VPN — от полного нуля до обхода современных блокировок
Курс построен под цель: понимать VPN на инженерном уровне — не «какая кнопка»,
а как именно бит идёт по проводу, что видит DPI, как Reality обманывает TLS-инспекцию,
почему Hysteria 2 быстрее на плохих каналах. От истории PPTP до post-quantum и MASQUE.
Главный фокус — современные методы обхода блокировок 2024–2026.
📚 14 модулей
⏱️ ~30–35 ч плотного материала
🎯 Уровень: с нуля → продвинутый
🛠️ Практика: Xray, sing-box, 3x-ui, Wireshark
Принцип курса
Каждый протокол разобран побайтово: что лежит в первом пакете handshake, как
DPI на это смотрит и почему. В каждом уроке — премиум SVG-диаграммы (handshake, формат пакета,
путь обхода) и плашки UNDER CAP
«Под капотом» / ATTACK
«Как DPI ломает» / DEFENSE
«Контрмера».
📐 Карта пути по подкатегориям
Зачем подкатегории
Курс масштабируем: любой модуль может вырасти в отдельный путь. Например,
«Современный стек» можно дробить дальше (Reality глубоко, XHTTP+ECH, MASQUE-deep) —
добавление урока стоит 1 файл + 1 строка в _manifest.js.
🔐 Основы — без них не пойдёт ничего
01
Что такое VPN — с полного нуля
Что такое туннель и инкапсуляция, почему «виртуальная» сеть, история от PPTP (1996) до
Reality (2023). 3 типа VPN: remote-access, site-to-site, mesh/overlay. Где какой используется.
›
02
Криптография и анатомия туннеля
Симметрика vs асимметрика, AEAD (ChaCha20-Poly1305, AES-GCM), Curve25519, Noise Framework,
TLS 1.3 handshake побайтово, PFS, key rotation, MTU/MSS внутри туннеля. База для всего ниже.
›
🏛️ Протоколы — классика и современный фундамент
03
Классические: OpenVPN, IPsec, L2TP, PPTP, SSTP
Каждый — побайтовый разбор и состояния. IPsec в режимах tunnel/transport, IKEv1 vs IKEv2,
почему PPTP запрещён, как блокируется OpenVPN, где IPsec до сих пор живёт (site-to-site).
›
04
WireGuard — почему это новый стандарт
4000 строк против 600 000 у OpenVPN. Noise_IK, Curve25519 + ChaCha20-Poly1305 + BLAKE2s,
cookie-anti-DoS, формат пакета побайтово, kernel vs wireguard-go. И главный недостаток в 2026.
›
🛰️ DPI и блокировки — модель противника
05
DPI и как блокируют VPN
Active probing, passive fingerprinting, TLS-in-TLS detection, SNI inspection, ALPN, JA3/JA4,
ML-классификация. Стек ТСПУ (РФ), GFW (Китай), Иран — что они умеют, что им сложно.
›
🥷 Современный стек — что реально работает в 2026
06
Xray-core: VMess, VLESS, Trojan, XTLS-Vision
Эволюция V2Ray → Xray. Транспорты TCP/WS/gRPC/HTTPUpgrade/XHTTP, разница протоколов,
почему VLESS+Vision лучше VMess. Mux.cool. Где Trojan ещё имеет смысл.
›
07
Reality — как обмануть DPI без сертификата
Главный протокол 2024-2026. SNI-стилинг с настоящего сайта, X25519 auth, server-side handshake
forwarding. Почему не нужен домен и Let's Encrypt. Полная конфигурация Xray-core.
›
08
Hysteria 2, TUIC, QUIC-based туннели
UDP-туннели на QUIC/HTTP3. BBR/Brutal congestion control, port hopping, salamander
obfuscation. MASQUE (CONNECT-UDP) — следующий шаг. Когда UDP побеждает TCP.
›
09
Shadowsocks-AEAD-2022, ShadowTLS, AmneziaWG
Эволюция Shadowsocks: stream → AEAD → AEAD-2022. ShadowTLS как обёртка под настоящий TLS.
AmneziaWG: junk-пакеты и fake-headers — российский ответ блокировкам WireGuard.
›
🎛️ Развёртывание — реальный сервер, реальные пользователи
10
Панели: 3x-ui, Marzban, Marzneshin, Hiddify
Сравнение, установка 3x-ui от A до Z, multi-user, traffic-limit, expire, sub-link,
telegram-bot, Marzban как масштабное решение с нодами. Что выбирать под объём.
›
11
Серверная инфра и анти-детект
Выбор VPS: страна, ASN, чистота IP. BBR/Brutal на ядре, sysctl-тюнинг, защита от active probing,
fail2ban, ротация IP, multi-port, CDN-фронтинг через Cloudflare. Чтобы не банили.
›
12
Клиенты: sing-box, NekoBox, Hiddify, v2rayN, Karing
Кросс-платформа. Sub-link форматы (v2ray, clash, sing-box), routing rules, geosite/geoip,
TUN-mode, DNS-routing. Как раздать конфиг 10 пользователям через QR.
›
🔮 Будущее — куда движется индустрия
13
Рейтинг протоколов 2026 — кого выбирать
Тиры (S/A/B/C/F) по сценариям: домой, корпорат, обход РФ/Иран/Китай, мобильник, плохой канал.
Честная матрица «плюсы/минусы/скорость/детектируемость/сложность настройки».
›
14
Будущее: post-quantum, ECH, MASQUE, AI-DPI
Kyber/ML-KEM в WireGuard и TLS, Encrypted Client Hello, MASQUE как «лучший VPN будущего»,
AI-DPI и адверсариальная маскировка. Что начнут блокировать в 2027 и как этому противостоять.
›
🛠 Принципы курса
🔬 Побайтово
Каждый handshake разобран до байта. ClientHello, ServerHello, WireGuard initiation — с hex-дампом и пояснением каждого поля.
🎨 SVG, не «копипаст из википедии»
Каждая ключевая концепция — премиум-SVG: состояния, поток данных, путь обхода. Никаких размытых картинок из гугла.
⚔️ Атака ↔ Защита
В каждом уроке: как именно DPI это видит и как именно протокол это маскирует. Не «магия», а механика.
🆓 Только open-source
Xray-core, sing-box, AmneziaVPN, WireGuard. Никаких «купите наш VPN» — только то, что инженер разворачивает сам.
📚 Источники
RFC, исходники Xray/sing-box, GFW Report, GreatFire, NetBlocks, OONI, AmneziaVPN whitepapers. Никакой воды.
🧩 Масштабируемость
Новый урок = 1 файл + 1 строка в манифесте. Подкатегория может стать отдельным путём с собственным манифестом.
⚠️ Образовательная цель
Материал — для понимания технологий. Применяй его в законных рамках: для приватности коммуникаций,
корпоративных задач (site-to-site), доступа к собственной инфраструктуре, инженерного обучения.
Знание как работают блокировки — фундамент любого сетевого инженера и инженера по безопасности.
Куда дальше
Если ты совсем с нуля и не знаешь TCP/IP — сначала пройди
«Сети с нуля». После него этот курс пойдёт легко.
Готов? Открой урок 01 — «Что такое VPN». 30 минут, и ты понимаешь, что такое туннель и почему DPI вообще существует.