Как устроено ТСПУ и какие протоколы обходят DPI Роскомнадзора

ТСПУ расшифровывается как «технические средства противодействия угрозам». Это комплексы DPI (Deep Packet Inspection), которые по закону «о суверенном рунете» (187-ФЗ) операторы обязаны установить в своей сети. Управление централизованное: команды на блокировку приходят из Роскомнадзора, а не настраиваются провайдером локально.

Ключевое отличие от блокировок 2018-2020 годов: раньше РКН вносил в реестр IP-адреса и домены, а провайдер резал их на маршрутизаторе - это легко обходилось сменой IP или прокси. ТСПУ работает иначе: оно анализирует содержимое и форму самих пакетов в реальном времени и принимает решение на уровне протокола, не зная заранее ни вашего IP, ни домена назначения. Поэтому «просто поднять VPN на новом сервере» больше не гарантирует обход - ТСПУ узнаёт VPN не по адресу, а по тому, как выглядит его трафик.

На практике DPI РКН применяет несколько независимых классов воздействия. Понимание каждого объясняет, почему одни протоколы выживают, а другие нет.

• Пассивная классификация по отпечатку протокола. У большинства VPN-протоколов есть характерная структура первых пакетов: handshake-сообщение WireGuard с фиксированным форматом и типами, заголовки OpenVPN, опкоды IKE/IPsec, паттерн Shadowsocks без плагина. ТСПУ держит сигнатуры этих протоколов и режет или замедляет совпавшие потоки.
• Блокировка по SNI. В обычном TLS поле SNI (имя домена) передаётся в открытом виде в ClientHello - до начала шифрования. ТСПУ читает его и блокирует соединение по имени домена ещё до того, как канал зашифруется. Так падают связки VLESS+WebSocket+TLS, если домен попал в реестр, и так же режется ESNI/ранний ECH без поддержки сервером назначения.
• Инспекция и блокировка QUIC. QUIC (HTTP/3, UDP/443) РКН периодически давит целиком на ряде операторов: либо блокирует Initial-пакеты с распознаваемым QUIC-заголовком, либо троттлит UDP/443. Поэтому протоколы поверх QUIC требуют отдельной маскировки и устойчивого фолбэка.
• Активное зондирование (active probing). Самый опасный механизм. Заметив подозрительный поток к IP:443, ТСПУ само подключается к серверу и проверяет, ведёт ли он себя как заявленный сайт. Если ответ нестандартный - IP помечается как прокси. Именно так в своё время выжигали обычный Shadowsocks.

Дополнительно ТСПУ применяет троттлинг вместо явной блокировки: соединение формально живо, но скорость падает до нечитаемых значений. Это сложнее диагностировать, чем обрыв, и используется как «мягкое» давление - так замедляли YouTube.

Эти методы либо детектируются пассивно по отпечатку, либо не переживают активного зондирования. Их можно использовать в регионах со слабым ТСПУ, но рассчитывать на стабильность на мобильных операторах и в дни «учений» РКН нельзя.

• Чистый WireGuard. Его handshake имеет узнаваемый формат (тип сообщения, фиксированная длина). ТСПУ массово опознаёт и троттлит ванильный WireGuard, особенно на мобильных сетях. Сам протокол отличный - проблема в распознаваемом отпечатке.
• OpenVPN (UDP и TCP). Классические заголовки опкодов давно в сигнатурах DPI. Даже OpenVPN over TLS (port-share на 443) при долгом анализе выделяется. Считайте устаревшим для России.
• IPsec/IKEv2, L2TP, PPTP. Хорошо распознаются по портам и формату сообщений; на этих протоколах VPN не работают в РФ годами.
• Чистый Shadowsocks без плагина. Без обфускации не переживает активного зондирования - случайно выглядящий трафик к IP:port сам по себе подозрителен.
• Ванильный VLESS/VMess+WebSocket+TLS на «засвеченном» домене. Уязвим к блокировке по SNI и к статистическому профилированию: свежий домен с единственным посетителем и вчерашним сертификатом выглядит аномально.

Устойчивость даёт не «секретный протокол», а сочетание трёх свойств: трафик неотличим от легитимного TLS/HTTPS, нет распознаваемого handshake-отпечатка, и сервер переживает активное зондирование. Под это подходят:

• VLESS+Reality (Xray). Самый надёжный массовый метод. Сервер не предъявляет свой сертификат - он на лету проксирует TLS-хендшейк настоящего крупного стороннего сайта. Для ТСПУ соединение выглядит как обычный визит к легитимному ресурсу: настоящий сертификат, корректный TLS 1.3, правильная цепочка доверия. Активное зондирование получает ровно тот ответ, что и при прямом обращении к dest-сайту, потому что у зонда нет приватного ключа x25519. Не требует ни своего домена, ни сертификата.
• AmneziaWG (обфусцированный WireGuard). Решает главную слабость WireGuard - узнаваемый handshake. AmneziaWG добавляет junk-пакеты, случайные смещения и изменяемые параметры инициализации, ломая сигнатуру. На уровне отпечатка перестаёт быть WireGuard. Хороший выбор, когда нужна именно VPN-семантика (полный туннель устройства), а не прокси для приложений.
• Hysteria2 и TUIC (поверх QUIC). Дают высокую скорость и устойчивость к потерям за счёт собственного контроля перегрузки - полезно против троттлинга. Оговорка: оба живут на UDP/QUIC, который РКН периодически давит целиком. Используйте там, где QUIC проходит, и держите TCP-фолбэк (Reality) на том же сервере.
• ShadowTLS v3 + Shadowsocks. Прячет Shadowsocks за настоящим TLS-хендшейком к легитимному сайту, закрывая уязвимость к активному зондированию.

Общий принцип 2026 года: основной канал - VLESS+Reality на офшорном VPS, фолбэк - AmneziaWG или Hysteria2. Пошаговую настройку Reality мы разбираем на странице по настройке VLESS+Reality на VPS.

Любой из устойчивых протоколов выше требует собственного сервера за пределами российской юрисдикции. Коммерческие «VPN-приложения» из магазинов плохи по двум причинам: их общие IP-диапазоны давно известны ТСПУ и блокируются пачками, а их трафик не маскируется под Reality. Свой VPS снимает обе проблемы - вы контролируете протокол и используете «чистый» IP, ещё не засвеченный как VPN.

Что важно при выборе сервера для обхода ТСПУ:

• Юрисдикция вне РФ - чтобы провайдер не исполнял российские предписания на блокировку.
• Низкая задержка до России. Европейские локации (Румыния, Нидерланды) дают комфортный пинг при сохранении приватности.
• Чистый IP - предпочтительно не из «общих» VPN-подсетей.
• Оплата криптовалютой и минимум данных при регистрации.

Под эти критерии подходят наши офшорные VPS планы в европейских локациях; для нескольких пользователей есть выделенные офшорные серверы. На любом поднимается Xray с Reality и AmneziaWG-фолбэком за 15-20 минут.