0.1. Анализ текущей ситуации с блокировками: Почему обычные VPN (OpenVPN, WireGuard) перестали работать?
Что значит «обычные VPN»?
-
-
Протоколы, заточенные на скорость и стабильность, а не на скрытность (OpenVPN, WireGuard, IPSec, старый L2TP).
-
Используют стандартные порты (UDP 1194 для OpenVPN, UDP 51820 для WireGuard) — их легче всего вычислить.
-
Просто шифруют трафик, но не скрывают факт использования VPN (инкапсуляция есть, маскировки нет).
-
Почему они перестали работать?
-
-
Ручные blacklist-ы: Раньше блокировали просто IP-адреса VPN-серверов (Datacenter IP). Провайдеры забивали адреса в черные списки.
-
Блокировка по портам: Начали резать «левые» порты, затыкая нестандартный трафик.
-
Эволюция в DPI: Провайдеры установили тяжелую артиллерию (оборудование DPI), которое теперь анализирует не просто номер порта, а то, что внутри пакета летит.
-
Суть проблемы (технический нюанс для понимания):
-
-
Шифрование (SSL/TLS) используется везде: в банках, на сайте Госуслуг, в YouTube. Сам по себе шифрованный трафик не является признаком VPN.
-
DPI научился отличать «рукопожатие» OpenVPN от «рукопожатия» обычного HTTPS. Он видит закономерности, сигнатуры пакетов. Если пакет похож на VPN — его роняют.
-
Простыми словами:
Провайдер перестал блокировать просто адреса — он теперь анализирует содержимое интернет-пакетов. Обычные VPN-протоколы оставляют очень характерные «цифровые отпечатки» в трафике. DPI (система анализа) эти отпечатки узнает и убивает соединение. VPN ломается не потому, что пароль взломали, а потому что его «почерк» вычислили и прервали связь.