На ваш вопрос нельзя однозначно ответить в отрыве от модели угроз. В России не блокируются протоколы VPN или прокси, вы можете использовать любое ПО без дополнительной обфускации, и менее устойчивым тот или иной способ может стать только со временем, при изменении законодательства, тестировании новых методов блокировок, и т.п., что не происходит в одночасье.
На данный день нет ограничений по использованию VPN-протоколов, они не блокируются ни у одного провайдера РФ.
Все стандартные VPN-протоколы имеют чётко выраженные характерные признаки, по которым их можно классифицировать: как фиксированные порты, так и стандартизированные форматы пакетов передачи служебного трафика. Исключение составляет, пожалуй, OpenVPN, у которого есть шифрование канального трафика (опция tls-crypt-v2) и возможность смены порта на произвольный, но даже он делается без расчёта на блокировки. Также OpenVPN поддерживает подключение к VPN-серверу через прокси, что позволяет обфусцировать его трафик при необходимости.
Беспокоиться о шейпинге следует только в том случае, если он действительно имеется. Мобильный оператор Йота, например, даёт трафику OpenVPN на стандартном порту 1194 высокий приоритет, а не замедляет его.
Все технологии туннелирования так или иначе строятся на двух принципах:
-
VPN: пакетная передача данных, ПО создаёт отдельный сетевой интерфейс (L2/L3), возможность использования стандартных способов маршрутизации, передачи любых протоколов и приёма входящих соединений;
-
Прокси: потоковая передача данных, ПО создаёт отдельный TCP/UDP-порт, возможность передачи только TCP/UDP-трафика, невозможность (в общем случае) приёма входящих соединений.
Через прокси у вас не будет работать ping (протокол ICMP), а голосовая связь VoIP (и другие p2p-программы) может работать плохо или не работать вовсе, из-за невозможности входящих подключений. Тем не менее, для большинства обычных программ функциональности прокси вполне достаточно.
Нередко прокси-программы эмулируют VPN-интерфейс для удобства настройки или из-за технических ограничений – не каждая программа поддерживает работу через прокси, а VPN-интерфейс настраивается на уровне операционной системы и не требует ничего от программ.
Эмуляция VPN-интерфейса не добавляет недостающих функций прокси – вы всё ещё не сможете пользоваться ping, принимать входящие соединения.
Также у SoftEther есть маскировка под DNS-запросы и туннелирование трафика через протокол ICMP. SoftEther – хороший кандидат на запасной вариант VPN в странах, где периодически бывают неполные отключения интернета, т.к. у него больше шансов установить соединение без дополнительной настройки.
Это не VPN, а прокси (shadowsocks), с мультиплатформенной эмуляцией VPN-интерфейса и удобной программой конфигурирования сервера.
Технически, любой VPN, прокси и другое сетевое ПО можно обфусцировать или инкапсулировать в дополнительный уровнень, но всё упирается в удобство настройки и кросс-платформенность обфусцирующего/инкапсулирующего ПО.
Shadowsocks, V2Ray/V2Fly, Trojan заточены под обход блокировок, и включают в единую программу все функции, которые могут потребоваться для туннелирования трафика через изощрённые конфигурации.
Стандартные VPN и прокси протоколы и программы – нет.
Стандартные протоколы прокси (HTTP/HTTP CONNECT/SOCKS4/SOCKS5) не поддерживают шифрование. После передачи служебных нешифрованных данных после установки соединения, данные через прокси передаются ровно в том виде, как это происходит без прокси.
Программы вроде shadowsocks используют собственный протокол передачи данных между клиентом и сервером (с шифрованием), но непосредственно клиент shadowsocks предоставляет socks5-совместимый порт для подключений программ, поддерживающих socks5. Если вы запускаете клиент shadowsocks и, например, браузер, настроив его на socks5-порт shadowsocks-клиента, на одном компьютере, то socks5-трафик не уходит в сеть и не покидает вашего компьютера.
Программы, поддерживающие работу через прокси, как правило не совершают DNS-запросов самостоятельно, а отправляют имя домена на прокси-сервер – это поддерживается и в HTTP-прокси, и в Socks5. В этом случае, сам удалённый сервер резолвит домен и устанавливает соединение к нужному IP-адресу.
Программы, не поддерживающие работу через прокси, будут резолвить домены через системный (провайдерский) DNS-сервер.
Прокси-программы с эмуляцией VPN-интерфейса часто поддерживают перехват DNS-запросов и перенаправление их внутрь прокси, на какой-либо публичный DNS-резолвер. Для прокси без эмуляции VPN необходимо использовать локальные резолверы-форвардеры с функцией перенаправления запроса через прокси или на сервер DNS over HTTPS/TLS, а DNS-настройки ОС необходимо сменить на порт локального резолвера.
Если речь об эмуляции VPN-интерфейса, то не будут работать не-TCP/UDP-протоколы, входящие подключения.
Это явно не соответствует действительности – протокол активно поддерживается и на текущий день находится на шаг впереди способов его классификации передовыми системами DPI.
V2Ray/V2Fly – крутой и очень гибкий комплекс для создания прокси-конфигураций любой сложности, но его настройка очень нетривиальна из-за сложного конфигурационного файла и не всегда актуальной английской документации. Рекомендую начать с английской версии на сайте Project V · Project V Official, она более-менее полная, хоть и частично устаревшая. Актуальная версия для community-версии V2Ray под названием V2Fly находится на 配置文件格式 | V2Fly.org (только китайский).
Это классный протокол с технической точки зрения, но ПО реализует простой туннель на фиксированный IP-адрес и порт, а не работает как прокси-сервер.
Поддержка протокола Trojan реализована в V2Fly.
См. самое начало сообщения – нет однозначного ответа без рассмотрения в контексте модели угроз. Все серверы с технической точки зрения будут работать, т.е. предоставлять вам интернет-связность.
