Знайома картина
Купив мобільний проксі під пачку акаунтів, прописав SOCKS5 у Налаштування → Wi-Fi → HTTP-проксі, відкрив Safari — IP змінився, все ок. Заходиш у TikTok або TikTok Studio — «Немає з'єднання з інтернетом». Перезавантаження не допомагає. Скидання кешу застосунку — теж. Ідеш назад у браузер, перевіряєш IP — мобільний, потрібне гео, витоків немає. Що не так?
Нічого не зламано. Так задумано на рівні iOS. І це перша причина, чому вся конструкція «мобільний проксі + iPhone + TikTok» у більшості не злітає.
Мобільні проксі, які працюють з TikTok на iPhone
IKEv2 + VLESS конфіги на одному реальному IP оператора. Україна · Румунія · Латвія. Ротація за URL, без cooldown.
Чому SOCKS5 у налаштуваннях Wi-Fi ігнорується TikTok
iOS — це не Windows і не Android. Параметри HTTP/HTTPS/SOCKS-проксі в налаштуваннях мережі застосовуються лише до трафіку, який іде через системний API CFNetwork / URLSession — і лише якщо застосунок це явно підтримує. Safari підтримує. WebKit-обгортки підтримують. Більшість нативних застосунків — ні.
TikTok і TikTok Studio працюють через власний мережевий стек поверх низькорівневих сокетів (BSD sockets, gRPC, QUIC). Ці з'єднання йдуть напряму через інтерфейс Wi-Fi, в обхід проксі, прописаного в налаштуваннях мережі. З погляду системи — застосунок сам вирішує, через що ходити. І TikTok вирішує йти повз.
У підсумку отримуєш два розбіжні потоки на одному пристрої:
- Safari, App Store, системні оновлення — через проксі, потрібне гео.
- TikTok, TikTok Studio, Instagram, нативні SDK реклами — напряму через реальний IP оператора або Wi-Fi точки.
З таким розрізом будь-який антифрод побачить конфлікт швидше, ніж ти встигнеш залити перший креатив.
Що реально працює: тунель рівня операційної системи
Рішення — підняти не проксі, а VPN-тунель, який перехоплює весь трафік пристрою до того, як до нього дотягнеться будь-який застосунок. На iPhone це або нативний IKEv2 через .mobileconfig-профіль, або VLESS/Reality через Shadowrocket чи v2box.
IKEv2 через .mobileconfig
Apple вбудувала IKEv2 прямо в систему. Профіль ставиться через Safari або AirDrop, у Налаштування → Основні → VPN і керування пристроєм з'являється конфігурація. Вмикаєш — і весь TCP/UDP-трафік iPhone іде в тунель. TikTok Studio, App Store, push-сповіщення, телеметрія Apple — все через один IP.
Плюси:
- Жодних сторонніх застосунків у системі → менше слідів для фінгерпринтингу.
- Підтримка з коробки, працює на будь-якій версії iOS від 9 і вище.
- Менший відбиток пристрою, ніж у setup з Shadowrocket.
Мінуси:
- IKEv2 ходить по UDP 500/4500, і в деяких мережах (готельний Wi-Fi, мобільний оператор з DPI) цей трафік ріжеться або сповільнюється.
- Менше гнучкості за транспортом, ніж у VLESS.
VLESS+Reality через Shadowrocket / v2box
Коли IKEv2 не проходить — потрібен VLESS. Транспорт маскується під звичайний HTTPS-handshake до легітимного сайту, DPI відрізнити майже не може. Конфіг подається як vless:// посилання, імпортується в Shadowrocket одним натисканням. Режим Global вмикає тунелювання всього трафіку, включно з TikTok.
Плюси:
- Проходить майже будь-які DPI і Wi-Fi-фільтри.
- Reality-handshake мімікрує під чужий домен — IP-ноди живуть довше, ніж у класичного VMess/WS.
- Можна ротувати ноди на льоту без перевстановлення профілю.
Мінуси:
- Shadowrocket — окремий платний застосунок, підвищує шум фінгерпринта.
- Конфігурація трохи складніша на старті.
На практиці серйозні команди тримають обидва формати конфігів на кожному пристрої: основний — IKEv2 (чистіше), резерв — VLESS на випадок блокування в конкретній мережі.
Що обов'язково перевірити — незалежно від формату
Просто підняти тунель — половина справи. Якщо конфіг кривий, отримаєш рівно той самий витік, що і через SOCKS5, тільки не помітиш його одразу.
IPv6-витік
Якщо оператор мережі видає IPv6, а тунель побудований лише для IPv4 — TikTok побачить твій реальний IPv6 і прив'яже акаунт до нього. Найтихіше і найпоширеніше джерело банів. Перевірка — ipv6-test.com або ipleak.net після увімкнення VPN. Якщо IPv6 показує не той, що в тунелі (або взагалі показує щось відмінне від IPv4-гео), — потрібно або ввімкнути IPv6 у самому тунелі, або примусово вимкнути IPv6 на інтерфейсі.
DNS-витік
Навіть за робочого тунелю iOS може розрізняти DNS-запити через DHCP-DNS Wi-Fi точки (особливо якщо профіль IKEv2 не задає власний DNS). Запит на analytics.tiktok.com іде на DNS провайдера → провайдер бачить твою активність, а сторонні антифрод-движки отримують сигнал «гео DNS-резолвера ≠ гео IP». Перевірка — dnsleaktest.com. У IKEv2-конфізі потрібно явно прописати DNS = 1.1.1.1 (або DNS-провайдера тунелю), у Shadowrocket — увімкнути Remote DNS і виставити 1.1.1.1 чи 8.8.8.8.
Розсинхрон гео SIM і IP
Якщо в iPhone стоїть румунська SIM-карта, а тунель віддає IP США — TikTok через CarrierBundle API бачить MCC/MNC оператора (226 для Румунії) і порівнює з гео IP. Конфлікт = червоний прапор. Рішення: або фізично витягнути SIM і працювати лише через Wi-Fi + тунель, або використовувати SIM цільового гео. Напівзаходів не буває: eSIM з вимкненою передачею даних не допомагає — CarrierBundle все одно віддає оператора.
Що в підсумку
SOCKS5 у налаштуваннях Wi-Fi на iPhone — не «поганий інструмент», це незастосовний інструмент для нативних застосунків, і TikTok тут не виняток. Будь-яка спроба побудувати зв'язку через SOCKS5 закінчується однією з трьох картин: «немає з'єднання», витік реального IP, або конфлікт між браузерним та застосунковим трафіком.
Робоча конфігурація на iPhone виглядає так:
- Системний VPN-тунель рівня ОС (IKEv2 як основний, VLESS як резерв).
- Закриті витоки IPv6 і DNS.
- Гео SIM = гео IP (або взагалі без SIM).
- Один IP = один пул акаунтів, без перевикористання.
Повний покроковий чеклист з підготовки пристрою — в окремому матеріалі: Як підготувати iPhone до роботи з TikTok Ads: чеклист із 10 кроків.
Чому саме мобільний IP, а не «резидентний» чи серверний
Коли фільтруєш пропозиції на ринку, спливають три типи адрес: датацентрові (DC), residential (домашні) і mobile (LTE/5G через модем оператора). Під TikTok годиться лише третій.
Датацентрові IP відсіюються одразу: ASN типу AS16509 Amazon чи AS14061 DigitalOcean для TikTok — стоп-сигнал. Антифрод бачить, що «звичайний користувач» сидить зі стійки в датацентрі, і знижує довіру до сесії ще до першого кліку.
Residential — краще, але в них своя проблема: найчастіше це або зламані SOCKS-проксі на роутерах, або «партнерські» SDK всередині безкоштовних застосунків, через які сторонні користувачі проксують свій трафік. Якість непередбачувана, швидкості плавають, і сам тип використання юридично сірий.
Mobile-IP — це адреса, яку оператор видав реальній SIM-карті у реальному модемі. ASN — операторський (Vodafone, Orange, Digi, T-Mobile, etc.), CGNAT додає природну «масовість» (через один IP оператора одночасно ходять сотні абонентів — це норма для мобільних мереж), і сам по собі такий IP не викликає у TikTok запитань: антифрод знає, що мобільні користувачі — це норма.
Додаткова властивість, яка важлива для TikTok-сценарію: мобільний IP змінюється на запит. Смикнув ресет-посилання → модем скидає сесію → оператор видає нову адресу зі свого пулу. Це ідеальна архітектура для арбітражу: один і той самий конфіг на пристрої, під кожен новий акаунт — клік по посиланню, новий IP. Не треба купувати нові проксі, не треба переналаштовувати тунель.
Отримай мобільні проксі з IKEv2 + VLESS конфігами
Реальні LTE/5G IP операторів. Два формати конфігів на один IP. Ротація за URL за секунди. Від $7 за 3 дні.
Де брати конфіги
ProxyGrow видає мобільні IP одразу у двох форматах: готовий .mobileconfig для нативного IKEv2 і vless:// посилання для Shadowrocket / v2box. Обидва транспорти працюють поверх одного і того ж мобільного IP — це один реальний модемний канал, до якого можна під'єднатися двома способами. Ноди — реальні LTE/5G IP операторів, не датацентрові. Ротація — за посиланням: відкрив у браузері, отримав новий IP, продовжуєш з тим самим конфігом. Жодних «відлежок» і таймерів — натиснув ресет, поїхав.
→ Сайт: proxygrow.com → Telegram: t.me/ProxyGrow