VPN-протоколы в 2026: что ещё работает в России, а что нет
Разберём по-взрослому: какие протоколы и транспорты есть, чем отличаются, и что из этого реально живёт в условиях блокировок РФ. Без рекламных лозунгов — только как это устроено и где слабые места.
Сначала главное: что вообще «ловят»
Блокировка VPN в России держится на ТСПУ и DPI, которые анализируют трафик двумя способами:
- Сигнатурный анализ — у протокола есть характерный «отпечаток» (структура рукопожатия, фиксированные поля, порты). Если он узнаваем — трафик режут.
- Поведенческий анализ + TLS-fingerprinting — даже замаскированный трафик палится по статистике: длины пакетов, интервалы, соотношение upload/download, отличия от настоящего браузера.
Отсюда вывод, который красной нитью пройдёт через всю статью: сегодня выигрывает не "сильное шифрование", а маскировка и мимикрия под обычный трафик.
Часть 1. Протоколы (чем туннелируем)
OpenVPN
Зрелый и гибкий протокол с надёжным шифрованием (OpenSSL), умеет в TCP и UDP, в том числе на порту 443.
- Проверен годами, очень гибкий, кроссплатформенный, может прикинуться HTTPS по TCP/443.
- Тяжёлый и медленнее WireGuard; характерное рукопожатие легко детектируется DPI; «из коробки» обфускации нет.
- В РФ: в чистом виде распознаётся и режется. Живёт только с обфускацией — XOR-патч (SoftEther scramble), obfsproxy, stunnel или заворачивание в Cloak/XRay.
WireGuard
Современный, минималистичный, очень быстрый, низкое энергопотребление. Работает только по UDP (порт по умолчанию 51820).
- Скорость, простота, экономия батареи, отличный код.
- Характерная сигнатура пакетов и фиксированные поля рукопожатия → легко фингерпринтится; UDP проще резать и троттлить.
- В РФ: один из главных объектов охоты (провайдеры целенаправленно ловят паттерн WireGuard UDP). Без обфускации нестабилен.
AmneziaWG
Форк WireGuard от Amnezia, обратносовместимый. Берёт скорость и простоту WireGuard и добавляет обфускацию: рандомизирует заголовки (H1–H4), добавляет «мусорные» пакеты (Jc/Jmin/Jmax) и паддинг. В версии 2.0 заголовки стали диапазонами (случайные на каждый пакет), добавлен паддинг cookie и data-пакетов — в итоге у каждого сервера свой уникальный набор параметров, единой сигнатуры для DPI нет. Само шифрование WireGuard не трогается.
- Скорость WireGuard + устойчивость к DPI; минимум настроек; низкое энергопотребление.
- Всё ещё UDP (сети, режущие UDP, мешают); нужны совпадающие параметры обфускации на клиенте и сервере; клиентов меньше, чем у WireGuard.
- В РФ: один из рабочих вариантов; правильно настроенный AWG заметно труднее детектировать, чем «голый» WireGuard.
IKEv2/IPsec
Быстрый, стабильный, встроен в мобильные ОС, умеет бесшовно переключаться между Wi-Fi и сотовой (MOBIKE).
- Нативная поддержка на телефонах, быстрые переподключения.
- Стандартные порты (500/4500) и узнаваемая сигнатура, обфускации нет.
- В РФ: легко блокируется, как самостоятельное решение ненадёжен.
Shadowsocks
Лёгкий прокси, изначально созданный в Китае именно для обхода цензуры. Шифрованный, быстрый, без тяжёлого VPN-оверхеда.
- Простой, быстрый, низкий оверхед; хорош на слабых сетях.
- С 2022 года GFW научился его детектировать (активное зондирование, анализ энтропии); базовые версии палятся. Есть Shadowsocks-2022 с улучшенной защитой.
- В РФ: работает хуже, чем раньше; как «голый» SS — ненадёжен.
VMess
Полноценный протокол туннелирования из экосистемы V2Ray со встроенным шифрованием, зависит от синхронизации времени, работает по TCP.
- Самодостаточное шифрование, гибкость.
- Больше оверхед, чувствителен к рассинхрону часов, детектируем; по сути вытеснен VLESS.
VLESS
Современный лёгкий транспортный протокол без сохранения состояния (Xray/V2Ray), аутентификация по UUID, без встроенного шифрования — шифрование отдаётся транспорту (TLS/Reality). За счёт этого меньше оверхеда и выше скорость.
- Быстрый, лёгкий; в связке с Reality даёт лучшую на сегодня маскировку.
- Сам по себе не шифрует — без TLS/Reality бесполезен; сложная настройка; это прокси, а не «классический VPN».
- В РФ (важно): с декабря 2025 ТСПУ начало ловить и VLESS — сначала в отдельных регионах (Татарстан, Удмуртия), затем шире, к весне 2026 жалобы массовые. Детект — по поведению и TLS-fingerprint: даже VLESS+Reality по статистике пакетов отличается от настоящего браузера. То есть даже он уже не «серебряная пуля».
Trojan
Протокол, который изначально притворяется обычным HTTPS: гонит трафик через TLS, а на подозрительное зондирование отдаёт настоящий веб-сайт.
- Отличная мимикрия под HTTPS, устойчив к активному зондированию.
- Нужен реальный домен и валидный сертификат; настройка сложнее.
Hysteria
Протокол поверх QUIC (UDP), оптимизирован под «рваные» сети с потерями, очень быстрый.
Часть 2. Транспорты и конфигурации (как заворачиваем)
Эти штуки работают «поверх» VLESS/VMess/Trojan в Xray-ядре и определяют, на что похож трафик.
TCP (raw)
TLS
Оборачивает трафик в TLS 1.3 — внешне как обычный HTTPS.
- Стандартная и понятная маскировка под веб; широкая совместимость.
- Нужен реальный домен + валидный сертификат; уязвим к TLS-fingerprinting и поведенческому анализу.
WebSocket (WS)
Идёт через HTTP Upgrade, умеет прятаться за CDN (Cloudflare), даёт «веб-путь».
- Дружит с CDN, гибкий.
- Фактически "умер" для обхода: связка HTTP Upgrade + бесконечный двунаправленный поток без обычных запрос-ответных пар детектируется давно и надёжно.
gRPC
Поверх HTTP/2, мультиплексирование, выглядит как API-трафик, работает за CDN.
Reality
Усовершенствование TLS: реализует полный TLS 1.3 с SNI настоящего чужого сайта для маскировки. На «неизвестного» клиента сервер перенаправляет соединение на реальный сайт, отдавая его сертификат, — поэтому устойчив к активному зондированию. Не нужен свой домен и сертификат.
- Лучшая на сегодня маскировка под обычный TLS; защита от probing; не требует домена.
- Не работает с QUIC (из-за поля session id); и, как сказано выше, по поведению статистически всё же отличим — ТСПУ уже подбирается.
XTLS-Vision
Не транспорт, а flow-механизм: убирает двойное шифрование (TLS-in-TLS), по которому DPI ловит туннели, и формирует реалистичные паттерны трафика, заодно ускоряя соединение. Обычно идёт в паре с Reality.
- Снижает детект по TLS-in-TLS, повышает скорость.
- Нужен поддерживаемый клиент; эффект максимален именно в связке VLESS+Reality+Vision.
XHTTP (бывш. SplitHTTP) — куда всё движется
Новый транспорт Xray поверх HTTP/2/HTTP/3. В отличие от WebSocket, разделяет восходящий и нисходящий трафик на отдельные обычные HTTP-транзакции (нормальные заголовки, нормальное время жизни) — статистически неотличимо от браузера, грузящего сайт.
- Ровно тот «поведенческий» слой, которого не хватало Reality; считается следующим шагом против ТСПУ.
- Молодой, не везде поддержан, требует аккуратной настройки.
Что в итоге работает в РФ (2026)
- «Голые» WireGuard, OpenVPN, IKEv2, Shadowsocks, VMess — детектируются, без обфускации ненадёжны.
- AmneziaWG — рабочий вариант за счёт обфускации и отсутствия единой сигнатуры, но это UDP.
- VLESS + Reality + XTLS-Vision — сейчас лучший баланс скорости и маскировки, но уже не неуязвим: ТСПУ учится ловить его по поведению.
- Тренд — за поведенческой мимикрией (XHTTP и подобное): будущее не за «более сильным шифрованием», а за трафиком, неотличимым от обычного браузера.
Если ты дочитал досюда — поздравляю, теперь ты знаешь про обход блокировок больше, чем 99% пользователей. Но вот честный вывод: разбираться во всём этом, поднимать сервер, подбирать протокол, ловить момент, когда ТСПУ начнёт резать Reality, и переключаться на запасной транспорт — это отдельная работа. Связки меняются каждые пару месяцев, и то, что работало вчера, завтра может встать.
Поэтому весь этот стек уже собран за тебя в KudaVPN_bot в Телеграм: внутри — лучшая на сегодня связка VLESS + Reality + XTLS-Vision, правильно настроенная маскировка и подобранная конфигурация. Ничего не нужно выбирать, патчить и обновлять руками — всё работает из коробки, а когда блокировки меняются, меняется и настройка на стороне сервиса. Есть бесплатный пробный период — просто проверь, как держится у твоего оператора.
Тебе остаётся пользоваться интернетом. Остальное — наша забота.