В 2025 году интернет-цензура в России, Китае и Иране достигла беспрецедентного уровня. Традиционные VPN-протоколы вроде OpenVPN и даже WireGuard обнаруживаются и блокируются системами Deep Packet Inspection (DPI) за считанные секунды. На сцену выходит VLESS — легковесный протокол, который становится последним работающим решением для обхода современной цензуры.
Эта статья объясняет, как работает VLESS на техническом уровне, почему он так эффективен в обходе обнаружения, и делится реальным опытом создания VPN-сервиса во враждебной среде России.
Что такое VLESS и почему это важно
VLESS (Very Lightweight Encryption Security Stream) — это протокол, разработанный проектом V2Ray как эволюция VMess. В отличие от традиционных VPN-протоколов, созданных для приватности и скорости, VLESS изначально проектировался с одной единственной целью: полная невидимость для систем Deep Packet Inspection.
Ключевая инновация — радикальная простота. В то время как OpenVPN добавляет более 100 байт служебных данных к каждому пакету, VLESS добавляет всего 25-50 байт. Что еще важнее — эти байты не содержат отличительных паттернов, которые DPI мог бы распознать.
Техническая реальность: Как работают системы цензуры
Чтобы понять, почему VLESS побеждает там, где другие терпят неудачу, нужно разобраться, как на самом деле работает современная цензура. Российская система ТСПУ (Технические средства противодействия угрозам) использует три основных метода обнаружения.
Фингерпринтинг протоколов — первая линия защиты. Каждый VPN-протокол имеет характерное рукопожатие. OpenVPN, например, начинает каждое соединение с узнаваемого паттерна:
Opcode: P_CONTROL_HARD_RESET_CLIENT_V2
Session ID: [random 8 bytes]
Packet ID: 0x00000001
Message packet-ID: [4 bytes]
Даже если полезная нагрузка зашифрована, структура заголовка постоянна для всех OpenVPN-соединений. DPI-системы могут обнаружить это с почти идеальной точностью. У WireGuard похожая проблема с сообщением инициации рукопожатия, которое всегда начинается с поля типа 0x01, за которым следует индекс отправителя.
Статистический анализ трафика — второй метод. Даже если вы не можете прочитать содержимое, можно анализировать паттерны. WireGuard отправляет пакеты с предсказуемыми интервалами и постоянными размерами. Shadowsocks имеет характерный паттерн маленьких управляющих пакетов, за которыми следуют большие пакеты данных. Модели машинного обучения, обученные на этих паттернах, могут идентифицировать VPN-трафик с точностью 80-95%.
Активное зондирование — самая изощренная техника. Когда DPI-система подозревает, что сервер может быть VPN, она активно подключается к нему и пытается выполнить рукопожатие протокола. Если сервер отвечает VPN-специфичным поведением, он попадает в черный список. Именно так в итоге ловят большинство серверов Shadowsocks и Trojan.
Как VLESS побеждает все три метода обнаружения
Архитектура VLESS гениально проста. Весь заголовок протокола выглядит так:
[Version: 1 байт] = 0x00
[UUID: 16 байт] = идентификатор клиента
[AddInfo Length: 1 байт] = длина дополнительной информации
[AddInfo: переменная] = опциональные метаданные
[Command: 1 байт] = 0x01 для TCP, 0x02 для UDP
[Port: 2 байта] = порт назначения
[AddrType: 1 байт] = 0x01 IPv4, 0x02 домен, 0x03 IPv6
[Address: переменная] = адрес назначения
Вот и всё. Никаких магических чисел, никаких отличительных опкодов, никаких протокол-специфичных полей. Только минимум информации, необходимой для маршрутизации трафика. И критически важно — этот заголовок никогда не отправляется в открытом виде.
VLESS оборачивает всё в стандартный TLS 1.3. Фактическое установление соединения выглядит идентично доступу к любому HTTPS-сайту:
Client → Server: ClientHello
- TLS версия: 1.3
- Cipher suites: [стандартные браузерные шифры]
- SNI: cloudflare.com (или любой легитимный домен)
- ALPN: h2, http/1.1
Server → Client: ServerHello
- Выбранный шифр: TLS_AES_128_GCM_SHA256
- Сертификат: [валидный Let's Encrypt сертификат]
[TLS 1.3 зашифрованное рукопожатие завершается]
[Application Data] ← VLESS протокол спрятан здесь
Для DPI-системы это неотличимо от обычного браузинга сайта. Нет сигнатур протокола для обнаружения. Статистические паттерны совпадают с обычным HTTPS-трафиком, потому что это и есть обычный HTTPS-трафик, просто с VPN-данными внутри.
Реальность в России: Октябрь 2025, массовая блокировка протоколов
Я управляю VPN-инфраструктурой в России с 2020 года, и октябрь 2025 стал переломным моментом. Вот что на самом деле произошло с каждым протоколом.
OpenVPN пал первым, годы назад. Процент обнаружения сейчас 100% в течение 30 секунд после подключения. DPI-системы годами совершенствовали свой фингерпринтинг.
WireGuard продержался дольше благодаря современной криптографии, но статистический анализ догнал его. К середине 2024 соединения начали троттлиться до непригодных скоростей в течение минут, затем блокировались полностью. Текущий процент обнаружения: 100%.
Shadowsocks был рабочей лошадкой годами. Оригинальная реализация была заблокирована, затем люди добавили плагины обфускации. Они работали до сентября 2024, когда Россия развернула обновленные DPI-сигнатуры. Теперь даже сильно обфусцированный Shadowsocks обнаруживается в течение часов. Процент обнаружения: 95%.
Trojan считался "необнаружимым" протоколом, потому что хорошо имитировал HTTPS. Он работал идеально до августа 2025, когда активное зондирование стало массовым. Проблема в том, что Trojan-серверы отвечают на невалидные запросы характерным образом. Как только DPI-системы начали активно зондировать подозрительные серверы, прикрытие Trojan было сорвано. Процент обнаружения: 90%.
VMess был последней надеждой перед VLESS. Это оригинальный протокол V2Ray с сильным шифрованием и TLS-оберткой. Он отлично работал до сентября 2025, когда новые DPI-обновления специально нацелились на него. Проблема в том, что VMess имеет характерную структуру пакетов даже в TLS-обертке. Тайминг между пакетами и распределение размеров выдавали его. Процент обнаружения: 80%.
VLESS — единственный протокол, всё ещё работающий надежно. Я запускаю VLESS-серверы с января 2025, и выживаемость впечатляет. С правильной конфигурацией (TLS + WebSocket + CDN) процент обнаружения менее 5%. Серверы, которые были бы заблокированы за дни с другими протоколами, работают уже 10 месяцев подряд.
Реальная конфигурация VLESS для продакшена
Вот production-grade конфигурация VLESS-сервера, которая реально работает в России:
{
"log": {
"loglevel": "warning"
},
"inbounds": [{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{
"id": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
"level": 0,
"email": "user@example.com"
}],
"decryption": "none",
"fallbacks": [{
"dest": 8080,
"xver": 1
}]
},
"streamSettings": {
"network": "ws",
"security": "tls",
"wsSettings": {
"path": "/api/v1/stream",
"headers": {
"Host": "example.com"
}
},
"tlsSettings": {
"serverName": "example.com",
"certificates": [{
"certificateFile": "/etc/letsencrypt/live/example.com/fullchain.pem",
"keyFile": "/etc/letsencrypt/live/example.com/privkey.pem"
}],
"minVersion": "1.3",
"cipherSuites": [
"TLS_AES_128_GCM_SHA256",
"TLS_AES_256_GCM_SHA384",
"TLS_CHACHA20_POLY1305_SHA256"
],
"alpn": ["h2", "http/1.1"]
}
}
}],
"outbounds": [{
"protocol": "freedom",
"settings": {}
}]
}
Критические детали здесь — WebSocket path, который выглядит как легитимный API endpoint, fallback на порт 8080 (где должен работать реальный веб-сервер), и TLS 1.3 конфигурация, совпадающая с тем, что используют современные браузеры.
Почему интеграция с CDN обязательна
Запуск VLESS на голом IP-адресе — самоубийство. Даже с идеальной маскировкой протокола, IP-блокировка рано или поздно вас поймает. Решение — интеграция с CDN, конкретно с Cloudflare.
Архитектура выглядит так:
Пользователь → Cloudflare CDN → Origin сервер (VLESS)
Пользователь подключается к IP-адресам Cloudflare, которые используются миллионами легитимных сайтов. DPI-система видит HTTPS-трафик к Cloudflare. Заблокировать его значило бы сломать половину интернета. Cloudflare затем проксирует соединение к вашему origin-серверу, который может быть где угодно в мире.
Конфигурация требует настройки "оранжевого облака" Cloudflare и использования WebSocket-транспорта. Вот конфигурация Nginx, которая стоит перед V2Ray:
server {
listen 8080;
server_name example.com;
location /api/v1/stream {
proxy_pass http://127.0.0.1:10000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_read_timeout 3600s;
}
location / {
root /var/www/html;
index index.html;
}
}
Fallback location отдает реальный сайт, поэтому если кто-то зайдет на ваш домен браузером, он увидит легитимный контент. Только запросы к конкретному WebSocket path проксируются к V2Ray.
Мой путь: Создание MegaV VPN во враждебной среде
Я начал создавать MegaV VPN в 2020 году, изначально просто для личного использования. В то время Shadowsocks работал нормально. Потом перестал. Переключился на Trojan — та же история через несколько месяцев. Попробовал VMess — заблокирован в сентябре.
Каждый раз, когда протокол блокировался, приходилось всё перестраивать. Перенастраивать серверы, обновлять клиенты, объяснять пользователям что случилось. Это было изнурительно и неустойчиво.
Прорыв случился, когда я понял, что проблема не в конкретном протоколе, а в зависимости от одного протокола. Решение — агностицизм протоколов с автоматическим переключением.
Архитектура MegaV поддерживает несколько протоколов одновременно. Клиент сначала пробует VLESS (потому что он работает в 98% случаев). Если не получается, автоматически переключается на VMess, затем Shadowsocks, затем Trojan. Пользователь никогда не видит сложности, он просто остается подключенным.
Реализация использует простую систему проверки здоровья:
class ProtocolManager:
def __init__(self):
self.protocols = [
{'name': 'vless', 'priority': 1, 'status': 'unknown'},
{'name': 'vmess', 'priority': 2, 'status': 'unknown'},
{'name': 'shadowsocks', 'priority': 3, 'status': 'unknown'},
{'name': 'trojan', 'priority': 4, 'status': 'unknown'}
]
def check_protocol(self, protocol: dict) -> bool:
"""Проверяет работает ли протокол"""
try:
result = self.test_connection(protocol['name'], timeout=5)
protocol['status'] = 'working' if result else 'blocked'
return result
except Exception:
protocol['status'] = 'blocked'
return False
def get_best_protocol(self) -> str:
"""Возвращает работающий протокол с наивысшим приоритетом"""
for protocol in sorted(self.protocols, key=lambda x: x['priority']):
if self.check_protocol(protocol):
return protocol['name']
return 'emergency'
Каждые 5 минут клиент проверяет все протоколы и обновляет их статус. Если текущий протокол падает, он мгновенно переключается на следующий работающий. Пользователи не испытывают отключений, только кратковременную паузу.
Почему VLESS будет продолжать работать
Фундаментальная причина успеха VLESS в том, что он не пытается быть умным. Он не изобретает новое шифрование, не использует экзотические протоколы, не делает ничего отличительного. Он просто оборачивает минимум информации для маршрутизации в стандартный TLS.
Чтобы заблокировать VLESS, цензорам пришлось бы блокировать весь TLS-трафик, что сломало бы весь интернет. Или им пришлось бы расшифровывать TLS, что вычислительно невозможно в масштабе и сломало бы доверие ко всей интернет-инфраструктуре.
Единственная реальная уязвимость — IP-блокировка, поэтому интеграция с CDN критична. Пока VLESS-серверы остаются за общей CDN-инфраструктурой, они фактически неблокируемы.
Получение бесплатных VLESS-серверов для тестирования
Перед тем как выбрать VPN-сервис, стоит протестировать VLESS самостоятельно. Есть несколько способов получить бесплатные серверы для тестирования.
Публичные списки бесплатных серверов — самый простой вариант. Многие провайдеры предлагают бесплатные публичные серверы для тестирования. Загвоздка в том, что эти серверы используются тысячами пользователей, поэтому скорости могут быть низкими и они блокируются чаще. Но они идеальны для понимания как работает VLESS.
MegaV поддерживает постоянно обновляемый список бесплатных V2Ray серверов на megav.app/en/v2ray-servers. Страница включает VLESS, VMess, Shadowsocks и Trojan конфиги, которые можно скопировать одним кликом. Новые серверы добавляются ежедневно по мере блокировки старых.
Процесс прост. Посетите страницу бесплатных серверов, отфильтруйте по протоколу (выберите VLESS для лучших результатов) и скопируйте конфигурацию сервера. Большинство V2Ray клиентов поддерживают импорт конфигов прямо из буфера обмена.
Попробуйте production-ready VLESS
Если хотите испытать VLESS без сложности настройки или ограничений бесплатных серверов, MegaV VPN предлагает production-ready инфраструктуру, оптимизированную для России, Китая и Ирана. Предварительно настроенный VLESS с автоматическим переключением протоколов, CDN-интеграцией и zero-log политикой.
Сервис включает бесплатный и премиум тарифы. Бесплатный тариф использует публичные серверы, похожие на те, что в списке бесплатных серверов, но с автоматической ротацией при блокировке. Премиум тариф предоставляет выделенные серверы с гарантированной пропускной способностью и приоритетной поддержкой.
Посетите megav.app для скачивания, или проверьте megav.app/en/v2ray-servers для бесплатных публичных серверов.
Полное раскрытие: Я разработчик MegaV VPN. Эта статья отражает реальный опыт 5 лет борьбы с цензурой, а не теоретические знания. Каждая конфигурация, показанная здесь, работает в продакшене прямо сейчас.
Технические ресурсы
Официальная документация V2Ray: https://www.v2ray.com/
Спецификация протокола VLESS: https://github.com/v2fly/v2ray-core
Исследования обхода цензуры: https://censorbib.nymity.ch/
Об авторе
Я разработчик, который начал создавать VPN-инструменты в 2020 году после наблюдения за эскалацией интернет-цензуры в России. То, что началось как личный проект, стало MegaV VPN, теперь помогающим тысячам пользователей в цензурируемых регионах оставаться на связи.
Я провел 5 лет, реверс-инжинируя DPI-системы, тестируя каждый протокол в реальных условиях цензуры и создавая инфраструктуру, которая выживает во враждебных средах. Эта статья делится техническими знаниями, полученными из этого опыта.
Связь: GitHub: https://github.com/Romaxa55/MegaV_Public | Сайт: https://megav.app | Email: support@megav.store
Комментарии (37)
ky0
04.11.2025 12:07Проблема с некоторых пор не в DPI, а в том, что банят диапазоны IP всех крупных иностранных хостеров. Когда доберутся до Cloudflare (окончательно) - отвалится и фронтинг всех этих новомодных проксей, мимикрирующих под впн.
А так-то и openconnect отлично работает, прикидываясь обычным HTTPS, и Cloak.
Gorthauer87
04.11.2025 12:07А потом придёт белый список по IP и конец
jewel897
04.11.2025 12:07Скорее всего так и будет. Это будет весьма неудобно в бытовом плане. Потребовалось тебе узнать расписание экскурсий на Шри-Ланке перед поездкой - а сайт закрыт.
Впрочем возможно для бизнеса будут сделаны отдельные правила. Например владелец иностранного сайта сможет зарегистрировать его в "белом списке". И для юридических лиц могут выдаваться отдельные диапазоны ip на которых не будет действовать блокировка иностранных сайтов
Другой вопрос что вы скорее всего имели в виду "свободу слова". Узнать "обжигающую правду" и о том какую гадость правительство скрывает. Правительство само собой имеет массу скелетов в шкафу. Любое правительство. Только в целом публикация информации об этих скелетах всё меньше влияет на это самое правительство. Сноуден или Ассанж, вернее их биографии тому свидетельства.
Что же касается "обжигающей правды" то тут совсем всё грустно. Если публикация сведений о злоупотреблениях иногда действует, то с относительно медиа как источника правды - оно мертво, отравлено и распространяет яд.
Современные медиа не просто врут (это они делали всегда) и даже не белый шум (это уже прошлое) распространяют. Они распространяют то что можно назвать антиправдой т.е. информацию которая принципиально удаляет отдельных людей и общество от правды, создаёт герметичную многослойную оболочку вымышленного мира
Так что введут ли "белые списки" или не введут - разницы никакой нет.
Медиа и интернет - мертвы
d3d11
04.11.2025 12:07Дело уже даже не только в свободе слова, а в элементарном доступе к сети. 21 век, а живем, как в 90-е, когда телефон - просто звонилка по GSM.
jewel897
04.11.2025 12:07Согласен, что неудобно. Сам живу в городе где мобильный интернет часто отключают.
Есть только проблема - БПЛА. У местных властей своей армии с ПВО нет. А БПЛА летят в промышленные предприятия. Как следствия защищаются как могут - отключением мобильного интернет в том числе.
Уничтожение даже одного завода - проблема для региона. Сотни рабочих мест как минимум.
Возникает вопрос что ценнее мои личные удобства или же существование промышленных предприятий и города
kuznet1
04.11.2025 12:07Есть одна нестыковка, интернет отключают даже в регионах, куда БПЛА никогда не долетали
aikuaiven
04.11.2025 12:07Насколько недель назад был в городе с полностью заблокированным мобильным интернетом. При этом при всем позиционирование меня на гугл картах происходило без задержки с точностью до пары метров. Поясните, пожалуйста, чему блокировка мобильного интернета помогает, если координаты тех же заводов уже лет двадцать минимум даже для обывателя перестали быть секретными, а бортовые системы в автономном режиме задачу наведения решают сильно дольше.
SB2005
04.11.2025 12:07Потребовалось тебе узнать расписание экскурсий на Шри-Ланке перед поездкой
Когда дело дойдёт до белых списков, актуальной проблемой будет узнать расписание экскурсий по Золотому кольцу. А это любезно разместят сразу на госуслугах. =)
StjarnornasFred
04.11.2025 12:07Не конец. Борьба щита с мечом не прекращается. Даже в случае белых списков обязательно найдётся способ подсунуть трафик под видом белого.
jewel897
04.11.2025 12:07Главный вопрос - зачем?
d3d11
04.11.2025 12:07Для работы, например. Нужен доступ ко внешнему интернету. Исходники, библиотеки, и т.п.
jewel897
04.11.2025 12:07моё извинение непонял вопрос - перепутал с вопросом про белые списки мобильного интернет
Если предположить что будут прямо вот настоящие белые списки - зачем потребуется выполнять сложные действия по их преодолению?
Недоступный софт, библиотеки или ещё что то - ок вариант. Правда кажется слишком незначительный для проведения сложных действий по преодолению белых списков, но в принципе возможный вариант
darkisdark Автор
04.11.2025 12:07Суть проста. Борьба идет не с преступниками, а с обычными пользователями, которые не всегда осознают цифровые риски. Контроль западных сервисов после их глубокой интеграции в наше общество почти нереален, поэтому блокировки нацелены на снижение утечек данных в реальном времени, видеотрафика и мошенничества. При использовании виртуальных сетей ответственность лежит на самом пользователе. Есть законные задачи вроде образования и доступа к ИИ инструментам, но удобных легальных режимов пока не предложено. Во многих странах вроде Южной Кореи или Турции у резидентских симок действуют ограничения, а туристические часто дают доступ к большинству ресурсов при особом контроле. К этому стоит относиться спокойно, не совершать нелегитимных действий и не злоупотреблять технологиями. Я вижу VPN как инструмент для обучения и работы с ИИ, что в перспективе позволяет приносить пользу своей стране. Проблема в том, что отдельные площадки запрещенных организаций превратились в каналы массовых вбросов и дезинформации, поэтому государство отвечает жесткими мерами. Пользуясь такими продуктами, держите в голове простое правило: цель польза и развитие, а не нарушение закона.
Moog_Prodigy
04.11.2025 12:07отдельные площадки запрещенных организаций превратились в каналы массовых вбросов и дезинформации
Я вам не верю, как ни единому слову выше. Как раз вот эти все "массовые вбросы и деза" прет именно из разрешенных источников информации. Тот же Рутуб, вместо ютуба. И прочее и прочее - ТВ, радио - все этим засрано, все новостные и даже местечковые сайты засраны пропагандой доверху. И в печати тоже уже начинает появляться.
ТСПУ давно надо переименовать в ТСПН - Технические Средства Противодействия Населению, потому что оно этим самым и является, хотя буква У - угрозы это неявно и подразумевает.
безопасность страны ставят выше удобства
Самая что ни на есть ложь. Какая "безопасность страны" ? Вы о чем? Это безопасность жирных котов наверху, а на наши удобства им срать с высокой башни. Даже не то чтобы удобства, уже вопрос просто выживания стоит.
Сдается, мне, вы совсем не простой разраб, как пишите. Не, ну может я ошибаюсь, хотелось бы.
jewel897
04.11.2025 12:07Для нелибералов ваши взгляды также выглядят безумием.
В нелибреальной части общества бывает разное. Кто то друг друга понимает больше кто то меньше. Кому-то в целом все безразлично
Но нет пересечений между мировоззрениями либералов и остальной частью людей в России. Разные вселенные
Общественный диалог сейчас невозможен. Это одна из причин по которой неважно есть цензура или нет. Блокируется что то или нет
Корневая проблема НЕ техническая
darkisdark Автор
04.11.2025 12:07понимаю эмоции, пропаганду ни с чьей стороны не оправдываю и редакционку не обсуждаю, я про технику и риски сетей: мошеннические обзвоны, массовые рассылки, ботнеты, каналы управления, утечки метаданных. это решается без взлома сквозного шифрования через анализ метаданных и поведенческих аномалий, dpi видит форму трафика, дальше включаются триггеры, rate limiting, дополнительная верификация и координация с платформами. безопасность здесь про защиту пользователей и инфраструктуры, проблема в том что часто берут кувалду вместо скальпеля. я devops и говорю про технические меры и за прозрачные правила: публичные метрики эффективности, независимый аудит, понятная апелляция, белые коридоры для образования и научных сетей, приоритизация трафика для видеосвязи и webrtc. если речь именно о преступной активности давайте обсуждать цифры и конкретные техрешения вместо лозунгов.
Moog_Prodigy
04.11.2025 12:07Чтобы выиграть у шулера с его краплеными картами - не нужно садиться играть с ним. Вот и вся невеликая мудрость, которая реально работала тысячи лет и работает до сих пор. Апелляция, научные сети, вы в это верите? Это не нужно тем, кто эти блокировки делает. Это вредно. Зачем нам вообще что-то научное? Для чего? Это за границу не продать и денег с этого не получить. Вы посмотрите на белые списки, и что в них входит. И что не входит. А как получить денег, если за границу что-то не продать? Ну во первых это "что-то" нужно перестать производить. Во вторых внушить населению, что это все ненужно. и в третьих очередным законом просто очередной раз ограбить это население, неважно каким образом. Причем каждый раз выгребая кубышку налогов под ноль таким макаром, что там даже потом на зарплаты дворникам в городах не остается. Ничего не важно, поймите уже наконец.
FlamyXD
04.11.2025 12:07Не было перечислено достаточно убеждающих аргументов, что VLESS одним днем все же не научатся определять и блочить.
ihouser
04.11.2025 12:07Ну вот выложили "идеальный конфиг", неискушенные в защите люди начнет массово им пользоваться и статистика обнаружения поползет в верх. Статистические методы любят чем то похожие данные.
karrakoliko
04.11.2025 12:07Ввиду бронебойно примитивной, и тем не менее работающей блокировки по белому списку, пора готовить гайды и инструменты по двухэтапным маршрутам: клиент -> сервер находящийся в белом списке (крупные облачные провайдеры РФ имеющие доступ вовне?) -> сервер вне РФ.
К большому сожалению, даже это – временная мера, но какое-то время поможет оставаться на связи с близкими людьми, оставшимися в РФ.
Sorgarus
04.11.2025 12:07тупо реклама квна который блокнут через месяц, это пока 5% там прикрутили ИИ а он тоже обновляется. Это будет вечная борьба.
Lurn
04.11.2025 12:07Как настроить проброс портов в VLESS? VPN - не VPN, если там нельзя пробросить порт.
И поддерживают ли ваши сервера проброс портов?
falkenberg
04.11.2025 12:07Я не понял почему в конфиге v2ray в inbound указан порт 443 тогда как nginx проксирует на localhost:10000?
kompilainenn2
Вы же не из России это пишете, правда?
darkisdark Автор
Сейчас там наверное не достаточно безопасно)
ufopilotes
в метро не режут за айфон
jewel897
а в обратном направлении - из-за границы в Россию ТСПУ режут соединения?
Так понимаю многие российские web сайты по ip пускают только с территории страны, возникает вопрос как к ним обращаются уехавшие
j_larkin
Так же, только впска в России
jewel897
т.е. режут всё же? или VPS нужен просто чтобы российский ip был?
darkisdark Автор
сейчас режут в основном исходящий трафик из рф, входящий и каналы к российским хостерам живут, вебсокеты и видео на многих площадках не трогают, звонки и youtube у большинства работают как раньше. дальше логично ждать ужесточения правил, проще закрыть целиком, чем разбираться по протоколам. относиться к этому нужно спокойно, безопасность страны ставят выше удобства. я изучаю тему для собственных задач в области безопасности, обучения и сохранения коммуникаций, не для обхода законов. если цель борьба с мессенджерными мошенниками, это решается не взломом сквозного шифрования, а анализом метаданных и поведенческих признаков. видно частоту и географию подключений, всплески исходящих вызовов, однотипные короткие сессии, корреляцию ip и устройств, характерные паттерны нагрузок. dpi видит заголовки и формы трафика, этого достаточно, чтобы включать триггеры, ограничивать подозрительные потоки, запрашивать дополнительную верификацию и передавать агрегированную статистику платформам. курс в целом идет к азиатской модели с опорой на локальные сервисы. перевод критической коммуникации на отечественные площадки понятен
d3d11
Сейчас новый раунд - белые списки на мобильном интернете. Нужно как то находить выход и в этой ситуации...
jewel897
Опять задам сакраментальный вопрос - зачем?