VPN Статус — каталог рабочих VPNVPN Статус
Мы в Telegram

TrustTunnel — VPN-протокол от AdGuard в open-source

TrustTunnel — VPN-протокол, который AdGuard VPN использовал в своих приложениях и 22 января 2026 года выложил с открытым исходным кодом. Работает поверх стандартного HTTP/2 (TLS) и HTTP/3 (QUIC), маскируясь под обычный HTTPS-трафик. Протокол молодой в open-source, но зрелый по разработке: в продакшене у AdGuard уже несколько лет.

Обновлено

VPN-сервисы с поддержкой TrustTunnel

2 в каталоге
Логотип VPN EOFVPN
EOFVPNБесплатно
TrustTunnel
Логотип VPN Adguard VPN
Adguard VPN990 ₽ / мес
TrustTunnel

Подробнее о протоколе TrustTunnel

TrustTunnel изначально был внутренним протоколом AdGuard VPN — закрытым, проверенным на боевой нагрузке миллионов пользователей. В январе 2026 команда открыла спецификацию и эталонную реализацию под свободной лицензией. Репозиторий: github.com/TrustTunnel/TrustTunnel; сайт проекта: trusttunnel.org.

Технически это лёгкий туннель поверх обычного HTTP-стека:

  • Транспорт: HTTP/2 поверх TLS 1.2+ (ALPN h2) или HTTP/3 поверх QUIC (ALPN h3, RFC 9000). И то, и другое — то, на чём работает обычный современный веб.
  • Туннелирование: метод HTTP CONNECT поднимает TCP-стрим к нужному адресу. Для UDP все датаграммы мультиплексируются в один поток к псевдо-хосту _udp2, для ICMP echo — к _icmp. Один TLS/QUIC-канал переносит весь трафик клиента.
  • Аутентификация: HTTP Basic Auth (логин:пароль), защита целиком возложена на TLS. Никаких собственных схем шифрования — стандартный TLS-стек.
  • Маскировка: стандартные порты 443, обычные ALPN, реальный сертификат на сервере. Внешне сервер неотличим от любого HTTPS-сайта или HTTP/3-приложения.

В отличие от VLESS+Reality, который защищается от активного пробинга подменой чужого TLS-handshake, TrustTunnel ставит на «нормальность» — не делает ничего нестандартного. Сервер отвечает 407 на запрос без авторизации и 200 OK на CONNECT с правильными credentials. Активный пробинг видит обычный HTTP-сервер с прокси-функционалом, что не само по себе не подозрительно (миллионы корпоративных HTTP-прокси по всему миру именно так и устроены). Минус подхода — нет padding и нет искусственных задержек, поэтому traffic-pattern-анализ теоретически может выделить мультиплексированные потоки CONNECT по характеру нагрузки. На практике в РФ это пока не используется в массовых блокировках.

Реализация:

  • Сервер — эталонная реализация в open-source-репозитории, требует TLS 1.2+ и поддержки HTTP/2 (или QUIC для HTTP/3). Можно запускать на любом VPS.
  • Клиенты — официальные CLI для Linux, Windows, macOS; мобильные приложения для iOS и Android (iOS-клиент в начале 2026 был удалён из российской версии App Store по жалобе РКН — в других сторах он остался). На устройствах с поддержкой VPN-конфигов TrustTunnel-конфиг импортируется как обычный VPN.
  • Сторонние клиенты — спецификация открыта, и интеграции в популярные мульти-протокольные клиенты (sing-box, Hiddify, NekoBox) — вопрос времени. Следите за релизами.

В России 2026 TrustTunnel работает стабильно — в текущей реализации ТСПУ не имеет к нему сигнатур, и трафик идёт как обычный HTTPS. Это удобный self-host-вариант для тех, кто уже знаком с AdGuard и хочет полностью контролируемый VPN на своём VPS, либо для пользователей, которые предпочитают официальные клиенты от известного бренда.

Часто задаваемые вопросы

Что такое TrustTunnel?

Open-source VPN-протокол от AdGuard, выложенный в январе 2026 года. Работает поверх стандартного HTTP/2 (TLS) или HTTP/3 (QUIC). Метод CONNECT туннелирует TCP-соединения, а UDP и ICMP мультиплексируются в отдельные псевдо-потоки. Маскируется под обычный HTTPS-трафик.

TrustTunnel работает в России на ТСПУ?

Да, на момент 2026 года TrustTunnel стабильно проходит у российских домашних и мобильных операторов. ТСПУ пока не имеет специфических сигнатур под этот протокол — внешне трафик неотличим от обычного HTTPS-серфинга в браузере.

Чем TrustTunnel отличается от VLESS Reality?

Reality защищается от активного пробинга подменой чужого TLS-handshake — это активная маскировка. TrustTunnel ставит на «нормальность»: сервер ведёт себя как обычный HTTP-прокси с TLS-сертификатом, никакой нестандартной обфускации. Подход проще, не требует выбора SNI из белого списка, но без падинга — traffic-pattern-анализ теоретически может выделить мультиплексирование, хотя в РФ это пока не используется в блокировках.

Какие клиенты поддерживают TrustTunnel?

Официальные приложения от AdGuard на iOS, Android, Linux, Windows, macOS. iOS-клиент удалён из российского App Store по жалобе РКН, но в других сторах остался. Спецификация открыта, поэтому интеграции в sing-box, Hiddify, NekoBox — вопрос времени. CLI-реализация в open-source-репозитории.

Как поднять TrustTunnel-сервер на VPS?

Эталонная реализация сервера лежит в open-source-репозитории github.com/TrustTunnel/TrustTunnel. Требуется любой VPS с TLS 1.2+ и поддержкой HTTP/2 (или QUIC для HTTP/3), действующий TLS-сертификат (Let's Encrypt подойдёт). Подробности в README репозитория. Бюджет — обычные ~$5/мес у DigitalOcean, Hetzner, Vultr.

К каталогу VPN