Все статьи
Технологии
24 мин

ТСПУ: как технически работает блокировка VPN в России

ТСПУ — технические средства противодействия угрозам — это система фильтрации интернет-трафика, установленная у всех крупных российских провайдеров с 2019 года. Именно ТСПУ блокирует Twitter (X), Instagram, Facebook, замедляет YouTube, режет VPN-протоколы. В этой статье мы разберём, как ТСПУ устроены технически, на чём построена их фильтрация, какие методы блокировки используются (от простой блокировки IP до глубокой инспекции пакетов и анализа TLS-fingerprints), почему OpenVPN/WireGuard падают, а VLESS+REALITY — нет. После прочтения вы будете понимать архитектуру российской интернет-цензуры и почему выбор VPN-протокола сегодня — это вопрос техники, а не маркетинга.

В двух словах

ТСПУ — это «коробки» (DPI-маршрутизаторы) от компании РДП.РФ или EcoFilter, установленные между провайдером и магистралью. Они анализируют каждый пакет на предмет: IP-адресов из чёрного списка (1+ млн), доменных имён в TLS SNI, сигнатур протоколов (OpenVPN, WireGuard, Tor), паттернов трафика (timing, размеры пакетов). Результат: блок IP, drop пакета, замедление до 5–10 Кбит/с. Современные обходные протоколы (VLESS+REALITY, AmneziaWG) маскируются под легитимный TLS, который ТСПУ не может блокировать без поломки рунета.

История появления ТСПУ

Закон о «суверенном рунете» (97-ФЗ) был принят в 2019 году. Главная идея: оборудование для фильтрации трафика устанавливается у провайдеров, контролируется ФСБ и Роскомнадзором. Производители ТСПУ — российские компании, в первую очередь РДП.РФ (RDP) и EcoFilter (Эко-Фильтр). Развёртывание шло поэтапно:

2019–2020

Первые ТСПУ установлены у крупнейших провайдеров (Ростелеком, МТС, ЭР-Телеком). Тестовый режим, не все функции включены.

2021

Twitter (тогда ещё) замедлен через ТСПУ — это была первая публичная демонстрация возможностей системы. Доказано, что ТСПУ умеет точечную фильтрацию по доменам.

2022

Массовая блокировка Facebook, Instagram, начало замедления YouTube. ТСПУ работает на всех крупных провайдерах. Список IP в чёрных списках достигает миллионов.

2023–2024

Активная фильтрация VPN-протоколов (OpenVPN, WireGuard, IKEv2). Крупнейшие коммерческие VPN перестают работать. ТСПУ обновляется, добавляет новые сигнатуры.

2025–2026

Замедление YouTube усиливается. Начинаются точечные блокировки сторонних магазинов приложений (TestFlight, F-Droid). Эксперименты с обнаружением VLESS-трафика — пока неуспешные.

Как технически устроен ТСПУ

ТСПУ — это компьютер с серверным процессором, специализированными ASIC-чипами для DPI и большим количеством RAM (для хранения статистики). Размещён физически между маршрутизатором провайдера и магистралью, через которую трафик идёт «наружу». Архитектурно работает следующим образом:

1Перехват пакетов

Каждый пакет (как входящий, так и исходящий) проходит через ТСПУ. Скорость обработки 100+ Гбит/с — для типичного провайдера достаточно. Пакеты не задерживаются — они анализируются на лету.

2Уровень 3 (IP) — фильтр чёрного списка IP

Если IP назначения в чёрном списке (миллионы записей) — пакет дропается. Чёрные списки обновляются в реальном времени из единого реестра Роскомнадзора (РКН).

3Уровень 4 (TCP/UDP) — анализ портов и сигнатур

ТСПУ может банить трафик на нестандартных портах или с характерными сигнатурами. Например, OpenVPN handshake идёт первыми 4 байтами «38 0F 67» — это сигнатура. WireGuard — фиксированные 32 байта в первом UDP-пакете. ТСПУ распознаёт.

4Уровень 7 (приложение) — DPI с разбором TLS

ТСПУ читает TLS ClientHello, извлекает SNI (имя домена), сравнивает с чёрным списком доменов. Если домен из списка — соединение обрывается на этапе handshake. Особенность: SNI передаётся открыто (не зашифровано) в каждом TLS — это ключевая «дыра» в маскировке.

5Анализ паттернов и timing

Самый продвинутый уровень. ТСПУ собирает статистику на лету: размеры пакетов, время отклика, паттерны передачи. По этим метаданным распознаются обфусцированные VPN, даже если они хорошо маскируются на уровне TLS.

Какие протоколы режет ТСПУ — детально

OpenVPN

OpenVPN — самый легко детектируемый VPN-протокол. Его handshake начинается со специфической последовательности байт, которая распознаётся ТСПУ за миллисекунды. Через ~1–3 секунды после старта OpenVPN-соединения ТСПУ его обрывает.

Обфускация (XOR, obfsproxy, scramblesuit) добавляет случайные байты, скрывая сигнатуру. Но размеры пакетов и timing всё равно характерны. ТСПУ научилась детектировать OpenVPN с обфускацией в 2023 году.

WireGuard

WireGuard работает только по UDP. Первый пакет handshake — фиксированные 32 байта. Это мгновенная сигнатура. ТСПУ блокирует WireGuard за менее 1 секунды.

AmneziaWG — модификация WireGuard с добавлением «junk packets» (мусорных пакетов в начале handshake). Это смазывает сигнатуру. Работает, но с 2024 года ТСПУ начала детектировать и AmneziaWG через анализ pacing.

IKEv2/IPsec

IKEv2 имеет распознаваемый handshake фазы 1 (UDP port 500). ТСПУ блокирует мгновенно. Используется в основном Apple-устройствами по умолчанию для VPN — поэтому iPhone/Mac VPN-приложения часто не подключаются.

L2TP/IPsec, PPTP

Старые протоколы (PPTP — с 1999, L2TP — с 2000). Сигнатуры известны, ТСПУ блокирует мгновенно. PPTP вообще не следует использовать — он криптографически устаревший.

Shadowsocks

Изначально создан для обхода китайского файрвола. Использует AEAD-шифрование, нет явных сигнатур. Но размеры пакетов и timing-паттерны выдают. ТСПУ работает с Shadowsocks с переменным успехом — в России блокирует ~70% соединений.

Современный вариант Shadowsocks 2022 (AEAD-2022) — устойчивее, ТСПУ режет ~30%. Уязвим к активному зондированию.

VLESS+TLS (без REALITY)

VLESS-трафик внутри обычного TLS — выглядит как HTTPS. Но: SNI указывает на ваш VPN-домен (vpn.example.com). ТСПУ может блокировать по SNI, если домен в чёрном списке (и собирать такие списки автоматически по сигналам).

VLESS+REALITY — устойчиво

REALITY использует SNI cloudflare.com. ТСПУ видит TLS-handshake к Cloudflare — реальному CDN, который обслуживает половину рунета. Блокировать его нельзя. Активное зондирование REALITY возвращает зонд на настоящий cloudflare.com — отличий от обычного клиента нет. На сегодня — самый устойчивый протокол.

Что ТСПУ может и чего не может

Что ТСПУ умеет

  • • Блокировка по IP (любые)
  • • Блокировка по SNI (TLS)
  • • Распознавание сигнатур протоколов
  • • Замедление трафика (throttling)
  • • Фильтрация HTTP-запросов
  • • Активное зондирование
  • • Перехват DNS-запросов
  • • Timing/pacing анализ

Что ТСПУ НЕ умеет

  • • Расшифровать TLS 1.3
  • • Заблокировать Cloudflare/Google полностью
  • • Распознать REALITY от настоящего cloudflare
  • • Анализировать содержимое HTTPS
  • • Декодировать пакеты пользователя «на лету»
  • • Угнаться за каждым новым обходным методом
  • • Работать без существенных ложных срабатываний

Как обходят ТСПУ современные VPN

Современные «антицензурные» VPN-решения (VLESS+REALITY, Hysteria, TUIC, Trojan, Naïve) используют несколько общих принципов:

  1. Маскировка под легитимный трафик. SNI = популярный домен (cloudflare.com, microsoft.com, apple.com). TLS-handshake идентичен браузерному.
  2. Нет сигнатур протокола. VLESS — нулевой служебный заголовок внутри TLS. Все байты выглядят как зашифрованный TLS.
  3. Защита от активного зондирования. REALITY проксирует чужие запросы на настоящий cloudflare.com — DPI не отличает.
  4. Использование UDP+QUIC (Hysteria). QUIC — стандарт от Google, шифрование с нулевого пакета, неотличим от QUIC браузера. Альтернативный путь обхода.
  5. Random padding. Размер пакетов случайный, не выдаёт VPN-паттерн.
  6. Pluggable transports. Один и тот же VPN может работать через разные транспорты (TCP+TLS, WS+TLS, gRPC+TLS, QUIC) — если один заблокирован, переключаемся на другой.

VPN RUS Client против ТСПУ

Наш стек — конкретный пример того, как современная VPN-архитектура обходит ТСПУ:

VLESS как протокол

Минималистичный, без сигнатур. ТСПУ не может распознать VLESS внутри TLS.

REALITY для маскировки

SNI cloudflare.com, реальный сертификат, защита от зондирования. Невидим для ТСПУ.

XTLS Vision flow

Убирает «двойное TLS» — пакеты выглядят естественно, без избыточного шифрования.

WS+TLS как fallback

Если REALITY недоступен у конкретного провайдера — переключение на WebSocket+TLS через наш домен с Let's Encrypt cert.

Мультистрановая инфраструктура

Серверы в NL, DE, SE. Если один провайдер режет какой-то IP — клиент переключается на другую страну.

FAQ про ТСПУ

Можно ли законно обходить ТСПУ?

Использование VPN в России не запрещено. Запрещено пропагандировать VPN как способ обхода ограничений. Использовать VPN для личных целей (приватность, работа, доступ к зарубежным сервисам) — законно. Заблокированы только VPN-сервисы, которые отказались блокировать «запрещённые» сайты внутри своих туннелей.

У всех провайдеров одинаковые ТСПУ?

Технически да — оборудование и базы централизованы. Но конкретные настройки правил могут отличаться. У одних провайдеров фильтрация агрессивная (Ростелеком, МТС), у других мягче (Tele2, региональные операторы). Это объясняет, почему «у меня работает, у соседа нет» — он на другом провайдере с другой конфигурацией.

Заблокирует ли ТСПУ VPN RUS Client?

Прямая блокировка нашего сервиса требует либо найти отличие REALITY от cloudflare (пока не нашли), либо начать резать сам Cloudflare (что недопустимо политически и экономически). Наша архитектура устойчива на горизонте 1–2 лет минимум. Если изменится — мы реагируем за часы, обновляя протокол/SNI/инфраструктуру.

Что если ТСПУ научится распознавать REALITY?

REALITY активно развивается. RPRX (создатель Xray) реагирует на новые методы детекции в течение недель. Кроме того, в Xray уже есть альтернативные транспорты (mKCP, gRPC, QUIC), которые можно использовать как fallback. У нас есть план B и план C на случай прорыва ТСПУ.

Можно ли «обмануть» ТСПУ полностью?

Полностью — нет. ТСПУ всегда видит, что куда-то идёт зашифрованный трафик. Но идентифицировать ЦЕЛЬ соединения (что внутри туннеля) — нельзя без расшифровки TLS, а это технически невозможно. Поэтому борьба идёт на уровне fingerprint-ов, а не «вскрытия трафика».

Заключение

ТСПУ — это сложная многоуровневая система фильтрации, но не всемогущая. Она хороша против устаревших протоколов (OpenVPN, WireGuard, IKEv2), но против современных обходных решений (VLESS+REALITY, Hysteria, TUIC) — пока бессильна. Это технологическая гонка, в которой выигрывают те, кто пользуется самыми современными протоколами.

Если ваш VPN до сих пор работает на OpenVPN или WireGuard — он уязвим. Переход на VLESS-семейство — необходимость 2026 года.

VPN, который обходит ТСПУ

VPN RUS Client работает на VLESS+REALITY — современная маскировка под Cloudflare. Тестовый доступ 24 часа без оплаты.

Связанные статьи

Похожие статьи

Как обойти блокировки Роскомнадзора в 2026 году

DPI, ТСПУ и другие методы блокировок: как они работают и какие технологии позволяют их обходить. Протоколы VLESS и Reality — почему они эффективны.

Split Tunneling: как пользоваться VPN и не терять доступ к Госуслугам

Умная маршрутизация трафика: заблокированные сайты через VPN, российские сервисы — напрямую. Настройка split tunneling в разных приложениях.

Сравнение VPN-протоколов в 2026: OpenVPN, WireGuard, VLESS

Технический разбор всех популярных VPN-протоколов. Какие заблокированы, какие работают, и почему VLESS Reality — будущее VPN.