Ночная «задержка» интернета: что происходит и как вернуть нормальную скорость

За последние годы пользователи в России неоднократно фиксировали резкое падение скорости интернета в ночное время: в некоторых случаях скачки задержки (ping) увеличивались с обычных 20–40 мс до 200–800 мс, а скорость загрузки падала на 50–90%. Такие явления часто связывают с действиями регулятора — в разговорной речи это формулируют как «роскомнадзор замедлил интернет ночью как обойти» и ищут конкретные методы обхода.

Технически провайдеры и регулятор оперируют инструментами уровня сети: блокировки по IP, фильтрация по SNI/HTTP заголовкам, DPI-мониторинг и управление QoS. Конкретно: SNI в TLS 1.2 остаётся открытым, HTTPS по TCP/443 — самый распространённый вектор фильтрации, а стандартные VPN-порты — OpenVPN 1194 и WireGuard 51820 — часто становятся целью таргетинга.

Как точно определить, что скорость намеренно ограничена

Первый шаг — собрать цифры: запускайте Speedtest (Ookla) и fast.com в разное время суток и фиксируйте результаты; если скачок скачет более чем на 50% ночью по сравнению с 12:00–18:00 — это индикатор аномалии. Пример: дневная скорость 100 Мбит/с vs ночная 10–20 Мбит/с — падение в 80–90%.

Для детальной диагностики используйте сетевые утилиты: traceroute (Linux: traceroute -T -p 443 host, Windows: tracert -d host) и MTR (mtr -rwzbc100 host) для 100 пакетов, чтобы увидеть где увеличивается задержка или идут потери пакетов (packet loss >5% уже критично). Также делайте тесты с TCP-портом 443 и UDP, чтобы понять, блокируются ли только UDP-пакеты (типично для WireGuard 51820) или и TCP.

Какие методы блокировки используют и почему некоторые обходы не работают

Часто применяют три основных механизма: 1) IP-блокировка — блокируются подсети/адреса (CIDR, например /24), 2) SNI/HTTP-фильтрация — по открытым полям TLS/HTTP, 3) DPI (Deep Packet Inspection) — анализ содержания пакетов на уровне приложений. DPI-решения от вендоров (упоминаются продукты вроде Sandvine) позволяют детектировать протоколы по сигнатурам и throttle трафик по типу.

Из-за DPI простые методы обхода вроде смены порта (например, перенести OpenVPN с 1194 на 443) иногда не помогают: если применяется DPI по сигнатурам OpenVPN, то трафик будет распознан и замедлён. Аналогично, использование стандартных прокси (HTTP) может быть замечено; поэтому нужны протоколы и обфускация, которые маскируют сигнатуры.

Практические способы обхода ночного замедления: протоколы и конфигурации

Основные надёжные методы — VPN с обфускацией, туннелирование через TLS/HTTPS и SOCKS/SSH-туннели. Конкретные протоколы и порты: WireGuard (по умолчанию UDP 51820), OpenVPN (обычно UDP 1194, можно ставить TCP 443), IKEv2/IPSec (UDP 500/4500). Для надёжности рекомендуют запускать VPN-сервис на TCP-порту 443, потому что этот порт используется для HTTPS и его массовая блокировка приведёт к коллапсу веб-трафика.

Обфускация и "прикрытие" сигнатур: используйте obfs4 (Tor-подобная обфускация), stunnel (оборачивает VPN в TLS), или Shadowsocks (TCP/UDP прокси). Пример: OpenVPN + stunnel — OpenVPN на локальном порту 1194 оборачивается в TLS через stunnel на порт 443; это даёт маскировку под обычный HTTPS и затрудняет DPI-распознавание.

WireGuard — быстрый и лёгкий вариант

WireGuard встроен в ядро Linux начиная с версии 5.6 (мерж — март 2020), что даёт низкие задержки и высокую пропускную способность: на современных CPU можно получить сотни мегабит/сек до гигабитов при правильной настройке. Рекомендация: если сеть провайдера не блокирует UDP, используйте WireGuard на порт 51820; при блокировке — перенесите на 443 и используйте TCP-обёртку (wg+tcp через socat или vpn over TLS).

Пример команды для поднятия интерфейса: wg-quick up wg0 (с конфигом, где endpoint = vpn.example.com:51820 и ключи). Проверьте скорость: ixgbe/realtek-сетевые карты обычно удерживают 300–700 Мбит/с для WireGuard при нагрузке, тогда как OpenVPN может быть медленнее на 10–30%.

OpenVPN и TLS-обёртки

OpenVPN (рекомендуется версия 2.4 и выше) поддерживает AES-GCM и TLS 1.2/1.3, его можно запускать по TCP 443: в конфиге протокол — proto tcp-client и remote vpn.example.com 443. Минус — большая нагрузка на CPU и, в ряде случаев, более высокая задержка по сравнению с WireGuard.

Чтобы избежать DPI, комбинируйте OpenVPN с stunnel: stunnel слушает 443 и терминирует TLS, передавая трафик внутрь OpenVPN на локальный порт 1194. Это даёт видимость обычного HTTPS-соединения; проверено в сетях, где чистая SNI-фильтрация стоит в приоритете.

Пошаговая инструкция: базовый чек-лист и команды

Чек-лист действий при подозрении на ночное замедление: 1) записать показатели Speedtest (время и результат в Мбит/с), 2) запустить mtr на 100 пакетов и сохранить лог (mtr -rwzbc100 8.8.8.8 > mtr_log.txt), 3) проверить разницу между TCP и UDP (traceroute -T -p 443 vs traceroute -U -p 51820 при поддержке), 4) подключиться к VPN на порту 443 с обфускацией и повторить speedtest.

Примеры конкретных команд: SSH-туннель — ssh -D 1080 -p 443 user@your.server.com (локальный SOCKS proxy на 1080); stunnel конфиг-пример — [openvpn] accept = 443 connect = 127.0.0.1:1194; WireGuard — wg-quick up wg0; проверить внешний IP — curl http://ifconfig.me (выдаст адрес за 1