VPN — от полного нуля до обхода современных блокировок

Курс построен под цель: понимать VPN на инженерном уровне — не «какая кнопка», а как именно бит идёт по проводу, что видит DPI, как Reality обманывает TLS-инспекцию, почему Hysteria 2 быстрее на плохих каналах. От истории PPTP до post-quantum и MASQUE. Главный фокус — современные методы обхода блокировок 2024–2026.

📚 14 модулей ⏱️ ~30–35 ч плотного материала 🎯 Уровень: с нуля → продвинутый 🛠️ Практика: Xray, sing-box, 3x-ui, Wireshark
Принцип курса

Каждый протокол разобран побайтово: что лежит в первом пакете handshake, как DPI на это смотрит и почему. В каждом уроке — премиум SVG-диаграммы (handshake, формат пакета, путь обхода) и плашки UNDER CAP «Под капотом» / ATTACK «Как DPI ломает» / DEFENSE «Контрмера».

📐 Карта пути по подкатегориям

Зачем подкатегории

Курс масштабируем: любой модуль может вырасти в отдельный путь. Например, «Современный стек» можно дробить дальше (Reality глубоко, XHTTP+ECH, MASQUE-deep) — добавление урока стоит 1 файл + 1 строка в _manifest.js.

🔐 Основы — без них не пойдёт ничего
01
Что такое VPN — с полного нуля
Что такое туннель и инкапсуляция, почему «виртуальная» сеть, история от PPTP (1996) до Reality (2023). 3 типа VPN: remote-access, site-to-site, mesh/overlay. Где какой используется.
02
Криптография и анатомия туннеля
Симметрика vs асимметрика, AEAD (ChaCha20-Poly1305, AES-GCM), Curve25519, Noise Framework, TLS 1.3 handshake побайтово, PFS, key rotation, MTU/MSS внутри туннеля. База для всего ниже.
🏛️ Протоколы — классика и современный фундамент
03
Классические: OpenVPN, IPsec, L2TP, PPTP, SSTP
Каждый — побайтовый разбор и состояния. IPsec в режимах tunnel/transport, IKEv1 vs IKEv2, почему PPTP запрещён, как блокируется OpenVPN, где IPsec до сих пор живёт (site-to-site).
04
WireGuard — почему это новый стандарт
4000 строк против 600 000 у OpenVPN. Noise_IK, Curve25519 + ChaCha20-Poly1305 + BLAKE2s, cookie-anti-DoS, формат пакета побайтово, kernel vs wireguard-go. И главный недостаток в 2026.
🛰️ DPI и блокировки — модель противника
05
DPI и как блокируют VPN
Active probing, passive fingerprinting, TLS-in-TLS detection, SNI inspection, ALPN, JA3/JA4, ML-классификация. Стек ТСПУ (РФ), GFW (Китай), Иран — что они умеют, что им сложно.
🥷 Современный стек — что реально работает в 2026
06
Xray-core: VMess, VLESS, Trojan, XTLS-Vision
Эволюция V2Ray → Xray. Транспорты TCP/WS/gRPC/HTTPUpgrade/XHTTP, разница протоколов, почему VLESS+Vision лучше VMess. Mux.cool. Где Trojan ещё имеет смысл.
07
Reality — как обмануть DPI без сертификата
Главный протокол 2024-2026. SNI-стилинг с настоящего сайта, X25519 auth, server-side handshake forwarding. Почему не нужен домен и Let's Encrypt. Полная конфигурация Xray-core.
08
Hysteria 2, TUIC, QUIC-based туннели
UDP-туннели на QUIC/HTTP3. BBR/Brutal congestion control, port hopping, salamander obfuscation. MASQUE (CONNECT-UDP) — следующий шаг. Когда UDP побеждает TCP.
09
Shadowsocks-AEAD-2022, ShadowTLS, AmneziaWG
Эволюция Shadowsocks: stream → AEAD → AEAD-2022. ShadowTLS как обёртка под настоящий TLS. AmneziaWG: junk-пакеты и fake-headers — российский ответ блокировкам WireGuard.
🎛️ Развёртывание — реальный сервер, реальные пользователи
10
Панели: 3x-ui, Marzban, Marzneshin, Hiddify
Сравнение, установка 3x-ui от A до Z, multi-user, traffic-limit, expire, sub-link, telegram-bot, Marzban как масштабное решение с нодами. Что выбирать под объём.
11
Серверная инфра и анти-детект
Выбор VPS: страна, ASN, чистота IP. BBR/Brutal на ядре, sysctl-тюнинг, защита от active probing, fail2ban, ротация IP, multi-port, CDN-фронтинг через Cloudflare. Чтобы не банили.
12
Клиенты: sing-box, NekoBox, Hiddify, v2rayN, Karing
Кросс-платформа. Sub-link форматы (v2ray, clash, sing-box), routing rules, geosite/geoip, TUN-mode, DNS-routing. Как раздать конфиг 10 пользователям через QR.
🔮 Будущее — куда движется индустрия
13
Рейтинг протоколов 2026 — кого выбирать
Тиры (S/A/B/C/F) по сценариям: домой, корпорат, обход РФ/Иран/Китай, мобильник, плохой канал. Честная матрица «плюсы/минусы/скорость/детектируемость/сложность настройки».
14
Будущее: post-quantum, ECH, MASQUE, AI-DPI
Kyber/ML-KEM в WireGuard и TLS, Encrypted Client Hello, MASQUE как «лучший VPN будущего», AI-DPI и адверсариальная маскировка. Что начнут блокировать в 2027 и как этому противостоять.

🛠 Принципы курса

🔬 Побайтово

Каждый handshake разобран до байта. ClientHello, ServerHello, WireGuard initiation — с hex-дампом и пояснением каждого поля.

🎨 SVG, не «копипаст из википедии»

Каждая ключевая концепция — премиум-SVG: состояния, поток данных, путь обхода. Никаких размытых картинок из гугла.

⚔️ Атака ↔ Защита

В каждом уроке: как именно DPI это видит и как именно протокол это маскирует. Не «магия», а механика.

🆓 Только open-source

Xray-core, sing-box, AmneziaVPN, WireGuard. Никаких «купите наш VPN» — только то, что инженер разворачивает сам.

📚 Источники

RFC, исходники Xray/sing-box, GFW Report, GreatFire, NetBlocks, OONI, AmneziaVPN whitepapers. Никакой воды.

🧩 Масштабируемость

Новый урок = 1 файл + 1 строка в манифесте. Подкатегория может стать отдельным путём с собственным манифестом.

⚠️ Образовательная цель

Материал — для понимания технологий. Применяй его в законных рамках: для приватности коммуникаций, корпоративных задач (site-to-site), доступа к собственной инфраструктуре, инженерного обучения. Знание как работают блокировки — фундамент любого сетевого инженера и инженера по безопасности.

Куда дальше

Если ты совсем с нуля и не знаешь TCP/IP — сначала пройди «Сети с нуля». После него этот курс пойдёт легко.

Готов? Открой урок 01 — «Что такое VPN». 30 минут, и ты понимаешь, что такое туннель и почему DPI вообще существует.