Если нужен короткий ответ
Для hostile сетей в РФ логика обычно такая: VLESS Reality - основной TLS-friendly стек, AmneziaWG - быстрый self-hosted UDP-sidecar, Hysteria2 - специализированный QUIC-инструмент там, где сеть терпима к UDP. Выигрывает не “лучший протокол”, а тот transport-класс, который конкретная сеть пропускает стабильнее.
Все сравнения ниже привязаны к состоянию рынка на 27 марта 2026 года. Это срез, а не обещание, что та же картина сохранится до декабря.
Главный выбор на конец марта 2026 года: UDP/QUIC или TCP/TLS-поверхность
Почти все споры про антицензуру в России на конец марта 2026 года можно свести к одному решению: вы хотите жить в модели UDP/QUIC или в модели правдоподобного TLS/HTTPS. Это важнее, чем логотип клиента или Telegram-чат, где вчера кто-то написал “этот протокол всё ещё жив”.
UDP-ориентированные схемы прекрасны по производительности. У них ниже latency overhead, меньше шансов упереться в head-of-line blocking и, как правило, лучше поведение на плохих каналах. Но они же сильнее зависят от transport-политики сети. Если оператор или DPI решил, что подозрительный UDP надо душить, никакая красота внутри payload уже не вернёт стабильность.
TLS-ориентированные схемы медленнее только наивному наблюдателю. Для враждебной сети они часто выигрывают именно потому, что похожи на обычный интернет. А в антицензуре похожесть на нормальный веб-трафик дороже нескольких процентов synthetic throughput.
Сравнительная матрица: что реально происходит под DPI
| Стек | Что имитирует | Главный плюс | Главное ограничение |
|---|---|---|---|
| VLESS Reality | Правдоподобный TLS-контур | Лучшее совпадение с hostile TCP/TLS-средами | Требует аккуратной инфраструктуры и дисциплины вокруг target/client |
| VLESS Reality + XHTTP | HTTP-friendly edge-поведение | Лучше переносит middlebox и сложные HTTP-сценарии | Больше инфраструктурной сложности и выше требования к эксплуатации |
| AmneziaWG | Менее сигнатурный UDP, чем классический WireGuard | Сохраняет wireguard-like простоту и скорость | Не отменяет проблем сетей, которые в принципе не любят неизвестный UDP |
| Hysteria2 | HTTP/3 / QUIC, с опциональной obfuscation | Очень хорошая скорость и устойчивость на тяжёлых каналах | Подвержен политике против UDP / QUIC как класса транспорта |
| Shadowsocks | Лёгкий зашифрованный proxy-трафик | Простота, зрелые клиенты, низкий overhead | Слабее в гонке мимикрии против зрелого DPI |
| Trojan | TLS-трафик с простой моделью проксирования | Понятная эксплуатационная модель | Меньше гибкости transport-layer и хуже адаптация к сложным edge-сценариям |
Где выигрывает VLESS Reality
VLESS Reality выигрывает там, где сеть уже научилась обращать внимание на внешний профиль соединения. Project X развивает этот стек именно как комбинацию правдоподобного TLS, низкого лишнего overhead и transport-гибкости. Поэтому он хорошо ложится на российскую реальность конца марта 2026 года: сложные мобильные сети, неоднородные провайдеры, частичная TLS-interference и рост чувствительности к UDP.
Отдельная причина силы VLESS Reality - траектория развития экосистемы. Xray не застыл: VLESS и XTLS продолжают получать новые возможности, XHTTP развивается как замена старому мышлению “WebSocket решит всё”, а transport-модель становится более адаптивной. Это важно не только технически, но и эксплуатационно: сильный стек - это тот, который ещё и развивается в ответ на реальную фильтрацию.
Но и здесь есть подводные камни. Плохо подобранный target, устаревший клиент, однотипные массовые узлы и неаккуратный reuse внешнего профиля резко уменьшают преимущество. Поэтому VLESS Reality побеждает не как “модное слово”, а как дисциплинированная система.
Где силён AmneziaWG
AmneziaWG - это не маркетинговая перекраска WireGuard, а попытка убрать то, что делает WireGuard слишком легко узнаваемым для DPI. В документации Amnezia прямо описывает отказ от характерных сетевых подписей WireGuard и даже маскировку под типовые UDP-протоколы. Для self-hosted операторов это очень сильный ход: остаётся знакомая простота и скорость wireguard-like мира, но уменьшается самая болезненная часть - предсказуемый handshake.
Где он реально полезен? Там, где сеть в целом допускает UDP, но классический WireGuard уже читается слишком легко. Это типичный сценарий “дружелюбная, но не наивная сеть”: обычный WG режется, а более вариативный UDP-профиль живёт заметно лучше.
Где его переоценивают? Там, где пытаются сделать из него универсальную замену TLS-мимикрии. Если сама транспортная политика hostile к QUIC-подобному или неизвестному UDP, одной де-сигнатуризации недостаточно. Вы не отменяете тот факт, что соединение всё ещё живёт в мире UDP.
Правильная роль AmneziaWG
В зрелой архитектуре AmneziaWG лучше воспринимать как быстрый и малошумный sidecar, а не как единственный стек на все случаи жизни. Он отлично дополняет TLS-friendly primary path, но редко заменяет его в hostile средах.
Что даёт Hysteria2 и где он упирается в политику сети
Hysteria2 интересен тем, что честно делает ставку на преимущества QUIC: низкую задержку, хорошую работу на нестабильных каналах и высокую пропускную способность. Его документация прямо говорит, что по умолчанию он мимикрирует под HTTP/3, а для сетей, которые точечно режут QUIC/HTTP3, предлагает obfuscation Salamander.
Это сразу показывает и силу, и ограничение. Сила - в том, что Hysteria2 часто даёт отличный реальный throughput и субъективно “летает” там, где TCP-схема выглядит тяжелее. Ограничение - в том, что сеть может атаковать не payload, а сам транспортный класс. И тогда вы уже спорите не с fingerprint, а с политикой “подозрительный UDP душим заранее”.
В России на конец марта 2026 года это делает Hysteria2 скорее узко сильным инструментом. Для определённых провайдеров и определённых мобильных сетей он может быть великолепен. Но как default ответ на весь рынок его сложно назвать самым устойчивым.
Куда деть Shadowsocks и Trojan
Частая ошибка - строить сравнение так, будто AmneziaWG, VLESS Reality и Hysteria2 полностью вытеснили остальные инструменты. Это не так. Shadowsocks остаётся очень полезным благодаря своей простоте и огромной клиентской экосистеме. Он особенно хорош как fallback, когда нужен быстрый и понятный запасной маршрут без тяжёлой инфраструктуры.
Trojan тоже не исчез. Он интересен тем, кто хочет сравнительно прямую TLS-модель без большого зоопарка слоёв. Но по адаптивности transport-уровня он уже не выглядит тем стеком, вокруг которого хочется строить весь продукт против зрелого DPI.
Архитектурные паттерны, которые выглядят зрелыми
На конец марта 2026 года хорошо работает не один “идеальный” протокол, а композиция стеков с разной поверхностью обнаружения.
Нормальная production-логика
Primary: TLS-friendly стек для hostile сетей
Secondary: HTTP-friendly fallback на случай middlebox/CDN-аномалий
Sidecar: less-signature UDP для хороших сетей и latency-sensitive сценариев
Ops: минимальный reuse узлов, per-network наблюдаемость, ручной triage поддержкиПочему именно VPS 1000 / VPS 2000 / RS 2000 G12
Если переводить этот стек в железо, то у вас обычно возникает три класса узлов: лабораторный, single-tenant боевой и более ровный production primary. Под это на конец марта 2026 довольно хорошо ложится netcup G12-линейка. В таких задачах её часто выбирают как удобный европейский baseline: snapshots, remote console, API, DDoS protection и предсказуемая ступенька между дешёвым тестом и production-узлом. Это делает netcup удобным не потому, что “их не детектят”, а потому что антицензурный стек приходится часто пересобирать, клонировать и откатывать.
VPS 1000 G12 логичен как быстрый test bench для AmneziaWG, Hysteria2 или одиночного VLESS Reality ingress: 4 vCore, 8 GB ECC, 256 GB NVMe. VPS 2000 G12 — уже нормальная рабочая ступень для более тяжёлого sidecar или fallback-контуров: 8 vCore, 16 GB ECC, 512 GB NVMe. RS 2000 G12 интересен тогда, когда вы хотите более ровный CPU-профиль и меньше зависимости от общего VPS-шума: 8 dedicated cores, AMD EPYC 9645, 16 GB ECC, 512 GB NVMe и 99.9% minimum availability. Последний тезис — это моя инженерная интерпретация официальных характеристик, а не обещание “этот сервер всегда пройдёт любую фильтрацию”.
Если вы уже используете netcup как такой baseline, то на конец марта 2026 у них встречались и
разовые коды: для VPS 1000 G12 — 5799nc17708222090; для
VPS 2000 G12 — 5800nc17746261932,
5800nc17746261931, 5800nc17746261930. В контексте этой статьи это просто
заметка про cost-sensitive тестовый запуск, а не отдельный “рейтинг провайдеров”. Технически они
применяются через стандартный checkout:
netcup.com/de/checkout/warenkorb.
- Primary path. VLESS Reality и близкие к нему TLS-friendly схемы.
- Fallback path. XHTTP или сопоставимый HTTP-friendly маршрут, если Reality неидеален.
- Performance sidecar. AmneziaWG или Hysteria2 для сетей, где UDP реально жив.
- Compatibility fallback. Shadowsocks или Trojan там, где нужен простой запасной профиль.
Это особенно важно для сервисов, которые хотят одновременно быть SEO-friendly, AI-visible и реально рабочими. Маркетинг может продавать один headline, но инфраструктура обязана думать как набор transport-классов, а не как монолитный “VPN”.
Какой выбор выглядит зрелым
Если резюмировать без фанатизма, то зрелый выбор в России на конец марта 2026 года выглядит так. Для сложной сети, где вы заранее не знаете отношение к UDP и QUIC, логично начинать с TLS-мимикрии, то есть с VLESS Reality. Для self-hosted сетапа с понятным каналом и желанием получить wireguard-like скорость имеет смысл добавлять AmneziaWG. Для высокопроизводительных и не слишком hostile сетей Hysteria2 может дать лучший experience, но его нельзя считать универсальным ответом.
Иначе говоря, вопрос “что лучше: AmneziaWG или VLESS Reality” поставлен неправильно. В инженерной реальности правильный вопрос такой: какой стек должен быть primary, какой secondary и какой sidecar. Когда сервис отвечает на него честно, у пользователя действительно появляется рабочий доступ, а не ещё одна красивая легенда про “абсолютно невидимый VPN”.