С вводом DPI и белых списков технические средства интернет-цензуры поменялись.
Буквально несколько лет назад ркн не могли заблокировать телеграм из-за того, что вместо сервиса они пытались блокировать АЙПИ адреса и из-за этого отшибнули пол российского интернета. Сейчас большинство впн протоколов заблокированы и один из оставшихся рабочих это VLESS.
К сожалению, у этого протокола есть серьезные проблемы, из-за которых заблокировать его будет проще простого.
В этой статье мы расскажем обо всем.
Чем этот протокол отличается от других впн протоколов
Сначала нужно разобраться почему этот протокол так долго живет. OpenVPN, AmneziaWG, WireGuard... заблокировали, а этот заср*нец живет, почему?
Дело в том, что VLESS не ведет себя как обычный впн протокол. Он не шифрует трафик, а маскирует его под обычный веб-трафик. Шифрование и защита же делегируется на транспортный уровень как наример TLS или Reality
Заблокировать все TLS на 443 нельзя (или можно...), потому что все сайты в интернете станут недоступные, поэтому остаются только варианты по типу бану IP или использования статистических эвристик.
Но это еще не все! Живучие протоколы способны менять внешний вид транспорта, прятаться за популярными CDN и усложнять активное зондирование.
DPI
Все в последнее слышат аббревиатуру DPI (Deep Packet Inspection), но в реальности никто даже не знает что это такое. Максимум, у всех на слуху програмка для обходов GoodbyeDPI, которая как-то там обходит какие-то там блокировки.
А зря... потому что из-за DPI современная в*йна цензеров и впн протоколов перешла из статических методов блокировки по IP-адресам к системам, которые анализируют содержимое и поведение зашифрованных соединений в реальном времени.
Раньше блокировки работали по принципу плохой айпи забанить, сейчас же каждый запрос проходит через кучу индусов нейронок и анализаторов для определения впн это или нет.
Даже когда трафик шифруется, у соединения остаются видны транспортные параметры, последовательности действий и структуры хендшейка.
DPI анализирует эти сигналы и пытается понять это обычный веб-сеанс или замаскированный туннель
Машинное обучение
Китайский Фаерволл, ТСПУ в России и системы фильтрации в Иране используют алгоритмы машинного обучения для классификации трафика. DPI анализирует трафик, а значит четких алгоритмов и правил блокировки нет. Вместо этого, млки применяют эвристику и пытаются распознать подозрительность трафика по косвенным признакам. Как вы понимаете, они обучаются и чем больше данных и разных трафиков через эти нейронки пройдет, тем точнее и быстрее будет происходить обнаружение.
Кто-то до сих пор считает ChatGPT своим другом?
Как VLESS обходит белые списки?
Нужно уяснить, что сам по себе VLESS именно протокол общения, и все. Он ничего не маскирует и не шифрует и даже не должен выглядеть как обычный хттпс. Важной составляющей этой системы - это движок Xray, который умеет поднимать прокси-протоколы и работать поверх разных транспортов, которые нам как раз нужны для шифрования и всяких грязных дел
В этой тусе есть еще и REALITY, который в связке с VLESS делает так, чтобы соединение снаружи выглядело максимально похоже на обычный доступ к разрешенному сайту.
Суть этой идеи в том, что DPI должен принять этот трафик за HTTPS, а сервер должен уметь отличать своего клиента от сканера.
Эта компашка и позволяет серверу Xray выдавать себя за любой разрешенный сайт (например, обычный безобидный сайт microsoft.com), перехватывая TLS хендшейк.
Сначала клиент Xray отправляет ClientHello со SNI целевого легитимного сайта.
Потом сервер XRay, настроенный на этот же IP, анализирует ClientHello.
Если ClientHello содержит специфические параметры (например, определенный Session ID или расширения), Xray распознает своего клиента.
После же, Xray генерирует временный сертификат к реальному сайту, чтобы получить валидные параметры сессии, но подменяет ключи шифрования, устанавливая защищенный канал с клиентом, а не с реальным сайтом.
Проблемы VLESS
Фундаментальная проблема REALITY заключается в том, что сервер Xray имитирует поведение легитимного сервера, но не является им. В большинстве случаев легитимные хайлоад сайты используют оптимизированные стеки TLS на базе OpenSSL, например клаудфрейр или nginx.
Xray же написан на языке Go и в основе использует стандартную библиотеку crypto/tls, которая и создает несостыковку в реализации протоколов, которая может быть использована для идентификации трафика. DPI все это может заподозрить и увидеть
Протокол остается протоколом и даже временные задержки состояний TCP-стека оставляют следы.
Дальше по пунктам
Golang вредит протоколу
Уже известны инструменты, которые определяют VLESS именно по голанг шифрованию, которое используются в нем.
Инструменты типа JARM зондируют сервер, отправляя 10 специально сформированных пакетов ClientHello и анализируя ответы. Хэш JARM для сервера на Go будет кардинально отличаться от хэша сервера Nginx, даже если они используют один и тот же сертификат и порт.
Фан факт
Если цензор отправляет на порт сервера защищенный REALITY некорректный запрос к HTTP, то NGINX выдаст стандартную HTML-страницу ошибки 400 Bad Request со стандартными заголовками nginx, а написанный на Go подставной сервер выдаст обычный текст 400 Bad Request или вовсе закроет соединение.
А кастомизировать этот ответ под nginx нормально нельзя, так как библиотека net/http в Go обрабатывает некоторые запросы автономно, не передавая управление пользовательскому коду
Протокол будущего: Hysteria 2
Самым очевидным ответом на ограничения TCP стал выход протокола Hysteria 2, который основан на протоколе QUIC поверх UDP.
Hysteria 2 полностью отказывается от TCP в пользу UDP, что во-первых делает потерю отдельных пакетов не таким критичным, а при TCO подключении. А во-вторых, трафик протокола криптографически и поведенчески неотличим от стандартного трафика HTTP/3
Если цензор пытается подключиться к порту Hysteria 2 без валидного пароля, сервер ведет себя как обычный веб-сервер, возвращая код ошибки 404 или перенаправляя на безобидную страницу
Hysteria + Brutal
Главным новшеством Hysteria является внедрение собственного алгоритма контроля перегрузки Brutal, который неплохо борется с искуственнм замедлением трафика.
В отличие от соевых алгоритмов вроде CUBIC или BBR, которые снижают скорость при потере пакетов, Brutal работает по принципу фиксированной целевой скорости и протокол отправляет данные с этой скоростью, игнорируя сигналы о потерях.
Если цензор отбрасывает 20% пакетов, Brutal компенсирует это отправкой избыточных данных, поддерживая полезную нагрузку на заданном уровне. Из-за этогоц ензор больше не может просто замедлить пользователя, просто отбрасывая часть пакетов.
Чтобы остановить Brutal, цензору придется заблокировать весь UDP-трафик или тратить огромные вычислительные ресурсы на глубокий анализ каждого пакета, это очень дорого.
С этой технологией шанс, что оборудование устареет сильно снижается.
Когда ждать блокировку?
Растущая популярность VLESS + REALITY, как вы понимаете, привлекает внимание Роскомнадзора, и даже такие на первый взгляд невидимые протоколы можно раскрутить и заблокировать. Особенно, если их использует каждый второй.
Что насчет блокировки, на самом деле процесс запустился еще в прошлом году.
В ноябре прошлого года уже наблюдались сбои в работе VLESS во многих регионах РФ.
Полностью заблокировать этот протокол сложно, но из-за существующих дыр это становится вполне реально. Что с этим делать? Может придумывать новые протоколы, которые не имеют таких очевидных проблем? А кто будет финансировать? Ничего пока не понятно
Комментарии (114)
0ka
18.01.2026 12:12Во первых AmneziaWG в реале не заблокирован, даже старые версии заводятся правильными параметрами Junk, а новые с фейк пакетами от QUIC работают еще лучше.
Во вторых чистый VLESS сам по себе ничего не маскирует, он как SOCKS5, однако можно добавить http или websocket заголовки или TLS. (А ниже в статье все таки написали что vless все таки ничего не маскирует, после того как уже написали что он маскируется под веб, ну вы читаете что пишете вообще? Нет, не читаете, дальше вообще орфографические ошибки полезли)
Brutal в hysteria2 мне не понравился: ему пофиг на потери пакетов, но он начинает тратить трафик в никуда (снижать скорость внутри тунеля но не вне него) при jitter (даже 10мс сильно влияет) и reordering пакетов. BBR там тоже кривой: на моей сети в 20мбит/с он почему-то передаёт данные на скорости 32мбит/с, все что вне туннеля просто падает при использовании его на макс скорости, это какая-то dos атака получается. BBR и brutal модули для ядра линукс (а не ядра QUIC в hysteria2) работают гораздо лучше
"Если цензор отбрасывает 20% пакетов" - у цензора никогда небыло и не будет такой цели т.к. результаты непредсказуемы.
"Когда ждать блокировку?" - На многие направления трафика (даже в ру) блокируется трафик при обнаружении >10 TLS сессий установленных за короткое время (сибирская блокировка), пока что блокировок из-за описанных вами дыр небыло
M_AJ
18.01.2026 12:12Это очередной наброс от Femida Search, она же ООО "Фемида-Инфо" которые тут уже писали статейки "Роскомнадзор прав, а вы нет", потом писали, как они всех обманули, и что это такой маркетинг, а потом всё это удалили.
Чтобы понять что это за контора, достаточно погуглить имена учредителей: Журавлев Дмитрий Алексеевич и Абулов Хакан Гаджиахмед Оглы
И они под каждую статью теперь создают новый аккаунт.
Хотелось бы спросить @Boomburum как администрация ресурса относится к такой практике?
adlayers
18.01.2026 12:12Они думают, что на чёрном пиаре можно собрать неплохое количество подписчиков в Telegram) Но знали бы они, что на качественном контенте можно собрать куда больше. А так это просто жёлтая пресса.
Sorgarus
18.01.2026 12:12Это вечная борьба, придумают способы. Единственный вариант это сделать чисто рунет, но на это никто не пойдет.
0ka
18.01.2026 12:12Согласен. Дыры могут быть как и в софте для обхода блокировок, так и в firewall ТСПУ. Плюс существуют неочевидные способы проксирования трафика как например прокси через CDN google (трафик не отличим от запроса к google.com кроме объёма, но есть проблема в цене)
mlnw
18.01.2026 12:12на это никто не пойдет
Шли и на большее, пойдут и на это, когда поймут, что иначе не выходит.
Shandresh
18.01.2026 12:12на это никто не пойдет.
Насчет одной авантюры 23 февраля 2022 года тоже многие так думали. Если в
20252026 году кто-то пишет "они ни за что не пойдут на...", то он либо оптимист, либо не очень умный.
McFly96
18.01.2026 12:12AmneziaWG не заблочили работает на мобиле прекрасно! А что vless отрубишь одну голову на её месте вырастут две )
RavenStark
18.01.2026 12:12У нас для работы использовался, но стал переставать работать, перешли на vless как раз. И на мобилке моей, например (Билайн), и на стационаре (МГТС). Так что с амнезией не все гладко.
Moog_Prodigy
18.01.2026 12:12А это все потому что они не рассказывают везде про свой метод обхода и самодельный протокол. Потому и не кусаютъ
Секретность должна быть. Потому что эти тут тоже вполне читают. Каждая такая публикация с разбором протоколов - это подсказка этим.
iamkisly
18.01.2026 12:12OpenVPN, AmneziaWG, WireGuard... заблокировали
WG работает, иначе телегой можно пользоваться только глубоко заполночь. Никаких специальных настроек, только дефолт.
0ka
18.01.2026 12:12а это очень странно, его блокировка началась еще в 2023г. OpenVPN работает только на домашнем инете и только с tls-crypt.
mgnhabrauser
18.01.2026 12:12Нормально работает, что дома, на мобильном инете. Пару раз отваливался на часок максимум) этот коммент сейчас через него пишу
0ka
18.01.2026 12:12чистый WG на зарубежный сервер?
Lirix_vladimir
18.01.2026 12:12Да, в Нидерланды. Без каких либо обвесов
nidalee
18.01.2026 12:12Просто некоторые провайдеры не дорабатывают. Со временем к ним за это придут со штрафами. WG давно умеют блокировать и блокируют. Может уже года два.
Lirix_vladimir
18.01.2026 12:12От провайдера реально не зависит. Работает на разных операторах. Как мобильных, так и проводных.
Тут скорее РКН не блокирует. Умеет, но позволяет.
nidalee
18.01.2026 12:12Как вариант - да, возможно перегибы на местах.
alex_tulski
18.01.2026 12:12Либо какое-то подобие АБ теста. Им же тоже нужно собирать аналитику для понимания эффективности блокировок.
edo1h
18.01.2026 12:12Просто некоторые провайдеры не дорабатывают
Несколько можно судить по открытой информации, львиная доля блокировок сейчас происходит на ТСПУ, к администрированию которых у провайдеров доступа нет, РКН управляет напрямую
mlnw
18.01.2026 12:12Да, в Нидерланды. Без каких либо обвесов
Если у вас работает, это не значит, что работает у других, что работает до любой подсети, что будет работать у вас завтра. В целом, на зарубеж ни WG, ни OVPN, ни IPSEC, ни L2TP, ни IKEv2 скорее, не ходят, и не только по мобиле, но уже и по проводу тоже.
Lirix_vladimir
18.01.2026 12:12Я понимаю о чем Вы говорите. В любой момент смогут перекрыть.
РКН использует какие то точечные блокировки. Там работает, тут не работает.
У нас так в городе целый район города был без мобильного интернета несколько месяцев. Эксперименты какие то проводят
0ka
18.01.2026 12:12Когда отключают моб инет то РКН не при делах, это делают сами операторы по требованию (хз кого если честно, это не эксперимент, это против дронов), но щас чаще всего включают белые списки (где-то постоянно с сентября, где-то только по ночам), хотя есть и города где включено замедление инета до 0.1мбит/с
Lirix_vladimir
18.01.2026 12:12это не эксперимент, это против дронов
Сомнительно с точки зрения географии с расположенных каких то объектов в зоне отключения. Речь про Красноярск, Октябрьский район
Flahaerty
18.01.2026 12:12Это с требования губернатора региона делается, да. А ему непонятно кто отправляет статистику и шансы возможных нападений дронов и подобного и он принимает решение стоит ли блочить или ещё нет
nin-jin
18.01.2026 12:12Учитывая, что такая «блокировка» легко обходится, это явно не от дронов защита.
atomnijpchelovek
18.01.2026 12:12Если не секрет, поделитесь как же белые списки обходятся. В Ростове не видел пока ни одного рабочего способа
nin-jin
18.01.2026 12:12Так же как и чёрные. Запросы же по SNI фильтруются на стороне провайдера и идут дальше куда угодно.
atomnijpchelovek
18.01.2026 12:12Уже давно по SNI не проверяют :( Не уверен, как в остальных регионах, но у нас белый список IP-адресов
0ka
18.01.2026 12:12С того что вижу своими глазами. На билайне никогда это не работало а на других операх через месяц или два перестало. И никаких проблем с поддержкой я не вижу, есть даже автоматические системы, хотя у операторов с этим большие проблемы даже спустя пол года, реально поражает: на меге неск дней назад сузили БС и стали недоступны 2 из 3-х айпи ya.ru, яндекс облако тоже пострадало но точно не смотрел
atomnijpchelovek
18.01.2026 12:12Ради теста сейчас выполнил
openssl s_client -connect tegos.ru:443 -servername ya.ru 803BD0CA347F0000:error:8000006F:system library:BIO_connect:Connection refused:crypto/bio/bio_sock2.c:178:calling connect()Так что да, не по SNI точно. Но возможно в других регионах это не так
atomnijpchelovek
18.01.2026 12:12С того, что без блокировок он отвечает
openssl s_client -connect tegos.ru:443 -servername ya.ru Connecting to 2606:4700:3030::ac43:b94c CONNECTED(00000003)И у вас точно мягкие блокировки
ping fb.com ping: fb.com: Temporary failure in name resolution ping 57.144.244.1 PING 57.144.244.1 (57.144.244.1) 56(84) bytes of data. From 57.144.244.1 icmp_seq=1 Destination Port Unreachable
nissbaru
18.01.2026 12:12Ну в Ижевске как минимум с лета мобильный интернет блокируют, только белые списки работают без всяких обходников.
AndryKarcew
18.01.2026 12:12у меня полгода как даже внутри города между двумя подразделениями отрубился.
nvlastik
18.01.2026 12:12да, как-то странно. Уже третий год задаюсь вопросом, почему у меня работает wg (на всех операторах), хотя блочить научились еще очень давно
MiracleUsr
18.01.2026 12:12возможно IP вашего хостера ошибочно отмечен в GeoIP-базах как росийский
Jacov911
18.01.2026 12:12То есть схема ВГ на русервер и оттуда проброс на зарубежный - ещё жива? До Ру вг будет работать стабильно?
MiracleUsr
18.01.2026 12:12Про «стабильно» гарантий как всегда никаких нет и не было, но в целом да, во многих случаях будет работать.
mlnw
18.01.2026 12:12Не будет. Проброс до зарубежа вы каким протоколом будете делать? Если опять WG, то он на этом шаге и не будет работать. А если не WG, а HTTPS-подобное, то зачем тогда русервер, можно сразу ходить по нему на зарубежный.
Mnemone
18.01.2026 12:12У меня так же, чистый WG работает уже больше года. Подключено больше 30 устройств (в основном телефоны). У всех разные операторы и мобильные и домашние. У всех работает. Разве что ютубу такое не нравится, с телефонными приложениями проблемы (задержка перед запуском видео, но потом хоть в 4К смотри), но все остальное летает.
Free_Artist
18.01.2026 12:12Если бы они с тем же маниакальным упорством и невероятным усердием, с каким совершенствуют блокировки, занимались бы реальными социальными проблемами, у нас была бы лучшая страна в мире и рай на земле
David_Osipov
18.01.2026 12:12Фемида, да балин. Нового юзера зарегали и давай постить. Я теперь просто буду минусовать за сам факт постинга статей вами - всех ваших новозарегистрированных авторов.
MiracleUsr
18.01.2026 12:12Уже не первый раз в этом корпоративном блоге откровенно бредовые статьи с громкими заголовками, автор(ы) которых то ли вообще не разбираются в том что пишут, то ли генерируют откровенный нейроблёв.
Можно кратко по самым тупым абзацам пройтись:
Инструменты типа JARM зондируют сервер, отправляя 10 специально сформированных пакетов ClientHello и анализируя ответы. Хэш JARM для сервера на Go будет кардинально отличаться от хэша сервера Nginx, даже если они используют один и тот же сертификат и порт.
Автору надо разобраться как именно работает Reality, и тогда он поймет, что с активным Reality при зондировании ClientHello не будет виден фингерпринт библиотеки Go, а будет виден фингерпринт реального веб-сервера маскировочного сайта (тот же Nginx или что угодно еще).
А без Reality с XHTTP/gRPC/WS так тем более, потому что там вообще до XRay запрос не дойдет и отвечать будет реальный веб-сервер
Если цензор отправляет на порт сервера защищенный REALITY некорректный запрос к HTTP, то NGINX выдаст стандартную HTML-страницу ошибки 400 Bad Request со стандартными заголовками nginx, а написанный на Go подставной сервер выдаст обычный текст 400 Bad Request или вовсе закроет соединение
Автор, убей себя об стену и разберись как работает Reality. При использовании Reality в случае некорректного запроса цензор получит ровно точно такой же аутентичный ответ, как и при обращении к реальному веб-серверу.
А если не хватает мозгов разобраться - можно было бы поднять за пять минут какую-нибудь панельку типа 3x-ui и проверить как оно сработает. Но вместо этого автор решил кормить читателей откровенной брехней.
Уязвимость Aparecium
Уже давно пофикшена, но автор об этом конечно не сказал, потому что тогда не получится кликбейтного громкого заголовка.
Короче, уже за все это он заслужил то, чтобы не только поставить минус статье, но и поставить минус ему в карму. Как можно так не уважать и держать за баранов читателей - даже представить не могу.
Протокол будущего: Hysteria 2
Не такой уж он и протокол будущего. Он уже довольно старый, имеет как свои достоинства так и недостатки, но ничего прорывного. В плане обхода блокировок каких-либо особо преимуществ перед тем же VLESS+XHTTP/QUIC не имеет. И кстати, XRay тоже поддерживает Hysteria outbounds.
M_AJ
18.01.2026 12:12Уже не первый раз в этом корпоративном блоге откровенно бредовые статьи с громкими заголовками, автор(ы) которых то ли вообще не разбираются в том что пишут, то ли генерируют откровенный нейроблёв.
Достаточно погуглить, кто учредители этой компании, а потом поискать в поисковиках по их именам, и всё станет понятно. Они кстати сами писали, что статью генерят силами копирайтеров и будто бы так нагоняют таким образом подписчиков в свою телегу.
xenon
18.01.2026 12:12После кликбейт-заголовка, что "VPN никогда не заблокируют", угадал компанию - автора статьи с первой попытки.
sensescatcher
18.01.2026 12:12Если заблокировать могут, почему всё ещё не сделали? Допускаю, что это не очевидно для хабр-жителей, и нужно спрашивать у ркн, но вдруг
Kimimi
18.01.2026 12:12Разве сейчас хоть один протокол заблокирован как протокол. У всех впнов вроде тупо подсети гасят. На своей впске по прежнему и вайргуард и опенвпн без проблем работают
outlingo
18.01.2026 12:12Воот, хоть кто-то начал осознавать. VPN - это Virtual PRIVATE Network.
И то, что сервисы-анонимайзеры присвоили себе название VPN, не делает их VPN - даже если они начинают использовать соответствующие технологии.
Ваш кейс как раз показателен - идет борьба с анонимайзерами и публичными проксями, который гордо поименовали себя VPN, то есть имеет место классическое "ученый изнасиловал журналиста". На самом деле, отличить публичный прокси или анонимайзер от честного VPN можно легко и просто - статистика рулит.
Ходит на некоторый сайт пять сотен разных клиентов? Отлично, а какой у них SNI? microsoft.com? Ну ок. А что у нас в A-записях microsoft.com? Нет указанного IP? Ну кто ж виноват, сами напросились. Блок по IP на две-четыре недели.
Анонимайзеры и пабликпрокси будут изображать бурную деятельность, развитие, боротьбу за свободу (на самом деле за клиентскую базу которую можно продать) - а тот самый, изначальный VPN будет спокойно жить и работать.
0ka
18.01.2026 12:12"а тот самый, изначальный VPN будет спокойно жить и работать." расскажите это всем пострадавшим удалёнщикам
MiracleUsr
18.01.2026 12:12Воот, хоть кто-то начал осознавать.
Это все осознавали с самого начала. Если вам кажется что вы один такой умный и все понимаете, а другие ничего не понимают, спешу расстроить - в этом случае вы не очень умный.
А что у нас в A-записях microsoft.com? Нет указанного IP?
Вы сильно удивитесь, но у больших CDN часто можно встретить что для одного и того же домена при DNS-запросах выдаются разные наборы IP для разных клиентов (в зависимости от их геолокации, для балансировки нагрузки, и т.д.). Простой проверкой A- и AAAA- записей можно отстрелить слишком много легитимных сервисов (хотя РКН это никогда не волновало).
тот самый, изначальный VPN будет спокойно жить и работать
Не будет. Wireguard, OpenVPN и некоторые другие уже блокируются, и цензоров не волнует, используют ли их для обхода блокировок или для доступа в корпоративные сети.
outlingo
18.01.2026 12:12Вы сильно удивитесь, но у больших CDN часто можно встретить что для одного и того же домена при DNS-запросах выдаются разные наборы IP для разных клиентов
Я не сильно удивлюсь (и вообще не удивлюсь), но отмечу, что крайне маловероятно что эти "большие CDN" будут базироваться в подсетях всяких дижиталоушнов, линодов и прочих хецнеров.
Wireguard, OpenVPN и некоторые другие уже блокируются, и цензоров не волнует, используют ли их для обхода блокировок или для доступа в корпоративные сети.
Неа. Их блокируют на трансграничном трафике. Корпорация вполне может (и часто и делает) "точку присутствия" локальную с которой клиенты попадают куда надо. Российские сотрудники - на эндпоинт в РФ, казахские - в казахстане. Да, это почти как с CDN.
MiracleUsr
18.01.2026 12:12Их блокируют на трансграничном трафике.
Их блокируют «на иностранные адреса», но не на трансграничном уровне, а вполне себе на локальных провайдерских ТСПУ (трансграничных ТСПУ пока ещё довольно мало, а где именно идет фильтрация нередко можно определить по трассировке). И ещё нередко это самое определение «адрес назначения иностранный или нет» работают криво, и в итоге или все спокойно бегает куда-то в Нидерланды, или режутся даже подключения в пределах одного региона.
outlingo
18.01.2026 12:12Под "трансграничный" я имел ввиду "между российскими и не-российскими подсетями". Понятно, что сложную фильтрацию логичней производить как можно ближе к клиенту, там трафик сильно меньше.
MiracleUsr
18.01.2026 12:12Разве сейчас хоть один протокол заблокирован как протокол.
Да, Wireguard, OpenVPN, L2TP.
На своей впске по прежнему и вайргуард и опенвпн без проблем работают
Это какая-то местная аномалия, вам очень сильно повезло. Либо у вас провайдер наплевательно относится к блокировкам (пока ещё не получил штраф и угрозу отзыва лицензии), либо IP вашего хостера по ошибке считается «российским» на фильтрующем оборудовании. Пользуйтесь пока получается, но будьте готовы что в любой рандомный момент дырку могут прикрыть и вы с этим ничего не сделаете.
outlingo
18.01.2026 12:12Да, Wireguard, OpenVPN, L2TP.
Их блокируют на трансграничном уровне. Внутри они вполне работают. У сожалению, это излюбленные клиент-серверные протоколы активно использовавшиеся анонимайзерами, поэтому и попали под раздачу. Но тот же OpenVPN точка-точка на симметричном ключе нормально работает. Ну, кроме случаев, когда количество псевдоVPNов хостящихся у провайдера не превысит критическую массу и РКН не придет с топором и носилками ампутировать их по подсетям.
larkess
18.01.2026 12:12Wireguard прекрасно работает. О чем речь, кто его заблокировал?
0ka
18.01.2026 12:12В 23г ещё заблокировали при подключениях вне рф, ркн естественно, вам просто повезло.
Siberianice
18.01.2026 12:12Тоже читаю кругом, что его блокируют, но работает норм у любых операторов и в разных регионах. Порт для подстраховки поменять нужно и всё.
MiracleUsr
18.01.2026 12:12но работает норм у любых операторов и в разных регионах
Вы наверное пытаетесь подключаться в пределах страны, а не за бугор
Порт для подстраховки поменять нужно
От этого вообще не зависит
Kimimi
18.01.2026 12:12У меня дома 2 провайдера Мегафон и Ростелеком, даже через самый дефолтный wg от амнезии, который одним кликом на впске настраивается, все работает на обоих. Сервер в Германии.
Mnemone
18.01.2026 12:12У меня на одном сервере чистый wg нормально работает на трех десятках устройств, у всех разные операторы. А вот АмнезияWG на другом сервере отвалилась через месяц, поменял протокол на XRay через Амнезию же и пока все ок.
kreatiffchik
18.01.2026 12:12WG у меня не работает между ру-ру. Как через мобильный интернет, так и проводной - все зависимости от провайдера. Тут скорее от региона больше зависит, кмк..
ArtFrost
18.01.2026 12:12Вы ещё больше свистите что и как прекрасно у вас работает. Ну ей богу, все равно что проходить мимо грабителей и кричать им что подумаешь пару косарей забрали, в кармане ещё много
Kimimi
18.01.2026 12:12При чем тут свистеж. У меня возник закономерный вопрос о существовании блокировок протоколов, в ситуации в которой у меня (да и у многих в комментах) все продолжает работать. Как так вышло что одни тспу блочат Впны, другие не блочат, или почему магистрали у одних пропускают впны а у других не пропускают.
mlnw
18.01.2026 12:12Не нужно искать глубинные смысли там, где имеет место банальная криворукость, или просто еще не дошли руки. Пример гораздо проще: две симки МТС, оформленные на одного физика с соседними номерами, после отсутствия в РФ 2 недели, у одной блочится интернет и приходит СМС о необходимости пройти капчу, у другой всё работает. Кроме как криворукостью, как это объяснить?
BesrezenUs
18.01.2026 12:12Вставай страна огромная, вставай на смертный бой. Единственное решение, которое реально вернет свободу в интернете. Вы"ать всю власть пора
maksd_gt
18.01.2026 12:12Автор. Я правильно понимаю, цензор заблокирует потому что на сервере должен работать только за nginx-ом? Ты же понимаешь что огромное количество сервисов кладут с прибором на nginx. Но они не стали менее легитимны из-за этого. Получается заблокируют всех кто не использует nginx? Всех кто сделал ListenAndServe(handler, address), а не поднимал nginx для онлайн калькулятора, заблокировать получается?
Sap_ru
18.01.2026 12:12Более того все нормально настроенные nginx имеют кастомные настройки выдачи ошибок.
Mnemonik
Для начала "написан на go, и вот так-то его легко поймать, отличив от нашего святого nginx" - это если вы застряли в 2020. nginx стремительно проигрывает битву за то, что называется "ingress controller". Это именно то, что роутит трафик на входе в кубер или в чем-то ещё более высоко нагруженом. Схема - на входе контроллер терминирующий tls, за ним уже всякие nginx c проложениями - уже практически стандарт в больших деплойментах, и уж особенно везде где есть кубер. И написаны они... Сюрприз-сюрприз, на golang! Envoy, Traefik,.. вот эта вся братия - уже солидная часть интернета отвечающего на TLS. Так что вот так вот взять и зарубить хендшейк golang - тот же верный способ выстрелить себе сразу в обе ноги, как заблокировать телеграм по айпишникам.
Нормально настроенный Xray не распознав в хендшейке своего клиента запросто передаёт соединение дальше даже не повреждая TLS. Можно поставить спереди Xray, сзади хоть mictrosoft.com и притворяться его CDN без всякой дефолтной страницы Nginx. А "распознаёт" в контексте Xray - это не "ошибочки пишет если что-то не так", - это жёстко чуть ошибся в конфиге клиента, и ничего не работает, потому что трафик уходит на microsoft.com. Там всё так сделано что или ты клиент, или получаешь страницу от fallback. Никаких "ошибочек" там нет.
Конечно это не прям панацея, я просто слегка поверхностно описал почему грамотно настроенный Xray это не то что можно найти с полпинка.
Но тут мы приближаемся к пучинам DPI и вычислительных затрат, которые придётся потратить на каждое соединение чтобы сказать "да вроде это Xray... похоже... может быть". Затраты на прям вот такой DPI будут жечь невероятное количество CPU. К тому же хвалёному китайскому фаерволу пришлось блокировать QUIC полностью, потому что он просто ложился расшифровывая его SNI на не совсем даже катастрофическом количестве трафика.
Так что в целом Xray still going strong.
А уж учитывая сколько там в него добавляют и добавляют, - вполне можно надеяться что всегда будет механизм на шаг впереди DPI.
0ka
"Так что вот так вот взять и зарубить хендшейк golang" в Туркменистане так сделали (+ зачем-то хендшейк Firefox) ещё в 2021г, до того как в xray были добавлены fingerprint браузеров, блокировка действовала даже на айпи внутри страны (т.е. firefox не открывал даже местные сайты), и это ещё наверное только 10% от блокировок в стране, там самый жёсткий интернет цензор, ру цензоры в последнее время напоминают блокировки Туркменистана (например работает сайт PlayStation т.к. он в белом списке, но сама консоль не может подключиться)
Mnemonik
Fingerprint Firefox... Ах, ну да... Наверное если мы говорим про хендшейк клиента. Xray как клиент конечно наверное где-то в районе 2021-го года выглядел как библиотека на go. И это конечно довольно просто решается на клиенте маскировкой под браузер. Согласен.
Я всё же имел ввиду серверную часть. В статье много внимания уделено тому как golang сервер отличается от nginx на уровне TLS хендшейка. И вот тут не могу не подчеркнуть, что, даже несмотря на то, что Xray и сейчас может выглядеть как сервер написаный на golang - блокировать именно такое на стороне сервера - самоубийство. После стремительного восхода Envoy, который сейчас уже очень широко распространён.
BasilioCat
Речь про то, что если запрос (active probing) к подозреваемому сайту дает HTTP ответ с заголовком server: nginx, а TLS пробы показывают что это golang - то это прокси
P.S.: Надеюсь вам не придется видеть, как работают прокси на golang под DDoS, с которым nginx справляется
MiracleUsr
Сейчас все чаще и чаще как раз ставят XRay за Nginx (с XHTTP или gRPC)
Mnemonik
Там снизу грамотно заметили что можно поставить и наоборот - nginx спереди, Xray сзади. Active probe в этом случае не поможет, поможет только анализ TLS.
Но больше всего мне конечно хотелось бы спросить про DDoS это вы как бы сами испытывали, или просто "все знают" что nginx божественен, а golang это для консольных утилит какая-то приблуда?.. Потому что это вот прям как раз то, что именно вот прям со мной, случается время от времени. И даже тот же самый traefik который мы используем вполне себе выдерживает такую же нагрузку как nginx. А ещё он при этом нативно горизонтально скалируется в кластере, чуть более удобно чем nginx, который про соседей никогда ничего не знает, хоть это и не так важно в горизонтальном скалировании. Но даже это не предел, потому что вдруг внезапно оказывается что если сделать замеры, то nginx при включённом TLS (что как бы подразумевается в нынешнем интернете) это самое тормозное дно в плане RPS которое проигрывает и traefik (хоть и немного), и особенно envoy (уже много). Если не опираться на "я так вижу", а допустим почитать всякие замеры из интернета, то можно найти прямо вот такие вот печальные графики
и у всех трестировавши они будут одинаковые... эпоха nginx проходит, так же как когда-то проходила эпоха apache, и мы все находимся сейчас где-то в том районе где все вокруг все ещё считали nginx какой-то мутной поделкой, а апач стандартом индустрии, только дедушка теперь уже nginx.
BasilioCat
DDoS, как несложно предположить, это огромное количество соединений.
Вы при нагрузочном добивались того, чтобы LA от TLS был равен половине числа ядер сервера? А это обычный случай при ddos. Nginх при этом жрет только проц, а traefik еще и RAM гигабайтами, потому что на соединение тратит в 10-20 раз больше памяти. Нисколько не спорю с функциональностью ingress / api gateway, но терминировать TLS/ фильтровать DDoS предпочитаю на отдельных нодах с nginx
Mnemonik
у нас отдельные ingress ноды с traefik, и они натурально 4 проца, 8 гигов памяти, как патроны в магазине, маленькие и злые. одной ноды хватает на примерно 30к соединений при примерно 2к rps. при этом они скалируются горизонтально просто по нажатию кнопки. ну то есть потому что traefik нативен для k8s, достаточно просто добавлять ноды (при условии того что трафик приходит на них на все от провайдера) и они сразу начинают отдавать трафик. в прошлый ддос нам хватило 20 нод до того момент как умер входящий канал провайдера. как несложно посчитать это было примерно под полмиллиона соединений при 40к rps.
наверное можно упороться и поставить какие-нибудь страшно толстые сервера с 64 гигами памятипо 64 проца, вот только на них мгновенно возникнут сопутствующие проблемы - всякие настройки ядра, настройки сети, бесконечное переключение контекста, всё вот это вот связанное с сотнями тысяч открытых соединений к одной машине, к одному ядру. k8s, traefik и вот это вот всё оно именно как раз про утилитарность горизонтального масштабирования. когда можно в течение минуты поднять вместимость в небеса.
быстрее сдохнет бэкенд, чем ingress устанет.
и мы собираемся поменять ingress на envoy чтобы хватало 10 нод до того как умрёт входящий канал провайдера (это гипербола, мы очевидно начинаем применять другие меры когда перестаёт справляться чистый входящий канал провайдера). но уж точно не на nginx.
nginx кстати стоит за traefik и принимает соединения уже без tls из traefik, и я бы не сказал что он хорошо справляется... так себе, удовлетворительно.
и это всё, как вы видите, прямо конкретно мой, реальный опыт работы с этими приложениями. так что я бы поостерёгся рассказывать мне как хороши nginx'ы на широких просторах...
select26
терминировать TLS лучше всего (дешевле в плане CPU consumption) на специальных TLS терминаторах, котрые разбирают TLS (SSL offload как AWS NLB) и передают дальше уже plain HTTP. У меня опыт использования такого терминатора, написанного на Go. И он сильно эффективнее nginx и, главное, может терминировать миллионы сертификатов.
BasilioCat
Работа по шифрованию в nginx ведется в библиотеке OpenSSL (и аналогичных), подозревать их в неэффективном коде при исполнении на CPU оснований пока не было. Есть, однако, криптоускорители как отдельные физические устройства: Intel QAT - через модифицированный OpenSSL, или в сетевых картах
MellanoxNVidia ConnectX Dx через kTLS (не копирует лишний раз данные между вебсервером и ядром). Последние используют в Netflix (под freebsd)Нет оснований считать, что реализация на Go будет делать что-то эффективней в разы. Ну по крайней мере до публикаций результатов тестов с понятной методологией
P.S.: TLS с ключами RSA 4096 жрут в полтора раза больше CPU на сервере, чем с RSA 2048
nin-jin
RSA в 2026 - это зашквар какой-то.
Delagen
Как раз так и стоит, спереди nginx обычный, за ним Xray на вебсокете, удачи в детекте. Статистический анализ не поможет, в интернете куча систем мониторинга "реального" времени на тех же сокетах, не говоря уже о системах видео управления (аналог rdp, vnc и прочего). Как можно подумать там схема примерно такая же, немного от клиента, и шквал данных к клиенту... Вперед отличать сижу я смотрю данные или ютуб гоняю)
MiracleUsr
Конкретно вот это в связке с прокси детектируется до смешного просто, но не будем подсказывать ркн’у
MiracleUsr
В статье написана чушь. В самой простой конфигурации xray с т.з. TLS fingerprint выглядит как go-аппка, вот только эти самые простые конфигурации уже много лет как никто не использует. А при использовании Reality будет виден фингерпринт реального веб-сервера (Nginx и т.д.), как и при нормально настроенных XHTTP/gRPC
MiracleUsr
а еще Caddy и Traefik
opusmode
Чот у вас такое себе
Давайте начнём с того, что кубер появился не в 2020 году и активно используется он уже более 10 лет
Про стремительно проигрывает - да как-то не особо. Кубер нужен не везде и не всем.
Ну и, опять же - ingress controller это логическая сущность, а что конкретно там - может быть и nginx. Да, не прям тот, но всё же
Это мы уж не говорим об ALB перед ним в облаке, на котором, с большой вероятностью, опять же будет nginx
Mnemonik
"может быть nginx" https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement/
edo1h
Можно подумать, что принимающих решения о блокировках это пугает
g-orlov
Тут добавлю, что Kubernetes официально прекращает поддержку Nginx в качестве Ingress контроллера в марте 2026. Так что он не просто «проигрывает битву», он уже окончательно списан со счетов. Тем не менее, все еще очень много где используется.