Стоит ли ещё доверять VPN после блокировок 2025? Какой протокол выживает?

[mllinux3113]

С осени прошлого года половина моих конфигов на OpenVPN и WireGuard просто перестала подниматься у российских провайдеров, ловит таймаут на хендшейке. Перешёл на VLESS+Reality через Xray, пока держится. Кто на чём сидит сейчас, что реально работает?

[savva_io]

Reality сейчас золотой стандарт против DPI, потому что маскируется под реальный TLS к чужому сайту и не имеет собственного хендшейка, который можно зафингерпринтить. WireGuard палится по характерному размеру первого пакета, его душат на раз. OpenVPN с обфускацией (xor patch) ещё дышит, но это костыль.

[zhenya_docker]

Подтверждаю про Reality, поднял на VPS за 4 евро в Финляндии, dest указал на microsoft.com, полёт нормальный уже 4 месяца. Главное не светить свой сервер в публичных подписках, иначе IP уедет в бан за неделю.

[oleg]

А Shadowsocks ещё актуален или уже всё? У меня старая связка SS+v2ray-plugin, иногда лагает по вечерам.

[vera]

SS сам по себе нормальный шифр, но без плагина обфускации палится по энтропии трафика. Связка с v2ray-plugin рабочая, но Reality стабильнее. Вечерние лаги это скорее перегрузка твоего сервера или шейпинг, а не детект.

[alina_linux]

Спасибо, как раз dest хочу поменять, на cloudflare указывал и пару раз ловил странные обрывы. Перенесу на крупный CDN-домен.

[oleg5897]

Ещё совет: не берите VPS у хостеров, которых в РФ массово банят по подсетям (некоторые крупные облака целиком в списках). Берите мелких европейцев, у них подсети чище и дольше живут.

[savva_io]

VLESS+Reality это сейчас де-факто стандарт для обхода DPI, но важно не напутать с настройкой uTLS fingerprint. Если выставить uTLS=chrome — трафик выглядит как обычный TLS к легальному сайту (указываешь в serverName реальный домен с нормальным сертом). WireGuard блокируют именно по характерному хендшейку — 148 байт строго в первом пакете, это тривиально для ТСПУ. OpenVPN с obfs4 или stunnel может ещё тянуть, но требует отдельного порта под stunnel, что само по себе сигнал.

[proxysec3918]

Добавлю по hysteria2 — протокол поверх QUIC/UDP, у меня держится устойчивее чем VLESS на некоторых провайдерах. Минус — UDP часто шейпят или блокируют ещё агрессивнее чем TCP, особенно на мобильном Билайне. Так что результат зависит от конкретного провайдера и региона. Перед настройкой стоит проверить, что UDP 443 вообще доходит до сервера через nmap или простой netcat.

[proxyssh8845]

Ещё один нюанс по Reality: домен-прикрытие лучше брать не случайный, а CDN-heavy вроде microsoft.com или apple.com — они под Cloudflare и другими CDN, что усложняет корреляцию трафика на уровне AS. И сервер желательно не на дешёвых хостингах типа VirtServer или TimeWeb — их подсети уже частично в базах блокировок. Hetzner DE или Contabo пока нормально.