VPN перестал
работать. Почему?
Вчера VPN держал, сегодня молчит. Дело не в приложении — на линии стоит ТСПУ, и оно научилось распознавать VPN. Разбираем, как именно фильтр режет соединение и какой подход это переживает.
ТСПУ — «технические средства противодействия угрозам», оборудование, установленное у российских операторов связи. По сути это глубокий анализатор трафика (DPI), который смотрит не только куда идёт соединение, но и как оно выглядит изнутри.
Раньше блокировки шли по простому списку адресов. ТСПУ работает тоньше: оно умеет распознавать сам почерк VPN-протоколов и резать их, даже если сервер новый и нигде не «засвечен».
Три способа, которыми вас находят
По имени сайта (SNI)
В начале защищённого соединения имя сервера передаётся открытым текстом. Фильтр читает его и решает — пропустить или резать. Так блокируют по доменам.
По почерку протокола
У типовых VPN (WireGuard, OpenVPN, голый Shadowsocks) узнаваемая «форма» пакетов. DPI распознаёт её и душит соединение, даже не зная адреса.
По адресу и портам
Известные IP VPN-провайдеров и нестандартные порты попадают в блок. А в режиме белых списков режется вообще всё, кроме одобренного.
Не прятать VPN, а быть неотличимым
Если DPI ищет «форму VPN» — значит, у трафика этой формы быть не должно. Vexin маскирует соединение под обычный HTTPS: для фильтра оно выглядит как рядовой заход на крупный сайт. Нечего распознавать — нечего резать.
Плюс к этому клиент сам следит за линией: если узел придушили — он переключается на живой и меняет маскировку. Без ручных настроек и плясок с конфигами. Поэтому Vexin держит коннект там, где типовой VPN отваливается после первой же волны блокировок.
- Маскировка под HTTPS — нет узнаваемого почерка протокола
- Авто-переключение — живой узел подбирается сам
- Без логов — историю посещений, DNS и содержимое не храним
Отдельный жёсткий случай — режим белых списков, когда отключают мобильный интернет целиком. Разобрали его отдельно.
Скорее всего, на линии ужесточили работу ТСПУ. Оборудование распознаёт почерк типовых VPN-протоколов и режет их. Смена сервера или протокола внутри того же приложения обычно не спасает — нужен другой подход к маскировке.
Редко и ненадолго. Если DPI научился узнавать форму протокола, перебор настроек внутри одного приложения даёт временный эффект. Устойчиво работает только маскировка под обычный трафик.
Vexin изначально строился против ТСПУ. Трафик маскируется под обычный HTTPS, а клиент сам переключается на живой узел при блокировке. Поэтому соединение держится там, где массовые VPN отваливаются.
Нет. Историю посещений, DNS-запросы и содержимое трафика мы не храним — таких данных у нас просто нет. Для биллинга остаётся минимум метаданных сессии, они удаляются в течение 30 дней.
VPN, который не глушится.
Подключайся за минуту. Не понравится — вернём деньги за 7 дней.