Что реально работает в России в 2026
Если у тебя есть российский друг или работаешь с российскими коллегами, наверняка видел это: VPN, который работал годами, вдруг перестаёт подключаться. Переключаются на другой. Тот работает неделю. Потом тоже перестаёт.
Это не совпадение и не случайность. Это ТСПУ (Технические средства противодействия угрозам), делающий именно то, для чего развёрнут, становящийся лучше месяц за месяцем, и Роскомнадзор, публикующий всё более явные цели, как далеко они собираются зайти.
Вот что ТСПУ реально делает, что успешно заблокировал, что всё ещё работает в мае 2026, и куда ведёт траектория.
Что такое ТСПУ и как он видит твой трафик
ТСПУ — фильтрующее железо и софт, развёрнутый у каждого лицензированного российского провайдера с 2021, обязательный по закону о суверенном интернете 2019. Сидит инлайн на gateway провайдера. Каждый пакет, покидающий российскую сеть или приходящий, сначала проходит через ТСПУ. Железо оперируется провайдером, но настраивается централизованно из Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), части аппарата Роскомнадзора.
Функционально ТСПУ — система глубокого анализа пакетов (DPI). Делает несколько вещей:
Pattern matching. ТСПУ держит библиотеку фингерпринтов протоколов. Первый пакет handshake WireGuard всегда 148 байт с конкретной структурой: 1-байтовое поле типа, три зарезервированных нулевых байта, 4-байтовый sender index и 32-байтовый незашифрованный эфемерный публичный ключ. ТСПУ матчит это в реальном времени. Точность детекта близка к 100%.
Энтропийный анализ. Зашифрованный трафик имеет высокую энтропию — байты выглядят случайно, без узнаваемой структуры. Нормальный HTTPS-трафик имеет смешанную энтропию: структурированный TLS-handshake с предсказуемыми цепочками сертификатов, потом зашифрованные данные приложения с характерными размерами записей. Соединение Shadowsocks высокоэнтропийно с первого пакета. ТСПУ флагает потоки, чей энтропийный профиль не совпадает с известным легитимным протоколом.
Активное зондирование. Когда ТСПУ видит подозрительное соединение, может за секунды отправить своё соединение к тому же IP и порту. Если ответ от того сервера отличается от того, что вернёт легитимный сервис, IP добавляется в блок-лист.
Статистический анализ. ТСПУ трекает агрегатное поведение по IP, ASN, региону. Если один российский residential IP внезапно открывает 50 долгоживущих TLS-соединений к VPS-провайдеру, не хостящему легитимных популярных в России сервисов — паттерн сам по себе становится сигналом детекта.
Это не теоретические возможности. Они работают сегодня против каждого соединения с каждой российской residential и мобильной сети.
Что ТСПУ заблокировал
К Q1 2026 протоколы, которые ТСПУ успешно фингерпринтит и блокирует у каждого крупного российского провайдера:
WireGuard. С 2023. 148-байтовый пакет инициации handshake слишком жёсткий для вариаций; часть «обфусцированных WireGuard» вариантов существует (NordLynx у NordVPN, стандартная конфигурация Mullvad), но ТСПУ детектит все. Соединение с российского провайдера падает за 1–3 секунды.
OpenVPN (TCP и UDP). С 2022 с растущей точностью. TLS-handshake OpenVPN имеет характерные тайминги, и контрольный канал использует узнаваемый формат фрейминга. Даже OpenVPN-XOR и obfs4-обёртки детектируются.
IKEv2 / IPsec / L2TP. Детектится по структуре ESP-пакета или handshake IKEv2. Заблокировано.
Plain VLESS без Vision. Это разработка конца 2025. ТСПУ обновили для фингерпринтинга обычных VLESS-потоков. Часть провайдеров, поставляющих Reality, но без Vision flow (xtls-rprx-vision), теперь тоже затронута, потому что Vision устраняет TLS-in-TLS паттерн, на который этот фингерпринт матчит. Plain VLESS с базовым Reality или без — теперь заблокирован.
Shadowsocks. Включая AEAD-варианты. Энтропийный анализ ловит высокоэнтропийные потоки; активное зондирование ловит отсутствие настоящего TLS-handshake.
SOCKS5. Детектится по структуре handshake.
obfs4 и meek. Tor pluggable transports. Детектятся по энтропии и таймингам.
Большинство «stealth» или «obfuscated» режимов от крупных VPN-брендов. Lightway у ExpressVPN, NordLynx с обфускацией, Camouflage у Surfshark, стандартный Stealth у ProtonVPN — пэттерн-матчатся в разной степени. Часть всё ещё работает с перебоями; ни один надёжно.
Поэтому российские пользователи VPN постоянно циклятся через провайдеров. Основной протокол каждого крупного бренда детектируем. «Обфусцированный» режим, продаваемый как фича обхода цензуры, на поколение позади того, что ТСПУ может зафингерпринтить.
Что всё ещё работает в мае 2026
Протоколы, надёжно делающие handshake с российских residential и мобильных сетей:
VLESS Reality с Vision flow. Это load-bearing комбинация. Reality делает настоящий TLS 1.3 handshake к настоящему публичному хосту (microsoft.com, cloudflare.com, apple.com) и форвардит реальный сертификат хоста. Vision flow устраняет сигнал детекта TLS-in-TLS. Вместе трафик статистически неотличим от нормального браузера, подключающегося к тому хосту.
По статье USENIX Security и нашей собственной телеметрии серверов, успешность handshake Reality+Vision в России в мае 2026 — около 95%. Оставшиеся 5% — IP-репутационная блокировка на конкретных VPS-диапазонах, не детект протокола. Если IP, который использует VPN-провайдер, имеет паттерн репутации (residential пользователи, подключающиеся к VPS, также обслуживающему стабильный HTTPS-сайт), ТСПУ иногда флагает. Решение: ротация IP-диапазонов, провайдеры, поддерживающие «чистое» IP-пространство.
Мы написали длинный гайд протокола про Reality, если хочешь архитектурных деталей.
NaiveProxy. Использует реальный сетевой стэк Chrome для HTTP/2-соединений к настоящему backend. Трафик байт-в-байт идентичен Chrome, потому что это реально и есть Chrome. Меньше развёрнут, чем Reality, но работает.
Hysteria 2. QUIC-based протокол с сильной маскировкой и низким оверхедом на сетях с потерями. Часть российских провайдеров троттлят Hysteria агрессивнее других; успешность варьируется, но в общем выше 70%.
ShadowTLS. Делает настоящий TLS-handshake к публичному хосту, похожий по духу на Reality. Менее зрелый, но работает на ТСПУ.
Паттерн ясен. Всё, что делает настоящий TLS 1.3 handshake к настоящему публичному хосту, выживает на ТСПУ. Всё, что не — даже с творческой обфускацией — рано или поздно фингерпринтится.
Авто-переключение Fexyn
Мы не ждём, что пользователи это знают.
Fexyn Bolt — наша реализация WireGuard. Fexyn Stealth — наша реализация VLESS Reality+Vision. Клиент Fexyn пробует Bolt сначала, потому что быстрее. Если сеть блокирует или троттлит Bolt, клиент переключается на Stealth автоматически. Пользователю ничего не настраивать.
В России мы рекомендуем зафиксировать Stealth дефолтом в настройках, не ждать авто-детекта. Это пропускает шаг провалившегося Bolt-attempt и подключается быстрее на сетях, где мы уже знаем, что Bolt не работает.
Полная архитектура задокументирована в заметках helper-сервиса о ротации протоколов. Короткая версия: у каждого протокола свой state machine соединения, движок ротации трактует Bolt-failure как сигнал апгрейда до Stealth без подсказки пользователю, и мы измеряем успех по протоколу и регионе сервера, чтобы логика ротации улучшалась с эволюцией ТСПУ.
Что Роскомнадзор попробует следующим
Бюджет Роскомнадзора 2026 включает примерно 20 млрд рублей в год на постоянную инфраструктуру VPN-цензуры. Опубликованная цель — заблокировать 92% VPN-приложений к 2030. Траектория — эскалация. Часть следующих шагов предсказуемы:
Более агрессивный IP-репутационный скоринг. ТСПУ это уже частично делает, блокируя IP-диапазоны, показывающие паттерны VPN-развёртываний. Расширение дёшево и обходит проблему детекта протокола вообще. Защита на стороне провайдера: поддерживать «чистые» IP-диапазоны, ротировать IP, в идеале использовать residential или business-grade IP-пространство, а не известные VPS-диапазоны.
Whitelist камуфляж-хостов. ТСПУ мог бы поддерживать список одобренных камуфляж-хостов (Microsoft, Cloudflare, Apple) и либо блокировать трафик к ним полностью (политически дорого — российский бизнес зависит от этих сервисов), либо делать более глубокую инспекцию TLS-сессий к флаганутым хостам. Путь глубокой инспекции требует ломки TLS-сессии, что потребовало бы иранского-типа state-CA-injection, который Россия пробовала в ограниченной форме, но не масштабно.
Статистический анализ таймингов. Reality+Vision статистически неотличим от настоящей Microsoft-сессии на уровне пакетов, но один пользователь, генерирующий стабильные Microsoft-соединения часами каждый день на высокой пропускной — поведенческий паттерн, не совпадающий с типичным Microsoft-юзером. Этот анализ требует значительных вычислений и даёт много false positives, поэтому пока не развёрнут.
Per-app блокировка внутри туннеля. ТСПУ уже может детектить известные паттерны WhatsApp, Signal, Telegram, даже когда они туннелируются через VPN — потому что у внутреннего трафика всё равно есть тайминги и подписи размеров пакетов. Пока используется выборочно против высокопрофильных целей. Широкое развёртывание резко повысило бы compute-стоимость ТСПУ и пока не операционно.
Архитектурное преимущество Reality в том, что обман структурный. Нет фейкового handshake, фейкового сертификата, фейковой цели. Обман — небольшой кусок криптографического материала, спрятанный внутри иначе настоящего TLS-handshake. Чтобы детектить, ТСПУ должен ломать TLS сам или поддерживать поведенческую модель каждого легитимного юзера каждого камуфляж-хоста. Ни то, ни другое не дёшево.
Что это значит для тебя
Если живёшь в России или едешь туда, практический ответ простой. Используй VPN, поставляющий VLESS Reality с Vision flow. Зафиксируй дефолтным протоколом. Используй крипто для биллинга, потому что инфраструктура карточных платежей сломана для российских пользователей на западных сервисах. Установи VPN до того, как понадобится скачать его в России, потому что сайты VPN-провайдеров блокируются в любой момент.
Если оперируешь VPN-сервисом для российских пользователей — а многие self-hoster-ы это делают — следи за issue tracker XTLS Reality, поддерживай Reality+Vision (не plain Reality), используй ротирующиеся высокотрафиковые камуфляж-хосты и предпочитай «чистое» IP-пространство.
Если читаешь это, потому что VPN, которым пользовался, перестал работать в России — это система, функционирующая по дизайну. Фикс — другой протокол, не другой сервер. Большинство крупных брендов (NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad) сейчас не поставляют VLESS Reality вообще. Меньшее подмножество, поставляющее (Astrill, Fexyn, несколько self-host стэков) — рабочий набор в 2026.
Попробуй Fexyn бесплатно 7 дней. Stealth (VLESS Reality с Vision flow) включён в каждый план. Крипто-only биллинг для России ($2.99/мес, Tier 4). Страновая страница России имеет полные детали настройки. Гайд протокола объясняет, почему Reality с Vision продолжает работать, когда всё остальное падает.