При включении белых списков в отдельных регионах России интернет не «замедляется» — он перестаёт работать почти полностью, кроме узкого набора разрешённых сервисов. Разбираем, что это за режим, чем он отличается от привычной блокировки и почему одни VPN держатся, а другие отваливаются в первую же минуту.
Что такое белые списки
Обычная блокировка в России работает по принципу «запрещено то, что в списке»: РКН вносит конкретный домен или IP-адрес в реестр, провайдер режет к нему доступ, всё остальное продолжает работать как обычно.
Белые списки — противоположная модель: «разрешено только то, что в списке». Доступны лишь заранее одобренные сервисы — обычно это Госуслуги, банки, Яндекс, VK, Telegram и ещё несколько десятков доменов. Всё остальное, включая большую часть зарубежного интернета, недоступно по умолчанию — независимо от того, что это за сайт и есть ли у него причины его блокировать.
Режим включают точечно: в отдельных регионах, на время массовых мероприятий или при угрозах безопасности, обычно на мобильном интернете. С 2024–2025 годов такие включения фиксируются всё чаще, а инфраструктура для фильтрации трафика тем временем системно расширяется — это отдельная тема, но она напрямую связана с тем, о чём эта статья.
Чем это отличается от обычной блокировки VPN
Здесь и кроется ключевая путаница. Устойчивость протокола к DPI (глубокой инспекции пакетов) и устойчивость к белым спискам — это два разных свойства, и одно не гарантирует другого.
DPI-блокировка анализирует, как выглядит трафик: характерные заголовки, размер пакетов, TLS-отпечаток. Протокол, который умеет маскироваться под обычный HTTPS, эту проверку проходит — система фильтрации просто не видит в нём VPN.
Белый список работает иначе: он не смотрит, как выглядит трафик, а просто не пропускает соединения к IP-адресам и доменам, которых нет в разрешённом перечне. Даже идеально замаскированный трафик до сервера, которого нет в списке, физически не дойдёт — вне зависимости от того, насколько «невидимым» он выглядит для DPI.
Почему часть VPN всё равно работает
Тут и появляется единственный рабочий приём: если трафик VPN замаскирован под соединение с доменом, который сам входит в белый список (или живёт на тех же IP-адресах, что и разрешённые сервисы), — он проходит вместе с ними.
VLESS + Reality имитирует TLS-соединение с конкретным легитимным сайтом — сервер «занимает» его сертификат на уровне рукопожатия. Если в качестве такого сайта выбран домен на популярной CDN или облачной инфраструктуре, через которую идёт и часть разрешённых сервисов, отличить один трафик от другого по адресу невозможно — заблокировать один, не задев другой, тоже. Это не гарантия (состав белых списков и инфраструктура меняются от региона к региону), но структурное преимущество перед протоколами без такой маскировки.
Обычный WireGuard, OpenVPN отваливаются первыми: у них нет маскировки под чужой домен, сервер живёт на собственном IP, которого в разрешённом перечне нет и не будет.
AmneziaWG и Hysteria2 ведут себя неровно: рандомизация заголовков помогает против DPI, но против чистого allow-list-фильтра решает то же самое — попадает ли адрес сервера в разрешённый диапазон.
Что проверить перед покупкой, если в вашем регионе такое уже случалось
- Какой протокол использует сервис. Если в описании только «WireGuard» или «OpenVPN» без Reality или аналогичной маскировки — при включении белых списков сервис отвалится одним из первых.
- Есть ли резервные адреса. Белые списки в разных регионах формируются по-разному, и заранее гарантировать, что конкретный сервер попадёт в разрешённый диапазон, нельзя. Автоматическое переключение на резервный сервер при сбое — не опция, а необходимость именно для этого сценария.
- Отвечает ли поддержка на прямой вопрос. «Что будет с подключением при включении белых списков в моём регионе» — вопрос, на который у живой поддержки есть содержательный ответ, а не общая фраза про «стабильную работу».
Вывод
Белые списки — это не следующая ступень той же блокировки, а другой принцип фильтрации, и протокол, который годами держался против DPI, может отвалиться под ним мгновенно. Единственное, что реально работает против такого режима, — маскировка под инфраструктуру, которая сама разрешена, и запасной адрес на случай, если конкретный сервер под раздачу всё же попал.