Почему WireGuard перестал работать в РФ в 2024-2026

Ещё в 2022 году WireGuard казался идеальным решением: маленький, быстрый, аудированный сообществом, встроенный в ядро Linux. Каждый второй гайд по «как настроить свой VPN» начинался с команды apt install wireguard. К середине 2026 года всё изменилось. Пользователи в России массово жалуются: туннель поднимается, рукопожатие проходит, а через 30 секунд — тишина. Разбираемся, что именно сломалось и почему чинить уже бесполезно.

Короткая хронология: от «золотого стандарта» до «не работает совсем»

История падения WireGuard в России — это не одно резкое событие, а медленная эскалация на протяжении почти трёх лет. В 2022 году провайдеры ещё не различали WireGuard среди прочего UDP-трафика, и канал работал стабильно на десятках мегабит. Первые тревожные сигналы пошли осенью 2023 года: пользователи в Татарстане, Башкортостане и нескольких регионах Поволжья начали замечать, что соединение «оживает» только если сменить порт каждые пять минут. Это был первый публичный тест нового железа ТСПУ, которое разворачивали как раз через узлы региональных операторов.

К весне 2024 года ситуация ухудшилась критически. Роскомнадзор официально признал, что приоритезирует блокировку «VPN-сервисов, мешающих обеспечению безопасности», и WireGuard попал в первую же волну. Технически блокировка реализуется не запретом протокола (формально UDP никто не запрещает), а активным сбросом сессий, которые DPI признаёт «подозрительными». Сначала это происходило только на флагманских направлениях — Москва, Санкт-Петербург, Краснодар. Но к концу 2024 года логика добралась до региональных коммутаторов, и теперь работает практически повсеместно.

В 2025 году ТСПУ научилась распознавать WireGuard даже под маскировкой: смена дефолтного UDP-порта 51820 на нестандартные (например, 4500, 1194 или 12345) больше не помогает. Анализ идёт не по порту, а по содержимому первого же пакета — и здесь начинается самое интересное.

Как именно ТСПУ распознаёт WireGuard: техническая суть

WireGuard был спроектирован Джейсоном Доненфельдом как минималистичный протокол с фиксированной, легко читаемой структурой пакетов. Это его сильная сторона с точки зрения безопасности (меньше кода — меньше дыр) и одновременно его смертельная слабость с точки зрения обхода блокировок. Пакет рукопожатия (handshake initiation) всегда начинается с одного и того же байта — 0x01 — а затем содержит фиксированной длины поля: sender_index (4 байта), unencrypted_ephemeral (32 байта Curve25519-публичного ключа), encrypted_static (48 байт) и encrypted_timestamp (28 байт). В сумме — ровно 148 байт. Это число можно запомнить как мантру: 148 байт UDP-датаграммы, начинающихся с 0x01, и сразу следом ответный пакет в 92 байта, начинающийся с 0x02 — вот вся сигнатура, которая нужна DPI.

Чтобы это распознать, не нужны ни нейросети, ни машинное обучение, ни «искусственный интеллект» — достаточно одного правила в nDPI, Suricata или коммерческом железе. Ниже примерная логика, которая встроена в современную ТСПУ:

Если UDP-пакет длиной ровно 148 байт начинается с байта 0x01, а в течение 50 миллисекунд приходит ответ длиной 92 байта с первым байтом 0x02 — это WireGuard. Помечаем поток как VPN, через 15-30 секунд активности сбрасываем.

Именно из-за этого «отложенного сброса» многие пользователи поначалу думают, что VPN «работает, но медленно». На самом деле первые 15-30 секунд канал действительно открыт — это окно нужно ТСПУ, чтобы убедиться, что поток стабильный, и не блокировать случайные совпадения сигнатуры. Дальше срабатывает active probing: на оба конца отправляется поддельный пакет, и если ни один из них не реагирует «как должен реагировать легитимный VPN-сервер», сессия принудительно закрывается путём подделки ICMP unreachable или просто молчаливого дропа всех последующих пакетов.

Дополнительно учитывается частота и регулярность keep-alive пакетов. WireGuard по умолчанию шлёт persistent keepalive каждые 25 секунд — пакет длиной ровно 32 байта с фиксированной структурой. Эта периодичность — ещё один маркер, который позволяет ТСПУ отличить WireGuard даже если первый handshake прошёл незамеченным (например, в момент перезагрузки оборудования).

Почему обфускация и маскировка не спасают

Сообщество пыталось спасти WireGuard разными способами, но в 2026 году все они либо мертвы, либо доживают последние месяцы. Самый ранний и самый популярный приём — обёртка WireGuard внутри udp2raw или phantun. Идея простая: udp2raw превращает UDP-пакеты в фейковый TCP-поток, который должен выглядеть как обычное TCP-соединение. На практике ТСПУ распознаёт udp2raw по характерному отсутствию TCP-handshake (RST/ACK/FIN-флагов в нужных пропорциях): это TCP, который не ведёт себя как настоящий TCP. Технически udp2raw продолжает работать в части регионов, но без гарантий и с просадкой скорости в 3-5 раз.

Второй популярный обход — AmneziaWG, форк WireGuard от российской команды Amnezia. В нём добавлены случайные junk-пакеты перед handshake, изменена длина первого пакета и убрана характерная сигнатура. Это сработало в 2024 году и часть 2025-го — но к середине 2025-го ТСПУ научилась игнорировать junk и смотреть на статистические признаки: распределение длин пакетов, межпакетные интервалы, асимметрию upstream/downstream. AmneziaWG до сих пор хорошо работает в Иране и частично в Беларуси, но в России в 2026 году рапорты противоречивые: где-то держится сутки, где-то сбрасывается через пару минут.

Третий вариант — поднятие WireGuard внутри Tor, через obfs4-bridge. Технически это работает, но скорость такая, что для повседневного интернета непригодно. YouTube в 360p запускается с трудом, голосовые мессенджеры — забудьте.

И, наконец, многие пытаются «спрятать» WireGuard за HTTPS через stunnel или sslh. Это решение умерло ещё раньше: ТСПУ распознаёт «TLS-внутри-которого-не-HTTPS» по характерному отсутствию SNI-сертификата нужного домена и по статистике трафика. Иными словами, у TLS-внутри-stunnel «handshake правильный, но дальше всё не так».

Что приходит на замену и почему это надолго

Реальный наследник WireGuard на территории России — это VLESS Reality, разработка проекта XTLS. Её принципиальное отличие в том, что она не пытается «маскироваться под HTTPS» — она физически устанавливает настоящее HTTPS-соединение с реальным сторонним сайтом (например, amazon.com или microsoft.com), и DPI видит ровно тот же TLS-handshake, который видел бы при обычном заходе на этот сайт. Магия начинается дальше: после успешного TLS-рукопожатия клиент посылает специальный байтовый паттерн в зашифрованном потоке, и сервер «переключается» из режима прокси к amazon.com в режим вашего VPN. С точки зрения ТСПУ ничего не происходит — поток выглядит как длинная HTTPS-сессия с легитимным доменом.

Почему ТСПУ не блокирует Reality? Потому что блокировать Reality — это блокировать весь HTTPS на конкретный домен. А блокировать microsoft.com, github.com или яндекс.карты в качестве легитимных «прикрытий» — это уже масштаб политических решений, а не технических. По состоянию на май 2026 года ни один публичный анализ не зафиксировал рабочую методику детекции Reality на уровне DPI без false-positive на легитимный HTTPS-трафик. Это даёт Reality фору минимум на год вперёд.

На втором месте — Shadowsocks 2022 (новая версия с AEAD-шифрованием и обфускацией под случайный поток). Он не маскируется под конкретный домен, но и сигнатур у него почти нет — DPI приходится играть в догадки. На длинных сессиях ТСПУ его иногда «убивает», но если переподключиться — снова работает.

И на третьем — Tor с мостами snowflake. Не для скорости, а для случаев, когда вообще ничего другого нет.

Если вы держите свой WireGuard-сервер на условном VPS в Финляндии и упорно пытаетесь починить «почему перестало работать», то короткий ответ — никак. WireGuard как протокол не изменится, ТСПУ как система не отступит. Самое разумное действие — либо переключиться на VLESS Reality (можно поднять xray-core на том же сервере, конфиг занимает 30 минут), либо воспользоваться готовым сервисом, где это уже сделано за вас.

PlaceVPN использует VLESS Reality поверх легитимных HTTPS-доменов. Серверы в Финляндии, Латвии и Молдове, скорость до 200 Мбит/с, стабильность ежедневно проверяется из российских сетей. 7 дней бесплатно — без карты, без обязательств. Если у вас «отвалился WireGuard» — это закроет вопрос за две минуты.