← Все статьи

Когда говорят «VPN», часто подразумевают какое-то одно техническое решение. На деле под капотом у современного VPN-сервиса обычно несколько разных протоколов, и от выбора протокола сильно зависят скорость, стабильность, расход батареи и поведение в разных сетях. В этой статье мы детально разберём четыре протокола, которые QQ NET использует в 2026 году: VLESS, Hysteria2, Shadowsocks и WireGuard. Расскажем, как они устроены, в чём сильны, в чём слабы, и когда какой имеет смысл выбирать вручную.

Краткая история: почему классических VPN-протоколов уже мало

Первые поколения VPN-протоколов появились давно: PPTP — 1996 год, L2TP/IPSec — 2000-е, OpenVPN — 2001. Они проектировались для корпоративных сетей: представьте удалённого сотрудника, подключающегося к офисной сети. Тогда задачи маскировки трафика и устойчивости к фильтрации не было.

Когда VPN стал массовым потребительским продуктом, требования изменились:

  • Соединение должно работать в самых разных сетях, включая нестабильные мобильные.
  • Скорость должна приближаться к скорости прямого канала.
  • Расход батареи на телефоне должен быть минимальным.
  • Соединение должно быть устойчивым к глубокому анализу трафика (DPI).
  • Протокол должен быть быстрым в установке (handshake).

OpenVPN, PPTP, L2TP не справляются со всеми этими требованиями. Поэтому появились новые протоколы: WireGuard в 2017, Shadowsocks ещё в 2012 (но активно развивается до сих пор), VLESS в 2020, Hysteria2 в 2023. Современный VPN-сервис в 2026 году использует несколько из них одновременно — каждый под свою задачу.

WireGuard: эталон простоты

Как устроен

WireGuard — протокол, разработанный Джейсоном Доненфельдом в 2017 году. Главное достоинство — простота. Вся реализация WireGuard занимает около 4000 строк кода (для сравнения: OpenVPN — около 100 000 строк). Меньше кода — меньше ошибок, проще аудит.

WireGuard работает поверх UDP. Использует современную криптографию: ChaCha20 для шифрования, Poly1305 для аутентификации, Curve25519 для обмена ключами. Все алгоритмы выбраны заранее, без согласования — это упрощает handshake.

Сильные стороны

  • Скорость. На хороших сетях WireGuard даёт практически прямую скорость — потери на шифрование 2–3%.
  • Низкое потребление CPU. Особенно заметно на роутерах и слабых устройствах.
  • Низкое потребление батареи. Простой протокол — меньше работы для процессора телефона.
  • Поддержка везде. Linux ядро, macOS, iOS, Android, Windows, Keenetic, Mikrotik, OpenWRT.

Слабые стороны

  • Характерные сигнатуры пакетов — на сетях с активной фильтрацией WireGuard может быть нестабильным.
  • Нет встроенной маскировки трафика.
  • Roaming работает, но не идеально на нестабильных сетях.

Когда использовать

На хорошем интернете дома и в офисе. На роутерах (особенно для VPN на роутере — об этом в статье «VPN для роутера: Keenetic, Mikrotik, OpenWRT»). Когда нужна максимальная скорость и минимальный расход батареи.

Shadowsocks: лёгкий и быстрый

Как устроен

Shadowsocks создан в 2012 году разработчиком clowwindy. Это не классический VPN, а SOCKS5-прокси с шифрованием. Туннель работает на уровне TCP-приложения, а не системного драйвера.

Современная версия — Shadowsocks 2022 — использует AEAD-шифрование (ChaCha20-Poly1305 или AES-256-GCM). Поддерживает как TCP, так и UDP-трафик через udp-relay.

Сильные стороны

  • Минимализм. Очень простая реализация, почти нет накладных расходов.
  • Быстрая установка соединения. Handshake всего пара пакетов.
  • Низкая нагрузка на CPU. Хорошо подходит для слабых устройств.
  • Гибкая. Может работать поверх TCP, UDP, обфускации.

Слабые стороны

  • Это прокси, не системный VPN — некоторые приложения могут обходить его.
  • На современном DPI протокол всё-таки определяется (требуется plugin для маскировки).
  • Нет встроенной системы пиров и маршрутизации, как в WireGuard.

Когда использовать

Когда нужно быстрое подключение и минимальный расход батареи. На старых телефонах. Как лёгкий fallback, когда VLESS или Hysteria2 не подходят.

VLESS: новое поколение Xray

Как устроен

VLESS появился в 2020 году как развитие протокола VMess. Главное отличие — отсутствие шифрования на уровне самого протокола: шифрование делегируется TLS. Это даёт несколько плюсов: меньше накладных расходов, проще аудит кода, можно использовать стандартные TLS-библиотеки.

VLESS чаще всего сочетается с одним из транспортов:

  • TCP+TLS — классическая связка, маскировка под обычный HTTPS.
  • WebSocket+TLS — поверх веб-сокетов, выглядит как обычное веб-приложение.
  • gRPC+TLS — поверх gRPC, удобно для маскировки.
  • Reality — самое современное расширение (об этом ниже).

Сильные стороны

  • Маскировка под обычный HTTPS. На сетевом уровне VLESS+TLS неотличим от обычного веб-серфинга.
  • Высокая скорость. Без двойного шифрования (VPN-протокол + TLS), а только TLS.
  • Гибкость. Множество транспортов под разные сценарии.
  • Активное развитие. Команда Xray регулярно выпускает обновления.

Слабые стороны

  • Сложная настройка на стороне сервера (но клиенту это не важно).
  • Нужен правильно настроенный TLS-сертификат на сервере.
  • На мобильных сетях с потерями пакетов уступает Hysteria2.

Reality: маскировка под публичные сайты

Reality — расширение VLESS, представленное в 2023 году. Идея гениальна в своей простоте: VPN-сервер маскируется под обычный публичный сайт (например, microsoft.com или apple.com). При TLS-handshake клиент представляется так, будто подключается к microsoft.com, и сервер ведёт себя соответственно. На сетевом уровне это абсолютно неотличимо от обычного веб-серфинга на популярный сайт.

Reality стал стандартом для современных VPN-сервисов. QQ NET использует его как один из основных транспортов VLESS.

Когда использовать

Это основной выбор для большинства задач: серфинг, мессенджеры, видео, рабочие сервисы. На стационарных и мобильных сетях с нормальным качеством.

Hysteria2: для нестабильных сетей

Как устроен

Hysteria2 — протокол, выпущенный в 2023 году. Работает поверх QUIC (UDP-протокол, лежащий в основе HTTP/3). Использует BBR — современный алгоритм управления перегрузкой сети, разработанный в Google.

Основная фишка — Hysteria2 нацелен на нестабильные сети с потерями пакетов: 4G/5G в дороге, плохой Wi-Fi, перегруженные общественные сети. Где WireGuard или классический TCP-VPN буквально перестают работать, Hysteria2 продолжает.

Сильные стороны

  • Стабильность на плохих сетях. При потере 5–10% пакетов Hysteria2 даёт практически прежнюю скорость.
  • Быстрый handshake. 0-RTT в QUIC — соединение поднимается мгновенно.
  • Маскировка под обычный QUIC-трафик (HTTP/3).
  • Высокая скорость на 4G/5G. Часто быстрее, чем без VPN, потому что обходит operator-side throttling.

Слабые стороны

  • Чуть выше расход CPU (QUIC сложнее TCP).
  • Не везде сетевые провайдеры пропускают UDP свободно — на корпоративных сетях иногда нужен fallback на TCP.
  • Не самый старый протокол, ещё активно развивается (что не минус, но требует свежих клиентов).

Когда использовать

В метро, в дороге, на плохом мобильном интернете. На переполненных кафе-Wi-Fi. В путешествиях. Когда стабильное соединение важнее минимального расхода батареи.

Когда стандартные протоколы перестают работать

Конкретные сценарии, в которых классические WG/OpenVPN отказывают, а VLESS+Reality / Hysteria2 продолжают работать стабильно:

1. Перегруженный кафе-Wi-Fi

В кафе с десятками пользователей одновременно сеть постоянно перегружена. Пакеты теряются, RTT скачет. WireGuard в таких условиях даёт стабильность, но скорость падает до 5–10 Мбит/с. Hysteria2 за счёт BBR держит 30–50 Мбит/с — стрим продолжает идти, чат не лагает.

2. Метро и поезд

В метро мобильный интернет постоянно «прыгает» — то 4G, то ничего, то LTE-A. На WireGuard в такой ситуации соединение часто рвётся. Hysteria2 сохраняет соединение даже при кратковременных потерях.

3. Гостиничный Wi-Fi

В отелях часто стоит DPI-оборудование, которое определяет VPN-трафик и режет его (для продажи «премиум-Wi-Fi»). VLESS+Reality в этой ситуации работает как обычный HTTPS, оборудование не отличает его от веб-серфинга. Подробнее про путешествия — в статье «VPN для путешествий и роуминга».

4. Корпоративная сеть

В офисах часто блокируют UDP полностью. WireGuard и Hysteria2 не работают вообще. VLESS+TCP+TLS работает, потому что неотличим от обычного HTTPS-трафика.

5. Игровые сценарии

Для онлайн-игр важен низкий пинг. WireGuard даёт минимальную задержку из-за минимальной обработки. Подробно про игры — в статье «VPN для онлайн-игр и стриминга».

Auto-select: почему QQ NET использует все четыре

В клиентах QQ NET (Hiddify, Streisand, V2Box) есть функция автоматического выбора протокола. Клиент определяет:

  • Тип сети (Wi-Fi, мобильная, проводная).
  • Качество соединения (RTT, потери пакетов).
  • Доступность UDP.
  • Поведение DPI на текущей сети.

На основе этих данных клиент сам выбирает оптимальный протокол: на хорошем стационарном интернете — WireGuard, на мобильной сети с потерями — Hysteria2, на корпоративной сети с блокировкой UDP — VLESS+TCP+Reality, на слабых устройствах — Shadowsocks.

Если автоматический выбор работает не идеально — в клиенте всегда можно выбрать протокол вручную. Большинство пользователей этого никогда не делают, потому что auto-select работает хорошо.

Сравнительная таблица

  • Скорость на хорошем интернете: WireGuard ≈ Shadowsocks ≈ VLESS > Hysteria2.
  • Скорость на плохом интернете: Hysteria2 > VLESS > WireGuard > Shadowsocks.
  • Расход батареи: WireGuard < Shadowsocks < VLESS < Hysteria2.
  • Маскировка трафика: VLESS+Reality > Hysteria2 > Shadowsocks > WireGuard.
  • Простота на роутере: WireGuard > Shadowsocks > VLESS > Hysteria2.
  • Стабильность handshake: Hysteria2 > VLESS > WireGuard > Shadowsocks.

Идеального протокола нет. Поэтому современный VPN использует все четыре — auto-select под текущие условия.

Что выбрать в 2026 году обычному пользователю?

Если вы не хотите вникать в технические детали, оставьте auto-select в клиенте — этого достаточно для 95% сценариев. Если хочется тонкой настройки:

  • Дома, проводной или хороший Wi-Fi: WireGuard или VLESS+Reality.
  • Мобильная сеть, в дороге: Hysteria2.
  • Кафе, отель, перегруженный Wi-Fi: VLESS+Reality.
  • Корпоративная сеть с блокировками: VLESS+TCP.
  • Старое слабое устройство: Shadowsocks.
  • Роутер: WireGuard.
  • Игры, минимальный пинг: WireGuard.

QQ NET включает все четыре протокола во все тарифы. Не нужно выбирать «премиум-протокол» или докупать что-то отдельно — все доступны на пробном периоде.

Краткое резюме

В 2026 году универсального протокола VPN не существует — есть набор протоколов, каждый под свою задачу:

  • WireGuard — простой, быстрый, эталон для стационарных сетей и роутеров.
  • Shadowsocks — лёгкий и быстрый proxy-протокол, удобен на слабых устройствах.
  • VLESS+Reality — современный протокол с маскировкой, основной выбор для большинства задач.
  • Hysteria2 — для нестабильных сетей с потерями пакетов, лучший на мобильном.

QQ NET использует все четыре с автоматическим выбором. Это даёт максимальную стабильность и скорость в любой сети — от домашнего гигабита до перегруженного метро. Подробнее про критерии выбора VPN-сервиса в целом — в статье «Как выбрать VPN: 7 критериев». Что такое VPN простыми словами — в «Что такое VPN простыми словами».

Если хочется попробовать на практике — пробный период QQ NET 3 дня бесплатно. Если возникнут вопросы про настройку конкретного протокола — поддержка в Telegram-боте круглосуточно.