O que realmente funciona na Rússia em 2026
Se você tem amigo russo ou trabalha com colegas russos, provavelmente já viu isso acontecer: uma VPN que estavam usando há anos de repente para de conectar. Trocam pra outra. Funciona uma semana. Depois para também.
Isso não é coincidência e não é aleatório. É TSPU (os Meios Técnicos de Combate a Ameaças) fazendo exatamente o que foi implantado pra fazer, ficando melhor mês a mês, e Roskomnadzor publicando metas cada vez mais explícitas sobre quão longe pretendem levar.
Aqui está o que TSPU realmente faz, o que tem bloqueado com sucesso, o que ainda funciona em maio 2026, e pra onde a trajetória se dirige.
O que TSPU é e como vê seu tráfego
TSPU é hardware e software de filtragem implantado em todo provedor russo licenciado desde 2021, mandado pela lei de internet soberana de 2019. Fica inline no gateway do provedor. Todo pacote que sai de uma rede russa ou chega numa passa pelo TSPU primeiro. O hardware é operado pelo provedor mas configurado centralmente pelo Centro de Monitoramento e Controle da Rede Pública de Comunicações (CoSDP), que faz parte do aparato Roskomnadzor.
Funcionalmente, TSPU é um sistema de inspeção profunda de pacotes. Faz várias coisas:
Pattern matching. TSPU mantém biblioteca de fingerprints de protocolo. O primeiro pacote de handshake do WireGuard é sempre 148 bytes com estrutura específica: campo de tipo de 1 byte, três bytes zero reservados, índice de remetente de 4 bytes, e chave pública efêmera não criptografada de 32 bytes. TSPU combina isso em tempo real. A precisão de detecção é próxima de 100%.
Análise de entropia. Tráfego criptografado tem entropia alta — bytes parecem aleatórios, sem estrutura reconhecível. Tráfego HTTPS normal tem entropia mista: handshake TLS estruturado com cadeias de certificado previsíveis, depois dados de aplicação criptografados com tamanhos de registro característicos. Uma conexão Shadowsocks tem entropia alta desde o pacote um. TSPU sinaliza streams cujo perfil de entropia não combina com qualquer protocolo legítimo conhecido.
Probing ativo. Quando TSPU vê uma conexão suspeita, pode despachar sua própria conexão pro mesmo IP de destino e porta dentro de segundos. Se a resposta daquele servidor difere do que serviço legítimo retornaria, o IP é adicionado à lista de bloqueio.
Análise estatística. TSPU rastreia comportamento agregado por IP, por ASN, por região. Se um único IP residencial russo de repente abre 50 conexões TLS de longa duração a um provedor VPS que não hospeda serviços populares-russos legítimos, esse padrão por si só vira sinal de detecção.
Essas não são capacidades teóricas. Estão rodando, hoje, contra toda conexão de toda rede residencial e móvel russa.
O que TSPU bloqueou
Até Q1 2026, os protocolos que TSPU faz fingerprint e bloqueia com sucesso em todo grande provedor russo:
WireGuard. Desde 2023. O pacote de iniciação de handshake de 148 bytes é rígido demais pra variar; algumas variantes "ofuscadas WireGuard" existem (NordLynx do NordVPN, configuração padrão do Mullvad) mas TSPU detecta todas. Conexão de provedor russo falha em 1-3 segundos.
OpenVPN (TCP e UDP). Desde 2022, com precisão crescente. O handshake TLS do OpenVPN tem timing distintivo e o canal de controle usa formato de framing reconhecível. Mesmo wrappers OpenVPN-XOR e obfs4 são detectados.
IKEv2 / IPsec / L2TP. Detectado pela estrutura de pacote ESP ou handshake IKEv2. Bloqueado.
VLESS plano sem Vision. Esse é o desenvolvimento de fim de 2025. TSPU foi atualizado pra fazer fingerprint de streams VLESS genéricos. Alguns provedores enviando Reality mas sem Vision flow (xtls-rprx-vision) também são afetados agora, porque Vision é o que elimina o padrão TLS-em-TLS que esse fingerprint combina contra. VLESS plano, com ou sem Reality básico, agora é bloqueado.
Shadowsocks. Incluindo variantes AEAD. Análise de entropia pega streams de alta entropia; probing ativo pega a ausência de handshake TLS real.
SOCKS5. Detectado pela estrutura de handshake.
obfs4 e meek. Os transportes plugáveis Tor. Detectados por padrões de entropia e timing.
Maioria dos modos "stealth" ou "ofuscados" das grandes marcas de VPN. Lightway do ExpressVPN, NordLynx do NordVPN com ofuscação, Camouflage do Surfshark, Stealth padrão do ProtonVPN — pattern-matched a graus variáveis. Alguns ainda funcionam intermitentemente; nenhum confiavelmente.
É por isso que usuários russos de VPN ficam ciclando entre provedores. O protocolo primário de cada marca grande é detectável. O modo "ofuscado" que é vendido como recurso de bypass de censura está uma geração atrás do que TSPU pode fazer fingerprint.
O que ainda funciona em maio 2026
Os protocolos que fazem handshake confiavelmente de redes residenciais e móveis russas:
VLESS Reality com Vision flow. Essa é a combinação chave. Reality faz handshake TLS 1.3 real a um host público real (microsoft.com, cloudflare.com, apple.com) e encaminha o certificado real daquele host. O Vision flow elimina o sinal de detecção TLS-em-TLS. Juntos, o tráfego é estatisticamente indistinguível de um navegador normal conectando àquele host.
Por um paper USENIX Security e nossa própria telemetria de servidor, sucesso de handshake Reality+Vision na Rússia em maio 2026 é cerca de 95%. Os 5% restantes vêm de bloqueio por reputação de IP em faixas VPS específicas, não detecção de protocolo. Se o IP que seu provedor VPN usa tem padrão de reputação (usuários residenciais conectando a um VPS que também serve site HTTPS estável), TSPU às vezes sinaliza. Solução: rotacionar faixas de IP, preferir provedores que mantêm espaço de IP "limpo".
Escrevemos o guia longo do protocolo sobre Reality se quer o detalhe arquitetural.
NaiveProxy. Usa a stack de rede real do Chrome pra fazer conexões HTTP/2 a um backend real. O tráfego é byte-idêntico ao tráfego Chrome porque literalmente é. Menos amplamente implantado que Reality, mas funciona.
Hysteria 2. Um protocolo baseado em QUIC com mascaramento forte e baixo overhead em redes com perda. Alguns provedores russos estrangulam Hysteria mais agressivamente que outros; taxa de sucesso varia mas é geralmente acima de 70%.
ShadowTLS. Faz handshake TLS real a um host público, similar em espírito ao Reality. Menos maduro que Reality mas funciona em TSPU.
O padrão é claro. Qualquer coisa que faz handshake TLS 1.3 real a um host público real sobrevive ao TSPU. Qualquer coisa que não faz — mesmo com ofuscação criativa — eventualmente é fingerprinted.
Auto-troca do Fexyn
Não esperamos que usuários saibam disso.
Fexyn Bolt é nossa implementação WireGuard. Fexyn Stealth é nossa implementação VLESS Reality+Vision. O cliente Fexyn tenta Bolt primeiro porque é mais rápido. Se a rede bloqueia ou estrangula Bolt, o cliente troca pra Stealth automaticamente. O usuário não precisa configurar nada.
Na Rússia, recomendamos pinar Stealth como padrão nas configurações do app em vez de esperar pela auto-detecção. Isso pula o passo de tentativa-Bolt-falhada e conecta mais rápido em redes onde já sabemos que Bolt não funciona.
A arquitetura completa está documentada em as notas do helper service pra rotação de protocolo. A versão curta: cada protocolo tem sua própria máquina de estado de conexão, o motor de rotação trata Bolt-falha como sinal pra subir pra Stealth sem prompt do usuário, e medimos sucesso por protocolo por região-de-servidor pra que a lógica de rotação melhora conforme TSPU evolui.
O que Roskomnadzor provavelmente tentará
O orçamento Roskomnadzor 2026 inclui aproximadamente 20 bilhões de rublos por ano pra infraestrutura permanente de censura de VPN. A meta publicada é bloquear 92% dos apps de VPN até 2030. A trajetória é escalada. Alguns dos próximos passos são previsíveis:
Pontuação mais agressiva de reputação de IP. TSPU já faz parte disso, bloqueando faixas de IP que mostram padrões combinando com implantações de VPN. Expandir isso é barato e evita o problema de detecção de protocolo inteiramente. A defesa é do lado do provedor: manter faixas de IP "limpas", rotacionar IPs, idealmente usar espaço de IP residencial ou empresarial em vez de faixas VPS conhecidas.
Whitelisting de host de camuflagem. TSPU poderia manter lista de hosts de camuflagem aprovados (Microsoft, Cloudflare, Apple) e ou bloquear tráfego pra eles inteiramente (politicamente caro — empresas russas dependem desses serviços) ou fazer inspeção mais profunda de sessões TLS pra hosts de camuflagem sinalizados. O caminho de inspeção mais profunda requer quebrar a sessão TLS, que requereria movimento estilo iraniano de injeção-de-CA-estatal que Rússia tentou em forma limitada mas não em escala.
Análise estatística de timing. Reality+Vision é estatisticamente indistinguível de uma sessão real de navegação Microsoft no nível de pacote, mas um único usuário gerando conexões Microsoft sustentadas por horas todo dia em alto throughput é um padrão comportamental que não combina com comportamento típico de usuário Microsoft. Esse tipo de análise requer compute significativo e produz muitos falsos positivos, que é por que ainda não é implantado.
Bloqueio por app dentro do túnel. TSPU já pode detectar padrões conhecidos de tráfego WhatsApp, Signal, e Telegram mesmo quando tunelados por VPN — porque o tráfego interno ainda tem assinaturas de timing e tamanho de pacote. Até agora isso é só usado seletivamente contra alvos de alto perfil. Implantação mais ampla aumentaria dramaticamente o custo de compute do TSPU e ainda não é operacional.
A vantagem arquitetural do Reality é que a decepção é estrutural. Não há handshake falso, certificado falso, alvo falso. A decepção é uma pequena peça de material criptográfico escondida dentro de um handshake TLS de outra forma genuíno. Pra detectar, TSPU precisaria quebrar TLS em si ou manter modelo comportamental de todo usuário legítimo de todo host de camuflagem. Nenhum é barato.
O que isso significa pra você
Se você mora na Rússia ou viaja pra lá, a resposta prática é simples. Use VPN que envia VLESS Reality com Vision flow. Pine como seu protocolo padrão. Use crypto pra cobrança porque infraestrutura de pagamento por cartão está quebrada pra usuários russos em serviços ocidentais. Instale sua VPN antes de precisar baixar dentro da Rússia, porque sites de provedor de VPN são bloqueados a qualquer momento.
Se você opera serviço de VPN pra usuários russos — e muitos self-hosters operam — fique de olho no issue tracker XTLS Reality, mantenha Reality+Vision (não Reality plano), use hosts de camuflagem rotativos de alto tráfego, e prefira espaço de IP "limpo".
Se está lendo isso porque uma VPN que você costumava usar parou de funcionar na Rússia — esse é o sistema funcionando como projetado. A correção é protocolo diferente, não servidor diferente. Maioria das marcas grandes (NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad) atualmente não envia VLESS Reality. O subconjunto menor que envia (Astrill, Fexyn, várias stacks self-host) é o conjunto funcionando em 2026.
Experimente o Fexyn grátis por 7 dias. Stealth (VLESS Reality com Vision flow) está incluído em todo plano. Cobrança apenas em crypto pra Rússia (US$ 2,99/mês, Tier 4). A página de país Rússia tem o detalhe completo de setup. O guia de protocolo explica por que Reality com Vision continua funcionando quando tudo mais falha.