// 03 · защита

Три уровня. Невидимое переключение.

SHIELD маскирует трафик под обычный TLS. PHANTOM переключает маршруты при детекте. ECHO — наш проприетарный протокол для whitelist-режима. Клиент сам выбирает уровень — ты ничего не делаешь.

// 01

SHIELD — уровень 1

хватит 80% юзеров

Базовая маскировка. VLESS + Reality поднимают TLS-handshake к www.microsoft.com — для DPI это выглядит как пользователь зашёл на Microsoft.com. Внутри handshake — туннель к нашему серверу. Низкий fingerprint, низкая активная цена обнаружения. Включается по умолчанию.

// протокол

VLESS + Reality (XTLS-Vision)

// SNI

www.microsoft.com (ротация)

// детект

пассивный DPI бессилен

Что делает: X25519-handshake выглядит как реальный визит на Microsoft. Когда падает: когда оператор включает активный пробинг — отправляет «ответы» к серверу и смотрит на реакцию. Тогда подключается PHANTOM. Где работает: Билайн, МТС, Мегафон, T2 — в обычном режиме. Большинство операторов в небольших городах никогда дальше SHIELD и не идут.

// 02

PHANTOM — уровень 2

при детекте · автоматически

AI-routing + IPv6 /48 pool. Когда оператор детектит SHIELD и начинает резать — мы перекидываем сессию на другой IP из пула. Каждый клиент получает свой свежий /64 — для DPI это «новый пользователь, новый трафик», ничего общего с заблокированным.

// маршрутизация

IPv6 /48 → /64 per session

// переключение

~700 мс при детекте

// клиент

не замечает обрыва

Как работает: клиент держит «теневой» канал с другим IP. Если основной перестал отвечать — переключаемся в один пакет. TCP-сессия снаружи перезапускается, но видеопоток не успевает прерваться. Когда падает: когда оператор переходит в whitelist-режим (пропускает только белый список IP). Тогда подключается ECHO. Где помогает: «жёсткий режим» Ростелекома, Yota в моменты массовых протестов, корпоративные сети с активным DPI.

// 03

ECHO — наш проприетарный

whitelist-mode killer

Закрытый протокол собственной разработки. Маскируется под легитимный трафик из «белого списка» оператора и заворачивает VPN внутрь него. Когда у тебя из 1000 сайтов открыто 50, а нашему серверу как-то нет — ECHO находит дыру в том, что разрешено.

// архитектура

наш закрытый стек

// бенчмарк

работает где не работает никто

// доступ

Стандарт + Триал

Зачем: в 2026 операторы всё чаще включают полный whitelist — пропускают только Госуслуги, Сбер, Mail.ru, ВК. Reality+xHTTP при таком режиме обычно мёртв. ECHO — наш способ продолжать работать. Как: детали закрытые (раскрытие = блокировка через 24 часа), но идея — трафик неотличим от трафика к легитимным белым ресурсам. Где помогает: массовые блокировки в дни митингов, корпоративные сети жёстких сегментов, мобильный интернет в моменты «пик ограничений».

// 04 · решение

Как клиент выбирает уровень.

Каскад: пробуем самое лёгкое — если не получилось, эскалируем. Все три уровня под капотом, переключение незаметно.

Запрос идёт через SHIELD

VLESS+Reality на 443/tcp. 80% всех сессий начинаются и заканчиваются здесь. Скорость максимальная, потерь нет.

Если SHIELD не отвечает — клиент пробует PHANTOM

Переключение на свежий IPv6 в течение ~700 мс. Видеопоток продолжается, тапок «отвалилось» — нет.

Если и PHANTOM не пробивается — поднимается ECHO

Проприетарный протокол стучится через белый список. Скорость падает (это нормально, мы маскируемся под другой трафик), но соединение есть.

Если вообще ничего — последний шаг — Free-режим DPI bypass

libbyedpi на устройстве сам играется с пакетами и пробивает блок локально. Сберонлайн не пройдёт, но базовый веб и мессенджеры — да.

// 05 · vs конкуренты

Что мы делаем — а они нет.

Фича	SUPRA	другие VPN	бесплатные
VLESS + Reality маскировка под TLS	✓ SHIELD	~ частично	×
Авто-переключение при активном пробинге	✓ PHANTOM	ручной свитч	×
IPv6 /48 pool с ротацией	✓	×	×
Работает в whitelist-режиме	✓ ECHO	×	×
Локальный DPI-bypass без сервера	✓ libbyedpi + Tor	×	~ слабый
RU-relay (Сбер · Госуслуги)	✓	×	×
Личный MTProto для Telegram	✓	×	×
JA4 fingerprint rotation	✓	~ редко	×
Логи трафика	не пишем	непрозрачно	пишут + продают

// 06 · под капотом

Технические детали для занудных.

Без кода — но если хочешь, можно почитать почему «просто включить OpenVPN» больше не работает.

// fingerprint

JA4 fingerprint rotation

JA4 — это «отпечаток» TLS-клиента: набор cipher-suites, расширений, ALPN, кривых. У VPN-клиентов он специфичный и его легко детектить. Мы рандомизируем JA4 под профиль Chrome/Firefox/Safari на каждой сессии — клиент выглядит как браузер, а не как «странный V2Ray».

В кодовой базе это uTLS + наш слой ротации профилей. Под капотом — около 40 эталонных fingerprints свежих браузеров.

// padding

Popcount padding

DPI ловит VPN не только по содержимому, но и по статистике размеров пакетов. У зашифрованного V2Ray-трафика характерное распределение длин — это палится. Мы добавляем «паддинг» (мусорные байты) так, чтобы статистика длин совпадала с реальным веб-трафиком.

Цена — около 6-8% оверхеда на скорость. Альтернатива — палиться при первой пристальной проверке.

// transport

xHTTP вместо WebSocket

WebSocket-туннели DPI давно научились детектить по специфическим заголовкам и поведению. xHTTP — это вариация на тему «обычный HTTPS-запрос с длинным телом», на DPI смотрится как загрузка файла или стриминг.

Чуть выше задержка handshake (+50 мс), но фрагментация и retry — нативные HTTP, никаких артефактов.

// failover

Multi-relay failover

Клиент держит карту из 3-4 IP (основной + резервные). Если основной за 800 мс не отдал handshake — пробуем следующий, без переподключения VPN-туннеля. Внутрь приложения это видно как «соединение продолжается», для DPI — как «другой клиент пошёл к другому IP».

Списки обновляются раз в час из бота. В крайнем случае — fallback на ECHO.

// см. также

Что ещё почитать.

// тарифы

От 112 ₽/мес

Все 3 уровня защиты включены в Стандарт и Триал. Free — только локальный DPI-bypass.

// установка

Android · iOS · Win · Mac

Пошагово: скачай клиент → импорт ключа → подключение.

// faq

20+ ответов без воды

Скорость, устройства, возврат, оплата, блокировки.

// о проекте

Кто мы и зачем

Команда из РФ, открытая экономика, миссия.

Начни Free на 24 часа.

Все три уровня защиты — без карты, прямо из Telegram. Если не зайдёт — никаких списаний, ничего удалять не надо.

🎁 Бесплатно на 24 часа →Смотреть тарифы