VPN-протоколы: история, отличия и принципы работы

Изначально технология VPN создавалась для безопасного взаимодействия банков, предприятий и компаний, а обход блокировок — это приятный бонус, ставший одной из основных областей применения.

Выбирая VPN-решение (или перед тем, как запустить сервер в формате self-hosted), ознакомьтесь со списком протоколов, которые оно поддерживает. От них зависят скорость и стабильность соединения, расход энергии, а также надежность защиты от слежки. Разбираем самые распространенные VPN-протоколы, чтобы упростить выбор.

Винтажные PPTP и L2TP/IPSec

PPTP — самый «древний» протокол в нашем списке. Очень быстрый, но платит за скорость качеством шифрования и, следовательно, защитой данных. Виной всему устаревшее шифрование MS-CHAP v2, которое подвергается критике с 1999 года. При этом современные блокировки он вообще не обходит.

Использовать его можно, если вам важна не безопасность, а смена IP для доступа к какому-нибудь старому сайту.

L2TP-поверх-IPSec — более надежен в сравнении с PPTP. Сравнительно прост в настройке: на момент публикации его по умолчанию поддерживают iOS, Android и macOS. Разработчики Windows объявили об отказе от PPTP и L2TP еще в 2024 году.

Однако его минусы в том, что работает он медленнее, а также легко блокируется, потому что использует фиксированные порты UDP 500 и 4500, которые легко определить и заблокировать.

Итог: оба протокола морально устарели, поэтому мы не рекомендуем PPTP и L2TP/IPSec. Рассмотрим варианты получше.

Сообразительный IKEv2

Главное преимущество протокола — в умении мгновенно переключаться между сетями. Например, вы вышли из дома — отсоединились от Wi-Fi, подключились к 4G/5G-сети. IKEv2 перенаправит трафик так быстро, что музыка в наушниках даже не споткнется.

Все благодаря протоколу MOBIKE (Mobility and Multihoming Extension for IKEv2, RFC 4555), который при переподключении позволяет обновлять параметры уже существующего канала, а не строить новый. Пакеты данных перенаправляются на новый адрес за миллисекунды, и буфер музыкального плеера не успевает опустеть.

Несмотря на гибкость, его все же блокируют цензурные органы некоторых стран, в том числе России.

Итог: IKEv2 — отличный вариант для смартфонов при условии, что в вашей стране не блокируют VPN-сервисы.

Бронированный OpenVPN

Главный плюс OpenVPN — шифрование на базе криптоустойчивых алгоритмов, таких как AES-256. В то же время, возможность работать через TCP-порт 443 позволяет маскировать трафик под обычный, и поэтому его сложнее заблокировать. Это одно из ключевых преимуществ протокола.

За скрытность OpenVPN расплачивается скоростью: в сравнении с WireGuard этот протокол потребляет в пять раз больше процессорной мощности сервера.

На момент публикации OpenVPN приближается к 25-летию. Системы DPI (deep-packet inspection, «глубокая инспекция пакетов») учились распознавать его годами, чтобы блокировать без ущерба для российских компаний, использующих этот протокол.

Итог: OpenVPN универсален, но высокоскоростную передачу данных осилит с трудом. Опять же, с 2023 года надзорные органы активно учатся распознавать и блокировать передаваемый по нему трафик.

Нeоклассический WireGuard (WG)

Основная идея WireGuard — максимум скорости и минимум лишнего кода (4000 строк против более 600 000 у OpenVPN и 400 000 у IPSec). Он быстрее, чем OpenVPN, и щадит аккумуляторы мобильных устройств.

Уместно процитировать Линуса Торвальдса, создателя Linux:

«Вы не против, если я в который раз выражу свою любовь [к WireGuard] и надежду, что его скоро смерджат? Код может и неидеален, но, в сравнении с чудовищными OpenVPN и IPSec, это произведение искусства».

WireGuard использует исключительно UDP на транспортном уровне. При этом его пакеты имеют характерную структуру, не маскируют и не обфусцируют протокол. По этим признакам регуляторы находят защищенное соединение. В странах с жесткой цензурой его научились вычислять с помощью систем DPI и оперативно блокировать.

Итог: даже самые изощренные протоколы теряют актуальность. К счастью, их можно модернизировать.

Протоколы IKEv2, OpenVPN и WireGuard создавались во времена «черных списков», и для пользователей проблема состояла в том, чтобы попасть на запрещенный ресурс. С тех пор парадигма изменилась, и в таких странах как КНР и Россия используют «белые списки» — перечни разрешенных сайтов, ограничивая доступ ко всему остальному интернету.

Давайте поговорим о протоколах, которые сделали обход цензуры одной из своих основных задач.

Обманчиво простой Trojan

Сразу оговоримся: Trojan — это не VPN-, а прокси-протокол, работающий поверх TLS.

Созданный для обхода Великого китайского файрвола, он маскирует поток пользовательских данных под безобидный HTTPS-трафик — отсюда и название. Отличить его от стандартного веб-трафика затруднительно.

Впрочем, исследователи Люин Лу и Пэн Чжоу из Шанхайского университета описывают механизм обнаружения Trojan в работе TrojanProbe: Fingerprinting Trojan tunnel implementations by actively probing crafted HTTP requests («TrojanProbe: фингерпринтинг туннельных имплементаций на базе активной рассылки специальных HTTP-запросов»), опубликованной в январе 2025-го.

Итог: протокол Trojan использует оригинальные техники, чтобы маскировать трафик, но ему уже учатся противостоять.

Неуловимый AmneziaWG

Мы приступили к разработке AmneziaWG в 2024 году на фоне массовых блокировок протоколов OpenVPN и WireGuard в России. За основу взяли вышеупомянутый WireGuard: нас впечатлила его скорость, дело оставалось за малым — научить его прятаться.

Для этого AmneziaWG 1.5 обфусцирует трафик на транспортном уровне:

• модифицирует заголовки пакетов
• рандомизирует размеры handshake-сообщений
• маскируется под распространенный UDP‑протокол. 

При этом базовое криптографическое ядро WireGuard остается неизменным, сохраняя производительность и безопасность.

Разберем терминологию на примере. Вы отправляете письма в оранжевых конвертах с надписью «Личная переписка». Работник почты не может прочитать само письмо, даже если захочет, потому что оно зашифровано, к примеру, «пляшущими человечками», но по той или иной причине он обязан выбрасывать всю оранжевую корреспонденцию, так что сообщения в любом случае не проходят. Чтоб запутать почтальона, AWG упаковывает оранжевые конверты в белые, серые и многоцветные, смешивает их в один массив и несет на почту. Почтальон смотрит на вашу корреспонденцию и не видит «оранжевых причин» задерживать почту.

То же самое происходит с TLS-рукопожатиями, по которым Роскомнадзор определяет VPN-трафик. Amnezia WireGuard варьирует параметры этих рукопожатий, лишая цензора четкого шаблона для распознавания трафика.

Итог: делая ставку на скрытность, AWG сохраняет скорость оригинального протокола.

Ускользающий Xray (в связке с VLESS и Reality)

Это снова мы: как и Trojan, Xray — это не VPN-, а прокси-протокол, работающий поверх TLS.

Для начала разберемся с терминологией:

• VLESS — это непосредственно прокси-протокол
• Xray — обрабатывает запросы на сторонах клиента и сервера
• Reality — обфусцирует трафик, делает его неразличимым для регуляторов

Их совместная работа позволяет уходить от слежки вместо того, чтобы шифровать данные. По сути, эта связка инструментов притворяется легитимным соединением. Если Xray замечает, что за ним наблюдают цензоры, он маскирует трафик под стандартное соединение со сторонним сайтом — например, Yahoo!. Для сетевого анализатора ваш прокси-сервер становится неотличим от настоящего сервера этого сайта. Вы в этот момент получаете доступ к Instagram или YouTube.

Этот протокол был практически неуязвим до ноября 2025 года, когда сотрудники РКН научились детектировать Xray/VLESS в Новосибирске, Екатеринбурге, Казани и ряде других регионов. Это очередное напоминание о непрекращающемся развитии цензуры. В то же время, Amnezia WireGuard выступил альтернативным решением для пользователей Рунета.

Итог: Xray доступен пользователям Amnezia VPN Premium, но на момент публикации иногда сбоит, так что его стоит рассматривать как временный инструмент. Он может пригодиться в отдельных сценариях, но не гарантирует стабильности. Наша команда работает над поддержанием стабильной работы Xray.

Блокировки — двигатель прогресса

Инцидент с XRay подтверждает, что вечных или универсальных протоколов не существует. Впрочем, это не повод опускать руки. Так, летом 2025 года специалисты Роскомнадзора нарушили работу AWG 1.0, но наши специалисты представили в ответ более устойчивый к блокировкам AWG 1.5.

Спойлер: на момент публикации готовится к выходу AWG 2.0.

Гонка цензоров и разработчиков VPN продолжается, и мы постараемся быть на два шага впереди (или хотя бы на один). Выбирайте протокол по вкусу, но не забывайте о технических пределах каждого из них. Оставайтесь на связи с Amnezia VPN!