Вступление: Что такое VPN-протоколы
После того как становится понятна роль VPN в современном интернете, следует перейти к следующему вопросу, а именно каким образом VPN работает технически.
Как мы уже поняли в прошлой статье, VPN это не одна конкретная технология и не один стандарт. На самом деле это целый набор инструментов и уловок, которые определяют, как именно будет работать и себя вести тот самый защищённый туннель между пользователем и сервером.
Протокол VPN отвечает сразу за несколько ключевых задач:
-
Установку соединения между клиентом и сервером;
-
Аутентификацию участников соединения;
-
Шифрование передаваемых данных;
-
Отправку и получение пакетов внутри туннеля;
-
Поддержание соединения при смене сети или потере пакетов.
От выбранного протокола напрямую зависит скорость соединения, устойчивость к блокировкам, нагрузка на процессор и даже расход батареи вашего устройства, особенно мобильных телефонов.
Некоторые протоколы создавались ещё в конце 90-х годов, когда интернет выглядел совершенно иначе. Другие появились уже в эпоху массовых блокировок, DPI и попыток государств контролировать трафик. Поэтому между ними существует огромная разница не только в архитектуре, но и в том, насколько они вообще применимы в современном интернете.
Чтобы понять, какие решения актуальны сегодня, имеет смысл рассмотреть основные протоколы, от самых старых до наиболее современных, которые вышли в свет совсем недавно.
Минута истории или устаревшие протоколы
Для общего понимания развития технологии VPN-протоколов, стоит начать с самого начала и ознакомиться с культовыми протоколами, которые заложили основу для создания уже новых и усовершенствованных преемников, которые достаточно много фишек переняли от своих родителей.
ㅤ
PPTP — первый в своем роде
PPTP (Point-to-Point Tunneling Protocol) появился ещё в середине 1990-х годов. На момент своего появления он решал простую задачу, а именно позволял сотрудникам компаний подключаться к корпоративной сети из дома. Его главным достоинством была очень высокая скорость соединения. Протокол почти не нагружает процессор, а его архитектура максимально проста.
Однако эта простота и скорость обернулась серьёзной проблемой, система шифрования протокола давно считается взломанной, поскольку механизм аутентификации протокола (MS-CHAP v2) был актуален ровно до того момента, пока компьютеры не могли за секунду совершать до миллиарда операций, из-за чего ключи доступа к таким соединениям было крайне просто взломать.
Кроме того, думаю, не стоит объяснять, что данный протокол уже давно научились определять и блокировать системы DPI, и он практически никем более не используется. Однако данный протокол заложил основы и суть почти всех современных протоколов.
ㅤ
L2TP/IPSec — первые попытки сделать нормальное шифрование
L2TP (Layer 2 Tunneling Protocol) сам по себе как протокол не шифрует трафик, поэтому на практике он почти всегда используется в связке с надстройкой IPSec, которая добавляет криптографическую защиту, в результате получился многим известный протокол L2TP/IPSec.
Его долгое время считали хорошим компромиссом между безопасностью и простотой настройки. Большинство операционных систем, такие как Windows, macOS, Android и iOS поддерживали его прямо из коробки.
Но у этого решения есть несколько серьёзных недостатков. Во-первых, L2TP/IPSec использует фиксированные сетевые порты (UDP 500 и 4500), что делает его крайне удобной целью для блокировок. Провайдеру достаточно закрыть эти порты, чтобы соединение перестало работать. Во-вторых, такой туннель имеет двойную инкапсуляцию пакетов (дополнительную обёртку данных), что увеличивает нагрузку и снижает скорость соединения.
Наконец, современные системы DPI давно научились достаточно легко распознавать характерный трафик IPSec, что делает его не лучшим вариантом для стран с жёсткой интернет-цензурой. В итоге L2TP/IPSec постепенно исчез из современных VPN-решений.
Протоколы современного поколения
IKEv2 — быстрый и устойчивый к смене сети
IKEv2 (Internet Key Exchange v2) был разработан как более современная альтернатива старым решениям IPSec. Его главной особенностью стала устойчивость к смене сетей.
В реальной жизни пользователь постоянно переключается между разными типами подключения, например, такими как домашний Wi-Fi, мобильная сеть, публичные точки доступа, корпоративные сети и многое другое. Большинство VPN-протоколов при таком переключении полностью разрывают соединение и создают новый туннель, что конечно же вызывает задержки и потерю пакетов.
IKEv2 решает эту проблему с помощью технологии MOBIKE (Mobility and Multihoming).
MOBIKE позволяет протоколу обновлять сетевые параметры уже существующего туннеля, не разрывая соединение, в результате переключение между сетями происходит практически незаметно.
Именно поэтому IKEv2 долгое время считался одним из лучших вариантов для мобильных устройств. Однако у него есть и слабая сторона, сейчас его можно достаточно легко идентифицировать в сети.
Если государство активно блокирует VPN-соединения, DPI-системы могут обнаруживать и фильтровать IKEv2-трафик, поэтому в странах с жёстким контролем интернета этот протокол стал фактически бесполезен, однако, в других более либеральных странах он ещё может помочь пользователю в защите своего соединения.
ㅤ
OpenVPN — универсальный стандарт индустрии
OpenVPN появился ещё в начале 2000-х годов и долгое время считался золотым стандартом VPN-соединений, поскольку OpenVPN поддерживает сильную криптографию соединения и стал первым протоколом, способным работать как в UDP, так и TCP соединениях.
Особенно стала важна возможность использовать порт 443, который применяется для обычного HTTPS-трафика, что позволяет маскировать VPN-соединение под обычный зашифрованный веб-трафик.
Главной проблемой стала высокая нагрузка на процессор, поскольку архитектура протокола довольно сложная и содержит огромное количество кода. Кроме того, за годы существования DPI-системы научились распознавать характерные паттерны OpenVPN, даже если он работает через порт 443.
Это не сделало протокол полностью бесполезным или нерабочим, однако, его актуальность стремительно ушла с приходом более совершенных протоколов.
ㅤ
WireGuard — новый стандарт скорости
WireGuard стал одним из самых молодых VPN-протоколов, который столь быстро стал чрезвычайно популярным. Его основной инновационной идеей стал минимализм и эффективность.
Если тот же OpenVPN содержит сотни тысяч строк кода, то реализация WireGuard занимает всего несколько тысяч, что сделало протокол ЗНАЧИТЕЛЬНО быстрее, проще в модификации и куда менее ресурсоёмким.
WireGuard использует современную криптографию и обеспечивает очень высокую пропускную способность. В реальных условиях он часто показывает значительно более высокую скорость, чем OpenVPN или IPSec.
Однако и здесь не обошлось без изъянов, WireGuard имеет один важный недостаток. Протокол использует исключительно UDP и имеет очень характерную структуру пакетов. Для систем DPI это означает, что соединение можно достаточно легко идентифицировать и заблокировать.
До недавнего времени WireGuard исправно работал даже в странах с жёсткой цензурой интернета, например в России или Китае, однако, за последние годы системы DPI этих стран также постарались и научились его блокировать. Даже сейчас встречаются случаи, когда WireGuard способен обходить блокировки, но чаще всего это происходит на крайне малоизвестных провайдерах и с какими-либо особыми модификациями, что в итоге сделало и его менее актуальным решением.
Что же изменилось?
Как мы видим, если раньше задача VPN заключалась в основном в шифровании трафика и быстроте соединения, то сегодня этого уже совсем недостаточно.
Современные системы фильтрации анализируют не только содержимое пакетов, но и структуру соединения, размеры пакетов, частоту обмена данными, характер рукопожатия, паттерны и многое другое, лишь бы не дать пользователю возможность пользоваться интернетом именно так, как ему хочется. Даже полностью зашифрованный трафик можно распознать по этим косвенным признакам.
Поэтому новые VPN-решения всё чаще используют обфускацию — маскировку соединения под обычный интернет-трафик. Обфускация на 2026 год стала обязательным требованием к любому VPN-протоколу, и чем она лучше, тем соразмерно лучше и сам протокол.
Постоянные блокировки и ограничения со стороны государств породили новый класс протоколов — «Троянские».
«Троянские» протоколы нового поколения
Trojan — маскировка под обычный HTTPS
Trojan не является VPN в его привычном смысле, поскольку считается прокси-протоколом, который использует методы обфускации для маскировки трафика.
Его задачей является сделать трафик максимально похожим на обычное HTTPS-соединение, чтобы для систем DPI такой трафик выглядит как обычное соединение с веб-сервером.
Trojan изначально создавался как инструмент обхода Великого китайского файрвола, из-за чего вся его структура и замысел были построены исключительно на идее обхода блокировок и маскировки трафика.
Однако даже такие технологии со временем начали обнаруживаться, поскольку уже правительствами были разработаны методы активного анализа соединений, позволяющие выявлять некоторые реализации Trojan, что ставит под сомнение его дальнейшую актуальность.
Xray, VLESS и Reality
Самой популярной система обхода блокировок на данный момент является экосистема Xray, которая заслуживает отдельного внимания и раздела в этой статье.
Важно понимать, что Xray это не VPN-протокол, а программная платформа, которая реализует прокси-соединение и управляет маршрутизацией трафика между клиентом и сервером. Внутри этой платформы используются различные протоколы и транспортные механизмы. На практике чаще всего встречается связка VLESS + Reality, которая и стала одним из самых популярных способов обхода интернет-фильтрации.
ㅤ
VLESS — транспортный прокси-протокол
VLESS это лёгкий прокси-протокол, разработанный как более современная альтернатива старому VMess. Его ключевой особенностью считается минимализм архитектуры.
В отличие от традиционных VPN, VLESS не выполняет сложное шифрование самостоятельно. Вместо этого он передаёт трафик поверх стандартного TLS-соединения, то есть того же механизма, который используется для обычных HTTPS-сайтов.
Такой подход даёт сразу несколько преимуществ, а именно уменьшается количество лишних криптографических операций, повышается скорость соединения, а трафик становится похож на обычный HTTPS.
ㅤ
Reality — механизм маскировки соединения
Ключевую роль в обходе DPI играет технология Reality. Она была создана как способ скрыть сам факт существования прокси-туннеля.
В обычной ситуации VPN-соединение можно распознать по особенностям TLS-рукопожатия или структуре сетевых пакетов, Reality же меняет эту модель. Вместо использования собственного TLS-сертификата сервер имитирует подключение к реальному популярному веб-ресурсу.
Для систем DPI такой трафик выглядит так, будто пользователь просто подключается к популярному сервису, смотрит какую-то страницу, читает статью или увлекается роликами сомнительного характера.
При грамотной настройке системы провайдер и системы DPI никак не могут доказать, что вы прикрываетесь каким-либо сайтом или уже 12 часов читаете, например, эту статью, но безусловно могут зафиксировать подозрительную активность и постараться вам как-либо помешать.
ㅤ
Почему такие соединения сложно блокировать?
Основная проблема для систем цензуры заключается в том, что агрессивная блокировка такого трафика может затронуть обычные веб-сайты. Если фильтрация становится слишком жёсткой, под ограничения могут попасть CDN-сети, облачные сервисы, банковские приложения, собственные государственные сайты (что мы уже видели на примере Роскомнадзора и Telegram), а также многое другое.
Поэтому обнаружение подобных соединений требует анализа косвенных признаков: статистики передачи пакетов, длительности сессий и сетевого поведения клиента, но такие методы не всегда дают стабильный результат и не дают гарантию того, что пользователь действительно использует средства обхода.
ㅤ
Интерфейсы и готовые решения
Экосистема Xray за счёт своей структуры и популярности позволила пользователям со всего света адаптировать её, улучшать и делать комфортнее любых других решений для обхода блокировок. Например, уже сейчас было разработано большое количество инструментов и модификаций ядра, способных помогать пользователям различными методами обходить любого рода блокировки. Также было разработано множество готовых панелей для предпринимателей, которые хотели бы раздавать или продавать подписку на свой VPN-сервис для широкой аудитории, зарабатывая на этом деньги.
Самыми популярными панелями на данный момент считаются 3X-UI, Marzban, а также Remnawave. Многие из них доступны для автоматической настройки и установки в пару кликов на некоторых хостингах, например, ExpressHost. Данные панели позволяют пользователю моментально создавать множество подписок, отслеживать и управлять маскировкой трафика, а также комфортно управлять своим сервисом.
Постоянная гонка между цензурой и технологиями
История VPN-протоколов на практике вновь является лишь олицетворением непрерывной технологической гонки между пользователями свободного интернета и государствами. Каждая новая система защиты трафика со временем сталкивается с тем, что государства и крупные провайдеры разрабатывают инструменты для её обнаружения и блокировки, вследствие чего появляются новые методы маскировки соединений, новые протоколы и новые архитектуры туннелей.
Именно поэтому современные VPN-решения всё чаще делают ставку не только на шифрование, но и на маскировку трафика. Появляются новые протоколы, обфускация транспортного уровня, имитация обычного HTTPS-трафика и другие методы, которые позволяют скрыть сам факт использования обходных технологий, но никакой метод и способ нельзя считать вечным.
VPN-протоколы продолжают непрерывно развиваться. То, что сегодня считается быстрым, устойчивым к блокировкам и трудно обнаруживаемым, через несколько лет может стать легко распознаваемой сигнатурой для систем DPI и ещё одной графой в истории. Именно эта постоянная динамика и определяет то, как выглядят современные технологии обхода цензуры и защиты интернет-трафика. Следует понимать, что на каждую блокировку или запрет рано или поздно появится способ обхода и защиты своей приватной жизни.
Итог: что же сейчас использовать?
Если посмотреть на современное состояние технологий VPN без маркетинга и громких заявлений, картина оказывается довольно простой. Большинство старых протоколов либо устарели технически, либо плохо справляются с реалиями современного интернета, где активно используются DPI-системы, фильтрация трафика и блокировки самих инструментов обхода. Формально классические VPN-протоколы всё ещё существуют и используются, однако их роль постепенно меняется. Всё чаще они выполняют функцию базового туннеля, тогда как основную задачу обхода блокировок берут на себя технологии маскировки трафика.
PPTP и L2TP/IPSec, IKEv2 и OpenVPN в странах с активной интернет-цензурой стоит рассматривать лишь как пережиток прошлого, который в настоящий момент не считается актуальным и эффективным способом обхода.
WireGuard иногда ещё может помочь в обходе блокировок, однако, в большинстве случаев он не сможет в должной степени обезопасить соединение или обойти современные методы блокировок.
Остаются Trojan, VLESS и Xray — наиболее актуальные решения для обхода блокировок. В настоящий момент будущее VPN-протоколов стоит за технологиями, которые делают ставку не столько на шифрование, сколько на маскировку трафика, к которым они и относятся.
Сейчас создать свой персональный VPN с маскировкой трафика как никогда легко, поскольку есть множество готовых скриптов и решений для этого, где все уже заранее продумано и организовано.
⚡ExpressHost — стабильные VPS и выделенные серверы
Сайт: https://expresshost.org
Поддержка (Telegram): https://t.me/expresshost_Supportbot
Новости: https://t.me/ExpressHost