VLESS в 2026: какую комбинацию выбрать
VLESS в 2026: разбираемся в комбинациях чтобы не тыкать вслепую
Обновлено: 2026-02-27
Если ты читаешь это, скорее всего у тебя что-то перестало работать. Или ты только собираешься поднимать свой VPN и не хочешь через неделю всё переделывать. В обоих случаях копировать чужой конфиг плохая идея. Он мог работать у автора на его провайдере в его регионе в прошлый вторник. У тебя может не завестись, и ты даже не поймёшь почему.
Блокировки меняются еженедельно. Что работает на Ростелекоме в Москве может не работать на МТС в Кирове. Мобильный интернет фильтруется жёстче чем проводной. Универсальный рецепт никто не даст, потому что его нет.
Зато можно разобраться как это устроено. Когда знаешь что за что отвечает, не нужен чужой конфиг. Сам подберёшь рабочую комбинацию, а когда она ляжет, сам поменяешь нужный компонент.
Из чего собирается VLESS
VLESS это не готовое решение, а скорее конструктор. Сам по себе VLESS делает ровно одну вещь: проверяет свой ты или чужой. У тебя есть UUID (длинный уникальный ключ), сервер его проверяет. Совпал? Пускает. Не совпал? До свидания.
VLESS сам по себе не шифрует, не маскирует и не решает как передавать данные. Для этого есть отдельные слои которые ты сам выбираешь и комбинируешь.
Слоя два: безопасность (как шифруем и маскируем) и транспорт (как передаём).
Безопасность: TLS и Reality
Оба шифруют трафик. Разница в маскировке.
TLS это классика. Получаешь сертификат на свой домен, и снаружи твой VPN выглядит как обычный HTTPS. Настраивается просто, схема понятная. Подвох в том что домен твой. Зарегистрирован вчера, трафика вагон, а сайта нет? Подозрительно. Цензор может это заметить.
Reality работает хитрее. Вместо своего сертификата ты "подставляешь" чужой домен (dest). Снаружи соединение выглядит как обычное подключение к google.com (или банку, или чему угодно) — ТСПУ видит его SNI и TLS-поведение. А кто свой определяется по отдельным ключам (publicKey/shortId) прямо внутри TLS-рукопожатия. Если подключается кто-то без правильных параметров, сервер проксирует запрос на настоящий dest-сайт — посторонний получает ответ от google.com и не видит ничего похожего на VPN. Своего домена нет, блокировать по имени нечего.
Настройка сложнее: нужно правильно выбрать домен для имитации, и не каждый подойдёт. И есть жёсткое ограничение: Reality работает только через TLS 1.3. Сообщается что РКН уже пробовал резать TLS 1.3 в сторону популярных хостеров. Пока не повсеместно, но прецедент создан.
Зачем тебе это знать? Потому что когда у тебя перестанет работать прямое подключение, первый вопрос будет: "это хостер заблокировали, или TLS 1.3 порезали, или протокол спалили?" Если понимаешь что за что отвечает, быстрее найдёшь где сломалось.
Транспорт: RAW и XHTTP
Транспорт определяет как именно данные летят. Сейчас используют в основном два.
RAW (раньше назывался TCP) это самый простой вариант. Никакой обёртки, просто сырой поток. Основной транспорт для связки с Reality при прямом подключении. Используется вместе с flow xtls-rprx-vision, который нужен чтобы ТСПУ не увидел характерный паттерн "TLS внутри TLS".
XHTTP появился позже и устроен сложнее. Он разделяет передачу на два потока, "туда" и "обратно", в разных соединениях. Для DPI это выглядит как обычные HTTP-запросы, а не как длинная подозрительная сессия.
У XHTTP три режима. packet-up самый совместимый, но помедленнее. stream-up быстрее, но капризнее. stream-one по сути без разделения потоков, одно соединение туда-обратно. С Reality он формально работает, но принудительно включает stream-one, и ты теряешь главное преимущество XHTTP, так что на практике связка бессмысленная.
XHTTP с vision не работает. Если переезжаешь с RAW на XHTTP, vision надо выключить. XHTTP решает проблему tls-inside-tls по-своему, через мультиплексирование и разделение потоков.
Ещё: Sing-box клиенты (Nekobox, Hiddify) XHTTP не поддерживают. Только XRay-клиенты: v2rayN, v2rayNG (подробный разбор XHTTP на Хабре). На айфоне VPN-процесс жёстко ограничен по памяти, с тяжёлыми Geo-файлами клиент может падать. Используй packet-up и облегчённые Geo.
Есть ещё gRPC и WebSocket, но они постарше. Работают только с TLS (нужен свой домен), и у обоих характерные паттерны в трафике которые проще заметить. Запасной вариант если XHTTP не завёлся, не более. Про них напишем отдельно.
Что сейчас ставят и почему
Схема №1: прямое подключение (VLESS + Reality + RAW + Vision)
Самый простой вариант. Ты подключаешься напрямую к заграничному серверу. Reality маскирует трафик, RAW передаёт его без обёрток, а Vision не даёт ТСПУ увидеть TLS-inside-TLS. Быстро, минимальные задержки.
Попробуй это первым. Если IP сервера живой и провайдер не режет подсеть хостера, может хватить.
Но в 2026 всё чаще не хватает. ТСПУ не просто блокирует, он научился "замораживать" соединения. По описаниям пользователей типичная картина: подключаешься, первые несколько килобайт проходят, а потом тишина. Пакеты перестают приходить, соединение висит пока клиент не отвалится по таймауту. В ноябре 2025 РКН начал целенаправленно тестировать блокировки VLESS с Reality и Vision в нескольких городах (итоги 2025 от AmneziaVPN). На мобильном интернете и популярных зарубежных хостерах типа Hetzner, DigitalOcean, OVH с этим хуже всего.
Если ловишь такое, не мучайся. Переходи к схеме №2.
Пошаговая настройка: [гайд готовится]
Схема №2: хоп через российский сервер
Берёшь дешёвый VPS внутри России. Трафик идёт: ты → российский VPS → заграничный VPS → интернет.
Почему это работает? Из-за того как устроена фильтрация. ТСПУ это не один фаервол на границе страны. Это коробки которые РКН ставит на оборудовании каждого провайдера: Ростелеком, МТС, Мегафон и так далее. Провайдеры обязаны дать место и питание, но доступа к коробкам не имеют, управление централизованное. По заявлениям РКН, с августа 2023 года ТСПУ покрывает 100% узлов связи (Интерфакс, форум «Спектр»); на 2025 год ЦМУ ССОП подтверждает что покрытие приблизилось к 100% у крупных операторов. Практически весь пользовательский трафик крупных операторов проходит через них.
ТСПУ по-разному реагирует в зависимости от того, куда идёт трафик. К зарубежному IP? Жёсткий анализ, заморозка сессий, блокировка протоколов. К российскому IP? Гораздо мягче. Два сервера внутри страны общаются между собой, ничего подозрительного.
Твой провайдерский ТСПУ видит подключение к российскому VPS и не трогает. А российский VPS уже пересылает трафик за границу. Тут тоже стоит ТСПУ (у провайдера датацентра, на трансграничных узлах), но серверный трафик анализируется не так пристально как пользовательский.
Между нодами используется VLESS + Reality + XHTTP в режиме packet-up. Почему XHTTP а не RAW? Потому что ТСПУ на трансграничных узлах тоже фильтрует, хоть и мягче. По данным ЦМУ ССОП на 2025 год таких узлов 86 — это ключевые точки прохождения международного трафика. XHTTP в packet-up разбивает передачу на короткие HTTP-запросы вместо длинных сессий которые могут замёрзнуть.
На российском VPS настраиваешь маршрутизацию: российские сайты напрямую, остальное через цепочку. Так ты не гоняешь лишний трафик через зарубежный сервер.
Но хоп помогает не всегда. Ты наверняка слышал про белые списки. С мая 2025 года в России начались массовые отключения мобильного интернета под предлогом защиты от БПЛА, в сентябре Минцифры запустило «белые списки»: работают только одобренные сервисы (Госуслуги, ВК, банки, маркетплейсы), всё остальное мертво. По данным проекта «На связи» к декабрю 2025 белые списки работали в 62 регионах, по данным Carnegie — в 57, число продолжает расти. Ограничения применяются только к мобильному интернету, проводной доступ и Wi-Fi не затронуты.
При белых списках хоп бесполезен. IP твоего российского VPS не в белом списке, трафик к нему тоже режется. Раньше была лазейка: арендуешь VPS у крупного облака, ловишь IP из подсети которая совпадает с «белой», и ТСПУ пропускает. 24 января 2026 года это прикрыли: по данным «Кода Дурова» и SecurityLab, РКН потребовал от облачных провайдеров разделить пулы IP-адресов, и VPN-сервисы массово потеряли доступ к таким серверам (Xakep.ru, SecurityLab). Официальных комментариев РКН не было. Обход белых списков это отдельная история с другими методами, и она меняется быстрее всего. Разберём в отдельной статье.
Подробная настройка хопа: [гайд в работе]
Чего тут нет
Hysteria 2 работает на QUIC/UDP, бывает очень быстрой, но результаты скачут: у одного провайдера летает, у соседнего не подключается. На мобильном интернете в России особенно нестабильно. Как запасной инструмент годится, но заменой VLESS не является. Об этом будет отдельный разбор.
Shadowsocks, Trojan, VMess, WireGuard, OpenVPN не умерли, просто VLESS сейчас основной выбор в XRay и Sing-box. Shadowsocks-2022 иногда проходит там где VLESS не проходит. WireGuard и OpenVPN не маскируются, их блокируют первыми. AmneziaWG держится лучше, но РКН уже научился детектировать первую версию, и команде пришлось выпускать AWG 1.5 (итоги 2025 от AmneziaVPN). Готовим обзор альтернатив.
zapret, GoodbyeDPI, blockcheck нужны когда хочешь понять как именно твой провайдер блокирует. Без диагностики ты гадаешь, с ней подбираешь стратегию обхода под конкретную ситуацию. Гайд по диагностике в работе.
Читаешь не из России?
Всё что выше про российскую ситуацию. Но VLESS используют и в других местах. В Китае Great Firewall работает по-другому: активное зондирование серверов, Reality с неудачным dest-доменом могут обнаружить. Зато Cloudflare не зарезан так тотально, XHTTP через CDN может быть рабочим вариантом. В Иране Cloudflare тоже заблокирован, ситуация ближе к российской. В Турции, ОАЭ, Египте фильтрация мягче, прямое подключение обычно работает.
Что дальше
Если хочешь сразу к практике — есть пошаговый гайд по настройке VLESS + TLS со своим доменом. Остальные гайды (Reality, хоп, диагностика) в работе.