Что такое ТСПУ
ТСПУ — технические средства противодействия угрозам. Это оборудование, которое устанавливается у интернет-провайдеров по требованию Роскомнадзора в рамках закона о «суверенном Рунете» (90-ФЗ от 2019 года).
По сути, ТСПУ — это «чёрные ящики» на узлах связи, которые анализируют весь проходящий трафик в реальном времени и могут блокировать определённые типы соединений. Провайдеры обязаны установить это оборудование и не имеют возможности его контролировать — управление идёт централизованно из Роскомнадзора.
Как работает Deep Packet Inspection
Ядро ТСПУ — технология DPI (Deep Packet Inspection, глубокий анализ пакетов). DPI анализирует не только заголовки пакетов (откуда и куда идёт трафик), но и их содержимое.
Методы определения VPN-трафика:
- Сигнатурный анализ. Каждый протокол имеет характерные «отпечатки» — последовательности байтов в начале пакетов. Для OpenVPN, WireGuard, IKEv2 эти сигнатуры хорошо известны
- Статистический анализ. DPI анализирует размеры пакетов, интервалы между ними, соотношение входящего и исходящего трафика. Даже зашифрованный VPN-трафик может иметь характерные статистические паттерны
- Эвристический анализ. Проверка TLS-handshake: если клиент подключается по TLS, но сертификат сервера не соответствует реальному сайту, это подозрительно
- Блокировка по IP. Простейший метод — заблокировать IP-адреса известных VPN-серверов
Подробнее о методах обнаружения — в статье «Как операторы определяют VPN-трафик».
Какие протоколы блокируются
По состоянию на 2026 год ТСПУ успешно блокируют:
- OpenVPN — как TCP, так и UDP. Сигнатура определяется моментально
- WireGuard — характерные заголовки пакетов легко распознаются
- IKEv2/IPSec — стандартные порты и протоколы блокируются
- L2TP — устаревший протокол, блокируется давно
- PPTP — аналогично
Подробнее — в статье «Почему OpenVPN и IKEv2 больше не работают».
Как современные VPN обходят ТСПУ
Ключевой принцип — сделать VPN-трафик неотличимым от обычного веб-трафика. Вот как это реализовано в разных протоколах:
VLESS + Reality
Трафик маскируется под посещение реального сайта. DPI видит обычное TLS-подключение с валидным сертификатом настоящего сайта. Заблокировать это — значит заблокировать сам сайт.
AmneziaWG
Модифицированные заголовки и рандомизация пакетов делают трафик непохожим на WireGuard. DPI не может определить протокол по сигнатуре.
Hysteria2
Маскировка под обычный HTTP/3 (QUIC) трафик. Поскольку QUIC используется Google, YouTube и другими крупными сервисами, полная блокировка QUIC нереалистична.
Гонка вооружений
Противостояние между блокировщиками и VPN-сервисами — это непрерывная гонка. ТСПУ обновляются, учатся распознавать новые методы. VPN-протоколы в ответ совершенствуют маскировку.
Именно поэтому важно пользоваться VPN-сервисом, который:
- Поддерживает несколько протоколов — если один заблокируют, другой продолжит работать
- Имеет автоматическое переключение между протоколами
- Оперативно обновляет серверы и конфигурации
Прогноз на будущее — в статье «Блокировка VPN в России — что ожидать дальше».
TunlVPN — современные протоколы против ТСПУ
VLESS + Reality, AmneziaWG, Hysteria2. Автопереключение. 3 дня бесплатно.
Попробовать бесплатно