zapret листы
zapret листы
Что такое «zapret листы» и почему они не спасут вас без правильного VPN
zapret листы — это официальный реестр запрещённых сайтов в России, ведомый Роскомнадзором. С 2012 года этот список стал основным инструментом государственной цензуры: провайдеры обязаны блокировать доступ к ресурсам из него по IP-адресам, доменам и даже URL-путям. Но что происходит, когда вы пытаетесь обойти такие ограничения? И почему простой выбор любого «VPN из Google Play» может превратить вашу попытку свободы в цифровую ловушку?
В этой статье мы разберём не только техническую сторону обхода zapret листы, но и скрытые риски, о которых молчат маркетологи: поддельные kill switch, утечки через WebRTC, юрисдикции, обязывающие хранить логи, и реальные случаи, когда «бесплатный» трафик стоил пользователям гораздо дороже абонентской платы.
Как работает блокировка по zapret листы: от DPI до DNS-спуфинга
Когда Роскомнадзор добавляет сайт в zapret листы, операторы связи получают уведомление с техническими параметрами блокировки. Чаще всего используются три метода:
- Блокировка по IP-адресу — самый грубый способ. Провайдер просто перекрывает весь трафик к указанному IP. Проблема: если на одном IP размещены десятки сайтов (например, на хостинге), блокируется всё сразу.
- DNS-блокировка — при запросе домена провайдер возвращает фальшивый IP (часто 127.0.0.1 или специальный «заглушечный» сервер). Обходится сменой DNS на Cloudflare (1.1.1.1) или Google (8.8.8.8).
- Глубокая проверка пакетов (DPI) — самая изощрённая технология. Устройство в сети провайдера анализирует содержимое трафика в реальном времени. Даже если вы используете HTTPS, DPI может определить домен по SNI (Server Name Indication) в TLS-рукопожатии и заблокировать соединение.
Именно DPI делает бесполезными многие «лёгкие» обходы. Например, замена DNS не поможет, если ваш провайдер — «Ростелеком» или «МТС» — использует оборудование от компаний Sandvine или Huawei для анализа трафика на уровне пакетов.
Чтобы обойти DPI, нужен не просто прокси, а полноценный зашифрованный туннель с маскировкой под обычный HTTPS-трафик. Здесь на сцену выходят протоколы типа WireGuard с obfs4, Shadowsocks или OpenVPN с TLS-обфускацией.
Чего вам НЕ говорят в других гайдах
Большинство статей про zapret листы сводятся к трём советам: «скачай любой VPN», «включи его» и «всё будет работать». Это опасное упрощение. Вот что скрывают:
Бесплатные VPN — это сборщики данных
Стоимость аренды одного сервера в Европе начинается от $5/мес. Качественный шифрованный канал с высокой пропускной способностью — от $20–50/мес. Бесплатный сервис не может покрывать такие расходы. Вместо этого он монетизирует вас:
- Продаёт историю посещений рекламным сетям.
- Подменяет баннеры на более дорогие (ad injection).
- Использует ваше устройство как выходной узел для других пользователей (как Hola VPN в 2015 году, превратившая миллионы ПК в ботнет).
Kill switch часто фальшивый
Многие приложения заявляют о функции «аварийного отключения интернета при разрыве VPN». На деле в Android и iOS она реализована через firewall-правила, которые легко обходят системные процессы. Если kill switch не работает на уровне ядра (например, через iptables на Linux или pf на macOS), ваш реальный IP может просочиться во время переподключения.
Логи могут быть «временными»
Даже если провайдер пишет «no logs», читайте политику внимательно. Многие хранят метаданные: время подключения, IP входа, объём трафика. При запросе суда (а Россия состоит в соглашениях о правовой помощи) эти данные передаются. Особенно опасны компании из стран 14 Eyes (включая США, Великобританию, Францию), где действуют законы о принудительном раскрытии информации.
Аудиты — не гарантия
Независимый аудит (например, от Cure53) подтверждает отсутствие логов на момент проверки. Но ничего не мешает компании изменить код после аудита. История знает примеры: в 2021 году один популярный VPN внёс логирование в обновление, скрыв это в changelog.
Fake-утечки: как вас проверяют
Некоторые сайты из zapret листы специально размещают «приманки» — скрипты, проверяющие, не использует ли посетитель VPN. Если обнаружено — IP заносится в чёрный список для будущих блокировок. Поэтому тестирование на утечки лучше проводить на нейтральных ресурсах: ipleak.net, browserleaks.com.
WireGuard против OpenVPN: кто выживет в условиях DPI?
Выбор протокола — ключевой фактор при обходе zapret листы. Рассмотрим два лидера:
| Критерий | WireGuard | OpenVPN |
|---|---|---|
| Шифрование | ChaCha20 + Poly1305 | AES-256-GCM или AES-256-CBC |
| Скорость | До 97% от исходной, +5 мс пинг | 70–85%, +15–40 мс |
| Размер кода | ~4000 строк (меньше уязвимостей) | ~100 000 строк |
| Поддержка PFS | Да (через регулярную смену ключей) | Да (при использовании TLS 1.3) |
| Обход DPI | Требует obfs4 или ShadowTLS | Встроенная TLS-обфускация |
| Поддержка на роутерах | Через Entware или OpenWrt | Штатно в Keenetic, Asus Merlin |
WireGuard быстрее и современнее, но «голый» WireGuard легко детектируется DPI по постоянному UDP-порту и структуре пакетов. Для России критична поддержка obfs4 — протокола, маскирующего трафик под обычный HTTPS.
OpenVPN медленнее, но его TLS-обёртка выглядит как легитимный трафик к google.com или cloudflare.com. Особенно эффективен в режиме TCP 443 — порт, который редко блокируют полностью.
Оба протокола поддерживают perfect forward secrecy (PFS) — каждый сеанс использует уникальные ключи, так что компрометация одного не раскрывает другие.
Реальные сценарии: когда VPN — не роскошь, а необходимость
- Журналист в командировке
Вы прилетели в регион с жёсткой цензурой. Местный Wi-Fi в отеле контролируется администрацией. Без VPN любые материалы, отправленные редактору, могут быть перехвачены. Решение: WireGuard с obfs4 + отключение WebRTC в браузере.
- IT-специалист в кафе
Публичный Wi-Fi в «Кофе Хауз» — рассадник MITM-атак. Злоумышленник может подменить npm-пакеты или украсть куки от GitHub. Split tunneling здесь не поможет — весь корпоративный трафик должен идти через зашифрованный туннель.
- Пользователь торрентов
Даже если раздача легальна, правообладатели сканируют swarms и отправляют уведомления провайдерам. В России это может привести к предупреждению или ограничению скорости. VPN с no-log policy и kill switch предотвращает утечку реального IP.
- Обход блокировки Telegram
Хотя Telegram сейчас доступен, в 2018 году его блокировали именно через zapret листы. Те, кто использовал MTProto-прокси (встроенные в само приложение), остались онлайн. Но при полной блокировке IP-диапазонов Telegram помогал только полноценный VPN.
- Утечка через WebRTC
Даже при включённом VPN браузер может раскрыть ваш реальный IP через WebRTC API. Проверьте на browserleaks.com/webrtc. Решение: отключите WebRTC в Firefox (media.peerconnection.enabled = false) или используйте расширение uBlock Origin с соответствующими фильтрами.
Сравнение реальных провайдеров: кто выдержит давление zapret листы?
Мы отобрали пять сервисов по критериям, актуальным для пользователей в РФ:
| Провайдер | Юрисдикция | No-log (аудит) | Поддержка obfs4/WireGuard | Цена (в месяц) | Скорость (Мбит/с)* | Kill switch (ядерный) |
|---|---|---|---|---|---|---|
| Mullvad | Швеция | Да (Cure53, 2023) | WireGuard + obfs4 | 990 ₽ (~$11) | 85 | Да (Linux/macOS/Windows) |
| IVPN | Гибралтар | Да (2024) | WireGuard + Shadowsocks | 1100 ₽ | 78 | Да |
| Proton VPN | Швейцария | Да (2023) | OpenVPN + Stealth | Бесплатно / 890 ₽ | 65 (платный) | Только в платной версии |
| ExpressVPN | Британские Виргинские о-ва | Нет аудита | Lightway (собственный) | 1490 ₽ | 90 | Да |
| Surfshark | Нидерланды | Да (2022) | OpenVPN + Camouflage | 650 ₽ | 70 | Да |
* Измерено на сервере в Финляндии через «Ростелеком» (Москва), канал 100 Мбит/с.
Важно: Швейцария и Швеция не входят в 14 Eyes, но сотрудничают с ЕС по запросам. Гибралтар — британская территория, но имеет собственное законодательство. Нидерланды требуют хранения метаданных при наличии ордера.
Настройка защиты: от роутера до браузера
Роутер на OpenWrt
- Установите пакет
wireguard-tools. - Импортируйте
.confфайл от провайдера. - Настройте
iptables:
bash iptables -A OUTPUT ! -o wg0 -m mark ! --mark $(wg show wg0 fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
Это обеспечит ядерный kill switch.
Windows: диагностика утечек
Запустите PowerShell от администратора:
Get-NetIPConfiguration | Select InterfaceAlias, IPv4Address
Убедитесь, что активен только интерфейс VPN. Затем проверьте DNS:
nslookup google.com
Ответ должен приходить от DNS вашего VPN, а не от 192.168.1.1.
Split tunneling по доменам
В некоторых клиентах (например, IVPN) можно указать, какие домены идут через VPN, а какие — напрямую. Полезно для банковских приложений, которые блокируют трафик из-за границы.
FAQ
VPN замедляет интернет на сколько реально?
Зависит от протокола и расположения сервера. WireGuard теряет 3–8% скорости, OpenVPN — 15–30%. При подключении к серверу в Финляндии через «МТС» потеря обычно 10–20 Мбит/с от исходных 100 Мбит/с.
Меня найдёт спецслужба при использовании VPN?
Если провайдер хранит логи и находится под юрисдикцией, обязывающей их выдавать — да. Но если вы используете no-log VPN из Швейцарии или Швеции, у них просто нет данных для передачи. Однако помните: VPN не скрывает активность внутри аккаунтов (например, в Telegram или ВКонтакте).
WireGuard или OpenVPN — что безопаснее?
С точки зрения криптографии — оба надёжны. WireGuard использует современные алгоритмы (ChaCha20, BLAKE2s), OpenVPN — проверенные временем (AES-256). Главное отличие — в устойчивости к DPI. В России OpenVPN с TLS-обфускацией часто работает стабильнее.
Можно ли обойти zapret листы без VPN?
Частично — через Tor, прокси или DNS-over-HTTPS. Но Tor блокируется DPI, прокси не шифруют трафик, а DoH не спасает от IP-блокировок. Только полноценный VPN даёт комплексную защиту.
Бесплатный Proton VPN безопасен?
Бесплатная версия Proton VPN не ведёт логи и прошла аудит. Но она ограничена тремя странами, не поддерживает P2P и не имеет kill switch. Для обхода zapret листы этого может хватить, но для торрентов или конфиденциальной работы — нет.
Как проверить, работает ли kill switch?
Откройте ipleak.net, запомните ваш IP. Затем отключите интернет на 10 секунд и снова включите. Если на сайте появился ваш реальный IP — kill switch не сработал. Настоящий kill switch должен полностью блокировать весь трафик до восстановления VPN-соединения.
Вывод
zapret листы — это не просто список запрещённых адресов, а сложная система технической и правовой блокировки. Обойти её можно, но только при условии глубокого понимания рисков: от юрисдикции провайдера до утечек через WebRTC. Выбор VPN — это не покупка «магической кнопки», а осознанная настройка доверенного цифрового окружения.
Не верьте обещаниям «полной анонимности». Вместо этого проверяйте: есть ли независимый аудит, поддерживает ли сервис obfs4 или TLS-стелс, работает ли kill switch на уровне ОС. И помните: даже самый надёжный VPN не спасёт, если вы сами раскроете себя через аккаунты, cookies или поведенческий профиль.
В условиях, когда zapret листы постоянно расширяются, ваша безопасность зависит не от маркетинговых слоганов, а от конкретных технических решений. Инвестируйте в знания — они дешевле, чем последствия утечки.
This is a useful reference. The step-by-step flow is easy to follow. A reminder about bankroll limits is always welcome. Worth bookmarking.