# @misha-tgshv, built on Fri Apr 17 01:20:19  2026
[General]

# Быстрая настройка Shadowrocket:
# Включите английский язык Настройки → Language → English
# Идем в Home и нажимаем «+» или Add Server
# Добавьте любой подходящий конфиг: Config → «+» или Download from URL
# В настройках выберите способ проверки Settings → Advanced → Connect
# Нажмите Connectivity Test и если сервер доступен, то нажмите на ползунок
# При первом запуске появится запрос на установку VPN-конфигурации — нажмите «OK» и «Разрешить».

# Включение HTTPS-декрипции:
# В Config → ⓘ, → HTTPS Decryption → Certificate → Generate A New CA Certificate → Install CA Certificate to System
# В настройках системы — скачанные профили — «Установить».
# В настройках системы — «Основные» — «О устройстве» — «Настройки доверия сертификатов» — включить сертификат Shadowrocket.
# Для синхронизации между устройствами, если конфиг содержит ключ, рекомендуется сразу установить сертификат, а не генерировать новый.

# Системные сетевые вызовы (например, push-уведомления, iOS системные сервисы) будут обходить прокси.
# Если выставить false, легитимный системный трафик может пойти через прокси, 
# что приведёт к задержкам или некорректной работе системных функций.
bypass-system = true

# Отключение поддержки IPv6. В системах и сетях, где IPv6 стабильный и 
# поддерживается, можно включить (true), иначе IPv4 останется основным
ipv6 = false

# Отдавать приоритет разрешению DNS-записей AAAA (IPv6) над A (IPv4). 
# Важно только если ipv6 включён. Полезно на сетях с сильной поддержкой IPv6, иначе оставлять false.
prefer-ipv6 = false

# Если true, при DNS-запросах возвращаются приватные IP адреса (например, из диапазона 192.168.x.x). При false Shadowrocket будет считать домен "захваченным" и принудительно отправит трафик через прокси, что может нарушать локальную сеть. Обычно лучше оставлять true.
private-ip-answer = true

# Управляет тем, будет ли DNS разрешение происходить напрямую через системный DNS, а не через прокси или настроенный DoH/DoT. Если точно нужен перехват DNS — оставлять false; для обхода по системному DNS — true.
dns-direct-system = false

# Если DNS-запросы через основной DNS (например DoH) неудачны, будет ли пробоваться системный DNS. При false — отказ DNS через fallback. Можно включить, чтобы повысить стабильность разрешения.
dns-fallback-system = false

# Если прямое разрешение DNS не работает, использовать прокси-сервер для DNS-запросов
dns-direct-fallback-proxy = true

# Перезаписывает системный DNS на указанные DNS-over-TLS и DNS-over-HTTPS серверы. 
# Порядок выбора серверов по приоритетности: 
#  1. IPv6 DoT сервер Cloudflare (основной и резервный), 
#  2. IPv4 DoT сервер Cloudflare (основной и резервный), 
#  3. DoH сервер Cloudflare, 
#  4. IPv6 Cloudflare (основной и резервный),
#  5. IPv4 Cloudflare (основной и резервный),
#  6. IPv6 DoT сервер Google (основной и резервный), 
#  7. IPv4 DoT сервер Google (основной и резервный), 
#  8. DoH сервер Google, 
#  9. IPv6 Google (основной и резервный),
# 10. IPv4 Google (основной и резервный).
# Вы можете выбрать альтернативный DOH/DOT — https://github.com/curl/curl/wiki/DNS-over-HTTPS
dns-server = system

# При сбое основного DNS — fallback на Yandex DNS или, в крайнем случае, системный DNS (от вашего интернет-провайдера)
# Яндекс не используется в качестве основного сервера т.к. опирается на Национальную систему доменных имен (НСДИ): если Роскомнадзор удалит оттуда сайт, Яндекс должен будет подчиниться 
fallback-dns-server = tls://77.88.8.88:853,https://safe.dot.dns.yandex.net/dns-query,2a02:6b8::feed:bad,77.88.8.88,system

# Перехватывает DNS-запросы некоторых сервисов (Например, Netflix) на UDP/TCP порт 53 и направляет через программу
hijack-dns = :53

# Адреса/домены, обходящие прокси, но проходящие через туннель (TUN-интерфейс)
skip-proxy = 192.168.0.0/16,10.0.0.0/8,172.16.0.0/12,localhost,*.local,captive.apple.com

# IP-диапазоны, исключённые из туннеля (TUN-интерфейс). Например, UDP/DNS для стабильности сетевых сервисов
tun-excluded-routes = 10.0.0.0/8,100.64.0.0/10,127.0.0.0/8,169.254.0.0/16,172.16.0.0/12,192.0.0.0/24,192.0.2.0/24,192.88.99.0/24,192.168.0.0/16,198.51.100.0/24,203.0.113.0/24,224.0.0.0/4,255.255.255.255/32,239.255.255.250/32

# По умолчанию TUN пытается взять на себя весь трафик,
# но из-за системных особенностей часть трафика может обходить туннель.
# С помощью этого параметра можно добавить дополнительные IP-диапазоны или маршруты,
# которые гарантированно будут проходить через туннель Shadowrocket.
# Обычно оставляют пустым, если нет проблем с прохождением трафика.
# tun-included-routes = 

# Позволяет SR возвращать настоящий IP вместо fake-IP для перечисленных доменов. Это важно для служб, где нужно "реальное" соединение без проксирования (например, NTP, Cloudflare client). Позволяет сократить проблемы с задержками, ошибками соединения и энергопотреблением.
always-real-ip = *

# Включает автоматический ответ на ping (ICMP Echo Request) от имени TUN-интерфейса. Удобно для сетевой диагностики, но может приводить к созданию fake-IP маппинга, что увеличивает расход ресурсов и может в итоге разряжать аккумулятор. Если цель — минимизация fake-IP и энергозатрат, ставить false.
icmp-auto-reply = false

# Управляет, активна ли политика REJECT для URL-перезаписи вне режима конфигурации. При true REJECT работает постоянно, что может «жёстко» блокировать трафик. 
always-reject-url-rewrite = false

# Как поступать с UDP-трафиком, если политика узла не поддерживает UDP-перенаправление: отбрасывать (REJECT) или направлять напрямую (DIRECT). Выбор зависит от желаемого поведения и возможности узла.
udp-policy-not-supported-behaviour = REJECT

# Позволяет включать внешние конфигурационные файлы. Удобно для больших конфигов, переиспользования настроек.
# Если параметры или правила в подключаемом файле пересекаются с основным, приоритет обычно имеет основной файл (где прописано include), но детали могут зависеть от реализации.
include = sr_ru_extended.conf

# URL-адрес обновления файла конфигурации
update-url = https://cdn.jsdelivr.net/gh/misha-tgshv/shadowrocket-configuration-file@main/conf/sr_ru_whitelist.conf

# Выбираем наиболее быстрый сервер из нашей VLESS подписки для нужной нам цели. Например, у вашего VPN-провайдера могут быть серверы для доступа к YouTube без рекламы, серверы для доступа к AI-сервисам (ChatGPT, Claude, Gemini..), европейские серверы, американские. Мы объединим их в группы, из которых Shadowrocket будет выбирать самый шустрый сервер группы

# [Proxy Group]
# AI-Group: выбирает быстрейший сервер из тех, у которых в описании есть слова "AI", "Нейро", или соотв. эмодзи:
# AI-Group = url-test, policy-regex-filter=(AI|Нейро|🤖), interval=600, timeout=5, url=http://www.gstatic.com/generate_204
# YouTube-Group: выбирает быстрейший сервер из тех, у которых в описании есть слова "YouTube", "Россия", или соотв. эмодзи:
# YouTube-Group = url-test, policy-regex-filter=(YouTube|Россия|Russia|🇷🇺|🍿), interval=600, timeout=5, url=http://www.gstatic.com/generate_204
# EU-Group: выбирает быстрейший европейский сервер:
# EU-Group = url-test, policy-regex-filter=(Франция|France|🇫🇷|Испания|Spain|🇪🇸|Германия|Germany|🇩🇪|Польша|Poland|🇵🇱), interval=600, timeout=5, url=http://www.gstatic.com/generate_204
# USA-Group: выбирает быстрейший американский сервер:
# USA-Group = url-test, policy-regex-filter=(США|USA|🇺🇸), interval=600, timeout=5, url=http://www.gstatic.com/generate_204
# Israel-Group: выбирает быстрейший израильский сервер (тамошние сайты банков и госуслуг плохо пускают из-за границы):
Israel-Group = url-test, policy-regex-filter=(🇮🇱|Израиль|Israel), interval=600, timeout=5, url=http://www.gstatic.com/generate_204
# AUTO: в эту группу попадут все серверы ЗА ИСКЛЮЧЕНИЕМ тех, у которых в названии есть "YouTube", "Россия" или эмодзи флага РФ - обратите внимание на то, что регулярное выражение отличается от групп выше
AUTO = url-test, policy-regex-filter=^(?!.*(YouTube|Россия|🇷🇺)).*, interval=600, timeout=5, url=http://www.gstatic.com/generate_204
# Как протестировать группы: добавьте в правила маршрутизации сервис проверки IP-адреса "2IP":
# [Rule]
# DOMAIN-SUFFIX,2ip.ua,EU-GROUP
# DOMAIN-SUFFIX,2ip.ru,DIRECT
# DOMAIN-SUFFIX,2ip.io,AUTO
# Если вы зайдёте на 2ip.ua, вы должны увидеть адрес VPN-сервера из Европы.
# Если зайдёте на 2ip.io - увидите адрес просто самого быстрого сервера (за исключением российских), который Shadowrocket выберет автоматически.
# Если зайдёте на 2ip.ru - увидите свой исходный IP-адрес (произойдёт прямое подключение мимо VPN).

# Опционально. Добавьте эти адреса в настройках программы Settings → GeoLite2 Database
# Если у вас нет аккаунта на Maxmind и вы испольузуете финальное правило Proxy или Auto
# country: https://git.io/GeoLite2-Country.mmdb
# asn: https://github.com/P3TERX/GeoLite.mmdb/raw/download/GeoLite2-ASN.mmdb

# Выборочные правила маршрутизации
[Rule]
RULE-SET,https://github.com/hydraponique/roscomvpn-geoip/raw/refs/heads/master/release/text/whitelist.txt,DIRECT
RULE-SET,https://github.com/hxehex/russia-mobile-internet-whitelist/blob/main/whitelist.txt,DIRECT
FINAL,PROXY