Что случилось в марте 2026 года
В ночь с 22 на 23 марта 2026 года система ТСПУ переключилась в режим bypass — весь трафик пошёл напрямую без фильтрации. На несколько часов стали доступны заблокированные ресурсы: WhatsApp, Telegram, отдельные подсети YouTube.
Причина — перегрузка. Роскомнадзор добавлял по 40 000 новых правил фильтрации в сутки (при норме 10 000–15 000). Оборудование физически не успевало обрабатывать трафик и автоматически вышло в bypass.
Это признание провала, которое немедленно стало поводом для другого решения: государство вкладывает 83,7 млрд рублей в масштабное расширение системы. И это меняет правила игры для всех VPN-пользователей в России.
Что такое ТСПУ и где мы сейчас
ТСПУ (технические средства противодействия угрозам) — система DPI-оборудования, установленного у всех крупных российских провайдеров по закону о «суверенном интернете» 2019 года. Именно через неё блокируются сайты, замедляется Telegram, фильтруются VPN-протоколы.
Текущее состояние на начало 2026 года:
| Параметр | Значение |
|---|---|
| Суммарная мощность | 132,3 Тбит/с |
| Узлов в фиксированных сетях | 1207 |
| Мобильных узлов | 135 |
| Трансграничных узлов | 86 |
| Активных правил фильтрации | 2,5 млн |
| Заблокировано VPN-сервисов | 469 (на февраль 2026) |
Эффективность блокировок — около 60–65%. Именно поэтому активная аудитория топ-5 VPN-приложений выросла с 247 000 до 6 миллионов пользователей за один квартал 2025 года.
Что планируется: цифры апгрейда
По материалам «Коммерсантъ» и документам Минцифры, к 2030 году:
| Параметр | Сейчас | Цель к 2030 | Рост |
|---|---|---|---|
| Пропускная способность | 132,3 Тбит/с | 954 Тбит/с | ×2,5 |
| Бюджет | — | 83,7 млрд руб. | — |
| Покрытие Рунет-трафика | Частичное | 100% к кон. 2026 | — |
| Интеграция ML | Начата (2025) | Полная | — |
| Бюджет на ИИ | — | 2,27 млрд руб. | — |
Для контекста: средний трафик через российские сети — около 30 Тбит/с. 954 Тбит/с — это тридцатикратный запас над реальными потребностями. Такой запас нужен не для обычной фильтрации, а для глубокого анализа каждого пакета с применением машинного обучения.
Три уровня угрозы для VPN
Уровень 1: Больше мощности — больше протоколов под блокировкой
Текущая перегрузка ТСПУ означала, что система вынуждена выбирать, что блокировать. Не хватало ресурсов обрабатывать всё подряд.
После апгрейда этого ограничения не будет. Системы смогут:
- Обрабатывать 100% трафика Рунета в реальном времени
- Добавлять сотни тысяч новых правил без риска bypass
- Применять сложные эвристики к каждому соединению — не только к подозрительным
Протоколы с узнаваемыми сигнатурами (OpenVPN, WireGuard, L2TP, IKEv2) станут блокироваться ещё надёжнее — уже сейчас они заблокированы в большинстве сетей, после апгрейда покрытие станет полным.
Уровень 2: ML-фильтрация по поведению соединения
2,27 млрд рублей из бюджета выделено специально на машинное обучение для обнаружения VPN. Это принципиально другой подход.
Классический DPI смотрит на сигнатуру протокола — фиксированный заголовок, характерный хендшейк. ML смотрит на поведение соединения:
- Продолжительность сессии
- Частота подключений к одному IP
- Соотношение входящего и исходящего трафика
- Время между пакетами
- Размер пакетов и их вариативность
Такой анализ позволяет обнаруживать VPN-трафик без привязки к конкретному протоколу — даже если он хорошо зашифрован. Именно по этому принципу с марта 2026 года уже блокируется Shadowsocks и другие обфусцирующие протоколы.
Уровень 3: Блокировка по словам и контексту
Параллельно с VPN-фильтрацией РКН строит систему семантического анализа трафика. Цель — блокировать контент не только по IP, но и по словам, выражениям и паттернам в данных.
Это направлено прежде всего против незашифрованных мессенджеров и веб-сайтов — не против VPN напрямую. Но в совокупности создаёт более агрессивную фильтрационную среду.
Судьба каждого протокола после апгрейда
| Протокол | Текущий статус | После апгрейда |
|---|---|---|
| OpenVPN | Заблокирован | Заблокирован (100% сетей) |
| WireGuard | Заблокирован | Заблокирован (100% сетей) |
| L2TP/IPsec | Заблокирован | Заблокирован (100% сетей) |
| IKEv2 | Нестабильно | Заблокирован |
| SOCKS5 | Заблокирован с дек. 2025 | Заблокирован |
| Shadowsocks | Нестабильно | Заблокирован ML |
| VLESS (без Reality) | Заблокирован с дек. 2025 | Заблокирован |
| VLESS Reality | Работает стабильно | Работает ✓ |
Почему VLESS Reality вне риска — даже после апгрейда
Все перечисленные угрозы — и усиленная мощность, и ML-анализ — работают против протоколов, которые отличаются от легитимного HTTPS. Система ищет аномалии.
VLESS Reality аномалий не создаёт. Вот почему:
Реальный TLS 1.3. Это не имитация HTTPS, а настоящий протокол. ТСПУ видит стандартный TLS-хендшейк — тот же, что у банка, Google, госуслуг.
Реальный SNI. В поле Server Name Indication — домен настоящего сайта (google.com, microsoft.com). Не случайный, не поддельный.
Стандартный порт 443. Единственный порт для HTTPS. Заблокировать его = отключить весь зашифрованный интернет.
Поведение браузера. TLS fingerprint (JA3) имитирует Chrome или Firefox. ML-система видит обычный браузер, не VPN-клиент.
Защита от активного зондирования. Если ТСПУ отправит зонд — сервер ответит как обычный веб-сервер. Для внешнего наблюдателя это просто веб-сайт.
Чтобы заблокировать VLESS Reality, нужно заблокировать весь HTTPS. Это невозможно: это выключит банковский сектор, госуслуги, e-commerce — всё, что работает в интернете. Ни одна страна не пошла на это.
Что это означает для пользователей прямо сейчас
Апгрейд ТСПУ — это процесс до 2030 года, но часть изменений произойдёт уже в 2026-м:
- До конца 2026: 100% трафика Рунета будет проходить через АСБИ (ТСПУ). Сейчас покрытие неполное, и некоторые операторы работают с меньшей интенсивностью фильтрации. Этот зазор закроется.
- ML-фильтрация: уже работает с марта 2026, будет масштабироваться.
- Новые блокировки протоколов: по мере роста мощностей список расширяется — SOCKS5 и «чистый» VLESS уже заблокированы.
Если ваш VPN сейчас работает нестабильно — ситуация будет ухудшаться, а не улучшаться. Если работает стабильно на VLESS Reality — изменений не почувствуете.
Часто задаваемые вопросы
Зачем Минцифры так много тратит на ТСПУ?
Перегрузка оборудования в марте 2026 года стала публичным провалом — система буквально сломалась, и заблокированные ресурсы стали временно доступны. 83,7 млрд рублей — это политическое решение: показать, что система работает, а не экономическое.
ML сможет заблокировать VLESS Reality?
Нет. ML-система ищет отклонения от нормального HTTPS-трафика. VLESS Reality и есть нормальный HTTPS-трафик — поведенчески, статистически и криптографически. Нет признака, который можно было бы использовать для блокировки.
Shadowsocks после апгрейда будет работать?
Уже нестабилен, после полного развёртывания ML — перестанет. Статистический анализ энтропии данных Shadowsocks даёт аномалии, которые ML обнаруживает надёжно.
Стоит ли менять VPN сейчас или подождать?
Менять стоит сейчас. Апгрейд будет постепенным — сначала крупнейшие операторы, потом региональные. Чем дольше ждать с переходом на VLESS Reality, тем вероятнее внезапный обрыв при обновлении оборудования у вашего провайдера.
Есть ли что-то надёжнее VLESS Reality?
На сегодня нет. Теоретически в будущем могут появиться новые протоколы, но VLESS Reality решает проблему на архитектурном уровне — не обфускацией поверх VPN, а полным слиянием с легитимным TLS-трафиком.
После апгрейда РКН сможет видеть содержимое VPN-трафика?
Нет. Рост мощностей ТСПУ не означает расшифровку TLS 1.3 — это криптографически невозможно без приватного ключа сервера. ТСПУ анализирует метаданные и поведение соединений, а не содержимое.
Итог
Апгрейд ТСПУ на 83,7 млрд рублей — это реальная угроза для большинства VPN-протоколов. К 2030 году система получит тридцатикратный запас пропускной способности над реальным трафиком, интеграцию ML и 100% покрытие Рунета.
Для OpenVPN, WireGuard, Shadowsocks и обфусцирующих протоколов это означает конец стабильной работы — они уже блокируются, апгрейд сделает блокировки полными.
VLESS Reality стоит вне этой логики: его трафик — это обычный HTTPS. Никакой мощности недостаточно, чтобы заблокировать протокол, неотличимый от всего зашифрованного интернета.
Подключитесь к Blink VPN — VLESS Reality, серверы до 10 Гбит/с, настройка за 2 минуты. Без блокировок сегодня и после апгрейда ТСПУ в 2030-м.