OpenVPN ถูกบล็อกทั้งหมดในรัสเซียหรือไม่?

ไม่ได้ถูกบล็อกในเชิงกฎหมาย — แต่ถูกจำกัดความเร็ว ทราฟฟิกถูกระบุโดย DPI และถูก shape ลงเหลือไม่กี่สิบ Kbps ซึ่งทำให้ใช้งานไม่ได้จริงสำหรับวิดีโอ เสียง และแอปส่วนใหญ่ แม้ว่าแพ็กเก็ต TCP จะยังไหลอยู่ในเชิงเทคนิคก็ตาม

แพตช์ XOR หรือแพตช์ scramble จะช่วยได้ไหม?

ไม่ ทั้งสองเพิ่มการพรางตัวที่ไร้สาระซึ่งอุปกรณ์ DPI ปัจจุบันจดจำได้ที่แพ็กเก็ตแรก พวกมันมีประสิทธิภาพในปี 2018–2020 และถูกทำลายเซ็นไปนานแล้ว

แล้ว OpenVPN over stunnel หรือ cloak ล่ะ?

Cloak อยู่รอดได้นานกว่า stunnel และยังทำงานได้ในบางช่องเฉพาะหากคุณหมุนเวียน IP และอัปเดต fingerprint เบราว์เซอร์ ในฐานะบริการแบบไม่ต้องแตะต้องสำหรับผู้ใช้ที่ไม่ใช่สายเทคนิค มันไม่น่าเชื่อถืออีกต่อไป VLESS+Reality ไม่ต้องการการหมุนเวียนใดๆ

ฉันนำเข้าไฟล์ .ovpn ของฉันเข้า VnePN ได้ไหม?

ไม่ได้ — VnePN ไม่รัน OpenVPN ลิงก์ subscription มีไว้สำหรับไคลเอนต์ VLESS+Reality (v2rayTUN, Streisand, Hiddify, Nekoray) การย้ายเป็นการคัดลอก-วางครั้งเดียว ไฟล์ .ovpn เก่าของคุณไม่จำเป็นอีกต่อไป

VLESS+Reality ช้ากว่าที่ OpenVPN เคยเป็นไหม?

ไม่ Reality เพิ่ม handshake TLS พิเศษหนึ่งครั้งตอนเริ่มเซสชัน (ไม่กี่ร้อยมิลลิวินาที ครั้งเดียว) ปริมาณงานในสถานะคงที่เทียบเท่ากับ WireGuard และนำหน้าการตั้งค่า OpenVPN ที่ใช้ TCP ใดๆ เพราะไม่มีบทลงโทษ TCP-over-TCP

OpenVPN ในรัสเซีย

การตั้งค่า OpenVPN ที่ทำงานได้เมื่อปีก่อน ในปี 2026 ถูกจำกัดความเร็วหรือบล็อกตรงๆ นี่คือสิ่งที่เปลี่ยนไป ทำไมแพตช์การพรางตัวจึงซื้อเวลาให้คุณได้แค่ไม่กี่วันไม่ใช่หลายเดือน และโปรโตคอลที่เข้ามาแทนที่อย่างเงียบๆ

สลับไปใช้ VLESS+Reality Free for 3 days — no card required

อะไรเปลี่ยนไปสำหรับ OpenVPN ในปี 2025–2026

OpenVPN เคยเป็นคำตอบเริ่มต้นสำหรับ "VPN ในรัสเซีย" มานาน โอเพนซอร์ส ผ่านการตรวจสอบ มีอยู่บนเราเตอร์ทุกตัว ตลอดเกือบทั้งปี 2023 การตั้งค่า UDP/1194 ธรรมดายังคงพาทราฟฟิกของคุณออกนอกประเทศได้อย่างน่าเชื่อถือ พอถึงปลายปี 2024 นั่นก็หมดไป พอถึงฤดูใบไม้ผลิปี 2026 แม้แต่ OpenVPN over TCP/443 พร้อม tls-crypt ก็ถูก shape และจำกัดความเร็วบน ISP ผู้บริโภคส่วนใหญ่ — Rostelecom, Beeline, MTS, Megafon — ภายในไม่กี่นาทีหลังเชื่อมต่อ

เหตุผลไม่ใช่รายการ IP ที่ถูกบล็อก แต่เป็น DPI ผู้ให้บริการรัสเซียได้ติดตั้งอุปกรณ์ TSPU ที่ fingerprint ทราฟฟิกตามรูปแบบ handshake การกระจายขนาดแพ็กเก็ต และจังหวะเวลา OpenVPN มีการแลกเปลี่ยนเปิดที่จดจำได้ — แม้ห่อหุ้มด้วย TLS รูปแบบภายในของแพ็กเก็ต P_CONTROL_HARD_RESET ก็ยังเด่นออกมา เมื่อการเชื่อมต่อถูก fingerprint แล้ว ผู้ให้บริการไม่จำเป็นต้องบล็อกมัน การจำกัดความเร็วลงเหลือ ~50 Kbps ก็เพียงพอที่จะทำให้วิดีโอ เสียง และแม้แต่ Telegram ใช้งานไม่ได้ และนั่นคือสิ่งที่ผู้ใช้ส่วนใหญ่รายงานในตอนนี้

เรื่องราวเดียวกันนี้เกิดกับ IKEv2/IPSec, L2TP และ WireGuard มาตรฐาน อะไรก็ตามที่มี handshake แบบคงที่จะถูก fingerprint โปรโตคอลเหล่านี้ไม่ได้ถูก "เจาะ" ในเชิงการเข้ารหัส — ผู้ให้บริการอ่านทราฟฟิกของคุณไม่ได้ — เขาแค่ไม่จำเป็นต้องอ่าน แค่ระบุโปรโตคอลก็เพียงพอที่จะทำให้มันช้าลง

ทำไมแพตช์การพรางตัวจึงเป็นการแก้ปัญหาชั่วคราว

ชุมชน OpenVPN ตอบสนองด้วยแพตช์: obfsproxy, stunnel, cloak, OpenVPN over WebSocket, แพตช์ scramble, OpenVPN ที่แพตช์ด้วย XOR ทั้งหมดมีจุดอ่อนร่วมกันหนึ่งอย่าง: พวกมันห่อโปรโตคอลที่รู้จักไว้ในชั้นที่ตัวมันเองกลายเป็นจดจำได้เมื่อมีคนใช้มากพอ

ตัวอย่างเช่น OpenVPN ที่ห่อด้วย stunnel สร้างการเชื่อมต่อ TLS — แต่จังหวะเวลาของทราฟฟิก OpenVPN ภายในรั่วออกมา ผู้ผลิต DPI รัสเซียเก็บตัวอย่างสักสองสามสัปดาห์ ปล่อยอัปเดตลายเซ็น แล้วชั้นห่อก็ถูกตรวจจับ Cloak เพิ่ม fingerprint TLS แบบสุ่ม มันอยู่รอดได้นานกว่า แต่พอถึงกลางปี 2025 เซิร์ฟเวอร์ Cloak สาธารณะส่วนใหญ่ก็ถูกจำกัดความเร็วไปแล้ว

แพตช์ XOR สมควรกล่าวถึงเป็นพิเศษเพราะกระทู้ฟอรัมเก่าๆ ยังคงแนะนำมันอยู่ มันคือการพรางตัวที่ไร้สาระโดยพื้นฐาน — XOR ด้วยคีย์คงที่ มันเอาชนะ DPI ได้ในปี 2018 ในปี 2026 กล่อง TSPU ทุกตัวบนเครือข่ายตรวจจับมันได้ที่แพ็กเก็ตแรก

หากคุณดูแลการตั้งค่า OpenVPN สำหรับใช้ส่วนตัวและยินดีหมุนเวียน IP พอร์ต และ cipher ทุกสองสามสัปดาห์ คุณยังคงทำให้มันมีชีวิตอยู่ได้ แต่ในฐานะบริการสำหรับผู้ใช้ที่ไม่ใช่สายเทคนิค ยุคของ OpenVPN ในฐานะตัวเลือกเริ่มต้นได้สิ้นสุดลงแล้ว

อะไรที่ทำงานได้จริงในปี 2026: VLESS+Reality

โปรโตคอลที่เข้ามาแทนที่ OpenVPN ภายในรัสเซียไม่ใช่ข้อกำหนด VPN ใหม่ — มันคือทรานสปอร์ต Reality ที่ฝังอยู่ในระบบนิเวศ XRay/V2Ray ทำ handshake TLS 1.3 จริงกับเว็บไซต์บุคคลที่สามจริง (dest ของคุณ: มักเป็น www.microsoft.com, www.cloudflare.com หรือคล้ายกัน) ใบรับรองที่ไคลเอนต์เห็นคือใบรับรองจริงของโดเมนนั้น ไม่มี CA ปลอม ไม่มีใบรับรอง self-signed ไม่มี fingerprint ให้ตั้งธง

ภายในเซสชัน TLS จริงนั้น VLESS แบกข้อมูลของคุณ สำหรับ DPI การเชื่อมต่อดูเหมือนกันกับเบราว์เซอร์ที่เปิดเว็บไซต์กำบัง SNI เดียวกัน ALPN เดียวกัน เชน X.509 เดียวกัน จังหวะเวลาแพ็กเก็ตเดียวกันในไม่กี่ RTT แรก เมื่อเซสชันถูกสร้างขึ้น รูปแบบทราฟฟิกตรงกับการท่องเว็บ HTTPS ปกติ — ขนาดแพ็กเก็ตหลากหลาย ทิศทางไม่สมมาตร ไม่มีจังหวะคงที่

นี่คือเหตุผลที่ VLESS+Reality ยืนหยัดได้ในขณะที่ OpenVPN, WireGuard, IKEv2 และ Shadowsocks ทำไม่ได้ ไม่มีลายเซ็นให้ DPI เขียน การบล็อกมันหมายถึงการบล็อกเว็บไซต์กำบัง อ่านคำอธิบายโปรโตคอลเชิงลึก หากคุณต้องการดู handshake แบบทีละขั้นตอนเต็มรูปแบบ

ผู้ลี้ภัยจากการตั้งค่า OpenVPN → VnePN ใน 2 นาที

หากคุณกำลังอ่านสิ่งนี้เพราะการตั้งค่า OpenVPN ของคุณเพิ่งหยุดทำงาน การย้ายนั้นสั้น VnePN รัน VLESS+Reality ที่ฝั่งเซิร์ฟเวอร์ ส่งลิงก์ subscription ให้ไคลเอนต์ และกำหนดเส้นทางทราฟฟิกรัสเซียออกนอกอุโมงค์โดยอัตโนมัติ — แอปธนาคาร Госуслуги บริการ Yandex ทำงานต่อได้โดยไม่ต้องตั้งข้อยกเว้นด้วยตนเอง

ลงชื่อเข้าใช้ด้วยอีเมล (ไม่มีรหัสผ่าน ไม่มีบัตร) คัดลอก URL subscription วางลงใน v2rayTUN บน Android, Streisand บน iOS หรือ Hiddify/Nekoray บนเดสก์ท็อป การเชื่อมต่อขึ้นในครั้งแรก ช่วงทดลองใช้ 3 วันครอบคลุมโปรโตคอลเดียวกันกับที่ผู้ใช้แบบจ่ายเงินของคุณจะใช้ — เซิร์ฟเวอร์เดียวกัน ความเร็วเดียวกัน

หากคุณอยากเข้าใจเส้นทางเฉพาะอุปกรณ์ก่อน: การตั้งค่า Android, การตั้งค่า iPhone, การตั้งค่า PC และ macOS โปรโตคอลเหมือนกันทั้งหมด

สำหรับผู้โฮสต์เอง: ทำให้ OpenVPN มีชีวิตอยู่ที่บ้าน

ยังมีช่องที่ OpenVPN สมเหตุสมผล — อุโมงค์ site-to-site ระหว่างจุดปลายที่เชื่อถือได้สองจุด ที่ไม่มีจุดใดอยู่บน ISP ที่พักอาศัยของรัสเซีย หากทั้งสองฝั่งอยู่บนผู้ให้บริการ VPS ยุโรป OpenVPN ที่ใช้ cipher สมัยใหม่ (AES-256-GCM, tls-crypt-v2, คีย์ EC) ก็ใช้ได้ดี ปัญหา DPI เกี่ยวข้องโดยเฉพาะกับ last mile ฝั่งรัสเซีย

หากคุณต้องรัน OpenVPN เข้าไปในรัสเซีย (เช่น เพื่อเข้าถึง homelab) ให้ห่อมัน ตัวเลือกที่แย่น้อยที่สุดในปี 2026 คือ OpenVPN over TLS ที่ห่อด้วย cloak บนพอร์ตที่กำหนดเอง โดยตั้ง BrowserSig ของ cloak เป็น Chrome รุ่นล่าสุด หมุนเวียน IP ทุก 2 สัปดาห์ และมี fallback ไปยัง HTTPS ธรรมดาบนพอร์ตเดียวกันสำหรับทราฟฟิกที่ handshake ล้มเหลว คาดว่าจะใช้เวลาบำรุงรักษาเดือนละหนึ่งเย็น ผู้อ่านส่วนใหญ่จะดีกว่าหากชี้ homelab ไปที่จุดปลาย WireGuard ของ VnePN และปล่อยให้ Reality จัดการทางออก

Frequently Asked Questions

เปลี่ยนจาก OpenVPN ก่อนที่มันจะแย่ลง

เซิร์ฟเวอร์เดียวกัน ไม่มีร่องรอย DPI ไม่ต้องหมุนเวียนไฟล์ .ovpn ฟรี 3 วัน ไม่ต้องใช้บัตร

สลับไปใช้ VLESS+Reality