VLESS, VMess, Shadowsocks: какой протокол выбрать в 2026
Коротко. Для России в 2026 — VLESS + Reality как основной, Hysteria 2 как fallback. VMess устарел и обнаруживается DPI, классический Shadowsocks работает только на сценах где Reality нельзя. Ниже — конкретное сравнение.
Зачем вообще выбирать протокол
В 2026 году провайдеры в России (и не только) применяют DPI (Deep Packet Inspection) — анализируют не только адреса, но и характерные сигнатуры протоколов. Если ваш VPN использует «узнаваемый» протокол — он будет резаться или блокироваться полностью. Современные обходящие протоколы строятся вокруг идеи «маскировка под обычный HTTPS».
Все три протокола ниже работают через одно и то же ядро Xray (форк V2Ray), но используют разные подходы к маскировке.
Shadowsocks (SS)
Что это. Самый старый «обходящий» протокол, появился ещё в 2012 году в Китае. По сути — слегка обфусцированный AEAD-туннель.
| Плюсы | Минусы |
|---|---|
| Простой, поддерживается везде | DPI давно научился определять |
| Стабильный | В России работает плохо |
| Минимальные накладные расходы | Без TLS-маскировки трафик «голый» |
Когда использовать. Если в вашей сети нет агрессивного DPI (Европа, США, Латинская Америка) и нужна максимальная скорость. Для России — не подходит, кроме сценариев с дополнительным slum-плагином (v2ray-plugin + TLS).
VMess
Что это. Изначальный протокол V2Ray (2016). Имел встроенное шифрование и аутентификацию.
| Плюсы | Минусы |
|---|---|
| Зрелый, кучи клиентов | DPI распознаёт по уникальной сигнатуре |
| Поддержка TLS+WebSocket | Алгоритм AEAD слегка устарел |
| Хорошо документирован | Авторы V2Ray сами рекомендуют переходить на VLESS |
Когда использовать. Если ваше клиентское приложение не поддерживает VLESS. В 2026 это редкость — современные клиенты (V2RayTun, Happ, v2rayN, Sing-box) умеют VLESS «из коробки».
VLESS + Reality (рекомендую)
Что это. Преемник VMess. VLESS — облегчённый транспорт без встроенного шифрования (его задача — туннелировать данные, шифрование делает TLS уровнем выше). Reality — расширение для VLESS, которое полностью маскирует трафик под настоящий HTTPS-сайт. DPI видит «обычное обращение к cloudflare.com» — потому что трафик действительно использует настоящий TLS-сертификат Cloudflare.
| Плюсы | Минусы |
|---|---|
| DPI не отличает от настоящего HTTPS | Сложнее в настройке (но клиенту неважно) |
| Не нужен собственный TLS-сертификат | Только TCP (не UDP) |
| Быстрый, минимальные накладные | Требует современный клиент |
| Активно развивается, поддерживается всеми лидерами |
Когда использовать. Везде где есть жёсткий DPI: Россия, Китай, Иран, Туркменистан, Беларусь. По факту — дефолтный выбор в 2026 году.
WersidePN использует VLESS+Reality как основной протокол.
Hysteria 2
Что это. Протокол на базе QUIC (тот же, на котором работают все Google-сервисы). UDP-only. Маскируется под HTTP/3-сайт (например, под обычный nginx с фейковой страницей).
| Плюсы | Минусы |
|---|---|
| Очень быстрый, особенно при потерях пакетов | UDP может блокироваться на корпоративном Wi-Fi |
| Лучше работает на мобильном интернете | Не все клиенты поддерживают |
| Маскируется под HTTP/3 | Чуть сложнее в обходе агрессивного DPI чем Reality |
Когда использовать. Как fallback к VLESS+Reality. Если основной протокол не работает (например, на корпоративной сети Wi-Fi режут только TCP), Hysteria 2 часто проходит. WersidePN раздаёт оба одновременно — клиент сам выбирает рабочий.
Сравнительная таблица
| Параметр | Shadowsocks | VMess | VLESS+Reality | Hysteria 2 |
|---|---|---|---|---|
| Транспорт | TCP/UDP | TCP/WS | TCP | UDP (QUIC) |
| Сопротивление DPI в РФ | ❌ | ⚠️ | ✅ | ✅ |
| Скорость | ⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| Сложность настройки клиента | Простой | Простой | Простой | Простой |
| Сложность настройки сервера | Простой | Средний | Сложный | Средний |
| Маскировка | ❌ нет | ⚠️ слабая | ✅ под TLS Cloudflare | ✅ под HTTP/3 |
| Совместимость со старыми клиентами | ✅ | ✅ | ⚠️ | ❌ |
Что выбрать конкретно для России в 2026
Для пользователя — никакого выбора делать не надо. Берёте сервис с современными протоколами (например WersidePN), вставляете ссылку-подписку в V2RayTun/Happ — приложение само выбирает что работает.
Для технически продвинутого пользователя который поднимает свой VPN:
- Поставьте Xray (форк V2Ray) на VPS в Европе.
- Настройте VLESS+Reality с маскировкой под популярный сайт (cloudflare.com, www.microsoft.com). Используйте
serverNamesсо списком из 2-3 доменов и ротируйтеshortIdsраз в 2 недели. - Поднимите Hysteria 2 как fallback на другом порту (UDP). Используйте TLS-сертификат от Let's Encrypt и маскировку masquerade.
- Не открывайте OpenVPN/WireGuard порты — даже если они не используются, наличие открытого 1194/51820 даёт повод для блокировки IP.
Готовый сервис вместо своего: WersidePN от 199 ₽/мес, 3 дня бесплатно.
FAQ
А что с WireGuard?
Хороший протокол на скорости, но не маскирующий. В России блокируется по характеру UDP-handshake. Можно использовать только через дополнительный обфускатор (например wstunnel), но это уже комбинированный setup, проще взять VLESS.
Trojan, что это?
Trojan — близкий аналог VLESS, тоже маскируется под обычный HTTPS. Использует собственный TLS-сертификат (в отличие от Reality который «крадёт» чужой). Работает, но Reality безопаснее с точки зрения сопротивления DPI.
WS-вариант (WebSocket) — зачем?
WS — это альтернативный транспорт, позволяющий пропускать VLESS/VMess через CDN (например Cloudflare). Если РКН перейдёт на «белый список» сайтов (что обсуждалось в 2024), VLESS+WS через Cloudflare останется работать. WersidePN держит такой fallback в готовом виде, но пока не активирован — текущий VLESS+Reality справляется.