🌐 English | 中文 | 한국어

프록시

HY2 SCALE은 단일 탭 인터페이스에서 일곱 가지 프록시 / VPN 프로토콜을 제공합니다. 모든 프로토콜이 동일한 사용자 데이터베이스로 인증하며, 모든 사용자에 대해 동일한 사용자별 exit_via 라우팅이 적용됩니다.

프로토콜 개요

프로토콜	기본 포트	인증	네이티브 클라이언트	호스트 네트워크 필요
Hysteria 2	5565/udp+tcp	공유 / 사용자별	Hysteria 2 클라이언트	아니오
SOCKS5	설정 가능 (1080)	RFC 1929 사용자명/비밀번호	모든 SOCKS5 클라이언트	아니오
HTTP	설정 가능 (8080)	Basic auth	모든 HTTP(S) 프록시 클라이언트	아니오
Shadowsocks	설정 가능 (8388)	사용자별 AEAD 키	SS 클라이언트	아니오
L2TP/IPsec	1701+500+4500/udp	MSCHAPv2	OS 내장 VPN	예 (또는 호환 모드)
IKEv2/IPsec	500+4500/udp	EAP-MSCHAPv2 또는 PSK	OS 내장 VPN	예 (또는 호환 모드)
WireGuard	51820/udp	공개키	WireGuard / QR 코드 가져오기	아니오

---

Hysteria 2

핵심 프로토콜입니다. 모든 노드는 포트 5565에서 메시 릴레이 트래픽과 웹 UI를 함께 처리하는 Hysteria 2 QUIC 서버를 실행합니다.

설정

서버 리슨 주소와 TLS 자원은 Nodes 페이지의 Edit Self 모달에서 설정합니다. Proxies → Hysteria 2 탭은 Allow User Auth 스위치만 노출합니다.

• 비활성화 (기본값): 하나의 공유 서버 비밀번호로 모든 QUIC 클라이언트를 인증합니다.
• 활성화: Hysteria 2 클라이언트가 각자의 사용자명 / 비밀번호로 인증합니다. 각 사용자의 트래픽은 할당된 출구 경로를 따르고, 트래픽 집계도 사용자별로 이뤄집니다.

---

SOCKS5

RFC 1929 사용자명/비밀번호 인증을 지원하는 표준 SOCKS5 프록시입니다.

필드	설명
Listen	바인드 주소 (예: 0.0.0.0:1080)
활성화	켜기/끄기 토글
TLS cert	선택 사항 — SOCKS5를 TLS로 감쌉니다 (SOCKS5-over-TLS)

• IPv4, IPv6, 호스트명 대상이 모두 지원됩니다.
• 활성 연결은 Users 페이지의 Active Devices 패널에서 확인할 수 있습니다.

---

HTTP

HTTP Basic으로 인증하는 HTTP 포워드 프록시와 CONNECT 터널을 결합한 서버입니다.

필드	설명
Listen	바인드 주소 (예: 0.0.0.0:8080)
활성화	켜기/끄기 토글
TLS cert	선택 사항 — 리스너를 HTTPS-proxy-over-TLS로 전환합니다

HTTP 프록시를 지원하는 모든 클라이언트 (브라우저, curl, 모든 주요 OS)는 HY2 SCALE 사용자로 인증하고, 그 사용자의 출구 경로를 통해 요청이 전달됩니다.

---

Shadowsocks

AEAD 암호화 SS 서버입니다. 사용자는 성공적인 복호화로 인증됩니다 — 서버가 활성화된 각 사용자의 키로 시도합니다.

메서드	설명
aes-128-gcm	AES-128 GCM
aes-256-gcm	AES-256 GCM
chacha20-ietf-poly1305	ChaCha20-Poly1305
none	비암호화 (테스트 전용)

핫 리로드: 설정 변경 시 깔끔하게 재시작하며 활성 연결은 끊어집니다.

---

L2TP/IPsec

OS 내장 VPN 클라이언트를 사용하는 L2TP/IPsec VPN — 서드파티 앱이 필요 없습니다. Linux에서는 --network host가 필요하며, iKuai / OpenWrt에서는 호환 모드가 필요합니다.

필드	기본값	설명
활성화	false	켜기/끄기 토글
리슨 포트	1701	L2TP UDP 포트
IP Pool	192.168.25.1/24	클라이언트 IP 범위
PSK	(생성됨)	IPsec 사전 공유 키
MTU	1280	PPP MTU

아키텍처

VPN 클라이언트 (iOS / macOS / Windows / Android)
  ↓ L2TP/IPsec (UDP 500 + 4500 + 1701)
strongSwan (IKEv1 IPsec) + xl2tpd
  ↓ PPP / MSCHAPv2
pppd가 풀에서 IP 할당
  ↓
투명 프록시 (iptables DNAT)  →  메시 출구 라우팅

각 L2TP 사용자의 트래픽은 할당된 exit_via를 통해 라우팅됩니다. PPP ip-up 훅이 새로 할당된 PPP IP를 사용자명에 매핑합니다.

클라이언트

1. L2TP를 활성화하고 PSK를 확인합니다.
2. 기기에서 L2TP VPN 연결을 생성합니다; 서버 = 노드의 IP/호스트명, 계정 = HY2 SCALE 사용자명, 공유 비밀/PSK = 생성된 값.
3. 연결합니다.

핫 리로드: 지원됩니다.

---

IKEv2/IPsec

strongSwan을 사용하는 IKEv2 VPN. 두 가지 인증 모드를 지원합니다:

모드	인증	인증서	클라이언트 설정
MSCHAPv2	EAP-MSCHAPv2 + 서버 인증서	예 (CA 권장)	기기에 CA 인증서 설치
PSK	사전 공유 키	아니오	VPN 프로필에 PSK 입력

설정

필드	기본값	설명
활성화	false	켜기/끄기 토글
모드	psk	mschapv2 또는 psk
Local ID	(노드 이름)	서버 ID (leftid)
Address Pool	192.168.26.1/24	클라이언트 IP 범위
MTU	1400	터널 MTU
서버 인증서	—	mschapv2 모드에서 필수
PSK	(생성됨)	psk 모드에서 필수
PSK User Mode	false	PSK 모드에서도 사용자 인증 요구

MSCHAPv2 (권장)

1. TLS 페이지에서 CA를 생성하거나 가져옵니다.
2. MSCHAPv2 모드로 IKEv2를 활성화하고 CA를 선택합니다. HY2 SCALE이 CA로부터 CN/SAN이 local_id와 일치하는 서버 인증서를 자동 발급합니다.
3. CA 인증서를 내보내 모든 클라이언트 기기에 설치합니다.
4. 클라이언트는 HY2 SCALE 사용자명 + 비밀번호로 인증합니다.

PSK 모드

더 간단합니다. 클라이언트는 PSK만으로 연결하거나, PSK User Mode가 활성화되었을 때는 PSK + 사용자명으로 연결합니다.

클라이언트 (iOS / macOS)

1. 이메일 / AirDrop으로 CA 인증서 (MSCHAPv2 전용) 전달 후 설정 → 프로필에서 설치합니다.
2. IKEv2 VPN 연결을 생성합니다; 서버 = 노드, 원격 ID = local_id, 사용자명 = HY2 SCALE 사용자.

핫 리로드: 지원됩니다.

---

WireGuard

유저스페이스 WireGuard (wireguard-go + gvisor netstack) — 커널 모듈이 필요 없으며 모든 OS에서 작동합니다.

서버

필드	기본값	설명
활성화	false	켜기/끄기 토글
리슨 포트	51820	UDP 포트
개인키	(자동 생성)	서버의 WireGuard 개인키
주소	10.0.0.1/24	서버 IP + 서브넷
MTU	1420	터널 MTU

피어

WireGuard는 공유 사용자 데이터베이스 대신 피어별 공개키 인증을 사용합니다. 각 피어는 하나의 클라이언트 기기입니다.

필드	설명
이름	표시 이름
공개키	클라이언트 공개키 — 비워두면 키 페어를 생성합니다
Allowed IPs	클라이언트 터널 IP, 일반적으로 10.0.0.N/32
Keepalive	영구 keepalive (초, 0 = 비활성)
Exit via	이 피어의 트래픽을 메시 노드 체인을 통해 라우팅

키 생성

공개키 필드 옆의 key 버튼을 클릭하면 새로운 키 페어가 생성됩니다. 공개키는 서버 측에 저장되고, 개인키는 다운로드되는 클라이언트 설정에 포함됩니다 (한 번만 표시되므로 저장해두세요).

클라이언트 설정

• Download — 모든 WireGuard 클라이언트와 호환되는 .conf 파일.
• QR — 모바일 WireGuard 앱용 QR 코드.

내보낸 설정에는 서버 엔드포인트, DNS, Allowed IPs, MTU, 피어 개인키가 포함됩니다.

피어 선택 및 편집

피어 표는 Nodes / Users / Rules / TLS와 동일한 「먼저 선택, 그다음 작업」 패턴을 따릅니다:

• 피어 행을 단일 클릭하면 선택됩니다 — 정확히 한 행이 선택되면 카드 작업 영역의 Import와 + Add Peer 사이에 녹색 Edit 버튼이 나타납니다.
• 앞쪽 체크박스 셀은 작은 입력만이 아니라 패딩이 적용된 영역 전체가 클릭 영역입니다. 그 위 클릭은 다중 선택에 누적됩니다.
• 카드 본문 바깥의 빈 영역 클릭은 단일 행 선택을 해제합니다. 다중 선택은 유지되며, 버튼 / 입력 / 열린 모달 위 클릭은 절대 선택을 풀지 않습니다.
• 한 개 이상의 피어를 체크하면 Import 옆에 Bulk Delete 버튼이 표시됩니다.

피어의 이름 열은 여전히 피어별 설정 / QR 상세 모달을 여는 링크입니다 — 클릭해도 행 선택은 토글되지 않습니다.

핫 리로드

• 설정 변경 → 전체 WireGuard 재시작 (짧은 연결 끊김)
• 피어 추가 / 제거 → 서버 재시작 없는 핫 피어 관리