Как создать свой VPN, если вы в России, и почему мы отказались от этой идеи

В феврале команда Mad Brains задалась вопросом: «Почему бы не создать собственный VPN?». Опирались на гипотезу, что VPN нужен для доступа к российским сервисам и внутри страны, и тем, кто уехал. Провели масштабное продуктовое исследование и отказались от разработки. Почему так решили, рассказали RusBase, а депутат Госдумы Антон Горелкин предложил создать национальный VPN, ссылаясь на нашу статью.

Полную версию продуктового исследования можно увидеть на сайте.

Дисклеймер. Мы хотели создать полезный продукт для пользователей, но одновременно быстро и без излишних затрат ресурсов, т. е использовать open source решение. Да, можно поспорить, но это экономически выгоднее, чем изобретать новые технологии в сфере VPN.

Чтобы обсуждать какой-либо продукт, нужно составить верхнеуровневый концепт: product review doc и lean canvas модель продукта. Это позволяет сразу увидеть и объяснить другим «что мы вообще делаем и куда движемся», увидеть зоны некомпетентности, а также работать более контекстно, а не обсуждать единорога в вакууме.

Мы начали изучать открытую информацию о VPN: законы, статьи в СМИ, отраслевые отчеты, бенчмарки, интервью специалистов, обзоры и рейтинги VPN-сервисов и прочие материалы по существующим решениям. В своем исследовании мы использовали более 100 различных источников.

Microsoft тестирует новую функцию в браузере Edge — Microsoft Edge Secure Network. Это встроенный VPN-сервис, основанный на технологии Cloudflare. Samsung Electronics объявила о партнерстве с PureVPN. Они интегрируют дополнительный сервис по защите пользовательских данных Enhanced Privacy Protection (EPP) от PureVPN в свой протокол Secure Wi-Fi. У Google — одна из самых громких новинок этого года на рынке мобильных устройств: линейка смартфонов Pixel 7 получила встроенный бесплатный VPN-сервис разработки Google.

Согласно опубликованной статистике на DataProt, 33% всех интернет-пользователей в мире применяют VPN-сервисы, а стоимость индустрии через пять лет вырастет на 31 миллиард долларов: с 44,6 млрд в 2022 до 75,6 млрд в 2027.

Более трети всего рынка VPN (35%) сосредоточена в Северной Америке. Наиболее высокий уровень проникновения VPN-сервисов зафиксирован в Катаре — 69,7%, на втором месте ОАЭ с 59,5%, на третьем месте Сингапур с 49%. Минимальный уровень проникновения отмечен в ЮАР (4%), Японии (1,5%) и на Мадагаскаре (0,8%).

В дополнении к большому платному трафику (Cost per user, и да, это очень сложно избежать в b2c), добавится еще один масштабируемый кост — инфраструктура, которая масштабируется вслед за ростом количества пользователей. Legal aspect

Законодательные препятствия использования VPN существуют в Северной Корее, Иране, Турции, Белоруссии, Китае, ОАЭ, Омане и России. Также во многих странах действуют строгие регуляторные законы по VPN сервисам. Дополнительно к сложностям — в данный момент невозможно обычным способом оплатить иностранные сервисы, находясь в РФ.

Что говорит российское законодательство. Анонимайзеры, VPN и proxy-сервисы должны предоставить данные о владельце Роскомнадзору, подключиться к Единому реестру запрещённой на территории РФ информации. Как следствие, происходит ограничение доступа к запрещённым сайтам и IP-адресам. За непредоставление данных грозит штраф до 300 000 рублей; неисполнение обязанности по блокировке запрещённых сайтов наказывается блокировкой на территории РФ. То есть, если выполнять юридические требования на территории России, то ключевой пользовательский сценарий для пользователей (доступ к заблокированным ресурсам) выполняться не будет.

Риск технической блокировки всех VPN в России маловероятен. Так как нет достаточных средств для полного устранения всего трафика. Но при этом существует довольно масштабная система блокирования.

Блокировка осуществляется на двух уровнях: провайдеры блокируют запрещенные ресурсы тем, что имеют, а система ТСПУ применяется для дополнительных блокировок. Некоторые протоколы притворяются HTTPS-трафиком, а другие используют обфускацию для скрытия своего трафика. Стандартные протоколы (IPsec, PPTP, L2TP) видны провайдерам, в то время как некоторые протоколы, такие как OpenVPN и WireGuard, могут быть заблокированы с использованием оборудования DPI. Провайдеры могут использовать статистические методы для определения типа трафика, не зная его содержимого.

На основе экспертизы команды и открытых источников мы составили Product review doc, Lean-Canvas и SWOT-анализ. Ознакомиться с ними можно на сайте Mad Brains.

VPN-рынок представляет собой очень конкурентную и агрессивную среду (Red Ocean), в которой присутствует большая аудитория и такой же большой потенциал роста. Необходимо учитывать риски блокировки и сложность бэкенда, которые требуют значительных инвестиций в инфраструктуру для достижения масштабируемости и поддержания устойчивого user experience и, как следствие, здоровой юнит-экономики.

Блокировка по IP-адресу может быть достаточным средством, приводящим к полной или частичной блокировке доступа. Для блокировки VPN-сервисов достаточно иметь информацию, что IP-адрес сервера принадлежит компании, предоставляющей услуги VPN, и передать эту информацию в систему ТСПУ для принятия решения о блокировке. Лучшая защита — быть незаметным.

После дип-дайва мы уже намного лучше понимали ситуацию на рынке, продукты и аудиторию, но при это были слепые зоны и вопросы, на которые мы не могли ответить. Поэтому провели качественное исследование с пользователями (15 глубинных интервью) и количественное (объем выборки — 1000 человек).

Типы, сценарий скачивания и стопперы использования по итогам интервью с пользователями

Мы использовали что-то среднее между классическими подходом к кастдеву и JTBD скриптами. В качественном исследовании мы нашли причины, мотивацию и барьеры пользователей. Результаты качественного исследования легли в основу количественного.

Основные категории пользователей VPN в России:

• активные пользователи заблокированных соцсетей;
• те, кому нужен доступ к западным сервисам;
• «пираты»;
• те, кому нужен VPN для решения рабочих вопросов.

Сценарий скачивания для большинства пользователей VPN в России:

• возникла потребность;
• вбили в поисковике «бесплатный VPN скачать»;
• понимают, что многие VPN не работают/работают плохо;
• скачали сразу 5-6 штук;
• перебором определили 1-2 работающих.

Ключевые «стопперы» для использования платных решений:

— бесплатный функционал приложений закрывает базовые сценарии по доступу к запрещенным ресурсам;

— невозможность прозрачно и ясно оплатить услугу;

— опасение, что решение будет заблокировано;

— опасения, что владелец VPN «кинет» в случае чего.

Особенности использования VPN по результатам количественного исследования:

• 86% пользователей используют VPN в текущий период;
• 70% пользователей никогда не платили за VPN, 30% — когда-то платили/платят;
• 85% сейчас не платят, 16% платят;
• 72% отмечают возросшую потребность в VPN за последний год;
• 86% используют приложения десктопа или мобильного устройства, 37% — расширение для браузера;
• для 80% наиболее популярная причина использования — развлечение, та же доля респондентов используют VPN для доступа к заблокированным соцсетям;
• 63% пользуются VPN ежедневно, а 85% — еженедельно.

Мы увидели и в качественном, и в количественном исследованиях, что доступ к соцсетям является главным сценарием для b2c VPN в России. Решили посчитать, а сколько это человек, так как это живая, активная, достижимая (!) аудитория потенциального сервиса.

Аудитория Instagram*:

— 6% от населения > 12 лет;

— Instagram-сессия: 17 минут в день;

— постоянная аудитория Instagram* в России: 7 486 004

Аудитория Facebook*:

— 2% от населения > 12 лет;

— Facebook-сессия: 5 минут в день;

— постоянная аудитория Facebook*: 2 495 334

*Meta, владеющая социальными сетями Facebook и Instagram, признана экстремистской на территории Российской Федерации.

Итак, мы углубились в продукт, поговорили с аудиторией, посмотрели конкурентов и пришли к технической команде за их экспертным мнением по сервису.

Для технической оценки мы выделили несколько больших групп, а внутри каждой — критерии. Оценка архитектуры — число backend-сервисов и frontend-ов, состояние архитектуры (tech debt), будущие требования к архитектуре; оценка технологий — инновационность, опыт команды, степень автоматизированности архитектуры; оценка клиентской стороны — количество, требовательность/строгость SLOs, объем трафика; оценка зависимостей — число, критичность, сложность интеграции с зависимостями; оценка безопасности и легальности — критичность защиты данных, Fraud appetite (интерес мошенников), legal-требования. Полную техническую оценку от Mad Brains с пояснениями и комментариями смотрите на сайте компании.

Для оценки использовали градацию сложности: лёгкая сложность — до 30 баллов, средняя сложность — до 60 баллов, сложный продукт — до 90 баллов, очень сложный продукт — 90-100 баллов.

Вердикт CEO Mad Brains Олега Чебулаева — сложный продукт (75% из 100% или 34 балла из 45 возможных).

Базовые требования:

— однокнопочное приложение (приложение Mobile/ Desktop или расширение для браузера);

— анонимное создание аккаунта;

— нет телеметрии;

— шифрование (AES-256 cipher with SHA512 auth and a 4096-bit RSA key);

— переадресация портов;

— автоматический выбор наилучшего местоположение для пользователя;

— мультиплатформенность (Android, iOS, WIN);

— собственные серверы.

Бесплатный функционал:

— доступ на двух разных устройствах;

— ограниченность одним протоколом;

— ограничение скорости до 5 Mb/сек для бесплатного тарифа и ограничение трафика в 2.5 GB;

— выбор 10 стран (20 серверов).

Стоимость MVP мы оценили в 5 млн рублей.

Платный функционал (когда-то в будущем):

— доступ на 4-х любых устройствах;

— неограниченная скорость;

— неограниченный трафик;

— выбор минимум 40 стран (80 серверов);

— переключаемые протоколы (OpenVPN, IKEv2, WireGuard);

— двойной хоп (сначала коннектится один VPN-сервер, через него — следующий);

— проксирование соединения через любые два сервера в сети;

— статичный IP;

— пользовательский агент меняется случайным образом, чтобы уменьшить вероятность определения;

— изменение часового пояса так, что кажется, что пользователь находится в стране, к которой он подключен;

— раздельное туннелирование (можно выбрать, какие приложения будут работать через VPN, а какие — нет);

— WebRTC Slayer (блокирует WebRTC и любые выбранные соединения для предотвращения утечек за пределы туннеля);

— Firewall;

— прокси-шлюз (создание в своей сети прокси-сервера для других устройств);

— командные аккаунты.

Стоимость развития продукта на горизонте одного года — 10+ млн рублей.

Unit экономику считали в закрытую. Взяли средний чек для VPN ~50$, стоимость за инстал по рынку ~1$.

Важно заметить, что любой пользователь, помимо стоимости привлечения, стоит нам денег в инфраструктурном плане, которые мы платим провайдеру/хостам. Сначала мы рассчитали, сколько трафика будут потреблять один пользователь на платном и бесплатном тарифах. Далее рассчитали стоимость 1 Гб трафика с учетом масштабирования, аренды серверов и прочего. В конце рассчитали стоимость обслуживания на каждый тариф, перемножив эти данные.

Стоимость 1 Гб ~ 0,01$

1. Объем месячного трафика на платном тарифе возьмем в виде среднего потребления от 2018г + 30% = 40гб или ~ 0.4$ в месяц

Это примерная цифра, которая может быть больше/меньше в несколько раз и на которую мы не можем повлиять прямым образом.

2. Ограничение бесплатного тарифа на основе конкурентного анализа в месяц = 2.5 Гб ~ 0,025$. Это регулируемый нами параметр.

В 90% случаев AMPU (доход на user) − CPUser (стоимость привлечения user) были отрицательными. В случаях, когда они сходились, небольшой остаток забирали инфраструктурные косты.

Для хорошей экономики нужно иметь «живучие» старые когорты, иметь источник дешевого и качественного трафика, и резать косты на инфраструктуре (свои сервера, связи в провайдерах). Обязательно иметь достаточный бюджет, чтобы прожить первый год, до момента, когда старая когорта начнет делать повторные покупки.

Окупаемость сервиса при средне-негативном сценарии будет только через 3 года. Но помните, что это наша оценка при наших ресурсах и экспертизе. Мы посчитали, что 3 года — это слишком большие риски любого рода.

Чтобы сделать качественный и безопасный для клиентов B2C VPN-сервис нужно ответить на следующие вопросы:

- У нас есть новая, революционная идея/бизнес-модель или новая технология?

- У нас есть нечто, за счет чего мы будете сильно отличаться от конкурентов в лучшую сторону и сможем победить их? или Мы можем сделать качественнее/лучше/дешевле то, что есть сейчас на рынке в приближении года?

- У нас есть источник качественного/дешевого трафика/инсталов?

- У нас есть связи/доступ к людям/компаниям в сфере VPN/Интернет-провайдеров?

- Есть ли 5 млн на запуск MVP и 10+ млн на ближайший год на поддержку/развитие проекта?

Мы обладаем большим опытом и экспертизой в сфере VPN?

Помимо отсутствия всего вышеперечисленного, видится проблема с:

• легальными аспектами;
• тяжелой юнит-экономикой;
• проблемами с технологиями и возможными блокировками.

Мы собрались командой, посмотрели на все, что наресерчили, и приняли решение не запускать продукт.

«Мы не настаиваем, что наши выводы обладают 100% академической верностью. Возможно, у вас будут другие вводные/условия/ресурсы, и этот проект покажется вам менее рискованным и более достижимым. Но наш опыт может быть полезен и по другим причинам.

Мы постарались донести ценность продуктового подхода и масштабной аналитики перед запуском технологичного продукта, как и нашим клиентам. Это позволяет оценить факторы, риски, лучше понимать потенциальных пользователей, экономику проекта, не затратив излишние ресурсы компании. Это помогает бизнесу эффективно решать бизнес-задачи и принимать экономически выгодные решения».

Если вы хотите получить консультацию по продуктовому исследованию от Mad Brains, пишите на [email protected] и укажите, что видели эту статью.