Как работает VPN, HTTPS и TLS: база для понимания проблем с подключением

HTTPS защищает сайт, но не заменяет VPN

HTTPS нужен, чтобы зашифровать обмен между браузером и конкретным сайтом. Благодаря TLS посторонний наблюдатель не видит содержимое страницы, пароль или форму оплаты. Но провайдер всё равно видит, на какой домен вы идёте — SNI (Server Name Indication) в ClientHello передаётся в открытом виде без ECH.

VPN решает другую задачу: он меняет маршрут трафика для устройства целиком или для выбранных приложений. Поэтому HTTPS и VPN не конкурируют — они закрывают разные уровни.

TCP и UDP: два разных поведения сети

TCP проверяет доставку пакетов и восстанавливает порядок. Это хорошо для сайтов, файлов и большинства приложений — важна надёжность, а не максимальная скорость.

UDP быстрее и проще: пакеты отправляются без подтверждения доставки. В VPN-мире это важно — быстрый протокол на UDP может работать отлично в одной сети и нестабильно в другой, если оператор агрессивно ограничивает UDP-трафик.

• TCP чаще похож на обычный веб-трафик — сложнее заблокировать огульно.
• UDP используют звонки, игры, QUIC и WireGuard.
• Мобильные операторы часто ограничивают UDP агрессивнее TCP.
• Смена транспорта иногда решает проблему без замены тарифа.

TLS-отпечаток: почему клиент VPN имеет значение

Во время TLS-рукопожатия клиент сообщает серверу набор возможностей: версии, шифры, расширения и другие параметры. По этим деталям сеть может определить, на что похоже приложение — браузер, мобильный клиент или серверная библиотека.

Именно поэтому VPN-клиенты с поддержкой uTLS важнее устаревших сборок: они формируют TLS-профиль, похожий на обычный Chrome или Firefox, а не на характерный Go TLS-стек. Установка актуального клиента — первый шаг диагностики в современных сетях.

OS fingerprinting: как сеть узнаёт вашу операционную систему

Ваше устройство общается с сетью с характерным «акцентом» в заголовках пакетов. TTL (Time To Live) — количество допустимых прыжков через маршрутизаторы — у Linux/Android обычно 64, у Windows — 128, у macOS — 64. TCP Window Size (начальный размер буфера) тоже отличается у разных ОС.

Системы DPI используют эти признаки, чтобы отличить реального пользователя от прокси-сервера. Если трафик имеет ID Windows в User-Agent, но TTL как у Linux-сервера — это аномалия. Поэтому VPN-приложения на устройстве ведут себя честнее, чем серверные прокси без правильной маскировки OS-параметров.

• TTL 64 — Linux/Android/macOS; TTL 128 — Windows. Видно без расшифровки.
• TCP Window Size различается у разных ОС и может выдать сервер, притворяющийся браузером.
• Несоответствие OS-fingerprint и User-Agent — сигнал для DPI о возможном прокси.
• Современные VPN-клиенты не меняют TTL и Window Size — они и так «браузерные» по природе.

DNS, MTU и MSS: почему подключение есть, а сайты не открываются

Иногда VPN показывает статус «подключено», но сайты не открываются. Это не всегда проблема сервера. DNS отвечает за поиск IP-адресов по доменам — если DNS-цепочка ломается, приложение не понимает, куда подключаться.

MTU описывает максимальный размер пакета на участке сети, а MSS — полезный размер TCP-данных. VPN добавляет дополнительную оболочку, поэтому пакет, который раньше проходил, иногда становится слишком большим для маршрута. Симптом — маленькие страницы открываются, а тяжёлые сайты и видео зависают.

Что это даёт на практике