Если вы живете в России и активно пользуетесь интернетом, вы наверняка заметили, как за последние пару лет изменилась ситуация с доступом к информации. Сайты блокируются, мессенджеры замедляются, а привычные способы обхода перестают работать. Очевидный выход это VPN. Но и тут не все гладко.
Многие популярные сервисы, о которых писали в топах два года назад, сегодня просто не открываются. Их серверы заблокировали, а протоколы, на которых они работали, провайдеры научились распознавать и резать. Что делать обычному человеку, который не хочет разбираться в ядрах Linux, но готов потратить час на настройку? Я расскажу на основе реального опыта.
Первое правило: никаких крупных коммерческих VPN
Сразу забудьте про громкие имена, которые рекламируют блогеры. ExpressVPN, NordVPN, Surfshark и прочие гиганты. Их пулы IP-адресов вычисляются моментально. Роскомнадзор давно занёс их серверы в чёрные списки. Даже если сейчас какой-то адрес и работает, это временно. Через неделю или месяц его заблокируют, и вы останетесь с купленной подпиской, которая бесполезна.
Отсюда первый вывод. Ваш VPN должен быть либо личным (вы поднимаете сервер себе сами), либо использовать малоизвестного локального провайдера. В России сейчас выросло много маленьких VPN-сервисов, которые ориентируются только на местный рынок. Они меняют IP-пулы каждые несколько дней, работают по более хитрым схемам и пока что чувствуют себя неплохо. Но самый надёжный вариант это свой собственный сервер. Дешево, сердито и вас никто не заблокирует, кроме вас самих.
Почему WireGuard и OpenVPN больше не вариант
Давайте сразу расставим точки над i. И WireGuard, и OpenVPN это прекрасные, быстрые и безопасные протоколы. Но они не проектировались для обхода цензуры. Их задача была дать шифрованный канал связи, а не прятать сам факт того, что вы используете VPN.
В России эти протоколы уже давно научились блокировать по характерным признакам. DPI (глубокая проверка пакетов) легко видит рукопожатие OpenVPN или специфичный трафик WireGuard. Если ваш сервер стоит за рубежом и вы пытаетесь подключиться по этим протоколам из домашней сети, скорее всего, соединение либо зависнет, либо оборвётся через пару минут.
Бывают исключения. Иногда WireGuard работает с российскими VDS-серверами, которые арендованы у местных хостинг-провайдеров. Но это подходит для связи между своими серверами внутри РФ, а не для обхода блокировок. Плюс часто возникает ситуация: с домашнего интернета через Ростелеком всё летает, а с мобильного от МТС или Билайн даже не пингуется. Такой вариант нас не устраивает. Нам нужна стабильность везде, и дома, и в метро.
Поэтому WireGuard и OpenVPN откладываем в сторону. Они не для этих задач.
Shadowsocks (он же Outline): старый солдат, который ещё в строю
Теперь переходим к более интересным вещам. Shadowsocks это протокол, который проектировался специально для обхода жёсткой цензуры. Впервые его массово применили в Китае, потом в Иране. Идея гениальна в своей простоте. Вы не создаёте зашифрованный туннель, который видно издалека. Вы маскируете свой трафик под обычный HTTPS или случайный шум. DPI его не цепляет, потому что он похож на легитимное соединение с каким-нибудь сайтом.
В России этот протокол стал популярен после того, как начали глушить WireGuard и OpenVPN. А благодаря проекту Outline от Google, поднять свой сервер с Shadowsocks можно буквально за три клика. Скачали программу на комп, купили самый дешёвый VPS за пару долларов, нажали «подключить» и готово. Клиенты есть под все платформы: Windows, Mac, Android, даже под роутеры с OpenWrt.
На момент написания этой статьи Shadowsocks отлично себя чувствует на территории РФ. Многие небольшие провайдеры до сих пор используют его как основную технологию. Но есть один важный минус, о котором надо знать.
Протокол старый. Он практически не развивается. В свежих версиях OpenWrt (например, 24.10) уже удалили пакет shadowsocks-libev. Это тревожный звоночек. Со временем и в других дистрибутивах Linux его поддержка ухудшится. Поэтому я рекомендую рассматривать Shadowsocks как временное или резервное решение. А переходить на то, что пришло ему на смену.
Xray, sing-box и связка VLESS Reality. Современный стандарт
Эволюция обходных протоколов выглядит так. Сначала был Shadowsocks. Потом появился V2Ray, затем его форк V2Fly, а теперь два главных игрока это Xray и sing-box. Они поддерживают кучу разных протоколов: Trojan, Vmess, VLESS и другие. И самое главное, могут использовать транспортные протоколы вроде WebSocket, gRPC, QUIC, а также технологии маскировки TLS и Reality.
Звучит сложно, но на практике вам не нужно вникать во все эти дебри. Достаточно знать самую популярную, надёжную и относительно простую в настройке связку на сегодняшний день.
Это VLESS в связке с TCP и Reality.
Почему именно Reality? Потому что этот протокол обеспечивает идеальную маскировку. Он делает ваш трафик неотличимым от обычного посещения легального сайта. Вы указываете в настройках адрес какого-нибудь реально существующего и не заблокированного в РФ сайта, например yandex.ru или rutube.ru. Сервер вашего провайдера видит, что вы ходите на Яндекс, и пропускает трафик. А на самом деле внутри этой "обёртки" идёт ваш защищённый канал.
На момент подготовки этого материала я не встречал ни одного случая блокировки связки VLESS Reality на территории РФ. Провайдеры просто не могут отличить её от легитимного трафика. Более того, эта технология отлично показывает себя в Китае и Иране, где цензура куда жестче, чем в России.
И главный плюс. Появилось много инструментов, которые позволяют поднять такой сервер за пару минут. Например, панели Marzban или 3X-UI. Ставите на свой VPS один скрипт, открываете веб-морду, заполняете пару полей (выбираете протокол VLESS, порт, адрес сайта для маскировки) и получаете готовую конфигурацию.
Клиенты для VLESS Reality есть под все устройства
Вас не бросят без софта. На любую операционную систему есть работающий клиент.
Для Windows и Linux используйте v2rayN. Это удобная оболочка, которая умеет держать много конфигураций одновременно, мерять скорость, переключать прокси по кнопке.
Для тех, кто сидит на Mac с новыми процессорами Apple Silicon (M1, M2, M3), идеальный выбор это Streisand. Тонкий, красивый клиент, который понимает все современные протоколы.
Если у вас старый Mac на Intel или Hackintosh, берите FoXray.
Для Android стандарт де-факто это v2rayNG. Простая, бесплатная и очень надёжная программа. Поддерживает сканирование QR-кодов, так что настройка займёт десять секунд.
Для роутеров. Если вы хотите, чтобы VPN работал на всех устройствах в доме без танцев с бубном, ставите на роутер OpenWrt пакет Passwall. А для владельцев роутеров Keenetic есть утилита Xkeen, которая встраивается прямо в родную прошивку.
Чего я не стал касаться
Есть ещё протоколы вроде Clash или Hysteria. Clash скорее инструмент для маршрутизации и разбора трафика, чем чистый протокол обхода. Hysteria интересен тем, что использует QUIC и может разгоняться до неприличных скоростей на плохих линиях, но он сложнее в настройке. Клиенты под него есть не на всех системах. Пока что можно спокойно обходиться связкой VLESS Reality, которая проще и стабильнее.
Итог. Что выбрать прямо сейчас
Если вам нужно простое решение, которое работает здесь и сейчас, и вам лень возиться с Xray, берите Shadowsocks (Outline). Поставите за пятнадцать минут, провайдеры его почти не блокируют. Но помните, что он постепенно устаревает.
Если вы хотите сделать один раз и забыть на полгода или год, если вам важна максимальная скрытность и уверенность в том, что соединение не оборвут в самый ответственный момент, ваш выбор это VLESS Reality на базе Xray или sing-box.
Арендуете самый дешёвый VPS за пределами России (подойдёт даже за 2-3 доллара в месяц). Ставите на него панель Marzban или 3X-UI. Создаёте один сервер с протоколом VLESS, транспортом TCP и Reality. Сканируете QR-код клиентом на телефоне или импортируете конфигурацию в v2rayN на компьютере.
Всё. Никаких блокировок, никаких замедлений. Провайдер видит, что вы просто сидите в Яндексе, а вы тем временем спокойно работаете с тем контентом, к которому нужен доступ. Выбирайте правильные инструменты и оставайтесь в сети, несмотря ни на что.
Многие популярные сервисы, о которых писали в топах два года назад, сегодня просто не открываются. Их серверы заблокировали, а протоколы, на которых они работали, провайдеры научились распознавать и резать. Что делать обычному человеку, который не хочет разбираться в ядрах Linux, но готов потратить час на настройку? Я расскажу на основе реального опыта.
Первое правило: никаких крупных коммерческих VPN
Сразу забудьте про громкие имена, которые рекламируют блогеры. ExpressVPN, NordVPN, Surfshark и прочие гиганты. Их пулы IP-адресов вычисляются моментально. Роскомнадзор давно занёс их серверы в чёрные списки. Даже если сейчас какой-то адрес и работает, это временно. Через неделю или месяц его заблокируют, и вы останетесь с купленной подпиской, которая бесполезна.
Отсюда первый вывод. Ваш VPN должен быть либо личным (вы поднимаете сервер себе сами), либо использовать малоизвестного локального провайдера. В России сейчас выросло много маленьких VPN-сервисов, которые ориентируются только на местный рынок. Они меняют IP-пулы каждые несколько дней, работают по более хитрым схемам и пока что чувствуют себя неплохо. Но самый надёжный вариант это свой собственный сервер. Дешево, сердито и вас никто не заблокирует, кроме вас самих.
Почему WireGuard и OpenVPN больше не вариант
Давайте сразу расставим точки над i. И WireGuard, и OpenVPN это прекрасные, быстрые и безопасные протоколы. Но они не проектировались для обхода цензуры. Их задача была дать шифрованный канал связи, а не прятать сам факт того, что вы используете VPN.
В России эти протоколы уже давно научились блокировать по характерным признакам. DPI (глубокая проверка пакетов) легко видит рукопожатие OpenVPN или специфичный трафик WireGuard. Если ваш сервер стоит за рубежом и вы пытаетесь подключиться по этим протоколам из домашней сети, скорее всего, соединение либо зависнет, либо оборвётся через пару минут.
Бывают исключения. Иногда WireGuard работает с российскими VDS-серверами, которые арендованы у местных хостинг-провайдеров. Но это подходит для связи между своими серверами внутри РФ, а не для обхода блокировок. Плюс часто возникает ситуация: с домашнего интернета через Ростелеком всё летает, а с мобильного от МТС или Билайн даже не пингуется. Такой вариант нас не устраивает. Нам нужна стабильность везде, и дома, и в метро.
Поэтому WireGuard и OpenVPN откладываем в сторону. Они не для этих задач.
Shadowsocks (он же Outline): старый солдат, который ещё в строю
Теперь переходим к более интересным вещам. Shadowsocks это протокол, который проектировался специально для обхода жёсткой цензуры. Впервые его массово применили в Китае, потом в Иране. Идея гениальна в своей простоте. Вы не создаёте зашифрованный туннель, который видно издалека. Вы маскируете свой трафик под обычный HTTPS или случайный шум. DPI его не цепляет, потому что он похож на легитимное соединение с каким-нибудь сайтом.
В России этот протокол стал популярен после того, как начали глушить WireGuard и OpenVPN. А благодаря проекту Outline от Google, поднять свой сервер с Shadowsocks можно буквально за три клика. Скачали программу на комп, купили самый дешёвый VPS за пару долларов, нажали «подключить» и готово. Клиенты есть под все платформы: Windows, Mac, Android, даже под роутеры с OpenWrt.
На момент написания этой статьи Shadowsocks отлично себя чувствует на территории РФ. Многие небольшие провайдеры до сих пор используют его как основную технологию. Но есть один важный минус, о котором надо знать.
Протокол старый. Он практически не развивается. В свежих версиях OpenWrt (например, 24.10) уже удалили пакет shadowsocks-libev. Это тревожный звоночек. Со временем и в других дистрибутивах Linux его поддержка ухудшится. Поэтому я рекомендую рассматривать Shadowsocks как временное или резервное решение. А переходить на то, что пришло ему на смену.
Xray, sing-box и связка VLESS Reality. Современный стандарт
Эволюция обходных протоколов выглядит так. Сначала был Shadowsocks. Потом появился V2Ray, затем его форк V2Fly, а теперь два главных игрока это Xray и sing-box. Они поддерживают кучу разных протоколов: Trojan, Vmess, VLESS и другие. И самое главное, могут использовать транспортные протоколы вроде WebSocket, gRPC, QUIC, а также технологии маскировки TLS и Reality.
Звучит сложно, но на практике вам не нужно вникать во все эти дебри. Достаточно знать самую популярную, надёжную и относительно простую в настройке связку на сегодняшний день.
Это VLESS в связке с TCP и Reality.
Почему именно Reality? Потому что этот протокол обеспечивает идеальную маскировку. Он делает ваш трафик неотличимым от обычного посещения легального сайта. Вы указываете в настройках адрес какого-нибудь реально существующего и не заблокированного в РФ сайта, например yandex.ru или rutube.ru. Сервер вашего провайдера видит, что вы ходите на Яндекс, и пропускает трафик. А на самом деле внутри этой "обёртки" идёт ваш защищённый канал.
На момент подготовки этого материала я не встречал ни одного случая блокировки связки VLESS Reality на территории РФ. Провайдеры просто не могут отличить её от легитимного трафика. Более того, эта технология отлично показывает себя в Китае и Иране, где цензура куда жестче, чем в России.
И главный плюс. Появилось много инструментов, которые позволяют поднять такой сервер за пару минут. Например, панели Marzban или 3X-UI. Ставите на свой VPS один скрипт, открываете веб-морду, заполняете пару полей (выбираете протокол VLESS, порт, адрес сайта для маскировки) и получаете готовую конфигурацию.
Клиенты для VLESS Reality есть под все устройства
Вас не бросят без софта. На любую операционную систему есть работающий клиент.
Для Windows и Linux используйте v2rayN. Это удобная оболочка, которая умеет держать много конфигураций одновременно, мерять скорость, переключать прокси по кнопке.
Для тех, кто сидит на Mac с новыми процессорами Apple Silicon (M1, M2, M3), идеальный выбор это Streisand. Тонкий, красивый клиент, который понимает все современные протоколы.
Если у вас старый Mac на Intel или Hackintosh, берите FoXray.
Для Android стандарт де-факто это v2rayNG. Простая, бесплатная и очень надёжная программа. Поддерживает сканирование QR-кодов, так что настройка займёт десять секунд.
Для роутеров. Если вы хотите, чтобы VPN работал на всех устройствах в доме без танцев с бубном, ставите на роутер OpenWrt пакет Passwall. А для владельцев роутеров Keenetic есть утилита Xkeen, которая встраивается прямо в родную прошивку.
Чего я не стал касаться
Есть ещё протоколы вроде Clash или Hysteria. Clash скорее инструмент для маршрутизации и разбора трафика, чем чистый протокол обхода. Hysteria интересен тем, что использует QUIC и может разгоняться до неприличных скоростей на плохих линиях, но он сложнее в настройке. Клиенты под него есть не на всех системах. Пока что можно спокойно обходиться связкой VLESS Reality, которая проще и стабильнее.
Итог. Что выбрать прямо сейчас
Если вам нужно простое решение, которое работает здесь и сейчас, и вам лень возиться с Xray, берите Shadowsocks (Outline). Поставите за пятнадцать минут, провайдеры его почти не блокируют. Но помните, что он постепенно устаревает.
Если вы хотите сделать один раз и забыть на полгода или год, если вам важна максимальная скрытность и уверенность в том, что соединение не оборвут в самый ответственный момент, ваш выбор это VLESS Reality на базе Xray или sing-box.
Арендуете самый дешёвый VPS за пределами России (подойдёт даже за 2-3 доллара в месяц). Ставите на него панель Marzban или 3X-UI. Создаёте один сервер с протоколом VLESS, транспортом TCP и Reality. Сканируете QR-код клиентом на телефоне или импортируете конфигурацию в v2rayN на компьютере.
Всё. Никаких блокировок, никаких замедлений. Провайдер видит, что вы просто сидите в Яндексе, а вы тем временем спокойно работаете с тем контентом, к которому нужен доступ. Выбирайте правильные инструменты и оставайтесь в сети, несмотря ни на что.