Как понять, что блокируют не сайт, а протокол VPN
Главный признак блокировки именно VPN-протокола, а не конкретного сайта: без VPN всё открывается, как только включаете VPN — соединение либо не устанавливается, либо устанавливается и тут же умирает. Сайт здесь ни при чём, ТСПУ режет саму VPN-сессию.
Это типовой сценарий в России: оператор не блокирует ваш условный VPS, не блокирует тот сайт, который вы хотите открыть, и не блокирует ваш IP. Он блокирует характерный handshake протокола — узнаёт WireGuard или OpenVPN по форме первых пакетов и сбрасывает соединение. Это и есть протокольная блокировка.
Ниже — по шагам, как отличить такую ситуацию от других, и что делать дальше.
Коротко
- Сайт без VPN открывается → VPN не подключается → проблема в самой VPN-сессии.
- DPI ловит VPN не по адресу сервера, а по сигнатуре handshake.
- WireGuard, OpenVPN, IPsec — детектируются легче всего.
- VLESS+REALITY, AmneziaWG, Shadowsocks-2022 — маскируются под HTTPS и держатся дольше.
- Смена сервера того же протокола чаще всего не помогает.
- Смена протокола на маскированный — обычно помогает.
Как отличить блокировку протокола от других проблем
Чтобы убедиться, что у вас именно протокольная блокировка, нужно отсечь альтернативы по очереди.
Шаг 1. Проверьте интернет без VPN
Откройте любой сайт без VPN, желательно тот, который точно работает (например, mail.ru или yandex.ru). Если не открывается — проблема в сети, а не в VPN. Если открывается — едем дальше.
Шаг 2. Включите VPN и попробуйте тот же сайт
Если VPN не подключается совсем — это симптом блокировки сессии. Если подключается и держится, но конкретный сайт не открывается — это уже совсем другая история, скорее всего сайт сам блокирует VPN-IP.
Шаг 3. Смените сервер того же протокола
Возьмите второй сервер вашего VPN, того же протокола (WireGuard на WireGuard, например). Если не работает ни один — это сигнатурная блокировка, не серверная.
Шаг 4. Смените протокол
Переключитесь на VLESS+REALITY, AmneziaWG или Shadowsocks-2022 при том же сервере или провайдере. Если заработало — окончательное подтверждение, что блокировался именно протокол.
Как DPI распознаёт VPN
Большинство VPN-протоколов в первом же пакете выдают узнаваемую структуру. WireGuard — короткий UDP-пакет фиксированного типа Initiation. OpenVPN — заголовок с типом сообщения. IPsec — стандартные ISAKMP-пакеты на порту 500. ТСПУ хранит эти сигнатуры и помечает поток как VPN ещё до того, как пройдёт первый полезный байт. Маскированные протоколы (VLESS+REALITY, XTLS-Vision) делают первый пакет неотличимым от обычного HTTPS — поэтому их сигнатуру построить сложнее.
Как понять, что именно сломалось
| Симптом | Возможная причина | Что проверить |
|---|---|---|
| Без VPN всё открывается, VPN не коннектится | Сигнатурная блокировка протокола | Сменить протокол на REALITY/AmneziaWG |
| VPN коннектится, через 5 секунд интернет умирает | DPI распознал handshake после соединения | Включить обфускацию |
| Не работает ни один сервер этого VPN | Сигнатурная блокировка по всем серверам | Сменить протокол |
| Работает у одного оператора, не работает у другого | Разные правила ТСПУ у операторов | Сравнить замеры по операторам |
| Работает на ПК, не работает на телефоне | Разные сети, разные ТСПУ | Сравнить Wi-Fi и LTE |
| Конкретный сайт не открывается через VPN, остальные — да | Сайт сам блокирует VPN-IP | Не путать с протокольной блокировкой |
Как проверить прямо сейчас
Если есть подозрение на протокольную блокировку, проверьте симптом на нескольких операторах. Если у вас МТС не подключается WireGuard, а у соседа с МегаФоном тот же конфиг работает — это уже доказательство, что блокируется протокол, а не сервер.
Freedom Checker как раз показывает картину по операторам: одни и те же протоколы и сервисы проверяются с пробников в нескольких городах, и видно, где протокол проходит, где режется. Подробное описание архитектуры ядра, на котором работают современные обфусцированные протоколы, есть в Xray-core на GitHub.
Сбой или блокировка?
Сбой — это когда у конкретного VPN-провайдера авария, упал сервер или временно недоступна авторизация. Симптом: пара серверов работает, остальные нет, через пару часов всё восстанавливается само.
Протокольная блокировка ведёт себя иначе: одинаковая ошибка на всех серверах одного протокола, стабильно во времени, привязана к конкретному оператору. Если смена сервера не помогает, а смена протокола помогает — это именно блокировка протокола, не сбой.
На что обратить внимание
- WireGuard ловится по фиксированному первому пакету handshake — это самый «прозрачный» для DPI протокол.
- Смена порта (443/8443) спасает редко: DPI смотрит на содержимое, а не на порт.
- AmneziaWG — это форк WireGuard с обфускацией handshake, тот же ключевой материал, но иначе выглядит.
- VLESS+REALITY делает первый пакет неотличимым от настоящего TLS к указанному домену.
- Не путайте «не работает VPN» и «не работает сайт через VPN» — это разные проблемы.
- Замедление трафика через VPN может означать частичную блокировку, а не полную.
- Поведение может меняться: правила ТСПУ обновляются, и протокол, работавший вчера, сегодня попадает в фильтр.
Вывод
Признак блокировки именно протокола VPN — простой: без VPN сайт открывается, с VPN ничего не работает, причём ни один сервер этого VPN не помогает. Смена протокола на маскированный (REALITY, AmneziaWG, Shadowsocks-2022) — единственный надёжный способ убедиться, что виноват именно тип трафика.
Самый быстрый шаг — сверить поведение по нескольким операторам и попробовать альтернативный протокол на том же сервере.