Где именно происходит фильтрация мобильного трафика?

Фильтрация выполняется на уровне ядра мобильной сети — на узле PGW (Packet Gateway). Через PGW проходит весь IP-трафик абонента, и именно там оператор применяет правила: проверку IP-адреса назначения по CIDR-блокам и SNI inspection в TLS handshake.

Все ли операторы используют одинаковую логику фильтрации?

Базовая архитектура схожа — это IP-фильтр плюс SNI-инспекция, но реализации отличаются. У Билайна, МТС и Мегафона свои PGW-площадки и свои конфигурации; Tele2 после слияния с Ростелекомом частично унаследовал инфраструктуру; Yota работает поверх ядра МегаФона, но имеет свой профиль настроек.

Как QUIC и HTTP/3 ведут себя в мобильной сети?

QUIC использует UDP/443 и encrypted handshake. На сетях, где SNI-инспекция настроена только под TLS over TCP, поведение QUIC отличается. Для мобильных условий важна устойчивость к потере пакетов и адаптация к меняющемуся MTU 1400 — это даёт преимущество протоколам поверх QUIC.

Что такое MTU 1400 и почему это важно для мобильного интернета?

MTU 1400 — это максимальный размер IP-пакета, который проходит через GTP-туннель мобильной сети без фрагментации. У туннеля есть служебный заголовок, и если приложение шлёт пакет 1500 байт (стандарт Ethernet), он будет фрагментирован. Транспортные протоколы для мобильных условий учитывают этот лимит и подбирают MSS заранее.

Технический разбор

Мобильный интернет в РФ и белые списки в 2026: технический разбор

Архитектура мобильной сети, узлы PGW, SNI-инспекция, особенности реализации у Билайна, МТС, Мегафона, Tele2 и Yota.

← Все статьи

В 2026 году мобильный интернет в России — это сложная многоуровневая инфраструктура, где между смартфоном и удалённым сервером в открытом интернете встают десятки сетевых узлов. На большинстве из них трафик просто маршрутизируется, но на одном — узле PGW (Packet Gateway) ядра LTE/5G — происходит важная для пользователя вещь: применяются правила фильтрации, в том числе так называемые «белые списки». В этом материале мы разберём именно техническую сторону: как устроена мобильная сеть, где конкретно фильтруется трафик, чем отличаются реализации у Билайна, МТС, Мегафона, Tele2 и Yota, и почему мобильное соединение в России живёт по своим правилам.

Если вы только начинаете разбираться в теме, сначала прочитайте обзорный материал «Что такое белые списки интернета РФ в 2026» — там собран общий контекст. Здесь мы фокусируемся на мобильной специфике.

Как устроена мобильная сеть LTE/5G на уровне трафика

Когда смартфон отправляет HTTP-запрос, пакет проходит несколько слоёв перед тем, как попасть в открытый интернет. В упрощённом виде маршрут выглядит так:

Смартфон формирует IP-пакет и шифрует его на радиоинтерфейсе (Uu).
Базовая станция (eNodeB в LTE, gNodeB в 5G) принимает радиокадры и инкапсулирует пакет в GTP-туннель.
Через транспортную сеть оператора пакет идёт на узел S-GW (Serving Gateway).
S-GW передаёт пакет на P-GW (Packet Data Network Gateway, PGW) — точку выхода в IP-мир.
PGW снимает GTP-обёртку, присваивает абоненту маршрутизируемый IP, применяет политики (тарифные, фильтрационные, NAT) и отдаёт пакет в магистральную сеть оператора.
Дальше работают обычные BGP-маршруты до целевого хоста.

Ключевой узел для нашей темы — именно PGW. Это место, где оператор знает абонента, видит его пакеты и может применять правила. Все политики «белого списка» реализуются здесь и/или на стоящих рядом фильтрующих модулях (Service Function Chaining, SFC).

Два уровня фильтрации: IP и SNI

На PGW обычно работают два независимых проверяющих модуля:

IP-уровень: списки CIDR

Самый простой и быстрый фильтр — проверка IP-адреса назначения по списку разрешённых CIDR-блоков. Если адрес сервера попадает в один из разрешённых /24, /22 или /16-блоков, пакет пропускается. Если нет — пакет дропается или переадресуется на «технический» хост с заглушкой. По имеющимся техническим оценкам, в актуальный мобильный whitelist 2026 года входит порядка 0.14% всех российских IP-адресов, причём около 20% этой выборки приходится на Yandex.Cloud.

SNI inspection: чтение незашифрованного поля TLS

Второй уровень — анализ Server Name Indication. SNI — это поле в начале TLS handshake, в котором клиент передаёт имя сервера, к которому он хочет подключиться. До появления Encrypted Client Hello (ECH) это поле передавалось открытым текстом, и фильтр на PGW мог по нему принимать решение. Если SNI не входит в список разрешённых имён — соединение разрывается RST-пакетом или просто молча обрывается на этапе handshake.

Двухуровневая схема нужна потому, что одного IP-фильтра недостаточно: на одном IP может жить много разных сайтов (CDN, hosting, Anycast). А одного SNI-фильтра тоже недостаточно: атакующий может технически подменить SNI. Связка IP + SNI закрывает оба сценария.

Билайн (VimpelCom): особенности PGW и SNI-стека

Билайн традиционно использует мультивендорную инфраструктуру. PGW Билайна — это в основном Ericsson и частично Huawei, в зависимости от региональных кластеров. Особенности:

Региональные различия. Москва, СПБ, Поволжье, Сибирь — у каждого региона свой PGW-кластер, и обновления списков выкатываются волнами. Это значит, что один и тот же сайт может работать в одном городе и не работать в другом в один и тот же день.
Задержки на handshake. SNI-фильтр Билайна добавляет небольшую задержку (5-15 мс) на TLS handshake — в большинстве сценариев это незаметно, но в тестах с короткими соединениями цифра видна.
Поведение при блоке. Чаще всего соединение обрывается RST-пакетом со стороны фильтра, иногда — TCP-таймаут на 30 секунд.
HTTP/3 и QUIC. Для UDP-трафика на 443 порту Билайн применяет отдельный профиль политик. Часть SNI-инспекции в QUIC реализована, часть — нет.

МТС: своя инфраструктура и сильный SBR

МТС использует собственную фильтрационную платформу, исторически выросшую из решений на базе SBR (Service-Based Router). Особенности:

Жёсткая централизация. В отличие от Билайна, МТС обрабатывает трафик через несколько крупных дата-центров с одинаковыми политиками. Региональных различий меньше.
Раннее внедрение фильтров. МТС одним из первых начал применять SNI-инспекцию на больших объёмах трафика — у них накоплен опыт настройки.
Поведение QUIC. МТС в 2025-2026 годах активно экспериментировал с QUIC-инспекцией, и их подход чуть строже по сравнению с другими операторами.
NAT и публичные IPv4. МТС использует Carrier-Grade NAT очень агрессивно — на одном публичном IP сидят сотни тысяч абонентов. Это влияет на поведение протоколов с устойчивыми соединениями.

Мегафон: региональные различия и переход на 5G

Мегафон — крупный оператор с разветвлённой региональной структурой. PGW-инфраструктура частично Huawei, частично Nokia. Особенности:

Региональные нюансы. Сильнее, чем у Билайна. Москва, Питер, Урал — везде немного разные правила, разные тайминги обновлений.
5G SA. Мегафон одним из первых начал внедрять 5G Standalone, и в этих сегментах архитектура фильтрации немного другая — она использует сетевые функции в форме облачных сервисов (CNF, Cloud-Native Network Functions).
QoS-маркировка. Мегафон активно использует DSCP для приоритизации трафика — это влияет на то, как ведут себя соединения с разными типами полезной нагрузки.

Tele2: после слияния с Ростелекомом

Tele2 после слияния с Ростелекомом получил доступ к более крупной транспортной инфраструктуре. PGW в основном Ericsson. Особенности:

Унифицированные политики. Слияние привело к более единообразной фильтрации в разных регионах.
Хорошее качество транспорта. Tele2 традиционно силён в плотности базовых станций, и качество мобильного канала в среднем стабильное — это важно для протоколов, чувствительных к jitter.
Поведение при дропе пакета. Tele2 чаще, чем другие операторы, использует «тихий drop» вместо TCP RST — приложение видит таймаут, а не явный обрыв.

Yota: на инфраструктуре Мегафона, но со своими настройками

Yota — это виртуальный оператор поверх ядра Мегафона, но со своим APN (Access Point Name) и своим набором политик. Особенности:

Тот же PGW, другой профиль. Технологическая база — мегафоновская, но политики могут отличаться в нюансах.
Безлимитные тарифы. Yota продвигает безлимитные планы, и у неё есть QoS-ограничения по типам трафика, которые могут проявляться нестандартно.
Профиль фильтрации. В целом близок к Мегафоновскому, но иногда наблюдаются расхождения — отдельный сайт может работать у Мегафона и не работать у Yota, или наоборот.

GTP-туннелирование и MTU 1400

Один из часто недооценённых нюансов мобильного интернета — фрагментация пакетов. Между смартфоном и PGW работает GTP-туннель, у которого есть свой служебный заголовок. Из-за этого реальный MTU полезной нагрузки получается около 1400 байт вместо стандартных 1500.

Если приложение шлёт TCP-пакет 1500 байт (Ethernet MTU), он попадает в GTP-инкапсуляцию и должен быть фрагментирован, либо ICMP «fragmentation needed» возвращается клиенту, который должен скорректировать MSS. Реальность 2026 года такова, что многие сети с агрессивным NAT блокируют ICMP, и приложение узнаёт о проблеме только по таймауту. Это явление называют PMTU black hole.

Грамотные транспортные решения для мобильного сценария заранее снижают MSS до 1360-1380 байт, чтобы избежать проблем. Это особенно важно для протоколов с большими TLS handshake-сообщениями — они могут не пролезть в первый пакет и запустить цепочку фрагментации.

QUIC и HTTP/3 в условиях мобильной сети

QUIC — это транспортный протокол поверх UDP, который изначально разрабатывался Google для веб-трафика и сейчас стандартизирован IETF. В мобильной сети QUIC ведёт себя интересно:

Connection migration. Если у абонента меняется IP (например, при переходе с LTE на Wi-Fi), QUIC-соединение может «переехать» без переподключения. Для мобильного сценария это золото.
0-RTT handshake. Повторное подключение к уже знакомому серверу занимает 0 RTT — мгновенно. Это снижает чувствительность к задержкам сети.
UDP и фильтры. Часть мобильных операторов применяет к UDP-трафику более простые правила (только IP-фильтр без SNI-инспекции в QUIC), часть — реализовала полноценную инспекцию QUIC. В 2026 году картина неоднородна.

Подробно про современные транспортные протоколы — в статье «VPN-протоколы: VLESS, Hysteria, Shadowsocks».

Encrypted Client Hello: что это значит для SNI-фильтрации

ECH (Encrypted Client Hello) — это расширение TLS 1.3, которое шифрует поле SNI ещё до начала handshake. Если ECH развёрнут на стороне сервера и поддерживается клиентом, оператор не может прочитать имя сервера в открытом виде — он видит только зашифрованный блок.

Внедрение ECH в 2025-2026 годах идёт неравномерно: Cloudflare поддерживает его глобально, Google и Mozilla работают над поддержкой в браузерах, а у мобильных приложений ситуация разная. Для операторов это означает, что чисто SNI-фильтрация постепенно теряет силу, и они переключаются на чисто IP-фильтрацию или комбинированные подходы (IP + ECN-маркировки + поведенческая аналитика).

Влияние на пользователей

В практическом плане мобильный интернет в России в 2026 году выглядит так:

Госуслуги, Яндекс, ВКонтакте, Сбер, СМИ — работают стабильно (это и есть «белый список»).
Мессенджеры и зарубежные сервисы — работают неровно, в зависимости от того, какой оператор и какой регион.
Корпоративные SaaS, рабочие сервисы — часто требуют отдельного подхода (часть в whitelist, часть — нет).
Видеостриминг и музыка — зависит от платформы и оператора.
Голосовые звонки и видеосвязь — зависят не только от whitelist, но и от QoS-настроек оператора.

Конкретный список того, что обычно входит в whitelist, мы разобрали в статье «Какие сайты в белом списке РФ в 2026».

Технические тонкости диагностики

Если вы хотите понять, что именно происходит с конкретным соединением, помогают такие инструменты:

traceroute и mtr. Покажут маршрут до целевого хоста и где обрывается путь. Если последний доступный хоп — это узел оператора, значит, вы упёрлись в фильтр.
tcpdump или Wireshark на смартфоне (через VPN-перехват трафика). Покажут точный момент TCP RST или таймаута.
Тест разных SNI на одном IP. Полезно, чтобы понять, что блокируется — IP или имя.
Сравнение Wi-Fi и LTE. Если сайт работает по Wi-Fi и не работает по LTE — точно мобильный whitelist.

QQ NET и стабильность мобильного канала

QQ NET — это VPN-сервис, спроектированный с прицелом именно на условия российского мобильного интернета 2026 года. У сервиса есть отдельные узлы — LTE-1 и LTE-2 — расположенные в дата-центрах Yandex.Cloud, использующие современные транспортные протоколы (VLESS+XHTTP+Reality поверх TCP/443) и адаптированные под особенности мобильных сетей.

На практике это означает:

Стабильное соединение даже при нестабильном мобильном сигнале.
Корректная работа MTU 1400 — нет проблем с фрагментацией.
Низкий jitter на голосовой связи и видеосвязи.
Быстрый failover при переключении между базовыми станциями.

Подробно про критерии выбора VPN для мобильного сценария — в материале «Как выбрать VPN: 7 критериев». Если хотите попробовать QQ NET — есть пробный период 3 дня, оплата через СБП или Telegram-бот.

Итого

Мобильный интернет в России 2026 года — это технически сложная среда с двухуровневой фильтрацией на узлах PGW, разной у разных операторов и в разных регионах. Билайн, МТС, Мегафон, Tele2 и Yota реализуют схожие принципы, но в деталях отличаются — где-то жёстче SNI-инспекция, где-то агрессивнее CGNAT, где-то особенности обработки QUIC. Для пользователя это означает, что мобильное соединение требует более вдумчивого подхода к выбору транспортных решений, чем домашний Wi-Fi. QQ NET с узлами LTE-1 и LTE-2 — один из вариантов, оптимизированных под мобильную специфику.

Если вы хотите узнать о приватности и защите данных в мобильных сетях, прочитайте материал «Как VPN защищает персональные данные в 2026». О критериях надёжности — статья «No-logs VPN: что это и как проверить».

Команда QQ NET

Команда QQ NET. Пишем о VPN-сервисах, приватности, скорости и стабильном подключении.

О нас · Telegram-канал · Privacy

Попробуйте QQ NET

3 дня бесплатно за подписку на канал

Попробовать QQ NET 3 дня бесплатно Скачать клиент