Если вы когда-нибудь видели заглушку «Доступ ограничен» вместо нужного сайта, вы уже знакомы с работой Роскомнадзора. Но знаете что? То, как Роскомнадзор блокирует сайты, за последние годы изменилось радикально — и простая смена DNS-сервера, которая выручала в 2017-м, сегодня помогает далеко не всегда. Чтобы понять, как обойти блокировки, нужно сначала разобраться, что именно происходит между вашим устройством и заблокированным ресурсом.
Пять уровней блокировки: от DNS до ТСПУ
Роскомнадзор — не монолитная «кнопка выключить интернет». Это набор инструментов, и разные сайты блокируются разными способами. Иногда одновременно несколькими.
DNS-блокировка
Самый старый и самый примитивный метод. Провайдер получает от РКН предписание и правит записи на своём DNS-сервере. Вы набираете адрес — а вместо реального IP получаете адрес заглушки. Именно так в 2016-м заблокировали LinkedIn, и тогда половина IT-сообщества просто прописала Google DNS (8.8.8.8) и забыла о проблеме.
Сегодня этот способ всё ещё используется, но как единственная линия обороны — редко.
Блокировка по IP-адресу
Провайдер вносит конкретные IP-адреса в чёрный список на своих маршрутизаторах. Пакеты до этих адресов просто дропаются. Грубый метод с побочными эффектами: на одном IP может висеть сотня сайтов (привет, shared hosting), и под раздачу попадают все. Помните историю с попыткой заблокировать Telegram в 2018-м? Тогда РКН забанил миллионы IP Amazon и Google, положив кучу сторонних сервисов — от онлайн-касс до игровых серверов.
Блокировка по URL / домену (SNI-фильтрация)
Вот тут уже интереснее. Когда ваш браузер устанавливает HTTPS-соединение, в самом начале — ещё до шифрования — он отправляет имя домена открытым текстом в поле SNI (Server Name Indication). Оборудование провайдера смотрит на это поле и решает: пропускать или нет. Это позволяет блокировать конкретный сайт, даже если на том же IP живут десятки других.
Именно SNI-фильтрация — причина, по которой простая смена DNS перестала помогать для большинства заблокированных ресурсов. Вы можете получить правильный IP, но соединение всё равно обрежут на уровне провайдера.
Deep Packet Inspection (DPI)
DPI — это уже тяжёлая артиллерия. Оборудование анализирует не только заголовки, а содержимое трафика. Точнее, паттерны: какой протокол используется, как выглядят пакеты, какие характерные сигнатуры присутствуют. DPI умеет распознавать VPN-протоколы, торрент-трафик, обращения к конкретным сервисам.
Российские провайдеры используют DPI давно, но до 2021 года — каждый своё, разного качества. А потом пришли ТСПУ.
ТСПУ — «технические средства противодействия угрозам»
Это то, что изменило правила игры. По закону о «суверенном интернете» (187-ФЗ) РКН обязал всех крупных провайдеров установить специальное оборудование — ТСПУ. По сути, это стандартизированные DPI-коробки, которые управляются централизованно, напрямую из РКН. Провайдер даже не всегда знает, что именно через них блокируется.
ТСПУ умеют:
- фильтровать по SNI
- определять и замедлять/блокировать VPN-протоколы (OpenVPN, WireGuard, IPSec)
- замедлять конкретные сервисы (так в 2021-м «тормозили» Twitter)
- блокировать по сигнатурам трафика в реальном времени
Именно через ТСПУ сейчас проходит большинство блокировок. И именно они — главная причина, почему обычные VPN-решения всё чаще перестают работать.
Почему старые методы обхода больше не спасают
Давайте пройдёмся по тому, что советовали ещё пару лет назад — и почему это уже не работает (или работает через раз).
Смена DNS на 8.8.8.8 или 1.1.1.1. Помогает только против чистой DNS-блокировки. Если провайдер режет по SNI или IP — бесполезно. К тому же некоторые провайдеры перехватывают DNS-запросы на порту 53, перенаправляя их на свой сервер независимо от ваших настроек. DoH (DNS over HTTPS) решает эту проблему, но не решает остальных.
Обычный VPN (OpenVPN, WireGuard). Ещё в 2023-м ТСПУ научились уверенно определять трафик OpenVPN и WireGuard по характерным сигнатурам рукопожатия. Не везде и не всегда — зависит от провайдера и региона — но тренд однозначный. В некоторых сетях WireGuard просто перестаёт подключаться в часы пик.
Tor. Прямое подключение к Tor-сети блокируется через IP-адреса известных входных узлов и DPI-сигнатуры. Мосты (bridges) с транспортом obfs4 пока работают, но и их начинают прикрывать. Скорости — соответствующие.
Что реально работает в 2024–2025
Ключевое слово — обфускация. Если трафик нельзя опознать как VPN-трафик, его нельзя заблокировать по сигнатуре. Вот технологии, которые на это заточены:
Shadowsocks и его потомки (Outline, XRAY). Shadowsocks изначально создавался для обхода Великого китайского файервола, и задача у него ровно одна — сделать зашифрованный трафик неотличимым от обычного HTTPS. XRAY (на базе V2Ray) пошёл дальше и поддерживает протоколы VLESS и XTLS, которые практически неотличимы от обычного TLS-соединения с веб-сайтом. Даже продвинутый DPI видит лишь стандартный HTTPS.
Протоколы с маскировкой под HTTPS. Trojan, VLESS+XTLS-Reality — эти решения не просто шифруют трафик, а мимикрируют под легитимное TLS-соединение с реально существующим сайтом. ТСПУ видит, что кто-то подключается к, скажем, microsoft.com по порту 443. Ничего подозрительного.
Cloak и другие обфусцирующие обёртки. Они оборачивают VPN-трафик в дополнительный слой, маскируя сигнатуры. Можно использовать поверх того же OpenVPN или WireGuard.
Из коммерческих VPN-сервисов обход блокировок реально обеспечивают только те, кто внедрил подобные протоколы. Я по своему опыту могу сказать, что обычного WireGuard уже недостаточно — нужен сервис, который поддерживает протоколы с обфускацией и регулярно обновляет серверную инфраструктуру. Например, в Duck Proxy используются протоколы, устойчивые к DPI-анализу, что помогает сохранять доступ даже при активной работе ТСПУ.
Практические шаги: что делать прямо сейчас
Если вам нужен стабильный доступ к заблокированным ресурсам, вот что я бы порекомендовал:
Первое — забудьте про бесплатные VPN из топа Google Play. Серьёзно. Большинство из них либо уже заблокированы, либо собирают ваши данные, либо и то и другое. Исследование Top10VPN в 2024 году показало, что 72% бесплатных VPN-приложений для Android содержат хотя бы один трекер.
Второе — при выборе VPN-сервиса смотрите не на количество серверов, а на поддерживаемые протоколы. Есть VLESS, Shadowsocks, Trojan? Хорошо. Только OpenVPN и WireGuard? В России это всё менее надёжный вариант.
Третье — имейте запасной вариант. ТСПУ умеют блокировать точечно, и то, что работало вчера, может перестать завтра. Хорошая практика — иметь доступ к двум разным решениям. Например, коммерческий VPN плюс собственный сервер с XRAY на каком-нибудь европейском VPS.
Четвёртое — включите DoH или DoT в браузере и на уровне системы. Это не решит все проблемы, но закроет самый примитивный вектор блокировки.
Что дальше: куда движется противостояние
Ситуация напоминает гонку вооружений, и темпы ускоряются. РКН получает всё больше бюджета на ТСПУ (в 2024 году — более 59 миллиардов рублей по данным ГРБС), оборудование обновляется, алгоритмы детекции становятся умнее.
С другой стороны, протоколы обфускации тоже не стоят на месте. XTLS-Reality, появившийся в 2023-м, пока не имеет надёжных методов детекции — потому что технически его трафик действительно выглядит как обычный HTTPS. Чтобы его заблокировать, нужно либо блокировать весь HTTPS (что убьёт интернет), либо вести статистический анализ поведения — а это пока на уровне экспериментов.
Китай с его GFW (Great Firewall) проходил этот путь раньше, и оттуда приходят как новые методы блокировки, так и новые способы обхода. Так что инструменты будут. Вопрос — насколько удобными они останутся для обычного человека, который просто хочет открыть Instagram после работы.
Короче говоря, эпоха «просто включи VPN» уходит. Наступает эпоха «включи правильный VPN с правильным протоколом». И чем раньше вы к этому адаптируетесь, тем меньше сюрпризов будет в тот момент, когда очередное обновление ТСПУ отрежет привычный канал доступа.