Эти выходные прошли под эгидой Connection Reset. Пока новостные каналы писали расплывчатое «пользователи жалуются на сбои», я в чатах и на тестовых стендах пытался понять физику процесса.

Сразу спойлер для любителей теории «они заблокировали все VPN»: нет, не все. Но РКН явно выкатил на продакшн (пока только в регионах) новые сигнатуры для ТСПУ. И, как водится, вместе с водой выплеснули и младенца — под раздачу попал чистый, легитимный трафик внутри РФ.

Ниже — сухая выжимка того, что удалось накопать за 48 часов тестов и дебага

Анатомия блокировки: бьют по Хендшейку

Главный миф — «забанили IP хостеров». Это не так. «Самовары» (личные VPS для одного юзера), которые годами жили на неприметных IP, отлетели точно так же, как и публичные сервисы.

Что удалось выяснить опытным путем (спасибо комьюнити и бессонным ночам):

1. Магия порта 443
Блокировка во многих случаях жестко привязана к стандартному HTTPS порту.

• Тест: VLESS+Reality на 443 порту — мгновенный дроп или замедление скорости до нуля.

• Тест: Тот же самый конфиг переносим на рандомный высокий порт (например, 47000+) — пропускает до 80% пакетов. ТСПУ, видимо, ленится дипанализить все порты подряд, экономя ресурсы железа.

2. SNI и Фингерпринты
Самое интересное. Reality маскируется под чужие сайты (Microsoft, Yahoo и т.д.).

• Смена SNI (фейк/реальный/белый) — не помогает.

• А вот пустой SNI внезапно снимает блок в 100% случаев.

• Удаление fingerprint (выставление пустого значения, чтобы светился дефолтный Go-отпечаток) тоже помогало пробиться.

Collateral Damage: задели своих

Самое смешное (и грустное). В ходе тестов выяснилось, что ТСПУ в своем рвении начал рубить обычный HTTPS трафик до российских хостеров.

В браузерах (Edge, Firefox) при большом количестве соединений отваливался доступ к веб-серверам на Selectel внутри России. Это подтверждает теорию, что блокировка идет не по "черным спискам", а по кривой эвристике: «Вижу TLS 1.3, вижу активный долбеж пакетами -> ДРОП».

Чем спасаться? (Рабочие схемы)

Пока разработчики ядра XRay (RPRX) готовят патч (а они уже в курсе и, скорее всего, скоро что-то выкатят), варианты такие:

1. Shadowsocks-2022. Классика бессмертна. Связка с шифрованием chacha20-ietf-poly1305 работает. Да, "кое-кто" умеет его детектить, но прямо сейчас ресурсы брошены на войну с VLESS, и «тени» проскакивают.

2. Цепочки (Chains). Схема для параноиков: Юзер -> Российский VPS (Wireguard/VLESS) -> Зарубежный VPS. ТСПУ видит коннект до российского IP и (обычно) его не трогает, а уже российский сервер гонит трафик за бугор. Минус — двойной пинг и цена.

3. xHTTP. Новый транспорт. Работает, но требует тюнинга.
   Мнение: многие пишут про xHTTP + CDN Cloudflare. Это работает, но это дорого (CDN не резиновый) и медленно. xHTTP имеет право на жизнь и без CDN, напрямую, просто как способ сменить паттерн трафика.

Гипотеза «Битая память» или модификация на лету

В тредах на Гитхабе и профильных форумах родилась весьма правдоподобная теория происходящего. Судя по поведению трафика, ТСПУ не просто дропает пакеты, а, возможно, начало модифицировать первые байты в TLS Client Hello или рандомно менять биты в пейлоаде.

Почему это важно?

• Браузеры (Chrome, Firefox) имеют механизмы повторной отправки (TCP retransmission). Если пакет пришел битым, они запросят его снова. Поэтому обычный веб (иногда) работает, хоть и со скрипом.

• VLESS/XRay — протоколы строгие. Видя нарушение целостности криптографии или невалидную структуру, клиент или сервер мгновенно разрывают соединение, считая, что их сканируют (Active Probing).

Этим же объясняется и странное поведение WireGuard. Внутри страны (между двумя роутерами в разных городах РФ) он работает идеально — значит, протокол не заблокирован глобально. Но стоит попытаться кинуть туннель за границу — пакеты умирают на пограничных шлюзах. ТСПУ четко разделяет: «свой» трафик не трогаем, «чужой» — фильтруем по сигнатурам.

Спор про «Мажоров» и xHTTP

Сейчас из каждого утюга советуют переходить на транспорт xHTTP, завернутый в CDN (обычно Cloudflare). Да, это работает, но давайте честно: это решение не для всех.

1. Цена и сложность. Гнать трафик через CDN — это увеличивать задержку (пинг) и рисковать баном аккаунта Cloudflare за нарушение TOS (они не любят, когда их используют как VPN-трубу на бесплатных тарифах).

2. Альтернатива. Тесты показывают, что xHTTP имеет право на жизнь и в режиме Direct (напрямую к серверу), без прослойки CDN. Его главное преимущество сейчас — он меняет паттерн трафика так, что текущие фильтры РКН его пока не «мэтчат». Не обязательно усложнять конструкцию, если задача — просто сменить сигнатуру.

Ирония белых списков

Пользователи мобильных операторов (Йота, Мегафон) сообщают, что в некоторых регионах включили режим "White List" по IP. Ирония в том, что в белые списки не попали многие российские банки и сервисы, но зато туда попадают диапазоны Cloudflare. В итоге мы приходим к абсурду: чтобы зайти на сайт условного Сбера или Госуслуг, людям приходится включать VPN, потому что локальная сеть провайдера превратилась в тыкву.

Смерть «одной кнопки» и что делать обычным юзерам

Вся эта ситуация с выходными показала неприятную правду: эпоха «купил дешевый VPS, накатил скрипт за 5 минут и забыл» окончательно ушла. Если у вас свой сервер, вы теперь не просто пользователь, вы — дежурный сисадмин. Вам нужно следить за портами, менять SNI, искать, почему отвалился YouTube, и обновлять ядро XRay.

Что делать тем, кому лень?
Рынок VPN сейчас трансформируется. Выживают не те, у кого "самый быстрый сервер", а те, кто предоставляет мультипротокольность. Если РКН блокирует VLESS, у вас должна быть возможность за секунду переключиться на Shadowsocks-2022, WireGuard (для РФ) или xHTTP.

Я вижу, как меняются подходы у разных проектов:

• Есть путь Amnezia (Self-hosted) — крутое опенсорс решение, они дают инструменты, чтобы вы сами все настроили. Но если IP вашего сервера попадет в бан — это все равно ваша проблема (покупка нового VPS, переезд).

• Есть крупные игроки вроде PaperVPN или Red Shield — они надежные, но из-за своей массовости часто становятся первой мишенью для блокировок, и их протоколы обновляются не так быстро, как хотелось бы.

• И есть прослойка современных сервисов-агрегаторов (по типу hynet.space), которые работают по принципу "швейцарского ножа" и предоставляют выбор сразу множества протоколов, а не один конкретный

Почему «швейцарский нож» сейчас выигрывает?

В субботу, когда лег Reality, обычный юзер с личным VPS остался без интернета. Пользователь сервиса, где реализован выбор протоколов, просто нажал кнопку и сменил транспорт на Shadowsocks или gRPC и продолжил смотреть видео.

Суть в смене парадигмы. В 2024-2025 году "выживаемость" соединения важнее цены сервера. Если вы не готовы дебажить логи ночами — ищите сервисы которые писал выше, которые предлагают минимум 3-4 разных протокола,  в одной подписке и автоматическую ротацию портов.
Одиночный VLESS больше не воин.

Итог

VLESS не умер, он просто переходит в фазу активной войны. Халява с «настроил Reality и забыл» кончилась. Ждем фиксов ядра, запасаемся чистыми IP и учимся балансировать нагрузку.

Пишите в комменты: у кого какой оператор и жив ли Youtube через Reality? По ощущениям, МТС сейчас — самый агрессивный в плане тестов.