Российские власти все активнее борются с VPN-сервисами. В конце марта глава Минцифры Максут Шадаев заявил, что перед ведомством стоит задача — чтобы россияне меньше пользовались VPN. Позже в медиа появились новости, что с 1 мая зарубежный трафик ограничат 15 гигабайтами в месяц. Несмотря на это, все больше людей использует средства обхода блокировок. Но хватит ли ресурсов у VPN-сервисов для борьбы? Могут ли кончиться мощности у Роскомнадзора? И как власти будут отслеживать, кто использует VPN, а кто нет? Все эти (и другие) вопросы «Медуза» задала самим представителям индустрии. С нами согласились пообщаться: Paper VPN, Amnezia VPN, BlancVPN и Liberty VPN.

— Ничего нового в блокировках мы не видим — существует три варианта. 
Первый, это когда блокировки VPN происходят по протоколам. Раньше были заблокированы протоколы
OpenVPN, Wireguard и так далее. Сейчас осталась группа протоколов, которые работают по технологии VLESS
. У этой группы есть разные варианты обфускации
и передачи данных. В конце ноября 2025-го мы видели попытки блокировки этой технологии на Дальнем Востоке и в Сибири. Но, в принципе, противодействовать этому несложно.
Второй вариант — это когда проводят персональные атаки. То есть сотрудники РКН закупают ключи
у конкретных сервисов и начинают блокировать серверы настолько, насколько они в состоянии это сделать. Через это проходят все участники рынка, и это периодически случается.
Третий вариант блокировки — статистический. К примеру, если через один сервер проходит слишком много трафика, можно предположить, что он используется для VPN. Через несколько дней или недель такие IP-адреса
блокируют.
Ни один сервис, который противодействовал блокировкам, заблокировать не получилось. VPN-сервисы, которые перестали работать, сами с радостью ушли из России еще в 2022 году и не предприняли никаких действий. Для полной блокировки методов РКН недостаточно. Они скорее создают некоторые неудобства для пользователей. 
При этом интернет в России уже не работает как раньше, саму суть технологии пытаются сломать — ограничить соединение. И использование VPN тоже требует усилий от пользователей: нужно разбираться в настройках, менять локации серверов.

Amnezia VPN

— Роскомнадзор использует несколько уровней инструментов для ограничения доступа к VPN и другим сервисам. Первый уровень — сравнительно простые методы, такие как блокировка или перенаправление DNS
-запросов. Эти меры легко обходятся с помощью технологий вроде DNS over HTTPS
(DoH) и DNS over TLS
(DoT), которые шифруют DNS-трафик.
Более продвинутый уровень — это ТСПУ
, представляющие собой аппаратные комплексы формата черного ящика. Их установка обязательна для провайдеров и осуществляется за их счет. Изначально такие решения поставлял «Ростелеком», но со временем к разработке подключились и другие игроки рынка. Например, появлялись сообщения о разработке аналогичных систем у «Вымпелкома» (работает под брендом «Билайн»).
Эти системы позволяют проводить более глубокую фильтрацию трафика: от базовой блокировки по IP-адресам до анализа сигнатур
трафика. В результате можно блокировать не только конкретный ресурс, но и «подозрительный» или нетипичный трафик, особенно если он исходит из определенных подсетей.
Иногда, особенно у мобильных операторов (и реже у проводных провайдеров), применяют режим так называемого белого списка.
В этом случае доступ в интернет ограничивают заранее разрешенными диапазонами IP-адресов. Как правило, это подсети крупных российских сервисов — государственных платформ, банков и технологических компаний.
За последние три года РКН значительно усилил как масштаб блокировок, так и используемые технологии. В результате многие зарубежные VPN-сервисы ушли с российского рынка. Это связано не только с техническим давлением, но и с экономическими факторами: после введения санкций им стало сложно принимать оплату с российских карт и поддерживать инфраструктуру, способную противостоять цензурным ограничениям. 
Кроме того, эффективность ранее популярных инструментов обхода, таких как GoodbyeDPI или Zapret
, снизилась. Это связано с постоянным развитием и усилением аппаратных мощностей фильтрации, особенно начиная с 2025 года.

— Роскомнадзор блокирует IP-адреса точно так же, как это было с телеграмом в 2018 году. Но VPN-сервисы отличают два важных фактора. 
Во-первых, телеграм — это все-таки мессенджер, он не зависит напрямую от подключения к тем или иным IP. IP можно поменять в процессе работы приложения или мессенджера, и все будет работать. С VPN-сервисами это работает немного не так. Мы подключаемся к IP-адресу, и, если его блокируют, происходит сбой на стороне клиента — даже если мы изменим данные на своей стороне.
Во-вторых, телеграм — это приложение, которое создал долларовый миллиардер. Можно много рассуждать, что рынок VPN-сервисов в России растет и это самый быстрорастущий
IT-сегмент в стране, но ни один из сервисов не является долларовым миллиардером. По публичным подсчетам, Дуров в 2018 году на борьбу с блокировками тратил в районе 75 тысяч долларов в час. Ни у одного VPN-сервиса нет таких ресурсов. Поэтому работа Роскомнадзора сейчас эффективна.
Если немного раскрыть внутреннюю кухню, то ситуация очень простая. VPN-сервисы сосредоточены на сетевой инфраструктуре в виде серверов. Их бизнес-модель подразумевает покупку наиболее выгодных серверов, на которых можно разместить пользователей. Задача — максимально снизить издержки и максимально нарастить прибыль. Вы подбираете конфигурацию сервера, которая сможет выдержать максимальное количество пользователей.
Например, вы покупаете сервер формата bare metal
 — полноценную железную коробку, которая стоит в дата-центрах. Они стоят довольно дорого: аренда на месяц обойдется в тысячу долларов. Такой bare metal будет выдерживать примерно 10 тысяч человек.
Дальше приходит Роскомнадзор, берет подписку на сервис либо сканирует подсеть
— находит IP-адрес этого bare metal и блокирует его. Если вы чуть более умный сервис, то вы будете делать так, чтобы ваши inbound
и outbound IP-адреса были разными. Тогда в интернете ваш сервер виден по outbound IP-адресам, и Роскомнадзор в первую очередь видит его. Когда Роскомнадзор его блокирует, вы в целом не страдаете. Ведь сервер не может достучаться только до российских сервисов, а во всем остальном мире вы можете продолжать его использовать. 
Роскомнадзор, судя по всему, не просто сканирует сеть, а берет подписки. То есть они покупают или берут бесплатно подписку [на VPN-сервис], выгружают ключ [для доступа к VPN]. Затем они снимают дампы
с подключения и так получают inbound-IP, то есть IP-адрес на вход. Этот адрес блокируют, и таким образом, ваша железка за тысячу долларов превращается в совершенно бесполезный инструмент, а 10 тысяч человек отваливаются от подключения.
Дальше вы можете заменять IP. На большинстве провайдеров, [которые предоставляют услуги VPN-сервисам], это недоступно, и вам придется менять серверы целиком. На это может уйти до 30 тысяч долларов. И здесь начинается главная проблема: ни у одного сервиса таких денег нет — они столько не зарабатывают.
На данный момент блокировки РКН можно назвать очень эффективными. Мы наблюдаем, как несколько сервисов прямо сейчас задыхаются и умирают. У нас был пост с предложением помощи владельцам VPN-сервисов — и за последние несколько недель мы видим очень большой рост обращений. Некоторые сервисы совсем маленькие — по 20–30 тысяч пользователей, — и все идут с одной жалобой — каждые 40 минут им банят IP-адреса. 
Приложения, кстати, блокировать сложнее. Но их удаляют из App Store. Google Play, насколько я знаю, не реагирует
на обращения от Роскомнадзора и ничего не удаляет, а вот Apple вообще не переживает. Недавно снесли
несколько крупных сервисов из App Store, и они впали в депрессию, потому что не могут мгновенно переключиться на ключи и начинают терять из-за этого пользователей. 
[Нам] постоянно нужно придумывать разные варианты и предугадывать наперед, это тоже накладывает финансовые издержки. Да, маржинальность сервисов в России сейчас высокая, ROI
, наверное, самый высокий в мире, за исключением Китая и Ирана. Но в Китае, например, с VPN так остервенело не борются
. В Китае Liberty работает, хотя это и не наш родной рынок. Мы ничего для него не делаем, но он все равно работает. А в России постоянные проблемы. 

— С 2018 года, когда Роскомнадзор начал массовые ограничения, многое изменилось. Помимо примитивных блокировок по IP-адресу, ведомству сегодня доступны более сложные методы:

• Анализ трафика для блокировок VPN-протоколов по сигнатурам. 
• Разные уровни фильтрации в зависимости от IP-адресов назначения: если ваш трафик идет к доверенному серверу, система его пропускает, если к подозрительному — блокирует.
• Возможность тестировать блокировки в отдаленных регионах страны и постепенно увеличивать их масштаб, чтобы минимизировать ошибки. 
• Точечные блокировки VPN-сервисов — Роскомнадзору их труднее масштабировать, но сервисам сложнее с ними справиться.

Также у Роскомнадзора больше нет задачи сохранять доступность крупнейших [иностранных] облачных и CDN
-платформ, которые использует подавляющее большинство сервисов в интернете. Это упрощает его работу. 
Можно считать, что российские ограничения уже обогнали китайский файрвол
. Там все-таки экономически все еще важно сохранять доступность мировой сети.
Отдельно стоит отметить «белые списки», в рамках которых уровень блокировок обгоняет даже Туркменистан, приближая Россию к состоянию
Северной Кореи.

— Какую роль в блокировках VPN-сервисов играет Deep Packet Inspection? Будет сложно

— Технология DPI
действительно используется и применяется против ряда VPN-протоколов. Она достаточно эффективно справляется с OpenVPN
, WireGuard, L2TP и IPsec
, поскольку их трафик можно сравнительно легко идентифицировать на уровне сетевых пакетов.
Однако ситуация меняется, когда речь идет о протоколах, разработанных с акцентом на устойчивости к блокировкам. К ним относятся, например, AmneziaWG, решения на базе XRay (VLESS, Trojan), а также модификации вроде OpenVPN XOR
. Такие протоколы маскируют трафик, из-за чего DPI значительно сложнее их распознавать и фильтровать.
Кроме того, существуют и инфраструктурные ограничения. Применение DPI-фильтрации в масштабах всего интернет-трафика требует значительных аппаратных ресурсов, поэтому на практике ее использует выборочно — чаще всего в отношении конкретных диапазонов IP-адресов, принадлежащих отдельным хостинг-провайдерам. В первую очередь это касается провайдеров, у которых физические лица могут относительно просто арендовать серверы.
В результате DPI не всегда работает — его эффективность ограничена как развитием устойчивых к фильтрации протоколов, так и техническими ресурсами инфраструктуры. Даже для менее устойчивых протоколов иногда возможно установить соединение — например, за счет подбора хостинг-провайдера, который еще не находится под активной фильтрацией.
При этом уровень ограничений может существенно различаться от провайдера к провайдеру. Где-то применяют базовые методы блокировки, где-то — более сложные. В отдельных случаях затраты на обход ограничений становятся неоправданными, и некоторые VPN-провайдеры предпочитают переключаться на другие инфраструктурные решения. Это, в свою очередь, может приводить к тому, что их конфигурации по уровню защиты отстают от актуальных методов блокировок.

— DPI используют для борьбы с VPN с самого начала. В 2022 году перестали работать OpenVPN и Wireguard, до недавних пор они заводились на внутреннем контуре, но не работали на внешнем, и это как раз работа DPI, который входит в комплекс ТСПУ. DPI сейчас работает и на VLESS, хотя и очень криво, — они работают не на сам VLESS, а на TLS-паттерны, которые немного отличаются. 
Судя по всему, также начала работать нейронка. Мы проводили много экспериментов, и один из наших senior LLM
-разработчиков процессе тестирований пришел к выводу, что [у РКН] нейросеть работает в паре с DPI.
При этом она проводит инспекцию не в реальном времени, а по дампам. То есть они сперва снимают копию трафика по каким-то критериям (мы пока выявили один такой критерий — под проверку попадает трафик, связанный с заграничными хостерами). После дамп передают в LLM, она проверяет его по паттернам и выдает результат. Какой — мы не знаем, но предполагаем, что там что-то вроде «точно хороший» и «не точно хороший». Вряд ли на данном этапе она умеет четко определять протокол, скорее она умеет выявлять что-то точно нормальное и что-то подозрительное. И с подозрительным они уже начинают работать.

— DPI — основной способ блокировок на сегодняшний день. Это очень продвинутая система, но ее тоже можно обойти. Один из способов — замаскировать VPN-пакеты за каким-то «легитимным» трафиком, который не вызовет подозрений у DPI. Если маскировка настроена достаточно хорошо, то DPI не видит VPN и пропускает трафик.

z

— Мы активно развиваем и совершенствуем инструменты обхода блокировок. Недавно мы выпустили AmneziaWG 2.0
для self-hosted пользователей, которые разворачивают VPN на собственных серверах. Это наш ответ на новые вызовы. Мы теперь можем не просто маскировать VPN-трафик, а мимикрировать под любой легитимный UDP-протокол
. Теперь соединение может выглядеть как DNS-запросы, QUIC-соединения
или SIP-звонки
. Для провайдера это выглядит как непримечательный рабочий протокол, и он пропускает запрос. 
Параллельно мы ведем исследования и обновляем решения на базе XRay (VLESS). Комплексное использование этих технологий позволяет нам существенно снижать необходимость постоянно развертывать новые серверы.

— Мы постоянно придумываем разные инструменты, чтобы бороться с блокировками. Во-первых, нужно выставлять VPS
перед основными серверами. То есть трафик сначала идет на VPS, который не заблокирован, а затем идет на заблокированный bare metal. VPS заблокируют, скорее всего, очень быстро, но в тот же момент ее можно просто поменять. Менять VPS за 30 долларов дешевле, чем менять bare metal за тысячу долларов, это очевидно. 
Но это огромные издержки. В какой-то момент, когда эта практика расширится на все большее количество сервисов, мы увидим начало кризиса на рынке. Сервисы начнут активно умирать, потому что у многих не хватит денег. Метод со сменами заблокированных VPS не подразумевает маржинальность, это просто голый расход. 
У некоторых хостинг-провайдеров
есть возможность обновлять IP, но это серая зона, и так лучше не делать на постоянной основе. Во-первых, большинство провайдеров IP вам обновить не дадут. А те, кто даст, будут добавлять их в баланс. То есть вы будете оплачивать заблокированные IP-адреса в дополнение к новым. И это быстро закончится, если Роскомнадзор пришел к вам в гости. Сам хостинг-провайдер подойдет к вам и задаст вопросы, почему вы постоянно запрашиваете IP-адреса. Когда вы начнете им объяснять, что вас блокирует Роскомнадзор, провайдеры скажут, что лучше им тогда с вами не работать. Их позиция — что это вредно для бизнеса. 

— Идет постоянная гонка между VPN-сервисами и Роскомнадзором. Мы не можем рассказывать, как именно обходим блокировки. Безусловно, это требует постоянных расходов как в моменте, так и долгосрочных — на исследования и подготовку к новым ограничениям. 
Наиболее сильно гонка бьет по небольшим VPN-сервисам, у которых нет возможности инвестировать в развитие. Также туго приходится командам, которые не уделяют достаточного внимания техническому развитию, а тратят все на масштабирование. В какой-то момент блокировки становятся слишком сложными, и их способы обхода перестают работать. Такие VPN-сервисы закрываются.

— Одна из главных сложностей — это высокие ожидания относительно работы сервисов, которые есть практически у всех в России. Если в других странах, например, доставка товара в течение недели — это отличный результат, то в нашей стране это не норма. Если VPN не работает 5–10 минут, мы получаем очень много негативных реакций в поддержке. Мы понимаем пользователей: стандарт высокий, сервисы от крупных корпораций отвечают за пять минут, а VPN часто нужен срочно, без него сложно пользоваться интернетом. 
Мы уже достигли точки, где достаточно россиян знают о существовании технологии VPN. Поэтому, наверное, самое сложное — это постоянное давление, постоянные изменения, постоянные блокировки. Ты все время работаешь в ситуации кризиса. Психологически это довольно сложно — как разработчикам, так и поддержке. Отдельно отмечу, что поддержке в нашей команде тяжелее всех. 
Пользователям придется, к сожалению, постоянно помогать всем нам. И они должны это осознать. Потому что VPN теперь всегда будут находиться под давлением, и пользователям понадобится обновляться, что-то перезагружать, пробовать какие-то новые ключи, новые инструкции и так далее. Главное, чтобы люди осознали, что это неизбежность, но с этим можно работать и можно продолжать пользоваться свободным интернетом.

z

— Борьба с РКН — это, по сути, игра в кошки-мышки. Нельзя заранее узнать, какими ресурсами располагает противник: сколько миллиардов будут выделены сегодня, какие законы примут и как их будут исполнять. К тому же нельзя быть уверенными, что в какой-то момент правительство не примет решение об изоляции интернета.
Технологии помогают создавать устойчивые к блокировкам решения, но они не дают стопроцентной защиты. Деньги как ресурс тоже крайне важны. Они позволяют выбирать более надежных хостинг-провайдеров, нанимать высококвалифицированных разработчиков и поддерживать стабильную инфраструктуру. При этом необходимо учитывать платежеспособность пользователей. В странах с жесткими блокировками, таких как Иран или Туркменистан, стабильное VPN-соединение может обходиться в 50–300 долларов в месяц — сумма недоступная среднему жителю.
Не менее важно обучать пользователей выбору надежных VPN. Рынок перегрет: помимо откровенных мошенников, существуют просто неряшливые сервисы, которые могут устанавливать трекеры российских компаний (например, «Яндекса») в своих приложениях. Информация через такие сервисы может попасть к властям. Опасны и VPN, напрямую связанные с государственными органами. 
Лучшая стратегия для пользователя — ориентироваться на проверенные источники и рейтинги с репутацией.

— Деньги и недостаточное знание россиян о существовании VPN. Чем больше россиян знают о VPN, тем больше денег у сервисов, тем больше разработчиков. И я говорю не про сервисы, которые созданы, чтобы зарабатывать деньги, а те, что несут какую-то идею. 
Конечно, у пользователя нет возможности это проверить, поэтому они просто должны покупать сервисы, которые лучше всего работают. Тогда деньги сами попадут к сервисам, занимающимся разработкой новых технологий по обходу блокировок.
Помимо этого, нам нужны люди. В первую очередь специалисты уровней senior и middle по направлению Python. Это вечная проблема. 

— Бороться с РКН сложно, но это наша основная задача, с которой мы успешно справляемся. Хотелось бы обратить внимание на действия компании Apple, которая вставляет палки в колеса, хотя не должна этого делать.
Будучи американской корпорацией, Apple по-прежнему соблюдает указания Роскомнадзора и скрывает из российского App Store приложения VPN-сервисов, а на iPhone или iPad невозможно установить приложения в обход официального магазина. 

— Когда Роскомнадзор блокирует отдельные серверы, компании вынуждены разворачивать новые. Это просто рост стоимости для нас. Серверы имеет смысл разворачивать только в случае персональных атак, не статистических. Если сто сотрудников РКН каждый день будут открывать все сервисы и блокировать каждый IP-адрес, который смогут обнаружить, то они довольно быстро заблокируют все сервисы. 
Это будет похоже на ситуацию с телеграмом в 2018 году. В таком случае можно будет заблокировать весь интернет. Но для РКН это очень сомнительно по финансовым причинам.
Речь скорее о том, что VPN-сервисы будут какое-то время не работать, и это теперь — норма. Когда сервис подвергается атаке РКН и останавливается на время — это окей. Мы держим пользователей в курсе таких ситуаций, разворачиваем новые серверы и адреса, и продолжаем работу.

z

— Гипотетически описанный сценарий возможен, однако он скорее характерен для компаний, которые делают сильный акцент на обходе
блокировок по принципу «белых списков». В таких случаях стоимость замены IP-адресов может быть значительно выше, что действительно увеличивает финансовую нагрузку.

— Да, 100% так и будет. Роскомнадзор играет с двух сторон. У нас, например, 250 тысяч пользователей, если считать платных и бесплатных. Получается нам нужно тратить в час примерно 25 000 долларов. У нас таких денег нет и никогда не было, я честно признаюсь. Поэтому мы используем эту схему с VPS.
Но мы все равно очень сильно просели в маржинальности за последние несколько месяцев, поэтому нам пришлось поднять цены почти на 40%. При этом мы всегда были в среднем сегменте, и мы не намного дешевле той же Amnezia, которая никогда не была дешевой относительно российского рынка.
Вероятно, закроются маленькие сервисы, до 50 тысяч пользователей. С одной стороны, из-за постоянной смены серверов. С другой — из-за постоянных сбоев на сервисе, за который люди платят деньги. 
Здесь многое зависит от подачи бренда. Допустим, происходит сбой, а человеку нужно что-то сделать прямо сейчас — по учебе или работе. И он не может ждать, когда Роскомнадзор отойдет покурить, ему нужно решение здесь и сейчас. Он начнет искать другие сервисы, и, таким образом, при каждой блокировке отсекается небольшой процент пользователей. 
Внешне может выглядеть, что сервисы растут, но на самом деле они постоянно теряют старых пользователей. Просто сейчас спрос превышает потери.

— Это крайне маловероятно. 
У любой коробочки есть пропускная способность, и на конкретного оператора, конкретный узел можно поставить коробочку помощнее. То есть речь о перебалансировке, закупке ресурсов, их переброске и так далее. Чтобы все это закончилось — звучит сомнительно. Просто любой всплеск нагрузки (а он происходит сейчас) требует от системных администраторов работ по перераспределению.
Вопрос о пределе блокировок очень философский. Что считать пределом? Может снизиться скорость работы интернета в целом, мы уже это наблюдаем, это естественно. 

z

— В первую очередь речь идет не столько о ресурсах самого регулятора, сколько о ресурсах операторов связи, на инфраструктуре которых размещают ТСПУ. Именно провайдеры несут
основную нагрузку — с точки зрения как размещения, так и закупки оборудования. В некоторых случаях государство компенсирует часть затрат, однако это, как правило, не покрывает весь объем необходимых инвестиций.
Ситуация с блокировкой телеграма в прошлом не релевантна текущей. На тот момент значительная часть российского бизнеса зависела от инфраструктуры зарубежных хостинг-провайдеров. Сегодня, в силу законодательных ограничений
, многие компании перенесли инфраструктуру на территорию России. Это дает регуляторам больше возможностей для применения «ковровых» блокировок без критических последствий для бизнеса.
Показателен и более свежий пример с Cloudflare: несмотря на длительные ограничения отдельных подсетей, значительная часть пользователей и компаний практически не заметила этих проблем, что говорит о возросшей устойчивости локальной инфраструктуры.
При этом можно наблюдать перераспределение ресурсов: сложные механизмы замедления трафика заменяются более простыми методами, например блокировками на уровне DNS. Это позволяет высвобождать аппаратные мощности для приоритетных направлений — таких как борьба с VPN-сервисами и популярными платформами, включая Telegram и WhatsApp.
С технической точки зрения фильтрация больших объемов трафика возможна, однако она напрямую ограничена доступными аппаратными ресурсами. Масштабирование таких систем требует значительных затрат, особенно в условиях ограниченного доступа к оборудованию и необходимости его закупки через механизмы параллельного импорта. Это существенно увеличивает стоимость.

— Страшная новость — можно. Туркменистан — маленькая бедная страна диктаторского типа. Многие считают, что там повсеместно работают «белые списки», но это неправда. На самом деле там работает система черных списков наподобие китайской и той, что применяется в России сейчас. Маленький бедный Туркменистан заблокировал почти три миллиарда IP-адресов. В мире их всего около четырех миллиардов
. 
У Туркменистана хватило денег и возможностей настроить систему черных списков, где заблокировано практически все. То есть в Туркменистане стоят аналоги нашего ТСПУ и фильтруют весь трафик, проверяют на наличие запрещенных трех миллиардов IP-адресов. Можно сделать вывод, что и у российского ведомства есть такая возможность или оно активно занимается тем, чтобы эта возможность появилась.

— Пока тенденция говорит об обратном: ресурсы Роскомнадзора из года в год только увеличиваются. В России мало прецедентов, когда государство сокращает финансирование репрессивных ведомств. 
Не стоит недооценивать цензоров: лучше подготовиться к худшему сценарию, который не случится, чем расслабиться на волне неподтвержденных слухов.

— Можно с какой-то долей вероятности предположить, что человек использует VPN. Например, если мы видим много трафика, направленного на один адрес, это не типичное поведение системы, потому что обычно от компьютера или другого устройства идет много запросов на разные сервисы. Если мы видим, что с компьютера пользователя на один адрес идет огромное количество запросов, мы можем обоснованно предположить, что это похоже на VPN. Но доказать технически это нельзя, потому что это имитируется обычным трафиком. 
Сложно сказать, какое законодательство действительно могут принять. Больше 50 гигабайт трафика в день на конкретный IP-адрес — это штраф? Не думаю, что это технически возможно.
В дополнение есть такая вещь, как технология балансировки загрузки, когда используется сразу несколько серверов, а трафик клиента распределяется между ними. Над этим мы сейчас работаем, потому что это должно в том числе защитить от статистического метода блокировок. 
Также есть технология туннелирования, когда на устройстве пользователь может сам определять, какие приложения идут напрямую, а какие работают через VPN. Так выявить VPN-трафик тяжелее.

z

— Возможность выявления использования VPN во многом зависит от применяемого протокола, а также от того, какие именно критерии будут использовать, чтобы привлекать к ответственности.
С точки зрения анализа трафика классические протоколы, такие как WireGuard или OpenVPN, сравнительно легко идентифицируются — их сигнатуры достаточно хорошо распознаются средствами DPI
. В то же время более современные решения, ориентированные на обход блокировок (например, AmneziaWG или протоколы на базе XRay, такие как VLESS), не имеют явных сигнатур и могут определяться лишь по косвенным признакам, что делает их обнаружение значительно сложнее.
Отдельный сценарий — это выявление не по типу трафика, а по факту соединения с определенной инфраструктурой, например IP-адресами зарубежных хостинг-провайдеров. В таком случае даже маскировка протокола может не помочь. Исторически уже встречались ситуации, когда претензии возникали из-за самого факта сетевой активности, а не ее содержания. Например, дело Дмитрия Богатова, связанное с использованием сети Tor
.
На базовом уровне снижение рисков возможно за счет:

• использования протоколов, устойчивых к DPI-детектированию;
• настройки раздельного туннелирования (split tunneling), при котором часть трафика (например, к российским сервисам) идет напрямую;
• отказа от российских сервисов на устройстве, на котором используется VPN.

При этом важно учитывать, что некоторые приложения могут пытаться выявлять сам факт использования VPN на устройстве. В публичных обсуждениях, например, упоминался мессенджер Mах как потенциально отслеживающий такие признаки.
Можно сказать, что полностью «невидимого» использования VPN не существует: речь всегда идет о снижении вероятности обнаружения, а не о ее полном исключении.

— Во-первых, если использование VPN в России станет уголовно или административно наказуемым, то мы будем об этом постоянно предупреждать. Чтобы люди делали это на свой страх и риск. И чтобы это делали только те люди, которые четко понимают, зачем им это, и брали на себя ответственность. Понятно, что не все люди будут так относиться к предупреждениям, но многих удастся отсечь от этого или хотя бы предупредить. 
Во-вторых, отследить, что человек использует VPN, скорее можно. Это зависит от того, чем человек пользуется. Если мы говорим про OpenVPN, который в России фактически не работает, то с этими протоколами все понятно. У них очень узнаваемая сигнатура, у них очень понятный паттерн. И более того, этот протокол фактически в приветствии зашивает информацию о том, кто они такие.
Наказывать в такой практике тоже можно. Но, как мы знаем, сейчас российский рынок использует AmneziaWG, Shadowsocks, VLESS с маскировками XTLS-Reality, Trojan и другие. И AmneziaWG 2.0, и VLESS XTLS-Reality используют методы обфускации и маскировки. Это значит, что тоннель и поток данных в нем выглядят похоже, например, на обычный HTTPS. В случае Amnezia трафик ни на что не похож, потому что в него зашиваются мусорные пакеты, которые увеличивают количество пакетов и байтов. 
Поэтому первый вариант — силовики не будут никого не трогать. Второй — сделают судебной практикой преследование за неидентифицируемый трафик. К примеру, когда мы открываем VK, российский провайдер видит, что вы открываете этот сайт. Если вы подключаетесь к VPN, то провайдер видит, что вы подключаетесь к какому-то домену, но ваш трафик нельзя идентифицировать. Это в теории можно признать доказательством использования VPN. Но если честно, это кажется фантастикой, я не очень представляю это в российских реалиях.

— Мы не видим реальных предпосылок такого развития событий. Пока что ни один репрессивный закон
, касающийся VPN, не работает в полную силу. VPN-сервисами пользуются десятки миллионов людей, наказать такое количество невозможно.
Тем не менее мы допускаем такой сценарий и готовимся к нему. Сегодня нет ни одного VPN-сервиса, использование которого нельзя отследить. Но мы работаем над тем, чтобы обеспечить максимальный уровень маскировки. О возможных рисках мы обязательно будем рассказывать пользователям.
разрешат

Paper VPN

— Верим, что это будет еще один вид налога на подключения. Мы будем искать варианты обхода.

z

— Плату скорее будут брать не за VPN, а просто за заграничный трафик. Это звучит очень вероятно. Для того чтобы взимать плату за VPN, нужно сначала его задетектировать. А уж тогда проще заблокировать.

— Да, верим, что это, вероятно, подтвердится и будет введено. Статистика по гигабайтам базовая, она есть у всех сервисов. Большинство пользователей потребляют в диапазоне 100 гигабайтов в месяц через VPN. Сами сервисы поднимать цены из-за инициативы Минцифры не станут, но для пользователей она может стать фатальной. Однако в зависимости от реализации, вероятно, будет схема обхода.

В своем телеграм-канале Liberty VPN тоже высказался на эту тему Читать
В условиях, которые существуют сейчас, единственный путь реализации «тарификации» со стороны операторов — введение лимита на зарубежный трафик вовсе. Что такое зарубежный трафик? Импортозамещение, конечно, шло все эти годы, но шутка в том, что даже пуш-уведомления от родного «Яндекса» — это зарубежный трафик, так как идут они с серверов Apple, а не «Яндекса». Это касается и открытия страницы на Википедии — ведь IP-адрес, к которому вы подключитесь, будет за границей, а значит, подпадает под тарификацию. 
Так что если операторы и правда введут эту историю с 1 мая, то новость одновременно и плохая и хорошая — тарификации «за VPN» не будет, она будет просто за все подключения вне территории России.

— Мы в это верим, мы к этому готовимся. Вероятнее всего, как и любая из прежних блокировок, эта мера будет работать не совсем как задумано и в ней будут лазейки. 
Мы относимся к этому как к очередной блокировке, с которыми боремся уже восемь лет, каждая из которых сначала казалась непреодолимой. Но мы найдем решение для наших пользователей, как и для всех предыдущих ограничений.

— У нас есть волонтеры из разных регионов России, периодически мы можем отправить рассылку с просьбой заполнить анонимную анкету, общаемся с пользователями и анализируем обращения в поддержке. Плюс, конечно, у нас есть знакомые, друзья, которые могут проверить разные серверы в разных регионах.
Россия слишком огромна, чтобы сказать, что мы отслеживаем блокировки по всей стране. Но в таких городах, как Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Красноярск, конечно, всегда кто-то есть. 

z

— В каждом регионе и у каждого провайдера могут быть свои особенности фильтрации и блокировок. Поэтому нельзя сказать, что по всей России ситуация остается туманной. В целом мы имеем достаточно ясную картину, но на отдельных территориях или у некоторых провайдеров могут возникать затруднения [с получением информации].
Мы используем косвенные признаки, такие как, например, данные с Downdetector — ресурса, где пользователи оставляют комментарии о проблемах с доступом к сервисам и провайдерам в конкретных регионах. Также мы собираем собственные данные из тестов и обратной связи от пользователей, чтобы постоянно уточнять карту блокировок. Ситуацию с «белыми списками» мы тоже держим на контроле.

— Ситуация очень ясная. Во-первых, у нас есть бот NetWatch с сырой обратной связью, там люди делятся информацией о том, что происходит в их городе прямо сейчас. Во-вторых, наша техподдержка занимается аналитикой. Мы анализируем обращения, откуда они, на каких сетях. 
Помимо этого, у нас разбросаны точки доступа по всей России, арендованы серверы и IP-адреса внутри России. Туда мы загружаем разные скрипты, которые проверяют доступность разных сервисов.

— Мы не можем раскрывать много деталей, но у нас есть и пробы, и волонтеры. Мы понимаем, что происходит, как оно работает, в каких регионах и на каких операторах связи. Если тестируется какое-то новое ограничение, у нас есть возможность оперативно его изучить, чтобы найти решение.

— Это большой вопрос. Роскомнадзор может обеспечить ежедневную блокировку какого-то количества сервисов, работая персонально с каждым из них, а не по блокировке протоколов. 
Теоретически это возможно сделать. В этом случае пользователь может использовать непопулярные небольшие сервисы, которых сейчас стало очень много. Но это более рискованно, потому что такие сервисы «гаражного» варианта не всегда защищены — вы не знаете, кто делает сервис, какой у команды уровень экспертизы и стандарты. Мы считаем, что людям нужно иметь под рукой несколько платных проверенных вариантов VPN и переключаться между ними.

z

— Теоретически такой сценарий возможен, но он предполагает, что большую часть времени пользователи в России будут иметь доступ только к разрешенным российским сервисам. В таких условиях возможностей для самостоятельного обхода блокировок будет крайне мало. 
Подготовка на уровне обычного пользователя ограничена, и единственным радикальным вариантом может быть использование инфраструктуры за пределами страны
или переезд в страну с более свободным доступом к интернету.

— При существующей сегодня тактике Роскомнадзор в долгосрочной перспективе не способен заблокировать все или большинство VPN-сервисов в России. Он может лишь сделать их использование неудобным. 

— К сожалению, не все проблемы можно решить технически. Пока в России есть связь с внешним интернетом, мы будем искать и находить лазейки. Если интернета не будет совсем, никакой VPN не поможет. Сценарий, в котором интернет есть, а все VPN-сервисы заблокированы, скорее невозможен.
Что можно сделать, чтобы подготовиться к блокировке большинства VPN-сервисов:

• Купите подписку на несколько больших и надежных VPN, работающих в России. В случае если один из них временно будет находиться под блокировкой, вы сможете использовать другой. 
• Стоит сразу отказаться от бесплатных и VPN-сервисов, сделанных «на коленке», — они первыми не устоят под натиском новых блокировок.
• Отдавайте предпочтение сервисам, у которых есть собственный сайт, приложения, поддержка по электронной почте. Сервис, который работает только в телеграме, могут заблокировать вместе с мессенджером.
• Если вы используете технику Apple, заведите второй аккаунт Apple в другом регионе — из российского App Store скрыты приложения VPN-сервисов.
• Установите не только собственные приложения VPN-сервисов, но и открытые VPN-клиенты
  для популярных протоколов. 

Записал

Фото на обложке: Sandsun / Shutterstock