Методичка Минцифры по выявлению VPN

A.g · April 13, 2026, 10:03am

Есть смысл купить смарт с разблокируемым загрузчиком для рута.

Akazotik · April 13, 2026, 11:00am

Обнаружил тут интересную особенность.

Если проксировать следующие CIDR cloudflare:
103.21.244.0/22,
103.22.200.0/22,
103.31.4.0/22,
104.16.0.0/13,
104.24.0.0/14,
108.162.192.0/18,
131.0.72.0/22,
141.101.64.0/18,
162.158.0.0/15,
172.64.0.0/13,
173.245.48.0/20,
188.114.96.0/20,
190.93.240.0/20,
197.234.240.0/22,
198.41.128.0/17

то при заходе на сайт (например 2ip.me) - отдает айпишник впн, даже если ты сидишь через процессное split туннелирование. Причем как в браузере, так и curl через терминал.

Собственно вопрос - можно ли это пофиксить как-то. Или что проксировать чтобы и капча работало и отдавало родной айпшник?

bele · April 13, 2026, 11:09am

Это хорошо что прямо пишет и блокирует, плохо если начнет молча записывать.

TesterTi · April 13, 2026, 11:28am

Может, проксировать их через byebyedpi? Т.е. через локальный прокси без смены Ip
Вроде пока что CF не по диапазонам ip заблокирован, должен пробиваться byedpi

knitabsorbed · April 13, 2026, 11:45am

В другом месте человек поделился решением с помощью разных профилей:

Всем привет. Хочу поделиться надёжным способом для защиты от шпионских модулей опсоских приложений. При этом сохраняются удобства использования VPN (не нужен второй телефон для опсоских приложений).

Все описанное производилось на Google Pixel 10 (Android 16).

Частный профиль+Macrodroid.

Создаём частный профиль. Туда переносим все российские приложения сомнительного качества. На других моделях частный профиль может называться по другому (например для Samsung это Knox).

Создаём два макроса в Macrodroid.

Первый:
Выключение VPN в частном профиле
Триггер: интент получен, действие:
android.intent.action.PROFILE_AVAILABLE
Действие: завершить приложение <Название VPN клиента>. У меня это Husi. В настройках VPN-клиента нужно включить в настройки: Автоматическое подключение (Включать прокси при запуске/обновлении приложения,если он был запущен до этого).

Данный триггер срабатывает при разблокировки частного профиля. Возможно на других телефонах другое API надо искать,так как частный профиль по другому реализован.

Второе действие:
Завершить фоновые процессы <Название VPN клиента>.
Ограничение: Состояние VPN - включено.

Второй макрос:
Включение VPN при выдохе из частного профиля
Триггер:
Интент получен, действие:
android.intent.action.PROFILE_UNAVAILABLE
Срабатывает при закрытие частного профиля.
Действие:

Запустить приложение<название VPN клиента>

Задержка 1 секунда

Нажать кнопку назад

Рут права не нужны, нужно Shizuki.

Таким образом, опсосоские приложения лежат в изолированном пространстве,не видят другие приложения и запускаются без VPN. При выходе из частного профиля - включается автоматически VPN, что очень удобно.

На устройствах Samsung нужно отдельно в настройках Secure Folder/Knox запретить фоновую работу приложений в нём при закрытии.
Минус - нужно вручную закрыть частный профиль, чтобы VPN снова заработал, так как в новых версиях Android он автоматически не закрывается (разве что от погашения экрана, но каждый раз его погасить тоже не очень удобно). Также уведомления от шпионских приложений не будут приходить.
Можно настроить как-то по-другому (например, без 2-го макро, и вручную включить VPN после закрытия частного профиля), тут достаточно много вариантов.

A.g · April 13, 2026, 11:46am

Выглядит пригодно. Не самый неудобный вариант.

bele · April 13, 2026, 1:54pm

Неудобно что от шпионских приложений не будут приходить уведомления. Мне например звонят через Авито.

Все-таки два разных телефона получается удобнее.

thin-16 · April 14, 2026, 12:50pm

Насчет звонков не знаю, но частично может помочь thunderbird или его аналоги. Оно из ваших почт будет присылать уведомления из, например, того же авито, только придется настраивать, какие действия на почту должны приходить (скорее всего настройка в акке самого авито или любого другого софта). Это вариант для мыла или других ру почт, которые нет смысла иметь на телефоне по понятным причинам

Ulahand · April 14, 2026, 2:21pm

У именя были мысли сделать что-то похожее, только с Tasker, так как им пользуюсь.

По вашему варианту, такой вопрос, есть ли гарантии, что приложения в частном профиле сами себя не запустят через какое-товремя? Потому что в обычном профиле такое сплошь и рядом.

Более надежной альтернативой считаю отключать приложения (pm disable-user), но я не тестировал пока. Знаю, что какие-то приложения невозможно отключить, и возможно будут слетать настройки приложений по умолчанию.

Хотя если частный профиль действительно не поддерживает работу в фоне, это было бы более удобно.

УПД: Судя по документации, штука надежная

When private space is locked:

    The apps in the private space are:
        Completely stopped. These apps can’t perform foreground or background activities, like showing notifications.
            When the device is locked, apps can't access sensor data or perform any functions. For example, medical apps can’t track health information when the device is locked. You should not use private space for apps that need to provide you with functionality in the background when your private space is locked. Apps installed outside of private space won’t be affected by these restrictions, even if you also have a private space on your device simultaneously.
        Not searchable in the quick search bar.
        Hidden from the launcher, recent views, sharing apps like photopicker and docs UI, and Settings, which include Permission Settings and Privacy dashboard.

0x6f9c · April 14, 2026, 2:26pm

Сегодня такое видел, может кому пригодится.

knitabsorbed · April 14, 2026, 2:34pm

На Samsung-устройствах есть отдельная опция для этого, его обязательно нужно включить.

nanden · April 14, 2026, 8:13pm

Начали вводить ограничения постепенно, пока все выглядит как очередная херь из разряда “для отчётности”, ибо обычный проброс сервиса в direct спасает абсолютно от всего.

SeamniZ · April 14, 2026, 8:15pm

Ростелеком

A.g · April 14, 2026, 8:19pm

Пояснительную бригаду.

Это их приложение или они подключение в принципе убивают?

SeamniZ · April 14, 2026, 8:30pm

Предупреждение в чате, можешь звякнуть им думаю на автоответчике также

800-100-0-800

neur0tx · April 14, 2026, 9:10pm

На Хабре в комментариях увидел интересный способ определения IP даже если настроена маршрутизация только заблокированных ресурсов. Находится любой такой ресурс, который заблокирован и использует Cloudflare, к нему делается запрос GET /cdn-cgi/trace. Cloudflare на это сразу выдаёт инфу о подключении, а в ней и наш выходной IP. На iOS вот это делает невозможным сокрытие туннеля даже с очень жёсткой маршрутизацией.

parfit · April 14, 2026, 10:20pm

Ещё так же для ютуба можно: https://redirector.googlevideo.com/report_mapping?di=no

TesterTi · April 14, 2026, 11:05pm

Разве per app split tunneling не решает эту проблему?
upd Хотя если в туннель отправлять к примеру браузер, то не решает
Обязательно еще блокировать ру сервисы по geoip
Или использовать расширения вроде zeroomega/smartproxy

knitabsorbed · April 14, 2026, 11:10pm

Тогда нужно решить проблему с утечкой TUN-интерфейса.

К слову, в Xray-core недавно для Android добавили поддержку роутинга по UID. Клиент XiVPN уже добавил “Leak protection”, который отправляет все запросы без валидной UID в block (нет возможности роутить их в direct). В v2rayNG походу тоже собираются поддерживать роутинг по UID.

TesterTi · April 14, 2026, 11:12pm

На Sing-box тоже вроде можно Новое правило package_name_regex в sing-box (борьба с детектом VPN)