Важно понимать, что DPI сам по себе ничего не делает. Всё зависит от его настроек, целей администраторов и других людей, участвующих в управлении им, особых условий/политической ситуации, и т.п.
Как сказал @bolvan, есть два принципиальных подхода к маскировке трафика: маскировка под самый распространённый зашифрованный протокол и маскировка под совершенно случайные данные, которые нельзя идентифицировать/классифицировать.
Если говорить про Россию, то ТСПУ — наиболее продвинутый DPI — способен определять характерные TLS-признаки конкретных программ или сетевых библиотек (см. Фильтр TLS на домены youtube), и маскировку TLS потенциально можно обнаружить у программ, которые не разрабатывались с расчётом на обход блокировок.
Из наиболее продвинутых, поддерживаемых, удобных в использовании и доступных под все платформы программ можно отметить Outline — прокси-сервер и клиент shadowsocks с дополнительными функциями (эмуляция сетевого интерфейса) и удобным конфигуратором от разработчиков из Google, и V2Ray/V2Fly — мультипротокольный прокси-комбайн, поддерживающий маскировку под TLS/Websocket/HTTP2/QUIC, среди прочих функций.
Если вам нужен именно VPN, то можно использовать OpenVPN с tls-crypt-v2, либо же «прокинуть» его через V2ray.
Также можно присмотреться к SoftEther — он поддерживает множество протоколов, в том числе передачу данных через ICMP и маскировку под DNS-запросы.