Какой VPN выбрать?

Я использую Outline VPN, ставится в одну команду и хорошо работает

Мне всегда было интересно — почему же у меня стоит совершенно банальный IPSec и йопт ни одна собака его не блокирует? Вот самый обычный IPSec на порту 500 в «страну цветов». ЧЯДНТ?

А кругом люди суетятся что-то, какие-то vless строят, хрень какую-то придумывают… Смотрю на это и думаю — то ли лыжи не едут, то ли я какой-то не такой… :DDD

я бы посоветовал xray+vless+reality
как вариант можешь взять проект 3x-ui

либо AnyConnect, если нужен именно VPN. ocserv — на гитхабе(но тут не быстро)

Например amnezia, заодно сможете протестить разные протоколы

Я бы все-таки предпочел wireguard и пока что не слишком волновался насчет того, что его блокируют — это все легко обходится. Раз у вас свой сервер, то решается все легко.

Думать о том, как там будет через 3 года, и готовиться обязательно к самому худшему сценарию пока не нужно. А то потратите силы на подготовку к самому худшему, а он не случится — обидно будет. Но даже если случится, через три года если что и переставите, а там может или шах или ишак. А все это время лучше жить с быстрым VPN, пользоваться которым одно удовольствие. И ставится он «красиво», системным способом, а не как Outline.

У wg очень простая сигнатура для DPI, поэтому легко его детектят и блочат. Но для этой проблемы несколько вариантов решений.

Решение 1 от ValdikSS : Сначала с того же клиентского порта и на тот же серверный «пробить» соединение другим пакетом (без сигнатуры). Так как для DPI этот пакет — часть соединения, то оно уже не похоже на wg. А вот wg сервер просто проигнорирует первый мусорный пакет, выбросит, а на второй ответит.

wg0.conf: ListenPort = 56789

sudo nping --udp --count 1 --data-length 16 --source-port 56789 --dest-port DEST_PORT DEST_IP

Как проверить, что wireguard не заблокирован?
https://ntc.party/t/wireguard/4968/6
(обратите внимание на то, что на клиенте нужно зафиксировать ListenPort)

2. Тот же самый эффект, но без ручного запуска nping каждый раз (просто автоматизируем то же решение):
в конфиг wg (wg0.conf или какой у вас) просто пишем:

[Interface]
PrivateKey = ....
Address = 10.9.0.2/24
ListenPort = 12345

PreUp = nping --udp --count 1 --data-length 16 --source-port 12345 --dest-port 12345 123.123.123.123

3. Можно чуть больше заморочиться, и замаскировать (обфусцировать) wg трафик через netfilter — если на клиенте и сервере закодировать его с одинаковым ключом (и самым простым шифрованием) — DPI его не видит.
https://github.com/infinet/xt_wgobfs

В общем, wireguard сам по себе искаропки не умеет «прятаться» (это и не его задача), но если нужно его спрятать — это делается в две минуты. (Ну первый раз подольше, пока разбираешься). Силы зла и негетеросексуализма и так уже вынуждены применять дорогой и тяжелый DPI для блокировки очень простого VPN. Блокировать обфусцированный, как в этих примерах — на порядок (порядки) сложнее (если вообще возможно) и точно неэффективно — огромные затраты, чтоб заблочить VPN всего паре десятков тысяч ITшников, которые тут же как-то иначе наладят себе VPNы (в крайнем случае перейдут на Outline или что-то еще) — бессмысленно, поэтому, думаю, никогда и не случится.

OpenVPN + sstp/chisel/Cloak.

Хороший цикл статей на хабре на эту тему. Исходя из этого наилучший вариант для РФ похоже XTLS-Reality.