VPN para Turquia: como o DPI pega o WireGuard

Se sua VPN fica desconectando em Istambul ou Ancara, você não está imaginando. A BTK turca (Bilgi Teknolojileri ve İletişim Kurumu) emite ordens de bloqueio pra ISPs regularmente, e Türk Telekom junto com as principais operadoras móveis rodam deep packet inspection em conexões consumidor. Sessões WireGuard padrão são fingerprintadas e throttled. Sessões OpenVPN padrão pegam o mesmo tratamento, frequentemente em horas após estabelecimento.

Esse é o post que explica o que é bloqueado, como o bloqueio funciona, e qual protocolo fica de pé.

O que é bloqueado na Turquia

Padrões de bloqueio mudam, mas as categorias recorrentes são:

• Wikipedia. Bloqueada de 2017 a 2019 por artigos conectando Turquia a grupos militantes. Atualmente acessível. Pode mudar.
• Twitter / X. Throttled a quase inutilizável durante períodos eleitorais, depois de ataques terroristas e durante protestos antigovernamentais. O throttle é bandwidth-shaping, não DNS — DNS-over-HTTPS não ajuda.
• YouTube. Bloqueado múltiplas vezes nos anos 2010. Atualmente acessível. Foi throttled durante eventos noticiosos específicos.
• Sites de notícias. Veículos independentes menores (Bianet, Diken, Bold Medya, outros) são bloqueados sob Artigo 8/A da Lei n. 5651 — a seção que permite à BTK exigir remoção em 4 horas.
• Mídia social durante protestos. Quando protestos acontecem, throttles caem. A desqualificação do prefeito de Istambul de 2024 e as prisões em massa do Aeroporto Atatürk ambas dispararam slowdowns no Twitter.

O padrão unificador: Turquia não bloqueia a internet aberta no atacado. Throttle ou bloqueia serviços específicos em resposta a eventos específicos, e é eficaz o suficiente pra que a maioria dos usuários ou desista ou migre pra VPN.

Aí bloqueia as VPNs.

Como Türk Telekom faz o bloqueio

Duas camadas:

Bloqueio a nível DNS. ISPs turcos retornam NXDOMAIN ou respostas redirect pra hostnames bloqueados. Essa é a camada barata. Pega usuários que não trocaram seu DNS resolver. DNS-over-HTTPS em navegadores modernos derrota essa camada inteiramente.

Bloqueio a nível DPI. Essa é a camada que importa. ISPs turcos deployam hardware DPI comercial (vendors como Sandvine e Allot foram documentados; ambos venderam pra Türk Telekom historicamente). O DPI olha padrões de pacote e fingerprint protocolos VPN pelo formato estrutural.

O que o DPI vê duma VPN padrão:

• WireGuard: handshake UDP distintivo com message types fixos 1-4 e tamanhos de mensagem em ranges conhecidos
• OpenVPN: TLS handshake com timing característico, mais o padrão de canal de controle específico do OpenVPN
• IPSec/IKEv2: UDP/500 e UDP/4500 com estruturas de handshake muito reconhecíveis
• "Modos de obfuscation" padrão envolvendo tráfego VPN em TLS padding: TLS handshake estruturalmente diferente dum handshake real de navegador (timing, distribuição de padding, ordem de extensão)

Cada um disso tem assinatura. Uma vez reconhecido, a conexão é throttled pra velocidades de dial-up ou dropada inteiramente.

Por isso tantos claims de "VPN funciona na Turquia" envelhecem mal. Um protocolo que funcionou ano passado pode não funcionar esse ano, porque o fingerprint DPI foi adicionado.

Por que VLESS Reality é estruturalmente diferente

A maioria das abordagens de "obfuscation" começa de um protocolo VPN e tenta fazê-lo parecer HTTPS. VLESS Reality começa de HTTPS real e carrega dados VPN dentro.

O mecanismo:

1. O cliente VPN abre uma conexão TLS 1.3 real com um site público real e bem conhecido. Cloudflare, Microsoft, Apple — escolha um host que lida com tráfego enorme e é improvável de ser bloqueado porque muitas outras coisas dependem dele.
2. O TLS handshake é genuíno. O certificado é o certificado real que aquele site público serve, assinado pela CA real. SNI é o SNI real pra aquele site.
3. Dentro da sessão TLS estabelecida, os dados VPN fluem.

Pro DPI olhando o cabo, seu tráfego é uma conexão TLS 1.3 pra um site público grande. Mesmo SNI que conexão de qualquer outra pessoa pra aquele site. Mesmo certificado. Mesmo timing de handshake que navegador real.

Pra bloquear, o censor precisaria bloquear o handshake host — um site público grande que muitos outros usuários de internet turcos dependem. Eles geralmente não fazem, porque o custo colateral é alto demais.

É isso que o Fexyn entrega como Fexyn Stealth. Leia VLESS Reality / XRay no Fexyn pros detalhes de configuração, ou por que VLESS Reality bate WireGuard em países censurados pra comparação.

O que a gente não vai prometer

A gente não vai dizer que o Fexyn sempre passa por todo ISP turco em todo momento. A versão honesta:

• Filtros atualizam. Um protocolo que funciona hoje pode não funcionar amanhã se a BTK adicionar novo fingerprint.
• Durante incidentes maiores, todo tráfego VPN é shaped mais duro. Mesmo o Stealth funcionou menos bem durante janelas específicas de 24-48 horas em torno de eventos de protesto.
• Operadoras móveis (Turkcell, Vodafone, Türk Telekom Mobil) às vezes filtram mais agressivamente que ISPs fixos.

O que vamos dizer é que VLESS Reality é a técnica de evasion mais forte que sabemos entregar, e mantemos as configurações XRay atualizadas conforme o fingerprinting evolui. O trial grátis de 7 dias cobre uma semana real de teste na sua conexão de fato.

Como o Fexyn lida com troca automática de protocolo

O app Windows rotaciona por três protocolos se um for bloqueado:

• Fexyn Bolt (WireGuard) — mais rápido quando redes não filtram agressivamente
• Fexyn Stealth (VLESS Reality / XRay) — o protocolo que de fato funciona na Turquia sob DPI
• Fexyn Secure (OpenVPN) — TCP/443 fallback pras redes de hotel e corporativas mais travadas

Na Turquia, geralmente você vai querer setar Stealth como default. Abra os settings do app, fixe Fexyn Stealth, clique Connect. O motor de rotação ainda tenta Bolt primeiro se a rede parece irrestrita, mas Stealth está a um switch de distância.

Preço pra Turquia

O Fexyn usa preço regional em 192 países. Turquia está no nosso bracket Tier 4: $2.99/mês pro plano individual, cobrado em TRY na taxa atual. O desconto regional reflete a paridade de poder de compra mais baixa da Turquia, e significa que o custo dum VPN não pesa mais que o custo de contornar bloqueios.

Detalhes de preço com a taxa específica pra Turquia quando você visita de IP turco.

Setup rápido pra usuários turcos

1. Cadastre em fexyn.com/pricing. O trial grátis de 7 dias começa quando a conta existe.
2. Instale o app Windows de fexyn.com/download/windows. Authenticode-assinado; verificação na página de segurança.
3. Abra settings, fixe Fexyn Stealth como protocolo default.
4. Conecte. O handshake leva alguns segundos — Stealth é mais pesado que WireGuard.
5. Teste nos serviços que você de fato usa. Se algo específico não funcionar, tente uma localização de servidor diferente do app.

Se nada conectar da sua rede, o trial não custa nada. Mande email pra support@fexyn.com com seu ISP e quais protocolos tentou. Usamos esses dados pra ajustar a ordem de rotação pra redes turcas.

Leitura relacionada

• VLESS Reality / XRay no Fexyn
• Deep packet inspection, explicado
• Como VLESS Reality torna tráfego VPN invisível pra censores
• Por que VLESS Reality bate WireGuard em países censurados
• VPN pra jornalistas
• Preço

Experimente o Fexyn grátis por 7 dias — Stealth fixado, veja se passa pela sua conexão específica.