ТСПУ простыми словами — как РКН блокирует VPN в 2026

Если ты пытаешься понять «почему мой VPN то работает, то нет» — почти наверняка причина в ТСПУ. Это технологический фундамент того, как РКН в России управляет трафиком. Я держу свой VPN-сервис VLESSbot и каждый день вижу что с ТСПУ происходит на стороне пользователя — давай я расскажу простыми словами, без жаргона.

Что такое ТСПУ

ТСПУ — это Технические Средства Противодействия Угрозам. Это специальные железные коробки (промышленные сервера со специализированным софтом), которые установлены у каждого крупного российского интернет-провайдера. По закону № 90-ФЗ от 2019 года провайдеры обязаны их ставить и пропускать через них весь свой трафик.

Если коротко: твой пакет от тебя до моей VPN-ноды в Финляндии физически проходит через коробку ТСПУ где-то в Москве или твоём городе, и эта коробка решает — пустить пакет дальше, замедлить или дропнуть.

Как устроена ТСПУ внутри

Я не работаю в РКН и в проектировании ТСПУ не участвовал, но устройство более-менее открыто из публичных источников (тендеры на закупку, статьи ntc.party, отчёты сообщества).

ТСПУ умеет три ключевые вещи:

1. Глубокая инспекция пакетов (DPI)

Это умение «читать» содержимое сетевого пакета, а не только заголовок. Обычный роутер смотрит только «куда послать пакет», а DPI смотрит и «что внутри пакета».

Для VPN это значит: ТСПУ может посмотреть на твой TLS-трафик и понять — это обычный HTTPS к Wikipedia или это VPN-туннель.

2. Фингерпринтинг

ТСПУ умеет узнавать VPN-протоколы по их «отпечатку» — характерному узору первых пакетов рукопожатия. У OpenVPN, WireGuard, Shadowsocks — у каждого свой отпечаток. ТСПУ собирает базу этих отпечатков и матчит каждое новое соединение.

Если рукопожатие «похоже на OpenVPN» — пакет может быть дропнут или соединение замедлено.

3. Активное вмешательство

ТСПУ может не только смотреть и решать, но и вмешиваться — ронять соединения, ограничивать скорость, отвечать поддельными RST-пакетами вместо настоящего сервера. Это самое жестокое и относительно новое (с 2021).

Как это выглядит в реальности

Вот несколько кейсов которые я наблюдал у пользователей моего сервиса:

Кейс 1. Ростелеком, Москва, апрель 2026 — деградация Reality

Пользователь подключается к моей ноде через VLESS+Reality. Первые 30-40 минут — скорость 90 Мбит/с, всё чудесно. Потом скорость медленно падает до 5-10 Мбит/с.

Что произошло: ТСПУ пометила это соединение как «подозрительный длинный TLS на нестандартном фингерпринте» и постепенно вкрутила полисер — ограничение скорости.

Решение: переключиться на другую ноду или на VLESS+WS — у того другой профиль трафика.

Кейс 2. Билайн, Новосибирск, март 2026 — WireGuard режется на handshake

Пользователь пытается поднять обычный WireGuard к чужому серверу. Хендшейк не проходит вообще, клиент показывает «Connecting...» бесконечно.

Что произошло: ТСПУ распознала характерные пакеты WireGuard handshake (по UDP, с характерными паттернами байт) и дропнула.

Решение: WireGuard в чистом виде в РФ — мёртвый протокол. Только обёрнутый в TLS-туннель (например, AmneziaWG) или брать другой стек.

Кейс 3. МТС, Санкт-Петербург, февраль 2026 — RST на 1194 порту

Пользователь пробует OpenVPN на стандартном UDP-порту 1194. Соединение «вроде идёт», но через 2-3 секунды отваливается с ошибкой «Connection reset».

Что произошло: ТСПУ видит SYN на порт 1194 (классический OpenVPN-порт) и сразу же шлёт поддельный RST-пакет, маскируясь под удалённый сервер.

Решение: OpenVPN на нестандартном порту 443 + TLS-обёртка (tls-auth). Но даже это уже плохо работает — переходить на Xray.

Почему VLESS Reality пока работает

Reality — это протокол, придуманный командой XTLS специально под условия активного DPI. Главная фишка: он не «маскируется» под обычный HTTPS — он становится обычным HTTPS на этапе рукопожатия.

В двух словах:

1. Клиент стучится на мой сервер на 443 порт 2. Сервер делает реальное TLS-рукопожатие с настоящим сторонним сайтом (например, www.cloudflare.com) 3. Это рукопожатие проходит через тебя «в прямом эфире» — DPI видит легитимный TLS до Cloudflare 4. После рукопожатия клиент и сервер переключаются на свой шифрованный канал поверх того же TCP-соединения

ТСПУ видит: «обычный TLS к Cloudflare» — и пропускает. Чтобы поймать Reality, ей надо:

• Либо блокировать весь TLS к Cloudflare (но Cloudflare хостит миллионы российских сайтов — упадёт половина интернета)
• Либо научиться различать «настоящий браузерный TLS» и «Reality-сэмулированный TLS» (а они идентичны на уровне пакетов — это и есть гениальность)

Поэтому в обозримой перспективе Reality не уязвима к ТСПУ системно. Уязвимы конкретные ноды — если ноду перегрузили публичными ключами, ТСПУ может научиться ловить именно её. Но это решается ротацией.

Когда ТСПУ ужесточается

Я наблюдаю циклы:

• Перед крупными политическими событиями (выборы, протесты, военные операции) — ТСПУ режет жёстче. Особенно растёт активное вмешательство.
• После технических обновлений у самих ТСПУ — обычно раз в 2-3 месяца провайдеры выкатывают новые версии прошивок коробок, и тогда обнаруживаются новые типы режущегося трафика.
• Региональные различия. Например, в Татарстане и Башкортостане иногда жёстче чем в Москве, потому что у местных провайдеров своя политика поверх ТСПУ.

Чего ТСПУ НЕ умеет

Не любая блокировка — это ТСПУ. Иногда сайты блокируются другими методами:

• Реестр запрещённых сайтов — это статический список IP/доменов, который провайдеры просто заворачивают на заглушку. К ТСПУ отношения не имеет.
• DNS-фильтрация — провайдер подменяет ответы на DNS-запросы. Лечится сменой DNS на 1.1.1.1 или 8.8.8.8 (с TLS-шифрованием — DoH).
• BGP-blackholing — иногда крупные сети российского интернета теряют маршруты до конкретных зарубежных AS. Это инфраструктурный уровень, не блокировка как таковая.

ТСПУ — это именно активное вмешательство в реальном времени в трафик пользователя.

Как обходится ТСПУ в моих гайдах

Я не использую формулировку «обход блокировок» в маркетинге, потому что это юридически серая зона. Но технически — современные Xray-протоколы (Reality, VLESS+WS, XHTTP, Hysteria2) проектируются как раз с учётом DPI.

Принципы которые я применяю:

1. Маскировка под легитимный трафик. TLS к настоящему стороннему домену — DPI пропускает. 2. Фингерпринт настоящего браузера. Reality использует TLS-параметры реального Chrome — отличить нельзя. 3. Стандартный порт 443. Кто блокирует 443 — тот блокирует весь интернет. 4. Никаких длинных подозрительных рукопожатий. Каждое соединение выглядит как короткий обычный HTTPS. 5. Fragmentation. Если ТСПУ хочет что-то прочитать — пакеты можно разбить так, чтобы DPI не успела собрать в правильном порядке (это умеет AmneziaWG, и есть похожие хаки для других протоколов).

Что будет дальше

Прогнозы — дело неблагодарное, но три тренда я вижу:

1. Активное вмешательство будет нарастать. Это сделать дешевле чем поднять полные DPI-станции, и оно даёт «приемлемый» результат для регулятора. 2. Появятся новые протоколы на стороне команды XTLS и сообщества — например, переходы на QUIC-маскировку (Hysteria2, TUIC) или на mTLS-цепочки. Сейчас они в раннем состоянии. 3. Будет давление на отдельных провайдеров — РКН попробует заставить тех ловить Reality своим оборудованием. Если получится — начнутся точечные блокировки конкретных сервисов через жалобы.

Мой план: следить за этим и обновлять стек. Если когда-то Reality перестанет работать — у меня уже есть бэкап на VLESS+WS, и параллельно тестируется XHTTP. Запас по протоколам — 5-7 лет минимум.

Что почитать на тему

• Какие VPN работают в России в мае 2026
• VLESS+Reality vs Shadowsocks vs OpenVPN — мой тест
• Почему WireGuard перестал работать на Ростелекоме
• DPI и почему OpenVPN мёртв
• Как настроить v2rayNG

Внешние материалы которые я регулярно читаю по теме:

• ntc.party — сообщество, обсуждают свежие случаи блокировок
• github.com/XTLS/Xray-core — исходный код движка
• Хабр, тег «РКН» — там бывают качественные разборы

FAQ

Может ли ТСПУ полностью заблокировать весь VPN-трафик?

Технически — нет, потому что часть VPN-трафика неотличима от обычного HTTPS. Чтобы заблокировать «всё что похоже на VPN» — придётся блокировать значительную часть нормального интернета.

Можно ли узнать что у тебя на проводе ТСПУ?

Косвенно — да. Если у тебя WireGuard / OpenVPN / Shadowsocks работают плохо, а Reality — хорошо, это скорее всего ТСПУ. Если ничего не работает — это либо очень жёсткая региональная блокировка, либо провайдер дополнительно блокирует своей фильтрацией.

Я могу проверить что трафик прошёл через ТСПУ?

Нет, у тебя нет такой телеметрии. Это работает прозрачно для тебя.

Поможет ли смена DNS обойти ТСПУ?

Нет. ТСПУ не работает на уровне DNS — она работает на уровне трафика. Смена DNS поможет от других видов блокировок (реестровых, DNS-фильтрации провайдером), но не от ТСПУ.

Зачем РКН поставила ТСПУ если есть реестр?

Реестр — статичный список, не покрывает весь динамичный трафик. ТСПУ — динамический инструмент, может реагировать в реальном времени на новые угрозы. Это разные слои.

Знаю ли я кого-то кто работает в РКН и может это подтвердить?

Я не знаю — но через ntc.party и сообщество iSPS у меня есть знакомые сисадмины из российских провайдеров, которые подтверждают, что ТСПУ-коробки реально стоят и работают как описано. Это не теория заговора, это инфраструктура.

Получить ключ через бот →