По всем чатам и форумам одна и та же ситуация: VLESS, который год служил верой и правдой, превратился в тыкву. Причем у одних он «лежит» стабильно, а у других - лагает по расписанию. Разберем, что именно происходит «под капотом» этого заболевания
LTE против «Домашки»
Один из самых странных симптомов - работа прокси в зависимости от типа сети. Люди массово фиксируют ситуацию: VLESS на на разных хостингах наглухо «лежит» на стационарном интернете (Дом.ру, Скайнет, Ростелеком), но при этом на мобильном LTE (Билайн, МТС) продолжает работать.
Однако и на мобильных сетях не всё гладко. На МТС многие замечают «мягкую» блокировку: соединение есть, но скорость жестко режется до 0.5 Мбит/с. Это типичный шейпинг протокола — система не рубит связь полностью, но делает использование прокси практически невозможным для видео или тяжелого контента.
Эффект «десятиминутки» и триггер на пинг
Самый коварный симптом - временные блокировки по IP. В логах это выглядит так:
Ты запускаешь клиент, он опрашивает сервер, чтобы показать пинг. Пинг проходит.
Но как только ты пытаешься установить полноценное соединение или зайти в панель управления, происходит «отвал».
IP сервера улетает в блок ровно на 10 минут.
Что это значит? DPI видит «рукопожатие» VLESS и срабатывает как триггер. Пинг для системы - это такое же соединение. В итоге ночью можно три раза подряд получить блок на 10 минут, а на четвертый раз - внезапно проскочить. Это создает иллюзию «глюков», хотя на деле это четкая работа автоматики.
Проблема «16 КБ» и смерть IPv4
На некоторых хостингах ситуация еще интереснее. SSH-доступ к серверу есть, простая «заглушка» открывается без проблем, но VLESS не подключается ни на одном порту.
Пока передаются мелкие пакеты - всё ок. Как только через сервер идет поток данных или файл крупнее 16 КБ, соединение рвется. Также подтверждается, что блокировки в основном нацелены на IPv4 диапазоны. Те, кто успел перескочить на IPv6, часто замечают, что блокировки их обходят стороной - до этого протокола у систем фильтрации пока «не дошли руки».
Почему старые методы «сдохли»?
Многие админы до последнего верили в магию селфстила и Reality, но реальность оказалась жестче. Почему маскировка под собственный сайт или использование «продвинутых» надстроек вроде XHTTP и gRPC больше не гарантируют стабильность?
1. Коллапс концепции Self-steal и «плохие соседи»
РАньше думали: подними свой сайт-заглушку, маскируйся под него, и ты в домике. Сейчас это бесполезно
Проблема ASN: Даже если ты идеально настроил прокси и вылизал HTML своего фейк-сайта, ты сидишь на одном хостинге в одной подсети с сотнями других пользователей. Если твой сосед крутит голый WireGuard на дефолтном порту, никто не будет разбираться — они банят целые подсети.
Бесполезность маскировки: В реалиях, когда банят по диапазонам IP, твоя личная ответственность за маскировку больше не релевантна. Цензоры твой сайт даже не увидят - пакеты просто не дойдут.
2. Переход к модели «Белого SNI»
Есть мнение, что конечная цель - это создание «скрепного интернета», где разрешено только то, что в списке.
Вместо того чтобы вычислять каждый VPN, проще заблокировать всех зарубежных хостеров и CDN, за исключением ресурсов из белого списка SNI.
Результат: Это самый надежный и «незапарный» вариант для построения закрытой сети. Если домена твоего прокси нет в белом списке - ты в блоке, и неважно, какой протокол ты используешь.
3. Геометрия пакетов и капкан «16 КБ»
Как DPI видит проксю внутри зашифрованного TLS? Похоже, ответ в размере пакетов.
Детект TLS внутри потока: У TLS-соединений пакеты довольно крупные и имеют специфическую структуру. DPI анализирует размеры пакетов в момент TLS ClientHello или первого GET-запроса. Если «геометрия» трафика совпадает с паттернами прокси - соединение обрывается.
Триггер на объем: Людификсируют блокировку именно при превышении порога в 16 КБ. Пока ты передаешь мелкие запросы - система молчит. Как только пошел поток данных — срабатывает триггер. Кто-то пытается включить фрагментацию на более мелкие пакеты, но это работает не всегда.
К слову в Китае там даже за http-прокси работал Github, потому что бизнесу нужен выход на международный рынок для обновлений и работы. Там понимают, что wget через прокси — это необходимость. У нас же продвинулись куда дальше и резкими скачками. Блокировки у нас становятся жестче: доходит до того, что ТСПУ триггерится даже на «поток случайных байт» без явной сигнатуры (как в I2P или Yggdrasil), потому что для системы это выглядит подозрительнее, чем обычный веб-серфинг.
Итог по VLESS: к чему готовиться?
Судя по началу 2026 года, мы находимся в точке смены парадигмы. VLESS не просто простудился - он столкнулся с новым уровнем интеллектуальной фильтрации. Вектор развития систем ТСПУ указывает на то, что старые добрые времена, когда можно было поднять проксю по первому попавшемуся мануалу и забыть о ней на год, окончательно ушли в прошлое.
Если раньше Reality считался надежным стандартом, то сегодня это лишь один из вариантов, требующий постоянной донастройки. ТСПУ научился видеть триггеры даже в защищенном рукопожатии.
IPv6 как временное окно - Пока основные силы блокировок сосредоточены на IPv4, переход на шестую версию протокола остается одним из самых простых способов «оживить» связь.
VLESS сейчас требует повышенного внимания и специфических знаний для работы. Однако, пока доступ к сети сохраняется, можно точечно возвращать работоспособность критически важным сервисам. И начать стоит с того, что для многих стало главным инструментом коммуникации.
«Партизанский» MTProxy — как вернуть Telegram в строй
Пока медийка завалена «легкими решениями одной кнопкой» в виде публичных прокси из каналов, все больше людей сталкиваются с суровой реальностью: публичные MTProxy сейчас либо перегружены, либо моментально детектируются. Причина в том, что «ванильный» MTProto-трафик системы фильтрации (например, zapret2) сейчас щелкают на раз-два.
Единственный способ заставить Telegram летать, когда VLESS в ауте - это поднять собственный «партизанский» MTProxy с использованием Fake TLS или воспользоваться готовыми решениями по типу hynet.space
1. Секрет выживания: Маскировка и префикс «ee»
Это главный технический нюанс, который многие упускают. Чтобы Telegram не просто шифровал трафик, а маскировал его под TLS, ваш секретный ключ обязательно должен начинаться с ee.
Зачем это нужно: Этот префикс активирует режим обертки трафика. Со стороны систем анализа ваше соединение будет выглядеть как обычный HTTPS-запрос к легитимному ресурсу. В качестве SNI можно использовать любой адрес наподобие Reality. Это на порядок повышает выживаемость прокси по сравнению с «ванильными» решениями.
2. Маскировка на 443 порту: Режим «невидимки»
Необязательно выделять под прокси отдельный IP или вешать его на странный порт. Самый эффективный метод - спрятать его за L4-реверс прокси.
Как это работает: Вы используете nginx в режиме stream или haproxy в режиме tcp. Это позволяет вашему прокси спокойно жить рядом с обычным сайтом на одном и том же 443 порту.
Результат: При внешнем сканировании сервера, они увидят стандартный веб-сайт. Но для Telegram этот же порт служит входом в прокси. Если же 443 порт наглухо занят или вы не хотите его трогать, пользователи успешно используют порт 8443. По логам админов, таких прокси в сети полно, и они работают стабильно.
3. Почему ваш прокси будет быстрее «публичек»?
В чатах часто жалуются, что MTProxy тормозит. Но, как выяснилось, проблема не в протоколе:
Миф о медленности: Люди проверяют скорость на рандомных прокси из каналов - они перегружены тысячами юзеров.
Реальность: На своей VPS MTProto не замедляется. Если VLESS на некоторых провайдерах ловит шейпинг до 0.5 Мбит/с, то «партизанский» MTProxy часто выдает полную скорость канала.
4. Защита от детекта сигнатур
Системы типа zapret2 умеют определять обычный MTProto. Однако это касается «ванильной» версии, которую клиент использует для прямого подключения к серверам Телеграма. Использование Fake TLS с секретом на ee и правильным SNI позволяет обходить этот детект, так как трафик визуально не отличается от обычного посещения сайта.
План «Б» — альтернативы
Если переезд на другой порт не помогает, а ваш хостинг попал в черный список по ASN (целой подсетью), пора переходить к альтернативным методам, которые сейчас активно обсуждают в сообществе.
1. Уход в IPv6: «Серая зона» фильтрации
Многие люди заметили, что текущие блокировки часто сфокусированы исключительно на IPv4 диапазонах.
В чем профит: Если ваш провайдер поддерживает IPv6, а хостинг позволяет сменить адрес - сделайте это. Самый простой костыль, чтобы оживить влесс, когда четверка лежит
2. SSH-туннели и Amnezia
Когда VLESS «лежит» из-за детекта протокола, старый добрый SSH на 22 порту часто продолжает работать уверенно.
SSH-туннель: Один из самых живучих способов «пробиться» к серверу.
Amnezia VPN: Несмотря на общие блокировки, связки Amnezia с использованием «мусорного» QUIC-трафика (Amnezia WG2) показывают неплохую выживаемость по сравнению с классическими реализациями.
3. Спуфинг SNI и «Белые списки»
Наступило время, когда «селфстил» становится пережитком прошлого. Единственный надежный путь сейчас — SNI спуфинг. Пробивать своего хостера через «белый SNI» (используя домены разрешенных ресурсов) - это гораздо эффективнее, чем тратить время на создание красивой заглушки, которую цензоры всё равно не увидят.
