Shadowsocks в 2026: почему перестал работать в России и чем заменить

Shadowsocks — один из самых заслуженных туннельных протоколов: написан в Китае в 2012-м, четырнадцать лет почти без перерывов держал связь между Китаем и остальным интернетом, прошёл несколько эпох глобальной фильтрации. В русскоязычной аудитории его узнали не сразу — массовый трафик пришёл через Outline, упакованную Google Jigsaw сборку Shadowsocks-2022. Полтора года назад ss://...-ключ в Telegram-канале был самым обычным способом открыть ChatGPT с домашнего ноутбука. К весне 2026-го та же история уже звучит иначе: ключи перестают отвечать через 3-7 дней, серверы получают abuse-репорты, отдельные сервисы кидают 403 даже когда тумблер зелёный.

Внизу — что происходит с Shadowsocks в России 2025-2026, почему это структурное, а не временное, и на что переезжать, если ваши ключи второй раз за месяц устают.

Что такое Shadowsocks и откуда вообще пришла эта семья протоколов

Shadowsocks появился в 2012 году. Автор — разработчик под ником clowwindy. Идея простая, в духе той эпохи: упаковать обычный SOCKS5-прокси в зашифрованный поток, чтобы китайский GFW (Great Firewall) не видел ни целевого адреса, ни содержимого. Под капотом — поточный шифр (изначально RC4-MD5, потом AES-CFB, потом ChaCha20), а наверху — SOCKS5-семантика: клиент говорит серверу «открой TCP-соединение на эту пару host:port», сервер открывает и передаёт байты в обе стороны.

В 2017-м команда отдельных мейнтейнеров перешла на AEAD-шифры — chacha20-ietf-poly1305 и aes-256-gcm. AEAD убрал утечку длины (старый stream-cipher позволял GFW различать пакеты по их размерам с миллиметровой точностью) и добавил аутентификацию каждого пакета. С этого момента классический SS пишут именно с AEAD.

В 2022-м появилась Shadowsocks-2022 — новая спецификация, которую разработала команда вокруг проекта shadowsocks-rust (автор database64128). Главные новшества: методы вида 2022-blake3-aes-128-gcm, ключи на основе BLAKE3-деривации (вместо старого EVP_BytesToKey), исправлены остаточные утечки длины, поправлен replay-attack-вектор. UDP в SS-2022 переделан полностью — фрейминг другой, и старые клиенты SS-2022 не понимают.

Параллельно жил SSR (ShadowsocksR) — форк анонимного разработчика breakwa11, выпущенный около 2015 года. SSR добавлял obfuscation-плагины (tls1.2_ticket_auth, http_simple) и протокол-плагины поверх базового Shadowsocks. Сообществом SSR воспринимался как «грязный» — автор скрыл часть кода, документации почти не было. К 2020-м SSR практически вымер: китайский GFW научился распознавать его сигнатуры быстрее, чем чистый SS.

Outline — обёртка Google Jigsaw поверх SS-2022. Это та же спецификация, но с админкой Outline Manager, графическими клиентами Outline Client и удобной shell-командой для развёртывания на любом VPS за десять минут. Подробно про Outline — в отдельном разборе про протухающие ключи.

Подходит ли Shadowsocks лично вам в 2026? Короткий тест

Аудитория этой статьи разная — кто-то админ собственного сервера, кто-то просто потребитель раздаваемых ключей. Логичнее сразу развести по сегментам.

Ваша ситуация	Что выбрать
У меня Outline-ключи, они перестали работать второй раз за месяц	Секция «Outline — что и почему» + Outline-разбор
Слышал про Shadowsocks, не пробовал — стоит сейчас?	Секция «Когда SS-2026 ещё работает»
У меня свой VPS с Shadowsocks, думаю мигрировать	Секция «Миграция с SS на AmneziaWG»
Использую Hiddify / sing-box со связкой Shadowsocks-out	Секция «Что делать с SS-outbound внутри Hiddify»
Просто нужно что-то рабочее, без админки	Готовый туннель — конфиг QR-кодом на email

Если вы в последней строке — дальше можно не читать — тарифы и устройства поставки описаны там же. Остальным — спокойно по секциям.

Почему Shadowsocks 2026 перестал работать в России

История повторяется по той же траектории, по которой Shadowsocks проходил в Китае в 2018-2020 годах. Просто с шестилетним отставанием. Российские провайдеры в 2024-2026 годах постепенно внедрили DPI-сигнатуры на handshake-фазу AEAD-шифров.

Технически опознавать классический SS легко. Первый пакет от клиента имеет характерное распределение энтропии и длины: первые 32-50 байт — IV или соль, дальше — зашифрованное тело с предсказуемой длиной адресной части. Packet-shape детектор сравнивает эти признаки с обычным TCP-трафиком (где первый пакет — TLS ClientHello с узнаваемой структурой) и помечает поток как «подозрительный». Сам факт пометки ещё не блокирует — оператор может настроить разные действия: пропустить, замедлить, дропнуть, добавить IP сервера в blocklist на час-два.

SS-2022 закрыл часть утечек, но не все. Длина первого пакета осталась узнаваемой, IV-структура стала случайнее, но всё равно отличима от TLS. Active probing — это когда DPI сам отправляет на подозрительный сервер пробный пакет и смотрит реакцию — добивает узнавание: классический Shadowsocks-сервер на пробу отвечает паттерном, который не похож ни на один публичный протокол. SS-2022 active probing переносит лучше, но всё равно не идеально.

К этому добавляется abuse-флоу хостингов. Volunteer-серверы на DigitalOcean, Hetzner, Vultr нередко получают абьюз-репорты — за gaming-трафик, торренты, скрейпинг с подсети. Хостинг отрубает VPS или меняет IP. Раздачи в Telegram-каналах через сутки уже выдают устаревший ключ.

Третий слой — blocklist’ы конкретных сервисов. OpenAI, Cloudflare-fronted-сайты, Apple Pay, Netflix ведут собственные списки IP датацентров и подсетей, через которые «подозрительно много» запросов идёт. Когда volunteer-сервер Shadowsocks делят сотни пользователей, попадание в blocklist — вопрос недель.

Если ваши Outline-ключи перестают работать второй раз за месяц, а админ сервера молчит — Shadowsocks починить уже не получится, потому что DPI распознал саму сигнатуру протокола. На AmneziaWG это другая история: junk packets перед handshake и magic header bytes в самом фрейме ломают паттерн, по которому DPI узнавал WireGuard, и сигнатура каждого сервера уникальна. У нас Molystrix — 249 ₽/мес за 3 устройства, конфиг QR-кодом на email сразу после оплаты. → Посмотреть тарифы

Когда Shadowsocks-2026 ещё работает (если очень хочется попробовать)

Не везде в России DPI одинаково строгий. Список сценариев, где SS-2022 в 2026-м продолжает работать предсказуемо.

Сети с базовым firewall’ом. Корпоративный Wi-Fi без deep inspection, университетский интернет в общежитии с простым L4-фаерволом, отельные роутеры с дефолтной прошивкой. Здесь нет packet-shape детекторов — есть только списки портов и общая фильтрация по IP. SS-2022 проходит спокойно, особенно если сервер слушает порт 443 или 8443 (визуально неотличимо от HTTPS на уровне port-based фильтра).

Через simple-obfs плагин (репозиторий помечен deprecated с 2019 года). Это старая утилита от shadowsocks команды, которая оборачивает SS-handshake в фейковый HTTP/TLS-заголовок. Не панацея — современный DPI распознаёт simple-obfs тоже, потому что фейк-заголовок имеет фиксированную структуру — но добавляет несколько недель жизни ключу против ленивых детекторов.

Через v2ray-plugin. Это уже гибрид: внешне трафик выглядит как обычный WebSocket или mKCP, а внутри — Shadowsocks-frame. От чистого SS отличается принципиально — у вас уже не Shadowsocks, у вас Shadowsocks-внутри-VLESS-light. Работает дольше, но и установка сложнее, и плагин нужно ставить на обе стороны.

На нестандартном порту 443. Само по себе не маскирует протокол на уровне DPI, но проходит через порт-фильтры у провайдеров, которые тупо режут все UDP/TCP-порты кроме 80, 443, 22. На бытовых сетях с ADSL-роутерами иногда хватает.

Чистый SS-2022 без обёрток в РФ-2026 работает непредсказуемо — ключ может протянуть неделю, а может умереть за сутки. Через месяц-полтора DPI добивает сигнатуру, IP уходит в blocklist, ключ нужно искать снова.

Чем заменить Shadowsocks в 2026: четыре варианта

Готовый туннель на AmneziaWG. Минимальный путь для большинства. AmneziaWG — форк WireGuard от российской команды Amnezia с двумя слоями обфускации. Первый — junk packets jc/jmin/jmax: перед handshake клиент шлёт фиктивные UDP-пакеты случайной длины, поэтому packet-shape детектор не видит первого реального handshake-пакета. Второй — magic header bytes s1/s2 и заменённые типы пакетов h1/h2/h3/h4: в самом handshake-фрейме перебиты те байты, по которым DPI распознавал WireGuard. На клиентах — открытое приложение AmneziaWG из App Store и Google Play, на ПК — отдельный Windows-клиент с GitHub. Подробнее про различия — в сравнении AmneziaWG с обычным WireGuard.

VLESS Reality на своём VPS. Вариант для тех, кто готов сам админить. VLESS — протокол семейства XRay, Reality — техника обфускации, которая маскирует ваш трафик под TLS-handshake к реально существующему чужому домену (типа www.microsoft.com или www.cloudflare.com). DPI видит ClientHello к публичному сайту, пропускает, дальше TLS уходит на ваш сервер. Поднимается через 3X-UI админку. Минусы: настройка заметно сложнее SS, клиентов под VLESS на iPhone нет официальных, только сторонние Streisand и FoXray. Кому интересен этот путь — есть отдельное сравнение VLESS vs WireGuard/AmneziaWG.

WireGuard + obfs4-bridge. Экзотический путь: ставите Tor-style obfs4 мост перед WireGuard-сервером, клиент сначала ходит через obfs4 как через Tor-bridge, дальше — обычный WireGuard. Работает, но клиентский стек сложный, поддерживается мало где, нет ни одного бытового приложения с этим из коробки.

Подписка на готовый AmneziaWG-туннель. Признать наличие self-promotion проще, чем притвориться, что его нет. Для большинства людей в режиме «нужно стабильно, не хочу админить» вариант ровно один — подписка на сервис, который выдаёт готовый AmneziaWG-конфиг. У нас Molystrix — 249 ₽ в месяц за 3 устройства, конфиг QR-кодом на email после оплаты, серверы вне раздачи Shadowsocks-community, на которые DPI уже наточен.

Миграция с собственного SS-сервера на AmneziaWG: пошаговая инструкция

Для тех, кто держит свой VPS и хочет уйти со Shadowsocks-2022 на AmneziaWG.

Шаг 1. Backup текущий SS-конфиг. Скопируйте /etc/shadowsocks-libev/config.json (или конфиг Outline-сервера, если ставили через Outline Manager — он лежит в /opt/outline/persisted-state/) в безопасное место. На случай, если решите вернуться.

Шаг 2. Установите AmneziaWG-инструменты. На Ubuntu 22.04+:

sudo add-apt-repository ppa:amnezia/ppa
sudo apt update
sudo apt install amneziawg amneziawg-tools

Пакет amneziawg собирает kernel-модуль через DKMS — после установки модуль становится доступен в текущем ядре. На минималистичных VPS-образах может не быть linux-headers-$(uname -r) — поставьте отдельно, иначе DKMS-сборка не пройдёт.

Шаг 3. Сгенерируйте ключи. AmneziaWG использует те же Curve25519-ключи, что и WireGuard:

awg genkey | tee server.key | awg pubkey > server.pub
awg genkey | tee client1.key | awg pubkey > client1.pub

Шаг 4. Конфиг сервера. Положите в /etc/amnezia/amneziawg/awg0.conf:

[Interface]
PrivateKey = <server.key>
Address = 10.7.0.1/24
ListenPort = 51820
Jc = <random_3_to_10>
Jmin = <random_50_to_100>
Jmax = <random_500_to_1000>
S1 = <random_15_to_150>
S2 = <random_15_to_150>
H1 = <random_uint32_5_to_2147483647>
H2 = <random_uint32_5_to_2147483647>
H3 = <random_uint32_5_to_2147483647>
H4 = <random_uint32_5_to_2147483647>
PostUp = iptables -A FORWARD -i awg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i awg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <client1.pub>
AllowedIPs = 10.7.0.2/32

Параметры Jc/Jmin/Jmax/S1/S2/H1-H4 рандомизируются на ваш выбор — главное, чтобы они совпадали между сервером и клиентом, и были уникальны для вашей инсталляции (одинаковые значения на всех серверах = общая сигнатура). Для генерации 4 случайных значений H1-H4 удобно: awk 'BEGIN{srand(); for(i=0;i<4;i++) print int(5 + rand()*2147483643)}'. Конкретно H1-H4 нужно держать в диапазоне от 5 до 2³¹−1 — значения 1-4 совпадут с дефолтными типами пакетов WireGuard, и обфускация заголовков перестанет работать.

Шаг 5. Конфиг клиента. Файл вида client1.conf (значения Jc/Jmin/Jmax/S1/S2/H1-H4 берёте те же, что прописали на сервере):

[Interface]
PrivateKey = <client1.key>
Address = 10.7.0.2/32
DNS = 1.1.1.1
Jc = <same_as_server>
Jmin = <same_as_server>
Jmax = <same_as_server>
S1 = <same_as_server>
S2 = <same_as_server>
H1 = <same_as_server>
H2 = <same_as_server>
H3 = <same_as_server>
H4 = <same_as_server>

[Peer]
PublicKey = <server.pub>
Endpoint = <your-vps-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Передайте этот файл пользователю — он его импортирует в приложение AmneziaWG (QR-код через qrencode -t ansiutf8 < client1.conf или просто файлом).

Шаг 6. Запуск и тест. sudo awg-quick up awg0, проверьте awg show — должен появиться peer. После подключения клиента — awg show awg0 покажет handshake-метку. Speedtest изнутри туннеля — обычно 80-150 Mbps на gigabit-VPS.

Шаг 7. Раздайте новые конфиги. Если у вас несколько пользователей, для каждого генерится своя пара ключей и отдельная [Peer]-секция в server-конфиге. После того как все мигрируют — старый SS-сервис можно остановить (systemctl stop shadowsocks-libev) и удалить через пару недель, когда убедитесь, что никто не вернулся.

Подробнее про выбор VPS под собственный AmneziaWG-сервер — где взять стабильный сервер.

Outline → AmneziaWG: что особенного, если у вас Outline Manager

Outline Manager и AmneziaWG-инфраструктура — это разные программные стеки. Outline Manager управляет своим демоном Outline-Server через REST API, AmneziaWG живёт через awg-quick и shell-конфиги. Outline Manager не умеет генерить AmneziaWG-конфиги — не пытайтесь интегрировать.

Что работает:

Параллельный запуск. На той же VPS поставьте AmneziaWG на свободный порт (51820) рядом с Outline-сервером (который слушает свой 1024+-порт). Они не конфликтуют — это два отдельных сетевых интерфейса. Сгенерируйте AmneziaWG-конфиги и раздайте пользователям параллельно с Outline-ключами. Через неделю-две, когда люди мигрировали, остановите Outline-сервис.

Конфликт по IP-пулу. Если ваш Outline использует подсеть 10.0.0.0/24 для peer’ов (бывает редко, но проверяется в Outline-конфиге), выберите для AmneziaWG другую подсеть — например 10.7.0.0/24. Иначе пакеты пойдут не туда.

Маркетинг переезда. Если ключи раздавали через Telegram-канал, готовый шаблон сообщения: «Outline-инфраструктура переезжает на AmneziaWG — новый протокол с обфускацией handshake. Старые ключи будут работать ещё две недели, новый файл AmneziaWG в архиве: ссылка. Импортируется в приложение AmneziaWG из App Store / Google Play». Нейтральный технический язык в таком объявлении работает лучше эмоциональной риторики — у людей меньше тревоги.

Что делать с SS-outbound внутри Hiddify / sing-box

Если вы пользуетесь сборкой типа Hiddify (Android/iOS клиент с поддержкой множества протоколов через sing-box ядро) и в вашем профиле прописан Shadowsocks-outbound — конкретно SS-часть в 2026-м деградирует так же, как и standalone Shadowsocks.

Что делать практически:

Поменяйте outbound на VLESS/AmneziaWG. Hiddify и sing-box умеют оба. Если у админа есть VLESS-Reality или WireGuard/AmneziaWG-сервер — попросите новый профиль. Импортировать в sing-box по такой же кнопке «From URL», как и SS-профиль.

Цепочка SS → TLS-bridge. В sing-box можно прописать SS-outbound, который ходит через локальный transport-layer типа v2ray-plugin (WebSocket-over-TLS). DPI видит TLS-handshake, а внутри уже идёт SS. Сложно настраивать, но если админ сервера это поддерживает — спросите.

Полная замена sing-box на AmneziaWG. Если sing-box у вас стоял только ради SS-outbound, проще удалить весь sing-box и поставить чистый AmneziaWG-клиент. Меньше движущихся частей, проще диагностика.

Часто задаваемые вопросы

Shadowsocks ещё работает в России в 2026?

Частично. На сетях с базовым firewall’ом (университетский Wi-Fi, корпоративные сети с простой фильтрацией, бытовые ADSL-роутеры) SS-2022 на нестандартном порту 443 работает предсказуемо. На сетях массовых российских провайдеров (МТС, Билайн, Ростелеком) packet-shape DPI уверенно распознаёт AEAD-handshake, IP volunteer-серверов попадает в подвижные blocklist’ы за 1-3 недели. Ключи протухают быстрее, чем в 2024 году. Для домашнего использования через крупного провайдера SS как основной протокол в 2026-м не выдерживает: ключи протухают за 1-3 недели, у пиковой нагрузки и того быстрее.

В чём разница Shadowsocks 2022 и обычного?

Shadowsocks (2012) использует stream-cipher или AEAD-шифры (chacha20-ietf-poly1305, aes-256-gcm) с derived-ключами через EVP_BytesToKey. Shadowsocks-2022 (с 2022 года) — переписанная спецификация: новые методы вида 2022-blake3-aes-128-gcm, ключи через BLAKE3-деривацию, исправлены остаточные length-утечки, переделан UDP-фрейминг. Шифры сильнее, защита от replay-атак строже, packet-shape сигнатура чуть менее узнаваемая. Outline по умолчанию ставит SS-2022, но Telegram-раздачи часто живут на классике.

Outline — это то же что Shadowsocks?

Технически — да. Outline Server и Outline Client — это обёртка Google Jigsaw поверх Shadowsocks-2022-протокола, с дополнительной админкой Outline Manager и удобным GUI. Любой ss://...-ключ от Outline принимается обычными Shadowsocks-клиентами вроде v2rayN или Shadowrocket. Обратное тоже работает: классический SS-2022 ключ можно вставить в Outline Client. По «движку» это один протокол.

Почему Outline ключи перестали работать?

Пять основных причин: сервер забит (бесплатный ключ из канала делят тысячи пользователей, throughput валится до 200-500 Кбит/с), сервер закрыли (abuse-репорт на хостинге или владелец сам сменил IP), DPI распознал Shadowsocks-сигнатуру и режет конкретные потоки, истекла квота на трафик в Outline Manager, или IP попал в blocklist OpenAI/Apple/Netflix. Детальнее по каждой причине — в разборе про протухающие Outline-ключи.

Можно ли мешать Shadowsocks и AmneziaWG на одном VPS?

Можно. Это разные сетевые сервисы на разных портах — Shadowsocks обычно слушает один TCP-порт, AmneziaWG — UDP-порт (51820 по умолчанию). Конфликт возможен только если оба сервиса используют одну и ту же IP-подсеть для peer’ов или одинаковые правила iptables — решается выбором разных подсетей и аккуратным разведением NAT-правил. На VPS с 1 vCPU и 1 ГБ RAM два сервиса параллельно нормально живут, если одновременно подключено не больше 20-30 пользователей.

Какой клиент Shadowsocks лучше — Shadowrocket, Outline Client или sing-box?

Зависит от платформы и сценария. На iPhone — Shadowrocket ($2.99 разово в App Store) — самый старый и стабильный, поддерживает все шифры, plugins, кастомные правила. На Android — официальный shadowsocks-android от core-команды или Hiddify для multi-protocol. На Windows/macOS — Outline Client от Jigsaw (GUI, два клика) или v2rayN (Windows, мощнее, но интерфейс сложнее). Sing-box — это уже не SS-клиент, а универсальное ядро с поддержкой десятка протоколов; используется как backend в Hiddify, NekoBox, Sfa-Android.

Что такое SS-плагины (simple-obfs, v2ray-plugin)?

Два разных уровня маскировки. simple-obfs (репозиторий заброшен с 2019 года) приклеивает к SS-handshake фейковый HTTP- или TLS-заголовок фиксированной формы — против ленивых детекторов годится, против современного DPI 2026-го уже нет. v2ray-plugin работает иначе: SS-frame целиком уезжает внутрь WebSocket-over-TLS или mKCP, и для DPI снаружи виден ровно HTTPS-сайт. Расплата — два TLS-сертификата (Let’s Encrypt подойдёт), плагин на обеих сторонах, и в реальности это уже не Shadowsocks, а Shadowsocks-внутри-VLESS-light. Технически это гибрид — Shadowsocks внутри транспорта VLESS-light.

Безопасно ли использовать готовый бесплатный SS-сервер?

С точки зрения трафика — администратор сервера видит ваши IP-адреса назначения (какие домены вы открываете) и метаданные соединений. HTTPS-содержимое он не видит (TLS на уровень выше). Но факт «вы заходили на сайт X в 21:43» у админа есть в логах. Для лёгких сценариев (открыть YouTube, ChatGPT) приемлемо. Для чувствительных сценариев (банковские приложения, корпоративная почта) — лучше свой VPS или приватный туннель без сторонних пользователей. Отдельный риск — поддельные клиенты на сайтах-однодневках: качайте Outline Client только с getoutline.org, любые shadowsocks-pro.net и аналоги — мимо.

Стоит ли переходить с Shadowsocks на VLESS Reality?

Стоит, если устраивает админский overhead. VLESS Reality имеет принципиально другую модель обфускации — handshake маскируется под TLS-обращение к настоящему чужому домену (типа www.cloudflare.com), и DPI видит ClientHello к публичному сайту, который пропускает безусловно. Это сильнее любого SS-плагина. Минусы: настройка на стороне сервера через 3X-UI сложнее SS-2022, на iPhone нет официального клиента (только сторонние Streisand, FoXray, Shadowrocket), и общий стек XRay/sing-box менее «pluggable» чем shadowsocks-libev. Для tech-аудитории это упражнение оправданное, для «нужно просто стабильно» — берите готовый AmneziaWG-туннель.

Резюме

• Shadowsocks как протокол не умер — на сетях с базовым firewall’ом (университеты, корпоративный Wi-Fi, бытовые ADSL) SS-2022 на порту 443 предсказуемо работает.
• На массовых российских провайдерах в 2026-м packet-shape DPI распознаёт AEAD-handshake уверенно, IP volunteer-серверов попадает в blocklist’ы за 1-3 недели — раздаваемые ключи из Telegram-каналов превращаются в расходник.
• Outline (= SS-2022 от Google Jigsaw) деградирует по той же траектории, плюс получает дополнительный удар от abuse-репортов на хостинге, истёкших квот в Outline Manager и blocklist’ов крупных сервисов.
• Структурная замена в 2026 — AmneziaWG (форк WireGuard с junk packets + magic header bytes) для большинства пользователей, или VLESS Reality для tech-аудитории с собственным VPS. Готовый AmneziaWG-туннель — у нас Molystrix, 249 ₽ в месяц за 3 устройства, конфиг QR-кодом на email после оплаты.