«Почему перестал работать VPN?», «Что такое ТСПУ?», «Как вообще устроены блокировки?» — эти вопросы стали привычными. В этой статье без паники и без технического жаргона разбираем, как именно устроены ограничения доступа в России в {YEAR} году и почему современные протоколы вроде VLESS Reality и Hysteria продолжают работать.
Что такое ТСПУ
ТСПУ — это «технические средства противодействия угрозам», оборудование, установленное у каждого крупного российского провайдера. Через него проходит весь трафик абонентов. ТСПУ управляется централизованно и умеет фильтровать, замедлять и блокировать соединения по командам сверху — без участия самого провайдера.
Главная технология внутри ТСПУ — DPI (Deep Packet Inspection, глубокий анализ пакетов). Это система, которая смотрит не только «куда» идёт трафик, но и «как» он выглядит, пытаясь определить, каким протоколом вы пользуетесь.
Четыре способа заблокировать подключение
Все методы блокировки сводятся к нескольким базовым подходам:
- Блокировка по IP-адресу. Самый грубый метод: адрес сервера заносится в чёрный список, и трафик к нему просто не проходит. Минус для блокирующего — легко задеть «соседей» по тому же дата-центру или CDN.
- Блокировка по домену (SNI). При установке HTTPS-соединения имя сайта передаётся открытым текстом в поле SNI. DPI читает его и блокирует нежелательные домены.
- Блокировка по протоколу. DPI распознаёт характерную «подпись» протокола — например старые VMess или OpenVPN имеют узнаваемую структуру пакетов — и режет такие соединения, даже не зная адреса.
- Замедление (троттлинг). Вместо полной блокировки трафик искусственно замедляют до некомфортной скорости. Так поступали с некоторыми крупными платформами.
Почему старые протоколы блокируют легко
VMess, классический Shadowsocks, OpenVPN, WireGuard в чистом виде — все они имеют узнаваемые признаки. DPI видит handshake или статистический паттерн пакетов и понимает: «это туннель». После этого соединение блокируется по протоколу, независимо от того, на какой сервер оно идёт.
Именно поэтому подключения, которые «работали год назад», внезапно перестают подключаться: блокировка по протоколу не требует знать адрес конкретного сервера.
Почему VLESS Reality продолжает работать
Reality построен на принципиально другой идее — он не маскируется, а становится неотличимым от обычного HTTPS к реальному крупному сайту. Для DPI Reality-соединение выглядит так:
- SNI — настоящий популярный домен (например крупного облачного провайдера), который блокировать нельзя, не сломав пол-интернета;
- TLS-сертификат — настоящий, выданный реальным удостоверяющим центром;
- при проверке (Active Probing) сервер отдаёт настоящий контент реального сайта.
Заблокировать такое соединение по протоколу нельзя — оно идентично легитимному HTTPS. Заблокировать по IP сложно — сервера меняются, а массовая блокировка облачных IP бьёт по обычным сайтам и бизнесу. Подробно механика разобрана в нашей статье про VLESS Reality.
Зачем тогда нужна Hysteria
Когда вместо блокировки применяют замедление, помогает Hysteria 2 — протокол поверх QUIC, который удерживает скорость даже на «зажатом» канале с потерями пакетов. Связка «Reality для незаметности + Hysteria для скорости» закрывает большинство сценариев.
Что делать пользователю
- Не держитесь за старые протоколы. Если ваш OpenVPN/VMess перестал работать — это не «сломалось приложение», это блокировка по протоколу. Нужен Reality или Hysteria.
- Выбирайте сервис с актуальными протоколами и резервными серверами, который оперативно меняет IP при необходимости.
- Держите запасной протокол на случай, если в вашем регионе начнут зажимать UDP или конкретные адреса.
Итог
Блокировки в России — это в первую очередь DPI внутри ТСПУ, который ищет узнаваемые признаки туннелей. Современные протоколы выигрывают не за счёт «секретности», а за счёт неотличимости от обычного трафика. Пока ваш канал выглядит как визит на популярный сайт, блокировать его по протоколу невозможно — а именно так и работает VLESS Reality в {YEAR} году.