Снова привет, Хабр....
У меня есть знакомый. Живёт в городе, где нет ни одного провайдера с кабельным интернетом только мобильный. Симка в роутере, вот и весь интернет. Сегодня, пока я пишу эту статью, у него нет связи. И нет не потому что симка кончилась. Потому что в его районе просто отключили мобильный интернет. Звучит забавно, не правда ли? написать ему я не могу, Когда включат - неизвестно.
Вот с этого и начнем
Небольшая историческая справка (потерпите)
Блокировки интернета для меня — не абстракция. В 2020-м я пользовался Psiphon и Tor, когда у нас всё это крутилось по-настоящему // кто понял тому сочуствую
Давайте пробежимся по тому, как Россия шла к сегодняшнему дню:
2018 — протесты против блокировки Telegram, РКН воюет с ТГ и задевает всё подряд
2022 — ТСПУ начинает блокировать всё, до чего дотянется, включая то, до чего не должно
2024 — массовое открытие VPN для обычных пользователей, народ узнает что такое proxy
2025 — YouTube «замедлился», Discord «заблокировали», Telegram «замедлился»
2026 — 1 марта вступил закон о суверенном интернете в полную силу
Эволюция обхода: как мы сюда пришли
Это уже история.
SS2022 — работал круто, пока работал. Потом начал отваливаться у одних, работать у других — ТСПУ учится. Разработчик не особо торопился с апдейтами.
Trojan — все переехали, через месяц поняли что он медленный и странный, работает сейчас — чисто потому что никто не юзает.
VLESS + NekoRay + Reality + XTLS — вот это было хорошо. Потом РКН начал палить отпечатки, появился XTLS. Гонка вооружений продолжается даже сейчас.
Zapret (by bol‑van) — вспомнили про него в эпоху Trojan. Работал быстро, бесплатно, хорошо, открыт. Плюс который стал минусом: открытая кодовая база. РКН буквально читал код и закрывал способы обхода DPI один за другим.
Где‑то между всем этим Минцифры начало форсить свои сертификаты. Я про это писал — если не читали, вот первая статья и вот вторая. Если коротко: установить их = дать государству ключ от вашего трафика. Буквально.
Что сейчас: белые списки
Пару месяцев назад я заметил странное. VLESS лагал — ок, бывает. Включил zapret — YouTube заработал. Пошел на один сайт — и ни zapret, ни VLESS не помогли. Только AmneziaWG с WARP, причём с российским IP. То есть проблема не в том, что сайт не пускает российских пользователей. Это РКН не пускает к сайту.
Причём блокировка умная: сам сайт грузился, а картинки с CDN отваливались по таймауту. Именно по таймауту, не по блокировке. Эвристики ТСПУ научились резать CDN‑трафик — и задели легитимный ( хотя это н3 то 4тобы легитимно, но сайта нету в списке РКН ).
Cloudflare Tunnel тоже перестал работать. Я понял: мы достигли нового уровня.
Что сейчас происходит:
Белые списки это теперь базовая архитектура. Есть три модели того, как это работает:
Вариант 1 — блокировка по IP (L3): разрешены только конкретные IP‑адреса. Если IP вашего сервера не в белом списке — всё, физически не пустят. Обойти практически нельзя.
Вариант 2 — блокировка по доменам (L7/DPI): разрешены только определённые домены. Тут интереснее: DPI можно обмануть, притворившись что идёшь на разрешённый домен. Математически доказано — DPI надурить всегда возможно, доказано, вопрос времени и усилий.
Вариант 3 — только российские IP (L3): самый вероятный сценарий для «чебурнета». Можете подключаться к любому серверу на российском IP, к американскому — нет. Помните как раньше открывали порты для майнкрафта с другом? Вот это. К серверу друга из РФ — можно, к серверу Google — нет.
Варианты 2 и 3 — плохие новости, но не конец игры.
Вариант 1 — это уже настоящий чебурнет. Опережу скептиков — DNS‑туннели не помогут (DNS перехватывается и подменяется), domain fronting закрыт, Cloudflare заблокирован. Остаётся разве что взломать Сбербанк и серфить через их сервера — у них‑то доступ к USA будет. Удачи.
Ещё из нового: точечные отключения ФСБ без суда. Тебя могут вырубить из сети по IMEI или IP, провайдер разведёт руками. Поднял публичный узел обхода блокировок — жди гостей.
Также: По сети периодически ходят слухи о физических глушилках. на самом деле это почти всегда что‑то другое — отключение на уровне провайдера, ТСПУ, точечная блокировка по IMEI. Настоящие глушилки — редкость, и работают они совсем иначе.
Идея: если интернет в России — это одна большая локалка, то...
Вот тут уже контента на отдельную статью.
Если Россия превратилась в одну огромную локальную сеть с агрессивными правилами — что первое делают в агрессивной сети? Правильно. Строят поверх неё свою.
Знакомьтесь: Yggdrasil.
Почему именно он, а не «просто по старинке curl по IP через nc»? ну, тут конечно на ваш вкус но мои аргументы почему «по старинке» хуже:
У вас нет белого IP (вы за NAT)
Нет шифрования
Нет маршрутизации через цепочку узлов
Yggdrasil решает всё три:
Адрес из публичного ключа — не нужен белый IP. Каждый узел генерирует адрес сам, он постоянный, не зависит от провайдера.
Mesh‑маршрутизация — пакет сам находит путь. Вы → Пир 1 (РФ) → Пир 2 (РФ) → Пир 3 (Германия). Yggdrasil прокладывает маршрут автоматически, вы даже не думаете об этом.
Встроенное шифрование — не надо городить VPN поверх.
Работает по Bluetooth и LoRa, WifiDirect, HoTsPoT — и вот это самое важное.
Представьте: провайдер отключил вас за «плохой рейтинг». Вы просите соседа поднять Yggdrasil. Подключаетесь к его локальной точке WiFi. Всё. Сеть работает без инфраструктуры провайдера для вас. Каждый телефон — это узел. Каждый сосед — это потенциальный «провайдер».
Как это работает на практике
Для варианта 2 и 3 (которые реальны прямо сейчас) схема простая:
Вариант 2 — по‑прежнему работает VLESS + SNI + XTLS + REALITY. Ничего принципиально нового, просто белый список — это «несколько сотен миллиардов сайтов в РКН». Подключаем, настраиваем, живём.
Вариант 3 — вот тут Yggdrasil и нужен. У вас есть знакомый в Калининграде (или Финляндии, или где угодно с нормальным интернетом). Он поднимает Yggdrasil и делает outproxy. Вы через mesh достучались до него — он проксирует трафик дальше. Важно: настройте нормальный балансировщик, чтобы не засорить канал, а еще это вроде незаконно?
Если РКН начнёт блокировать трафик Yggdrasil по сигнатурам — суём его в NaïveProxy. Трафик становится неотличим от обычного HTTPS через Chrome.
Главная проблема: не техническая
Yggdrasil технически решает задачу. Это не вопрос.
Вопрос в другом: нужна критическая масса людей, которые установили его до того, как всё сломалось. Это классическая проблема любой децентрализованной сети — Tor столкнулся с ней в 2003-м, I2P до сих пор с ней живёт. Сеть полезна когда в ней есть люди. Люди приходят когда сеть полезна.
Разница в том, что у нас есть дедлайн. Когда провайдер уже отключил вас — поздно объяснять соседу что такое mesh. Инфраструктуру строят заранее.
Что делать прямо сейчас
Первое что я бы хотел сказать: от варианта 1 защиты пока что нету.
Минимум: установите Yggdrasil и добавьте хотя бы один пир. Это занимает десять минут и ничего не ломает в вашей текущей сети.
Желательно: поднимите публичный узел, если у вас есть сервер или белый IP. Каждый новый узел в России — это ещё одна точка, которую сложнее вырубить одним решением.
Как именно установить Yggdrasil
Windows
в жизни Windows не пользовался, но вроде как то так
качаем Yggdrasil
качаем KB2921916
запускаем msu и msi и бесконечно "далее" # не юзал винду, хз как это там делается
Жмем Win + S, пишем Блокнот
Кликаем по нему правой кнопкой мыши -> Запуск от имени администратора
В Блокноте жмем Файл -> Открыть и вставляем путь:
С:\ProgramData\Yggdrasil\yggdrasil.conf
добавляем пиры которые берем тут
и как то перезапускаем Yggdrasil
получаем свой айпи введя в powershell
"C:\Program Files\Yggdrasil\yggdrasilctl.exe" getPeers
теперь вы можете заходить на сайты yggdrasil через обычный браузер
например на мой сайт - [204:5a61]:8801
Android
я Перейдите на релизы в гитхабе
скачивайте yggdrasil-android.apk
Как установить APK
Добавьте пиры
Возьмите пиры с сайта или гитхаба
вставьте в приложение
tcp://srv.itrus.su:7991 но настоятельно рекомендую вас поставить 3/4 пира минимумвключаем
проверяем подключено и видим свой айпи
теперь можно в браузере открыть любой сайт, к примеру мой
Linux
выполните инструкцию для вашего дистро
Debian, Ubuntu, elementaryOS, Linux Mint и подобные
sudo apt-get install dirmngr sudo mkdir -p /usr/local/apt-keys gpg --fetch-keys https://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/key.txt gpg --export 1C5162E133015D81A811239D1840CDAC6011C5EA | sudo tee /usr/local/apt-keys/yggdrasil-keyring.gpg > /dev/null echo 'deb [signed-by=/usr/local/apt-keys/yggdrasil-keyring.gpg] http://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/ debian yggdrasil' | sudo tee /etc/apt/sources.list.d/yggdrasil.list sudo apt-get update sudo apt-get install yggdrasil
Arch и производные
sudo pacman -S yggdrasil
Red Hat Enterprise Linux, Fedora, CentOS и производные
sudo dnf copr enable neilalexander/yggdrasil-go sudo dnf install yggdrasilпсп
после выполнения команд для вашего дистро
ОБЯЗАТЕЛЬНО ВКЛЮЧИТЕ FIREWALL НА DENNY ALL
# пример для ufw sudo ufw enable sudo ufw default deny incoming sudo ufw ufw reload
и настройте сам Yggdrasil
yggdrasil -genconf | sudo tee /etc/yggdrasil.conf | cat > /dev/null curl https://gist.githubusercontent.com/zarazaex69/5ecd6055e70b2a932a58d72ba04adc98/raw/a593e7c3e3b761914b4a2b0f07d1c1d2d30e97ff/yggdrasilconf.sh | bash sudo systemctl enable --now yggdrasil
получите ваш айпи
sudo yggdrasilctl getself
теперь вы можете заходить на сайты yggdrasil через обычный браузер
например на мой сайт - [204:5a61]:8801
В написании статьи помог zowue
Удачи, честно просто хотелось выговорится.
я в WEB: zarazaex.xyz
я в I2P: zarazaex.i2p
я в YGGDRASIL: http://[204:5a61:4ca1:626d:9b0e:f2d0:4207:57b6]:8801
