Все слышали новости и прекрасно понимают к чему идет дело мы наблюдаем переход к Туркменскому сценарию. РКН фактически запретил облачным провайдерам (VK Cloud, Yandex Cloud) сдавать серверы в аренду под VPN, закрыв лазейку с поимкой "белого" IP. Теперь недостаточно просто поднять прокси нужно воевать с DPI и капризами транспорта XHTTP.
Расскажу что смог нащупать, какие сервисы что сейчас из себя представляют, а так же исправим самые популярные баги которые часто встречаются при настройке.
1. Когда IP больше не «белый»
Раньше работа через российские облака и поимка белого IP гарантировала подключение. Теперь же фиксируются массовые отвалы.
Пишет 92 b отправлено. В логах handshake не работает. И собственно ничего не работает. Подключение есть, а трафика нет
Для обхода блокировок в сетях вроде Билайна, МТС, Мегафон или Дом.ру стандартного рещения уже мало. Нужно вручную внедрять мусорные пакеты I1-I5. Вот пример HEX-сигнатуры, которая используется для обхода<b 0xc0b381800001000100000000016d0634376e6577730272750000010001c00c000100010000071b0004b941959c>
Сразу скажу, у меня в регионе белых списков нет, поэтому тесты проводил у кента (Удмуртская Республика)
Как теперь работают те, у кого всё еще «летает»:
Использование «правильных» SNI
Теперь не всегда достаточно иметь IP из БС. Нужно, чтобы ваш Reality-конфиг стучался на домены, которые РКН не может заблокировать внутри этих облаков.
Используйте SNI типа vkvideo.ru, ads.x5.ru или внутренние домены сервисов Яндекса.
ТСПУ видит запрос к «белому» IP, видит разрешенный домен (SNI) и пропускает пакет
«Двойной прыжок» (vnext)
Это главное решение для тех, у кого Яндекс/ВК начали резать скорость
Прямой трафик до Европы блокируется. Трафик через РФ-сервер тормозит
Нужно что бы Сервер в РФ использовался только как точка входа
Вы настраиваете outbound так, чтобы сервер в РФ (входящая нода) перекидывал трафик на сервер в Европе через vnext. Для ТСПУ это выглядит как общение двух серверов внутри разрешенных сетей
IP-Farming
В логах четко видно: На одной подсети умирает Билайн, на другой начинает работать
Почему так: ТСПУ это распределенная система. Фильтры накатываются на подсети (префиксы) постепенно
Используйте OpenStack CLI (для ВК) для цикличного пересоздания IP. Это «костыль», но он позволяет найти «дыру» в фильтрах ТСПУ, которую еще не успели обновить.
Подсеть 212.233.x.x (VK Cloud) на данный момент имеет меньше ограничений у Мегафона
2. Когда VPN «убивает» Windows: ошибка SEC_E_SECPKG_NOT_FOUND
Одна из самых жестких проблем регрессия сетевого стека Windows после использования VPN-клиентов. Система теряет доступ к HTTPS во всех приложениях
# Все HTTPS-клиенты падают с этой ошибкой: SEC_E_SECPKG_NOT_FOUND (curl, PowerShell, Windows Update, Defender)
Причина в потере шлюза [2026-01-21 20:13:03.551Z] [WARNING]: Deferring startNetworkCheck; missing gateway/local address "10.33.0.2" "10.33.0.2"
Если вы столкнулись с этим, поможет только сброс стека:netsh int ip reset; netsh winsock reset
3. XHTTP: баги Nginx и REALITY
Новый транспорт XHTTP (v25+) активно внедряется для обхода DPI, но он крайне капризен к настройке веб-серверов
Разрыв потока при nginx -s reload
При перезагрузке Nginx (H3/QUIC) существующие сессии падают.
Лог ошибки: 2024/12/14 21:32:46 [Info] [3059208966] transport/internet/splithttp: failed to open https://s3.*.net:443/*/ > Post "https://s3.*.net:443/*/": http3: parsing frame failed: timeout: no recent network activity
В конфиге Nginx необходимо принудительно отключить BPF: quic_bpf off;
Лимит запросов в режиме packet-up 2024/12/05 04:40:11 [Info] [3934265271] transport/internet/splithttp: failed to open https://s3.*.net:443/*/ > Post "https://s3.*.net:443/*/": H3_NO_ERROR: reached maximum number of requests
4. Marzban и Sing-box
Панели управления имеют архитектурные изъяны, которые «выстреливают»
Ошибка удаления ноды: При попытке удаления ноды через API/UI возникает: [{"loc":["body"],"msg":"Internal Server Error","type":"value_error"}]
Причина: Наличие активных инбаундов. Поможет полная ручная очистка перед удалением.
Варианты которые обсуждают на github + Marzban чате
1. hynet.space
Обход блокировок через кастомный роутинг (vnext) и корректные SNI.
По результатам тестов: стабильно работает у 3 из 4 провайдеров, на одном не завёлся (вероятно, из-за особенностей ТСПУ), очень адаптивный сервис, имеет 6+ протоколов
2. Amnezia
Дорогой вариант, при БС особо себя не раскрыл. Самое страшное окирпичивание сетевого стека Windows. После использования клиента (версия 4.8.11.4) вылетает ошибка. В итоге во всей системе умирает TLS: перестает работать curl, PowerShell, Windows Update и даже антивирус
Лечится только через netsh winsock reset и полную перезагрузку
3. SayVPN
Судя по обсуждениям и тестам, у сервиса есть проблемы с логикой маршрутизации. После подключения всё работает нормально только пару минут, а затем система начинает игнорировать правила роутинга трафика через vnext. Также замечена странная избирательность к устройствам: стабильная работа наблюдается, если выставить фингерпринт ios, в то время как на chrome или qq начинаются затыки
4. JournalVPN
Саппорт сервиса в часто уточняет настройки переменных окружения на github (типа SUB_PROFILE_TITLE), что намекает на недопиленный конфиг. Но как вариант люди его обсуждают
5. DuckVPN
Советую как план Б, так как shared и скорость довольно низкая. Когда не получается настроить свои сервера для обхода блокировок CloudFlare или Amazon в играх (Brawl Stars, Clash) должен помочь
7. Redshield
Видел парочку сообщений по типу Redshield всё внезапно заработало». Но как и думал оказалось мифом, при тестах ничего не заработало, возможно от провайдера как и везде зависит, но на 4 не завелся.
Кароч какой вывод могу сделать, сейчас всё превратилось в лотерею провайдеров. У кого-то ТСПУ работает максимально жёстко, блокируя Handshake (как часто происходит на Билайне или Дом.ру), а кто-то типа SevenSKY может неделями игнорировать новые сигнатуры (ютуб работал без впн долгое время XD). На «белых» подсетях типа 212.233.x.x Мегафон и МТС еще дают скорость, пока другие операторы уже вовсю режут трафик. Всё зависит от того, прилетел ли вашему провайдеру штраф за пропуск трафика, как это уже случилось с Таймвебом.
