Новость о том, что VPN в России запретили обходить «белые списки», многие уже видели — но из заголовков совершенно непонятно, что вообще произошло. Большинство людей слышали про «белые списки», но мало кто понимает, как они работают и почему стали настолько важны. Как VPN с российскими IP-адресами вдруг позволял заходить на YouTube, нельзяграм и другие заблокированные ресурсы? Почему эта схема работала так хорошо? И главное — почему РКН решил жёстко прикрыть эту лазейку именно сейчас?
В этой статье мы подробно и простым языком разберём:
- Что такое "белые списки" сайтов и "белые" IP
- Как VPN использовали российские облака для обхода блокировок
- Какие меры теперь будет принимать РКН
- И что всё это реально значит для обычных российских пользователей
Как вообще работает VPN
VPN (Virtual Private Network) — это защищённый «туннель» между вашим устройством и интернетом.
Когда вы подключаетесь к VPN-серверу (обычно за границей), весь ваш трафик идёт через этот сервер:
— Ваш реальный IP-адрес скрывается — сайты и провайдер видят IP VPN-сервера.
— Ваш трафик шифруется — провайдер (или цензор) не видит, куда вы заходите.
— Вы получаете доступ к заблокированным сайтам, потому что запрос идёт «из другой страны».
Простыми словами: вы как будто сидите в другой стране и смотрите интернет оттуда. Подробнее о том, как работает VPN и об его видах читайте в этой статье.
Что такое IP-адрес
IP-адрес — это уникальный «паспорт» любого устройства в интернете. Подробнее о видах IP читайте здесь.
— У каждого сайта, сервера и вашего телефона/компьютера есть IP.
— Провайдеры и регуляторы (включая Роскомнадзор) видят ваш IP и могут блокировать трафик по IP или по домену.
— Блокировки в России часто идут именно по IP: если IP сайта в реестре запрещённых — весь трафик к нему режется.
Подробнее о блокировках можно прочесть здесь.
Что такое «белые списки» сайтов и «белые» IP-адреса
В России с 2022 года (особенно при угрозах дронов/БПЛА) в некоторых регионах вводят ограничения мобильного интернета — отключают доступ ко всему, кроме очень ограниченного списка ресурсов. Это называется «белый список» сайтов (или whitelisting):
- Работают только одобренные сайты (госсервисы, банки, Госуслуги, некоторые СМИ, мессенджеры вроде MAX и т.д.).
- Всё остальное (YouTube, иностранные сайты и мессенджеры) — недоступно.
Чтобы эти «белые» сайты работали стабильно даже при таких жёстких ограничениях, Роскомнадзор и операторы выделяют для них специальные «белые» IP-адреса (или пулы IP). Эти IP-адреса не блокируются никогда — они в приоритете, чтобы критическая инфраструктура (банки, Госуслуги) не падала.
Как VPN маскируется под «белый список»?
Сценарий А: Использование одного IP с разрешенным сайтом
VPN-провайдер может арендовать сервер у того же облачного хостинга (Yandex Cloud, VK Cloud и т.д.), где висят государственные сайты или крупные банки.
- Если условный «ГосБанк» и «VPN-сервер» находятся на одной облачной платформе и делят один IP (или соседние), провайдеру сложно заблокировать VPN, не «уронив» при этом банк.
Сценарий Б: Маскировка трафика (Shadowsocks, VLESS)
Это более хитрый способ. VPN-клиент на вашем устройстве делает вид, что он вовсе не VPN.
- Он берет зашифрованные данные и оборачивает их в пакеты, которые выглядят как обычный запрос к сайту из «белого списка» (например, к порталу Госуслуг).
- Система фильтрации (ТСПУ) видит: «Так, запрос идет на разрешенный IP, внутри вроде бы стандартный HTTPS-трафик». И пропускает его.
- На самом деле этот запрос идет на промежуточный «прокси-сервер», который распаковывает данные и перенаправляет их дальше — в свободный интернет.
Подождите, но ведь, если VPN арендовали серверы в российских облачных провайдерах, значит и IP у них был российский? А как тогда было возможно заходить в YouTube и другие иностранные сервисы, которые заблокированы по российским IP?
Отличный вопрос. Отвечаем:
Обычные VPN-серверы за границей работают просто: ваш трафик выходит из-за рубежа → IP иностранный → YouTube видит «немецкий» или «нидерландский» IP → работает без проблем.
Но в случае с мобильными VPN, схема была хитрее — каскадная или chain proxy / matryoshka (матрешка):
- Первый сервер (внутри России, с «белым» IP)
Ваш телефон/компьютер подключается сначала к российскому серверу в облаке (Yandex Cloud, VK Cloud и т.п.). Этот сервер имеет «белый» IP — тот самый, который входит в разрешённый пул и никогда не блокируется даже при жёстком whitelisting. Провайдер видит: «Ага, трафик идёт к белому IP — пропускаем!» → VPN-соединение устанавливается успешно, даже когда обычный интернет почти весь отрезан. - Второй сервер — уже за границей
С российского «белого» сервера трафик перенаправляется дальше — через зашифрованный туннель к зарубежному серверу (Нидерланды, Германия, США и т.д.).
Именно оттуда запросы идут к YouTube, нельзяграм и т.п. → конечный IP, который видит YouTube, уже иностранный. - Маскировка трафика
Часто использовались протоколы с маскировкой, чтобы DPI (глубокий анализ пакетов) не распознал, что это VPN-туннель к иностранному серверу. Трафик выглядел как обычный HTTPS к «белому» ресурсу.
Итог: российский сервер с белым IP служил «входной дверью» — чтобы пробиться через фильтры белого списка и DPI. А дальше цепочка вела к нормальному зарубежному серверу, откуда и шёл доступ к YouTube.
Какие меры принимает РКН?
Ничто не вечно: Роскомнадзор заметил эти схемы и начал прикрывать лазейки (по данным СМИ вроде «Кода Дурова», Habr, Hi-Tech Mail.ru и Коммерсанта на 24–27 января 2026):
1. Регулятор потребовал от облачных провайдеров разделить пулы IP: адреса из «белого списка» теперь нельзя сдавать в аренду обычным клиентам (включая VPN-провайдеров). Пулы для «белых» ресурсов и для всех остальных — строго отдельно.
2. Помимо этого системы ТСПУ научились смотреть не только на IP-адрес, но и внутрь пакета данных (технология Deep Packet Inspection — DPI). Даже если запрос идет на «правильный» IP, система видит характерный «почерк» VPN-протокола и обрывает связь.
Что такое ТСПУ, как это работает и кто этим управляет
ТСПУ (Технические средства противодействия угрозам) — это «черный ящик», который стоит в серверной каждого российского интернет-провайдера. Если раньше провайдер сам блокировал сайты по списку Роскомнадзора, то теперь за него это делает эта «коробочка», которой управляют напрямую из Москвы.
1. Как это устроено технически?
ТСПУ базируется на технологии DPI (Deep Packet Inspection) — «глубокий анализ пакетов».
- Обычный фильтр: смотрит только на «конверт» (на какой IP-адрес вы идете). Если адрес в черном списке — блокирует.
- ТСПУ (DPI): вскрывает «конверт» и смотрит на содержимое. Он анализирует структуру данных, заголовки и даже ритмичность передачи пакетов. Это позволяет ему понять, что вы не просто «качаете картинку», а используете VPN-протокол, даже если вы маскируете его под обычный сайт.
2. Кто этим управляет?
У провайдера (МТС, Билайн, Ростелеком и др.) нет доступа к настройкам ТСПУ. Это оборудование принадлежит государству.
- Команды на блокировку приходят из Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП).
- Это позволяет властям нажать «одну кнопку» и мгновенно замедлить или заблокировать сервис (как это было с Twitter, YouTube и протоколами VPN) по всей стране сразу.
3. Главные возможности ТСПУ в 2026 году:
- Блокировка по протоколам: Система умеет распознавать «отпечатки пальцев» популярных VPN-протоколов (WireGuard, OpenVPN, L2TP). Даже если VPN-провайдер меняет IP-адреса каждый час, ТСПУ видит саму структуру трафика и обрывает связь.
- Замедление (Троттлинг): ТСПУ может не блокировать сайт полностью, а ограничить его скорость до 128 кбит/с, делая использование видео или тяжелых сайтов невозможным.
- «Замораживание» сессий: Новая тактика начала 2026 года — ТСПУ не обрывает соединение сразу, а дает передать первые 15–20 КБ данных, после чего просто перестает пропускать пакеты. Пользователь видит бесконечную загрузку.
- Режим «Белого списка»: В случае угрозы ТСПУ переходит в режим, когда пакеты пропускаются только к разрешенным IP-адресам (банки, госуслуги, VK), а всё остальное игнорируется на уровне железа.
В январе 2026 года стало известно, что в ТСПУ начали внедрять инструменты машинного обучения. Теперь система не просто ищет знакомые шаблоны, а сама обучается выявлять новые способы обхода блокировок в реальном времени, анализируя аномалии в трафике.
Что все это значит для обычных российских пользователей?
Фактически, власти переходят от тактики «черных списков» (когда блокируют только плохое) к архитектуре «белых списков» (когда запрещено всё, кроме разрешенного). Это делает мобильный интернет в некоторых регионах похожим на закрытую корпоративную сеть, где работают только проверенные государством приложения.
— 24 января многие VPN-сервисы потеряли доступ к куче российских серверов с «белыми» IP.
— У пользователей начались сбои: VPN не работает или работает плохо при региональных отключениях мобильного интернета.
— Плюс общее ужесточение: к середине января 2026 Роскомнадзор заблокировал уже более 400 VPN-сервисов (рост на 70% за 3 месяца).
Самое плохое для пользователей в регионах, где часто вводят такие ограничения: раньше VPN спасал при отключениях мобильного интернета — теперь эта схема почти не работает. Обход стал сложнее, и РКН продолжает зачистку.
Заключение
В сухом остатке история с «запретом обхода белых списков» — это не про VPN как таковые и не про отдельные сервисы, а про смену логики управления интернетом. Российская модель постепенно уходит от точечных блокировок к режиму, где доступ разрешается только к заранее одобренной инфраструктуре, а всё остальное считается потенциально нежелательным по умолчанию. Схемы с «белыми» IP и каскадными VPN долгое время позволяли эту архитектуру обходить, но именно поэтому Роскомнадзор и взялся закрывать их системно — через облака, IP-пулы и DPI, а не отдельные сервисы.
Подписывайтесь на наши сообщества в Telegram и ВКонтакте — там мы публикуем еще много интересных материалов и актуальных новостей.