VPN для Турции: как DPI ловит WireGuard

Если твой VPN постоянно отваливается в Стамбуле или Анкаре — тебе не кажется. Турецкая BTK (Bilgi Teknolojileri ve İletişim Kurumu) регулярно выдаёт распоряжения о блокировках, а Türk Telekom вместе с крупными мобильными операторами держит DPI на потребительских подключениях. Стандартные WireGuard-сессии получают фингерпринт и троттлятся. С OpenVPN то же самое, обычно в течение нескольких часов после установления соединения.

Этот пост объясняет что блокируется, как работает блокировка и какой протокол всё-таки доходит.

Что блокируют в Турции

Паттерны меняются, но повторяющиеся категории такие:

• Wikipedia. Заблокирована с 2017 по 2019 из-за статей, связывающих Турцию с радикальными группами. Сейчас доступна. Может снова исчезнуть.
• Twitter / X. Троттлится почти до нерабочего состояния во время выборов, после терактов и при антиправительственных протестах. Это шейпинг полосы, а не DNS — DNS-over-HTTPS не помогает.
• YouTube. Блокировался несколько раз в 2010-х. Сейчас доступен. Бывали троттлы во время конкретных новостных событий.
• Новостные сайты. Небольшие независимые издания (Bianet, Diken, Bold Medya и другие) блокируются по статье 8/A закона №5651 — той самой, которая позволяет BTK требовать удаления в течение 4 часов.
• Соцсети во время волнений. Когда начинаются протесты, скорость падает. И дисквалификация мэра Стамбула в 2024-м, и массовые аресты в аэропорту Ататюрка вызывали троттлы Twitter.

Общий паттерн: Турция не блокирует открытый интернет полностью. Она троттлит или блокирует конкретные сервисы в ответ на конкретные события. И этого хватает, чтобы большинство пользователей либо сдавалось, либо переходило на VPN.

А потом блокирует VPN.

Как Türk Telekom это делает

Два уровня:

Блокировка на уровне DNS. Турецкие провайдеры возвращают NXDOMAIN или редирект-ответы для заблокированных доменов. Это дешёвый уровень. Он ловит пользователей, которые не сменили DNS-резолвер. Современные браузеры с DNS-over-HTTPS обходят его полностью.

Блокировка на уровне DPI. Это уровень, который имеет значение. Турецкие провайдеры разворачивают коммерческое DPI-железо (вендоры вроде Sandvine и Allot документально продавали Türk Telekom). DPI смотрит на структуру пакетов и фингерпринтит VPN-протоколы по их характерной форме.

Что DPI видит у обычного VPN:

• WireGuard: характерный UDP-handshake с фиксированными типами сообщений 1–4 и длинами в известных диапазонах
• OpenVPN: TLS-handshake с характерным таймингом плюс специфичный для OpenVPN канал управления
• IPSec/IKEv2: UDP/500 и UDP/4500 с очень узнаваемой структурой handshake
• Стандартные «обфускационные режимы», обёртывающие VPN в TLS-паддинг: TLS-handshake структурно отличается от настоящего браузерного (тайминг, распределение паддинга, порядок расширений)

У каждого из них есть подпись. Как только её распознают — соединение либо троттлят до диалапных скоростей, либо просто рвут.

Поэтому многие заявления вида «VPN работает в Турции» стареют плохо. Протокол, который работал в прошлом году, может не работать в этом — фингерпринт уже добавлен.

Почему VLESS Reality структурно другой

Большинство «обфускационных» подходов начинают с VPN-протокола и пытаются сделать его похожим на HTTPS. VLESS Reality начинает с настоящего HTTPS и переносит VPN-данные внутри него.

Механика:

1. VPN-клиент устанавливает настоящее TLS 1.3 соединение к настоящему публичному сайту. Cloudflare, Microsoft, Apple — выбирается хост, через который проходит огромный объём трафика и который вряд ли заблокируют, потому что от него зависит слишком многое другое.
2. TLS-handshake — настоящий. Сертификат — реальный сертификат, который выдаёт этот публичный сайт, подписанный реальным CA. SNI — реальный SNI этого сайта.
3. Внутри установленной TLS-сессии идут VPN-данные.

Для DPI, наблюдающего за проводом, твой трафик — это TLS 1.3 соединение к крупному публичному сайту. Тот же SNI, что у всех остальных, кто соединяется с этим сайтом. Тот же сертификат. Тот же тайминг handshake, что у настоящего браузера.

Чтобы заблокировать это, цензору пришлось бы заблокировать handshake-хост — крупный публичный сайт, от которого зависят миллионы других турецких пользователей. Обычно они этого не делают, потому что побочный ущерб слишком велик.

Это то, что Fexyn выпускает под названием Fexyn Stealth. Подробнее в VLESS Reality / XRay на Fexyn, или в посте почему VLESS Reality обходит WireGuard в странах с цензурой — для сравнения.

Чего мы обещать не будем

Мы не скажем, что Fexyn всегда проходит у каждого турецкого провайдера в любой момент. Честная версия:

• Фильтры обновляются. Протокол, работающий сегодня, может перестать работать завтра, если BTK добавит новый фингерпринт.
• Во время крупных событий весь VPN-трафик шейпится сильнее. Даже Stealth работал хуже в отдельные 24–48-часовые окна вокруг протестов.
• Мобильные операторы (Turkcell, Vodafone, Türk Telekom Mobil) иногда фильтруют жёстче, чем фиксированные провайдеры.

Что мы скажем — это что VLESS Reality самая сильная техника обхода, которую мы умеем выпускать. И мы обновляем XRay-конфиги по мере того, как меняется фингерпринтинг. Семь дней бесплатного триала покрывают полноценное тестирование на твоём реальном подключении.

Как Fexyn автоматически переключает протоколы

Windows-приложение перебирает три протокола, если один блокируется:

• Fexyn Bolt (WireGuard) — самый быстрый, когда сети не фильтруют агрессивно
• Fexyn Stealth (VLESS Reality / XRay) — протокол, который реально работает в Турции под DPI
• Fexyn Secure (OpenVPN) — TCP/443 fallback для самых жёстких отельных и корпоративных сетей

В Турции обычно лучше зафиксировать Stealth по умолчанию. Открой настройки приложения, поставь Fexyn Stealth, нажми Connect. Движок ротации всё равно сначала попробует Bolt, если сеть выглядит свободной, но Stealth теперь в одном клике.

Цены для Турции

Fexyn использует региональные цены по 192 странам. Турция в нашем 4-м тарифном поясе: $2.99/мес за индивидуальный план, выставляется в TRY по текущему курсу. Региональная скидка отражает более низкую покупательную способность в Турции — стоимость VPN не должна перекрывать стоимость обхода блокировок.

Подробнее о ценах — с турецкой ставкой при заходе с турецкого IP.

Быстрая настройка для турецких пользователей

1. Зарегистрируйся на fexyn.com/pricing. 7-дневный бесплатный триал начинается, как только аккаунт создан.
2. Установи Windows-приложение с fexyn.com/download/windows. Подписано Authenticode; проверка подписи на странице безопасности.
3. Открой настройки, зафиксируй Fexyn Stealth как протокол по умолчанию.
4. Подключись. Handshake занимает пару секунд — Stealth тяжелее WireGuard.
5. Проверь на сервисах, которыми реально пользуешься. Если что-то конкретное не работает, попробуй другой сервер из приложения.

Если ничего не подключается с твоей сети — триал не стоил ничего. Напиши на support@fexyn.com, укажи провайдера и какие протоколы пробовал. Мы используем эти данные, чтобы тюнить порядок ротации под турецкие сети.

Связанное чтение

• VLESS Reality / XRay на Fexyn
• Deep packet inspection, объяснение
• Как VLESS Reality делает VPN-трафик невидимым для цензоров
• Почему VLESS Reality обходит WireGuard в странах с цензурой
• VPN для журналистов
• Цены

Попробуй Fexyn бесплатно 7 дней — Stealth зафиксирован, посмотришь, проходит ли он через твоё конкретное подключение.