Вибір між SOCKS5, IKEv2 і VLESS+Reality — це не питання «що модніше». Це питання на якому шарі мережевого стеку працює твій проксі і який застосунок має через нього ходити. Під TikTok Ads з iPhone відповідь майже ніколи не «SOCKS5». Розберімо, чому і коли застосовувати кожен із трьох варіантів.
IKEv2 і VLESS конфіги на одному мобільному IP
Обидва транспорти поверх одного реального IP оператора. Перемикання за 5 секунд. Ротація за URL за секунди.
Рівень застосунку vs рівень ОС — коротка різниця
SOCKS5 — це проксі рівня застосунку. Програма на пристрої має сама знати про проксі і явно через нього відправляти трафік. На iPhone це означає: або застосунок уміє працювати із системним проксі-налаштуванням Wi-Fi (Safari вміє, TikTok — ні), або ти під'єднуєш проксі всередині застосунку вручну (у TikTok такої опції немає).
IKEv2 і VLESS+Reality — це тунелі рівня операційної системи. Після активації вони стають віртуальним мережевим інтерфейсом, через який iOS маршрутизує весь трафік пристрою. Застосунок не знає і не повинен знати про тунель — він просто відправляє пакети у мережу, а ядро ОС загортає їх у тунель прозоро.
Для TikTok ця різниця критична: TikTok іде через власний мережевий стек і ігнорує налаштування проксі Wi-Fi. Отже, єдиний спосіб загнати його трафік через потрібний IP — тунель рівня ОС.
Порівняльна таблиця
| Параметр | SOCKS5 | IKEv2 | VLESS + Reality |
|---|---|---|---|
| Рівень роботи | Застосунок | ОС / Kernel | ОС (через Shadowrocket) |
| Сумісність з TikTok app | ❌ Не працює | ✅ Повна | ✅ Повна |
| Сумісність з TikTok Studio | ❌ Не працює | ✅ Повна | ✅ Повна |
| Нативна підтримка iOS | Частково (лише браузери) | ✅ Вбудовано в Налаштування | ❌ Потрібен сторонній застосунок |
| Встановлення | Поля в Wi-Fi → HTTP-проксі | .mobileconfig через Safari/AirDrop | Імпорт vless:// посилання в Shadowrocket |
| Маршрутизація IPv6 | Не маршрутизує (витік за замовчуванням) | Маршрутизує при правильному конфізі | Маршрутизує, потрібна нода з IPv6 |
| Кастомний DNS | Не задає | Задається в .mobileconfig | Задається в Shadowrocket |
| Швидкість (latency) | Низька, прямий конект | Низька, без обгортки | Середня, +TLS handshake |
| Швидкість (throughput) | Висока | Висока | Висока (Reality майже без overhead) |
| Стійкість до DPI | Низька (часто блокується на корпоративних і операторських мережах) | Середня (UDP 500/4500 ріжеться операторами і фільтрами) | Висока (маскується під HTTPS до чужого домену) |
| Відбиток пристрою | Мінімальний, але марний | Мінімальний (немає сторонніх застосунків) | +1 застосунок у системі (Shadowrocket) |
| Авторестарт після зміни мережі | Ні | Так (через OnDemand у профілі) | Залежить від налаштувань Shadowrocket |
| Вартість підтримки на пристрої | Низька | Низька | Середня (застосунок треба налаштовувати) |
Висновок із таблиці очевидний: для TikTok-сценарію SOCKS5 у принципі не годиться. Реальний вибір — IKEv2 або VLESS, і він залежить від умов конкретної мережі.
Коли брати IKEv2
Базовий робочий варіант для більшості сетапів. Бери IKEv2, якщо:
- Ллєш із домашнього/офісного Wi-Fi або зі звичайних мобільних операторів без агресивного DPI. UDP 500/4500 у більшості мереж проходить вільно.
- Хочеш мінімальний відбиток пристрою. Жодних сторонніх застосунків у системі — TikTok збирає список встановлених застосунків через API і бачить лише дефолтний набір iOS.
- Потрібен OnDemand — автоматичне під'єднання тунелю при появі мережі. iPhone сам підніме VPN при розблокуванні або при під'єднанні до Wi-Fi, акаунт ніколи не зможе «випадково ходити» без тунелю.
- Менше точок відмови. Немає застосунку, який може крашнутися, оновитися кривим апдейтом або втратити конфіг. Профіль
.mobileconfigживе в системних налаштуваннях.
Встановлення займає 30 секунд: відкрити профіль у Safari (або передати через AirDrop) → підтвердити встановлення → ввести пароль пристрою → готово, перемикач VPN у Налаштування → VPN.
Коли брати VLESS + Reality
Запасний/основний варіант при роботі через ворожі мережі. Бери VLESS, якщо:
- IKEv2 ріжеться — провайдер блокує UDP 500/4500, або ставить throttling, або взагалі не пропускає IKE-handshake. Це часто буває у громадських Wi-Fi, готелях, корпоративних мережах, у деяких стільникових операторів в Азії та на Близькому Сході.
- Потрібна маскування трафіку. Reality у VLESS робить TLS-handshake до реального стороннього домену (наприклад,
microsoft.com), і весь твій трафік з погляду спостерігача виглядає як звичайне HTTPS-з'єднання до Microsoft. DPI не відрізняє. - Потрібно, щоб нода жила довше. IKEv2-ендпоінт на конкретному IP можна вирахувати за характерними патернами IKE-handshake. Reality таких патернів не лишає — IP-нода може крутитися місяцями, не потрапляючи в чорні списки.
- Гнучкість за транспортом. VLESS підтримує WebSocket, gRPC, TCP, kcp — можна підібрати транспорт під конкретні обмеження мережі.
Мінус — зайвий застосунок у системі та трохи більше роботи з боку користувача при першому запуску.
Що під капотом: чим IKEv2 відрізняється від VLESS технічно
Знання внутрішньої механіки допомагає зрозуміти, коли застосовувати кожен. Коротко:
IKEv2 — це IPsec-тунель, піднятий за протоколом обміну ключами IKE (RFC 7296). Транспорт — UDP, порти 500 (IKE) і 4500 (NAT-T). Усередині — ESP (Encapsulating Security Payload), який шифрує та автентифікує пакети. З коробки в iOS реалізований через NEPacketTunnelProvider у ядрі, тому накладні витрати мінімальні.
Плюс цього підходу — продуктивність. Мінус — характерний мережевий профіль: будь-який DPI, навчений розпізнавати IKE-handshake (а це перший пакет, його легко класифікувати за сигнатурою), побачить тунель і зможе його скинути або сповільнити.
VLESS+Reality — це транспорт від проєкту Xray (форк V2Ray). VLESS сам по собі — легкий протокол поверх TCP, без шифрування (шифрування робить транспортний шар). Reality — це новий спосіб маскування TLS-handshake: замість звичайного ClientHello, який видно як «під'єднання до мого VPN-сервера», Reality робить ClientHello до публічного легітимного сайту (наприклад, www.microsoft.com). DPI бачить звичайний HTTPS-handshake → пропускає. Усередині тунелю вже іде VLESS-трафік до справжньої адреси.
Reality особливо сильний тим, що не використовує self-signed сертифікати і не має характерних артефактів V2Ray/Xray (як було в старіших обмазках типу Trojan або VMess+WS+TLS). Активні проби DPI на твою ноду повертають відповідь, невідрізнювану від відповіді реального сайту.
Практичний висновок: IKEv2 швидший у простих мережах, VLESS+Reality надійніший у мережах з DPI. На пристрої обидва важать мінімально, тому тримати їх разом — норма.
Кейс із практики: один і той самий IP, два різні результати
Реальний сценарій, який у кожного другого клієнта трапляється хоча б раз. Команда працює з Бухареста, ллє на німецьке гео. Сетап:
- IKEv2-конфіг на iPhone, DNS Cloudflare прописаний явно.
- Wi-Fi домашній, румунський провайдер RCS&RDS.
- IP — мобільний, німецький, ASN Vodafone DE.
Акаунти живуть стабільно, заливають по 2–3 тижні до природної смерті креативу. Далі команда вирішує поїхати у коворкінг → під'єднується до Wi-Fi коворкінгу → IKEv2 не піднімається (UDP 500 заблокований), тунелю немає, iPhone іде у відкриту мережу. Один акаунт згоряє за 4 години — пов'язали реальний IP з історією рекламного кабінету.
Якби в Shadowrocket була заздалегідь встановлена резервна VLESS-нода на той самий мобільний IP, перемикання зайняло б 5 секунд. Втрата акаунта обійшлася дорожче, ніж річна підписка на VLESS-формат.
Реальний сценарій: обидва формати на одному пристрої
Серйозні команди не вибирають «або-або». На кожному iPhone стоять обидва конфіги:
- IKEv2 як основний тунель через
.mobileconfig. Вмикається через системний перемикач, працює в режимі OnDemand. - VLESS-посилання як резерв у Shadowrocket, на ту ж ноду чи на паралельну. Вмикається вручну, якщо IKEv2 у даній мережі не працює.
Це дає дві важливі властивості. Перше — відмовостійкість: перехід із дому в кафе з фільтрувальним Wi-Fi не вбиває акаунт. Друге — гнучкість при роботі з подорожей або при заливі з країн з агресивним DPI: завжди є план Б, не треба переналаштовувати з нуля.
Як ProxyGrow віддає обидва формати на одному мобільному IP
Принциповий момент, який часто упускають при порівнянні: і IKEv2-конфіг, і VLESS-посилання від ProxyGrow працюють поверх одного і того ж мобільного IP. Це не «два різних тарифи» і не «дві різні ноди» — це один реальний модемний канал з двома різними способами під'єднання до нього. Береш IKEv2 для нативного сетапа, додаєш VLESS на той же IP для підстраховки від DPI — обидві сесії віддаватимуть одну адресу оператора.
Під кожен куплений IP клієнт отримує два файли однією кнопкою:
.mobileconfigдля нативного IKEv2 — відкрити в Safari, встановити, готово.vless://посилання — скопіювати, імпортувати в Shadowrocket або v2box.
Обидва ведуть на один і той самий мобільний IP, прив'язаний до конкретного модема Quectel / Sierra / Fibocom. ASN операторські (Vodafone, Orange, Digi тощо залежно від регіону), не датацентрові.
Ротація IP — за посиланням, у будь-який момент. В особистому кабінеті видається окремий reset URL: відкрив у браузері → модем перемикає сесію → оператор видає новий IP зі свого пулу. Не потрібно перезаписувати конфіги, не потрібно чекати «відлежки» — ті самі .mobileconfig і vless:// вже вказують на нову сесію. На практиці це означає: один і той самий конфіг на пристрої, під кожен новий акаунт — один клік по посиланню, новий IP. Швидкість операції — секунди.
Більшість клієнтів беруть пачку з 5–20 конфігів і тримають їх під окремі акаунти чи їхні групи. Це покриває обидва сценарії: основний IKEv2 на кожному пристрої + VLESS-резерв на випадок DPI, плюс ресет за посиланням під кожен новий профіль.
Отримай IKEv2 + VLESS на одному реальному мобільному IP
Від $7 за 3 дні. Операторські ASN з України, Румунії, Латвії. Оплата USDT.
Підсумок з вибору
- SOCKS5 — не підходить під TikTok на iPhone. Ніколи. Це не «менш зручний варіант» — це технічно непрацюючий варіант. Будь-хто, хто продає «SOCKS5-проксі для TikTok» під iOS, або не розуміє, що продає, або розраховує на тих, хто не розуміє, що купує.
- IKEv2 — стандартний робочий варіант. Бери, якщо немає конкретних причин проти.
- VLESS+Reality — основний варіант при DPI, резервний у всіх інших випадках.
→ Сайт: proxygrow.com → Telegram: t.me/ProxyGrow