Если вы хоть раз настраивали VPN-сервер руками, то наверняка начинали с OpenVPN. Конфиги на полэкрана, сертификаты, tls-auth, порт 1194 — классика. И годами это работало отлично. Но интернет-цензура не стояла на месте. Системы глубокого анализа трафика (DPI) научились вычислять OpenVPN за доли секунды, даже если вы маскируете его под HTTPS. И вот тут на сцену выходит протокол VLESS — штука, которая изначально проектировалась с оглядкой на то, что кто-то будет очень стараться вас заблокировать.
Что такое VLESS и откуда он взялся
VLESS — это протокол передачи данных, разработанный в рамках проекта Xray (форк V2Ray). Появился он в 2020 году как облегчённая версия VMess — более раннего протокола из того же семейства. Главная идея: убрать всё лишнее, оставить минимум накладных расходов и переложить шифрование на транспортный уровень — TLS 1.3.
Звучит как инженерное занудство? Может быть. Но на практике это означает две вещи:
Во-первых, VLESS сам по себе не шифрует трафик — он доверяет это TLS. А TLS 1.3 — это тот же протокол, который защищает ваш интернет-банкинг. Проверенный, быстрый, стандартный. Во-вторых, минимальный заголовок протокола означает меньше overhead'а и, как следствие, больше полезных данных в каждом пакете.
VMess в своё время тоже был неплох, но имел собственное шифрование поверх TLS — получалось двойное шифрование, лишняя нагрузка на процессор, лишние задержки. VLESS это исправил.
OpenVPN: заслуженный ветеран с проблемами
Я не хочу хоронить OpenVPN — протоколу больше 20 лет, он open source, проверен аудитами и работает буквально на чём угодно, от роутера в деревне до корпоративного файрвола. Это заслуживает уважения.
Но есть объективные проблемы.
OpenVPN работает в userspace, а не в ядре системы. Каждый пакет совершает путешествие из ядра в пользовательское пространство и обратно — это дополнительные копирования памяти и переключения контекста. На скоростях выше 200–300 Мбит/с это становится заметным бутылочным горлышком. WireGuard, для сравнения, работает в ядре и легко выжимает гигабит на том же железе.
Вторая проблема серьёзнее: характерный «почерк» трафика. Даже если вы запустите OpenVPN через TCP/443, DPI-системы вроде тех, что используются в Китае, Иране или России, умеют отличать OpenVPN-хендшейк от обычного HTTPS. Специфические паттерны в первых байтах соединения — и вот ваш VPN уже в чёрном списке.
В 2022 году Роскомнадзор начал активно тестировать блокировку VPN-протоколов через ТСПУ. OpenVPN и WireGuard оказались одними из первых жертв — их трафик детектировался почти моментально.
И третье: конфигурация. Файл .ovpn на 50+ строк, генерация CA, серверных и клиентских сертификатов через easy-rsa… Для 2024 года это ощущается как настройка Sendmail в девяностых.
VLESS + Reality: почему DPI бессилен
Вот в чём настоящая магия. VLESS сам по себе — просто протокол. Но в связке с транспортом Reality он становится практически невидимым для систем анализа трафика.
Как это работает? Reality — это модифицированная реализация TLS 1.3, которая при попытке «прощупать» сервер извне (техника active probing) отдаёт настоящий сертификат и контент какого-нибудь реального сайта. Допустим, google.com или microsoft.com. Цензор посылает запрос на ваш сервер — а получает в ответ легитимную страницу Microsoft. Никаких подозрений.
При этом ваш клиент знает специальный короткий ID и публичный ключ сервера, которые позволяют установить «настоящее» соединение и гнать через него трафик. Для внешнего наблюдателя всё выглядит как обычный визит на популярный сайт.
Сравните это с OpenVPN + obfs4 или stunnel — костыли поверх костылей, которые всё равно иногда палятся по размерам пакетов или тайминговым характеристикам.
Скорость: цифры вместо слов
Я провёл несколько замеров на VPS с 1 Гбит/с каналом (Hetzner, Финляндия), клиент — Москва, проводной интернет 500 Мбит/с. Результаты, понятное дело, зависят от маршрута и времени суток, но порядок такой:
- OpenVPN (UDP, AES-256-GCM): 180–220 Мбит/с, пинг +8–12 мс к базовому
- WireGuard: 400–470 Мбит/с, пинг +2–4 мс
- VLESS + Reality (XTLS-Vision): 410–480 Мбит/с, пинг +3–5 мс
VLESS с XTLS-Vision показывает скорости, сопоставимые с WireGuard. А иногда и чуть выше — за счёт технологии splice/direct, которая позволяет пробрасывать TLS-трафик клиентских приложений напрямую, без повторного шифрования. Грубо говоря, если вы заходите на HTTPS-сайт, данные не шифруются дважды — это и есть тот самый «zero overhead», о котором говорят разработчики Xray.
Так зачем тогда кто-то ещё использует OpenVPN?
Справедливый вопрос. Несколько причин.
Корпоративная инерция — огромная. Тысячи компаний десятилетиями строили инфраструктуру на OpenVPN. У них написаны политики безопасности, пройдены аудиты, обучен персонал. Перейти на что-то новое — это проект на месяцы.
Совместимость. OpenVPN работает на роутерах, NAS-серверах, встраиваемых системах, где поддержки VLESS нет и не предвидится. Прошивки Keenetic, OpenWrt, Mikrotik — везде есть OpenVPN «из коробки».
Аудит безопасности. OpenVPN проходил независимые аудиты кода. Xray — проект с открытым исходным кодом и активным сообществом, но формального аудита от крупных ИБ-компаний у него пока нет. Для кого-то это принципиально.
И наконец, если вы живёте в стране, где VPN-протоколы не блокируют, — OpenVPN просто работает. Без DPI-проблем разница для вас сводится к скорости, а для просмотра YouTube и работы с почтой хватает и 200 мегабит.
Когда переход на VLESS — правильное решение
Если ваш OpenVPN стал нестабильным, соединения рвутся, скорость просела — это почти наверняка DPI. Особенно если проблемы начались «внезапно» и у нескольких людей одновременно. В таком случае переход на VLESS + Reality — не просто апгрейд, а необходимость.
Если вам важна скорость — тоже имеет смысл. Разница между 200 и 450 Мбит/с ощущается при скачивании больших файлов, стриминге 4K и, что неочевидно, при видеозвонках, где важен не только битрейт, но и стабильность канала.
Если вы параноидальны (в хорошем смысле) и не хотите, чтобы ваш провайдер вообще знал, что вы используете VPN — Reality делает трафик неотличимым от обычного HTTPS. Это принципиально другой уровень приватности по сравнению с любыми обфускациями поверх OpenVPN.
Кстати, именно поэтому в Duck Proxy мы используем VLESS с Reality как основной протокол — по нашему опыту, это даёт лучшее сочетание скорости и устойчивости к блокировкам на российских сетях.
Минусы? Есть
Было бы нечестно их не упомянуть. Настройка VLESS-сервера вручную — не для новичков. JSON-конфиги Xray-core могут вызвать головную боль. Клиентские приложения (Nekoray, v2rayN, Streisand) менее «вылизанные», чем тот же OpenVPN Connect. На iOS ситуация и вовсе сложная — нормальных клиентов мало, и Apple периодически удаляет их из App Store.
Экосистема молодая, документация частично на китайском, часть знаний живёт в GitHub Issues и Telegram-чатах. Это не enterprise-grade решение с 24/7 поддержкой и толстыми мануалами.
Но для личного использования и обхода блокировок — по моему убеждению, ничего лучше прямо сейчас нет. OpenVPN честно отслужил своё. Пора двигаться дальше.