Попробовать бесплатноПопробовать

Какие интернет-провайдеры блокируют обфусцированные соединения в России в 2026 году

К апрелю 2026 года Роскомнадзор ограничил доступ к 469 сервисам обфускации трафика, а в 68–71 регионе РФ во время шатдаунов мобильного интернета активируется режим белых списков. Разбираем, какие провайдеры блокируют жёстче, что работает и как диагностировать проблему.

Общая картина на апрель 2026

Законодательная база ужесточилась за последние два года. ФЗ № 90-ФЗ от 1 мая 2019 создал Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) на базе ФГУП «ГРЧЦ» — это юридическая основа ТСПУ. Постановление Правительства № 126 от 12 февраля 2020 определило порядок установки ТСПУ. Постановление № 1667 (вступило в силу 1 марта 2026) закрепило централизованное управление сетью: теперь РКН, Минцифры и ФСБ могут давать операторам обязательные указания. В феврале 2026 ФСБ получила право требовать отключения услуг без решения суда.

Покрытие ТСПУ: с августа 2023 года — 100% на узлах крупных провайдеров. К 2026 году система охватывает около 95% интернет-трафика страны (данные Habr). Суммарная пропускная способность — около 132 Тбит/с, план к 2030 году — 725–954 Тбит/с. На развитие в бюджете 2025–2030 заложено примерно 60 млрд ₽.

Архитектура ТСПУ (по академическому исследованию «TSPU: Russia's Decentralized Censorship System» от Censored Planet): устройства размещены в пределах 2 сетевых хопов от конечного IP для более чем 70% endpoint'ов в 650 AS. Система stateful и in-path, триггеры — SNI, IP-адрес, характеристики QUIC.

Масштаб ограничений:

  • К середине января 2026 — ограничено 439 сервисов обфускации
  • К концу февраля 2026 — 469 (рост на 70% против осени 2025)
  • С декабря 2025 ТСПУ блокирует не только IP, но и сами протоколы VLESS, SOCKS5, L2TP
  • В январе 2026 РКН выделил 2,3 млрд ₽ на ИИ для фильтрации трафика маскировки

Доля пользователей сервисов обфускации в РФ к началу 2026 — 39%, рост на 8,3 процентных пункта год к году (данные vc.ru).

Консенсус источников по «жёсткости» провайдеров:

  • Мобильные операторы (МТС, МегаФон, Билайн, Т2, Yota) блокируют протоколы маскировки значительно агрессивнее
  • Домашние провайдеры (Ростелеком, Дом.ру) применяют выборочную блокировку, мягче
  • Мелкие региональные проводные — блокировки могут вообще не работать

Дом.ру (ЭР-Телеком) — самый жёсткий среди домашних

История ограничений:

  • Май 2023 — первая массовая блокировка OpenVPN в сетях Дом.ру и Таттелекома (Тула и другие регионы). На Ростелекоме через Wi-Fi в тот же период OpenVPN работал.
  • Август 2023 — массовая блокировка OpenVPN и WireGuard у Дом.ру, Билайна и Таттелекома. OpenVPN по UDP блокируется с мая 2023.
  • Исторически блокирует протокол GRE (нужен для PPTP) — примерно с 2020 года.
  • У Дом.ру есть официальная FAQ-страница «Что делать, если соединение через сервис маскировки не работает» — косвенное признание проблемы, хотя техподдержка традиционно отрицает блокировки.

Свежий факт — ограничение скорости с февраля 2026. Дом.ру тестирует ограничение скорости проводного интернета абонентам, потребляющим более 3 ТБ в месяц. Пилот идёт в Санкт-Петербурге, Самаре и Екатеринбурге. При превышении скорость снижается до 50 Мбит/с до конца расчётного периода. Сохранить скорость можно доплатой 100 ₽ за каждые 500 ГБ. По данным ЭР-Телекома, пилот затрагивает около 267 клиентов в трёх городах (менее 1%), а 85% клиентов потребляют до 500 ГБ в месяц. Обоснование компании: «избыточные объёмы трафика связаны с коммерческим использованием». ФАС объявила о проверке инициативы на экономическую и технологическую обоснованность.

Важно: ограничение скорости по объёму — это не whitelist и не протокольная блокировка. Это отдельная инициатива, но в контексте «цифрового давления» она часто смешивается с темой ограничений.

МТС — мобильный и домашний

Ключевое уточнение: термин «whitelist-режим МТС» в апреле 2026 означает участие МТС в белых списках Минцифры при шатдаунах мобильного интернета.

Официальная страница МТС от 1 марта 2026 (media.mts.ru/internet/210833-belyj-spisok-interneta): «При временных ограничениях в работе мобильного интернета в целях обеспечения мер безопасности ключевые российские цифровые сервисы по-прежнему доступны».

Дополнительные сервисы МТС в белом списке: Мой МТС, МТС Premium, КИОН, КИОН Музыка, КИОН Строки, Ticketland, МТС Link, «Юрент».

Банки в белом списке МТС на 1 апреля 2026: МТС Банк, НСПК (Мир), Альфа-Банк, ПСБ, ВТБ. Сбербанка и Т-Банка в белом списке всё ещё нет, хотя ЦБ настаивает на включении.

Хронология whitelist у МТС:

  • Белый список Минцифры опубликован 5 сентября 2025; сайт МТС добавлен 19 сентября 2025
  • Осень 2025 — пилот в 48–71 регионах
  • 10 ноября 2025 — период охлаждения SIM-карт (включая МТС), тестовый режим
  • С 6 марта 2026 — масштабный шатдаун в Москве (более недели) с активацией белого списка
  • 3 апреля 2026 — МТС начал предупреждать москвичей о временных ограничениях мобильного интернета

Региональные различия. До марта 2026 шатдауны почти не затрагивали Москву и Санкт-Петербург. С 6 марта 2026 Москва получила «опыт регионов». Исключения остаются только в Норильске, Дудинке и Чукотском АО. В 2025 году шатдауны в Чечне и Дагестане были менее частыми, чем в среднем по крупным регионам. В Дагестане с октября 2024 года заблокирован Telegram.

Временные характеристики шатдаунов: от часов до недель, по решению региональных властей и спецслужб. Приоритет на мобильный, не проводной интернет — официальное объяснение связано с противодействием БПЛА.

Ростелеком, Т2, OnLime

Ростелеком 31 марта 2026 дал ключевой комментарий РБК через представителей «Ростелеком — Юг»: «Формированием белых списков занимается Минцифры, надзором за исполнением решения — Роскомнадзор. Введут его соответствующие государственные органы власти на оптическом интернете — будем исполнять».

Одновременно Ростелеком категорически опроверг ограничения домашнего интернета на юге России в тот же день. Аргумент: «Проводной интернет не может использоваться для навигации БПЛА, поэтому ограничения на доступ к легальным интернет-ресурсам не вводятся».

Подход Ростелекома к протоколам маскировки:

  • Встречаются блокировки отдельных протоколов (OpenVPN UDP), но значительно мягче мобильных операторов
  • Есть жалобы пользователей на блокировку WireGuard (qna.habr.com/q/1383490)
  • С июля 2025 начал замедлять домашний интернет «за большой объём трафика»
  • В ряде регионов IPsec не работает даже между сервером и клиентом внутри РФ

Т2 (Tele2): агрессивно блокирует протоколы маскировки на мобильной сети. Исторически в Санкт-Петербурге: блокируются OpenVPN UDP/TCP, L2TP, WireGuard; не блокируются PPTP и IPsec. Участвовал в тестировании белого списка.

OnLime (входит в Ростелеком): специфических данных в открытых источниках мало. Предположительно, следует политике Ростелекома.

Билайн и МегаФон

Билайн. Мобильный сегмент блокирует протоколы маскировки агрессивно, наравне с МТС и МегаФоном. На домашнем интернете в мае 2023 были жалобы на блокировку OpenVPN, но менее систематически, чем у Дом.ру.

Позиция Билайна мягче других операторов. Сергей Анохин (глава ВымпелКома) на конференции «Ведомости Телеком-2026» предложил вводить белые списки только для «подозрительных абонентов» и признал, что технически невозможно отличить обфусцированный трафик от обычного международного. С 1 апреля 2026 Билайн отключил пополнение Apple ID через счёт мобильного.

МегаФон. Мобильный сегмент блокирует протоколы маскировки аналогично другим мобильным операторам. Yota принадлежит МегаФону и работает на его сети. С 1 апреля 2026 убрал опцию покупки подарочных сертификатов Apple ID.

Yota, СберМобайл, Т-Мобайл

Yota (MVNO МегаФона). Исторически блокирует протоколы маскировки (PPTP, частично L2TP, OpenVPN). По отзывам с октября 2025 (qna.habr.com) — блокирует VLESS+Reality, особенно к «подозрительным» хостерам.

Т-Мобайл (бывший Тинькофф Мобайл, MVNO на Т2 и МТС). Более 6 млн абонентов, жалобы на блокировку обфусцированных соединений с 2023 года. Сайт Т-Мобайла в белом списке с декабря 2025.

СберМобайл (MVNO на Т2 и МегаФоне). Блокировки следуют политике базовых операторов. Сайт в белом списке с декабря 2025.

Whitelist-режим технически

Архитектура: реализуется на уровне ТСПУ Роскомнадзора. Формирование списка — Минцифры по согласованию с ФСБ и РКН. Контроль — РКН.

Принцип:

  • Blacklist — классическая блокировка: перечисленные IP и домены сбрасываются, всё остальное разрешено.
  • Whitelist — обратная логика: разрешён только перечень, всё остальное блокируется (DROP или TCP RST).

Для мобильного белого списка применяется DNS/IP-фильтрация на ТСПУ плюс сигнатурный анализ трафика. Пользователь при включении шатдауна вводит капчу на странице провайдера (у МТС — http://captcha.mts.ru/) и получает доступ к разрешённым сервисам.

Детекция протоколов маскировки на ТСПУ (по исследованиям Habr):

  • L2TP — первые пакеты L2TP Control Message не доходят (Drop)
  • IPsec (UDP 500/4500) — блокировка UDP-пакетов после нескольких (Drop)
  • PPTP (TCP 1723) — TCP-соединение разрывается после Start-Control-Connection-Reply (TCP RST)
  • OpenVPN UDP — блокировка после нескольких пакетов с данными (Drop)
  • OpenVPN TCP / WireGuard — обнаружение сигнатуры → TCP RST или timeout

Требования к сервисам в белом списке: серверы в России, выполнение требований СОРМ. С марта 2026 — обязанность блокировать собственных пользователей, заходящих через зарубежные узлы, иначе исключение из списка. 2 апреля 2026 Минцифры «предложило» Сберу, Яндексу, VK, Wildberries, Ozon, Авито, X5, 2ГИС, HeadHunter и Циану ограничить доступ к своим платформам для пользователей с зарубежных IP. 7 апреля 2026 «Известия» сообщили: Wildberries, Ozon, «Вкусвилл» нестабильно работают при подключении через зарубежный сервер.

Как ТСПУ детектирует трафик маскировки

Шесть основных методов на апрель 2026:

1. SNI fingerprinting. Основной способ. После ClientHello с «нежелательным» SNI соединение таймаутится или обрывается RST. OONI: один SNI блокируется синхронно почти на всех российских AS — признак централизованного управления.

2. IP-реестры и ASN-фильтрация. Блокировка по репутации подсетей: Hetzner, DigitalOcean, OVH — кандидаты на throttling или TCP-freeze после первых 15–20 КБ данных.

3. Protocol fingerprinting. WireGuard — 148-байтный handshake; OpenVPN — фиксированный opcode; IKEv2 на UDP 500/4500; Shadowsocks до AEAD-2022 — высокая энтропия без узнаваемого начала.

4. Active probing. РКН сам устанавливает TLS-соединение с подозрительным IP и анализирует ответ. Системно применяется с 2025 года (оценка «Эшер II», РБК).

5. TLS fingerprinting JA3/JA4. Современные клиенты с правильным fingerprint: chrome обходят эту проверку; устаревшие — нет.

6. Поведенческий анализ. Длительное соединение с одним узлом, равномерное распределение пакетов, большой объём в обе стороны. Цитата с Habr: «VLESS-туннель с активными пользователями генерирует трафик-профиль, ничего общего с реальным iCloud не имеющий — нейросеть, обученная на реальном трафике Apple-сервисов, видит это быстро».

Дополнительно: в ноябре 2024 РКН заблокировал Encrypted Client Hello (ECH) — в подсети Cloudflare фиксировалось массовое «замораживание» TLS-соединений.

Почему устаревшие протоколы не работают

  • PPTP — мёртв в РФ с 2023 года.
  • OpenVPN — массовая блокировка с 7 августа 2023. Новая волна 15 января 2024: «WireGuard/OpenVPN отвалились» по всему Рунету, не работает у 90–95% пользователей.
  • WireGuard — блокируется с лета 2023 по 148-байтному handshake и UDP-профилю.
  • IKEv2/IPsec, L2TP/IPsec — с декабря 2025 ТСПУ активно блокирует L2TP.
  • Shadowsocks — в ноябре 2023 включён в перечень РКН из 49 сервисов и протоколов.
  • VLESS+TLS без Reality — в декабре 2025 ТСПУ научился детектировать «по косвенным признакам», сбои в Татарстане, Удмуртии, Нижегородской, Свердловской, Новосибирской, Томской, Волгоградской областях, Приморье.

Что работает (общие принципы)

Современные маскирующие протоколы и транспорты, упоминаемые в открытых источниках и документации проектов:

  • VLESS + XTLS-Reality + XTLS-Vision. Reality проксирует реальный TLS-handshake к «донорскому» сайту, активные зонды видят легитимный сервис. В 2025 добавлено пост-квантовое расширение ML-DSA-65.
  • XHTTP (packet-up, stream-up, stream-one). Транспорт Xray-core поверх HTTP/2 или HTTP/3. Разделяет upstream и downstream на разные соединения, ломая статистический анализ.
  • AmneziaWG 2.0 — форк WireGuard с динамическими headers, junk/padding, мимикрией под QUIC/DNS/SIP.
  • Hysteria 2 (QUIC) — port hopping, Brutal congestion control, маскировка под HTTP/3-сервер. Минус: российские провайдеры часто режут UDP:443, поэтому на мобильных Hysteria работает нестабильно.
  • Цепочки «RU-мост → EU-exit». Популярный паттерн 2026: российский IP служит входной точкой и проксирует трафик на зарубежный сервер через протоколы маскировки. Помогает в белых списках мобильных операторов, поскольку точка входа попадает в whitelist по IP/ASN.

Диагностика пользователем

Четыре практичных шага:

1. Сравнить Wi-Fi и мобильный интернет. Если соединение работает через домашний Wi-Fi, но не работает через мобильный (или наоборот) — проблема в конкретном провайдере. В 2026 мобильные операторы блокируют значительно жёстче, поэтому совет «используйте мобильный интернет вместо домашнего» из прошлых лет инвертировался: теперь надо пробовать Wi-Fi.

2. Traceroute/mtr. Команды tracert target-IP (Windows), traceroute target-IP (Linux/macOS) или утилита mtr показывают, на каком сетевом хопе обрывается трафик. Типичная картина блокировки: хопы провайдера → граница (M9, MSK-IX) → потеря пакетов.

3. curl -v. Запуск curl -v https://site показывает, где именно падает соединение: DNS-резолв, TCP-handshake, TLS-handshake (после ClientHello) или обмен данными. OONI фиксирует: типичный сценарий блокировки по SNI — таймаут или RST после ClientHello.

4. Онлайн-сервисы:

  • globalcheck.net — децентрализованная сеть сенсоров у волонтёров, проверка доступности конкретного сайта или IP из разных российских AS.
  • OONI Probe / OONI Explorer — мобильное приложение и открытый датасет. На 2026 — более 339 млн измерений из РФ в 2996 AS.
  • 2ip.ru, ipleak.net — проверка утечек IP, DNS, WebRTC.

Что помогает: общие решения

  • Смена сервера или IP. Блокировка часто бьёт по паре IP+port или подсети. Смена порта на 443/TCP и пересоздание VPS в том же дата-центре даёт временный эффект.
  • Смена протокола. Типичный маршрут деградации 2024→2026: WireGuard → AmneziaWG 1.0 → AmneziaWG 2.0 → VLESS+TLS → VLESS+Reality → VLESS+Reality+XHTTP → цепочка RU→EU.
  • Смена транспорта. TCP → WebSocket → gRPC → XHTTP.
  • DoH/DoT — шифрование DNS снимает часть детекции на уровне резолва, но не помогает против SNI и поведенческого анализа. В 2026 часть провайдеров начала подменять или замедлять DoH-резолверы.

Связанные материалы

Источники

Данные актуальны на 18 апреля 2026 года. Ситуация с блокировками быстро меняется — конкретный протокол или сервер могут перестать работать в любой момент. Отслеживайте состояние через globalcheck.net и OONI Explorer, при проблемах с KeyDrop сразу обращайтесь в поддержку.

Не нашли ответ?
Наша команда поддержки поможет решить вашу проблему
Написать в Telegram support@kdrop.app
Ещё не пользуетесь KeyDrop? 3 дня бесплатно, без карты
Попробовать в Telegram Регистрация по email →