Всем доброго времени суток. В этой статье я хотел бы поделиться своими мыслями касающимися недавних новостей, которые были опубликованы в СМИ в конце марта 2026 года, что на закрытом совещание Максута Шадаеве с представителями мобильных операторов обсуждался сценарий: мобильные операторы вводят предел в 15 ГБ международного трафика, а за каждый гигабайт сверху берут 150 рублей. Одновременно крупные платформы (Ozon, Wildberries, «Яндекс») обязуются блокировать пользователей с включенным VPN, иначе рискуют вылететь из «белого списка» и лишиться IT‑аккредитации. Планируется, что данные нововведения вступят в силу до 1 мая 2026 года. Пока это только слова, но по крайней мере лично я не смог найти достоверных документов, которые бы гарантированно говорили о вступлении в юридическую силу такого закона с 1 мая, но индустрия уже отреагировала на пугающие заявления СМИ.
Для начала я хотел бы разобрать, что провайдер видит на уровне пакетов трафика.
(Думаю не стоит разбирать тему что такое вообще VPN, но базовый принцип его работы будет ниже)
Провайдер и шифрование
Чтобы понять, насколько реалистично выглядит идея брать деньги за «зарубежные гигабайты», нужно разобраться, что вообще видит провайдер. На данный момент TLS и HTTPS контент шифруется так, что оператор не может подглядывать в заголовки HTTP и читать ваши пакеты. В лучшем случае он фиксирует IP‑адрес, порт, длительность сеанса и общий объём данных. В некоторых случаях в TLS‑рукопожатии присутствует расширение SNI — серверное имя, позволяющее серверу знать, какой домен вы хотите открыть. Эта строка передаётся открыто, поэтому оператор способен узнать, что вы идёте на youtube.com, но не увидит, какой конкретно ролик вы смотрите. С внедрением Encrypted Client Hello (ECH) даже этот фрагмент станет шифрованным, и оператор перестанет видеть домен.
А что насчёт VPN, спросите вы? Многие представляют себе VPN как плащ невидимку, которым они накрывают свой трафик и он полностью скрывает от провайдера всё на свете. На самом деле это просто туннель: клиент шифрует каждую исходящую запись и отправляет её на сервер, а сервер расшифровывает и пересылает дальше (Цепочка такого соединения выглядит следующим образом: Вы -> Шифрованный туннель -> VPN-сервер -> сайт). Провайдер видит IP‑адрес сервера, порт, сумму переданных байтов и характер потока, а сайт думает, что вы находитесь в другой локации. Провайдер может легко убедиться, что вы подключились к «NordVPN» или «Mullvad», если IP‑адрес принадлежит известному пулу. Но содержание туннеля для него остаётся недоступным. В результате в его логах появляется запись: «абонент N три часа общался с адресом 185.XXX.X.XXX, объём 5 ГБ» — и это всё.
Надеюсь, у меня получилось простыми словами передать сам принцип работы VPN и того, что можно наблюдать провайдер.
А теперь следует разобраться с самим понятием «зарубежный» трафик.
Откуда берётся «зарубежный» трафик
Когда чиновники говорят: «VPN — это иностранный трафик», они имеют ввиду, что поток данных к зарубежному серверу всегда означает обход блокировок. Но реальность гораздо сложнее. Большая часть популярных сервисов доставляет контент через CDN и кэширующие серверы. До 2022 года Google Global Cache занимала стойки у многих провайдеров и раздавала россиянам YouTube, обновления Android, Google Maps и картинки из Google прямо из Москвы. В конце 2025 года Google уведомила операторов, что вывозит устаревшие Dell R720 и забирает их за рубеж. Съехавшая стойка — и вот уже тот же YouTube идёт не из соседнего дата‑центра, а из Варшавы или Франкфурта. В отчётах MSK‑IX такие события видны как скачки «международного» трафика: после ухода крупных CDN трафик на обменных узлах вырос на 30–60 %.
Схема усложняется тем, что многие российские сервисы размещают части инфраструктуры на зарубежных облаках. Например, сайт с русским доменом вполне может находиться на AWS в Нидерландах. И наоборот, зарубежные площадки — Twitch, Samsung, Google — нередко арендуют узлы в российских дата‑центрах. В каждом случае маршрутизация зависит от настроек DNS, от того, есть ли локальный кэш и от наличия международных каналов. Поэтому понятие «иностранного» трафика — это о том, где находится сервер, а местонахождение серверов часто меняется.
Я долго думал, как устроить последний абзац, не уверен, что получилось идеально, не судите строго)
Как распознают VPN‑трафик
РКН и операторы давно научились отличать большинство популярных VPN‑протоколов. Самый простой метод — сверить IP‑адрес назначения с базой известных VPN‑провайдеров или облачных дата‑центров. Следующий — посмотреть порт: OpenVPN любит UDP 1194, WireGuard — UDP 51820, IKEv2 — UDP 500/4500. Но любой клиент может перенастроить порт на 443, и тогда трафик будет идти по тому же порту, что и HTTPS.
Дальше в бой вступают системы глубокого анализа пакетов (DPI). Они не расшифровывают данные, но считывают структуру. У каждого протокола свой почерк: OpenVPN начинает рукопожатие с определённого opcode, WireGuard передаёт характерный 148‑байтный пакет. DPI фиксирует размеры пакетов, интервалы между ними, продолжительность соединения. Обычный веб‑браузер отправляет маленькие запросы и получает большие ответы; туннель VPN выглядит как ровный поток одинаковых пакетов, что можно заметить статистически. Есть и более тонкий метод — TLS fingerprinting: набор шифров и расширений в Client Hello образует «отпечаток». Браузеры имеют предсказуемые отпечатки, а VPN‑клиенты — другие, поэтому их можно отличить.
Однако идеального детектора нет. DPI‑системы требуют дорогого железа и много ресурсов. Когда Роскомнадзору приходится добавлять десятки тысяч правил в сутки, оборудование перегружается и переключается в bypass, временно пропуская пакеты без инспекции (это вы могли замечать в те моменты, когда только начинали тормозить youtube в какое-то время он не загружался, а иногда можно было смотреть видео в высоком качестве без каких либо трудностей). Виртуальные сетевые стеки тоже не стоят на месте: появляются протоколы вроде VLESS + XTLS, которые умело маскируются под обычный TLS, и производители DPI гонятся за ними. Кроме того, false positive — вечная проблема: видеостриминг, торрент-клиенты и даже обновления из App Store и Play Market могут внешне напоминать туннель. Поэтому экспертам приходится решать, что важнее — блокировка или устойчивость сети.
CGNAT, IPv4 и множество масок
Есть ещё один нюанс, который делает историю с лимитом 15 ГБ странной. Из‑за дефицита IPv4‑адресов большинство российских операторов внедрили двойной NAT: домашний роутер отдаёт вашему ноутбуку адрес из диапазона 192.168.0.0/24, а провайдер, в свою очередь, переводит эти десятки абонентов в один публичный адрес из диапазона 100.64.0.0/10. На выходе сотня домов сидит за одной точкой выхода. И получается так, что сегодня один IPv4‑адрес может представлять сотни или даже тысячи пользователей. Это означает, что если оператор начнёт «караулить» каждый гигабайт, он столкнётся с вопросом: какой из сотни клиентов за этим IP использует VPN? Кроме того, списки IP‑адресов VPN‑провайдеров быстро устаревают, а многие сервисы (например, корпоративные VPN) арендуют IP на тех же площадках, что и публичные облака.
Из тех данных, которые мне получилось выяснить, скорее всего контроль лимита будет действовать именно на устройства, которые подключены к интернету с помощью SIM-карт, в основном это смартфоны и мобильные роутеры. Но этот абзац я рассмотрел, для общего понимая и так, на всякий пожарный, вдруг решат считать трафик со всех устройств.
Корпоративные VPN и удалённая работа
Все эти ограничения бьют не только по любителям запрещенограма, ютуба и ChatGPT, но и по бизнесу. Россияне массово работают из дома и подключаются к внутренним системам через корпоративные VPN. Методички, разосланные компаниям, предлагают трёхшаговый алгоритм: сравнить IP с российскими и заблокированными базами, проверить наличие обходных сервисов с помощью приложения, и, наконец, сканировать устройства на других ОС. Эксперты признают: отличить «легальный» VPN от «неправильного» нельзя, поэтому могут пострадать корпоративные сервисы. Министерство, по данным СМИ, планирует предоставить «белые» и «чёрные» списки VPN, но официально не обещает, что ложных срабатываний не будет.
Лимит 15 ГБ: где прячутся гигабайты
Одно из оправданий лимита — «средний пользователь VPN тратит 15 ГБ в месяц». На практике 15 ГБ — это пара часов видео в 4K на YouTube или несколько обновлений игр на Steam. Под лимит попадут геймеры, разработчики, дизайнеры, да и просто те, кто смотрит Netflix или Twitch. При этом тот же трафик в рамках CDN‑кеша может идти из отечественного дата‑центра и не считаться «иностранным», а завтра — из Франкфурта и уже попадёт под тариф. Эксперты предупреждают: путешественники, которые захотят пользоваться «Госуслугами» за рубежом, или специалисты на удалёнке могут неожиданно получить счёт за «иностранный трафик». Глава Минцифры Шадаев честно признаёт: достичь 100‑процентной точности при выявлении VPN нельзя, и меры могут коснуться тех, кто всего лишь ходит на зарубежные ресурсы или пользуется зарубежными AI‑моделями.
Экономика вопроса
Помимо технических проблем, у истории есть финансовая сторона. Представители Piter‑IX говорят, что доля международного трафика стабильно около 20 %, но увеличение объёмов VPN заставляет их расширять каналы, а международные линии оплачиваются в валюте. Установка систем DPI — тоже недешёвое удовольствие. В 2025–2026 годах на IX‑узлах наблюдался бурный рост трафика в иностранном направлении, что приводит к росту тарифов даже без всяких VPN. Тарификация «лишних» гигабайтов может стать способом переложить эти расходы на абонентов, но звучит это как попытка решить проблемы инфраструктуры за счёт пользователей.
Подведение итогов
Я не могу в полной мере быть откровенным в теме касающимися свободы в интернете, но всё же считаю, что со мной многие согласятся, закручивание гаек пользователям, чтобы они пользовались отечественными сервисами и инфраструктурой, слабее, чем качественно разрабатывать наши сервисы, чтобы пользователи сами хотели перейти на них.
Думаю некоторые вспомнят rutube в самом начале его пути, когда на нём было невозможно что-либо смотреть из-за постоянных реклам, которые нельзя пропустить, так ещё в конце нужно было отвечать на тест о том, что было в рекламе, а при неправильном ответе нужно было пересматривать рекламу и надеяться, что не мисскликнешь по неправильному ответу вновь.
Надо признаться, что несмотря на не совсем честные методы, многие российские сервисы значительно прибавили в качестве.
И даже при том, что я не сетевой инженер. Я часто задумывался, что границы в интернете весьма условны и размыты. Ведь в один день Twitch раздаёт видео из петербургского кэша, в другой из Франкфурта, и никакой DPI не спасёт от этого «иностранного» потока. VPN — лишь один из инструментов, который помогает обойти блокировки и защитить приватность. Борьба с ним ударит по всем: пользователям, бизнесу и самой инфраструктуре. Может, стоит искать баланс, а не выстраивать стены.
Также хотел сказать всем большое спасибо что дочитали эту статью до конца, это моя вторая статья и после публикации первой статьи, мне было очень приятно видеть первые просмотры, а тем более читать комментарии, даже критику. Поэтому жду новых комментариев под этой статьёй, даже негативные!)
ссылка на оригинал статьи https://habr.com/ru/articles/1024246/