Новости
2 мин чтения

VPN TCP или UDP: что выбрать и как исправить обрывы

VPN TCP или UDP: что выбрать и как исправить обрывы Если VPN ведёт себя странно — рвётся, не подключается или грузит YouTube со скоростью 90-х — скорее всего, дело в выборе транспортного протокола. В...

VPN TCP или UDP: что выбрать и как исправить обрывы

Если VPN ведёт себя странно — рвётся, не подключается или грузит YouTube со скоростью 90-х — скорее всего, дело в выборе транспортного протокола. Вопрос VPN TCP vs UDP: как исправить это, не перебирая настройки вслепую — один из самых частых в поддержке. Ниже — конкретные шаги, без воды.

Короткий ответ: что переключить прямо сейчас

Логика простая. UDP — это скорость и стабильность там, где сеть нормальная. TCP (особенно порт 443) — это проходимость через жёсткие фаерволы и DPI, когда провайдер режет UDP. Запомните это правило, и 80% проблем решается за две минуты.

Если VPN рвётся или тормозит — попробуйте UDP

Связь обрывается каждые 10 минут, скорость скачет, пинг прыгает? Сначала убедитесь, что стоит UDP. В OpenVPN Connect на Android или iOS — это пункт «Protocol» в настройках профиля. На Windows — редактирование .ovpn файла, строка proto udp. UDP работает быстрее именно потому, что не тратит время на подтверждения доставки пакетов.

Если VPN вообще не подключается — переключитесь на TCP

VPN висит на «Подключение...» и через 30 секунд падает с ошибкой? Это признак того, что UDP заблокирован или фильтруется. Меняете proto udp на proto tcp в .ovpn файле — и пробуете снова. В Amnezia это переключается прямо в интерфейсе, без ручного редактирования конфига.

Порт 443 TCP как «маскировка» под HTTPS

Самый рабочий трюк для обхода провайдерских блокировок — TCP на порту 443. Для DPI-систем это выглядит как обычный HTTPS-трафик к какому-нибудь сайту. В .ovpn файле нужно прописать и proto tcp, и port 443 одновременно. Большинство VPN-сервисов предлагают готовые конфиги с такими настройками.

В чём разница между TCP и UDP простыми словами

Без технических лекций, но с нужными деталями — иначе вы не поймёте, почему одно решение работает, а другое нет.

TCP — доставка с подтверждением (надёжно, но медленнее)

TCP — как заказное письмо с уведомлением о вручении. Отправили пакет — ждёте подтверждения. Не пришло — отправляете снова. Это гарантирует, что все данные дойдут и в правильном порядке. Но каждое подтверждение — это дополнительные миллисекунды задержки.

UDP — доставка без подтверждения (быстро, но без гарантий)

UDP — открытка. Бросили в ящик и забыли. Дошла или нет — неизвестно, переспрашивать не будете. Для видеостриминга и онлайн-игр это нормально: потеря одного кадра некритична. Именно поэтому YouTube, Zoom и большинство игр работают по UDP.

Почему для VPN это важнее, чем кажется

VPN добавляет ещё один слой поверх вашего трафика. Выбор протокола влияет не только на скорость, но и на то, пропустит ли провайдер этот трафик вообще. Российские провайдеры под давлением Роскомнадзора активно применяют DPI, который умеет определять тип трафика и избирательно его замедлять или блокировать.

«TCP поверх TCP» — скрытая причина тормозов

Вот о чём молчат большинство конкурентов. Когда вы используете OpenVPN на TCP и одновременно открываете сайт по HTTPS (тоже TCP), возникает эффект «TCP поверх TCP». При любых потерях пакетов оба слоя начинают одновременно запрашивать повторную отправку. Это создаёт лавину запросов, которая душит скорость до уровня модемного соединения. На хорошей сети вы этого не замечаете. На нестабильном мобильном интернете или при загруженном провайдере — разница колоссальная.

UDP этого эффекта лишён — он просто не переспрашивает. Поэтому при нестабильной сети UDP парадоксально показывает себя лучше, чем «надёжный» TCP.

Почему провайдер режет UDP и при чём тут DPI

Многие пользователи замечают: дома на Wi-Fi VPN работает, а в мобильной сети — нет. Или работал, а потом перестал. Это не случайность.

Как DPI (Deep Packet Inspection) распознаёт VPN-трафик

DPI — это не просто файервол, который смотрит на порты. Он анализирует содержимое пакетов, их размер, тайминг, энтропию данных. OpenVPN и WireGuard имеют характерные сигнатуры: специфические паттерны рукопожатия, фиксированные заголовки. Современные DPI-системы (в России распространены решения ТСПУ от Роскомнадзора) умеют их распознавать независимо от порта.

Блокировки и замедление со стороны провайдеров и Роскомнадзора

С 2021 года Роскомнадзор активно внедряет ТСПУ на сетях крупных операторов. Под замедление в разные периоды попадали Twitter/X, YouTube, а также VPN-трафик с характерными сигнатурами. UDP на нестандартных портах блокируется проще всего — достаточно отфильтровать всё, что не DNS, QUIC или известные сервисы.

Когда UDP работает, а TCP нет — и наоборот

На корпоративных сетях и в публичных Wi-Fi картина обратная: там часто разрешён только HTTP/HTTPS трафик, то есть TCP на портах 80 и 443. UDP может быть заблокирован полностью — это стандартная практика корпоративных фаерволов. Двойной NAT в гостиницах и аэропортах тоже нередко пропускает только TCP 443.

Почему TCP 443 сложнее заблокировать

Заблокировать TCP 443 — значит заблокировать весь HTTPS. Ни один провайдер в здравом уме на это не пойдёт: отвалятся банки, госуслуги, всё подряд. Именно поэтому TCP на порту 443 остаётся последним рубежом, когда всё остальное заблокировано. Но подчеркну: это не панацея — умный DPI умеет отличить OpenVPN TLS от настоящего HTTPS даже на порту 443.

Пошагово: как переключить TCP/UDP на разных устройствах

Конкретные шаги для каждой платформы. Скриншоты делать не буду — интерфейсы меняются с каждым обновлением, а описания остаются актуальными дольше.

OpenVPN на Android и iPhone

В OpenVPN Connect (версия 3.x) откройте профиль → нажмите на карандаш → «Advanced» → «Protocol». Там переключатель UDP/TCP. Если профиль импортирован из .ovpn файла, проще отредактировать сам файл: найдите строку proto udp или proto tcp и замените. Затем удалите старый профиль и импортируйте обновлённый файл заново.

На iPhone с Amnezia — в разделе настроек конкретного сервера есть выпадающий список протоколов, включая OpenVPN TCP и UDP.

OpenVPN на Windows и Mac

Файлы .ovpn обычно лежат в C:\Users\[имя]\OpenVPN\config\ на Windows и в ~/.config/openvpn/ на Mac (или в директории приложения Tunnelblick). Открываете текстовым редактором, меняете строку proto, сохраняете. Для TCP 443 нужно изменить и порт: remote server.example.com 443 tcp. После изменения — переподключить туннель.

Amnezia (AmneziaWG / OpenVPN)

Amnezia — пожалуй, самое удобное решение для переключения протоколов без возни с файлами. В приложении выбираете соединение → «Настройки» → «Протокол». Доступны OpenVPN UDP, OpenVPN TCP, AmneziaWG и Shadowsocks. Переключение применяется без перезапуска приложения. Это одна из причин, почему Amnezia популярна для обхода российских блокировок.

Настройка на роутере

На роутерах с OpenWrt или прошивках вроде Keenetic смена proto требует редактирования конфига через SSH или веб-интерфейс и последующего перезапуска службы OpenVPN командой service openvpn restart. Просто закрыть и открыть приложение на телефоне недостаточно — туннель поднимается на стороне роутера. Это важно для Smart TV и игровых консолей: они сами не умеют выбирать протокол, только роутер.

Как понять, какой протокол сейчас активен

В логах OpenVPN Connect ищите строку вида Proto: UDP или TCP сразу после подключения. В терминале на Linux/Mac команда ss -tunp | grep openvpn покажет активные соединения с протоколом. В Amnezia текущий протокол отображается в главном экране под названием сервера.

Если ни TCP, ни UDP не помогают: что делать дальше

Честный разговор. Если вы дочитали до этого места и переключение TCP/UDP не помогло — значит, проблема глубже. Вопрос VPN TCP vs UDP: как исправить ситуацию, когда классические методы не работают, имеет один ответ: нужна обфускация.

Смена порта: 1194, 443, 80

Порт 1194 UDP — стандартный для OpenVPN, и именно его блокируют первым. Попробуйте последовательно: 443 TCP, затем 80 TCP (HTTP), затем 8080 TCP. Некоторые провайдеры режут нестандартные порты оптом, оставляя только 80 и 443. Если сервер VPN поддерживает несколько портов — перебор займёт меньше пяти минут.

Переход на обфусцированные протоколы: Shadowsocks, VLESS/XRay, AmneziaWG

Современный DPI умеет определять OpenVPN и WireGuard даже на порту 443 — по паттернам рукопожатия и структуре трафика. Shadowsocks шифрует не только данные, но и заголовки, делая трафик статистически похожим на случайный шум. VLESS/XRay идут ещё дальше: они прячутся внутри легитимного WebSocket или gRPC-соединения к настоящему домену. AmneziaWG добавляет мусорные пакеты к WireGuard, ломая его сигнатуру.

Сервисы вроде NvoVPN и решения на базе Amnezia поддерживают эти протоколы без ручной настройки — это один из вариантов, если не хочется разворачивать собственный сервер. Для самостоятельной настройки нужен VPS и час времени с документацией XRay или 3x-ui.

Когда проблема не в протоколе, а в MTU

Симптом: VPN подключается, статус «подключено», но сайты либо не грузятся вообще, либо открываются частично — текст есть, картинки нет. Это классический признак конфликта MTU. VPN добавляет заголовки к пакетам, увеличивая их размер сверх допустимого MTU 1500 байт. Пакеты начинают фрагментироваться или теряться.

Решение для OpenVPN: добавьте в .ovpn файл строки mssfix 1400 и fragment 1400. Для WireGuard в настройках интерфейса установите MTU на 1380. Подобрать точное значение можно командой ping -M do -s 1400 8.8.8.8 (Linux/Mac) — уменьшайте размер, пока пинг не перестанет сообщать об ошибке фрагментации.

Проверка на стороне сервера и смена локации

Иногда проблема не в настройках клиента. VPN-сервер может быть перегружен, его IP мог попасть в блок-лист Роскомнадзора, или у хостинга проблемы с маршрутизацией до российских сетей. Попробуйте подключиться к другому серверу в другой стране — если заработало, значит, проблема была в конкретном узле. Нидерланды и Финляндия традиционно лучше проходят через российских провайдеров, чем, например, США или Австралия.

Часто задаваемые вопросы

Что быстрее для VPN — TCP или UDP?

UDP почти всегда быстрее и даёт меньшую задержку — нет накладных расходов на подтверждения и повторные отправки. На нормальной сети разница 10–30% по скорости и заметная разница в пинге. TCP выбирают ради проходимости через фаерволы и DPI, осознанно жертвуя скоростью. Держать TCP как основной протокол без причины — плохая идея.

Почему мой VPN работает только на TCP, а UDP не подключается?

Провайдер или DPI-система режет UDP-трафик на нестандартных портах. TCP на порту 443 маскируется под обычный HTTPS — именно поэтому проходит там, где UDP падает. Это прямой признак активной фильтрации трафика. На мобильном интернете (LTE/5G) такое встречается чаще, чем на домашнем оптоволокне.

Какой протокол выбрать для обхода блокировок YouTube, Instagram и Telegram?

Начните с UDP — он даст нормальную скорость для видео и стриминга. Если UDP режется провайдером — переходите на TCP 443. Если и это не помогает, а Telegram или Instagram всё равно не открываются — значит, без обфусцированных протоколов (VLESS/XRay, Shadowsocks, AmneziaWG) не обойтись. Простой выбор TCP/UDP против современного DPI — это лишь первый шаг.

У WireGuard есть выбор TCP или UDP?

Нет. WireGuard работает исключительно по UDP — это часть его архитектуры. Если ваш провайдер блокирует UDP, WireGuard не подключится никакими настройками на стороне клиента. Решения: переход на OpenVPN с TCP, использование AmneziaWG (добавляет обфускацию поверх WireGuard) или обёртка udp2raw, которая туннелирует UDP в TCP. Это одна из главных причин, почему WireGuard блокируется чаще, чем OpenVPN TCP.

VPN подключается, но интернета нет или сайты грузятся частично — при чём тут TCP/UDP?

Скорее всего, проблема в MTU, а не в выборе протокола. VPN-заголовки увеличивают размер пакетов, и они не проходят через туннель целиком. Попробуйте добавить mssfix 1400 и fragment 1400 в конфиг OpenVPN или снизить MTU до 1380 в настройках WireGuard. Также проверьте смену порта и локации сервера — иногда проблема там.

Опасно ли постоянно сидеть на TCP вместо UDP?

Не опасно в плане безопасности. Но на нестабильной сети TCP заметно медленнее из-за эффекта «TCP поверх TCP»: двойные повторы пакетов при потерях душат скорость. На хорошем оптоволокне разница небольшая. На мобильном интернете с потерями пакетов 2–5% — очень заметная. TCP держите как запасной вариант для прохождения блокировок, но при первой возможности возвращайтесь на UDP.

Если кратко резюмировать всё вышесказанное о VPN TCP vs UDP: как исправить большинство проблем — начинайте с UDP, при блокировках переходите на TCP 443, а если и это не помогает, смотрите в сторону обфускации. Выбор между TCP и UDP — это первый инструмент в арсенале, но не последний.

Похожие новости

Возможно, вам будет интересно