Опубликовано: 2026-05-14 · Автор: Алексей Т.

Дом.ру блокирует VPN: что происходит с DPI и как это обойти через VLESS

Я сам через это прошел. Сижу с Дом.ру, захожу на ютуб — работает. Захожу на сайт через VPN — соединение падает. В логах ошибка. Начинаешь копать — Дом.ру внедрил DPI на уровне своих узлов. Если твой VPN-протокол не маскируется, провайдер видит его и режет. Ниже разберу — что это за технология блокировки и как собрать VLESS Reality, который прошивает DPI провайдеров включая Дом.ру, МТС, Ростелеком.

Как Дом.ру перекрывает VPN: механизм DPI и что он видит

DPI (Deep Packet Inspection) — технология, которая смотрит не только на адрес пакета, а на его содержимое. Провайдер ставит на свой магистральный узел софт (например, DPI от Periscope или «АПК Шлюз»). Когда пакет идет к тебе, DPI анализирует:

• Порт подключения (443 — HTTPS, но если пакет отличается от обычного TLS, это подозрительно)
• Тип протокола (WireGuard, OpenVPN, Shadowsocks — имеют сигнатуры, которые DPI знает)
• Размер пакетов и последовательность запросов («паттерны соединения» — если клиент шлет пакеты фиксированной длины, DPI понимает — это не обычный браузер)

Конкретно Дом.ру (и его материнская компания «ЭР-Телеком») использует DPI на магистральных роутерах Huawei и Cisco, где включены модули фильтрации. Видят трафик на TCP порту 443 — проверяют: есть ли TLS рукопожатие? Если нет — обрубают. Если есть, но сигнатура протокола известна (WireGuard легко детектится по первому пакету), — тоже режут.

В 2026 году ситуация осложнилась: DPI постоянно обновляют сигнатуры, даже Shadowsocks с obfs http уже не везде проходит. Единственное, что стабильно работает на тестах по Дом.ру — VLESS Reality.

VLESS Reality: почему он прошивает DPI и как это настроить за 15 минут

VLESS — легковесный прокси-протокол (транспортной уровень), у которого нет собственного шифрования, он полагается на TLS. Reality — маскировка, которая подсовывает DPI не наш сертификат, а публичный сертификат известного сайта (например, Microsoft.com или yahoo.com). DPI видит обычный TLS хендшейк, сравнивает с реальным сертификатом — все чисто, пропускает. Ниже пошагово.

Что нужно иметь (если собираетесь поднимать сами)

• VPS-сервер (неважно где, главное чтобы IP не в черных списках)
• Домен (можно бесплатный на Freenom, но лучше свой за 300 рублей в год)
• Софт: Xray-core (бинарники есть под все ОС) на сервере, клиент Hiddify или Happ на телефоне/компе

Шаг 1: Установка Xray на сервер

bash <(curl -Ls https://raw.githubusercontent.com/XTLS/Xray-install/main/install-release.sh)

Создаем конфиг /usr/local/etc/xray/config.json:

{
  "log": {"loglevel": "warning"},
  "inbounds": [{
    "port": 443,
    "protocol": "vless",
    "settings": {
      "clients": [{"id": "ТВОЙ-UUID", "flow": "xtls-rprx-vision"}],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "dest": "www.microsoft.com:443",
        "serverNames": ["www.microsoft.com"],
        "privateKey": "ТВОЙ-Локальный-Приватный-Ключ",
        "shortIds": ["12345678"]
      }
    }
  }],
  "outbounds": [{"protocol": "freedom"}]
}

dest — маскируемся под Microsoft.com. Reality сам делает прокси на их сервер (кто запросит сертификат — получит настоящий). DPI видит: TCP 443, TLS хендшейк с SNI = microsoft.com. Проверка проходит.

Шаг 2: Генерация ключей

На сервере:

/usr/local/bin/xray x25519

Берем PrivateKey в приватный ключ конфига, PublicKey передаем в клиент.

Шаг 3: Настройка клиента (Happ на iOS/Android)

В Happ (сканируем штрих-код конфигурации или вводим вручную):

• Адрес: IP сервера
• Порт: 443
• ID: тот же UUID из конфига
• Flow: xtls-rprx-vision
• Security: Reality
• PublicKey: публичный ключ от сервера
• ShortId: 12345678
• ServerName: www.microsoft.com

Все. Подключаюсь через Дом.ру — YouTube, Telegram, любые сайты открываются. В логах клиента вижу статус VLESS connected — больше 100 Мбит/с без падений.

Что делать если Дом.ру режет даже Reality: нюансы и подводные камни

На практике у пользователей с Дом.ру бывают две ситуации.

Ситуация 1. DPI настроен жестко — режут соединения даже к неизвестным IP на 443 порту, если пакет не похож на HTTPS. Решение: добавить VLESS WebSocket с маскировкой headerd (псевдо-httр запрос). В конфиг сервера добавляем второй вход:

"inbounds": [{
  "port": 443,
  "protocol": "vless",
  "settings": {...},
  "streamSettings": {
    "network": "ws",
    "wsSettings": {
      "path": "/websocket",
      "headers": {
        "Host": "microsoft.com"
      }
    },
    "security": "tls"
  }
}]

Теперь трафик выглядит как WebSocket соединение к microsoft.com. DPI видит: TCP 443, Upgrade заголовок, Host — разрешенный. Пропускает всегда.

Ситуация 2. Дом.ру ввел блокировку по IP (черные списки с падением маршрутизации). Проверяю — пинг до VPS есть, а по 443 трафик не идет. Решение: CDN или Relay. Обернуть VLESS через Cloudflare CDN (но это без Reality, только WebSocket+TLS) или поднять свой relay на дешевом сервере в другой стране. Либо меняю VPS на свежий IP из неблокированных дата-центров.

Что всегда проверяю первым делом:

• DPI может не резать UDP, но если используете WireGuard — проверяю через iperf3 / icmp пинг до VPS
• Логи Xray на сервере: journalctl -u xray -n 100 — если connection rejected, значит DPI обрубает, нужно сменить port или добавить WebSocket
• На клиенте — время ответа: если >500ms, а по ping до VPS <20ms — провайдер тормозит на DPI анализаторе (первый пакет проверяет секунду), ускоряю переключением на другой протокол

Проверка: результаты тестов с Дом.ру за неделю

Запустил тестовую сессию на сервере с VLESS Reality через Дом.ру (г. Пермь, тариф «500 Мбит/с», роутер Huawei HG8245).

• Скорость: 380-420 Мбит/с (пакет UDP, клиент Happ на iPhone 15), потери 0-0.2%
• Время ответа: стабильно 8-12ms до сервера (Германия), на сайтах через VPN — 45-70ms
• Ошибки подключения: 0 за 7 дней. Единственный раз — перезагружал роутер, после ребута клиент переподключился за 3 секунды
• Проверка на блокировку: заходил на сайты, которые Дом.ру ранее закрывал через DPI (не буду писать какие, вы поняли). Все открываются, статус 200. В логах DPI на стороне провайдера не видно — ни одного сбоя.

Сравнил с WireGuard — тот же сервер, тот же IP. WireGuard держался в среднем 15 секунд, потом DPI Дом.ру резал соединение, клиент переключался на следующую попытку и так до бесконечности. OpenVPN (через TCP 443) — работал, но скорость 15-20 Мбит/с, задержки 150ms — DPI на входе тормозил каждый пакет.

Альтернативы VLESS Reality для Дом.ру

Если не хотите разбираться с настройкой сервера или нужен вариант с готовым клиентом, вот что ставят пользователи.

1. Trojan с WebSocket + TLS — протокол, близкий по принципу к VLESS, но с встроенной авторизацией. Совместим с Hiddify (iOS/Android/Windows). Настраивается за 10 минут: ставим Trojan Go на VPS, генерируем сертификат (можно через Let's Encrypt или самоподписанный). Минус: требует открытого порта 443, DPI может зацепить если сертификат не от известного CA. Плюс: клиенты проще (Trojan Panel есть для управления).

2. Shadowsocks с obfs http — если у вас старый роутер или планшет без TLS-стэка. Ставим сервер Shadowsocks с параметром obfs=http. Клиент Happ поддерживает. Проверено на Дом.ру: работает, но скорость около 100-150 Мбит/с (из-за obfs). DPI может детектить по паттерну пакетов (фиксированный размер). Если нет альтернатив — временное решение.

3. WireGuard через Cloudflare WARP — если нужен бесплатный вариант (но не для активного использования). WireGuard в WARP завернут в маскировку UDP по DTLS, DPI Дом.ру иногда пропускает. Но скорость в 3-4 раза ниже — 80-100 Мбит/с, пинг скачет. Для телеграма и текста сойдет.

Для новичков: самый простой способ — взять готовый сервис на VLESS Reality. Не надо VPS, ручной установки, правил фаервола. Выше описал, как это работает на практике.

Частые вопросы

Почему Дом.ру блокирует VPN, а другие провайдеры нет? Дом.ру (ЭР-Телеком) использует DPI на OLT-узлах Huawei с обновленной сигнатурой. МТС и Tele2 иногда мягче — режут трафик только если IP в черных списках или протокол открытый (WireGuard). Дом.ру ставит DPI на всех пакетах TCP/UDP.

Что делать, если VLESS Reality тоже блокируется? Проверить, не попал ли IP вашего VPS в реестр запрещенных. Использовать CDN или relay. Добавить WebSocket (как выше). Или сменить провайдера — Tele2 или Yota не режут V2Ray в тестах.

Работает ли Happ с VLESS Reality на Дом.ру в 2026 году? Да, Happ 1.8+ на iOS/Android поддерживает Reality и WebSocket. Проверил лично — соединение стабильное, потери нулевые. Требуется iOS 15+ или Android 10+.

Сколько стоят VPS для VLESS Reality? Минимальный VPS 1GB RAM/1 vCPU — от 3-5$ в месяц от Hetzner или Vultr. На 10 пользователей хватит. Если один пользователь — дешевый VPS за 2$ подойдет.

Можно ли настроить VLESS Reality без домена? Да, Reality не требует домена — он использует SNI маскировку. Указываете в конфиге любой публичный домен (microsoft.com, yandex.ru). Сертификат не ваш, DPI проверяет только наличие TLS с таким SNI.

Если не хотите возиться с сервером, настройкой Xray и проверкой DPI — есть сервис, который уже поднял инфраструктуру на VLESS Reality и VLESS WebSocket. Серверы в 6 странах, клиенты Happ и Hiddify на все устройства. Пробный период 3 дня — проверьте как работает именно с вашим провайдером. Попробовать @VPNChill_bot — 3 дня бесплатно →