Всем привет, декабрь 2025-го принес нам не только предновогоднюю суету, но и явное ощущение того, что гайки закручиваются на новый уровень. Если раньше блокировки напоминали стрельбу по площадям, то сейчас мы видим признаки внедрения концепции Default Deny (запрещено всё, что не разрешено). Пока это не тотальный «белый список» на всю страну, но в отдельных регионах и на мобильных сетях тенденция налицо и она растет: если твой трафик не похож на типичный поход за хлебом в Яндекс или ВК, то с большой вероятностью он будет придушен
Сразу скажу, эта статья по факту является выжимкой всей инфы, которую мне удалось раскопать, общаясь в чатах с ребятами и админами из разных регионов, и тестом разных конфигов, на разных провайдерах, и естественно где то я могу ошибаться
Картина вырисовывается интересная и местами печальная:
Пинг есть, жизни нет
Главный прикол этого месяца магия с соединениями. У тебя может идеально проходить пинг до сервера в Нидерландах или Финляндии, но как только ты пытаешься прокинуть через него что-то серьезное всё падает
Что говорят логи:
Система ТСПУ стала умнее. Она дает установить TCP-сессию (проходят SYN и ACK), но на этапе TLS-рукопожатия, когда клиент шлет пакет Client Hello, происходит магия. DPI считывает SNI имя домена и сопоставляет его с IP-адресом. Если в пакете написано ya.ru, а IP принадлежит хостингу в Европе — соединение обрывается
Админы в чатах подтверждают: «По SSH машина открывается, а по 443 порту — таймаут» Это классический признак работы фильтра по отпечаткам протоколов
Каскады и «белые» прокладки
Поскольку прямые коннекты к зарубежным VPS чаще всего попадают под раздачу, народ начал массово переходить на каскадные схемы. Суть прос��ая это использовать российский сервер как шлюз, который провайдер не трогает, и уже через него гнать трафик наружу
Для этого на российском входном сервере прописываются правила маршрутизации. Вот проверенный вариант из логов, который обсуждали для Ubuntu:iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -o tun0 -j MASQUERADE
iptables -A FORWARD -i tun1 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o tun1 -m state --state RELATED,ESTABLISHED -j ACCEPT
tun1 это ваш входной сервер например, в Яндекс.Облаке, а tun0 это выход в Европу
Проблема в том, что выбить чистый IP в российском облаке это лотерея. Ребята в чате неделями пересоздают сервера, чтобы найти тот самый IP, который еще не зашейплен и пускает в инсту
Смена протоколов: xHTTP и Reality под прицелом
Старый добрый VLESS на TCP начинает сдавать позиции. Провайдеры особенно Мегафон и МТС научились детектировать поведение Reality. На замену пришел xHTTP новый транспорт, который пытается выглядеть как обычный веб-серфинг.
Если вы используете Marzban или 3x-ui, посмотрите в сторону таких настроек в конфиге:"xhttpSettings": {
"path": "/api/v1/update",
"mode": "packet-up",
"scMaxEachPostBytes": 1000000,
"xPaddingBytes": "100-1000"
}
Режим packet-up сейчас самый топ для iOS и Android как мне удалось выяснить. Он дробит трафик на мелкие куски, имитируя запросы к API, что сильно сбивает с толку алгоритмы DPI
Инфраструктура против одиночек
Давайте честно, сейчас держать свой ламповый VPS становится всё накладнее по времени То IP забанят, то ядро Xray надо обновлять до 25.12.8, потому что старое уже палится. Пока мы в чатах спорим, какой SNI лучше max.ru или o365.co
Выводы
Забудьте про 443 порт. Это первая цель. Пробуйте 8443, 2053 или вообще уходите в диапазон 30000+
Self-Steal это база ребятки. Не используйте чужие домены (google.com и т.д.) в качестве маскировки. Провайдеры видят несовпадение IP и SNI. Только свой домен, только своя заглушка
DNS только шифрованный. Если ваш браузер спрашивает адрес сайта через системный DNS провайдера, никакая маскировка трафика вас не спасет
Каскадирование. Ищите дешевые VPS в РФ для использования в качестве «прокладки». Прямой путь Дом — Амстердам становится всё более тернистым
Судя по тому, что сейчас обсуждают в чатах, единого решения нет, но рабочие связки описывали некоторые пользователи
Для самостоятельных: Поднимаем каскад. Входная точка — Yandex Cloud или VK Cloud (там сейчас активнее всего ловят чистые IP из белых списков), а дальше через vnext гоним трафик на зарубежный VPS. Из панелей сейчас в топе Remnawave и Amnezia
Для мобильного сегмента: Обычный VLESS на 443 порту у многих отлетает
Многие рекомендуют сменить клиенты на Happ, v2raytun или Shadowrocket
Если нет желания самому морочиться, в сообществах сейчас чаще всего упоминается несколько сервисов, которые не плохо работают в нынешних условиях
hynet.space его часто упоминают, так как там слишком большой пул протоколов, что сейчас и нужно
VoxiProxy неплохо показывает себя в обходе БС для мобильных игр, ребята используют связки с российскими облачными провайдерами типа DiNet как входные шлюзы
В 2026 году, скорее всего, станет годом борьбы отпечатков TLS 1.3 и массового внедрения ECH. Помойка в чатах будет только расти, а выживут те, кто умеет делать углубленно настройку ядра, а остальным придется искать легкие решения проблемы, потому что честно говоря, обычному работяге бороться со всем этим становится все труднее...
Пишите в комментах если есть какие то решения, а так же ваш опыт на вашем провайдере.
