Aktualności
11 min czytania

VPN TCP lub UDP: co wybrać i jak naprawić przerwy

VPN TCP lub UDP: co wybrać i jak naprawić przerwy Jeśli VPN zachowuje się dziwnie — przerywa, nie łączy się lub ładuje YouTube z prędkością lat 90-tych — najprawdopodobniej chodzi o wybór protokołu transportowego. Pytanie VPN TCP vs UDP: jak to naprawić, nie przeszukując ustawień na oślep — to jedno

VPN TCP lub UDP: co wybrać i jak naprawić przerwy

Jeśli VPN zachowuje się dziwnie — przerywa, nie łączy się lub ładuje YouTube z prędkością lat 90-tych — najprawdopodobniej chodzi o wybór protokołu transportowego. Pytanie VPN TCP vs UDP: jak to naprawić, nie przeszukując ustawień na oślep — to jedno z najczęstszych w wsparciu. Poniżej — konkretne kroki, bez zbędnych słów.

Krótka odpowiedź: co przełączyć teraz

Logika jest prosta. UDP — to prędkość i stabilność tam, gdzie sieć jest normalna. TCP (szczególnie port 443) — to przechodzenie przez surowe zapory ogniowe i DPI, gdy dostawca tnie UDP. Zapamiętaj tę zasadę, a 80% problemów rozwiązuje się w dwie minuty.

Jeśli VPN przerywa lub spowalnia — spróbuj UDP

Połączenie przerywa się co 10 minut, prędkość skacze, ping skacze? Najpierw upewnij się, że ustawione jest UDP. W OpenVPN Connect na Androidzie lub iOS — to punkt „Protocol” w ustawieniach profilu. Na Windows — edytowanie pliku .ovpn, liniaproto udp. UDP działa szybciej właśnie dlatego, że nie traci czasu na potwierdzenia dostarczenia pakietów.

Jeśli VPN w ogóle się nie łączy — przełącz się na TCP

VPN wisi na „Łączenie...” i po 30 sekundach pada z błędem? To znak, że UDP jest zablokowane lub filtrowane. Zmieniaszproto udp naproto tcp w pliku .ovpn — i próbujesz ponownie. W Amnezia to przełącza się bezpośrednio w interfejsie, bez ręcznej edycji konfiguracji.

Port 443 TCP jako „maskowanie” pod HTTPS

Najbardziej skuteczny trik do omijania blokad dostawców — TCP na porcie 443. Dla systemów DPI wygląda to jak zwykły ruch HTTPS do jakiejś strony. W pliku .ovpn trzeba wpisać zarównoproto tcp, jak iport 443 jednocześnie. Większość usług VPN oferuje gotowe konfiguracje z takimi ustawieniami.

Jaka jest różnica między TCP a UDP prostymi słowami

Bez technicznych wykładów, ale z potrzebnymi szczegółami — inaczej nie zrozumiesz, dlaczego jedno rozwiązanie działa, a drugie nie.

TCP — dostawa z potwierdzeniem (pewna, ale wolniejsza)

TCP — jak list polecony z potwierdzeniem odbioru. Wysłano pakiet — czekasz na potwierdzenie. Nie przyszło — wysyłasz ponownie. To gwarantuje, że wszystkie dane dotrą i w odpowiedniej kolejności. Ale każde potwierdzenie — to dodatkowe milisekundy opóźnienia.

UDP — dostawa bez potwierdzenia (szybko, ale bez gwarancji)

UDP — pocztówka. Wrzuciłeś do skrzynki i zapomniałeś. Dotarła czy nie — nie wiadomo, nie będziesz pytać ponownie. Dla streamingu wideo i gier online to normalne: utrata jednej klatki nie jest krytyczna. Dlatego YouTube, Zoom i większość gier działa na UDP.

Dlaczego dla VPN to ważniejsze, niż się wydaje

VPN dodaje jeszcze jedną warstwę nad twoim ruchem. Wybór protokołu wpływa nie tylko na prędkość, ale także na to, czy dostawca w ogóle przepuści ten ruch. Rosyjscy dostawcy pod presją Roskomnadzoru aktywnie stosują DPI, które potrafi określić typ ruchu i selektywnie go spowalniać lub blokować.

„TCP nad TCP” — ukryta przyczyna spowolnień

O tym milczą większość konkurentów. Kiedy używasz OpenVPN na TCP i jednocześnie otwierasz stronę przez HTTPS (też TCP), powstaje efekt „TCP nad TCP”. Przy jakichkolwiek stratach pakietów oba poziomy zaczynają jednocześnie żądać ponownej wysyłki. To tworzy lawinę żądań, która dusi prędkość do poziomu połączenia modemowego. Na dobrej sieci tego nie zauważasz. Na niestabilnym internecie mobilnym lub przy obciążonym dostawcy — różnica jest kolosalna.

UDP tego efektu nie ma — po prostu nie pyta ponownie. Dlatego przy niestabilnej sieci UDP paradoksalnie pokazuje się lepiej niż „pewne” TCP.

Dlaczego dostawca tnie UDP i co ma z tym wspólnego DPI

Wielu użytkowników zauważa: w domu na Wi-Fi VPN działa, a w sieci mobilnej — nie. Albo działał, a potem przestał. To nie przypadek.

Jak DPI (Deep Packet Inspection) rozpoznaje ruch VPN

DPI — to nie tylko zapora ogniowa, która patrzy na porty. Analizuje zawartość pakietów, ich rozmiar, timing, entropię danych. OpenVPN i WireGuard mają charakterystyczne sygnatury: specyficzne wzory handshake, stałe nagłówki. Nowoczesne systemy DPI (w Rosji popularne są rozwiązania TSPU od Roskomnadzoru) potrafią je rozpoznawać niezależnie od portu.

Blokady i spowolnienia ze strony dostawców i Roskomnadzoru

Od 2021 roku Roskomnadzor aktywnie wdraża TSPU w sieciach dużych operatorów. Pod spowolnienie w różnych okresach trafiały Twitter/X, YouTube, a także ruch VPN z charakterystycznymi sygnaturami. UDP na niestandardowych portach blokuje się najłatwiej — wystarczy odfiltrować wszystko, co nie jest DNS, QUIC lub znanymi usługami.

Kiedy UDP działa, a TCP nie — i odwrotnie

W sieciach korporacyjnych i publicznych Wi-Fi sytuacja jest odwrotna: często dozwolony jest tylko ruch HTTP/HTTPS, czyli TCP na portach 80 i 443. UDP może być całkowicie zablokowany — to standardowa praktyka korporacyjnych zapór ogniowych. Podwójny NAT w hotelach i na lotniskach również często przepuszcza tylko TCP 443.

Dlaczego TCP 443 jest trudniejsze do zablokowania

Zablokowanie TCP 443 oznacza zablokowanie całego HTTPS. Żaden dostawca w zdrowym rozsądku na to się nie zdecyduje: banki, usługi publiczne, wszystko by przestało działać. Dlatego TCP na porcie 443 pozostaje ostatnią linią obrony, gdy wszystko inne jest zablokowane. Ale podkreślam: to nie jest panaceum — inteligentny DPI potrafi odróżnić OpenVPN TLS od prawdziwego HTTPS nawet na porcie 443.

Krok po kroku: jak przełączyć TCP/UDP na różnych urządzeniach

Konkretne kroki dla każdej platformy. Nie będę robić zrzutów ekranu — interfejsy zmieniają się z każdą aktualizacją, a opisy pozostają aktualne dłużej.

OpenVPN na Androidzie i iPhonie

W OpenVPN Connect (wersja 3.x) otwórz profil → kliknij na ołówek → „Zaawansowane” → „Protokół”. Tam jest przełącznik UDP/TCP. Jeśli profil został zaimportowany z pliku .ovpn, łatwiej edytować sam plik: znajdź linięproto udp lubproto tcp i zamień. Następnie usuń stary profil i zaimportuj zaktualizowany plik ponownie.

Na iPhonie z Amnezia — w sekcji ustawień konkretnego serwera jest rozwijana lista protokołów, w tym OpenVPN TCP i UDP.

OpenVPN na Windows i Mac

Pliki .ovpn zazwyczaj znajdują się wC:\Users\[imię]\OpenVPN\config\ na Windows i w~/.config/openvpn/ na Macu (lub w katalogu aplikacji Tunnelblick). Otwórz w edytorze tekstu, zmień linięproto, zapisz. Dla TCP 443 trzeba zmienić również port:remote server.example.com 443 tcp. Po zmianie — ponownie połącz tunel.

Amnezia (AmneziaWG / OpenVPN)

Amnezia — chyba najwygodniejsze rozwiązanie do przełączania protokołów bez zabawy z plikami. W aplikacji wybierasz połączenie → „Ustawienia” → „Protokół”. Dostępne są OpenVPN UDP, OpenVPN TCP, AmneziaWG i Shadowsocks. Przełączanie odbywa się bez ponownego uruchamiania aplikacji. To jedna z przyczyn, dla których Amnezia jest popularna w omijaniu rosyjskich blokad.

Konfiguracja na routerze

Na routerach z OpenWrt lub firmware'ach takich jak Keenetic zmianaproto wymaga edytowania konfiguracji przez SSH lub interfejs webowy i następnego ponownego uruchomienia usługi OpenVPN poleceniemservice openvpn restart. Po prostu zamknięcie i otwarcie aplikacji na telefonie nie wystarczy — tunel jest uruchamiany po stronie routera. To ważne dla Smart TV i konsol do gier: same nie potrafią wybierać protokołu, tylko router.

Jak sprawdzić, który protokół jest aktualnie aktywny

W logach OpenVPN Connect szukaj linii w formacieProto: UDP lubTCP zaraz po połączeniu. W terminalu na Linux/Mac poleceniess -tunp | grep openvpn pokaże aktywne połączenia z protokołem. W Amnezia aktualny protokół wyświetlany jest na głównym ekranie pod nazwą serwera.

Jeśli ani TCP, ani UDP nie pomagają: co dalej robić

Szczera rozmowa. Jeśli dotarłeś do tego miejsca i przełączenie TCP/UDP nie pomogło — oznacza to, że problem jest głębszy. Pytanie VPN TCP vs UDP: jak naprawić sytuację, gdy klasyczne metody nie działają, ma jedną odpowiedź: potrzebna jest obfuskacja.

Zmiana portu: 1194, 443, 80

Port 1194 UDP — standardowy dla OpenVPN, i to właśnie jego blokują jako pierwszy. Spróbuj kolejno: 443 TCP, następnie 80 TCP (HTTP), a potem 8080 TCP. Niektórzy dostawcy tną niestandardowe porty hurtowo, pozostawiając tylko 80 i 443. Jeśli serwer VPN obsługuje kilka portów — przeszukiwanie zajmie mniej niż pięć minut.

Przejście na obfuskowane protokoły: Shadowsocks, VLESS/XRay, AmneziaWG

Nowoczesny DPI potrafi rozpoznać OpenVPN i WireGuard nawet na porcie 443 — po wzorcach handshake i strukturze ruchu. Shadowsocks szyfruje nie tylko dane, ale i nagłówki, sprawiając, że ruch statystycznie przypomina przypadkowy szum. VLESS/XRay idą jeszcze dalej: ukrywają się wewnątrz legalnego połączenia WebSocket lub gRPC z prawdziwą domeną. AmneziaWG dodaje śmieciowe pakiety do WireGuard, łamiąc jego sygnaturę.

Usługi takie jak NvoVPN i rozwiązania oparte na Amnezia obsługują te protokoły bez ręcznej konfiguracji — to jedna z opcji, jeśli nie chcesz uruchamiać własnego serwera. Do samodzielnej konfiguracji potrzebny jest VPS i godzina czasu z dokumentacją XRay lub 3x-ui.

Kiedy problem nie leży w protokole, a w MTU

Objaw: VPN łączy się, status „połączono”, ale strony albo w ogóle się nie ładują, albo ładują się częściowo — tekst jest, obrazków nie ma. To klasyczny znak konfliktu MTU. VPN dodaje nagłówki do pakietów, zwiększając ich rozmiar ponad dopuszczalne MTU 1500 bajtów. Pakiety zaczynają się fragmentować lub gubić.

Rozwiązanie dla OpenVPN: dodaj do pliku .ovpn linijkimssfix 1400 ifragment 1400. Dla WireGuard w ustawieniach interfejsu ustaw MTU na 1380. Dokładną wartość można dobrać poleceniemping -M do -s 1400 8.8.8.8 (Linux/Mac) — zmniejszaj rozmiar, aż ping przestanie zgłaszać błąd fragmentacji.

Sprawdzenie po stronie serwera i zmiana lokalizacji

Czasami problem nie leży w ustawieniach klienta. Serwer VPN może być przeciążony, jego IP mogło trafić na czarną listę Roskomnadzoru, lub hosting ma problemy z routowaniem do rosyjskich sieci. Spróbuj połączyć się z innym serwerem w innym kraju — jeśli działa, oznacza to, że problem był w konkretnym węźle. Holandia i Finlandia tradycyjnie lepiej przechodzą przez rosyjskich dostawców niż na przykład USA czy Australia.

Najczęściej zadawane pytania

Co jest szybsze dla VPN — TCP czy UDP?

UDP prawie zawsze jest szybszy i daje mniejsze opóźnienie — nie ma narzutów na potwierdzenia i ponowne wysyłki. W normalnej sieci różnica wynosi 10–30% pod względem prędkości i zauważalna różnica w pingu. TCP wybierają ze względu na przechodzenie przez zapory ogniowe i DPI, świadomie poświęcając prędkość. Utrzymywanie TCP jako głównego protokołu bez powodu — to zły pomysł.

Dlaczego mój VPN działa tylko na TCP, a UDP się nie łączy?

Dostawca lub system DPI tnie ruch UDP na niestandardowych portach. TCP na porcie 443 maskuje się jako zwykły HTTPS — dlatego przechodzi tam, gdzie UDP nie działa. To bezpośredni znak aktywnej filtracji ruchu. W mobilnym internecie (LTE/5G) takie sytuacje zdarzają się częściej niż w domowym światłowodzie.

Jaki protokół wybrać do omijania blokad YouTube, Instagram i Telegram?

Zacznij od UDP — zapewni normalną prędkość dla wideo i streamingu. Jeśli UDP jest cięte przez dostawcę — przejdź na TCP 443. Jeśli to również nie pomaga, a Telegram lub Instagram wciąż się nie otwierają — oznacza to, że nie obejdzie się bez obfuskowanych protokołów (VLESS/XRay, Shadowsocks, AmneziaWG). Prosty wybór TCP/UDP przeciwko nowoczesnemu DPI — to tylko pierwszy krok.

Czy WireGuard ma wybór TCP lub UDP?

Nie. WireGuard działa wyłącznie na UDP — to część jego architektury. Jeśli twój dostawca blokuje UDP, WireGuard nie połączy się żadnymi ustawieniami po stronie klienta. Rozwiązania: przejście na OpenVPN z TCP, użycie AmneziaWG (dodaje obfuskację na WireGuard) lub opakowanie udp2raw, które tuneluje UDP w TCP. To jedna z głównych przyczyn, dla których WireGuard jest blokowany częściej niż OpenVPN TCP.

VPN łączy się, ale nie ma internetu lub strony ładują się częściowo — co ma wspólnego z TCP/UDP?

Najprawdopodobniej problem leży w MTU, a nie w wyborze protokołu. Nagłówki VPN zwiększają rozmiar pakietów, przez co nie przechodzą przez tunel w całości. Spróbuj dodaćmssfix 1400 ifragment 1400 do konfiguracji OpenVPN lub obniżyć MTU do 1380 w ustawieniach WireGuard. Sprawdź również zmianę portu i lokalizacji serwera — czasami problem leży tam.

Czy niebezpiecznie jest ciągle korzystać z TCP zamiast UDP?

Nie jest to niebezpieczne pod względem bezpieczeństwa. Ale w niestabilnej sieci TCP jest zauważalnie wolniejszy z powodu efektu „TCP na TCP”: podwójne powtórzenia pakietów przy stratach tłumią prędkość. Na dobrym światłowodzie różnica jest niewielka. W mobilnym internecie przy stratach pakietów 2–5% — jest to bardzo zauważalne. TCP trzymaj jako opcję zapasową do przechodzenia blokad, ale przy pierwszej okazji wracaj do UDP.

Jeśli krótko podsumować wszystko, co powiedziano o VPN TCP vs UDP: jak naprawić większość problemów — zaczynaj od UDP, przy blokadach przechodź na TCP 443, a jeśli to również nie pomaga, zwróć uwagę na obfuskację. Wybór między TCP a UDP — to pierwszy narzędzie w arsenale, ale nie ostatnie.

Powiązane artykuły

Może Cię zainteresować