VPN - обход цензуры
TL;DR: AmneziaWG быстрее и проще. Xray гибче и сложнее для обнаружения. FreeMe может настроить оба варианта.
Нам говорят, что закон не может навредить свободе. Но это не всегда правда. Закон может быть действительным на бумаге и при этом противоречить тому чувству свободы, которое люди носят в сердце. Большинству не нужны юридические теории, чтобы понимать простую вещь: человек должен иметь возможность говорить, читать, учиться, общаться и искать правду. Когда закон защищает это естественное стремление, он служит свободе. Когда он за него наказывает, закон становится инструментом цензуры.
Цензура: что именно блокируют?
Государству не обязательно читать каждое сообщение, чтобы контролировать людей. Достаточно иметь несколько ключевых точек контроля: интернет-провайдеров, мобильных операторов, DNS-резолверы, регистраторов доменов, хостинг-провайдеров, магазины приложений, платёжные системы, социальные платформы и силовой аппарат. Когда эти уровни работают вместе, интернет снаружи может выглядеть открытым, но внутри страны он становится огороженным, фильтруемым и наблюдаемым пространством.
Самый простой технический метод — блокировка IP-адресов. Если сайт, VPN-сервер, прокси или мессенджер использует известный IP-адрес, провайдер может заблокировать трафик к этому адресу. Такой метод легко внедрить, но он неточен. Многие сайты могут находиться на одном IP через облачный хостинг или CDN, поэтому блокировка одного адреса может сломать множество сервисов, которые вообще не были целью блокировки.
Другой распространённый метод — блокировка DNS или DNS-подмена. Когда пользователь запрашивает доменное имя, DNS-резолвер может вернуть поддельный адрес, не вернуть адрес вообще или отправить пользователя на страницу, контролируемую государством. Иногда цензор даже не контролирует резолвер напрямую, а просто внедряет поддельный DNS-ответ быстрее, чем приходит настоящий. В итоге пользователь вводит правильный домен, но сеть отправляет его не туда или не отправляет вообще никуда.
Обычный HTTP — это открытый трафик. Любой посредник на пути соединения может его просматривать: интернет-провайдер, корпоративная сеть, публичный Wi-Fi или государственная система фильтрации. Если трафик не зашифрован, его можно читать, логировать, фильтровать, перенаправлять или блокировать.
HTTPS усложнил фильтрацию содержимого, но не убрал метаданные. Во время TLS-соединения цензор всё ещё может видеть IP-адрес назначения, порт, время соединения, размеры пакетов и во многих случаях Server Name Indication, или SNI. SNI сообщает серверу, к какому имени хоста хочет подключиться клиент. Если цензор видит запрещённый домен в TLS-handshake, он может сбросить или заблокировать соединение ещё до того, как зашифрованная сессия будет полностью установлена.
Deep Packet Inspection, или DPI, идёт ещё дальше. DPI-устройства массово анализируют пакеты и классифицируют трафик по сигнатурам, поведению потока, энтропии, таймингам, длине пакетов и структуре протокола. Цензору не нужно расшифровывать содержимое, чтобы понять, что соединение похоже на WireGuard, OpenVPN, Tor, QUIC или другой инструмент. В современной цензуре подозрительным становится сам протокол.
Некоторые государства также используют active probing. Сначала цензор пассивно наблюдает за трафиком и помечает сервер как подозрительный. Затем он сам подключается к этому серверу и отправляет тестовые пакеты, чтобы проверить, ведёт ли сервер себя как прокси или инструмент обхода блокировок. Если сервер отвечает неправильным образом, его могут добавить в чёрный список. Поэтому антицензурные протоколы должны защищаться не только от пассивного обнаружения, но и от фальшивых клиентов.
Ещё один метод — throttling, то есть искусственное замедление. Вместо полной блокировки сервиса сеть делает его медленным, нестабильным или почти непригодным для использования. Это даёт государству возможность отрицать цензуру: можно сказать, что это техническая проблема, перегрузка или обслуживание сети. Замедление часто используют против видеоплатформ, мессенджеров, новостных сайтов и инструментов связи во время протестов. Пользователь формально не заблокирован, но сервис становится настолько неудобным, что многие просто перестают им пользоваться.
Контроль личности — ещё один важный уровень. Регистрация SIM-карт по паспорту, аккаунты в соцсетях по реальному имени, подтверждение по номеру телефона, проверка возраста, биометрия и централизованные цифровые ID уменьшают анонимность. Когда каждый аккаунт привязан к реальному человеку, цензура становится проще, потому что наказание становится проще.
Контроль на уровне устройства ещё более инвазивен. Власти могут досматривать телефоны на границах, заставлять пользователей разблокировать устройства, требовать установки локальных приложений для наблюдения, давить на компании, чтобы те ослабляли шифрование, или использовать spyware.
Экономическое давление тоже является частью системы контроля. Государство может блокировать пожертвования, замораживать счета, штрафовать медиа, отзывать лицензии, давить на рекламодателей или заставлять хостинг- и платёжные компании прекращать обслуживание. Сайт может оставаться технически доступным, но всё равно умереть, если атакованы его инфраструктура и деньги.
После всего этого вы всё ещё правда верите, что государство на вашей стороне?
Решение
Именно здесь Xray и AmneziaWG становятся практическими решениями. AmneziaWG помогает, когда обычный VPN-трафик обнаруживается или блокируется: он сохраняет скорость и простоту WireGuard, но делает трафик сложнее для распознавания DPI-системами. Xray полезен там, где цензура сильнее и избирательнее: он умеет направлять трафик через гибкие прокси-цепочки и делать соединения более похожими на обычный HTTPS-трафик. Эти инструменты не уничтожают цензуру полностью, но дают пользователям больше возможностей обходить сетевые ограничения, избегать простого fingerprinting и сохранять доступ к информации, когда прямые соединения заблокированы.
Как технически работает Xray?
Одна из самых сильных прямых конфигураций Xray — VLESS + RAW/TCP + REALITY + Vision.
VLESS — это прокси-протокол. Он переносит трафик между Xray-клиентом и Xray-сервером и идентифицирует пользователя с помощью UUID. Он лёгкий, stateless и часто используется как базовый протокол в современных конфигурациях Xray.
RAW/TCP — это транспортный уровень. В старых гайдах его часто называют TCP, но в новой терминологии Xray он называется RAW. Это означает, что Xray не заворачивает трафик в WebSocket, gRPC или другой HTTP-based transport. Он отправляет прокси-трафик напрямую через обычное TCP-соединение.
REALITY — это слой камуфляжа. Его задача — не только шифрование, но и внешний вид. Цензору не всегда нужно расшифровывать трафик, чтобы его заблокировать. Достаточно, чтобы handshake выглядел как известный VPN или прокси. REALITY пытается сделать соединение более похожим на обычный TLS-трафик, связанный с нормальным сайтом, вместо того чтобы показывать очевидный прокси-handshake.
Vision — это flow mode. Он используется с VLESS для улучшения производительности и уменьшения подозрительного TLS-in-TLS поведения. Без него зашифрованный прокси-трафик иногда может создавать паттерны, которые отличаются от обычного браузерного трафика. Vision помогает соединению вести себя более естественно и эффективно.
С точки зрения цензора, такая конфигурация не должна выглядеть как классический VPN-туннель. Она должна быть ближе к обычному зашифрованному веб-трафику. Это важно, потому что современная цензура часто определяет трафик по fingerprint, а не по чтению зашифрованного содержимого.
Но эта конфигурация не является магией. Она всё равно может не сработать, если IP сервера заблокирован, хостинг-провайдер активно таргетируется, REALITY target выбран плохо, DNS утекает за пределы туннеля или цензор блокирует подозрительный foreign VPS traffic по поведению, а не по fingerprint протокола.
CDN-конфигурация работает иначе: она подключается через CDN и фокусируется на скрытии origin-сервера за большой общей инфраструктурой.
Базовый путь выглядит так:
User app → local Xray client → VLESS over XHTTP → TLS connection → CDN edge → origin Xray server → internet
VLESS — это прокси-протокол. Он переносит пользовательский трафик между Xray-клиентом и Xray-сервером. Он идентифицирует пользователя и создаёт логический туннель.
XHTTP — это транспортный уровень. Вместо того чтобы отправлять VLESS напрямую поверх raw TCP, XHTTP заворачивает трафик в HTTP-style communication. Это важно, потому что CDN, reverse proxy и веб-серверы понимают HTTP-трафик. CDN не может пересылать произвольный прокси-трафик так же, как обычные веб-запросы, но может пересылать HTTP-compatible traffic.
TLS — это слой шифрования между клиентом и CDN-доменом. Снаружи соединение выглядит как зашифрованный HTTPS-трафик к обычному домену. Цензор видит пользователя, который подключается к CDN-hosted website через порт 443, а не напрямую к частному VPS, на котором работает прокси.
CDN — это щит перед origin-сервером. Клиент подключается к CDN edge, а CDN пересылает XHTTP-запросы на настоящий Xray-сервер за ним. Это усложняет блокировку, потому что цензор не может просто заблокировать один очевидный IP сервера, не затронув потенциально другие сервисы в той же CDN-сети.
Такая конфигурация полезна, когда прямые VPS IP быстро блокируются. Если цензор блокирует IP вашего сервера, прямой REALITY setup может перестать работать. В CDN mode видимым назначением становится CDN edge, а не origin-сервер. Origin IP должен оставаться скрытым, иначе цензор сможет обойти CDN и заблокировать сервер напрямую.
| Конфигурация | Что означает | Когда использовать | Главная сила | Главная слабость |
|---|---|---|---|---|
| VLESS + RAW/TCP + REALITY + Vision | Прямое Xray-соединение к вашему серверу | Когда прямой TCP/443 работает | Сильный камуфляж и высокая производительность | IP сервера виден и может быть заблокирован |
| VLESS + XHTTP + TLS + CDN | Xray-трафик проходит через CDN перед попаданием на ваш сервер | Когда прямые VPS IP быстро блокируются | Скрывает origin-сервер за CDN-инфраструктурой | Сложнее и обычно медленнее |
Что такое AmneziaWG?
AmneziaWG — это VPN-протокол на базе WireGuard, созданный для сетей с цензурой. Обычный WireGuard быстрый и безопасный, но его packet types, размеры handshake и UDP-поведение легко распознаются DPI-системами. AmneziaWG сохраняет криптографическое ядро WireGuard, но меняет видимую форму пакетов: модифицирует headers, добавляет random padding, отправляет junk packets перед handshake и может имитировать распространённые UDP-протоколы. Это делает его полезным, когда обычный WireGuard блокируется по fingerprint, при этом сохраняя скорость и простоту VPN-туннеля.
Главная сила AmneziaWG — производительность и удобство. Главная слабость в том, что он всё ещё основан на UDP и может плохо работать в сетях, где UDP блокируют или сильно замедляют. Кроме того, он менее гибкий, чем Xray, если нужны application-layer routing и сложные прокси-цепочки.
Xray vs AmneziaWG
| Категория | Xray | AmneziaWG |
|---|---|---|
| Основная роль | Гибкая прокси-платформа | VPN-туннельный протокол |
| Частое использование | VLESS + REALITY proxying, routing, chaining | Full-device VPN с поведением в стиле WireGuard |
| Стиль транспорта | TCP/TLS-like или custom transports | UDP-based WireGuard-style tunnel |
| Метод против цензуры | TLS-камуфляж, гибкость протоколов, контроль routing | Обфускация packet/header и имитация UDP-протоколов |
| Производительность | Может быть высокой, но сильно зависит от транспорта и конфигурации | Обычно высокая, близкая по духу к WireGuard |
| Routing | Очень детальный | Обычно routing на уровне всей системы |
| Сложность клиента | Средняя или высокая | Низкая или средняя |
| Лучшее применение | Жёсткая цензура, domain-based routing, proxy chaining | Быстрый VPN-доступ там, где работает UDP |
| Слабое место | Ошибки конфигурации, fingerprinting, операционная сложность | Блокировка UDP, ограниченная гибкость routing |
| Требуемый навык оператора | Выше | Ниже |
Bonus: A 2-Hop Xray + AmneziaWG Setup
FreeMe — это инструмент с интерфейсом терминала, предназначенный для автоматизации настройки безопасной цепочки VPN между двумя серверами Ubuntu. Инструмент обеспечивает соблюдение строгих правил брандмауэра и отключает ведение журналов в сгенерированных конфигурациях, чтобы снизить риск непреднамеренного раскрытия информации.
Распространённые ошибки
-
Использование широко распространенных конфигураций. Если тысячи серверов используют одинаковые параметры, порты, отпечатки или цели маскировки, сама конфигурация становится сигнатурой.
-
Выбор неподходящей цели REALITY. Цель маскировки должна быть стабильной, доступной и правдоподобной с точки зрения сетевого положения сервера. Если поведение цели нестабильно, прокси-сервер может выдать себя.
-
Игнорирование блокировки UDP. AmneziaWG может работать очень хорошо, но некоторые сети ухудшают качество или блокируют UDP. В таких случаях более надежным может оказаться транспорт Xray на основе TCP или TLS.
-
Утечка DNS. Даже если трафик проходит через туннель, DNS-запросы все равно могут отправляться в локальный резолвер, если клиент не настроен правильно.
-
Неправильная маршрутизация. Раздельное туннелирование — мощный инструмент, но ошибки могут привести к тому, что конфиденциальный трафик будет отправляться напрямую, в то время как прокси используют только некоторые приложения.
-
Слабая гигиена сервера. Открытые панели, повторно используемые пароли, старые ядра, открытые порты управления и отсутствующие правила брандмауэра могут свести на нет иначе надежную сетевую архитектуру.
Заключение
Даже карты свободы не отражают реальность. Не стоит слепо доверять им. Некоторые страны могут казаться открытыми со стороны, тогда как внутри системы свобода действует как сыр в мышеловке: людям разрешают передвигаться, высказываться и искать информацию, но при этом за ними могут следить, их могут помечать или наказывать.
Это особенно опасно в странах, которые кажутся «наиболее прогрессивными»: контроль там может быть более мягким, незаметным и нормализованным. Вместо явного блокирования люди могут сталкиваться с слежкой, юридическим давлением, правилами платформ, проверками личности и социальным наказанием. Для обычного человека это все равно порождает реальный страх и ограничивает реальную свободу.
Также трудно почувствовать настоящую свободу в мире, где правительства влияют на школы, СМИ, законы, онлайн-платформы и общественное мнение. Если с детства людей учат тому, что им позволено думать, то свободу нельзя оценивать только по законам или ограничениям в интернете.
Именно поэтому необходим свободный Интернет. Людям нужно место, где они могут общаться друг с другом напрямую. Благодаря этому человек может развивать свои собственные мечты, идеи, желания и точку зрения. Интернет не должен быть лишь контролируемым потоком одобренной информации. Он должен быть пространством, где люди могут свободно искать, сравнивать, задавать вопросы и общаться.