Что такое ТСПУ и как это работает

С 2021 года все крупные российские провайдеры обязаны установить ТСПУ — технические средства противодействия угрозам. По факту это DPI-оборудование (Deep Packet Inspection): система смотрит на ваш трафик и решает, пропускать его или нет.

Ростелеком использует самую агрессивную настройку из всех провайдеров. Анализируются не только IP-адреса, но и паттерны самого трафика: размер пакетов, тайминги, характерные заголовки, TLS fingerprint. WireGuard узнаётся по характерному UDP-паттерну. OpenVPN — по handshake. IKEv2 — аналогично.

С конца 2025 года блокировки стали точечнее. Раньше провайдер резал трафик на подозрительные IP. Сейчас система распознаёт сами протоколы независимо от порта.

Что уже не работает у Ростелеком

  • OpenVPN — заблокирован в большинстве регионов. Смена порта не помогает.
  • WireGuard — нестабилен. В Москве и Петербурге режется активно.
  • IKEv2 / IPSec — ситуация как у WireGuard.
  • Стандартный VLESS без обфускации — в феврале–марте 2026 волна блокировок прошла по нескольким регионам.
  • Коммерческие VPN — большинство крупных сервисов опираются на перечисленные протоколы.

Если VPN работает нестабильно — это не значит что «частично работает». DPI пропускает трафик при низкой нагрузке и режет при высокой. Вы видите это как случайные разрывы.

Что работает прямо сейчас

Все они маскируются под обычный HTTPS или HTTP/3 — именно поэтому DPI их не трогает.

VLESS + REALITY

Самый надёжный вариант. REALITY заимствует TLS fingerprint реального сайта (например, microsoft.com или apple.com) — для DPI трафик выглядит как обычное HTTPS-соединение. Работает даже в регионах с жёсткими блокировками. Нужен свой VPS.

AmneziaWG

Модифицированный WireGuard с изменёнными заголовками пакетов. Обычный WireGuard Ростелеком узнаёт. AmneziaWG с рандомизацией параметров — пока нет. Проще всего в настройке. Полный гайд по настройке →

Hysteria2 с обфускацией Salamander

Работает поверх UDP и маскируется под HTTP/3. С включённой обфускацией детектировать его значительно сложнее. Даёт хорошую скорость за счёт UDP. Минус: UDP иногда блокируется в корпоративных сетях.

VLESS + XHTTP

Дробит трафик на обычные HTTP-запросы. Работает даже через CDN без поддержки WebSocket. Хорошая альтернатива gRPC с меньшим количеством детектируемых паттернов.

Как проверить что именно блокируется у вас

  1. Попробуйте подключиться с мобильного интернета (не через Wi-Fi Ростелеком). Если работает — дело точно в провайдере.
  2. Проверьте пинг до сервера без VPN: ping ваш-сервер.com. Если пинг есть, но VPN не поднимается — блокируется протокол, а не IP.
  3. Попробуйте сменить порт. WireGuard на 51820 не работает — попробуйте 443. Даёт выигрыш на несколько недель.
  4. Проверьте доступность IP через ping.pe — он проверяет хост из разных точек России. Покажет, заблокирован ли сам IP.

Быстрое решение прямо сейчас

  1. Смените протокол в клиенте. В Hiddify, v2rayNG есть выбор протокола. Переключитесь на VLESS+REALITY или Hysteria2, если сервер их поддерживает.
  2. Поставьте AmneziaVPN. На сайте amnezia.org есть готовые публичные конфиги. Клиент бесплатный для всех платформ.
  3. Смените провайдер подписки. Ищите тех, кто явно указывает поддержку REALITY или AmneziaWG для России. OpenVPN/WireGuard в 2026 году — не вариант.

Не меняйте только IP-адрес сервера. Если блокируется протокол — новый IP с тем же протоколом заблокируют так же быстро.

Своё решение надёжнее

Все варианты выше — чужие серверы. Их могут заблокировать в любой момент. Свой VPS с VLESS+REALITY или AmneziaWG — другая история: вы контролируете IP, протокол и конфигурацию.

Для хорошего прокси достаточно самого дешёвого VPS в Европе. Я давно пользуюсь netcup — немецкие датацентры, стартовые серверы от €3/мес. Для новых пользователей есть промокод 36nc17698518190 — скидка 5€ на первый заказ на netcup.com.

Ростелеком блокирует протоколы, а не конкретные серверы. Любой IP с узнаваемым WireGuard или OpenVPN в итоге попадёт под блокировку. VLESS+REALITY и AmneziaWG держатся потому, что для DPI неотличимы от обычного HTTPS.