Türkiye için VPN: DPI WireGuard'ı nasıl yakalar

VPN'in İstanbul veya Ankara'da sürekli düşüyorsa — gözüne yansımıyor. BTK düzenli olarak engelleme talimatları çıkarıyor, Türk Telekom büyük mobile operatörlerle birlikte tüketici bağlantılarında DPI çalıştırıyor. Standart WireGuard oturumları fingerprint alıyor ve throttle ediliyor. OpenVPN aynı muameleyi görür — bağlantı kurulduktan sonra genelde saatler içinde.

Bu yazı neyin bloklandığını, bloklamanın nasıl çalıştığını ve hangi protokolün geçtiğini açıklıyor.

Türkiye'de neyin bloklandığı

Patternler değişiyor ama tekrar eden kategoriler:

• Wikipedia. 2017'den 2019'a engelliydi, Türkiye'yi militan gruplara bağlayan makaleler nedeniyle. Şu anda erişilebilir.
• Twitter / X. Seçim dönemlerinde, terör saldırılarından sonra ve hükümet karşıtı protestolar sırasında kullanılamayacak hale throttle ediliyor. Bu DNS değil bandwidth shaping — DNS-over-HTTPS yardımcı olmaz.
• YouTube. 2010'larda birden fazla bloklandı. Şu anda erişilebilir, ancak spesifik haber olayları sırasında throttle'lar oldu.
• Haber siteleri. Daha küçük bağımsız yayınlar (Bianet, Diken, Bold Medya) 5651 sayılı kanunun 8/A maddesi altında engelleniyor — BTK'nın 4 saat içinde kaldırma talep edebilmesini sağlayan madde.
• Karışıklık dönemlerinde sosyal medya. Protestolar başladığında throttle'lar düşüyor. 2024 İstanbul Belediye Başkanı diskalifiye olayı ve Atatürk Havalimanı toplu tutuklamaları Twitter yavaşlamalarını tetikledi.

Genel patern: Türkiye açık interneti tamamen bloklamıyor. Spesifik servisleri spesifik olaylara yanıt olarak throttle ediyor veya blokluyor — ve çoğu kullanıcı vazgeçene veya VPN'e geçene kadar bu yeterince etkili.

Sonra VPN'leri blokluyor.

Türk Telekom bunu nasıl yapıyor

İki katman:

DNS-seviyesi engelleme. Türk ISP'leri engellenen hostname'ler için NXDOMAIN veya redirect yanıt döndürür. Ucuz katman. DNS resolver'ını değiştirmemiş kullanıcıları yakalar. Modern tarayıcılarda DNS-over-HTTPS bu katmanı tamamen yener.

DPI-seviyesi engelleme. Asıl önemli olan katman. Türk ISP'leri ticari DPI donanımı dağıtıyor (Sandvine ve Allot vendor'ları tarihsel olarak Türk Telekom'a sattığı dökümanlanmış). DPI paket patternlerine bakar ve VPN protokollerini yapısal şekillerine göre fingerprint'ler.

DPI'ın bir standart VPN'den gördüğü:

• WireGuard: sabit message type 1–4 ve bilinen aralıklarda mesaj uzunlukları olan karakteristik UDP handshake
• OpenVPN: karakteristik timing'li TLS handshake artı OpenVPN'a özel control channel pattern
• IPSec/IKEv2: çok tanınabilir handshake yapısıyla UDP/500 ve UDP/4500
• VPN trafiğini TLS padding'e saran standart "obfuscation modes": gerçek tarayıcı handshake'inden yapısal olarak farklı TLS handshake (timing, padding distribution, extension order)

Her birinin bir imzası var. Tanındıktan sonra bağlantı dial-up hızlarına throttle edilir veya tamamen düşürülür.

Bu yüzden "VPN Türkiye'de çalışır" iddiaları kötü yaşlanır. Geçen yıl çalışan bir protokol bu yıl çalışmayabilir, çünkü DPI fingerprint'i eklenmiştir.

VLESS Reality neden yapısal olarak farklı

Çoğu "obfuscation" yaklaşımı bir VPN protokolünden başlar ve onu HTTPS gibi göstermeye çalışır. VLESS Reality gerçek HTTPS'ten başlar ve VPN data'sını içinde taşır.

Mekanizma:

1. VPN client gerçek, iyi bilinen bir public website'a gerçek TLS 1.3 bağlantısı kurar. Cloudflare, Microsoft, Apple — büyük trafik tutan ve üstüne çok şey bağlı olduğu için bloklanması olası olmayan bir host seç.
2. TLS handshake gerçek. Sansürcü bağlantını probe ederse, gerçek CA'dan geçerli sertifika görür, gerçek bir public site tarafından sunulan.
3. Kurulan handshake içinde VPN data'sı akar. Aynı host'a yapılan diğer HTTPS oturumlarından ayırt edilemez.

DPI Reality oturumunu birinin tarayıcıdan microsoft.com yüklemesinden ayıramaz. Bloklamak handshake host'unu bloklamak demek — ki sansürcü muhtemelen bunu yapmak istemez.

Fexyn bunu Fexyn Stealth adıyla gönderir. VLESS Reality / XRay Fexyn'de konfigürasyon detayları için, veya VLESS Reality sansürlü ülkelerde WireGuard'ı neden yener karşılaştırma için.

Söz vermeyeceğimiz şey

Fexyn'in her Türk ISP'sinde her an geçtiğini söylemeyeceğiz. Dürüst versiyon:

• Filtreler güncellenir. BTK yeni fingerprint eklerse bugün çalışan protokol yarın çalışmayabilir.
• Büyük olaylar sırasında tüm VPN trafiği daha sert shape edilir.
• Mobile operatörler (Turkcell, Vodafone, Türk Telekom Mobil) sıkça sabit hat sağlayıcılarından daha agresif filtreler.

Söyleyeceğimiz: VLESS Reality göndermeyi bildiğimiz en güçlü evasion tekniği, ve fingerprinting evrim geçirdikçe XRay configuration'larını güncel tutuyoruz. 7 günlük ücretsiz trial gerçek bağlantında bir hafta test kapsar.

Fexyn protokolleri otomatik olarak nasıl değiştirir

Windows uygulaması üç protokol arasında dönüş yapar — biri bloklanırsa:

• Fexyn Bolt (WireGuard) — agresif filtreleme yapmayan ağlarda en hızlı
• Fexyn Stealth (VLESS Reality / XRay) — Türkiye'de DPI altında gerçekten çalışan protokol
• Fexyn Secure (OpenVPN) — en kilitli otel ve corporate ağlar için TCP/443 fallback

Türkiye'de genelde Stealth'i varsayılan olarak pin'lemek isteyeceksin. App settings'i aç, Fexyn Stealth'i pin'le, Connect'e bas. Rotation engine ağ kısıtsız görünüyorsa hala önce Bolt'u dener, ama Stealth bir geçiş uzakta.

Türkiye için fiyatlama

Fexyn 192 ülkede bölgesel fiyat kullanır. Türkiye Tier 4 grubunda: bireysel plan için $2.99/ay, mevcut kurda TRY ile faturalanır. Bölgesel indirim Türkiye'nin daha düşük satın alma gücünü yansıtır.

Türkiye'ye özel oranla fiyat detayları.

Türk kullanıcılar için hızlı kurulum

1. fexyn.com/pricing'de kayıt ol. 7-günlük ücretsiz trial hesap oluşturulur oluşturulmaz başlar.
2. Windows uygulamasını fexyn.com/download/windows'dan indir. Authenticode imzalı; doğrulama security sayfasında.
3. Settings'ı aç, Fexyn Stealth'i varsayılan protokol olarak pin'le.
4. Bağlan. Handshake birkaç saniye sürer — Stealth WireGuard'dan ağır.
5. Gerçekten kullandığın servislerde test et. Spesifik bir şey çalışmazsa, app'ten farklı sunucu lokasyonu dene.

Ağından hiçbir şey bağlanmazsa — trial hiçbir maliyet getirmedi. ISP'ni ve hangi protokolleri denediğini support@fexyn.com'a yaz. Bu data'yı Türk ağları için rotation order'ını tune etmek için kullanırız.

İlgili okuma

• Fexyn'de VLESS Reality / XRay
• Deep packet inspection açıklaması
• VLESS Reality VPN trafiğini sansürcülere nasıl görünmez yapar
• Sansürlü ülkelerde VLESS Reality WireGuard'ı neden yener
• Gazeteciler için VPN
• Fiyatlandırma

Fexyn'i 7 gün ücretsiz dene — Stealth pin'li, spesifik bağlantından geçiyor mu görürsün.