DPI и почему OpenVPN мёртв в России в 2026 — разбор без воды
Автор: Сергей Зайцев | Опубликовано: 11.05.2026 | Обновлено: 11.05.2026 | Чтение: 11 мин
«Купил подписку на NordVPN, включил OpenVPN, YouTube не открывается». Это приходит в чат раз в три дня. Объясняю раз и сохраняю сюда.
Что в статье
1. Что такое DPI и как это работает технически 2. Почему OpenVPN виден как на ладони 3. Как ТСПУ определяет VPN-трафик 4. Что работает вместо OpenVPN в 2026 5. Сравнение протоколов по видимости для DPI 6. FAQ
---
Что такое DPI
DPI (Deep Packet Inspection — глубокая инспекция пакетов) — это технология анализа сетевого трафика не только по заголовкам пакетов (IP + TCP/UDP), но и по содержимому на уровне L7 (уровень приложения).
Обычный файрвол смотрит: «пакет идёт на порт 443 — ок, пропускаю». DPI смотрит: «пакет идёт на порт 443, содержимое — OpenVPN TLS handshake, характерная последовательность байт — блокирую».
В России ТСПУ (Технические средства противодействия угрозам) — это государственная система DPI, установленная у всех крупных провайдеров с 2019 года. Оборудование: в основном Cisco и российская разработка EcoFilter. Управляется ФСБ и Роскомнадзором.
Как DPI видит трафик
При установке соединения клиент и сервер обмениваются рукопожатием (handshake). У каждого протокола — свой паттерн этого рукопожатия. Для OpenVPN он выглядит так:
1. Клиент отправляет OpenVPN-заголовок (2 байта 0x00 0x38 для TCP-режима) 2. TLS Client Hello с характерным набором cipher suites и extensions 3. Certificate chain, специфичный для OpenVPN
DPI-движок сравнивает это с сигнатурами из базы и классифицирует как OpenVPN.
---
Почему OpenVPN виден как на ладони
OpenVPN создавался в 2001 году — когда DPI не существовал в коммерческих масштабах. Несколько проблем:
1. Характерный TLS-фингерпринт
OpenVPN использует TLS, но его реализация отличается от браузерного TLS. Браузер (Chrome) делает handshake с конкретным набором расширений, порядком cipher suites, размерами пакетов — это называется JA3-фингерпринт. У OpenVPN — свой фингерпринт, который не совпадает ни с одним браузером.
DPI-система: «TLS есть, но фингерпринт не Chrome и не Firefox — OpenVPN, блок».
2. Статичный порт и паттерн соединения
OpenVPN по умолчанию: TCP 443 или UDP 1194. На UDP 1194 — вообще ничто другое не ходит, легко блокировать. На TCP 443 — там должен быть HTTPS, а OpenVPN-паттерн отличается от HTTPS.
3. Нет маскировки под легальный трафик
HTTPS (браузер) при установке соединения показывает Server Name Indication (SNI) — имя домена: google.com, youtube.com. OpenVPN SNI не показывает или показывает IP сервера. DPI: «TLS без SNI на 443 — подозрительно, блок».
4. Размер пакетов и тайминг
OpenVPN создаёт характерный паттерн размеров пакетов при шифровании. ML-алгоритмы современных DPI-систем детектируют его даже без прямого распознавания содержимого.
---
Как ТСПУ определяет VPN-трафик в России
ТСПУ работает на нескольких уровнях:
Уровень 1 — сигнатурное обнаружение База сигнатур для OpenVPN, WireGuard, Shadowsocks (старые версии), L2TP, PPTP. Обновляется регулярно. OpenVPN попал в базу ещё в 2021-2022, сейчас блокируется у Ростелекома, МТС, МегаФона с точностью >95%.
Уровень 2 — поведенческий анализ Если соединение на порту 443 длится дольше обычной веб-сессии и объём трафика соответствует видеострому — подозрительно. ТСПУ снижает скорость (throttling) или разрывает соединение.
Уровень 3 — анализ IP-репутации IP-адреса известных VPN-провайдеров (NordVPN, ExpressVPN, Mullvad) внесены в стоп-листы. Соединение с этим IP блокируется вне зависимости от протокола.
---
Что работает вместо OpenVPN в 2026
VLESS + Reality (XTLS)
Reality — это протокол маскировки, разработанный командой Xray-core. Принцип: клиент делает реальное TLS-соединение с настоящим сайтом (например, www.cloudflare.com), но внутри этого соединения передаёт зашифрованный VPN-трафик.
DPI видит: «TLS соединение с www.cloudflare.com, JA3-фингерпринт как у Chrome 124, SNI = cloudflare.com — легальный HTTPS, пропускаю».
На самом деле: трафик идёт на мою ноду, маскируется под cloudflare.com.
Это нельзя заблокировать без блокировки Cloudflare — а РКН пока на это не решается (Cloudflare — критическая инфраструктура для половины рунета).
Тест (май 2026, Ростелеком Москва): VLESS+Reality — работает без ограничений. OpenVPN TCP 443 — блокируется через 10-30 секунд после установки соединения.
VLESS + XHTTP (новый протокол 2025)
XHTTP — это VLESS поверх HTTP/2 или HTTP/3. Трафик выглядит как обычный CDN-запрос. Очень сложно заблокировать без нарушения работы большинства сайтов.
Shadowsocks + обфускация (ShadowTLS v3 / REALITY-like)
Старый Shadowsocks в 2022-2023 был срезан ТСПУ — характерный паттерн. Новые версии с ShadowTLS оборачивают Shadowsocks в легальный TLS-трафик — работают, но сложнее в настройке.
Hysteria2
Работает поверх QUIC (UDP 443). QUIC — это протокол Google, используется Chrome для YouTube и других сервисов. ТСПУ не может заблокировать QUIC без блокировки YouTube. Hysteria2 маскируется под QUIC-трафик.
Минус: UDP может резаться на отдельных провайдерах (Tele2, некоторые региональные). На Ростелеком/МТС/Билайн — работает стабильно.
---
Сравнение протоколов по видимости для DPI
| Протокол | Видимость для ТСПУ | Статус (май 2026) |
|---|---|---|
| OpenVPN TCP | Высокая — характерный TLS-фингерпринт | Блокируется у РТК, МТС, МегаФон |
| OpenVPN UDP | Очень высокая — нестандартный порт | Блокируется везде |
| WireGuard | Средняя — характерный UDP-паттерн | Работает на РТК/МТС, блокируется на Tele2 |
| Shadowsocks (старый) | Высокая | Блокируется |
| VLESS+WS | Низкая — выглядит как WebSocket | Работает везде |
| VLESS+Reality | Очень низкая — неотличим от HTTPS | Работает везде |
| VLESS+XHTTP | Очень низкая — выглядит как CDN | Работает везде |
| Hysteria2 | Низкая — маскируется под QUIC | Работает на РТК/МТС/Билайн, осторожно на Tele2 |
| Trojan+WS | Низкая | Работает везде |
---
Почему коммерческие VPN не решают проблему DPI
NordVPN, ExpressVPN и другие крупные сервисы добавили «обфусцированные серверы» — но это:
1. Отдельный сервер в пуле (не все серверы обфусцированы) 2. Используют Obfsproxy или аналоги — это тоже имеет сигнатуру 3. IP-адреса этих сервисов внесены в стоп-листы ТСПУ
Коллega в Новосибирске платит $99/год за ExpressVPN — перестало работать в марте 2026. Перешёл на VLESS+Reality — работает.
Принципиальное отличие моего решения: нода не в «VPN-пуле», это выделенный VPS с обычным IP датацентра. IP не в стоп-листах ТСПУ.
---
FAQ
WireGuard режется или нет? Зависит от провайдера. Ростелеком в Москве — не режет (май 2026). Tele2 — иногда режет в часы пик. На МТС/Билайн — стабильно. Самый надёжный — VLESS+Reality: одинаково работает у всех.
Если ТСПУ видит VLESS+Reality как HTTPS — это 100% безопасно? Никакой протокол не даёт 100% гарантии навсегда. Reality держится потому что блокировка потребует блокировки настоящего Cloudflare. Xray-core обновляется — в случае новых атак DPI выходят обновления.
Почему не Tor? Tor блокируется ТСПУ с 2021-2022. Мосты (bridges) работают, но медленно — скорость 1-5 Мбит/с. Для YouTube не подходит.
Можно ли самому поднять VLESS+Reality? Да, это сделано на открытом коде: Xray-core + Remnawave. Я именно так и сделал. Если хочешь разобраться — пиши в контакты, помогу.
Почему Shadowsocks не работает, если его все рекомендуют? Рекомендации 2020-2022 года устарели. Старый Shadowsocks без обфускации режется. Современные форки (ShadowTLS v3) работают, но это уже другой зверь с более сложной настройкой.
---
Итог
OpenVPN в России в 2026 — мёртв для большинства провайдеров. ТСПУ детектирует его по TLS-фингерпринту за несколько секунд. Альтернатива — VLESS+Reality: неотличим от HTTPS, не блокируется без блокировки Cloudflare.
Если хочешь без настройки — мой бот выдаёт готовые конфиги:
---