Всё началось стандартно — поднял для себя VPS, закинул 3x‑ui, настроил VLESS+Reality. Работало хорошо. Поделился с друзьями, те поделились дальше. В какой‑то момент обнаружил, что уже администрирую инфраструктуру для нескольких десятков пользователей и делаю это руками, без какой‑либо автоматизации. В феврале 2026 оформил это в нормальный сервис с базой данных и Telegram‑ботом.
Ниже — хроника того, с чем пришлось столкнуться за время разработки, что было сделано реактивно, а что превентивно.
Стек и архитектура
Сервис построен на двух независимых бэкендах, работающих с одной БД.
Первый — Telegram-бот (Node.js). Пользователь пишет боту, получает конфиг, импортирует в клиент. Серверная сторона — российские VPS с панелью 3x-ui (XRay, VLESS).
Второй бэкенд (тоже Node.js) — основа для будущего мобильного приложения. Сейчас в нём живёт вся логика подписок, серверов и пользователей. В планах на этой базе запустить приложение для iOS и Android — получаю много фидбека о том что многим пользователям сложно разобраться с установкой приложения самостоятельно и цитата — «хотелось бы одну кнопку нажать и чтобы все работало».
Серверная инфраструктура: 12 машин. 4 входящих (ENTRY) — российские. 8 выходящих (EXIT) — Европа и США.
Вы в зоне «белых списков»
Первая серьёзная проблема пришла ещё до официального запуска сервиса — пока я тестировал инфраструктуру.
Одни пользователи жаловались на то что VPN не работает, у других все было отлично. Как потом выяснилось, (это происходило только с моб. сети) в некоторых городах были проблемы с подключением в зоне «белых списков»: у одних соединение устанавливается, но не грузит ничего, у других сервера не пингуются вообще. Видимо операторы моб. связи по разному блокируют доступ в зонах БС.
Прочитав эту статью решил попробовать цепочку из входящего - выходящего сервера. Клиент подключается к российской ENTRY ноде (внутрироссийский трафик ТСПУ не трогает), та пробрасывает трафик на европейский EXIT. Системы мониторинга видят это как обмен данными между двумя серверами, а не как пользователь ломящийся напрямую в Европу.
Именно поэтому в архитектуре появилось разделение ENTRY/EXIT, как прямой ответ на конкретную технику блокировки.
Поиск «белых» IP: лотерея, которую нельзя выиграть
IP российского ENTRY-сервера в этой схеме должен находиться в так называемом «белом списке» — пуле IP‑адресов, которые ТСПУ пропускает без шейпинга. Проверка простая: поднимаешь веб‑сервер на 443-м порту, открываешь с телефона в зоне белых списков, без VPN. Открылся — адрес рабочий.
На практике нашёл рабочие адреса только у двух провайдеров — Яндекса и ВК. На других российских хостингах найти подходящие IP не удалось вообще.
Что Яндекс, что ВК — те еще конторы… Но выбирать не приходится.
С ВК вообще случилась отдельная история, после которой я бы дал этой конторке статус «гопника»:
В какой-то момент — без предупреждения и уведомлений отвалился один (из четырех) сервак. Зайдя в панель я увидел что у него просто нет IP адреса (Да он был белый и его забрали) и установить новый возможности нет, (так как IP выдан автоматически с машиной, а не куплен, я не могу купить еще один и привязать к этой машине. Кто в теме тот знает). Затем забрали второй, третий и четвертый по такой же схеме. Поддержка отвечала в духе: Ой, а кто это сделал? Мы ничего не знаем… А потом просто вывесили объявление для всех. В итоге на вк у меня осталось только 2 сервера из 4х, как раз те, у которых IP был куплен. Я просто купил новые и заменил. С остальными двумя машинами пришлось распрощаться.
Первое падение бота
В какой-то момент Telegram оказался заблокирован со всех российских IP. И VPS на Timeweb, который до этого не знал проблем внезапно потерял связь с t.me и бот перестал отвечать.
Быстрым решением стал SOCKS5-прокси — накатил, бот поднялся. Но такое решение было нельзя оставлять надолго: скорость ответов бота упала в 2–3 раза, надёжность прокси вызывала вопросы в долгосрочной перспективе. И сталкиваться с этой проблемой еще раз не было желания.
Было принято решение — переезжаем.
Блокировка VPN на российских хостингах: вынужденный переезд
Следующим ударом (от которого я уже начал уворачиваться) стала новость о том, что российские хостинги начали получать предписания ограничивать работу VPN‑сервисов на своих мощностях — прямое следствие пакета поправок «Антифрод 2.0», о котором подробно писали тут. Там же Минцифры открыто потребовало от аккредитованных IT-компаний внедрения модулей, помогающих блокировать персональные VPN-серверы.
Я понимал что решение о переносе бэкенда на европейский сервер было сделано верно и на ближайших выходных после полуночи достал бубен и начал танцевать.
Справился за 2 часа и с довольным видом пошел спать. Технически переезд прошел без потерь, но утром я проснулся от уведомлений и звонков от друзей со словами «Саня, все пропало!!! АОАОААОА»...
Проблема оказалась прозаичной — DNS-записи обновляются до 48 часов, а Happ автоматически обновлял подписку каждый час! У части пользователей в этот период отвалились подписки — клиент продолжал ходить на старый IP, которого уже не было и удалял сервера из подписки. Спустя двое суток у всех все восстановилось.
На заметку: отключайте автообновление подписок если пойдете по этой дорожке))
Вокруг одни агенты
Параллельно с техническими блокировками шёл процесс детекции VPN на уровне приложений.
В марте 2026 исследователь runetfreedom опубликовал разбор мессенджера MAX. Реверс-инжиниринг показал: приложение асинхронно получает внешний IP пользователя сразу через несколько источников (ipify, ifconfig.me, ip.mail.ru, checkip.amazonaws.com — список перемешивается при каждом запуске), одновременно проверяет доступность Telegram, WhatsApp, Google через ping и TCP:443, и отправляет всё это на серверы с полем vpn: 1 если активно VPN-соединение.
Модуль включается удалённо — таргетно для конкретных аккаунтов. Множественные источники IP — специально, чтобы ловить пользователей с split-tunneling, которые не заворачивают российский трафик в туннель.
Чуть позже Минцифры официально разослало методичку с требованием внедрять подобные модули в продукты аккредитованных компаний. То есть MAX был не инициативой ВКонтакте — это де-факто регуляторный стандарт, который распространится на все крупные российские приложения.
Для нашей инфраструктуры это означало следующее: архитектура с единым IP на входе и выходе — идеальная мишень. Если детектор получает выходной IP и блокирует его, сервис падает целиком. Разделённые ENTRY и EXIT здесь оказались правильным решением — детектор получает IP российского ENTRY, который ничего не выдаёт.
Позже фича с детектом VPN появилась почти в каждом российском приложении — я сталкивался с ней в Ozon, hh, ВК, Госуслуги. Все приложения (кроме Госуслуг, хаха) с включенным VPN работать отказывались.
В 3x-ui панели был настроен роутинг — на ру сайты и приложения по geoip и geosite трафик шел с российского ENTRY сервера. Это работало, но не у всех и не всегда стабильно. Плюс IP хоть и российский, но все же это IP от VPS.
Поэтому в дополнение я настроил конфиг для Happ, для раздельной маршрутизации на уровне клиента по geoip и geosite, который рассылкой предложил установить всем юзерам.
Детекция VPN западными сервисами и WARP
Отдельная история — детекция со стороны зарубежных сервисов. Google, OpenAI, Claude, Roblox и многие другие блокируют или замедляют VPN-трафик. Причины у всех свои — антифрод, лицензионные ограничения, геоблокировка. Метод детекции преимущественно один: репутация IP.
Датацентровые адреса — а VPS всегда датацентр — размечены в базах IPinfo, MaxMind и аналогах. Категория datacenter или vpn/proxy автоматически означает повышенное подозрение или прямую блокировку.
Решение, которое сейчас стоит — Cloudflare WARP на EXIT‑серверах. Весь исходящий трафик с EXIT заворачивается в WARP‑туннель и наружу выходит уже с Cloudflare IP.
Cloudflare — CDN‑провайдер с огромной сетью, его адреса не размечены как «VPN IP». Для целевого сервиса это выглядит как корпоративный трафик.
Добавляется лишний хоп и несколько миллисекунд задержки. Зато ChatGPT, Google, Claude работают без капч и блокировок. Даже с задержкой USA сервера работать комфортно.
Вместо заключения
За несколько месяцев работы сервис пережил: смену архитектуры из‑за новой тактики ТСПУ, потерю «белых» IP у провайдера без предупреждения, вынужденный переезд российских нод с частичным падением подписок, появление обязательных шпионских модулей в российских приложениях и публичную уязвимость в самих VPN‑клиентах.
Проект из формата «для себя» перерос в большую партию в шахматы с РКН и другими игроками рынка. Каждый новый вызов только увеличивает интерес!
Будем надеяться, что все игроки будут ходить по правилам. Хотя опыт последних месяцев показывает, что правила здесь меняются прямо во время партии.
Комментарии (26)
AnotherProger
28.05.2026 19:36На timeweb размещать ВПН сервис изначально, это вы конечно хех)
Dobr
28.05.2026 19:36Кому что попадется. У меня вот относительно хорошо всё с ней работает. Бывают проблемки конечно, но потом как-то само начинает работать. Надеюсь и дальше так будет. Решение конечно не публичное, а сугубо индивидуальное.
yarkovoy
28.05.2026 19:36у меня есть впн на одном из Российских хостингов с 2022 года. Все отлично работает до сих пор. Недавно по такой же схеме, там же, хотел сделать знакомым. Все. Уже не пашет. Явно определяет РКН.
PickaPickaMan
28.05.2026 19:36Ой я с них съехал еще пару лет назад, когда мне сервак дропнули из-за автоматической абузы. Держать там коммерческий впн это вообще смертельный номер
sssuckmyblood
28.05.2026 19:36А как вы оплату принимаете если не секрет? Прост перевод по сбп? В моем понимании автоматизация через бота требует перехода на прием платежей норм способом и легализации получается
MiracleUsr
28.05.2026 19:36С легализацией все непросто, потому что по российским законам запрещена реклама сервисов обхода блокировок, а под «рекламу» можно подтянуть все что угодно. Легализуете прием платежей - автоматически подписываетесь под «да, это вот сделал я».
AVikont
28.05.2026 19:36Сколько же инженерочасов с каждой из сторой уходит на эту мышиную возню. Трудовые ресурсы населения просто сжигаются впустую, как электричество для майнинга.
ruslooob2
28.05.2026 19:36А я считаю, что государство все правильно делает! Ишь, инженеры, расслабились. А так мотивация улетела в небеса, компьютерные сети учат, иностранные языки, путишествуют. А вы думаете откуда у нас сильнейшие инженеры? Вот то-то же!
Работникам РКН я бы памятник поставил и публично наградил бы. Они, безусловно,выполняют сложнейшую и важнейшую работу во имя нашей Родины.
Razoon
28.05.2026 19:36Работникам РКН я бы памятник поставил и публично наградил бы.
Разве что посмертно и наградой в виде страпона в интимном месте.
PickaPickaMan
28.05.2026 19:36Эволюция сетей называется, сначала кто-то строит забор, потом кто-то придумывает лестницу повыше)
Just_Vasya
28.05.2026 19:36Всё так, но автор зря надеется, "что все игроки будут ходить по правилам". Игра в шахматы здесь только в том, что касается технических аспектов, а в остальном - бои без правил. Если человек находится в России и продаёт VPN, он должен знать, что рискует и понимать степень риска. Когда его поймают, то в самом лучшем случае оштрафуют на 50-80 тыс. рублей. Велика вероятность, что порку решат сделать показательной и тогда как минимум привлекут за незаконную предпринимательскую деятельность (от административки до уголовки в зависимости от масштаба) и неуплату налогов. Могут найти и ещё что-нибудь. "Был бы человек, а статья найдётся."
Как найдут? Например, через российские VPS. Платит за них человек не наличными, а у безналичных переводов остаются следы. Можно посмотреть, с каких IP ведётся управление серверами или клиент расскажет по "классного парня", который недорого VPNы продаёт.
Делать VPN для себя и делать на этом бизнес - два совсем разных "дела".
valera_efremov
28.05.2026 19:36А могут и пришить торговлю наркотиками, мошенничество. Скажут "с ip серверов принадлежащих вам были совершены преступления". Такие случаи уже были.
MetallDoctor
28.05.2026 19:36Интересно. Наверняка прилетающие беспилотники могут использовать такую схему для управления.
Вот уж не думал, что получаемый кем-угодно адрес может оказаться в белом списке просто потому, что он взят у правильного облачного провайдера…
YMA
28.05.2026 19:36Это наша традиция, строгость декларируемых мер обесценивается их разгильдяйской реализацией.
https://www.anekdot.ru/id/-10086827/ (2000 год, но сам анекдот гораздо старше)
Стоят американец и русский у ворот ада.
Привратник у них спрашивает:"В какой ад пойдете, в русский или американский?"
А те у него спрашивают:"А какая между ними разница?"
Он им отвечает:"Ну в американском каждый день надо съедать по ведру говна,а в русском - по два."
Американец говорит:"Я тогда, конечно, пойду в американский."
А русский говорит:"Я всю жизнь прожил в России, зачем я буду что-то менять,пойду в русский."
Встречаются через месяц русский спрашивает у американца, как ему живется в американском аду.
Тот отвечает:"О, очень хорошо, с утра съел ведро говна, и весь день свободен."
А русский отвечает:"А у нас как было всю жизнь, так и осталось: то ведер всем не хватило, то говно не подвезли."
Сколько было заявлений про кирдык телеграму, про борьбу с VPN?
В итоге телеграм как работал, так и работает. РКН - халтурщики. ;) И когда адрес из белых списков может получить любой желающий - это позорище ;)))
MetallDoctor
28.05.2026 19:36РКН - халтурщики.
Знаете, а у меня к вам предложение. Давайте проведём мысленный эксперимент. Он достаточно сложный и для многих невыполнимый, но всё же. Есть у меня привычка примерять чужую точку зрения, предлагаю попробовать заняться тем же.
И самое сложное (да, то самое, невыполнимое для отдельных людей) — это отбрсить свои политические предрассудки. Не начинать «а вот у нас …, а вот у них …» и прочее, а просто вынести это за скобки. Представьте, что вы на другой планете, на ней десятки стран со сложными отношениями (не просто поделены на две – три зоны влияния, а у каждой страны свой уникальный набор союзников, неприятелей, и разного рода нейтральных контрагентов). У всех государств есть свои законы, они очень похожи, но с нюансами и внутренние законы каждой страны и их соблюдение — это её проблемы. А ещё на этом глобусе есть Интернет, технически точно такой же, как у нас.
И вот есть на этой планете страна, скажем, «Точнонероссия». Можете нарисовать её какой угодно: демократичной, со сменяемой властью, гейпарадами (или наоборот, это не важно) и любыми другими аттрибутами. Важно, чтобы лично вам она понравилась, ну и чтобы была жизнеспособной, без сказок, наполненных возвышенными эльфами, верхом на розовых пони. Чтобы и куча нормальных граждан и бандиты и ЛОМы с прайсом и далее, включая наркоманов, дебилов и идейных террористов.
И да, важно, что Точнонероссии на том глобусе МОЖНО. Я часто слышу, что Россия на этом глобусе не имеет права отстаивать свои интересы, но это не про Точнонероссию, ей МОЖНО отстаивать свои интересы. Не знаю, как некоторые определяют, кто на что имеет моральное право, но вижу это мнение слишком часто, чтобы явно не попросить вас его отбросить.
Итак, вы управляете (на уровне единоличного принятия решений, остальные сотрудники — технические исполнители и консультанты) ведомством ТКН, ТочКомНадзор, который занимается регулированием Интернетов.
Однажды приходит к вам Самый Главный (должность и образ — придумайте сами или выберите своего самого любимого политика или околополитика в мировой истории) и говорит, что-то в духе «я хочу, чтобы в Интернете на территории нашей благословенной страны действовали наши благословенные законы». Вроде как, желание оправданное и абсолютно справедливое. Но вот только Интернет трансграничен и соседей по шарику далеко не всегда интересует, что вы считаете законным (а некоторым ваша страна вообще не нравится и они гадят как могут, в том числе науськивая в вашей стране ваших же граждан против власти, чтобы вызвать нестабильность), да и свои граждане далеко не все и всегда согласны с действием властей по самым разным причинам и могут действовать самостоятельно, включая прямое или косвенное протовостояние и разного рода саботаж ваших действий.
Вводная получилась большой, но и тема непростая. Вот попробуйте подумать, что бы вы в этих условиях делали. Только помните: заграница вам не поможет, в вашем поражении заинтересованы конкуренты с огромными капиталом и техническим потенциалом. Просто «сделать» недостаточно, будут новые витки и надо к ним быть готовыми.
Mixael_sas
28.05.2026 19:36Для соблюдения условий в ТочноНеРоссии должны быть точно благословенные законы, учитывающие устройство интернета и последствия его блокирования на экономику
MetallDoctor
28.05.2026 19:36Сами решайте, это полностью на ваше усмотрение, если вы сможете, то пожалуйста.
Mixael_sas
28.05.2026 19:36Я смысл вашего комментария понял, вы мой — нет. В этом и суть нынешних проблем с интернетом.
PickaPickaMan
28.05.2026 19:36Делать впн для друзей всегда заканчивается второй неоплачиваемой работой. Лучше сразу автоматизировать выдачу конфигов, пока они не привели своих бабушек и собак
EvgeniyNuAfanasievich
28.05.2026 19:36Автор привет. Сделал нечто такое же как у тебя в плане логики.не в плане обвязки из сервисов и ботов в ТГ. Мне это пока и не требуется. Началось у меня все с обычного mproto на ру-vps который работал в самом начале бычки на ТГ примерно месяц и потом начались перетурбации. В результате переросло в vpn а прокси о двух ногах уже просто бонус к нему и по сути для галочки живёт, т.к. даже самому приятно юзать свой же продукт.
Я тоже попадал на некоторые грабли которые были описаны а на некоторые нет, потому что примерно представлял следующий удар со стороны ркн и делал сразу в обход. Теперь собственно сами вопросы:
Хотя я сделал простейший конфиг для happ на Айфоне он упирается в 50мб ограничения чего-то там на тоннель. Т.к. у меня нету Айфона затрудняюсь от тестировать. Может быть есть рецепт у вас?
Далее по белым спискам замечал что например у меня на моей старой симке йота бывает их два состояния: 1. Это вот как у всех когда работают ВПН через
белоленточныебелосписочные IP открываются сайты из белых списков типа Яндекса и озона и все норм. 2. Когда это все не помогает и даже пинги не ходят до хостов VPS, но сайты открываются по прежнему. Но vpn поднять нельзя. И вот это совсем швах, потому что по сути у меня в рандомный момент получается что исчезает резервный канал связи для работы и в случае, если ещё упадёт основной, я сильно подпрыгиваю. Случай такой уже однажды был. Вопрос как быть? Неужто только покупка свежих список и т.п. временные меры.Ну и последний вопрос. Слышал от коллег что скоро всем адреса из белых списков вычеркнут, т.е. нельзя будет купит или арендовать такой vps который бы имел IP адрес в белых списках. Вопрос а что делать тогда?
Nick0las
28.05.2026 19:36Я пару раз ловил ситуацию когда отпадают почти все ВПН, остается только Амнезия WG2 на мобилке (в десктопном клиенте там баг какой-то есть, и на него заведена issue). Причем падает таже xray до сервера в МСК. При этом гугл и другие сайты открываются. Я не проверил, работают ли при этом пуши в гит по SSH и видео на стримингах, потому что для меня именно падение впн критично. Но такая ситуация дважды наступала и дважды откатывалсь назад, географически сильно восточнее Урала. я не знаю, что это было.
savostin
Не совсем понял про warp - разве его можно как exit node использовать?Пардон перепутал с zero trust
PickaPickaMan
Бывает, у клаудфлера сейчас столько сервисов что черт ногу сломит