Обзор протоколов: кто кого и когда выбирать
Не «топ протоколов», а карта: что есть, чем отличается и что реально ставить сейчас. Разберём логику выбора, чтобы ты не тыкал наугад, а понимал, почему связка именно такая. Готовые конфиги — в разделе «Протоколы», тут только механика решения.
По каким трём признакам тебя ловят
Прежде чем выбирать протокол, надо понять, от чего ты вообще защищаешься. Инспекция ловит VPN по трём вещам:
- Рукопожатие и SNI — как выглядит установка TLS-соединения и на какой домен клиент якобы идёт.
- Поведение трафика — длины пакетов, тайминги, соотношение отдачи и приёма.
- IP-адрес — сам адрес ноды в чёрном списке или в подозрительной подсети.
Хороший транспорт закрывает первые два признака. Третий (IP) транспортом не закрыть — против него работает CDN и ротация адресов. Держи это в голове: выбор протокола решает вопросы 1 и 2, но не вопрос 3.
Основные игроки
Не буду перечислять всё подряд — только то, что реально живёт в 2026. Коротко о каждом и о том, где его место.
- VLESS-TCP-Reality — рабочая лошадь. Твоя нода при рукопожатии притворяется чужим крупным сайтом (донором): снаружи выглядит, будто по адресу живёт настоящий большой HTTPS-ресурс. Высокая скорость, высокая стойкость. Основной протокол для каждой ноды.
- VLESS-Selfsteal — тот же Reality, но донор — твой собственный реальный сайт на ноде. Максимальная маскировка: инспекция стучится на порт и видит настоящий сайт, потому что он там правда есть. Берут под самый жёсткий режим, требует поднять свой сайт на ноде.
- VLESS-gRPC-Reality — трафик заворачивается в gRPC поверх HTTP/2. Скорость средняя, стойкость высокая. Сейчас помечен как устаревающий (ядро толкает в сторону XHTTP), но как скрытый резерв для авто-переключения ещё годится.
- VLESS-XHTTP — транспорт, который заворачивает поток так, что он хорошо ходит за CDN. Основной вариант, когда блокируют по IP и нужно спрятаться за большой чужой edge. Платишь задержкой, получаешь живучесть.
- VLESS-TCP-TLS — честный TLS на твоём домене без Reality-маскировки. Совместим с CDN, но домен «светится» — под жёсткую инспекцию как основной не годится.
- Trojan — маскировка под обычный HTTPS-сайт. Держат как резерв другого «вида», чтобы блок по одному типу не убил всё.
- Hysteria2 — работает поверх QUIC (это UDP, а не TCP). Отлично держится на плохих сетях и в час пик, когда TCP душат. Минус: UDP местами режут целиком. Второй транспорт на ноде для мобайла и вечерних просадок.
- Shadowsocks — без TLS-маскировки, под жёсткой инспекцией заметен. Устаревший, только как крайний запасной.
Как это решается на практике
Тебе не нужно ставить всё. Рабочая схема на 2026 год короткая:
- Основной канал — VLESS-Reality на 443/TCP. Можешь завести свой домен на ноде — бери Selfsteal (самый стойкий). Не хочешь возиться — обычный Reality с внешним донором.
- Второй транспорт на той же ноде — Hysteria2 (UDP). Когда TCP душат вечером или на мобайле, Hysteria часто ещё летит. Держи как кнопку на крайний случай.
- Скрытые резервы для авто-переключения — gRPC и XHTTP. Клиенту виден один «Автовыбор», а если у него режут именно TCP — переключение уводит его на другой транспорт незаметно.
- Когда банят по IP — XHTTP за CDN. Это отдельный слой выживания, не основной канал.
- Клиенту — подписку с несколькими хостами. Лёг один канал — работает второй, автоматически.
Если совсем коротко: Selfsteal (или Reality) + Hysteria2 на каждой ноде, gRPC/XHTTP в резерв, CDN — когда режут по IP. Этого хватает подавляющему большинству сервисов.
Гигиена, о которой забывают
Даже правильный протокол убивается неаккуратной эксплуатацией. Три правила, которые продлевают жизнь нодам:
- Не свети один SNI или одного донора на всех нодах — ротируй. Одинаковый отпечаток на всём парке = падает всё разом.
- Держи два транспорта на ноде. Reality режут — работает Hysteria2, и наоборот.
- Меняй порты и доноров после волны блокировок. То, что держалось месяц, после удара инспекции может стать палевным.
Чего ждать дальше
Важно понять философию, а не заучить таблицу: протокол — это не «поставил навсегда», а расходник, который ротируешь. То, что стойкое сегодня, через полгода может стать первым кандидатом на бан, потому что стало массовым и фильтры под него заточили.
Дальше по разделу разберём, как вообще работает интернет-цензура — DPI, ТСПУ, механика блокировок. Без понимания противника выбор протокола остаётся суеверием: «ставь Reality, все ставят». А когда понимаешь, против чего каждый транспорт работает, выбор становится инженерным решением, которое ты можешь защитить.
Следующий гайд Как работает интернет-цензура: DPI, ТСПУ, блокировки → ↗ Не понравилась статья или что-то непонятно? Напишите мне — помогу или поправлю. @notrealvpn →