Блокировки интернета в России: полный технический справочник 2026
Этот документ — техническая справка для тех, кто хочет понимать как именно работают блокировки интернета в России, а не просто «какой VPN скачать». Здесь: механизмы DPI, актуальные белые списки мобильных операторов, конкретные IP-диапазоны, разбор протоколов и рабочие схемы обхода.
Обновлено: март 2026. Информация собрана из открытых источников, тестов сообщества и реверс-инжиниринга поведения ТСПУ.
Как устроена блокировка: ТСПУ и DPI
ТСПУ (технические средства противодействия угрозам) — это оборудование глубокой инспекции пакетов (DPI), установленное у каждого интернет-провайдера в России по требованию закона о «суверенном интернете» (374-ФЗ от 2017 года, поправки 90-ФЗ от 2019 года). Оборудование поставляется и управляется Роскомнадзором, провайдер не имеет к нему доступа.
ТСПУ работает на следующих уровнях:
- IP-блокировка — самый грубый метод. Весь трафик к определённым IP-адресам дропается. Побочный ущерб огромный — на одном IP могут быть тысячи сайтов.
- SNI-фильтрация — анализ поля Server Name Indication в TLS ClientHello. Если домен в чёрном списке — соединение получает
connection resetили уходит вtimeout. Это основной метод блокировки сайтов. - Протокольная блокировка — определение VPN-протоколов по характерным сигнатурам: размер пакетов, порты, паттерны хендшейка. Так блокируются WireGuard, OpenVPN, IPSec.
- Статистический анализ — определение протоколов (Shadowsocks, VMess) по распределению размеров пакетов и энтропии данных. Более продвинутый метод, внедрён с конца 2025 года.
- Active probing — ТСПУ сам подключается к вашему серверу, пытаясь определить, что за сервис на нём работает. Если ответ не соответствует легитимному HTTPS-серверу — IP блокируется.
Что заблокировано: полный реестр
Сайты и сервисы (основные)
- YouTube — замедление с августа 2025. ТСПУ режет пропускную способность для доменов
*.googlevideo.com,*.youtube.com,*.ytimg.com. Скорость падает до 128-512 кбит/с — достаточно для аудио, но видео в 480p уже буферизирует. - Instagram — полная блокировка с 14 марта 2022. Блокировка по SNI (
*.cdninstagram.com,*.instagram.com,*.fbcdn.net). - Twitter / X — блокировка с 2022. Домены:
*.twitter.com,*.twimg.com,*.x.com,*.t.co. - Facebook — блокировка с 2022. Домены:
*.facebook.com,*.fbcdn.net,*.fb.com,*.facebook.net. - LinkedIn — заблокирован с 2016 года. Первый крупный сервис, заблокированный в РФ.
- ChatGPT / OpenAI — доступ ограничен со стороны OpenAI (блокировка по IP). Домены:
*.openai.com,*.chatgpt.com. - Claude (Anthropic) — аналогично, блокировка со стороны сервиса.
- Discord — замедление/блокировка с 2024. Домены:
*.discord.com,*.discord.gg,*.discordapp.com. - Spotify — ушёл из России, блокирует российские аккаунты. Работает через VPN с иностранным аккаунтом.
- Medium — периодические блокировки отдельных статей, иногда весь домен.
- Patreon — заблокирован.
- SoundCloud — работает нестабильно.
- Twitch — замедление потоков.
VPN-сервисы (заблокированные сайты)
- NordVPN (
nordvpn.com) - ExpressVPN (
expressvpn.com) - Surfshark (
surfshark.com) - ProtonVPN (
protonvpn.com) — сайт заблокирован, приложение работает частично - Mullvad (
mullvad.net) - Windscribe (
windscribe.com) - Private Internet Access
- CyberGhost
- TunnelBear
- Psiphon — включён в реестр РКН
Технические ресурсы
- GitHub Pages — периодические блокировки
- Docker Hub — замедление
- NPM Registry — периодические проблемы
- Hetzner — ряд подсетей заблокирован
- DigitalOcean — часть подсетей заблокирована
Статус VPN-протоколов в России (март 2026)
| Протокол | Статус | Метод блокировки | Обход возможен? |
|---|---|---|---|
| WireGuard | Заблокирован | Сигнатура UDP handshake (32-byte initiator, port 51820) | Нет. Обфускаторы (wstunnel, udp2raw) нестабильны. |
| OpenVPN | Заблокирован | TLS-хендшейк отличается от стандартного HTTPS | Нет. obfs4 работает нестабильно. |
| IPSec / L2TP | Заблокирован | Характерные порты (500, 4500 UDP) + IKE сигнатура | Нет. |
| Shadowsocks | Нестабильно | Статистический анализ: энтропия + размер пакетов | Частично. С v2ray-plugin — 50/50. |
| VMess | Нестабильно | Аналогично Shadowsocks + active probing | Частично. С TLS — работает у некоторых. |
| Trojan | Работает | — | Да. Трафик идентичен HTTPS. |
| VLESS + TLS | Работает | — | Да. Но уязвим к active probing (сервер отвечает не как обычный сайт). |
| VLESS + Reality | Работает | — | Да. Устойчив к active probing. Reality использует сертификат реального сайта — ТСПУ не может отличить от легитимного HTTPS. |
Вайтлистинг мобильного интернета
Отдельная категория блокировок — вайтлистинг мобильного интернета. Во время «ограничений» (обычно совпадают с политическими событиями, протестами или военными действиями) мобильные операторы переключаются на режим белого списка: доступны только разрешённые домены и IP, всё остальное блокируется.
Что происходит под вайтлистом
- Полный блэкаут — в отдельных регионах (особенно в сёлах и деревнях) интернет просто выключается. Работают 2-3 сайта госуслуг.
- Троттлинг — трафик к адресам не из белого списка режется до 14 кбит/с или ниже.
- Connection reset / timeout — попытки подключения к незнакомым IP дропаются. Блокируются даже ICMP-пинги.
- SNI-вайтлистинг — оператор проверяет только домен из SNI. Если домен в списке — пропускает. IP сервера не проверяется.
- IP+SNI-вайтлистинг — комбинированная модель. Проверяется и домен, и IP. Даже идеальный SNI-спуфинг не поможет, если IP не в белом списке.
Операторы ведут себя по-разному
Единых правил нет. Ситуация меняется по оператору, региону и даже по конкретной вышке:
- МТС — обычно SNI-вайтлистинг. Относительно широкий белый список.
- Билайн — SNI + частичная проверка IP. Средний уровень ограничений.
- Мегафон — строгий вайтлистинг. Часто IP+SNI модель.
- Tele2 / T2 — самые жёсткие ограничения. Комбинированная модель. Зафиксирован феномен «щита» (см. ниже).
- MVNO (Yota, Тинькофф Мобайл, СберМобайл) — обычно строже родительского оператора. Yota на сети Мегафона может иметь более узкий белый список, чем сам Мегафон.
Домены из белого списка (SNI)
Ниже — выборка доменов, остающихся доступными во время вайтлистинга. Полный список содержит 890+ доменов и регулярно обновляется сообществом. Эти домены подходят для SNI-спуфинга в VLESS/Trojan конфигурациях.
Госсервисы:
gosuslugi.ru government.ru kremlin.ru duma.gov.ru epp.genproc.gov.ru nalog.gov.ru mos.ru pfr.gov.ru
Банки и финтех:
alfabank.ru sberbank.ru tinkoff.ru vtb.ru raiffeisen.ru gazprombank.ru
Крупные российские сервисы:
yandex.ru vk.com mail.ru ok.ru 2gis.ru avito.ru ozon.ru wildberries.ru rambler.ru lenta.ru rbc.ru gazeta.ru kp.ru
VK CDN (массив доменов):
pptest.userapi.com sun1-13.userapi.com ... sun1-92.userapi.com sun2-*.userapi.com sun6-*.userapi.com sun9-*.userapi.com pp.userapi.com
Транспорт и сервисы:
rzd.ru tutu.ru pochta.ru moskva.taximaxim.ru
IP-подсети из белого списка (CIDR)
Эти подсети остаются доступными во время вайтлистинга. Полезно для поиска хостинга с «белым» IP:
# Крупные российские блоки 2.63.0.0/17 2.63.128.0/18 2.63.192.0/19 2.78.0.0/19 2.78.64.0/18 2.78.128.0/17 # Яндекс / VK / Mail.ru инфраструктура 5.8.0.0/21 5.8.32.0/23 5.8.36.0/22 5.8.40.0/22 5.45.192.0/18 5.61.16.0/20 5.61.232.0/21 # Банковская инфраструктура 5.128.0.0/16 5.187.0.0/19 # Другие разрешённые диапазоны 31.13.24.0/21 31.13.64.0/18 31.177.64.0/18 37.9.64.0/18 37.140.128.0/17 46.17.200.0/21 46.39.192.0/18
Полный список содержит сотни CIDR-блоков. Источник: github.com/hxehex/russia-mobile-internet-whitelist (обновляется сообществом)
Как обойти: технические схемы
Схема 1: SNI-спуфинг (простая)
Работает, если оператор проверяет только SNI без валидации IP.
Клиент
└─ VLESS + Reality
└─ SNI: gosuslugi.ru (или другой домен из белого списка)
└─ Ваш сервер (любой IP)
└─ Интернет
Настройка: В конфиге VLESS-клиента укажите serverName (SNI) = домен из белого списка (например, gosuslugi.ru). Reality автоматически выполнит TLS-хендшейк с сертификатом этого домена.
Схема 2: Сервер на белом IP
Работает даже при IP+SNI вайтлистинге.
Клиент
└─ VLESS + Reality
└─ SNI: gosuslugi.ru
└─ Сервер на IP из cidrwhitelist.txt
└─ Интернет
Как найти хостинг: Ищите VPS-провайдеров (российских или зарубежных), чьи IP попадают в диапазоны из белого списка. Покупаете VPS, проверяете IP через cidrwhitelist.txt, настраиваете XRay-сервер.
Схема 3: Двухсерверная (максимально надёжная)
Клиент
└─ VLESS + Reality
└─ SNI: gosuslugi.ru
└─ Российский VPS (белый IP из списка)
└─ VLESS/WireGuard туннель
└─ Зарубежный VPS (Европа)
└─ Интернет
Логика: Первый сервер — в России или на белом IP — принимает зашифрованный трафик и ретранслирует его на второй сервер за рубежом. Оператор видит только подключение к разрешённому IP с легитимным SNI. Дороже и сложнее, но обходит любой уровень вайтлистинга.
Рекомендуемые клиенты и настройка
Протоколы
В 2026 году в России работают только два протокола:
- VLESS + Reality — основной выбор. Reality обеспечивает защиту от active probing, используя сертификат реального сайта. ТСПУ видит легитимный TLS-хендшейк и пропускает соединение.
- Trojan — альтернатива. Трафик выглядит как обычный HTTPS. Менее устойчив к active probing, чем Reality, но работает стабильно.
Клиенты по платформам
- Android: V2rayNG, Husi
- iOS: Streisand, Happ
- Windows / Linux: Throne, NekoBox (форк от qr243vbi — не используйте оригинальный NekoBox, он заброшен)
- macOS: Hiddify, V2rayU
Минимальный конфиг XRay-сервера (VLESS + Reality)
{
"inbounds": [{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{"id": "ваш-uuid", "flow": "xtls-rprx-vision"}],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"dest": "www.microsoft.com:443",
"serverNames": ["www.microsoft.com"],
"privateKey": "ваш-приватный-ключ",
"shortIds": ["abcdef1234"]
}
}
}],
"outbounds": [{"protocol": "freedom"}]
}
Генерация ключей:
# Установка XRay bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install # Генерация ключей Reality xray x25519 # Генерация UUID xray uuid
Феномен «щита» (Tele2/T2)
Зафиксированный, но малоизученный феномен. Некоторые абоненты Tele2 имеют иммунитет к вайтлистингу — у них интернет продолжает работать без ограничений даже во время массовых блокировок.
- Что это: секретный флаг в системе оператора. Не тариф, не услуга. На мобильных сетях нет «статического IP» или подобных опций.
- Как получают: либо «особые» абоненты (чиновники), либо самые настойчивые жалобщики. Известен случай: абонент угрожал судом из-за неработающих госуслуг во время вайтлиста → получил компенсацию и «щит».
- Ограничения: не спасает при полных государственных шатдаунах.
Как проверить, что вы под вайтлистом
# 1. Проверить доступ к госсервисам curl -I https://yandex.ru # Должен ответить 200/301 curl -I https://gosuslugi.ru # Должен ответить 200/301 # 2. Проверить доступ к внешним ресурсам curl -I https://2ip.ru # Если timeout — вы под вайтлистом curl -I https://yahoo.com # Если timeout — вы под вайтлистом ping 1.1.1.1 # Если timeout — ICMP тоже заблокирован # 3. Определить тип блокировки # Если yandex.ru работает, а yahoo.com нет — SNI-вайтлистинг # Если пинг 1.1.1.1 не работает — IP-вайтлистинг # Если ничего не работает — полный блэкаут
Не хотите разбираться в технических деталях? Получите готовый VLESS+Reality конфиг за 30 секунд.
Скачать VPNРеестр Роскомнадзора: как работает
Реестр запрещённых сайтов (reestr.rublacklist.net — зеркало) содержит более 850 000 записей. Записи добавляются по решениям судов, Роскомнадзора, Генпрокуратуры, ФНС и других органов.
Типы записей в реестре:
- URL-блокировка — конкретная страница. Провайдер должен блокировать только эту URL. На практике часто блокируется весь домен.
- Доменная блокировка — весь домен и все поддомены.
- IP-блокировка — конкретный IP или подсеть. Максимальный побочный ущерб.
- Блокировка по маске — wildcard-правила (
*.example.com).
ТСПУ получает обновления реестра в реальном времени и применяет правила автоматически. Провайдер не может отказаться от блокировки — за нарушение штраф до 4 млн рублей.
Полезные инструменты
- ntc.party — форум по обходу цензуры (на русском)
- russia-mobile-internet-whitelist — актуальные белые списки
- reestr.rublacklist.net — зеркало реестра РКН
- XRay-core — движок для VLESS/Trojan
- 2ip.ru — проверка IP и доступности
- isitblockedinrussia.com — проверка блокировки сайтов в РФ
Вопросы и ответы
YouTube (замедление с 2025), Instagram (с марта 2022), Twitter/X (с 2022), Facebook (с 2022), LinkedIn (с 2016), ChatGPT (ограничен), Discord (замедлен), Spotify (ушёл из РФ). Реестр Роскомнадзора содержит более 850 000 записей.
ТСПУ (оборудование Роскомнадзора у каждого провайдера) анализирует трафик на нескольких уровнях: IP-адреса, SNI (домен в TLS), сигнатуры протоколов, статистические паттерны. Блокировка происходит автоматически на уровне инфраструктуры.
WireGuard использует UDP с характерным 32-байтным initiator пакетом и обычно работает на порту 51820. ТСПУ определяет эту сигнатуру мгновенно. Обфускаторы (wstunnel, udp2raw) нестабильны — ТСПУ обучается на новых паттернах.
VLESS+Reality выполняет настоящий TLS-хендшейк с сертификатом реального сайта (например, microsoft.com). Для ТСПУ это выглядит как обычное HTTPS-подключение к легитимному сайту. Чтобы заблокировать Reality, нужно заблокировать весь HTTPS-трафик — то есть отключить интернет.
Telegram-бот @compono_bot выдаёт готовый VLESS+Reality конфиг за 30 секунд. Вам не нужно покупать VPS, настраивать XRay или генерировать ключи — всё уже сделано. Просто откройте ссылку-конфиг в V2rayNG/Streisand/Hiddify.