"Идеальный" список IP/сетей для отправки в VPN

Internet censorship all around the world Russia
1

Несколько лет пользовался GitHub - zapret-info/z-i: Register of Internet Addresses filtered in Russian Federation · GitHub , вручную добавляя отдельные сети вроде Facebook, Twitter и т. п.

В целом этот вариант меня устраивал, но zapret-info уже около полугода не обновляется, а полнота аналогов, например https://antifilter.download/, вызывает сомнения. Например там нет адресов 8.6.112.6 и 8.47.69.6 - это IP Cloudflare, в которые иногда резолвится meduza.io.

Дополнительно ситуация усложнилась из-за блокировки по “16 КБ” на ряде сетей, а также из-за “замедления” YouTube и теперь Telegram.

Отсюда вопрос: существует ли сейчас какой-то обновляемый источник IP-адресов и подсетей, который более-менее учитывает все это вместе:
IP/сети из блокировок РКН;
проблемные CDN (Cloudflare);
истории вроде “16 КБ”;
актуальные адреса Telegram, или может даже все кеши youtube?

Мне не жалко отправить в VPN лишние адреса или подсети, но уводить в туннель вообще весь зарубежный трафик на данном этапе кажется преждевременным.

Идеально, если у каждого IP/префикса еще был бы указан источник или причина включения, например:
#RKN cloudflare и т. п. Тогда можно было бы фильтровать список под конкретные задачи.

Или я в принципе заблуждаюсь, задачу можно решить иначе и потребности в таком списке нет?

Если такого списка нет, есть те ли кому он был бы интересен?

2

Невнимательность - это плохо, можно легко на фишинг попасться. Ничего в имени домена не смущает?

3

А мне не кажется преждевременным, я отправляю в тоннель всё кроме ру, рф, су и известных российских com/net сайтов

И список выше запретил на уровне сервера, чтобы не палить впн

4

Да, пардон, опечатался. Слишком много работаю с .ru доменами. :slight_smile: Но на общую суть не влияет. Вообще от пользователей были жалобы на загрузку файлов в TG, проходившую при включении “своего“ VPN. Обычно связано с тем, что какие-то IP сервиса не идут в туннель. Веб-версия на вид только с web.telegram.org работает, куда заливает приложение - это уже трафик надо смотреть…

5

Ну вот Google пока не блокируют. Если его направить в VPN, он начнет показываться на языке страны выхода из туннеля, чему пользователи не будут рады. И подобных примеров можно порядком найти.

6

Действительно?

А должен смотреть настройки браузера, если в браузере локаль ру, то показывать интерфейс на русском. В общем, это проблема гугла, локация IP != язык пользователя.

Ладно, как скажете, надоест отлавливать блоки - сделаете как я.

7

По мне так любой делящий трафик VPN легко палится - ничего не мешает любому Васе на своей странице грузить (условно) https://www.showmyip.com/ и https://yandex.ru/internet/ и сравнивать IP адреса…

8

До этой стадии мы ещё не дошли, к счастью.

На компе в браузере у меня стоит uMatrix и это не сработает (оба запроса будут заблокированы), а со смартфоном всё проще у меня - ему вообще на ru адреса можно только через Тор (а если не открылась ссылка - и хрен с ней). Смартфоны не безопасны и легко деанонятся.

9

Для смартфонов есть и более сложное решение.

2 сервера xray, один пропускает трафик только до .ру и иже с ними, другой только ко всем остальным. Пользователь вручную переключается. Вася при попытке отловить впн увидит только IP от яндекса, на com запрос будет заблокирован. Васе придётся поднимать свои сервисы проверки IP без домена, и выписывать сертификаты на айпишники. Вряд ли он будет так стараться.

P.S. Хотя наверное проще 2 браузера поставить и юзера научить на ру ходить только через один из них, который не роутится в тоннель, а в другом ру просто не откроются (блок на стороне сервера).

10

Тут ещё могут быть проблемы с перегрузкой отдельного сервера на стороне самой телеги, не включившие обход люди заваливают сервер бесконечными повторными запросами (а запросы до сервера доходят успешно, но ответ до юзера уже нет). Если там CDN используется, то логично, что перегруженными оказываются именно те сервера, которые находятся недалеко от РФ, и россиянам на растерзание балансировщик нагрузки даёт именно их.

11

Чтобы не палить прокси проще всего во-первых разделить inbound/outbound IPv4 (два белых айпи), и выходной IP в системе по умолчанию. Сверху - Cloudflare WARP (РФ), с ним открываются все российские сервисы, которые ныли бы от IP датацентра.

12

Это не факт. У меня, например, не открываются как минимум Госуслуги (федеральные и московские) и сайт Московского метрополитена, но сайты Мосгортранса и Сбербанка открываются. Про это и больше уже написали в соседней теме.

13

Госуслуги не любят зарубежные ip и зарубежные dns. Попробуйте в hosts добавить (этот ip выдает DoH яндекса)

109.207.9.205 esia.gosuslugi.ru

Сбросить кеш днс
Ну или просто dns/doh яндекса прописать для проверки
И заходить не с главной страницы, а сразу сюда https://esia.gosuslugi.ru/login/
Если сработает, в принципе можно так сделать для всех РУ ресурсов, которые не открываются - прописать для них скрепный ip

14

DoH у Cloudflare и у Яндекса выдают одинаковый IP-адрес для Госуслуг:

$ dig esia.gosuslugi.ru @1.1.1.1 +https

; <<>> DiG 9.20.19 <<>> esia.gosuslugi.ru @1.1.1.1 +https
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42472
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;esia.gosuslugi.ru.             IN      A

;; ANSWER SECTION:
esia.gosuslugi.ru.      577     IN      CNAME   esia.gslb.gosuslugi.ru.
esia.gslb.gosuslugi.ru. 7       IN      A       109.207.9.205
esia.gslb.gosuslugi.ru. 7       IN      A       109.207.2.205

;; Query time: 16 msec
;; SERVER: 1.1.1.1#443(1.1.1.1) (HTTPS)
;; WHEN: Tue Mar 17 16:46:49 MSK 2026
;; MSG SIZE  rcvd: 102

$ dig esia.gosuslugi.ru @77.88.8.8 +https

; <<>> DiG 9.20.19 <<>> esia.gosuslugi.ru @77.88.8.8 +https
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27525
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;esia.gosuslugi.ru.             IN      A

;; ANSWER SECTION:
esia.gosuslugi.ru.      40      IN      CNAME   esia.gslb.gosuslugi.ru.
esia.gslb.gosuslugi.ru. 30      IN      A       109.207.2.205
esia.gslb.gosuslugi.ru. 30      IN      A       109.207.9.205

;; Query time: 16 msec
;; SERVER: 77.88.8.8#443(77.88.8.8) (HTTPS)
;; WHEN: Tue Mar 17 16:46:57 MSK 2026
;; MSG SIZE  rcvd: 102

Сразу на логин-страницу можно заходить и с Cloudflare DNS. Ну и mos.ru внезапно ожил (вне зависимости от используемого DNS-сервера), но сайт Московского метрополитена как и был, так и остался недоступным с WARP.

15

Такое будет нужно только в теоретической будущей ситуации, когда начнут штрафовать за обходы, и нужно скрывать сам факт использования прокси. Пока достаточно сделать, чтобы выходной адрес отличался от входного, чтобы защитить свой сервер.

А уж если рассматривать эту безумную теоретическую ситуацию, то ты попадаешь в зависимость от точности geoip баз (спойлер - они нихрена не точные). Я бы не стал полагаться на них, а лучше бы пожертвовал удобством, сделав изолированную среду с точечными правилами маршрутизации под нужные мне ресурсы, вместо таких широких мазков ру/не-ру.

16

В моём случае они открываются если использовать Yandex DNS.

[dreaght@ ~]$ dig +short www.gosuslugi.ru @8.8.8.8
www.gslb.gosuslugi.ru.
213.59.254.7
213.59.253.7

[dreaght@ ~]$ dig +short www.gosuslugi.ru @77.88.8.8
www.gslb.gosuslugi.ru.
109.207.8.118
109.207.1.97
109.207.1.118
109.207.8.97

Google DNS и Yandex DNS выдают разные IP.

С одним - обрыв TLS соединения, с другим - работает.

Ещё как уже тут сказали, WARP должен быть в России.

Например в sing-box (route.rules) я просто заставляю все ресурсы из РФ резолвиться с помощью Yandex DNS.

{
  "rule_set": ["geosite-category-ru"],
  "action": "resolve",
  "server": "yandex"
}
17

Все ранние команды были выполнены с российского WARP, colo=DME.

fl=903f81
h=cloudflare.com
ip=2a09:bac5:5157:2369::387:51
ts=1773756052.551
visit_scheme=https
uag=curl/8.18.0
colo=DME
sliver=none
http=http/2
loc=RU
tls=TLSv1.3
sni=plaintext
warp=on
gateway=off
rbi=off
kex=X25519MLKEM768

В моём случае соединение выдаёт timeout после ClientHello.

$ curl -v https://gosuslugi.ru -o /dev/null --doh-url https://77.88.8.8/dns-query --connect-timeout 5
  % Total    % Received % Xferd  Average Speed  Time    Time    Time   Current
                                 Dload  Upload  Total   Spent   Left   Speed
  0      0   0      0   0      0      0      0                              0* Host gosuslugi.ru:443 was resolved.
* IPv6: (none)
* IPv4: 213.59.253.7, 213.59.254.7
*   Trying 213.59.253.7:443...
* ALPN: curl offers h2,http/1.1
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [1563 bytes data]
* SSL Trust Anchors:
*   CAfile: /data/data/com.termux/files/usr/etc/tls/cert.pem
*   CApath: /data/data/com.termux/files/usr/etc/tls/certs
  0      0   0      0   0      0      0      0           00:04              0* Connection timed out after 5001 milliseconds

* closing connection #0
curl: (28) Connection timed out after 5001 milliseconds
18

Вот, неправильные IP используются. Вам их почему-то такие выдают. Правильные IP:

109.207.8.118
109.207.1.97
109.207.1.118
109.207.8.97

(из того же пула)

Неправильные:

213.59.254.7
213.59.253.7

Это если по-простому выражаться.

19

У меня почему-то даже с правильным ip главная страница ГУ висит. А на страницу логина заходит

20

Главное не забыть через WARP (РФ) заходить. И с Yandex DNS одновременно.