Глоссарий VPN и прокси терминов

Короткий справочник по технологиям VPN, прокси и обхода блокировок. 24 ключевых термина — от протоколов WireGuard и VLESS Reality до DPI, ТСПУ и мобильных прокси — объяснены простым языком, без воды.

Протоколы и технологии

VPN: VPN (Virtual Private Network, виртуальная частная сеть) — это технология, которая шифрует интернет-трафик и направляет его через удалённый сервер, скрывая реальный IP-адрес и защищая данные от перехвата провайдером или в публичном Wi-Fi.
WireGuard: WireGuard — это современный VPN-протокол с очень лёгким кодом (около 4000 строк) и высокой скоростью. Использует криптографию ChaCha20 и Curve25519, быстро подключается и экономно расходует батарею, поэтому стал стандартом для мобильных VPN.
OpenVPN: OpenVPN — это проверенный временем VPN-протокол с открытым исходным кодом на базе OpenSSL. Работает по TCP или UDP, легко маскируется под обычный HTTPS на порту 443, но медленнее и тяжелее, чем WireGuard.
IKEv2/IPsec: IKEv2/IPsec — это связка протоколов, встроенная в большинство операционных систем. Главное преимущество — мгновенное восстановление соединения при смене сети (Wi-Fi на мобильный интернет), что делает её удобной для смартфонов.
Shadowsocks: Shadowsocks — это легковесный прокси с шифрованием, созданный для обхода блокировок. Маскирует трафик под обычные соединения, что затрудняет его обнаружение системами фильтрации; широко применяется в странах с жёсткой цензурой.
VLESS + Reality: VLESS + Reality — это связка протокола VLESS и технологии Reality, которая выдаёт ваш трафик за обращение к реальному чужому сайту (например к microsoft.com). Не использует собственный TLS-сертификат, поэтому почти неотличима от легитимного HTTPS и устойчива к DPI.
AmneziaWG: AmneziaWG — это форк WireGuard с добавленной обфускацией: он маскирует характерную сигнатуру рукопожатия WireGuard, которую научились блокировать DPI-системы. Сохраняет скорость оригинала, но обходит блокировки протокола.

Обход блокировок и цензуры

DPI (Deep Packet Inspection): DPI (Deep Packet Inspection, глубокий анализ пакетов) — это технология, при которой оборудование провайдера изучает не только адрес назначения, но и содержимое сетевых пакетов. Позволяет распознавать и блокировать конкретные протоколы и приложения, включая VPN.
ТСПУ: ТСПУ (технические средства противодействия угрозам) — это государственное DPI-оборудование, установленное у российских провайдеров с 2019 года. Через него централизованно фильтруется и замедляется трафик, включая попытки блокировать VPN-протоколы.
SNI и ECH: SNI (Server Name Indication) — это поле в начале TLS-соединения, которое открыто передаёт имя запрашиваемого сайта, поэтому по нему удобно блокировать. ECH (Encrypted Client Hello) — это расширение, которое шифрует SNI и скрывает, к какому сайту идёт обращение.
Обфускация трафика: Обфускация — это маскировка VPN-трафика под обычный интернет-трафик (чаще под HTTPS), чтобы DPI-системы не могли распознать и заблокировать соединение. Применяется в протоколах Shadowsocks, Reality, AmneziaWG и других.
Hysteria 2: Hysteria 2 — это протокол поверх QUIC/UDP, оптимизированный для нестабильных и перегруженных сетей. Благодаря собственному управлению заторами держит высокую скорость даже при потере пакетов, что полезно при шейпинге со стороны провайдера.
Sing-box и Xray: Sing-box и Xray — это универсальные клиент-серверные ядра, которые объединяют множество протоколов обхода (VLESS, VMess, Trojan, Shadowsocks, Hysteria) в одной конфигурации. Используются для гибкой настройки самостоятельных VPN-серверов.

Типы прокси

Прокси-сервер: Прокси-сервер — это посредник между вашим устройством и интернетом, который подменяет ваш IP-адрес своим. В отличие от VPN, обычный прокси работает на уровне приложения и часто не шифрует весь трафик.
Мобильный прокси: Мобильный прокси — это прокси, использующий IP-адрес оператора сотовой связи (3G/4G/5G). Такие адреса вызывают наибольшее доверие у сайтов и антифрод-систем, потому что за одним IP оператора скрываются тысячи реальных абонентов.
Резидентный прокси: Резидентный прокси — это прокси с IP-адресом, выданным домашнему пользователю обычным интернет-провайдером. Воспринимается сайтами как живой посетитель, поэтому реже попадает под блокировки, чем адреса дата-центров.
SOCKS5: SOCKS5 — это универсальный протокол прокси, который передаёт любой тип трафика (TCP и UDP) без анализа его содержимого. Поддерживает аутентификацию и часто применяется в торрент-клиентах, играх и автоматизации.
Дата-центр прокси: Дата-центр прокси — это прокси с IP-адресом из серверного дата-центра. Они дешёвые и быстрые, но их легко определить по принадлежности к хостинг-провайдеру, поэтому крупные сайты чаще их блокируют.

Базовые понятия

IP-адрес: IP-адрес — это уникальный сетевой идентификатор устройства в интернете. По нему определяются примерное местоположение и провайдер, поэтому подмена IP через VPN или прокси меняет видимую сайтам страну и регион.
DNS и DNS-утечка: DNS — это система, которая превращает доменные имена (vpn.how) в IP-адреса. DNS-утечка происходит, когда при включённом VPN запросы DNS всё равно идут к провайдеру, раскрывая, какие сайты вы посещаете.
Kill Switch: Kill Switch (аварийное отключение) — это функция VPN, которая мгновенно блокирует весь интернет-трафик при обрыве VPN-соединения. Не даёт реальному IP-адресу и трафику просочиться в незащищённую сеть.
No-logs (политика без логов): No-logs — это политика, при которой VPN-сервис не хранит журналы действий пользователя: посещённые сайты, время сессий и реальные IP-адреса. Если логов нет, их невозможно передать третьим лицам или восстановить при изъятии сервера.
Split tunneling: Split tunneling (раздельное туннелирование) — это режим, при котором часть приложений идёт через VPN, а часть напрямую. Позволяет, например, открывать заблокированные сервисы через VPN, оставляя банковские приложения на локальном IP.
WebRTC-утечка: WebRTC-утечка — это раскрытие реального IP-адреса через встроенную в браузеры технологию WebRTC, даже когда включён VPN. Устраняется отключением WebRTC в браузере или использованием клиента VPN с защитой от таких утечек.