Глоссарий VPN-терминов

Virtual Private Network — технология, создающая зашифрованный туннель между вашим устройством и удалённым сервером-посредником. Весь трафик уходит к этому серверу и оттуда уже в открытый интернет, поэтому провайдер видит лишь подключение к VPN-узлу, а сайты — IP-адрес и страну сервера. Именно поэтому VPN одновременно решает две задачи: приватность и обход блокировок по IP/DNS.

Транспортный слой Xray-core, маскирующий VPN-трафик под легитимный HTTPS реального чужого сайта (например, www.microsoft.com) без использования собственного TLS-сертификата. Для DPI всё выглядит как обычное посещение этого сайта, поэтому ТСПУ не может заблокировать соединение, не сломав крупный сервис. В 2026 это главный рабочий способ запустить VPN в РФ.

Протокол передачи данных в семействе Xray/V2Ray без встроенного шифрования: безопасность отдана внешнему слою (Reality или TLS). Такое решение делает протокол лёгким, уменьшает накладные расходы и ускоряет соединение по сравнению с предшественником VMess. Подавляющее большинство современных «обходных» VPN строится именно на связке VLESS + Reality.

Современный быстрый VPN-протокол объёмом всего около 4 000 строк кода — для сравнения, у OpenVPN их сотни тысяч. Использует строго фиксированный набор криптопримитивов (ChaCha20-Poly1305, X25519, BLAKE2s). Минус один и серьёзный: WireGuard прозрачен для DPI и легко детектируется, поэтому в чистом виде в России почти не работает.

Классический open-source VPN-протокол, существующий с 2001 года. Поддерживает множество шифров и режимов работы (UDP/TCP), хорошо документирован и обкатан. Но он медленный, требовательный к ресурсам и легко определяется системами DPI по уникальной структуре пакетов — в РФ корректно работает только через дополнительную обфускацию.

Deep Packet Inspection — глубокий анализ содержимого сетевых пакетов на стороне провайдера или государства. В отличие от обычной фильтрации по IP, DPI смотрит «внутрь» соединения: размеры пакетов, тайминги, заголовки, поля рукопожатия. Так можно понять, что именно проходит через канал (VPN, торрент, мессенджер), даже если содержимое зашифровано.

Технические средства противодействия угрозам — российская инфраструктура DPI, обязательная для всех операторов связи с 2021 года. Управляется Роскомнадзором централизованно. Именно ТСПУ блокирует WireGuard, OpenVPN, IPsec и большинство протоколов VPN — это против них приходится придумывать обходные транспорты вроде Reality.

Server Name Indication — поле в начале TLS-рукопожатия, в котором клиент открыто указывает имя сайта, к которому подключается. ТСПУ читает SNI и блокирует трафик к нежелательным доменам, даже если содержимое полностью зашифровано. Существует расширение ECH (Encrypted Client Hello), которое прячет SNI, но в РФ оно тоже подавляется.

Transport Layer Security — стандарт шифрования соединений в интернете, всё, что идёт после https://. Текущая версия — TLS 1.3 (2018), использующая X25519 для обмена ключами и AES-GCM или ChaCha20-Poly1305 для шифрования. VPN на Reality поверх TLS 1.3 со стороны DPI неотличим от обычного посещения сайта.

Метод фингерпринтинга TLS-клиента по уникальному набору параметров рукопожатия: версия, шифры, расширения, кривые. ТСПУ и Cloudflare используют JA3, чтобы по «отпечатку» отличить браузер от VPN-клиента или бота. Reality в Xray-core копирует JA3-фингерпринт Chrome, поэтому VPN-соединение выглядит как обычная вкладка браузера.

Функция VPN-клиента, которая мгновенно блокирует весь интернет, если VPN-туннель внезапно оборвался. Без kill switch при разрыве соединения трафик секунду-другую идёт напрямую — этого достаточно, чтобы реальный IP утёк в торрент-сети или попал в логи сайта. В V2RayTun, Hiddify и большинстве клиентов Xray kill switch включается одной галочкой.

Раздельный туннель — выборочная маршрутизация трафика: одни приложения или сайты идут через VPN, другие напрямую. Полезно, например, чтобы банк-приложение видело российский IP (иначе блокирует), а YouTube открывался через зарубежный сервер. Настраивается списком пакетов (Android) или доменов (десктоп).

Маршрутизация трафика последовательно через два и более VPN-сервера, расположенных в разных юрисдикциях. Усложняет атрибуцию: даже если один из узлов скомпрометирован, по нему нельзя восстановить полную цепочку. Платой за повышенную приватность становится заметное падение скорости и роста пинга.

Частный случай multi-hop из ровно двух узлов — самый распространённый коммерческий формат у провайдеров приватности. Шифрование наслаивается дважды, скорость падает примерно вдвое, а пинг — на сумму обоих плеч. Для повседневного интернета избыточно; разумная цель — обход юридических запросов в одной стране.

Peer-to-Peer — модель сети, где узлы общаются напрямую, без центрального сервера: торренты, IPFS, Syncthing, голосовые звонки в мессенджерах. Многие коммерческие VPN запрещают P2P из-за DMCA-жалоб правообладателей. PlaceVPN P2P-трафик не блокирует — торренты на зарубежных серверах работают без ограничений.

Одноранговый участник сети — устройство, равноправно общающееся с другими узлами. Термин активно используется в P2P-сетях, WireGuard и mesh-VPN (Tailscale, Nebula). В конфиге WireGuard и сервер, и каждый клиент описаны секцией [Peer] с его публичным ключом и допустимыми IP-адресами.

Выходной узел — последний сервер в цепочке VPN или Tor, с IP-адреса которого ваш трафик попадает в открытый интернет. Именно этот IP видят сайты, к которым вы обращаетесь. Когда говорят «VPN-сервер в Финляндии» — имеется в виду именно exit node финской юрисдикции.

«Луковая» маршрутизация — анонимная сеть Tor с тремя слоями шифрования и случайной цепочкой из трёх узлов (entry → middle → exit). Каждый узел знает лишь предыдущего и следующего, поэтому восстановить полный путь крайне сложно. Tor анонимнее обычного VPN, но в 10–50 раз медленнее и блокируется в РФ ТСПУ.

Транспорт-обфускатор сети Tor: оборачивает трафик в поток псевдослучайных байтов без узнаваемых сигнатур протокола. До появления Reality это был основной способ обойти DPI в Китае и РФ. Сейчас постепенно вытесняется более скрытными решениями, но всё ещё используется в Tor Bridges.

Лёгкий шифрованный SOCKS5-прокси, разработанный в Китае для обхода Великого Файрвола (Great Firewall). Современная версия Shadowsocks-2022 убрала прежние уязвимости к active probing. В РФ ещё работает, но по скрытности всё же проигрывает Reality — DPI может определить SS по статистическим признакам.

Форк V2Ray с улучшениями производительности и собственным набором протоколов: VLESS, XTLS, Reality, Vision. Сервер PlaceVPN построен именно на Xray — это де-факто стандарт антицензурных VPN в 2026 году. Из клиентов с Xray-ядром умеют работать V2RayTun, Hiddify, NekoBox, Streisand.

Платформа для построения сетевых прокси, появившаяся в 2017 году как ответ на блокировки Shadowsocks. Создала экосистему антицензурных решений и протокол VMess. Сейчас активная разработка перешла в форк Xray-core, но многие клиентские приложения по инерции называются «V2Ray-something».

Advanced Encryption Standard — симметричный блочный шифр (AES-128 / 192 / 256), стандарт США с 2001 года. Аппаратно ускоряется почти на всех современных CPU (инструкции AES-NI у Intel/AMD, ARMv8 Cryptography Extensions). Используется в OpenVPN, IPsec, TLS, дисковом шифровании — практически всюду.

Быстрый потоковый шифр, разработанный Дэниелем Бернстайном (создателем NaCl). В отличие от AES не требует аппаратного ускорения, поэтому работает заметно быстрее на мобильных ARM-процессорах без AES-NI. Применяется в WireGuard (ChaCha20-Poly1305) и TLS 1.3 как альтернатива AES-GCM.

Алгоритм обмена ключами на эллиптической кривой Curve25519 (Дэниель Бернстайн, 2005). Стандарт для всех современных протоколов: WireGuard, TLS 1.3, Signal, Reality. Короткие 32-байтные ключи, высокая скорость и устойчивость к ряду атак на «слабые» кривые делают X25519 фактически безальтернативным в 2026.