Как создать свой VPN, если вы в России, и почему мы отказались от этой идеи

В феврале команда Mad Brains задалась вопросом: «Почему бы не создать собственный VPN?». Опирались на гипотезу, что VPN нужен для доступа к российским сервисам и внутри страны, и тем, кто уехал. Провели масштабное продуктовое исследование и отказались от разработки. Почему так решили, рассказали RusBase, а депутат Госдумы Антон Горелкин предложил создать национальный VPN, ссылаясь на нашу статью.

Как создать свой VPN, если вы в России, и почему мы отказались от этой идеи

Полную версию продуктового исследования можно увидеть на сайте.

Дисклеймер. Мы хотели создать полезный продукт для пользователей, но одновременно быстро и без излишних затрат ресурсов, т. е использовать open source решение. Да, можно поспорить, но это экономически выгоднее, чем изобретать новые технологии в сфере VPN.

Дип-дайв и составление концепта

Чтобы обсуждать какой-либо продукт, нужно составить верхнеуровневый концепт: product review doc и lean canvas модель продукта. Это позволяет сразу увидеть и объяснить другим «что мы вообще делаем и куда движемся», увидеть зоны некомпетентности, а также работать более контекстно, а не обсуждать единорога в вакууме.

Мы начали изучать открытую информацию о VPN: законы, статьи в СМИ, отраслевые отчеты, бенчмарки, интервью специалистов, обзоры и рейтинги VPN-сервисов и прочие материалы по существующим решениям. В своем исследовании мы использовали более 100 различных источников.

Что происходит в BigTech и на мировом рынке VPN

Microsoft тестирует новую функцию в браузере Edge — Microsoft Edge Secure Network. Это встроенный VPN-сервис, основанный на технологии Cloudflare. Samsung Electronics объявила о партнерстве с PureVPN. Они интегрируют дополнительный сервис по защите пользовательских данных Enhanced Privacy Protection (EPP) от PureVPN в свой протокол Secure Wi-Fi. У Google — одна из самых громких новинок этого года на рынке мобильных устройств: линейка смартфонов Pixel 7 получила встроенный бесплатный VPN-сервис разработки Google.

Согласно опубликованной статистике на DataProt, 33% всех интернет-пользователей в мире применяют VPN-сервисы, а стоимость индустрии через пять лет вырастет на 31 миллиард долларов: с 44,6 млрд в 2022 до 75,6 млрд в 2027.

Более трети всего рынка VPN (35%) сосредоточена в Северной Америке. Наиболее высокий уровень проникновения VPN-сервисов зафиксирован в Катаре — 69,7%, на втором месте ОАЭ с 59,5%, на третьем месте Сингапур с 49%. Минимальный уровень проникновения отмечен в ЮАР (4%), Японии (1,5%) и на Мадагаскаре (0,8%).

Экономика

В дополнении к большому платному трафику (Cost per user, и да, это очень сложно избежать в b2c), добавится еще один масштабируемый кост — инфраструктура, которая масштабируется вслед за ростом количества пользователей. Legal aspect

Законодательные препятствия использования VPN существуют в Северной Корее, Иране, Турции, Белоруссии, Китае, ОАЭ, Омане и России. Также во многих странах действуют строгие регуляторные законы по VPN сервисам. Дополнительно к сложностям — в данный момент невозможно обычным способом оплатить иностранные сервисы, находясь в РФ.

Что говорит российское законодательство. Анонимайзеры, VPN и proxy-сервисы должны предоставить данные о владельце Роскомнадзору, подключиться к Единому реестру запрещённой на территории РФ информации. Как следствие, происходит ограничение доступа к запрещённым сайтам и IP-адресам. За непредоставление данных грозит штраф до 300 000 рублей; неисполнение обязанности по блокировке запрещённых сайтов наказывается блокировкой на территории РФ. То есть, если выполнять юридические требования на территории России, то ключевой пользовательский сценарий для пользователей (доступ к заблокированным ресурсам) выполняться не будет.

Как происходят блокировки

Риск технической блокировки всех VPN в России маловероятен. Так как нет достаточных средств для полного устранения всего трафика. Но при этом существует довольно масштабная система блокирования.

Блокировка осуществляется на двух уровнях: провайдеры блокируют запрещенные ресурсы тем, что имеют, а система ТСПУ применяется для дополнительных блокировок. Некоторые протоколы притворяются HTTPS-трафиком, а другие используют обфускацию для скрытия своего трафика. Стандартные протоколы (IPsec, PPTP, L2TP) видны провайдерам, в то время как некоторые протоколы, такие как OpenVPN и WireGuard, могут быть заблокированы с использованием оборудования DPI. Провайдеры могут использовать статистические методы для определения типа трафика, не зная его содержимого.

На основе экспертизы команды и открытых источников мы составили Product review doc, Lean-Canvas и SWOT-анализ. Ознакомиться с ними можно на сайте Mad Brains.

Выводы из дип-дайва

VPN-рынок представляет собой очень конкурентную и агрессивную среду (Red Ocean), в которой присутствует большая аудитория и такой же большой потенциал роста. Необходимо учитывать риски блокировки и сложность бэкенда, которые требуют значительных инвестиций в инфраструктуру для достижения масштабируемости и поддержания устойчивого user experience и, как следствие, здоровой юнит-экономики.

Блокировка по IP-адресу может быть достаточным средством, приводящим к полной или частичной блокировке доступа. Для блокировки VPN-сервисов достаточно иметь информацию, что IP-адрес сервера принадлежит компании, предоставляющей услуги VPN, и передать эту информацию в систему ТСПУ для принятия решения о блокировке. Лучшая защита — быть незаметным.

Авторское исследование аудитории

После дип-дайва мы уже намного лучше понимали ситуацию на рынке, продукты и аудиторию, но при это были слепые зоны и вопросы, на которые мы не могли ответить. Поэтому провели качественное исследование с пользователями (15 глубинных интервью) и количественное (объем выборки — 1000 человек).

Типы, сценарий скачивания и стопперы использования по итогам интервью с пользователями

Мы использовали что-то среднее между классическими подходом к кастдеву и JTBD скриптами. В качественном исследовании мы нашли причины, мотивацию и барьеры пользователей. Результаты качественного исследования легли в основу количественного.

Основные категории пользователей VPN в России:

  • активные пользователи заблокированных соцсетей;
  • те, кому нужен доступ к западным сервисам;
  • «пираты»;
  • те, кому нужен VPN для решения рабочих вопросов.

Сценарий скачивания для большинства пользователей VPN в России:

  • возникла потребность;
  • вбили в поисковике «бесплатный VPN скачать»;
  • понимают, что многие VPN не работают/работают плохо;
  • скачали сразу 5-6 штук;
  • перебором определили 1-2 работающих.

Ключевые «стопперы» для использования платных решений:

— бесплатный функционал приложений закрывает базовые сценарии по доступу к запрещенным ресурсам;

— невозможность прозрачно и ясно оплатить услугу;

— опасение, что решение будет заблокировано;

— опасения, что владелец VPN «кинет» в случае чего.

Особенности использования VPN по результатам количественного исследования:

  • 86% пользователей используют VPN в текущий период;
  • 70% пользователей никогда не платили за VPN, 30% — когда-то платили/платят;
  • 85% сейчас не платят, 16% платят;
  • 72% отмечают возросшую потребность в VPN за последний год;
  • 86% используют приложения десктопа или мобильного устройства, 37% — расширение для браузера;
  • для 80% наиболее популярная причина использования — развлечение, та же доля респондентов используют VPN для доступа к заблокированным соцсетям;
  • 63% пользуются VPN ежедневно, а 85% — еженедельно.

Аудитории социальных сетей

Мы увидели и в качественном, и в количественном исследованиях, что доступ к соцсетям является главным сценарием для b2c VPN в России. Решили посчитать, а сколько это человек, так как это живая, активная, достижимая (!) аудитория потенциального сервиса.

Аудитория Instagram*:

— 6% от населения > 12 лет;

— Instagram-сессия: 17 минут в день;

— постоянная аудитория Instagram* в России: 7 486 004

Аудитория Facebook*:

— 2% от населения > 12 лет;

— Facebook-сессия: 5 минут в день;

— постоянная аудитория Facebook*: 2 495 334

*Meta, владеющая социальными сетями Facebook и Instagram, признана экстремистской на территории Российской Федерации.

Технический анализ и оценка

Итак, мы углубились в продукт, поговорили с аудиторией, посмотрели конкурентов и пришли к технической команде за их экспертным мнением по сервису.

Для технической оценки мы выделили несколько больших групп, а внутри каждой — критерии. Оценка архитектуры — число backend-сервисов и frontend-ов, состояние архитектуры (tech debt), будущие требования к архитектуре; оценка технологий — инновационность, опыт команды, степень автоматизированности архитектуры; оценка клиентской стороны — количество, требовательность/строгость SLOs, объем трафика; оценка зависимостей — число, критичность, сложность интеграции с зависимостями; оценка безопасности и легальности — критичность защиты данных, Fraud appetite (интерес мошенников), legal-требования. Полную техническую оценку от Mad Brains с пояснениями и комментариями смотрите на сайте компании.

Для оценки использовали градацию сложности: лёгкая сложность — до 30 баллов, средняя сложность — до 60 баллов, сложный продукт — до 90 баллов, очень сложный продукт — 90-100 баллов.

Вердикт CEO Mad Brains Олега Чебулаева — сложный продукт (75% из 100% или 34 балла из 45 возможных).

Фич-лист для MVP

Базовые требования:

— однокнопочное приложение (приложение Mobile/ Desktop или расширение для браузера);

— анонимное создание аккаунта;

— нет телеметрии;

— шифрование (AES-256 cipher with SHA512 auth and a 4096-bit RSA key);

— переадресация портов;

— автоматический выбор наилучшего местоположение для пользователя;

— мультиплатформенность (Android, iOS, WIN);

— собственные серверы.

Бесплатный функционал:

— доступ на двух разных устройствах;

— ограниченность одним протоколом;

— ограничение скорости до 5 Mb/сек для бесплатного тарифа и ограничение трафика в 2.5 GB;

— выбор 10 стран (20 серверов).

Стоимость MVP мы оценили в 5 млн рублей.

Платный функционал (когда-то в будущем):

— доступ на 4-х любых устройствах;

— неограниченная скорость;

— неограниченный трафик;

— выбор минимум 40 стран (80 серверов);

— переключаемые протоколы (OpenVPN, IKEv2, WireGuard);

— двойной хоп (сначала коннектится один VPN-сервер, через него — следующий);

— проксирование соединения через любые два сервера в сети;

— статичный IP;

— пользовательский агент меняется случайным образом, чтобы уменьшить вероятность определения;

— изменение часового пояса так, что кажется, что пользователь находится в стране, к которой он подключен;

— раздельное туннелирование (можно выбрать, какие приложения будут работать через VPN, а какие — нет);

— WebRTC Slayer (блокирует WebRTC и любые выбранные соединения для предотвращения утечек за пределы туннеля);

— Firewall;

— прокси-шлюз (создание в своей сети прокси-сервера для других устройств);

— командные аккаунты.

Стоимость развития продукта на горизонте одного года — 10+ млн рублей.

Unit-экономика: авторский расчет стоимости создания VPN

Unit экономику считали в закрытую. Взяли средний чек для VPN ~50$, стоимость за инстал по рынку ~1$.

Важно заметить, что любой пользователь, помимо стоимости привлечения, стоит нам денег в инфраструктурном плане, которые мы платим провайдеру/хостам. Сначала мы рассчитали, сколько трафика будут потреблять один пользователь на платном и бесплатном тарифах. Далее рассчитали стоимость 1 Гб трафика с учетом масштабирования, аренды серверов и прочего. В конце рассчитали стоимость обслуживания на каждый тариф, перемножив эти данные.

Стоимость 1 Гб ~ 0,01$

1. Объем месячного трафика на платном тарифе возьмем в виде среднего потребления от 2018г + 30% = 40гб или ~ 0.4$ в месяц

Это примерная цифра, которая может быть больше/меньше в несколько раз и на которую мы не можем повлиять прямым образом.

2. Ограничение бесплатного тарифа на основе конкурентного анализа в месяц = 2.5 Гб ~ 0,025$. Это регулируемый нами параметр.

В 90% случаев AMPU (доход на user) − CPUser (стоимость привлечения user) были отрицательными. В случаях, когда они сходились, небольшой остаток забирали инфраструктурные косты.

Для хорошей экономики нужно иметь «живучие» старые когорты, иметь источник дешевого и качественного трафика, и резать косты на инфраструктуре (свои сервера, связи в провайдерах). Обязательно иметь достаточный бюджет, чтобы прожить первый год, до момента, когда старая когорта начнет делать повторные покупки.

Окупаемость сервиса при средне-негативном сценарии будет только через 3 года. Но помните, что это наша оценка при наших ресурсах и экспертизе. Мы посчитали, что 3 года — это слишком большие риски любого рода.

Чек-лист для запуска собственного VPN и выводы

Чтобы сделать качественный и безопасный для клиентов B2C VPN-сервис нужно ответить на следующие вопросы:

- У нас есть новая, революционная идея/бизнес-модель или новая технология?

- У нас есть нечто, за счет чего мы будете сильно отличаться от конкурентов в лучшую сторону и сможем победить их? или Мы можем сделать качественнее/лучше/дешевле то, что есть сейчас на рынке в приближении года?

- У нас есть источник качественного/дешевого трафика/инсталов?

- У нас есть связи/доступ к людям/компаниям в сфере VPN/Интернет-провайдеров?

- Есть ли 5 млн на запуск MVP и 10+ млн на ближайший год на поддержку/развитие проекта?

Мы обладаем большим опытом и экспертизой в сфере VPN?

Помимо отсутствия всего вышеперечисленного, видится проблема с:

  • легальными аспектами;
  • тяжелой юнит-экономикой;
  • проблемами с технологиями и возможными блокировками.

Мы собрались командой, посмотрели на все, что наресерчили, и приняли решение не запускать продукт.

Олег Чебулаев
CEO Mad Brains

«Мы не настаиваем, что наши выводы обладают 100% академической верностью. Возможно, у вас будут другие вводные/условия/ресурсы, и этот проект покажется вам менее рискованным и более достижимым. Но наш опыт может быть полезен и по другим причинам.

Мы постарались донести ценность продуктового подхода и масштабной аналитики перед запуском технологичного продукта, как и нашим клиентам. Это позволяет оценить факторы, риски, лучше понимать потенциальных пользователей, экономику проекта, не затратив излишние ресурсы компании. Это помогает бизнесу эффективно решать бизнес-задачи и принимать экономически выгодные решения».

Если вы хотите получить консультацию по продуктовому исследованию от Mad Brains, пишите на hello@madbrains.ru и укажите, что видели эту статью.

2323
15 комментариев

каждому рабочему по тунелю

2

Срочно просите грант у рфрита =D

1

первый коммент по делу

Уехавшим нужны не VPNы, а посредники. Которые за них могут выставлять счета, принимать платежи, выдавать чеки, ходить в налоговую и т.п.
а VPN для доступа к сайту ФНС, конечно, нужен, но он и половины проблем не решит...

1

Есть у меня (потенциального клиента) одна боль, она же - бизнес-идея: "Пессимистическая" платежная система, удобная для неудачных проектов (которых большинство).

И она не только "санкционная", а вечная, она и до этого была. Вот забудем про послефевральскую специфику (чтоб не запутывала) и вспомним более мир, который был (он проще).

Я иногда делаю разные хобби-проекты, и иногда возникает желание их как-то монетизировать. Причем, желательно, не просто безвозмездные донаты, а обычные платежи (ознакомился с проектом, бесплатно поигрался с чем-то, понравилось, заплатил и получил полный доступ. Как к платным почтовым сервисам или медиуму или ютубу или прочим кинотеатрам, ну и к VPN тоже). Сейчас, чтобы такое сделать - нужно серьезно интегрироваться. Договора, обязательства, ИП/ООО... Это все нормально для уже серьезного бизнеса, когда инвестор решил рискнуть и профинансировал все расходы, но мы же говорим о несерьезном. Если хобби-проект взлетит (если вдруг сотни, тысячи человек начнут им пользоваться за деньги) - тогда да. Можно под него и юрлицо завести, и офис и фонтан в фойе. Но пока он не взлетел (и 90% что не взлетит) - не хочется принимать никакие большие риски, ни деньгами, ни обязательствами, ни даже временем.

Хочется испытать хобби-проект, бизнес-идею, оценить его коммерческую ценность на практике, НЕ переходя в ответственный и сложный мир приема платежей, налогов и отчетностей. Сегодня возникла идея, за неделю сделал как-то проект, за час прилепил к нему платежи. (Потом увидел, что даже такой черновик востребован - и уже вкладываешь больше)

Какое решение я вижу - платежная система (если это правильно назвать) или особая услуга от более обычной ПС для хобби-проектов и стартапов. Чтобы пользователь мог заплатить (допустим, с карты), а хозяин бизнеса - получить деньги, но как-то беспроблемно, не регистрируя бизнес, и может быть на какую-то крипту. (Чтобы в принципе не афишировать бизнес, так как на самом деле он еще не родился и может и не родится).

Пусть это будет с кучей ограничений (вывод только от 100 баксов, платежи не более 200 баксов в месяц и вывод через полгода если жесткий антифрод разрешит, 50% комиссии) - главное, что человек (разработчик, предприниматель) может:
1. Легко подключить это
2. Проверить бизнес идею не на опросе (нравится сервис? заплатили бы 10 баксов?), а на реальных деньгах.
3. Ничем не рисковать. Начал, не пошло - просто забил и все. Не надо расторгать договора и ликвидировать ИП/ООО.

Клиентами такой системы не будут крупные компании, зато будут многие тысячи разных мелких предпринимателей. Часть из этих продуктов "выстрелит" и станет большими.

Спасибо 👍 Столько понятной информации про vpn

1