Обход белых списков в России: как это работает на самом деле
Специально для тех, кто устал жать F5 и материться на оператора.
Сцена, знакомая теперь каждому обладателю симки. Вы открываете на телефоне привычный сайт, индикатор бодро ползёт, страница начинает прорисовываться, появляется шапка, кусок текста, и ровно в этот момент всё обмирает. Обновление не помогает. Переключение между LTE и 3G не помогает. А потом вы цепляетесь к домашнему вайфаю, и тот же самый сайт распахивается мгновенно, будто издеваясь. Если эта мизансцена вам родная, поздравляю: вы свели личное знакомство с белыми списками, новым национальным аттракционом российского мобильного интернета, работающим с осени 2025 года.
Про белые списки за эти месяцы написали примерно все, и почти всегда в жанре «вот перечень разрешённых сайтов, вот список банков, пользуйтесь». Это вид с вертолёта, и он по-своему полезен, но я по роду занятий смотрю на всё это с другой стороны провода, со стороны тех, кто каждую неделю чинит то, что ломает регулятор. Поэтому давайте спустимся на уровень пакетов и посмотрим, что именно происходит с вашей TCP-сессией в те несколько секунд, пока сайт делает вид, что грузится, а на деле уже тихо скончался. Стоит понять физику процесса, как немедленно становится ясно, отчего одни советы из сети работают, а девять десятых остальных — пустое камлание, не дающее ничего, кроме иллюзии контроля. Без паники, по слоям, с цифрами, и да простит мне читатель привычную профессиональную деформацию: я буду называть протоколы их настоящими именами и не стану притворяться, будто всё это магия.
Сначала про то, что именно вывернули наизнанку
Чтобы оценить масштаб случившегося, надо вспомнить, как блокировки выглядели предыдущее десятилетие. Реестр Роскомнадзора — это классический чёрный список, то есть ACL вида «запрещено X, Y, Z, остальное пропустить по умолчанию». Логика разрешительная и, по нынешним меркам, почти куртуазная: действие по умолчанию — accept, явные правила — точечный deny. Чтобы оставаться доступным, ресурсу достаточно было просто не угодить в реестр, планка не из высоких.
Белый список переворачивает базовое правило ACL начисто. Действием по умолчанию становится deny, а accept выдаётся лишь по явному совпадению. На инженерном наречии это называется default-deny, или, если угодно, fail-closed: при любой неопределённости система не открывает, а закрывает. Тот же самый ТСПУ, который раньше работал как точечный блокировщик, переводится в режим drop-all с узким allow-list, и любой адрес, которого нет в перечне, проваливается в никуда. Первую редакцию списка Минцифры выкатило пятого сентября 2025 года, с тех пор его несколько раз переписывали, и к весне 2026-го там набралось за сотню сервисов.
Позвольте ненадолго отвлечься от пакетов и сказать пару слов о самом термине, потому что мимо такого пройти невозможно. Сам термин «белый список» — это образцовая семантическая инверсия, обёрнутая в положительную коннотацию. Белый, чистый, разрешённый, благонадёжный. На уровне денотата перед нами механизм, который оставляет гражданину доступ к долям процента сети, а на уровне коннотата это подаётся как забота. Туда же отправляется и сама аббревиатура ТСПУ, технические средства противодействия угрозам, лексема настолько новоязовская, что Оруэлл аплодировал бы стоя: угроза здесь — это вы, открывающий не тот сайт, а противодействие — молчаливое удушение вашего соединения. Когда отключения объявляют «мерами безопасности» или «учебными мероприятиями», работает ровно тот же эвфемистический аппарат, что превращал министерство пропаганды в министерство правды. Язык всегда выдаёт намерение раньше, чем регламент.
Важная техническая деталь, которую упускают почти все. Белый список не отменяет чёрный, он встаёт перед ним как первая ступень конвейера фильтрации. Сначала пакет проходит проверку «есть ли ты вообще в allow-list», и только уцелевшие на этом этапе попадают под старую добрую сигнатурную фильтрацию VPN и блокировку по реестру. К внешнему забору приделали внутренний и поставили его первым. Добавить ещё одну ступень оператору почти ничего не стоит, а вот цена её обхода для пользователя растёт нелинейно, и в этой асимметрии затрат, выгодной тому, у кого казённый бюджет, спрятана вся стратегия.
Почему страдает исключительно телефон, и надолго ли
Прежде чем лезть глубже, ответим на вопрос, который задаёт всякий новичок: отчего на телефоне катастрофа, а дома по кабелю тишь да гладь. Ответ не праздный, из него прямо вытекает первый и самый действенный способ обхода, который публика упорно игнорирует в пользу способов поэкзотичнее.
Белые списки — это сюжет про мобильный интернет большой четвёрки, то есть МТС, МегаФона, Билайна и Tele2. Домашний вайфай, оптика и проводные корпоративные каналы при включении ограничений обычно работают штатно. Отсюда фирменный абсурд эпохи: офис с кабелем живёт как ни в чём не бывало, а клиент, который пытается до этого офиса дозвониться со смартфона на улице, видит лишь содержимое списка.
Причин у избирательности несколько, и они складываются. Официальная упирается в дроны: считается, что беспилотники наводятся через сотовые сети, а потому отключение 4G сбивает им прицел. Именно с этой мотивировкой летом 2025 года под ограничения первыми попали Ростовская область, Краснодарский край и Дагестан, а дальше практика расползлась. Вторая причина, инфраструктурная, сводится к топологии сети. У мобильного оператора весь абонентский трафик стягивается в централизованное ядро, проходит через carrier-grade NAT и упирается в сравнительно небольшое число точек агрегации на стыке с интернетом, где ТСПУ физически стоит в разрыве трафика и накрывает миллионы абонентов одним набором правил, переключаемым по команде. Проводной доступ устроен более распределённо, абонентских сессий и стыков там больше, заворачивать их в режим drop-all дороже и муторнее, хотя, подчеркну, технически ничто не мешает. Сами ТСПУ установлены у всех значимых операторов, и мобильных, и проводных, ещё с 2019 по 2021 год по закону о суверенном интернете, так что речь о смене конфигурации, а не о закупке нового железа.
И вот здесь придётся разочаровать тех, кто записал «на проводе нас не тронут» в законы природы. Попытки уже были. Когда весной 2026-го по сетям пошли слухи, что белые списки готовят для домашнего интернета, Минцифры объявило их фейком, а Ростелеком тридцать первого марта повторил, что ограничений на проводной интернет нет, мотивируя всё теми же дронами, которые проводных сетей не используют. Беда в том, что ровно в эти же дни тридцать первого марта «Код Дурова» задокументировал нечто принципиально новое — реально работающий белый список на домашнем проводном интернете — и подтвердил конкретный случай в Ростове-на-Дону у одного из местных провайдеров. Параллельно сообщалось о тестировании белых списков на домашних сетях на юге страны в целом. То есть на уровне риторики нам говорят «только мобильный», а на уровне полей фиксируются единичные, но вполне реальные включения на проводе. Учитывая, что железо стоит у каждого провайдера, что подписанный в феврале 2026-го закон уже позволяет немедленно рубить связь по требованию ФСБ без суда, и что любое опровержение в этой сфере по давней народной примете работает как анонс, я бы не рассчитывал на неприкосновенность витой пары. Инфраструктура заряжена, правовая рамка готова, дело за рубильником, а заодно и за следующим траншем на «совершенствование систем».
Практическое следствие на сегодня тем не менее остаётся в силе и обезоруживающе простое. Пока проводной вайфай в вашей зоне не накрыли, он спасает без всяких протоколов, нужна лишь честная медь или оптика. А вот сопутствующее предупреждение проговаривают редко, и напрасно: домашний мобильный роутер с симкой большой четвёрки — это тот же самый мобильный интернет, и список на нём сработает в точности как на телефоне. Домашним он зовётся по прописке, а не по технологии.
И раз уж речь зашла об иронии, нельзя обойти мартовскую обкатку 2026 года в Москве. Перебои тогда зацепили не одних только смертных. Связь зашаталась в Госдуме и администрации президента, и сотрудникам пришлось пересаживаться на проводные телефоны. Забор не различает, кто за ним стоит, и отгораживает в том числе своих архитекторов. В этом сюжете есть редкая разновидность справедливости, чисто инженерная.
Что происходит на шестнадцатом килобайте
Вот мы и у самого интересного, там, где общедоступные объяснения заканчиваются. Наивная картина в голове у большинства такова: фильтр увидел дурной адрес и сразу зарубил. Для адресов вне списка всё устроено куда тоньше и, не побоюсь оценочного суждения, злее.
Разберём по тактам, что переживает соединение с заблокированным сайтом. Сперва проходит TCP-рукопожатие, тот самый трёхтактный обмен из SYN, SYN-ACK и ACK, которым две машины открывают сессию. Конечный автомат TCP отрабатывает без сучка и задоринки, соединение технически устанавливается, на этом этапе вам решительно ничего не запрещают. Дальше идут данные, браузер получает первые сегменты, страница принимается рисоваться, прилетает каркас, часть стилей, и у вас на секунду рождается предательски ложное ощущение, что вот сейчас всё догрузится. А затем, ровно после первых шестнадцати, ну максимум двадцати, килобайт, наступает гробовая тишина. Это примерно десять-четырнадцать пакетов в типичном MTU, ровно столько, чтобы рендеринг начался, но тяжёлые JavaScript-бандлы, основные стили и запросы к API уже не доезжают. Пользователь остаётся наедине с вечно крутящимся спиннером.
И тут зарыта самая красивая, в чисто инженерном смысле, подлость всей архитектуры. Это не разрыв по флагу RST. В мире TCP сегмент с RST — явный, отслеживаемый сигнал закрытия, который обе стороны получают и аккуратно сбрасывают сессию, и по нему сразу понятно, что тебя оборвали намеренно. Более того, классический RST-инъекшн, которым DPI давно умеет рвать соединения, обходится тривиально, достаточно игнорировать на клиенте RST-пакеты с неправильным sequence number, и многие инструменты так и делают. Поэтому здесь применён метод поумнее: stateful-фильтр держит запись о вашей сессии в conntrack-таблице, привязанную к пятёрке из адресов, портов и протокола, ведёт счётчик переданных байт и, перешагнув порог в шестнадцать килобайт, просто прекращает форвардить пакеты. Без RST, без ICMP, без единого уведомления сторонам. Сегменты уходят в tail-drop, как в нуль-маршрут, соединение зависает и осыпается по таймауту ретрансмиссий. С точки зрения абонента это неотличимо от обычной деградации мобильной сети, и сделано так абсолютно сознательно: молчаливый дроп и диагностировать тяжелее, и обходить нечем, потому что обходить нечего, никакого явного сигнала тебе не дали. Цензор, которому хватило ума не подписываться под собственной работой, особенно неприятен именно этой выученной деликатностью.
Весь спектакль воспроизводится одной строкой в терминале, без шаманства. Берёте curl, запрашиваете у заблокированного ресурса диапазон байт, и картина стабильно одна: соединение принимает первые шестнадцать с небольшим килобайт из запрошенных шестидесяти четырёх и умирает по Operation timed out. Шестнадцать тысяч сто один байт, и дальше пустота. Когда видишь это число своими глазами, абстрактная «блокировка» обретает плоть.
Теперь о том, как фильтр решает, кого душить. Решение принимается на двух уровнях разом, и без этого факта дальше ничего не сойдётся. Первый уровень сетевой, L3, фильтрация по диапазонам адресов, по CIDR-префиксам и по номерам автономных систем, по ASN: целые блоки либо в allow-list, либо за бортом. Если вы шлёте пакет на адрес вне перечня, в жёстком режиме он испаряется прямо на рукопожатии, и система даже не ждёт ваши шестнадцать килобайт, чтобы что-то анализировать. Знаменитая отсечка по объёму — это режим для пограничья, для трафика, который идёт на зарубежные хостинги через как бы дозволенные точки входа. Для совсем чужого префикса всё кончается на первом же SYN, по сути — blackhole-маршрутизация, тихая чёрная дыра без эпитафии.
Второй уровень прикладной, L7, и здесь работает уже не маршрутизатор, а DPI. Он заглядывает в TLS ClientHello и читает расширение SNI, имя сервера, которое клиент по устройству протокола передаёт открытым текстом в самом начале установления шифрованного канала. Для незашифрованного HTTP ту же роль играет заголовок Host. По умолчанию запросы на зарубежные подсети придушиваются, но стоит фильтру опознать в пакете SNI из allow-list, как для этой сессии правило снимается. Проверяется элементарно подменой SNI: один и тот же недружественный IP ведёт себя по-разному в зависимости от предъявленного в ClientHello имени.
Казалось бы, вот и решение, шифруй SNI и дело в шляпе, ровно для этого придумали ECH, Encrypted Client Hello, прячущий имя сервера от посредника. Но угадайте, что происходит с соединением, в ClientHello которого торчит ECH, в стране, где DPI настроен на чтение SNI. Правильно, само наличие зашифрованного SNI становится поводом для подозрения и дропа, потому что отнимает у фильтра его любимую улику. Та же судьба у трюков с фрагментацией ClientHello, когда клиент дробит первый пакет так, чтобы DPI не успел собрать имя из кусков, или подмешивает фейковые сегменты с заниженным TTL, которые доедут до ТСПУ, но не доедут до сервера. Раньше это работало на ура, теперь ТСПУ научили и пересборке фрагментов, и отлову несоответствий TTL.
И вот тут пора назвать вещи своими именами и сказать, кто именно это всё «научил». За техническую сторону отвечает ГРЧЦ, тот самый радиочастотный центр при Роскомнадзоре, который оперирует ТСПУ и осваивает на это бюджет, оценивавшийся ещё на ранних подступах в двадцать с лишним миллиардов рублей. И вот за эти деньги начальству наверх носят красивые презентации с обещанием, что ещё один транш, ещё одна нейросеть, ещё один контракт с правильным подрядчиком — и VPN в стране умрёт окончательно. Начальство, как правило, немолодое и разбирается в TLS-рукопожатиях примерно так же, как я в коневодстве, кивает и подписывает. А на земле эти миллиарды превращаются в лоскутный кластер, где один и тот же SNI на инфраструктуре Яндекса проходит, а на VK или MAX режется, потому что правила то ли разнятся от региона к региону, то ли где-то их банально забыли раскатать. Двадцать миллиардов рублей — и невозможность синхронизировать список доменов между двумя собственными узлами. Куда девается разница между сметой и результатом — вопрос настолько риторический, что я не стану задавать его вслух, чтобы не отвлекать аудиторов от их важной работы.
Почему свежий IP вас не спасёт
Самая частая ошибка дилетанта, дорвавшегося до темы, звучит так: упёрлось, ну и пустяки, сменю сервер, возьму новый IP, подниму VPS в другом дата-центре, и поедет. Не поедет, и причина прямо вытекает из двухуровневой архитектуры выше. Смена адреса лечит в лучшем случае половину беды, причём не ту половину, об которую вы споткнулись.
Начнём с очевидного. Любой IP, который вы в принципе способны арендовать, — это снова небелый IP. Список построен не вокруг плохих адресов, которых надо избегать, а вокруг крайне узкого пула хороших, в который надо как-то попасть, и масштаб отрезвляет. Полевое сканирование сети одного из операторов дало пропорцию, достойную быть высеченной в граните: из примерно сорока шести миллионов проверенных адресов в allow-list попадает порядка шестидесяти трёх тысяч. Доли процента. Меняя адрес наугад, вы с вероятностью, неотличимой от единицы, пересаживаетесь с одного заблокированного префикса на другой такой же.
Тогда сообразительный читатель решает поступить умнее и поднять сервер прямо у Яндекс.Облака или VK Cloud, чьи диапазоны в перечне, и упирается в стену, поставленную ровно на этот случай. Провайдеров обязали развести пулы: адреса, выдаваемые клиентам под виртуальные машины, и адреса, на которых живут сами разрешённые сервисы, теперь сегрегированы на уровне разных подсетей и автономных систем. VLESS, поднятый на таком сервере, пробьёт список лишь в одном случае, если сервер стоит на белом IP, а получить белый IP под собственную VPS практически нереально. Попытки же сканировать облачные диапазоны в поисках случайно забытого белого адреса быстро караются баном уже за сам перебор, да и таких адресов остаётся всё меньше, дыры конопатят по мере обнаружения. Вот тут, кстати, бюджет осваивают по-честному, на затыкание дыр энтузиазма хватает.
И финальный гвоздь. Даже окажись у вас чудом правильный префикс, без правильного имени в ClientHello вы всё равно не пройдёте, ибо параллельно дежурит L7-фильтр по SNI. Нужно одновременно удовлетворить и L3, и L7, оба условия разом, а не одно из двух. Аналогия напрашивается сама: сменить IP, чтобы проскочить через КПП, где сверяют и номер машины, и лицо водителя, — это перекрасить номера в наивной надежде, что в лицо никто не посмотрит. Посмотрят. В режиме белого списка не существует волшебного айпишника, который всё чинит. Существует лишь маскировка под того, кому уже можно, и именно её мы у себя возвели в инженерную дисциплину.
Что реально держит удар, и почему это VLESS
Историю про «три протокола, которые проходят белые списки» вы прочтёте в каждой второй статье: VLESS с Reality, AmneziaWG и Hysteria2. Списку этому без малого полгода, и за полгода он успел протухнуть. Реальность середины 2026-го жёстче: из трёх по-настоящему держит удар один, и это VLESS. Остальные два я аккуратно отодвину в сторону, и объясню почему, без злорадства, просто по фактам.
Hysteria2 хорош ровно до того момента, пока оператор не решает прижать UDP. Протокол живёт на QUIC, то есть на UDP, и это одновременно его сила на чистом канале и его же приговор в режиме белых списков: там, где ТСПУ начинает резать UDP оптом, заодно с DNS, QUIC и обычным WireGuard, вся его скорость превращается в тыкву, потому что несущего транспорта под ней больше нет. Ставить мобильную связь на UDP в стране, которая методично душит UDP, занятие для неисправимых оптимистов.
AmneziaWG ещё недавно был достойным запасным вариантом, но запас этот вышел. Маскировка через джанк-пакеты и сигнатуры I1-I5 держалась на том, что классификатор не умеет отличить обфусцированный WireGuard от случайного шума, а он научился: по нашим замерам в большинстве регионов Amnezia лежит уже несколько недель, коннект либо не встаёт, либо деградирует до полной неюзабельности. Играть в подбор маскировочных параметров можно бесконечно, но это гонка, где ты всегда на день позже свежей сигнатуры, и держать на этом основной канал я бы сегодня не стал никому.
Остаётся VLESS, и именно на нём построено то, что мы гоняем у себя. Сам по себе VLESS не более чем транспорт, без собственного шифрования и без узнаваемого обрамления, и вся его сила в том, что можно навесить поверх. Снизу мы кладём Reality, который не предъявляет самоподписанный сертификат, а на лету проксирует TLS-рукопожатие к настоящему стороннему сайту из белого списка, так что ваш JA3-отпечаток, цепочка сертификатов и поведение сервера байт в байт совпадают с легитимным российским ресурсом, а активное зондирование упирается в переадресацию на тот же реальный сайт и уходит ни с чем.
Но ключ к белым спискам не в Reality, а в том, как упакован сам поток, и здесь начинается то, ради чего стоило затевать колонку. Мы гоняем VLESS поверх XHTTP, по чистому TCP, в двух режимах, которые внутри обозначаем как xhttp-up и http-one. Смысл XHTTP в том, что туннель перестаёт быть одной длинной TCP-сессией и превращается в череду обычных HTTP-запросов к 443-му порту. Вспомните механику отсечки: stateful-фильтр считает байты в пределах одной сессии и душит её на шестнадцатом килобайте. Режим xhttp-up разбивает аплинк на множество отдельных POST-запросов, каждый из которых для фильтра новая короткая транзакция, и пороговый счётчик переданных байт просто не успевает накопиться, ему нечего копить. Режим http-one сворачивает обмен в один аккуратный поток поверх HTTP, неотличимый для DPI от длинного легитимного скачивания с разрешённого хоста, и особенно ровно ложится на каналы, где капризничает мультиплексирование. И то и другое едет по TCP на 443-й порт под валидным SNI из перечня, то есть по той самой трубе, которую регулятор не может перекрыть, не убив весь HTTPS в стране. UDP душить можно, а выключить веб целиком кишка тонка.
Получается связка, у которой нет ни одной слабой точки, за которую её удобно взять. На уровне L3 это белый IP-фронт и валидный SNI. На уровне L7 это рукопожатие, неотличимое от реального сайта. На уровне поведения это обычный HTTP-трафик вместо подозрительного длинного туннеля. На уровне той самой отсечки это дробление, которое обнуляет счётчик байт. Серебряной пули тут не бывает, и я первым это повторю, но на сегодня именно эта конфигурация переживает и белый список, и удушение UDP, и поведенческий классификатор разом, тогда как UDP-протоколы отваливаются на первом же агрессивном шейпере. Поверх остаётся ручная работа, которую массовый ширпотреб не делает: SNI приходится держать актуальным и ротировать под меняющийся по неделям перечень, а не прописать единожды и забыть.
И последнее по этой части, без чего совет был бы неполным. Один протокол, даже самый удачный, это всё равно одна точка отказа, поэтому опытная команда выстраивает эшелонированную оборону: держит запасные транспорты на случай, если по конкретному оператору прилетит новая сигнатура, поднимает мультихоп, где трафик из РФ выходит на промежуточный российский узел и только потом на зарубежный, чтобы на стыке выглядеть и зашифрованным, и обфусцированным, и обязательно настраивает сплит-туннелинг, потому что гонять банковское приложение или госсервис через тот же канал, что и обход, означает добровольно сдавать корреляцию между вашим VPN и вашей личностью. Всё это не магия и не секрет, это просто работа, которую кто-то делает каждую неделю, пока на другой стороне осваивают очередной транш.
Сухой остаток и немного грусти по сквозному принципу
Если отжать из сказанного воду, механика обхода белых списков укладывается в одно неуютное правило. Режим default-deny невозможно победить, спрятавшись, потому что прятки — это игра против чёрного списка, где надо лишь не отсвечивать. Default-deny берётся единственным приёмом: надо стать неотличимым от того, кому уже можно. Не скрыться, а присвоить чужую благонадёжность на уровне IP, SNI и фингерпринта рукопожатия.
Из этого единственного корня растёт всё, что сегодня работает. VLESS поверх XHTTP растворяет туннель в потоке обычных HTTPS-запросов к разрешённому хосту и тем самым обнуляет шестнадцатикилобайтную отсечку, а Reality снизу дарит ему чужое настоящее рукопожатие. Более ранние ставки, на UDP вроде Hysteria2 или на обфусцированный WireGuard вроде AmneziaWG, сегодня живут лишь местами и лишь до следующего обновления правил. А самый экзотический извод той же идеи — это Delta Chat, вовсе не VPN, а технически почтовый клиент, который гоняет зашифрованные сообщения через IMAP и SMTP серверов Яндекса или VK по стандартным портам 993 и 465, и для DPI всё это неотличимо от обычной почтовой сессии к инфраструктуре, которую не заблокировать, не уронив заодно бизнес целой страны. Принцип везде один: мы перестали строить свой канал и поселились в тени тех, кого тронуть не посмеют.
Закончить хочется деталью, что бьёт точнее любой публицистики. Забор кривоват даже для своих. Абоненты регулярно жалуются, что под ту самую шестнадцатикилобайтную отсечку попадают и Госуслуги, причём не оттого, что их решили блокировать, а оттого, что фильтрующее железо ТСПУ не справляется с вечерним часом пик по разбору пакетов и от перегрузки начинает дропать всё подряд, включая разрешённое. Систему за двадцать с лишним миллиардов возвели, чтобы гарантированно пропускать социально значимое, а она по вечерам не вывозит даже его. Вдумайтесь: люди, которые наверх рапортуют о грядущей окончательной победе над VPN, не смогли спроектировать железо, способное не задохнуться в собственный час пик на собственном же белом списке. Тридцать лет инженеры по всему миру строили сеть на сквозном принципе, на презумпции связности, на простой идее, что два узла должны иметь возможность договориться напрямую, и весь этот корпус коллективной работы сегодня методично разбирают на ACL и blackhole-маршруты люди, не написавшие ни одного RFC, зато освоившие два инструмента, бюджет и предписание. Ломать не строить, особенно когда ломаешь чужими руками, чужими протоколами и за казённый счёт, а потом отчитываешься об успехах.
Утешение, впрочем, есть, и оно сугубо экономическое. Стоимость одной новой удавки растёт с каждым витком маскировки быстрее, чем стоимость одного обхода, потому что одна сторона проектирует, а другая закупает сигнатуры по прайс-листу подрядчика. Пока одна сторона пишет в годовой отчёт «внедрили перспективную технологию противодействия», другая за выходные выкатывает новый транспорт, и в понедельник всё опять работает. Так что держите рабочие конфиги скачанными загодя и в нескольких местах, потому что в тот час, когда списки включат всерьёз и, судя по ростовским тестам, не только на мобильных, добыть нужный клиент будет уже отдельным квестом. Сеть переживала и не такое. Мы, со своей стороны, ровно для того и существуем, чтобы этот понедельник наступал у вас без вашего участия.
Юридическая ремарка
Текст носит технико-просветительский и местами откровенно публицистический характер, описывает публично задокументированную работу систем фильтрации, отражает личную позицию автора и не содержит призывов к чему-либо противозаконному. По состоянию на начало 2026 года использование VPN частными лицами в России само по себе не образует ни уголовного, ни административного состава, ограничения нацелены на сервисы, а не на пользователей, хотя нормативная почва под темой ходит ходуном, и сюда же относится упомянутый февральский закон о немедленном прекращении услуг связи по требованию ФСБ без судебного решения. Все технические цифры и наблюдения взяты из открытых полевых замеров и инженерных разборов сообщества и верны на момент написания, а момент этот, как тут заведено, истекает примерно через неделю. Сверяйтесь со свежими данными.
Проверить, что из VPN и мессенджеров реально работает у вашего оператора прямо сейчас, можно в Freedom Checker. Попробовать DurevVPN — через официальный бот.