Стой, кто идет. VPN поделил народ и границу
Ключевые российские онлайн-платформы - государственные порталы, банки, маркетплейсы и агрегаторы - продолжают работать в штатном режиме для пользователей, находящихся за границей. В частности, "Госуслуги" стабильно открываются с иностранных IP. Российские туристы и соотечественники за рубежом могут получать услуги в полном объеме. Технические ограничения возможны со стороны отдельных стран или провайдеров, блокирующих российские сервисы.
В сообщении Министерства цифрового развития, связи и массовых коммуникаций РФ (Минцифры) сказано что делать, если не получается зайти на российский сайт или в приложение из-за рубежа. Министерство рекомендует сменить тип подключения или попробовать переключиться с отельного Wi-Fi на местный мобильный интернет, либо воспользоваться услугами другого оператора связи.
"В исключительных случаях при фиксации масштабных DDoS-атак разработчики могут кратковременно ограничивать зарубежный трафик для защиты серверов и инфраструктуры. Если вы столкнулись с подобными временными неудобствами, попробуйте повторить попытку немного позже. Это необходимое условие для обеспечения безопасной работы сервисов в современных условиях", - сказано в сообщении Минцифры.
Также министерство объяснило, почему сервисы не работают с выключенным VPN и что большинство российских сервисов ограничивают доступ пользователей с включенным VPN: "Это делается для безопасности данных, которые вы вводите на площадках. Особенно это касается государственных сервисов, где хранятся персональные данные граждан. Большинство VPN не обеспечивают защиту конфиденциальности и персональных данных, и их часто используют злоумышленники для перехвата трафика и информации. Если вы не используете VPN, но все равно видите соответствующее предупреждение, пожалуйста, обратитесь в службу поддержки сервиса, на который хотите зайти. На "Госуслугах" в ближайшее время появится специальная кнопка, позволяющая пожаловаться на просьбу "Выключить VPN", когда он не используется".
Пока граждане разбираются с ложными срабатываниями, профессиональное сообщество собралось по поводу самой стратегии ограничений. Ассоциация разработчиков программных продуктов (АРПП) "Отечественный софт", объединяющая более 300 компаний (включая "1С", "Лабораторию Касперского" и "Базальт СПО"), выступила с разработанной инициативой.
Глава АРПП "Отечественный софт" Наталья Касперская направила письма председателю правительства Михаилу Мишустину и руководителю администрации президента Антону Вайно с предложением создать специальный согласительный орган. В него должны войти лучшие технические специалисты отрасли для выработки того, что в ассоциации называют взвешенной политикой блокировок без разрушения инфраструктуры Рунета.
В письме подчеркивается, что текущий подход к ограничению VPN не учитывает технологические реалии. Разработчики обращают внимание на три фатальных противоречия:
1. Неотличимость трафика: гарантированно отделить правильный зашифрованный трафик от VPN-трафика технически невозможно, как и отличить корпоративный VPN от частного.
2. Риск для бизнеса и Open Source: российские программисты вынуждены использовать VPN для доступа к зарубежным репозиториям (например, системам контроля версий и библиотекам), а блокировки и DPI приводят к ложным срабатываниям. В качестве примера приводится недавняя временная блокировка репозиториев Debian и Rust.
3. Обратный эффект: противники России, как указано в тексте письма, получат стимул для маскировки вредоносного трафика под защищенные VPN-соединения, что спровоцирует массовые сбои.
"ИТ-сообщество умеет бороться с негативными явлениями интернета эффективно, и эти компетенции можно и нужно использовать, - говорится в обращении за подписью Натальи Касперской. - Мы пока не понимаем, какую именно задачу хочет решить государство. Если поймем, то сможем предложить конкретные меры".
Черное или белое
Представитель пресс-службы Минцифры не ответил на вопросы корреспондента ComNews. Председатель совета директоров ООО "Базальт СПО" Алексей Смирнов рассказал, что при использовании качественного VPN, особенно работающего через протокол https, отличить заход через VPN-сервис от обычного зарубежного трафика крайне сложно: "Борьба с сетевыми протоколами, которые используются для организации виртуальных частных сетей, представляется бесперспективной. В случаях, предусмотренных российскими законами, можно бороться с конкретными VPN-сервисами, так же как борются с нежелательными сайтами. То есть блокировать то, что по закону подлежит блокировке, а не все подряд, делая потом отдельные исключения".
Технический директор ООО "Смарт Бизнес Автоматизация" Андрей Фатеев отметил, что полностью отличить реального зарубежного пользователя от пользователя с VPN нельзя, но с высокой вероятностью - можно, используя несколько технических методов:
- Базы IP-адресов (GeoIP + репутация), которые показывают географию IP, помечают IP, принадлежащий дата-центрам, хостингам или VPN-провайдерам. Большинство VPN используют IP из дата-центров, а не "домашних" провайдеров - это первый сигнал.
- ASN и тип сети, когда анализируется автономная система (ASN). Если IP принадлежит AWS, Google Cloud, DigitalOcean - это почти точно VPN/прокси. Если это Deutsche Telekom или Orange, то, скорее всего, обычный пользователь.
- Поведенческий анализ, когда система фиксирует частоту смены IP, одновременные входы из разных стран, несоответствие географии и поведения.
- TLS / fingerprinting / сетевые сигнатуры, когда VPN-клиенты оставляют характерные отпечатки: особенности TLS-рукопожатия, параметры TCP/IP, сигнатуры OpenVPN / WireGuard.
- DNS и утечки, когда проверяется совпадает ли DNS с заявленной географией и есть ли признаки проксирования.
- Коммерческие антифрод / anti-VPN решения, когда используются готовые сервисы: IP intelligence платформы, базы известных VPN-узлов (включая резидентские прокси).
Старший специалист отдела внедрения и сопровождения систем защиты информации Infosecurity (входит в ГК Softline) Сергей Космаков поведал, что задача отличить реальный зарубежный IP-адрес от IP-адреса VPN-сервиса решается стандартными методами сетевой фильтрации, однако абсолютной точности существующие механизмы не дают: "Основа анализа - это базы геолокации и репутации IP-адресов (MaxMind и аналогичные), которые используют как коммерческие компании, так и операторы связи. Проблема в том, что актуальность таких баз страдает: IP-диапазоны перепродаются, дата-центры меняют пулы адресов, а мелкие провайдеры нередко используют подсети, изначально зарегистрированные на хостинг-провайдеров и дата-центры. Система фильтрации, обнаружив подключение из диапазона, ранее замеченного за дата-центром, формально классифицирует его как VPN-трафик, даже если пользователь выходит в сеть напрямую из дома - просто провайдер выпустил его под таким IP-адресом, который попал под классификатор. Именно этой особенностью и объясняются ложные срабатывания системы, когда пользователи за рубежом, не использующие VPN, получают предупреждение о необходимости его отключить".
Вход в VPN только через РКН-реестр
22 апреля 2026 г. Роскомнадзор (РКН) сообщил ТАСС, что "не ограничивает использование VPN в корпоративных целях внутри страны" и "предоставляет возможность использования VPN более чем 1,7 тыс. предприятий". "Главный системный архитектор ООО "Гетмобит" (Getmobit) Александр Тарасов отметил, что вопрос не только в VPN: "На днях, например, появилась статья на портале "Хабр", поясняющая принципы работы белых списков, в которой говорится, что UDP-трафик при включении белых списков режется весь. А это и VPN, и протоколы удаленного доступа. Для работы бизнеса нужны нормальные способы обхода повальных ограничений, которые не вызывают подозрения с последующей тотальной блокировкой по IP. А их становится все меньше".
Технический директор ООО "Экстил Цифровые Системы" (Extyl) Артем Первушин считает, что для бизнеса рабочий путь один - выходить в легальный корпоративный режим через Роскомнадзор, если доступ нужен для производственных задач и зарубежной инфраструктуры. "По сообщению РКН, такую возможность уже получили более 1,7 тыс. компаний и 57 тыс. адресов и подсетей. Других вариантов немного: либо подавать заявку и оформлять корпоративный VPN по правилам, либо строить архитектуру без зависимостей от запрещаемых публичных VPN-сервисов - через выделенные каналы, прямые защищенные соединения с собственными площадками, белые списки и контроль точек входа. Если говорить совсем прикладно, компаниям стоит не спорить с блокировкой как с идеей, а пересматривать сетевую схему: где нужен доступ к зарубежным ресурсам, где можно заменить его на API-обмен, где нужен только офисный периметр, а где - защищенный канал с регистрацией у регулятора", - сказал Артем Первушин.
ИТ-директор ГК "Корус Консалтинг" Максим Копов отметил, что быстрым решением будет поиск такого подключения, которое не попадает под ограничения. "Другой вопрос - как это сделать конкретному человеку в конкретной ситуации. Даже покупка туристической SIM-карты и ее активация в некоторых странах может занять сутки. Поэтому если среднестатистический человек оказался в ситуации, когда ему нужно срочно выкупить билет или номер в отеле, он скорее всего сделает выбор в пользу любого доступного сервиса в ущерб безопасности", - считает Максим Копов.
