Слой 0
Из чего вообще состоит VPN
VPN-соединение — это не один монолитный механизм, а стек из нескольких слоёв. Каждый слой можно заменить независимо, и разные протоколы выбирают разные комбинации.
Слои VPN-стека
Разные протоколы выбирают разные комбинации:
| Протокол | Транспорт | Крипта | CC | Маскировка |
|---|---|---|---|---|
| WireGuard | UDP | Noise + ChaCha20 | простой | нет |
| OpenVPN | TCP / UDP | TLS 1.2 | TCP Cubic | нет |
| Hysteria 2 | UDP | TLS 1.3 / QUIC | Brutal | QUIC |
| VLESS Reality | TCP | TLS 1.3 fake-SNI | BBR | Reality |
Слой 1
QUIC — что это такое
QUIC — транспортный протокол, который Google разработал в 2012-м и стандартизировали в IETF в 2021-м (RFC 9000). Главная идея — объединить в один протокол то, что делают TCP + TLS + HTTP/2 вместе. Работает поверх UDP, но даёт гарантии доставки, шифрование и мультиплекс потоков.
Что это даёт VPN
- В три раза быстрее handshake — 1 RTT против 3 RTT у TCP+TLS.
- 0-RTT resumption — при повторном подключении первый байт уходит сразу.
- Нет head-of-line blocking — youtube и whatsapp не тормозят друг друга.
- Обновление congestion control из userspace — без пересборки ядра ОС.
Слой 2
TLS 1.3 vs TLS 1.2
TLS 1.3 стандартизирован в 2018-м и сейчас используется в ~80% HTTPS-соединений. Ключевое отличие от 1.2 — drastically упрощённый handshake.
| TLS 1.2 | TLS 1.3 | |
|---|---|---|
| Handshake | 2-RTT | 1-RTT (0-RTT при resume) |
| Шифры | RSA, CBC ok | AEAD only |
| Forward secrecy | опционально | всегда |
| DPI-сигнал | читаемый SNI | ESNI / ECH |
| Скорость | ok | быстро |
Слой 3
Congestion control — алгоритмы скорости
Сердце производительности. Congestion control решает, сколько данных отправлять в сеть в единицу времени: слишком много — потери и откат, слишком мало — канал недогружен.
| TCP Cubic | TCP BBR | Brutal | |
|---|---|---|---|
| Год | 2006 | 2016 | 2022 |
| Сигнал перегрузки | loss | bandwidth × RTT | игнорирует loss |
| Lossy networks | |||
| Вежливость к соседям | |||
| Используется в | Linux default | YouTube · GCP | Hysteria 2 |
Слой 4
Почему WireGuard — не предел
WireGuard — отличный протокол по меркам 2018-го (год релиза). Минимум overhead, простой формат, современная криптография. Но у него есть архитектурные ограничения, которые в 2026-м ощущаются.
- Фиксированный формат — переделать congestion control нельзя без изменения ядра.
- UDP-only — нет fallback на TCP, если провайдер режет UDP.
- Нет маскировки — WireGuard-трафик легко фингерпринтится.
- Статический handshake — нет 0-RTT resumption.
Hysteria 2 решает все эти ограничения: userspace-реализация с гибким congestion control, маскировка под QUIC, 0-RTT, возможность fallback. Lunaire не использует WireGuard как основной протокол по этим причинам.
Слой 5
Маскировка — obfs, Reality, xHTTP
Маскировка — отдельный слой, который пытается сделать VPN-трафик похожим на что-то обычное. Три подхода:
| obfs | Reality | xHTTP | |
|---|---|---|---|
| Год | 2012 | 2023 | 2024 |
| Стратегия | random bytes | fake real-site TLS | поверх HTTP/2 |
| Сопротивление DPI | |||
| Работает через CDN | Нет | Нет | Да |
| Где | Hysteria 1 (legacy) | Xray / VLESS | Xray, Cloudflare-friendly |
Итог
Что использовать в 2026
Если коротко: Hysteria 2 как основной протокол + VLESS Reality для ситуаций с заблокированным UDP. Эту связку Lunaire даёт из коробки — в одном клиенте, без ручной настройки.