Самый простой вариант — арендовать сервер в РФ без ТСПУ (и убедиться, что AS тоже в РФ), настроить на нём перенаправление портов на сервер за рубежом.
Такой вариант вряд ли продолжит работать в следующем году, так как обещают установить ТСПУ на хостинг-площадках (1, 2).
Вариант чуть сложнее и чуть надёжнее, но всё ещё простой: так как на этот раз блокировали только VPN-подключения из РФ за рубеж, можно настроить подключение с сервера за рубежом на сервер в РФ. Гарантий, что такой способ не заблокируют, нет, но всё же он выглядит логически обоснованным.
Вариант получше: то же самое, только с несколькими туннелями по разным протоколам, проверкой их работоспособности и динамической сменой маршрута на рабочий (например, с помощью keepalived). Можно дополнить инкапсуляцию легко инкапсулируемых туннелей (OpenVPN, L2TP, чистый PPP) в shadowsocks/vmess/другой анти-цензурный протокол.
Также, как было видно по АнтиЗапрету, работали методы нарушения определения протокола на стороне сервера. Их можно применять, если хотя бы первый пакет доходит до сервера (как было в случае OpenVPN, но не WireGuard в сторону OVH/Scaleway). Для этого можно либо применять zapret, либо более точечные методы (пришлось пропатчить OpenVPN, чуть изменив протокол, но не нарушив его понимание клиентом, на что потребовалось приличное количество времени).
OpenVPN можно дополнительно обернуть в HTTP или Socks-прокси, у него есть их штатная поддержка. Работа через HTTP-прокси обходила блокировку.