входящего smux-стрима читает JSON `ConnectRequest` от клиента с адресом назначения, устанавливает TCP соединение и гоняет байты туда-обратно. Поддерживает SOCKS5 прокси для исходящего трафика. Умеет переподключаться при разрыве |
| `server_test.go` | Тесты серверной логики |
### `internal/client/`
| Файл | Что делает |
|---|---|
| `client.go` | Клиентская сторона. Поднимает SOCKS5-сервер. Для каждого входящего подключения: SOCKS5 handshake (поддержка RFC 1929 username/password auth), создаёт smux-стрим, шлёт JSON `ConnectRequest` с адресом, гоняет байты. Переподключается при разрыве WebRTC сессии |
| `client_test.go` | Тесты клиентской логики |
### `internal/muxconn/`
| Файл | Что делает |
|---|---|
| `conn.go` | Адаптер `link.Link``io.ReadWriteCloser`. Каждый `Write` шифрует блок ChaCha20-Poly1305 и отдаёт в link как одно сообщение. Входящие сообщения дешифруются и буферизуются; `Read` дренирует буфер в произвольных кусках (smux не знает о границах сообщений). Синхронизация через `sync.Cond` |
| `conn_test.go` | Тесты |
### `internal/link/`
| Файл | Что делает |
|---|---|
| `link.go` | Интерфейс `Link` (`Send`, `SetOnData`, `Connect`, `Close` и т.д.) + реестр |
| `link_test.go` | Тесты реестра |
| `direct/direct.go` | Единственная реализация Link. Pass-through: создаёт Transport и форвардит вызовы. Называется "direct" потому что нет промежуточного relay — данные идут прямо в transport |
| `direct/direct_test.go` | Тесты |
### `internal/transport/`
| Файл | Что делает |
|---|---|
| `transport.go` | Интерфейс `Transport` + реестр. `Features` описывает: надёжность, упорядоченность, message-oriented или stream, макс. размер payload |
| `transport_test.go` | Тесты реестра |
| `datachannel/transport.go` | Самый простой транспорт. Открывает ByteStream у carrier (DataChannel), просто форвардит байты. Лимит payload: 12KB |
| `vp8channel/transport.go` | Данные кодируются в VP8 видеофреймы. Поверх carrier строится KCP (надёжный UDP-подобный протокол) для реорганизации и ретрансмиссии. Данные батчатся по N фреймов за тик. Keepalive через keyframe |
| `vp8channel/kcp.go` | KCP сессия: conv ID = `0xC0FFEE01`, MTU 1400, окно 4096 сегментов. Length-prefix framing поверх KCP stream mode (workaround бага kcp-go с фрагментацией) |
| `vp8channel/kcpconn.go` | `io.ReadWriteCloser` адаптер для KCP |
| `seichannel/transport.go` | Данные передаются в SEI NAL-юнитах внутри H264 видеопотока. Собственный бинарный протокол с magic `OVC1`, версией, типами фреймов Data/Ack, CRC32, sequence numbers. ACK timeout, фрагментация, ретрансмиссия |
| `seichannel/h264.go` | Сборка H264 Access Unit с SEI payload. UUID для SEI: `5dc03ba8-450f-4b55-9a77-1f916c5b0739`. Статичные SPS/PPS/IDR как базовые заголовки |
| `videochannel/transport.go` | Данные визуально кодируются в кадры (QR-коды или тайлы), кадры транслируются через VP8 видеопоток. ffmpeg запускается как subprocess для кодирования/декодирования. ACK-based flow control с sequence numbers |
| `videochannel/visual.go` | Рендеринг кадров: QR-коды через `gr/qr`, тайлы через `gr/tile` с Reed-Solomon. Декодирование входящих кадров |
| `videochannel/ffmpeg.go` | ffmpeg encoder/decoder как subprocess с pipe. Поддержка VP8, H264. Hardware acceleration через NVENC. Таймаут на получение фрейма |
| `videochannel/frame.go` | Протокол фреймов videochannel |
### `internal/carrier/`
| Файл | Что делает |
|---|---|
| `carrier.go` | Интерфейс `Session` + реестр. `Capabilities` описывает что умеет carrier: ByteStream и/или VideoTrack |
| `bytestream.go` | `ByteStream` и `VideoTrack` интерфейсы |
| `carrier_test.go` | Тесты |
| `builtin/register.go` | Регистрирует jazz, telemost, wbstream в реестре carrier |
| `builtin/provider_adapter.go` | Адаптер `provider.Provider``carrier.Session` |
### `internal/provider/`
| Файл | Что делает |
|---|---|
| `provider.go` | Интерфейс `Provider`: Connect, Send, Close, SetReconnectCallback, WatchConnection, CanSend, GetSendQueue, AddVideoTrack и т.д. |
| `jazz/provider.go` | SaluteJazz провайдер. Обёртка над `Peer` |
| `jazz/peer.go` | WebRTC peer для jazz. Signaling через HTTP API SaluteJazz. Автопереподключение, очередь отправки, backpressure |
| `jazz/api.go` | HTTP клиент API SaluteJazz: создание комнаты, получение SDP |
| `jazz/datapacket.go` | Protobuf-style пакетное кодирование сообщений DataChannel jazz (специфика протокола jazz) |
| `telemost/provider.go` | Yandex Telemost провайдер |
| `telemost/peer.go` | WebRTC peer для Telemost. Signaling через WebSocket. Двухуровневый keepalive (WS ping + app ping). Автопереподключение |
| `telemost/api.go` | HTTP/WS клиент API Telemost |
| `wbstream/provider.go` | WB Stream провайдер через LiveKit SDK |
| `wbstream/peer.go` | WebRTC peer для wbstream. Самый стабильный провайдер — минимальная прослойка, почти прямой relay |
| `wbstream/api.go` | API клиент wbstream: создание стрима/комнаты |
### `internal/crypto/`
| Файл | Что делает |
|---|---|
| `chacha.go` | ChaCha20-Poly1305 AEAD. 32-байтовый ключ. Каждый Encrypt генерирует случайный nonce и prepend его к ciphertext. Decrypt проверяет AEAD тег |
| `chacha_test.go` | Тесты |
### `internal/names/`
| Файл | Что делает |
|---|---|
| `names.go` | Генератор случайных имён участников для WebRTC комнаты. Имена загружаются из `data/names` и `data/surnames` (встроены через `//go:embed`). Можно переопределить внешними файлами. `Generate()` возвращает "Имя Фамилия" с крипто-рандомом |
| `names_test.go` | Тесты |
### `internal/protect/`
| Файл | Что делает |
|---|---|
| `protect.go` | Android VPN protect() интеграция. `Protector func(fd int) bool` — если установлен, вызывается перед каждым connect чтобы сокет не роутился через VPN (нужно для корректной работы в связке с VPN-приложением на Android) |
| `protect_test.go` | Тесты |
### `internal/logger/`
| Файл | Что делает |
|---|---|
| `logger.go` | Структурированный логгер с уровнями Info/Warn/Error/Debug/Verbose. В не-debug режиме подавляет шум pion/LiveKit |
| `logger_test.go` | Тесты |
### `internal/e2e/`
| Файл | Что делает |
|---|---|
| `tunnel_test.go` | E2E тесты на реальных провайдерах. Матрица всех carrier × transport комбинаций. Запускается с флагом `-olcrtc.real-e2e`. В CI запускается на каждый push |
### `mobile/`
| Файл | Что делает |
|---|---|
| `mobile.go` | gomobile-совместимый API для Android/iOS. Синглтон: `Start()`, `Stop()`, `IsRunning()`. `SocketProtector` интерфейс для Android VPN bypass. `LogWriter` интерфейс для получения логов в Kotlin/Java. По умолчанию использует `vp8channel` транспорт |
| `mobile_test.go` | Тесты mobile API |
### `code/` — Python PoC скрипты
| Файл | Что делает |
|---|---|
| `telemost_poc_datachannel.py` | Базовый PoC: два гостя в одной Telemost комнате, обмен данными через DataChannel |
| `telemost_poc_videochannel.py` | Передача данных QR-кодами в видеопотоке Telemost |
| `telemost_info.py` | Сбор полной информации о Telemost конференции: участники, кодеки, ICE серверы, SDP |
| `jazz_poc_datachannel.py` | PoC DataChannel через SaluteJazz |
| `jazz_info.py` | Информация о Jazz конференции |
| `wbstream_poc_datachannel.py` | PoC DataChannel через WB Stream |
| `wbstream_poc_videochannel.py` | PoC видеоканала через WB Stream |
| `wbstream_info.py` | Информация о WB Stream комнате |
| `secretny_ddoos.py` | Утилита для стресс-тестирования (flood) |
| `init.sh` | Скрипт инициализации окружения |
| `requirements.txt` | Python зависимости: aiortc, opencv, pyzbar и др. |
### `script/`
| Файл | Что делает |
|---|---|
| `srv.sh` | Интерактивный скрипт запуска сервера через Podman. Задаёт вопросы про carrier/transport/room/key, собирает образ, запускает контейнер |
| `cnc.sh` | Интерактивный скрипт запуска клиента через Podman |
| `docker/olcrtc-entrypoint.sh` | Docker entrypoint: читает env переменные, формирует CLI флаги, запускает `olcrtc` |
| `docker/olcrtc-healthcheck.sh` | Docker healthcheck: проверяет что процесс запущен |
### `data/`
| Файл | Что делает |
|---|---|
| `names` | Список русских имён для генератора имён участников |
| `surnames` | Список русских фамилий |
### `docs/`
| Файл | Что делает |
|---|---|
| `fast.md` | Быстрый старт через скрипты (Podman) |
| `manual.md` | Мануальная сборка: Go, mage, кросс-компиляция, все шаги |
| `settings.md` | Матрица совместимости carrier×transport, все CLI флаги с описанием, готовые команды |
| `uri.md` | URI формат для клиентских приложений: `olcrtc://<Carrier>?<Transport>@<RoomID>#<Key>%<ClientID>$<MIMO>` |
| `sub.md` | Формат подписок: список серверов в одном файле с метаданными |
---
## 6. Carriers — провайдеры
Carrier — это WebRTC сервис видеозвонков, через который идёт туннель. Все три в белых списках у российских провайдеров.
### SaluteJazz (`jazz`)
- Сервис видеозвонков от Сбера: `salutejazz.ru`
- Не требует регистрации для участника (только организатор)
- DataChannel работает, но Jazz **банит IP** за паттерны трафика характерные для DataChannel туннеля
- VideoTrack работает стабильно
- Поддерживает автогенерацию Room ID (`-mode gen`)
- Инициализация звонка изнутри автоматически реализована
### Yandex Telemost (`telemost`)
- Сервис видеозвонков от Яндекса: `telemost.yandex.ru`
- **Удалил DataChannel** — его больше нет в Telemost
- VideoTrack работает
- Требует создания комнаты вручную через сайт (нет автогенерации)
- Двухуровневый keepalive: WebSocket ping + app-level ping
### WB Stream (`wbstream`)
- Сервис трансляций от Wildberries: `stream.wb.ru`
- **Рекомендуется** — самый стабильный
- Минимальная прослойка, почти прямой relay
- Работает со всеми транспортами: datachannel, vp8channel, seichannel, videochannel
- Поддерживает автогенерацию Room ID (`-mode gen`)
- Инициализация звонка автоматически
---
## 7. Transports — транспорты
Transport определяет как именно данные упаковываются в WebRTC поток.
### datachannel
Самый простой и быстрый. Данные идут напрямую через WebRTC DataChannel (SCTP over DTLS).
- Лимит payload: 12KB на сообщение (ограничение SFU)
- Надёжный, упорядоченный (SCTP гарантирует)
- Работает с jazz (нежелательно — банят) и wbstream
- **Лучшая комбинация: `wbstream + datachannel`**
### vp8channel
Данные упаковываются в VP8 видеофреймы. Поверх этого строится KCP — надёжный протокол с повторной передачей, работающий поверх ненадёжного канала.
- Работает везде где есть VideoTrack (jazz, telemost, wbstream)
- Большой пинг из-за батчинга фреймов
- KCP параметры: MTU 1400, окно 4096, conv ID `0xC0FFEE01`
- Рекомендуется: `-vp8-fps 60 -vp8-batch 64`
### seichannel
Данные передаются в SEI (Supplemental Enhancement Information) NAL-юнитах H264 видеопотока. SEI — стандартный механизм для метаданных в H264.
- Собственный бинарный протокол: magic `OVC1` (0x4f564331), версия, тип Data/Ack, CRC32, sequence numbers
- UUID для SEI payload: `5dc03ba8-450f-4b55-9a77-1f916c5b0739`
- ACK timeout (по умолчанию 3с), фрагментация, ретрансмиссия до 4 попыток
- Не работает с telemost
- Рекомендуется: `-fps 60 -batch 64 -frag 900 -ack-ms 2000`
### videochannel
Данные визуально кодируются в видеофреймы через ffmpeg. Два визуальных кодека:
**qrcode** — данные кодируются в QR-код, QR рендерится в VP8 кадр. На приёмнике VP8 декодируется и QR сканируется. Использует библиотеку `gr/qr` (субмодуль). Настройки: разрешение, ECC уровень (`low`/`medium`/`high`/`highest`), размер фрагмента.
**tile** — тайловый кодек, только 1080x1080. Пиксели кодируют биты напрямую. Reed-Solomon коррекция ошибок. Параметры: размер тайла в пикселях (1..270), процент избыточности (0..200). Быстрее QR но нестабильнее.
Общее: ffmpeg как subprocess, поддержка NVENC, VP8 видеопоток. Самый медленный транспорт, но работает везде.
---
## 8. Шифрование
Весь туннельный трафик шифруется **ChaCha20-Poly1305** (XChaCha20-Poly1305 через `golang.org/x/crypto`).
- Ключ: 32 байта, передаётся как hex строка (64 символа)
- Генерация: `openssl rand -hex 32`
- Каждое сообщение: случайный nonce (24 байта) prepend к ciphertext + AEAD тег
- Ключ должен совпадать на сервере и клиенте
- Шифрование происходит в `muxconn` — до передачи в transport/carrier
WebRTC сам по себе шифрует трафик через DTLS-SRTP, но olcRTC добавляет поверх свой слой — провайдер видит только зашифрованный blob.
---
## 9. Мультиплексирование
Через один WebRTC DataChannel / VideoTrack одновременно могут идти сотни TCP соединений браузера.
Реализация через **smux** (`github.com/xtaci/smux`) — библиотека мультиплексирования потоков, аналог HTTP/2 multiplexing.
До мая 2026 был самописный мультиплексор с sequence numbering и ручным out-of-order handling. Заменён на smux поверх KCP для vp8channel, и smux напрямую для datachannel.
`muxconn.Conn` адаптирует `link.Link` (message-oriented) в `io.ReadWriteCloser` (stream-oriented) который нужен smux. Каждый `Write` = одно зашифрованное сообщение в link.
---
## 10. SOCKS5 прокси
Клиент (`cnc`) поднимает локальный SOCKS5-сервер.
**Поддерживается:**
- SOCKS5 (RFC 1928) с командой CONNECT
- Аутентификация username/password (RFC 1929) через `-socks-user`/`-socks-pass`
- SOCKS5h (hostname resolution на стороне сервера) — DNS запросы идут через туннель
- Без аутентификации (по умолчанию)
**Адрес по умолчанию:** `127.0.0.1:8808`
**Использование:**
```sh
curl --socks5-hostname 127.0.0.1:8808 https://icanhazip.com
export all_proxy=socks5h://127.0.0.1:8808
export all_proxy=socks5h://user:pass@127.0.0.1:8808 # с авторизацией
```
**Сервер** (`srv`) может сам ходить через SOCKS5 прокси для исходящего трафика (`-socks-proxy`, `-socks-proxy-port`).
---
## 11. Mobile / Android
`mobile/mobile.go` — gomobile-совместимый API.
Собирается в `olcrtc.aar` через `mage mobile` (`gomobile bind`).
Community Android клиент: [alananisimov/olcbox](https://github.com/alananisimov/olcbox)
**API:**
- `Start(carrier, roomID, clientID, keyHex string)` — запустить туннель
- `Stop()` — остановить
- `IsRunning() bool`
- `SetProtector(p SocketProtector)` — Android VPN bypass (VpnService.protect)
- `SetLogWriter(w LogWriter)` — получать логи в Kotlin/Java
По умолчанию использует `vp8channel` транспорт (наиболее совместимый). Если carrier — wbstream или jazz и DataChannel доступен — переключается на `datachannel`.
`protect.go` — механизм Android VPN protect: перед каждым `connect()` вызывается Kotlin-коллбэк который вызывает `VpnService.protect(fd)`. Без этого трафик olcRTC может рекурсивно идти через тот же VPN.
---
## 12. Python PoC скрипты
Исторический слой — с этого всё начиналось. Используются для исследования API провайдеров и проверки гипотез.
**Telemost:**
- `telemost_poc_datachannel.py` — первый рабочий туннель, обнаружен лимит 8KB DataChannel (молча дропает больше)
- `telemost_poc_videochannel.py` — QR в видео, `vcsend.py` — передача файлов
- `telemost_info.py` — полный дамп SDP, ICE серверов, участников
**Jazz:**
- `jazz_poc_datachannel.py` — DataChannel через Jazz SFU
- `jazz_info.py` — информация о конференции
**WB Stream:**
- `wbstream_poc_datachannel.py` — DataChannel
- `wbstream_poc_videochannel.py` — видеоканал
- `wbstream_info.py` — информация
Для запуска: `pip install -r code/requirements.txt`
---
## 13. Сборка и деплой
### Зависимости
- Go 1.25+
- Mage (`go install github.com/magefile/mage@latest`)
- ffmpeg (для videochannel транспорта)
- git с `--recurse-submodules` (субмодуль `gr` для videochannel кодеков)
- gomobile (для Android сборки)
### Mage таргеты
```sh
mage build # текущая платформа
mage buildCLI # только CLI
mage buildCLIB # CLI + b-codec (клонирует внешний репо, собирает libb.so)
mage cross # все платформы: linux/amd64, linux/arm64, windows/amd64,
# darwin/amd64, darwin/arm64, freebsd/amd64, freebsd/arm64,
# openbsd/amd64, openbsd/arm64
mage mobile # Android AAR через gomobile
mage podman # Docker образ через podman
mage docker # Docker образ через docker
mage lint # golangci-lint
mage test # go test -race ./...
mage e2e # E2E тесты (нужны реальные провайдеры)
mage clean # удалить build/
```
### Быстрый старт через скрипты (Podman)
```sh
git clone https://github.com/openlibrecommunity/olcrtc --recurse-submodules
cd olcrtc
# на сервере (VPS):
./script/srv.sh
# на клиенте:
./script/cnc.sh
```
### Мануальный запуск
```sh
# генерация ключа
openssl rand -hex 32
# генерация room ID (для jazz/wbstream)
./olcrtc -mode gen -carrier wbstream -dns 1.1.1.1:53 -amount 1 -data data
# сервер
./olcrtc -mode srv -carrier wbstream -transport datachannel \
-id ROOM_ID -client-id default -key HEX_KEY \
-link direct -dns 1.1.1.1:53 -data data
# клиент
./olcrtc -mode cnc -carrier wbstream -transport datachannel \
-id ROOM_ID -client-id default -key HEX_KEY \
-link direct -dns 1.1.1.1:53 -data data \
-socks-host 127.0.0.1 -socks-port 8808
```
### Docker
```sh
docker run -e OLCRTC_CARRIER=wbstream \
-e OLCRTC_ROOM_ID=... \
-e OLCRTC_KEY=... \
olcrtc/server:local
```
---
## 14. CLI — все флаги
### Обязательные (для всех режимов)
| Флаг | Описание |
|---|---|
| `-mode` | `srv` — сервер, `cnc` — клиент, `gen` — генерация Room ID |
| `-carrier` | `telemost`, `jazz`, `wbstream` |
| `-transport` | `datachannel`, `vp8channel`, `seichannel`, `videochannel` |
| `-id` | Room ID |
| `-client-id` | Идентификатор клиента, должен совпадать на srv и cnc |
| `-key` | Ключ шифрования hex 64 символа |
| `-link` | Всегда `direct` |
| `-data` | Всегда `data` |
| `-dns` | DNS сервер, например `1.1.1.1:53` |
### Необязательные
| Флаг | Описание |
|---|---|
| `-debug` | Verbose логи |
### Только для клиента (`-mode cnc`)
| Флаг | По умолчанию | Описание |
|---|---|---|
| `-socks-host` | `127.0.0.1` | Адрес SOCKS5 |
| `-socks-port` | `1080` | Порт SOCKS5 |
| `-socks-user` | — | Логин (опционально) |
| `-socks-pass` | — | Пароль (опционально) |
### Только для сервера (`-mode srv`)
| Флаг | Описание |
|---|---|
| `-socks-proxy` | Адрес SOCKS5 прокси для исходящего трафика |
| `-socks-proxy-port` | Порт этого прокси |
### Режим генерации (`-mode gen`)
| Флаг | Описание |
|---|---|
| `-amount` | Количество комнат для генерации |
### vp8channel
| Флаг | Default | Описание |
|---|---|---|
| `-vp8-fps` | 25 | FPS VP8 потока |
| `-vp8-batch` | 1 | Кадров за тик |
### seichannel
| Флаг | Default | Описание |
|---|---|---|
| `-fps` | 20 | FPS H264 потока |
| `-batch` | 1 | Кадров за тик |
| `-frag` | 900 | Размер фрагмента в байтах |
| `-ack-ms` | 2000 | ACK timeout в мс |
### videochannel
| Флаг | Default | Описание |
|---|---|---|
| `-video-codec` | `qrcode` | `qrcode` или `tile` |
| `-video-w` | 1920 | Ширина |
| `-video-h` | 1080 | Высота |
| `-video-fps` | 30 | FPS |
| `-video-bitrate` | `2M` | Битрейт |
| `-video-hw` | `none` | `none` или `nvenc` |
| `-video-qr-recovery` | `low` | ECC: `low`/`medium`/`high`/`highest` |
| `-video-qr-size` | 0 (авто) | Размер фрагмента QR в байтах |
| `-video-tile-module` | 4 | Размер тайла в пикселях 1..270 |
| `-video-tile-rs` | 20 | Reed-Solomon паритет % 0..200 |
---
## 15. URI-формат и подписки
### URI формат
Соглашение для клиентских приложений. Сам `olcrtc` не парсит — используется в сторонних клиентах.
```
olcrtc://<Carrier>?<Transport><payload>@<RoomID>#<Key>%<ClientID>$<MIMO>
```
Где `<payload>` — опциональный блок `<key=value&...>` с параметрами транспорта.
**Примеры:**
```
olcrtc://wbstream?datachannel@room-01#d823fa...%android-01$RU / olc free sub
olcrtc://wbstream?vp8channel<vp8-fps=60&vp8-batch=64>@room-01#d823fa...%android-01$RU
olcrtc://telemost?seichannel<fps=60&batch=64&frag=900&ack-ms=2000>@room-01#d823fa...%client$RU
```
### Формат подписки (sub.md)
Текстовый файл со списком серверов. Хостится на сервере как plain text.
```text
#name: Zarazaex Free RU
#update: 1778011200
#refresh: 10m
#icon: 🇷🇺
olcrtc://wbstream?datachannel@room-01#key%client-id$RU / free
##name: RU-1
##ip: 1.2.3.4
##comment: basic free node
```
Клиентские приложения читают этот файл и предлагают список серверов пользователю (аналог подписок в v2ray/sing-box).
---
## 16. Матрица совместимости
| Transport | telemost | jazz | wbstream |
|---|:---:|:---:|:---:|
| datachannel | — | `*` | `+` |
| vp8channel | `+` | `+` | `+` |
| seichannel | — | `+` | `+` |
| videochannel | `+` | `+` | `+` |
- `+` работает
- `—` не поддерживается
- `*` работает, но jazz банит IP за паттерны datachannel трафика
**Рекомендуется:** `wbstream + datachannel` — максимальная скорость, минимальный пинг, без бана.
**Скорость по убыванию:** `datachannel` > `vp8channel` > `seichannel` > `videochannel`
---
## 17. CI/CD
`.github/workflows/ci.yml` — GitHub Actions, запускается на каждый push/PR в master.
| Job | Что делает |
|---|---|
| `test` | `go test -count=1 ./...` |
| `coverage` | `go test --cover ./...` |
| `real-e2e` | E2E матрица всех carrier×transport на реальных провайдерах (25 мин таймаут) |
| `lint` | golangci-lint |
| `build-cli` | `mage cross` — кросс-компиляция для 9 платформ, артефакты в Actions |
| `build-android` | `mage mobile` — Android AAR, артефакт в Actions |
Go версия в CI: 1.25.x
---
## 18. Что планируется сделать — Issues
### Открытые
**Issue #22 — реализовать поддержку stream.wb.ru** `enhancement`
WB Stream — текущий приоритет. Основа уже реализована, остаётся:
- [ ] Симуляция XHR телеметрии (маскировка под легитимный клиент)
- [ ] Симуляция задержек и обрезание до размера реальных сообщений
- [ ] Система завершения звонка
- [ ] Авто перезапуск звонка если идёт слишком долго
- [ ] Юзать TLS стек Chrome как naiveproxy
**Issue #2 — реализовать поддержку telemost.yandex.ru** `enhancement`
- [ ] Симуляция XHR телеметрии
- [ ] Симуляция задержек
- [ ] Инициализация звонка изнутри автоматически
- [ ] Система завершения звонка
- [ ] Авто перезапуск звонка
- [ ] TLS стек Chrome
**Issue #1 — реализовать поддержку salutejazz.ru** `enhancement`
- [ ] Симуляция XHR телеметрии
- [ ] Симуляция задержек
- [ ] Система завершения звонка
- [ ] Авто перезапуск звонка
- [ ] TLS стек Chrome
### Закрытые (уже сделано)
| Issue | Что было |
|---|---|
| #44 | Very high ping — исправлен throughput bug vp8channel |
| #40 | Подключение нескольких устройств — реализовано через client-id |
| #39 | Oracle VPS поддержка |
| #38 | Стандартный URI формат — реализован |
| #37 | Jitsi Meet — не планируется |
| #33 | iOS клиент — в планах |
| #27 | Инструкция — написана |
| #26 | SIP003 transport — не планируется |
| #25 | TLS/DTLS фингерпринтинг |
| #9 | Нормальный мультиплексор — реализован (smux) |
| #3 | macOS/Linux/Android/Windows поддержка — реализована |
---
## 19. Контрибуторы
| Контрибутор | Коммиты | Вклад |
|---|---|---|
| **zarazaex69** (zarazaex@tuta.io) | 417 | Автор проекта. Вся архитектура, все транспорты, carriers, crypto, mobile API, CI, документация |
| **zowue** (heminpo49@gmail.com) | 24 | Соавтор. Упомянут в оригинальной статье на Хабре |
| **TheDevisi** (devisinov@gmail.com) | 20 | UI, SOCKS5 улучшения, Windows поддержка, фиксы |
| **Qtozdec** | 10 | Фиксы, URI добавление |
| **Alexander Anisimov** / alananisimov | 6 | Android клиент [olcbox](https://github.com/alananisimov/olcbox), mobile.go фиксы, mobile provider config |
| **s0me0ne-25** | 3 | Расширение датасета имён и фамилий |
| **Kot-nikot** | 3 | Фиксы |
| **HLNikNiky** / Sesdear | 2 | URI добавление, фиксы |
| **Denis Suchok** / DeNcHiK3713 | 1 | Windows Podman скрипты |
| **0xcodepunk** | 1 | SaluteJazz PoC DataChannel (issue #10) |
| **scalebb2** | 1 | — |
---
## 20. Частые ошибки
### `Connection refused` на порту SOCKS5 + `i/o timeout` при резолве
**Симптомы:**
```
curl: (7) Failed to connect to 127.0.0.1 port 8808 after 0 ms: Connection refused
```
Клиент сообщает `[+] Client started successfully!`, но SOCKS5 порт не слушает.
В логах контейнера:
```
client: failed to connect link: transport connect: stream connect: connect:
get room token: register guest: do request: Post "https://stream.wb.ru/...":
dial tcp: lookup stream.wb.ru: i/o timeout
```
**Причина:** клиент не смог зарезолвить `stream.wb.ru` через указанный DNS сервер. Соединение не установилось, SOCKS5 не поднялся.
**Решение:** указать другой DNS сервер в скрипте. Вместо дефолтного `1.1.1.1` попробовать `8.8.8.8` или `77.88.8.8`:
```sh
# при запуске cnc.sh — в поле DNS ввести:
8.8.8.8:53
# или
77.88.8.8:53
```
При ручном запуске:
```sh
./olcrtc -mode cnc ... -dns 8.8.8.8:53
```
После смены DNS в логах должна появиться строка:
```
SOCKS5 server listening on 0.0.0.0:8808
```
---
## Контакты
- Telegram канал: [@openlibrecommunity](https://t.me/openlibrecommunity) — бесплатный прокси в закрепе, обновления, анонсы
- Telegram автора: [@zarazaexe](https://t.me/zarazaexe)
- Email: [zarazaex@tuta.io](mailto:zarazaex@tuta.io)
- GitHub: [openlibrecommunity](https://github.com/openlibrecommunity)
- Android клиент: [alananisimov/olcbox](https://github.com/alananisimov/olcbox)
- Белые списки (еженедельное обновление): [openlibrecommunity/twl](https://github.com/openlibrecommunity/twl)