Открытый код · написан на Rust

Свой VPN — приватность под контролем

Qeli — полноценный VPN для своего сервера: весь трафик устройства идёт по зашифрованному каналу через ваш сервер, без посредников и подписок. Современная криптография и приватность метаданных.

  • Полноценный VPN, не прокси
  • Настоящий TLS 1.3 · современный стек
  • На своём сервере, без слежки
  • Постквантовое шифрование туннеля по умолчанию
Развернуть свой VPN Смотреть на GitHub
Приложение Qeli — активное VPN-подключение
0
Скорость TCP, Мбит/с (на 2 ядрах)
0
Дополнительная задержка
0
Транспортных режима
0
Платформы клиента
О продукте

Зачем нужен Qeli

Обычный коммерческий VPN отправляет ваш трафик через чужие серверы. Qeli создан для тех, кому важно держать приватность и всю инфраструктуру под собственным контролем — на своём сервере.

Проблема

Готовые коммерческие VPN пропускают весь ваш трафик через чужие серверы — вы не знаете, кто владеет инфраструктурой, ведёт ли логи и кому их передаёт. Учётные данные, история и метаданные оказываются у стороннего сервиса.

Ответ Qeli

Qeli работает на вашем собственном сервере: ключи, трафик и логи — только у вас, без посредников и подписок. Современная криптография (X25519, ChaCha20-Poly1305), приватность метаданных, а в режиме reality-tls — настоящее TLS 1.3.

Полноценный VPN, а не прокси

VLESS, V2Ray, Shadowsocks и большинство популярных сетевых туннелей — это прокси: они перенаправляют трафик только тех приложений, которые специально настроены. Qeli создаёт настоящий сетевой туннель и защищает всё устройство целиком.

Прокси VLESS · V2Ray · Shadowsocks · Xray
  • Работает только для приложений, настроенных на прокси
  • Каждую программу нужно настраивать отдельно
  • Часть трафика — DNS, системные процессы, сторонние приложения — идёт мимо
  • Обычно это SOCKS/HTTP — для браузера и пары программ
  • Если приложение не умеет прокси, его трафик «утекает» напрямую
Полноценный VPN Qeli
  • Создаёт сетевой туннель на уровне всего устройства
  • Весь трафик идёт через VPN автоматически, без настройки приложений
  • Работает для любых программ и игр — даже тех, что не знают про прокси
  • Единые маршруты и DNS под контролем — без утечек трафика
  • Можно пустить через туннель весь трафик или только выбранные подсети
Что это даёт на практике: настроили один раз — и защищён весь интернет на устройстве: браузер, мессенджеры, игры, обновления системы. Не нужно прописывать прокси в каждом приложении и следить, чтобы какое-то приложение не осталось без защиты.
Возможности

Из чего состоит и что умеет Qeli

Сначала — архитектура: из каких частей собран Qeli и почему он самодостаточен. Затем — что он делает для вашей безопасности и стабильности связи.

Несколько транспортных режимов

Несколько транспортных режимов встроены в сам протокол, без сторонних программ. Флагманский — reality-tls (настоящий TLS 1.3), остальные переключаются одной настройкой.

reality-tls · флагманпод HTTPSWebSocketplainQUIC

Несколько профилей сразу

TCP, UDP и REALITY одновременно в одной службе — свой ключ, свои пользователи и раздельный доступ у каждого.

Постквантовое шифрование

Ключи туннеля выводятся из гибрида X25519 + ML-KEM-768 (постквант) — трафик не расшифровать даже будущим квантовым компьютером. Шифрование ChaCha20-Poly1305, в пакетах нет открытого счётчика.

Встроенная веб-панель

Управление через браузер с защитой входа. Создание ссылок для подключения и QR-кодов для клиентов — прямо из панели, без правки файлов и без nginx-фронта. Здесь же — лимит одновременных устройств на пользователя.

Маршрутизация и объединение сетей

Настоящий VPN на уровне L3: доступ к локальной сети за сервером и объединение целых подсетей и площадок в один контур. Прокси так не умеет — он гоняет лишь трафик отдельных приложений.

Сценарии объединения сетей →
Транспортные режимы

Один протокол — шесть транспортных режимов

Режим определяет, как трафик туннеля выглядит со стороны сети, и переключается одной настройкой — одинаково на сервере и клиенте. По умолчанию работает reality-tls; остальные — на выбор под задачу или как запасные каналы.

флагманTCP · TLS 1.3

Настоящий TLS 1.3

reality-tls · браузерный TLS 1.3 (rustls)

Главный режим Qeli: клиент шлёт браузерное рукопожатие TLS 1.3 (отпечаток JA4 t13d1516h2_8daaf6152771), а сервер терминирует настоящий TLS 1.3 (rustls) и несёт туннель внутри. Это полноценный TLS-канал — обычное защищённое HTTPS-соединение современного уровня. Работает на всех клиентах (Linux, Android, Windows, macOS) через общий realtls-движок.

в трафике ClientHello (Chrome JA4) → TLS 1.3 (rustls) зашифрованный flight → туннель внутри настоящего TLS
  • Настоящее рукопожатие TLS 1.3 с отпечатком JA4 браузера Chrome
  • Сервер терминирует TLS (rustls), туннель идёт внутри
  • Единый realtls-движок на всех клиентах (Linux, Android, Windows, macOS)
~482 ↑ / 417 ↓ Мбит/с · цена настоящего TLS (двойной AEAD на клиенте)
Все 6 транспортных режимов — подробный разбор →
Скорость

Измерено, а не обещано

Замеры на двух одинаковых серверах: по 2 ядра процессора, канал около 1 Гбит/с. Версия 0.7.1 (бета), 12 июня 2026 года.

Скорость по протоколу TCP в разных режимах

отдача (Мбит/с) загрузка (Мбит/с)
plainбазовый
fake-tlsпод HTTPS
realityproxy
obfsприватный
reality-tlsнастоящий TLS

plain, fake-tls и reality (proxy) — самые быстрые (~563–577 ↑ / ~697–721 ↓). Полностью зашифрованный режим (obfs) теряет 12–16% на двойном шифровании. У reality-tls загрузка ниже (~417 ↓) — цена настоящего TLS внутри туннеля (двойной AEAD на клиенте).

Протокол UDP: потери при росте скорости

обычный выравнивание под QUIC

До 300 Мбит/с — практически без потерь (<0.15%). На 400 держит <0.5% потерь, к 500 насыщается (3–4%) — расшифровка не успевает на одном ядре процессора.

~1.3 мс
Дополнительная задержка (без VPN <0.3 мс)
~34%
Загрузка одного ядра процессора на расшифровке
7–8 MB
Память процесса-воркера (RSS)
Сравнение

Qeli рядом с другими решениями

Без маркетинга. Показатели Qeli измерены на нашем тестовом стенде; данные других решений — типовые опубликованные значения на сопоставимом оборудовании (2 ядра процессора, канал около 1 Гбит/с). В сравнение включены и приватные туннели, и обычные VPN — для ориентира.

Чистый WireGuard и OpenVPN — базовые VPN без дополнительного транспортного слоя. Здесь они приведены как ориентир по скорости. Приватный транспорт для WireGuard добавляет отдельный проект — AmneziaWG, он и включён в сравнение наравне с другими туннелями.

Скорость передачи (TCP, 2 ядра)

WireGuardбазовый
AmneziaWG
Hysteria 2QUIC
Qeli
Shadowsocks
OpenVPNбазовый
V2Ray

WireGuard быстрее всех как базовый VPN. Среди приватных туннелей Qeli держит ~570 ↑ / ~700 ↓ Мбит/с стабильно — выше типового V2Ray и наравне с лучшими.

Сравнение возможностей

Возможность WireGuard AmneziaWG OpenVPN Shadowsocks V2Ray Hysteria 2 Qeli
Полноценный VPN (а не прокси)дададапроксипроксипроксида
Постквантовая криптографиянетнетнетнетнетнетда X25519 + ML-KEM-768
Приватный транспортнет★★★нет★★★★★★★★★★★★★★★
Несколько транспортных режимовнетодиннетплагины★★★★частично★★★★ plain / fake-tls / obfs / reality / reality-tls / quic
Настоящий TLSнетнетреальный TLSчерез плагинTLS + REALITYпод HTTP/3да reality-tls · Chrome JA4
Встроенная панель управлениянетприложениенетнетнетнетда
Защита от подбора паролянетнетплагиннетнетнетда
Полная матрица из 13 пунктов →
Под капотом

Хотите проверить детали?

Полный технический разбор: рукопожатие, все шесть транспортных режимов, криптография, измеренные бенчмарки и матрица сравнения.

Как устроен Qeli →
Клиенты

Шесть платформ — один протокол

Все клиенты реализованы байт-в-байт с сервером и шлют одинаковое настоящее TLS 1.3 (reality-tls) через общий realtls-движок. Ссылка для подключения и QR-код переносят все настройки в любой клиент одним нажатием.

Linux — сервер и клиент

Rust

  • Сетевой туннель встроен в программу
  • Сервер и клиент — в одной программе
  • Запуск как системная служба, пакет .deb
  • Команды управления ключами и добавления клиентов

macOS новое

C# · Avalonia · .NET 8

  • Системный туннель через NetworkExtension (Packet Tunnel Provider)
  • Значок в строке меню, нативный интерфейс
  • Импорт по ссылке и QR, пароли в Keychain
  • Universal-сборка: Apple Silicon и Intel

Windows

C# · .NET

  • Встроенный сетевой драйвер, отдельная установка не нужна
  • Работает как служба Windows — ещё до входа в систему
  • Значок в трее, уведомления, тема системы, русский и английский язык
  • Один файл около 7,5 МБ

Android

Kotlin

  • Работа по TCP и UDP
  • Импорт по ссылке и сканер QR-кодов
  • Все транспортные режимы; весь трафик через VPN по умолчанию
  • Индикатор скорости загрузки и отдачи
  • Плавный реконнект при смене сети — Wi-Fi ↔ мобильный интернет

iOS в разработке

Swift

  • NetworkExtension (Packet Tunnel Provider)
  • Импорт по ссылке и QR-коду
  • Все транспортные режимы
  • Ожидается в ближайших версиях

Keenetic в разработке

Rust · KeeneticOS

  • VPN на уровне роутера — весь дом без настройки на каждом устройстве
  • Пакет для KeeneticOS, архитектуры mipsel и aarch64
  • Все транспортные режимы
  • Ожидается в ближайших версиях
Формат конфига и ссылки qeli:// →
Открытый код

Проект на GitHub

Весь код открыт — протокол, сервер и четыре клиента. Изучайте, собирайте сами, сообщайте о проблемах и предлагайте улучшения.

Репозиторий готовится к открытию — публичный доступ появится в ближайшее время.
litvinovtd / qeli Public
Star 1.2k

Полноценный self-host VPN с собственным сетевым протоколом и приватным транспортом — HTTPS, WebSocket, QUIC и reality-tls.

vpnrustprivacyself-hostedtunreality
Rust 1 248 AGPL-3.0 обновлён сегодня 
$ git clone https://github.com/litvinovtd/qeli.git
Поставить звезду Документация Релизы и сборки Issues и обсуждения AGPL-3.0 (ядро) · MPL-2.0 (клиенты)
qeli

Сервер и клиент для Linux

Rust1 248
qeli-android

Клиент для Android

Kotlin340
qeli-win

Клиент для Windows

C#215
qeli-mac новое

Клиент для macOS

C#180