Как создать свой VPN, если вы в России, и почему мы отказались от этой идеи

Дисклеймер. Мы хотели создать полезный продукт для пользователей, но одновременно быстро и без излишних затрат ресурсов, т. е. использовать open source решение. Да, можно поспорить, но это экономически выгоднее, чем изобретать новые технологии в сфере VPN. 

Дип-дайв и составление концепта

Чтобы обсуждать какой-либо продукт, нужно составить верхнеуровневый концепт: product review doc и lean canvas модель продукта. Это позволяет сразу увидеть и объяснить другим, «что мы вообще делаем и куда движемся», распознать зоны некомпетентности, а также работать более контекстно, а не обсуждать сферического коня в вакууме.

Мы начали изучать открытую информацию о VPN: законы, статьи в СМИ, отраслевые отчеты, бенчмарки, интервью специалистов, обзоры и рейтинги VPN-сервисов и прочие материалы по существующим решениям. В своем исследовании мы использовали более 100 различных источников.

Что происходит в BigTech и на мировом рынке VPN

Microsoft тестирует новую функцию в браузере Edge — Microsoft Edge Secure Network. Это встроенный VPN-сервис, основанный на технологии Cloudflare. Samsung Electronics объявила о партнерстве с PureVPN. Они интегрируют дополнительный сервис по защите пользовательских данных Enhanced Privacy Protection (EPP) от PureVPN в свой протокол Secure Wi-Fi.

У Google — одна из самых громких новинок этого года на рынке мобильных устройств: линейка смартфонов Pixel 7 получила встроенный бесплатный VPN-сервис разработки Google.

Согласно опубликованной статистике на DataProt, 33% всех интернет-пользователей в мире применяют VPN-сервисы, а стоимость индустрии через пять лет вырастет на $31 млрд: с 44,6 млрд в 2022 до 75,6 млрд в 2027. 

Более трети всего рынка VPN (35%) сосредоточена в Северной Америке. Наиболее высокий уровень проникновения VPN-сервисов зафиксирован в Катаре — 69,7%, на втором месте ОАЭ с 59,5%, на третьем месте Сингапур с 49%. Минимальный уровень проникновения отмечен в ЮАР (4%), Японии (1,5%) и на Мадагаскаре (0,8%).

Читайте по теме: 9 лучших бесплатных VPN-сервисов для компьютеров и смартфонов

Экономика

В дополнение к большому платному трафику (Cost per user, и да, это очень сложно избежать в b2c) добавится еще один масштабируемый кост — инфраструктура, которая масштабируется вслед за ростом количества пользователей.

Legal aspect

Законодательные препятствия использования VPN существуют в Северной Корее, Иране, Турции, Беларуси, Китае, ОАЭ, Омане и России. Кроме того, во многих странах действуют строгие регуляторные законы по VPN-сервисам. Дополнительно к сложностям — в данный момент невозможно обычным способом оплатить иностранные сервисы, находясь в РФ.

Что говорит российское законодательство. Анонимайзеры, VPN и proxy-сервисы должны предоставить данные о владельце Роскомнадзору, подключиться к Единому реестру запрещённой на территории РФ информации. Как следствие, происходит ограничение доступа к запрещённым сайтам и IP-адресам.

За непредоставление данных грозит штраф до 300 тыс. рублей; неисполнение обязанности по блокировке запрещённых сайтов наказывается блокировкой на территории РФ. То есть, если выполнять юридические требования на территории России, то ключевой пользовательский сценарий для пользователей (доступ к заблокированным ресурсам) выполняться не будет.

Как происходят блокировки

Риск технической блокировки всех VPN в России маловероятен, так как нет достаточных средств для полного устранения всего трафика. Но при этом существует довольно масштабная система блокирования. 

Блокировка осуществляется на двух уровнях: провайдеры блокируют запрещенные ресурсы тем, что имеют, а система ТСПУ применяется для дополнительных блокировок. Некоторые протоколы притворяются HTTPS-трафиком, а другие используют обфускацию для скрытия своего трафика.

Стандартные протоколы (IPsec, PPTP, L2TP) видны провайдерам, в то время как некоторые протоколы, такие как OpenVPN и WireGuard, могут быть заблокированы с использованием оборудования DPI. Провайдеры могут использовать статистические методы для определения типа трафика, не зная его содержимого.

На основе экспертизы команды и открытых источников мы составили Product review doc, Lean Canvas и SWOT-анализ. Ознакомиться с ними можно на нашем сайте.

Выводы из дип-дайва

VPN-рынок представляет собой очень конкурентную и агрессивную среду (Red Ocean), в которой присутствует большая аудитория и такой же большой потенциал роста.

Необходимо учитывать риски блокировки и сложность бэкенда, которые требуют значительных инвестиций в инфраструктуру для достижения масштабируемости и поддержания устойчивого user experience и, как следствие, здоровой юнит-экономики.

Блокировка по IP-адресу может быть достаточным средством, приводящим к полной или частичной блокировке доступа. Для блокировки VPN-сервисов достаточно иметь информацию, что IP-адрес сервера принадлежит компании, предоставляющей услуги VPN, и передать эту информацию в систему ТСПУ для принятия решения о блокировке. Лучшая защита — быть незаметным.

Авторское исследование аудитории

После дип-дайва мы уже намного лучше понимали ситуацию на рынке, продукты и аудиторию, но при это были слепые зоны и вопросы, на которые мы не могли ответить. Поэтому провели качественное исследование с пользователями (15 глубинных интервью) и количественное (объем выборки — 1000 человек).

Типы, сценарий скачивания и стопперы использования по итогам интервью с пользователями

Мы использовали что-то среднее между классическими подходом к кастдеву и JTBD скриптами. В качественном исследовании мы нашли причины, мотивацию и барьеры пользователей. Результаты качественного исследования легли в основу количественного. 

Основные категории пользователей VPN в России:

• активные пользователи заблокированных соцсетей; 
• те, кому нужен доступ к западным сервисам; 
• «пираты»; 
• те, кому нужен VPN для решения рабочих вопросов. 

Сценарий скачивания для большинства пользователей VPN в России:

1. возникла потребность;
2. вбили в поисковике «бесплатный VPN скачать»; 
3. понимают, что многие VPN не работают или работают плохо;
4. скачали сразу 5-6 штук;
5. перебором определили 1-2 работающих.

Ключевые «стопперы» для использования платных решений: 

• бесплатный функционал приложений закрывает базовые сценарии по доступу к запрещенным ресурсам
• невозможность прозрачно и ясно оплатить услугу;
• опасение, что решение будет заблокировано;
• опасения, что владелец VPN «кинет» в случае чего.

Особенности использования VPN по результатам количественного исследования

• 86% пользователей используют VPN в текущий период;
• 70% пользователей никогда не платили за VPN, 30% — когда-то платили или платят;
• 85% сейчас не платят, 16% платят;
• 72% отмечают возросшую потребность в VPN за последний год;
• 86% используют приложения десктопа или мобильного устройства, 37% — расширение для браузера;
• для 80% наиболее популярная причина использования — развлечение, та же доля респондентов используют VPN для доступа к заблокированным соцсетям;
• 63% пользуются VPN ежедневно, а 85% — еженедельно.

Аудитории социальных сетей

Мы увидели и в качественном, и в количественном исследованиях, что доступ к соцсетям является главным сценарием для b2c VPN в России. Решили посчитать, а сколько это человек, так как это живая, активная, достижимая (!) аудитория потенциального сервиса.

Аудитория Instagram*: 

• 6% от населения > 12 лет;
• Instagram*-сессия: 17 минут в день;
• постоянная аудитория Instagram* в России: 7 486 004

Аудитория Facebook*:

• 2% от населения > 12 лет;
• Facebook*-сессия: 5 минут в день;
• постоянная аудитория Facebook*: 2 495 334

Технический анализ и оценка

Итак, мы углубились в продукт, поговорили с аудиторией, посмотрели конкурентов и пришли к технической команде за их экспертным мнением по сервису.

Для технической оценки мы выделили несколько больших групп, а внутри каждой — критерии.

Оценка архитектуры — число backend-сервисов и frontend-ов, состояние архитектуры (tech debt), будущие требования к архитектуре; оценка технологий — инновационность, опыт команды, степень автоматизированности архитектуры; оценка клиентской стороны — количество, требовательность или строгость SLOs, объем трафика; оценка зависимостей — число, критичность, сложность интеграции с зависимостями; оценка безопасности и легальности — критичность защиты данных, Fraud appetite (интерес мошенников), legal-требования.

Читайте также:

Флиппинг доменов: что это такое и как на этом заработать

Юнит-экономика: просто о сложном

Для оценки использовали градацию сложности: лёгкая сложность — до 30 баллов, средняя сложность — до 60 баллов, сложный продукт — до 90 баллов, очень сложный продукт — 90-100 баллов.

Вердикт CTO Mad Brains Олега Чебулаева — сложный продукт (75% из 100%, 34 балла из 45 возможных).

Фич-лист для MVP

Базовые требования:

• однокнопочное приложение (приложение Mobile или Desktop или расширение для браузера);
• анонимное создание аккаунта;
• нет телеметрии;
• шифрование (AES-256 cipher with SHA512 auth and a 4096-bit RSA key);
• переадресация портов;
• автоматический выбор наилучшего местоположение для пользователя;
• мультиплатформенность (Android, iOS, WIN);
• собственные серверы.

Бесплатный функционал:

• доступ на двух разных устройствах;
• ограниченность одним протоколом;
• ограничение скорости до 5 Mb/сек для бесплатного тарифа и ограничение трафика в 2,5 GB;
• выбор 10 стран (20 серверов).

Стоимость MVP мы оценили в 5 млн рублей.

Платный функционал (когда-то в будущем):

• доступ на 4-х любых устройствах;
• неограниченная скорость;
• неограниченный трафик;
• выбор минимум 40 стран (80 серверов);
• переключаемые протоколы (OpenVPN, IKEv2, WireGuard);
• двойной хоп (сначала коннектится один VPN-сервер, через него — следующий);
• проксирование соединения через любые два сервера в сети;
• статичный IP;
• пользовательский агент меняется случайным образом, чтобы уменьшить вероятность определения;
• изменение часового пояса так, что кажется, что пользователь находится в стране, к которой он подключен;
• раздельное туннелирование (можно выбрать, какие приложения будут работать через VPN, а какие — нет);
• WebRTC Slayer (блокирует WebRTC и любые выбранные соединения для предотвращения утечек за пределы туннеля);
• Firewall;
• прокси-шлюз (создание в своей сети прокси-сервера для других устройств);
• командные аккаунты.

Стоимость развития продукта на горизонте одного года — 10+ млн рублей.

Unit-экономика: авторский расчет стоимости создания VPN

Unit-экономику считали в закрытую. Взяли средний чек для VPN ~50$, стоимость за инстал по рынку ~1$.

Важно заметить, что любой пользователь, помимо стоимости привлечения, стоит нам денег в инфраструктурном плане, которые мы платим провайдеру/хостам.

Сначала мы рассчитали, сколько трафика будут потреблять один пользователь на платном и бесплатном тарифе. Далее рассчитали стоимость 1 Гб трафика с учетом масштабирования, аренды серверов и прочего. В конце рассчитали стоимость обслуживания на каждый тариф, перемножив эти данные.

Стоимость 1 Гб ~ 0,01$

1. Объем месячного трафика на платном тарифе возьмем в виде среднего потребления от 2018 г. + 30% = 40гб или ~ 0.4$ в месяц. Это примерная цифра, которая может быть больше/меньше в несколько раз и на которую мы не можем повлиять прямым образом.
2. Ограничение бесплатного тарифа на основе конкурентного анализа в месяц = 2.5 Гб ~ 0,025$. Это регулируемый нами параметр.

В 90% случаев AMPU (доход на user) — CPUser (стоимость привлечения user) были отрицательными. В случаях, когда они сходились, небольшой остаток забирали инфраструктурные косты. 

Для хорошей экономики нужно иметь «живучие» старые когорты, иметь источник дешевого и качественного трафика и резать косты на инфраструктуре (свои сервера, связи в провайдерах). Обязательно иметь достаточный бюджет, чтобы прожить первый год до момента, когда старая когорта начнет делать повторные покупки.

Окупаемость сервиса при средне-негативном сценарии будет только через 3 года. Но помните, что это наша оценка при наших ресурсах и экспертизе. Мы посчитали, что 3 года — это слишком большие риски любого рода.

Чек-лист для запуска собственного VPN и выводы

Чтобы сделать качественный и безопасный для клиентов B2C VPN-сервис, нужно ответить на следующие вопросы:

Помимо отсутствия всего вышеперечисленного, видится проблема с:

• легальными аспектами;
• тяжелой юнит-экономикой; 
• проблемами с технологиями и возможными блокировками.

Мы собрались командой, посмотрели на все, что наресерчили, и приняли решение не запускать продукт.

Мы не настаиваем, что наши выводы обладают 100% академической верностью. Возможно, у вас будут другие вводные, условия или ресурсы, и этот проект покажется вам менее рискованным и более достижимым. Но наш опыт может быть полезен и по другим причинам.

Мы постарались донести ценность продуктового подхода и масштабной аналитики перед запуском технологичного продукта. Это позволяет оценить факторы, риски, лучше понимать потенциальных пользователей, экономику проекта, не затратив излишние ресурсы компании. Это помогает бизнесу эффективно решать бизнес-задачи и принимать экономически выгодные решения.

*Компания Meta и входящие в нее Facebook и Instagram признаны экстремистскими организациями, деятельность которых запрещена в РФ.

Фото на обложке: Shutterstock / Primakov