惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

WordPress大学
WordPress大学
The Register - Security
The Register - Security
Hugging Face - Blog
Hugging Face - Blog
博客园 - 聂微东
GbyAI
GbyAI
Recent Commits to openclaw:main
Recent Commits to openclaw:main
博客园_首页
D
Docker
S
Security @ Cisco Blogs
K
Kaspersky official blog
爱范儿
爱范儿
Simon Willison's Weblog
Simon Willison's Weblog
TaoSecurity Blog
TaoSecurity Blog
V
V2EX
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
Troy Hunt's Blog
Cloudbric
Cloudbric
博客园 - 三生石上(FineUI控件)
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
The Hacker News
The Hacker News
美团技术团队
S
SegmentFault 最新的问题
L
Lohrmann on Cybersecurity
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
宝玉的分享
宝玉的分享
The Last Watchdog
The Last Watchdog
Y
Y Combinator Blog
M
MIT News - Artificial intelligence
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Martin Fowler
Martin Fowler
Google Online Security Blog
Google Online Security Blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
C
Cybersecurity and Infrastructure Security Agency CISA
T
Tor Project blog
Vercel News
Vercel News
The Cloudflare Blog
G
Google Developers Blog
T
Threat Research - Cisco Blogs
AI
AI
Stack Overflow Blog
Stack Overflow Blog
I
InfoQ
Scott Helme
Scott Helme
S
Schneier on Security
大猫的无限游戏
大猫的无限游戏
The GitHub Blog
The GitHub Blog
S
Securelist
IT之家
IT之家
Microsoft Azure Blog
Microsoft Azure Blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Месяц, который Telegram пережил в России: от Бони до 14 мая
Ilya519 · 2026-05-14 · via Все публикации подряд на Хабре

Уровень сложностиСредний

Время на прочтение14 мин

Охват и читатели17K

Аналитика

В нашей свежей истории есть события большие, от которых люди ведут отсчёт. Например СВО. Когда мы берём точку во времени и рассуждаем, что изменилось после.

А есть события малые. Квартирный эффект Долиной. Видео-обращение Виктории Бони от 13 апреля (тот самый рилс). Я не фанат «Дома-2» и не считаю себя ценителем её творчества, если такое в принципе бывает. Но трудно не признать: когда заведомо аполитичный человек выходит и начинает говорить о наболевшем общественном — это срез момента. Тот самый сигнал «что-то всё-таки сдвинулось», который не зафиксируешь никакими OONI-графиками.

13 апреля. Бонячный момент. Telegram уже почти неделю не открывается у большинства россиян без VPN. Дуров за пару дней до этого выкатил обновление протокола.

Прошёл ровно месяц. 14 мая.

Вопрос простой: воз и ныне там — или со дна постучали?

Мониторим

Мониторим

В этой статье — что реально изменилось за этот месяц. Что Дуров успел сделать, что сделала наша старая знакомая MTProxy (спойлер: как массовая утилита — почти умерла), какие VPN на сегодня вообще имеет смысл рассматривать, а какие — нет. Шесть моих собеседников из разных регионов России рассказали, как это выглядит у них прямо сейчас. И в конце — практическая мысль про то, как разработчику понять, доступен ли его сервис в России на самом деле, когда у пользователя «не работает», а у вас «всё работает».

О чём статья:

  1. Что показывают цифры на 14 мая

  2. Что говорят живые люди — диалоги из шести регионов

  3. Что Дуров сделал за месяц — и насколько это помогло

  4. Что больше не помогает: MTProxy в 2026-м

  5. VPN: что работает, что нет — конкретно для Telegram

  6. А как вообще понимать, что работает, а что нет

  7. Резюме


Что показывают цифры на 14 мая

Если коротко — Telegram заблокирован. Если развёрнуто:

  • 10 февраля — Роскомнадзор официально подтверждает «замедление» Telegram. Звонки в нём режутся ещё с августа 2025.

  • 1 апреля — массово «отваливаются» MTProxy-серверы у пользователей по всей стране. ТСПУ выкатил новое правило.

  • 3 апреля — ложатся IT-системы Сбера, ВТБ, Альфа-банка, Т-банка и СБП ЦБ — побочный ущерб от попыток дожать блокировку.

  • 4 апреля — Дуров публикует обращение «Добро пожаловать в Цифровое сопротивление, мои русские братья и сёстры».

  • 10 апреля — пик. По OONI (Open Observatory of Network Interference — открытый проект The Tor Project, который замеряет интернет-цензуру сетевыми пробами с реальных устройств) и detector404 — 95% соединений с Telegram не проходят без VPN. Абсолютный максимум за всю историю наблюдений.

  • 11–12 апреля — Telegram катит обновление протокола, Дуров публично объявляет об этом.

  • 16–17 апреля — у части Premium-пользователей на Android Telegram впервые заработал без VPN: встроенный обход, разлитый Telegram-командой ещё в апдейте 5 апреля, статистически «зажёгся» именно в эту ночь.

  • 23 и 25 апреля — Дуров под псевдонимом «Дурикович» выпускает ИИ-шансон «Свой Живой Интернет», а через два дня — военный марш «Эх, ВПНы верные» с «имперской» версией и флагом Российской империи. Жанровая ирония высокого уровня.

  • 28 апреля — Apple удаляет из российского App Store приложение TrustTunnel (открытый VPN-клиент от AdGuard) по требованию РКН. Десятки других VPN-приложений уходят следом.

  • 7 мая — Дуров анонсирует «масштабное обновление»: 10 новых важных функций и 200+ улучшений, ИИ-боты, «самый масштабный редизайн» Android.

  • 12 мая — пользователи массово жалуются на медленную загрузку медиа, нестабильную отправку. Без VPN — практически ничего. С VPN — мигает, но живёт.

Итог на 14 мая: без VPN мессенджер у большинства не работает. Пик OONI — 95% аномалий 10 апреля, и по жалобам и собеседникам ниже она с тех пор не опускалась. Дневная аудитория в РФ, по оценке Дурова, всё ещё 65 миллионов — массового исхода нет, есть массовый переход на обходные средства. Воз именно там, где был месяц назад: на дне.


Что говорят живые люди

Это всё статистика. Гораздо интереснее, как это выглядит у конкретного человека, который утром на проводном МТС спокойно открывает чаты, а вечером на мобильном Билайне не видит ничего, кроме превью пушей. Я опросил коллег и знакомых в шести регионах. Орфография и пунктуация почищены, смысл — их.

Рязань. «Бывалый»

— MTProto-прокси помогают на текущий момент? — Нет. — А что помогает? — VPN. Реально обфусцированный. Ан*льно*.

Опечатка авторская, шутка получилась лучше оригинала («Бывалый» — псевдоним, настоящий хендл собеседник попросил не светить). На всякий случай разверну термин: обфускация (от англ. obfuscate — «запутывать») — маскировка VPN-трафика под обычный безобидный поток (чаще всего HTTPS к настоящему сайту), чтобы DPI вроде ТСПУ не распознал его как туннель. К конкретным реализациям — Reality, XHTTP, Fake TLS — вернёмся ниже. Дальше Бывалый описывает свою схему:

Знаешь, как я делаю? EC2 на Яндексе, на нём iptables NAT в виртуалку с VPN. Всё реально обфусцировано. Второй вариант — тупо в РБ арендовать VPS и сделать то же самое: РФ → РБ → VPN. У белорусов и каналы толстые, и не блочат ничего. У РФ к РБ тоже вопросов мало.

То есть виртуалка в Яндекс.Облаке внутри РФ (Бывалый называет её «EC2» по привычке AWS-сленга) → iptables-NAT перенаправляет трафик в другую виртуалку с VPN-клиентом → дальше за границу. Снаружи для ТСПУ это выглядит как обычное соединение к Яндексу, внутри — туннель. Запасной вариант — VPS в Беларуси: цензурного давления между РФ и РБ почти нет.

Свежий термин «обфускация» Бывалый объясняет своими словами:

С виду всё идёт на apple.com или ещё куда. Но внутри есть доп. ключи — если их дешифровать, там окажутся ключи от VPN, а на VPN-сервере уже дешифратор. То есть РКН сразу попадает на apple.com.

Это и есть Reality своими словами: ТСПУ-зонд стучится на ваш сервер, сервер отдаёт ему настоящий apple.com с настоящим сертификатом, придраться не к чему.

Свердловская область. Voron

— Без VPN не работает вообще. С VPN полностью работает. — С мобильного и с домашнего — главное VPN, и все функции, голосовые, видео доступны? — Ага.

Санкт-Петербург. Alexey

Без VPN нельзя. С VPN или прокси всё ок. Разницы между мобильным и домашним нет.

Иваново. Alex Pu

Самый интересный кейс из всех.

Без VPN нельзя. Никак не работают сообщения без VPN. Звонки не работают даже с VPN (аудио, видео), когда звоню я. Но мне некоторые люди звонят, и можно общаться с VPN. Разницы [между мобильным и домашним] нет.

Это та история, про которую подробно расскажу ниже, в разделе про звонки: для звонка нужен рабочий обход у обоих собеседников, а асимметрия «звонят — работает, сам звоню — нет» — это про сигнализацию и push-уведомления.

Омск. Odin Shukhart

— Можно ли пользоваться Telegram без VPN? — Нельзя. — Работают сообщения, голосовые, звонки? — Работают, не работают. — Разница между мобильным и домашним? — Нету.

Москва. Julia

Отдельный сценарий — у неё дома развёрнута private network.

У нас private network дома — всё работает. На улице приходят сообщения, видишь превью, но открыть и ответить невозможно без VPN.

Что вырисовывается

Без VPN — пуши приходят, превью видно, но открыть, ответить, послушать голосовое, позвонить нельзя. С нормальным VPN — работает практически всё. Разницы между домашним интернетом и мобильным большинство опрошенных не замечает, хотя по другим источникам она есть — на мобильном MTProxy умирает за минуты, а на проводном живёт сутками. Звонки — особый случай: с одной стороны не дозвониться, с другой — могут позвонить тебе. И, главное, MTProxy сам по себе уже не панацея — это словами Бывалого из Рязани, который держит свои инстансы.


Что Дуров сделал за месяц — и насколько это помогло

Месяц был самым насыщенным анти-цензурным месяцем для команды Telegram со времён первой блокировки 2018 года.

Обновление протокола 11–12 апреля

Главное событие месяца, и оно было быстрее, чем многие ожидали. По OONI:

  • 9 апреля (за сутки до пика) — 79% аномалий.

  • 10 апреля (пик блокировки) — 95% аномалий, доступность без VPN падает до 5%.

  • 11 апреля — Telegram выкатывает обновление протокола. Команда уложилась примерно в сутки после блэкаута.

Тут есть нюанс: «обновление 11 апреля» — это веха, обозначенная задним числом, а не одна выкатка. Команда катила фиксы всю предыдущую неделю: Desktop 6.7.2 ушёл в релиз 3 апреля, Android 12.6.4 (6666) — 7 апреля, iOS 12.6.2 (32737) — 8 апреля. Дуров публично остановил часы 11 числа, когда было что заявить, и совпало с пиком блокировки 10-го — коммуникационно безупречно.

Что именно поменялось технически, сообщество разобрало в показательной статье «Telegram обошёл блокировку РКН» — нет, не Telegram на Хабре. Если коротко: встроенный Fake TLS в Telegram-клиенте давно содержал баг в encrypted_client_hello — расширение генерировалось с нетипичным ID и неправильной длиной, и ClientHello получал характерный паттерн, который российские фильтры легко матчили (даже прокси под sberbank.ru начинали падать). Баг закрыл в первую очередь не Telegram, а сообщество — через Pull Request с тестами на живых российских сетях, и только потом фикс ушёл в официальные сборки. Параллельно ClientHello подкрутили под Chrome/Safari и добавили новые механизмы маршрутизации.

То есть «обновление протокола» — это закрытие конкретного давнего бага плюс косметические правки фингерпринта. И первой это сделала open-source-сторона. Дуров публично закрепил результат собой — нормальная коммуникация, но инженерия принадлежит сообществу. Параллельно он дал три практические рекомендации россиянам: запастись несколькими VPN сразу (не одним), помочь семье и друзьям сделать то же и не запускать российские приложения параллельно с VPN — по его словам, они могут «сообщить о VPN властям».

Premium-обфускация 17 апреля

По сути встроенный в Telegram VPN — но не для всех. Технически Premium-клиент автоматически подключается через встроенный в Telegram MTProto-прокси, который сложнее отследить и заблокировать, потому что он не публичный и не лежит в открытых каталогах. Видимый артефакт — в настройках аккаунта страна меняется с России на Нидерланды или США.

Хронологически фича разлита в Android-обновлении 5 апреля, но «зажглась» статистически у части пользователей только в ночь на 17 апреля. Профильное медиа «Код Дурова» первым задокументировало паттерн активации: Android + активный Premium + последняя сборка + 7–8 перезапусков приложения подряд. Семь перезагрузок — не нормальный UX-флоу, это типичный признак хрупкого A/B-роллаута. Кому не повезло: iPhone, десктоп и Android без Premium — на бесплатном аккаунте даже на Android контакты и медиа без внешних инструментов не подгружаются. То есть Premium тут — буквально единственный гейт.

Стабильность — отдельная история. Глава «Общества защиты интернета» Михаил Климарев собрал около 30 пользовательских отчётов и к 21 апреля сделал жёсткий вывод: у двух третей пользователей фича отработала несколько часов или до следующего дня — и отвалилась. У трети Premium-Android-пользователей обход вообще ни разу не активировался. Плюс важная оговорка: поверх работающего Premium-обхода нельзя включать VPN — из-за конфликта туннелирования Telegram перестаёт открываться. И Premium не заменяет VPN — он работает только когда сам Telegram у вашего оператора в принципе пропускается. Это инженерная подпорка, а не волшебная таблетка.

К 14 мая статус неутешительный: по тематическим обзорам встроенные механизмы обхода стали непредсказуемыми, и бизнесы больше не могут полагаться на них как на основной рабочий инструмент.

Риторика

Параллельно с инженерией Дуров строит культурный код. 4 апреля — обращение «Добро пожаловать в Цифровое сопротивление, мои русские братья и сёстры» с цифрами «65 миллионов россиян ежедневно используют Telegram через VPN, более 50 миллионов отправляют сообщения каждый день» и сравнением с Ираном. 23 и 25 апреля — два ИИ-трека под псевдонимом «Дурикович»: шансон «Свой Живой Интернет» и военный марш «Эх, ВПНы верные», которому Дуров сопроводил подписью «Пора признать, что мой любимый жанр — военные марши». 7 мая — мега-апдейт Telegram: 10 фич, 200+ улучшений, ИИ-боты. Месседж простой — Telegram не торгуется и не пытается договориться, он движется. Использование VPN при таком фрейминге становится почти гражданской позицией.

Насколько помогло — честный счёт

Без VPN на уровне населения качественно ничего не поменялось: 95% запросов как падали 10 апреля, так и падают. У обновлённых клиентов с VPN стабильность заметно выросла — это подтверждает и Meduza 10 апреля. У Premium на Android короткий период с 17 апреля Telegram работал без внешнего VPN, но к 21 апреля эксперты называют это «не работает стабильно».

Дуров не победил блокировку, блокировка не победила Telegram. Это гонка вооружений, а не победа. 65 миллионов человек ежедневно сидят в мессенджере через обходные средства — новый бытовой режим.


Что больше не помогает: MTProxy в 2026-м

С грустью отмечу, что партизанская методика, о которой я писал раньше, за этот год сильно постарела. Не умерла окончательно, но в роли «поднял за пять минут, и Telegram работает» — уже нет.

Что случилось технически

В первые дни апреля ТСПУ научился отличать Fake-TLS-MTProxy от настоящего браузера по характеристикам расширения ECH, порядку cipher suites в TLS ClientHello и JA3/JA4-фингерпринту. Главный концептуальный сдвиг — DPI перестал смотреть на серверы и начал смотреть на клиента.

Цифры за окно 13 апреля — 14 мая

  • Стабильно держатся менее 20% MTProxy-серверов из публичных каталогов.

  • Публичные прокси живут 2–3 часа, иногда меньше.

  • На 12 мая каталог mtproto.run находит 4 рабочих прокси из 3 стран — это не опечатка.

  • На мобильных операторах MTProxy в большинстве регионов больше не работает, на iOS отваливается через минуту-две, старый формат dd-секретов мёртв полностью.

Бывалый из Рязани, держащий свой инстанс, на прямой вопрос «MTProto-прокси помогают?» отвечает коротко: «нет».

Безопасность публичных прокси

Сообщения оператор не видит — трафик шифруется ключами Telegram. Но видит ваш IP, время, частоту использования и к каким Telegram-серверам идут коннекты. По разборам SecurityLab, у владельца публичного прокси за полгода собирается база IP + геолокация + поведение тысяч пользователей — и эти базы уходят на серый рынок.

Плюс отдельная уязвимость. В январе 2026 исследователи GangExposed RU и 0x6rss опубликовали механику деанонимизации через прокси-ссылки в Telegram-клиенте на Android и iOS: при клике на tg://proxy (или замаскированную t.me/proxy?server=...) приложение автоматически проверяет доступность прокси, отправляя запрос напрямую с устройства — до подключения через туннель и в обход VPN. Один клик по подсунутой ссылке — и реальный IP у атакующего. Telegram признал проблему и обещал добавить предупреждение, но CVE не присвоил.

Красный флаг помельче: если «прокси» предлагают скачать APK — это малварь. MTProxy работает прямо в Telegram, скачивать ничего не надо. Свежий пример — клон ru.dahl.messenger («Телега»), воровавший сессии Telegram и SMS-коды; Apple удалила его 9 апреля.

Что ещё работает

MTProxy всё ещё имеет смысл в нескольких узких сценариях:

  1. Свой MTProxy с современным ee-секретом (Fake TLS) на 443 порту, с настоящим SNI популярного домена, на собственной VPS, с ротацией секрета.

  2. На фиксированном (домашнем) интернете — держится. ТСПУ у фикс-провайдеров пока менее агрессивный, чем у мобильных.

  3. Связка MTProto-панель + VLESS+Reality — самый умный вариант 2026 года. Клиент видит обычную tg://proxy-ссылку, но за кулисами сервер-нода в РФ заворачивает трафик в VLESS+Reality к зарубежному серверу. Снаружи MTProxy, внутри обфусцированный VPN. На Хабре есть пошаговая инструкция. Это и есть формализация схемы Бывалого, и неожиданный плюс — российская «фронтовая» нода: в 2026-м ТСПУ давит трансграничный трафик заметно сильнее внутреннего.

Так рекомендую или нет

  • Публичные/бесплатные MTProxy — не рекомендую. Безопасность сомнительная, время жизни — часы, утечка IP при клике на ссылку.

  • Свой одиночный MTProxy с ee-секретом — резерв на домашнем интернете.

  • Связка MTProto-панель + VLESS+Reality — рекомендую как продвинутый сценарий, особенно если нужно дать ссылку родственникам, которые не готовы ставить VPN-клиент.

  • Как основной канал — MTProxy сам по себе не подходит. Основной канал — VPN с обфускацией.

Meduza к концу нашего окна формулирует ту же позицию: «MTProto-прокси удобен, когда нужен именно Telegram. VPN полезен, когда Telegram — часть задачи».

Что использовать

Что использовать

VPN: что работает, что нет — конкретно для Telegram

Главное правило 2026 года: в России работает не «VPN вообще», а «VPN, который умеет выглядеть как обычный HTTPS». ТСПУ с декабря 2025 фильтрует по поведенческим характеристикам, а не по IP. Нестандартный порт больше не спасает. Спасает обфускация — то есть маскировка собственного трафика под что-то безобидное. Спасибо Бывалому за идеальное определение «всё ан*льно обфусцировано».

Что не работает

  • OpenVPN — режется ТСПУ за секунды по характерному TLS-фингерпринту хендшейка; даже obfsproxy-обёртка и TCP-443 к 2026 часто детектятся. Исключение — корпоративные серверы, чьи IP внесены в белый список РКН.

  • WireGuard «голый» — детект почти 100% по характерному handshake’у (initial-пакет начинается с фиксированного 0x01 + sender-index) и предсказуемым размерам/интервалам UDP-пакетов. Спасает только обфусцированный форк (AmneziaWG 2.0, см. ниже) или whitelist РКН.

  • L2TP — режется ТСПУ по поведенческим признакам (попал в перечень РКН в декабре 2025); корпоративные VPN на L2TP из России в основном не работают, исключение — серверы, чьи IP компания заранее внесла в «белый список» Роскомнадзора через ЦМУ ССОП.

  • IPSec — детектится и режется прямо.

  • IKEv2 — формально жив, но успешных коннектов ~5%; на практике бесполезен.

  • Shadowsocks/Outline — старый формат под прямой блокировкой давно; новый Shadowsocks с AEAD-шифрованием держался у части провайдеров, но в конце апреля — начале мая 2026 РКН начал блокировать и полностью зашифрованные протоколы (включая VMess и Shadowsocks/Outline целиком). Конкретно сайт Outline РКН официально внёс в реестр 24 апреля 2026 — это эскалация прямо в нашем окне.

  • VLESS без обфусцированного транспорта (чистый VLESS + TLS / TCP) — большая волна 17 февраля 2026 убрала это в категорию «нестабильно». ТСПУ режет по TLS-фингерпринту (JA3/JA4), косвенным признакам (несовпадение SNI и IP, нетипичные паттерны) и «замораживанию» соединения после ~15–20 КБ. Спасают обфусцированные транспорты — Reality, XHTTP, gRPC, WebSocket (см. ниже).

  • Cloudflare WARP — трафик к Telegram дропается на московских серверах Cloudflare (тред на Cloudflare Community с пометкой URGENT).

  • Любые бесплатные VPN из App Store / Play Store. По исследованию CSIRO — 38% бесплатных Android-VPN содержат малварь, 88% допускают утечки данных, 71% передаёт данные третьим лицам. РКН ограничил доступ к 439 VPN-сервисам к январю 2026, к 469 — к концу февраля, и к началу мая список перевалил за 1000.

Что работает

  • VLESS + Reality — де-факто стандарт обхода. Reality перенаправляет «лишние» запросы на реальный сайт (то самое «РКН попадает на жпл ком»), DPI видит легитимный TLS к настоящему серверу.

  • VLESS + XHTTP / gRPC / WebSocket — транспорты поверх HTTP/2 или HTTP/3, после февральских волн держатся крепче чистого Reality.

  • Hysteria2 и TUIC — UDP/QUIC с обфускацией, особенно хороши для звонков.

  • AmneziaWG 2.0 — форк WireGuard с обфускацией под ТСПУ; в конце марта 2026 вышла более устойчивая версия.

  • Trojan + TLS, NaiveProxy, CDN-фронтинг — рабочие альтернативы, объединённые тем же принципом обфускации под обычный HTTPS.

Звонки в Telegram — отдельный случай

Звонки идут по UDP, и тут половина VPN бесполезна. Главное:

  • Рабочий обход нужен у обоих собеседников. Звонок требует, чтобы Telegram-сигнализация прошла в обе стороны; если у одного канал «спотыкается» именно на UDP, звонок не пройдёт, даже когда текст и пуши идут. Отсюда асимметрия Alex Pu из Иваново: «когда звоню я — не работает, когда звонят мне — работает». Простое объяснение: инициация исходящего нагружает обход сильнее, чем приём входящего по push-уведомлению.

  • Лучше всего держат звонки Hysteria2, TUIC, AmneziaWG 2.0.

  • На Android в Telegram есть малоизвестный тумблер Force TCP — живёт в скрытом debug-меню, которое открывается серией быстрых тапов по номеру версии в настройках. Переводит звонки с UDP на TCP и иногда оживляет их даже без VPN. Для эффекта включать нужно у обоих собеседников.

Платные сервисы — короткий разбор

  • AmneziaVPN — open-source, лучший «коробочный» выбор под Россию (поддерживает связку с XRay Reality и AmneziaWG 2.0).

  • ProtonVPN со Stealth — Stealth маскирует под HTTPS; «из коробки» может не пойти, нужно подбирать рабочие серверы и тыкать переподключение, но в среднем один из самых живучих вариантов.

  • AdGuard VPN с TrustTunnel — Android и Desktop работают. На iOS open-source-клиент TrustTunnel ушёл из российского App Store 28 апреля и ставится теперь только через зарубежный Apple ID; основное приложение AdGuard VPN при этом продолжает работать.

  • NordVPN, ExpressVPN, Surfshark — приложения удалены из российских сторов ещё в 2021. Иногда какие-то серверы пробивают ТСПУ, но как первый выбор в РФ-2026 не рекомендую.

Свой VPS — самое надёжное

Если задача важна на дольше, чем «продержаться неделю», лучшая модель — свой VPS у нероссийского хостера за 200–400 ₽/мес + 3X-UI поверх. На один сервер — VLESS+XHTTP плюс Hysteria2 плюс резервный MTProxy с ee-секретом на 443-м порту. Клиенты — Hiddify-Next, v2rayNG, Streisand.

Можно пойти схемой Бывалого — внутренний хостер плюс NAT-перенаправление в VPN-виртуалку. С точки зрения ТСПУ это легитимный внутрироссийский трафик, и стабильность выше, чем у голого зарубежного коннекта.

И не забывайте про split tunneling. С апреля в РФ это уже скоординированная регуляторная кампания: Минцифры разослал IT-компаниям методичку по детекции, и с 1 мая 2026 платформы из «белых списков» обязаны либо резать VPN-юзеров, либо вылетать из списка. Госуслуги, Сбер, Ozon, Wildberries, Яндекс-сервисы и крупные банки уже официально режут пользователей с активным VPN; по исследованию RKS Global (первый замер — 22 из 30, повторный к концу апреля — все 30 из 30) популярные российские Android-приложения детектят VPN прямо на устройстве.

Поэтому сидеть 24/7 на полном туннеле в РФ неудобно — заворачивайте в VPN только Telegram и пару нужных доменов, остальное пускайте напрямую.


А как вообще понимать, что работает, а что нет

ТСПУ — не один рубильник в Москве. Это набор фильтров, которые катятся по операторам, регионам и часовым поясам отдельно. Один и тот же VPN-сервер прямо сейчас работает в Перми и не работает в Самаре. Через час ситуация переворачивается.

Если вы делаете сервис под российскую аудиторию, это означает простую и неприятную вещь: «открыл свой сайт из своей VPN — работает» — больше не доказательство. Один пинг из Москвы ничего не скажет про пользователя в Краснодаре на МТС, и три пинга из трёх городов тоже мало что объяснят, если они все случились до того, как оператор накатил очередное правило.

Эту боль я решал для себя в pingzen.dev — проверка доступности ресурса с разных точек, через разных провайдеров, на разных протоколах. Полезно ровно в той ситуации, когда у саппорта на той стороне «не работает», у вас «всё работает», и надо разобраться, кто из вас прав.


Резюме

С 13 апреля по 14 мая 2026 года кардинально ничего не поменялось. 95% запросов к Telegram без VPN как падали, так и падают. Воз там же.

Но в деталях за месяц произошло несколько сдвигов. Telegram-клиент стал самостоятельно маскировать трафик под HTTPS. Появилась Premium-обфускация (нестабильная, но у части пользователей работает). MTProxy переехал в категорию «резервный канал». Apple зачистила российский App Store от VPN-клиентов. Список «работающих VPN» сжался до одного семейства — протоколов с обфускацией под обычный HTTPS: VLESS+Reality, VLESS+XHTTP, Hysteria2, TUIC, AmneziaWG 2.0, Trojan+TLS, NaiveProxy в open-source; Stealth, TrustTunnel, Lightway у коммерческих сервисов. Всё без обфускации — режется ТСПУ на старте.

Со дна постучали не Telegram и не РКН. Постучала привычка: люди адаптировались, обзавелись VPN, обновили клиенты, освоили обфускацию. 65 миллионов дневной аудитории — это не победа цензуры и не победа Telegram. Это новый бытовой режим.

А пока — обновляйте клиент, ставьте Reality поверх XHTTP, не покупайте бесплатные VPN из стора и помните: «работает у меня» — это уже почти ничего не значит.