Почему WireGuard не работает на Ростелекоме в 2026
В чате моего бота VLESSbot эта жалоба — третья по частоте. Пользователь поднял свой WireGuard на VPS, всё настроил по тёплым гайдам с Хабра 2022 года, подключился — и видит скорость 200 килобит в секунду. Открывает речной портал ютуба — крутится. Это Ростелеком, и это ТСПУ.
Если у тебя такая же ситуация — давай разберём, что происходит и что с этим делать.
Спойлер: WireGuard в чистом виде в РФ — мёртвый протокол. Но обходные пути есть.
Что именно происходит
Когда ты поднимаешь WireGuard, твой клиент шлёт UDP-пакеты на сервер на 51820 порту (стандартный) или другом UDP-порту. Первые пакеты — это handshake: обмен ключами между клиентом и сервером.
ТСПУ Ростелекома (и других крупных провайдеров — МТС, Билайн, МегаФон) умеет распознавать эти пакеты handshake по характерному «отпечатку»:
- Размер первого пакета — 148 байт (фиксированный, потому что WireGuard handshake детерминирован)
- Структура полей — определённая, читается DPI почти моментально
- Типичный паттерн «короткий запрос — короткий ответ — пауза — длинная сессия»
Когда ТСПУ распознаёт этот паттерн, она:
1. Может дропать пакеты handshake — тогда у тебя соединение «вечно подключается» и не подключается 2. Может пускать handshake, но потом ставить полисер (ограничитель скорости) на эту сессию — типичный сценарий на Ростелекоме, твой канал режется до 200-500 кбит/с 3. Может отвечать поддельным ICMP-ответом — клиент думает, что нет связи
На Ростелекоме конкретно — обычно второй сценарий. Соединение есть, но скорость уничтожена.
Почему именно WireGuard так уязвим
WireGuard был спроектирован Джейсоном Доненфельдом в 2017 году с упором на простоту и скорость. Это был осознанный архитектурный выбор:
- Минимум параметров — нет настроек handshake'а, нет вариантов шифров
- Фиксированный формат пакетов — чтобы парсер не ошибался
- Малый размер ядра — 4000 строк кода против 100k у OpenVPN
Эти решения дали WireGuard преимущество в скорости — но они же сделали его лёгкой мишенью для DPI. У тебя нет рычагов чтобы «замаскировать» WireGuard, потому что он не предусматривал такой задачи.
Сравни с современным Xray: там TLS-рукопожатие можно сделать неотличимым от Chrome 124, поведение сессии можно настроить по-разному, fingerprint можно ротировать.
Цифры с реальных тестов
В апреле 2026 я тестировал на Ростелекоме (Москва, FTTB-канал 200 Мбит/с, Подмосковье):
| Протокол | Скорость | Пинг | Стабильность |
|---|---|---|---|
| Без VPN (контроль) | 195 Мбит/с | — | 5/5 |
| WireGuard на 51820 | 0.2 Мбит/с | 38 мс | 1/5 |
| WireGuard на 443 | 0.4 Мбит/с | 38 мс | 1/5 |
| WireGuard на 8080 | 5 Мбит/с | 38 мс | 2/5 |
| AmneziaWG | 78 Мбит/с | 41 мс | 5/5 |
| VLESS Reality | 92 Мбит/с | 38 мс | 5/5 |
Что любопытно: пинг через WireGuard — нормальный 38 мс, что говорит о том, что сами пакеты ходят быстро. Режется именно полоса пропускания, через полисер.
И ещё интересно: WireGuard на «случайных» портах (вроде 8080) работает чуть лучше — но всё равно недостаточно. ТСПУ видит фингерпринт даже на нестандартном порту.
Что с этим делать
Вариант 1. AmneziaWG
Это форк WireGuard от российского сообщества Amnezia — та же скорость и логика, но добавлены анти-DPI трюки:
- Случайные паддинги в пакетах
- Случайные задержки
- Случайные изменения порядка пакетов
- Дополнительный шум перед handshake
Эти трюки делают паттерн непредсказуемым для ТСПУ. В моих тестах AmneziaWG на Ростелекоме давала 78 Мбит/с — близко к VLESS Reality, плюс-минус 15%.
Минусы AmneziaWG:
- Отдельный клиент (Amnezia VPN), не работает с обычными WireGuard-клиентами
- Чуть выше нагрузка на CPU из-за анти-DPI рандомизации
- Сообщество меньше, документация скуднее
Я не использую AmneziaWG в своём сервисе VLESSbot — но рекомендую его как альтернативу если ты хочешь «WireGuard, но работающий».
Вариант 2. VLESS Reality (то что я использую)
VLESS Reality — это другая архитектура полностью. Не UDP, а TCP. Не свой протокол с фингерпринтом, а имитация реального TLS до настоящего стороннего сайта.
DPI не может различить «обычный TLS до Cloudflare» от «Reality-туннель замаскированный под TLS до Cloudflare» — потому что они идентичны на уровне пакетов. Подробнее писал в статье про ТСПУ.
Скорость в моих тестах — 90+ Мбит/с на Ростелекоме. Стабильность — 5/5 при правильно настроенной ноде.
Забери конфиг в моём боте если хочешь попробовать без поднятия своего сервера.
Вариант 3. Hysteria2 (с оговорками)
Hysteria2 — это UDP-протокол с продвинутой обфускацией, использует QUIC под капотом. Я тестировал в январе 2026 — работал хорошо. К маю 2026 на Ростелекоме начал режиться, видимо ТСПУ научилась его ловить.
Сейчас Hysteria2 я не рекомендую для РФ. Возможно, в течение года сообщество обновит его и оно снова будет работать — следи за github.com/apernet/hysteria.
Вариант 4. WireGuard поверх XRay-обёртки
Технически продвинутый сценарий: оборачиваешь WireGuard-туннель в Xray-туннель (Reality или WS). Двойная капсуляция, теряешь 10-15% скорости из-за оверхеда, но получаешь устойчивость к DPI.
Делается это на стороне сервера через xray + outbound: wireguard. На клиенте — обычный Xray-клиент (Hiddify, v2rayNG), который под капотом получает WireGuard-конфиг.
Эту схему используют некоторые корпоративные VPN — когда нужен именно WireGuard для совместимости со старой инфраструктурой, но и работающий через ТСПУ.
Что НЕ работает (не пробуй)
Смена порта на 443
Не работает в большинстве случаев. ТСПУ ловит WireGuard по фингерпринту пакетов, не по порту.
Туннель WireGuard через Tor
Технически возможно, но скорость падает до 1-2 Мбит/с из-за tor-overhead. Tor сам по себе под фильтром, и через российских провайдеров без обфускации не ходит.
Bridge через VPS в Казахстане/Беларуси
Иногда советуют — типа «трафик идёт сначала на казахский сервер, потом наружу». Это не помогает: ТСПУ ловит WireGuard на маршруте от тебя до казахского сервера, не дальше.
Скрипты типа «WireGuard анти-DPI» с GitHub
Большинство — это попытки сделать ровно то, что AmneziaWG делает «из коробки», только хуже. Если ты хочешь WireGuard с анти-DPI — бери AmneziaWG.
Региональные различия
ТСПУ — это не одна система, это коробки у каждого провайдера, и у всех они немного разные.
В моих наблюдениях:
- Ростелеком — режет WireGuard через полисер (твой случай). Жёсткая фильтрация.
- МТС — дропает handshake. Соединение даже не устанавливается.
- Билайн — раньше пускал, в апреле 2026 начал резать. Регионально неравномерно.
- МегаФон — пускает handshake, потом отваливается случайным образом каждые 5-15 минут.
- Дом.ру — относительно либеральный (по моим тестам). WireGuard на 51820 работает с потерями ~30-40%.
- Мелкие региональные провайдеры (Алмател, Уфанет, Эр-Телеком в части регионов) — иногда WireGuard работает почти без проблем. Зависит от того, насколько они «аккуратно» исполняют требования по ТСПУ.
Это не значит что у мелких провайдеров «нет ТСПУ» — она есть, но настроена менее агрессивно или по другим параметрам.
История падения WireGuard в РФ
Для контекста, как мы сюда пришли:
- 2017-2020 — WireGuard работает идеально, потому что DPI его не видит как угрозу. Это «модный новый протокол» среди технарей.
- 2021-2022 — после блокировки Twitter и YouTube стало больше пользователей, и провайдеры начали проактивно ловить VPN. WireGuard первым попал в фильтры.
- 2023 — ТСПУ научилась распознавать WireGuard handshake. Скорость на Ростелекоме упала до 5-10 Мбит/с.
- 2024-2025 — окончательная деградация. Даже на нестандартных портах не работает. Сообщество начинает миграцию на Xray-стек.
- 2026 (сейчас) — WireGuard в РФ — нишевый инструмент для регионов где ТСПУ слабее или для AmneziaWG-форка.
Что это значит для пользователя
Если у тебя сейчас WireGuard и он перестал работать — пробовать «исправить» бесполезно, проблема не у тебя, а в ТСПУ. Варианты:
1. Перейти на Xray-стек (моё мнение — самый надёжный путь) 2. Перейти на AmneziaWG (если ты привязан к WireGuard-инфраструктуре) 3. Переждать 6-12 месяцев в надежде что появится новый WireGuard-форк, который снова будет проходить (очень маловероятно)
Если у тебя проблема «прямо сейчас, надо решить за час» — забери мой конфиг и поставь Hiddify / v2rayNG.
Что почитать дальше
- ТСПУ простыми словами — как РКН блокирует VPN
- Какие VPN работают в России в мае 2026
- VLESS+Reality vs Shadowsocks vs OpenVPN
- Как настроить v2rayNG на Android
FAQ
Может ли WireGuard вернуться к жизни в РФ?
Технически — да, если сообщество добавит ему анти-DPI слой (как сделали в AmneziaWG) и протолкнёт это в основной upstream. Но автор Доненфельд изначально против таких изменений в основном WireGuard. Скорее всего форк AmneziaWG останется отдельным.
Если WireGuard режется, может OpenVPN сработает?
Нет. OpenVPN режется ещё жёстче — у него длинный handshake который ТСПУ ловит первой. Я бы сказал, OpenVPN «менее жив» чем WireGuard в РФ.
Что если я подниму WireGuard на 80 порту с TLS-обёрткой?
Это и есть «WireGuard через Xray» (вариант 4 выше). Будет работать, но это уже не голый WireGuard — это уже Xray с WireGuard-эндпоинтом.
Можно ли купить «продвинутый» WireGuard у провайдера который обещает обход?
Обычно эти «продвинутые WireGuard» — на самом деле AmneziaWG или WireGuard поверх Xray. Спрашивай у провайдера техдетали — если он не может объяснить как именно его WireGuard обходит ТСПУ, скорее всего это маркетинг.
А Outline (Shadowsocks от Google) работает на Ростелекоме?
Outline — это Shadowsocks 2022 в обёртке Google. Работает, но скорость заметно ниже Xray (см. тесты в моей статье про май 2026). Если выбирать между Outline и Reality — Reality лучше.
Почему вы не делаете WireGuard в своём сервисе?
Потому что я не хочу продавать продукт который у половины пользователей не будет работать. Xray работает у всех — поэтому я только Xray.