Два самых популярных VPN-протокола, OpenVPN и WireGuard, не работают в России без серьезных модификаций. Всё дело в узнаваемых сигнатурах, которые легко распознает Роскомнадзор. Но что это вообще такое: протоколы и сигнатуры?
«Бумага» объясняет, на что смотреть при выборе протокола, почему какие-то заблокировать легко, а какие-то — нет, и кто побеждает в технической гонке Роскомнадзора и создателей VPN.
Что происходит, когда вы включаете VPN и причем здесь протоколы?
VPN-протокол — это набор правил, по которым ваше устройство «разговаривает» с сервером. При подключении VPN-сервер и ваше устройство договариваются об общем шифровании и ключах к нему — этот процесс называется «рукопожатием». После него весь ваш трафик запаковывается внутрь VPN-пакетов и шифруется. Провайдер видит только то, что вы постоянно «разговариваете» с одной точкой, то есть подключены к одному конкретному серверу, но не видит содержимое.
Именно протокол определяет, как именно формируются и шифруются пакеты данных, как часто отправляются служебные сообщения, как обновляются ключи, а также как они передаются между вашим устройством и сервером — через UDP или TCP.
UDP, то есть User Datagram Protocol, и TCP, то есть Transmission Control Protocol, — это два самых популярных транспортных протокола. Чтобы не путать с VPN-протоколами, будем называть их просто «транспортами».
TCP — это «транспорт», который устанавливает соединение, следит за порядком пакетов и подтверждает доставку, поэтому он надежнее, но обычно медленнее. Если сравнивать с обычным транспортом, то TCP — это надежный автобус, который вполне может встать в пробку.
А UDP — более простой и мобильный, как, например, электросамокат. Это быстрый «транспорт» без установления соединения и без гарантий, что пакеты дойдут или придут по порядку, поэтому его часто используют там, где важнее скорость, чем идеальная точность, как в стриминге или голосовой связи.
Например, VPN-протокол WireGuard всегда использует UDP, а его первое приветственное сообщение — это UDP‑пакет строго определенной длины с «одноразовым» 32‑байтным публичным ключом внутри. Несмотря на шифрование, форма этих пакетов, их размер и последовательность образуют уникальный «узор», по которому понятно — это WireGuard, а не обычное видео или запрос в браузере.
Такой набор повторяющихся признаков протокола — это и есть его сигнатура, отпечаток протокола в трафике. Благодаря ней российские системы глубокого анализа трафика могут догадаться, что используется VPN, и блокировать соединение.
Какие протоколы работают в России, а какие уже нет?
Изначально VPN придумывали для офисных сетей, чтобы сотрудники могли безопасно подключаться к рабочим серверам. Поэтому первые VPN-протоколы были рассчитаны на корпоративные задачи и плохо подходили обычным пользователям. Но в начале нулевых появился OpenVPN.
Его придумал программист Джеймс Йонан. По легенде, во время путешествия по Центральной Азии ему приходилось подключаться к рабочему серверу через сомнительных интернет-провайдеров. Ему это не понравилось, и он решил создать безопасный, но при этом гибкий и удобный VPN.
OpenVPN — открытый протокол, который строит шифрованный туннель с TLS — специальным протоколом безопасности «транспорта». Проще говоря, OpenVPN можно настроить так, чтобы он в качестве «транспорта» использовал или UDP, или TCP, но на безопасности это не отразится, потому что поверх он защищен TLS.
Долгое время OpenVPN был «золотым стандартом» для коммерческих VPN‑сервисов: он давал хороший баланс скорости и безопасности и при этом был открытым — его можно было проверять на безопасность и модифицировать. Но за эту универсальность приходилось платить длинным кодом, сложными конфигурациями и узнаваемой сигнатурой.
Протокол WireGuard был придуман как противоположность OpenVPN — минимальный код и современное шифрование. WireGuard использует только UDP, опирается на набор «по умолчанию безопасных» алгоритмов и обычно выглядит как один небольшой интерфейс, куда можно прописать публичные ключи. За счет этого WireGuard чаще рекомендуют для использования на мобильных устройствах и роутерах, но при этом у него очень жесткая, фиксированная структура пакетов и характерный UDP‑«почерк».
После появления систем глубокого анализа трафика (DPI) базовые OpenVPN и WireGuard фактически перестали работать. Решением стала обфускация — маскировка VPN-трафика под обычный. Подробнее об обфускации и способах обхода блокировок мы рассказывали в этом материале.
Вместе с усилением Великого китайского файрвола в середине десятых появился проект V2Ray. Его базовый протокол VMess задумывался как прокси для обхода блокировок. В 2020 году V2Ray выпустил VLESS — Very Lightweight and Efficient Stream. Идеология VLESS: «простота — тоже безопасность». Из протокола выкинули лишние слои шифрования и оставили только минимально необходимую аутентификацию, а маскировку перенесли во внешний «транспорт».
Так мы приходим к современному решению — комбинированию VLESS и Reality. Этим занимается инструмент XRay, созданный на базе V2Ray. Про VLESS мы уже рассказали, а Reality — это по сути модифицированный TLS, который маскируется под конкретный сайт. Сервер берет внешний вид и поведение реального ресурса, подстраивает под него «рукопожатие» и сертификаты, и для DPI всё соединение выглядит как посещение легального сайта.
Что делать, когда любой протокол могут заблокировать?
Последний год российские власти блокируют даже те VPN-протоколы, которые работают с VLESS/Reality. К ним не нужно относиться как к волшебной таблетке — это просто очередное техническое решение со своими недостатками и сроком годности.
Сейчас обойти блокировки одним хорошим протоколом или одним способом обфускации — невозможно. Это всегда совокупность разных решений.
Так, недавно российские разработчики сообщили, что Роскомнадзор изменил подход к блокировке VPN-сервисов, чтобы бороться с «каскадными» VPN-туннелями. Для обхода блокировок они сначала подключаются к серверу в России, а потом уже к зарубежному.
Более того, Роскомнадзор активно внедряет искусственный интеллект и машинное обучение, чтобы эффективнее отслеживать нежелательный VPN-трафик. Зимой Forbes писал, что на эти технологии планируют потратить более 2 миллиардов рублей.
Но и разработчики VPN постоянно совершенствуют способы обхода блокировок. Поэтому важно иметь несколько VPN-сервисов и следить за их обновлениями.
