Когда ТСПУ или провайдер режет прямые подключения к VPN-серверам, CDN-обход пропускает трафик через сеть Cloudflare. Точка входа прячется за её адресами — за ними миллионы обычных сайтов, и заблокировать диапазон целиком нереально. VLESS+XHTTP поверх TLS, незаметно для DPI.
CDN-обход — это отдельный канал доставки VPN-трафика через сеть Cloudflare. Вместо того чтобы подключаться напрямую к нашему серверу по его IP-адресу, приложение обращается к адресам крупной content delivery network, а уже она передаёт трафик дальше к нашему серверу. Для провайдера это выглядит как обычное обращение к облачному сервису, а не к VPN.
Зачем это нужно? Самый частый способ блокировки VPN в России — это блокировка по IP-адресам серверов. Оператор связи или ТСПУ узнаёт адрес VPN-сервера и просто перестаёт пропускать к нему пакеты: подключение либо не устанавливается вовсе, либо рвётся через секунду после старта. С CDN-обходом этот приём обезоруживается: точка входа прячется за адресами Cloudflare, за которыми стоят миллионы легитимных сайтов — от интернет-магазинов до государственных порталов. Заблокировать весь диапазон целиком невозможно: это уронило бы половину интернета.
Идейно CDN-обход близок к технике domain fronting — обходу блокировок через доменные имена и SNI крупных CDN. Цензору приходится выбирать: либо пропускать трафик к Cloudflare целиком (а значит, и наш VPN вместе с ним), либо блокировать всю сеть и обрушить тысячи обычных сайтов. На практике выбирают первое.
Российские ТСПУ (технические средства противодействия угрозам), установленные у операторов, работают по двум основным принципам. Первый — блокировка по IP: оборудование держит список «плохих» адресов и дропает к ним пакеты. Как только IP VPN-сервера попадает в список, прямое подключение к нему умирает. Второй — глубокая инспекция пакетов (DPI): цензор анализирует характер трафика и SNI, чтобы опознать VPN по «отпечатку» и замедлить или заблокировать.
CDN-обход бьёт ровно по первому приёму. Когда трафик идёт через Cloudflare, провайдер видит не IP нашего сервера, а IP-адрес из диапазона CDN. Эти адреса обслуживают огромное количество легальных ресурсов одновременно, поэтому занести их в чёрный список — значит отключить пол-интернета. Цензор оказывается перед дилеммой без хорошего ответа: блокировка по IP больше не точечная.
Против DPI работает сам транспорт. Внутри CDN-обхода используется VLESS+XHTTP поверх TLS: соединение неотличимо от обычного зашифрованного HTTPS-обращения к облачному сервису. У DPI нет узнаваемой сигнатуры VPN, за которую можно зацепиться — он видит легитимный TLS-поток к Cloudflare. Получается двойная защита: блокировка по IP не срабатывает из-за общих адресов CDN, а DPI не находит «отпечаток» из-за маскировки под обычный веб-трафик. Подробнее о самом транспорте — на странице VLESS+XHTTP.
Под капотом CDN-обход — это связка VLESS + XHTTP поверх TLS, проложенная через сеть Cloudflare. VLESS отвечает за сам VPN-протокол, XHTTP — за то, как данные упаковываются в обычные HTTP-запросы и ответы, а TLS шифрует всё это от вашего устройства до нашего сервера. Важная деталь: вся эта схема работает по TCP, а не по UDP.
Маршрут выглядит так: ваше приложение устанавливает TLS-соединение с адресом Cloudflare, отправляя на него HTTP-трафик XHTTP. Cloudflare принимает этот трафик как обычный запрос к сайту и проксирует его дальше — на наш входной узел. Уже наш сервер расшифровывает VLESS-сессию и выпускает ваш трафик в интернет через выбранную точку выхода. Снаружи вся цепочка выглядит как заурядное общение браузера с облачным сервисом.
Именно поэтому CDN-обход устойчив к блокировкам: цензор не видит ни IP нашего сервера (он спрятан за Cloudflare), ни сигнатуры VPN (трафик замаскирован под HTTPS). Платой за эту незаметность становится небольшая прибавка задержки — трафик проходит через дополнительное звено в виде сети Cloudflare. Но эта надбавка обычно невелика и заметна разве что в играх.
Главное: CDN-обход — это отдельный режим на TCP, который заменяет транспорт
| Параметр | CDN-обход (Cloudflare) | Прямое подключение (Hysteria2) | Прямое подключение (VLESS+XHTTP) |
|---|---|---|---|
| Транспорт | VLESS+XHTTP поверх TLS (TCP) | QUIC / UDP | XHTTP поверх TLS (TCP) |
| Маршрут | Через сеть Cloudflare | Напрямую к серверу по IP | Напрямую к серверу по IP |
| Защита от блокировки по IP | Высокая — IP спрятан за CDN | Зависит от IP сервера | Зависит от IP сервера |
| Скорость | Чуть ниже (лишнее звено) | Максимальная | Высокая |
| Когда использовать | Когда прямое не работает | По умолчанию, для скорости | Когда режут UDP |
Важно понимать главное отличие. CDN-обход — это самостоятельный режим, а не «добавка» поверх обычного подключения. Когда вы его включаете, он заменяет транспорт на VLESS+XHTTP поверх TLS через Cloudflare. В этот момент Hysteria2 (QUIC/UDP) не используется — и это не баг, а фундаментальное ограничение технологии: Cloudflare в режиме проксирования пропускает только TCP и HTTP/HTTPS, а UDP/QUIC через CDN просто не идёт. Поэтому «Hysteria2 через Cloudflare» технически невозможен.
Отсюда простое правило: пока прямое подключение работает — оставайтесь на Hysteria2, это самый быстрый режим. Как только провайдер начал резать прямые подключения по IP — переключайтесь на CDN-обход. CDN-обход — это не замена умной маршрутизации, а отдельный способ доставки трафика: умную маршрутизацию (российские сайты напрямую, остальное через зарубежный сервер) можно использовать в обоих случаях.
CDN-обход — это «аварийный» режим на случай, когда обычное подключение перестало работать. Включайте его, если:
• приложение пишет, что не может соединиться с сервером;
• соединение устанавливается, но мгновенно рвётся;
• интернет работает, а VPN-сервер «не отвечает» — типичный признак блокировки
по IP со стороны провайдера или ТСПУ;
• вы находитесь в сети с особо жёсткой фильтрацией (корпоративный Wi-Fi,
отдельные мобильные операторы).
Главный минус — скорость. Трафик проходит через дополнительное звено (сеть Cloudflare), поэтому пинг и пропускная способность чуть ниже, чем при прямом подключении к серверу. Для мессенджеров, сайтов и видео разница, как правило, незаметна, но в онлайн-играх или при загрузке больших файлов прямое подключение выигрывает. Поэтому держать CDN-обход включённым «на всякий случай» не стоит — это режим под конкретную проблему. Когда канал снова станет чистым, вернитесь на Hysteria2 ради максимальной скорости.
Хорошая новость в том, что у вас всегда есть оба варианта в одной подписке. Наши узлы расположены в России — Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Краснодар, — а точку выхода можно выбрать: Smart (умная маршрутизация), Германия или Россия. Переключение между прямым подключением и CDN-обходом занимает несколько секунд.
Без ручных настроек — всё делается в один тап
В Telegram-боте или Mini App перейдите в раздел Настройки. Там собраны все переключатели вашей подписки.
Нажмите переключатель CDN-обход. Бот сразу пересоберёт вашу подписку на VLESS+XHTTP поверх TLS через Cloudflare.
В приложении Happ нажмите обновить подписку — новые параметры подхватятся автоматически, и трафик пойдёт через CDN.
Коротко: Настройки → CDN-обход → обновить подписку. Никаких портов, ключей или адресов вводить вручную не нужно — приложение всё делает само. Если что-то не подключается, напишите в поддержку — поможем за пару минут. А подробнее о доступных протоколах читайте на странице Hysteria2 или на главной.
Включайте CDN-обход, когда обычное подключение перестало работать: приложение пишет, что не может соединиться с сервером, или соединение рвётся сразу после старта. Это типичный признак того, что провайдер или ТСПУ режет прямые подключения к VPN-серверам по их IP-адресам. В режиме CDN-обхода трафик идёт через сеть Cloudflare, точка входа прячется за её адресами, и блокировка по IP перестаёт работать. В обычной ситуации, когда прямое подключение работает, CDN-обход держать включённым не нужно — он чуть медленнее.
Hysteria2 построен на QUIC поверх UDP, а Cloudflare в режиме проксирования пропускает только TCP и HTTP/HTTPS-трафик — UDP/QUIC через CDN не проходит. Поэтому CDN-обход — это отдельный режим: при включении он заменяет транспорт на VLESS+XHTTP поверх TLS (это TCP), а Hysteria2 в этот момент не используется. Это не недоработка, а ограничение самой технологии CDN. Зато XHTTP поверх TCP отлично проходит через Cloudflare и остаётся незаметным для DPI.
Да, немного. Трафик в режиме CDN-обхода проходит через дополнительное звено — сеть Cloudflare, — поэтому пинг и скорость чуть ниже, чем при прямом подключении к серверу. Для повседневных задач (мессенджеры, сайты, видео) разница обычно незаметна, но в играх или при максимально быстрых загрузках прямое подключение выигрывает. Поэтому CDN-обход — это режим «когда прямое не работает»: включаете его при блокировке, а когда канал снова чистый, возвращаетесь на обычный транспорт.
CDN (content delivery network) — это обычная инфраструктура, которой пользуются миллионы сайтов по всему миру для ускорения и защиты. VPN Reality просто принимает трафик через эту же сеть. За адресами Cloudflare стоят миллионы легитимных ресурсов, поэтому заблокировать весь её диапазон целиком нереально — это положило бы половину интернета. Ваш трафик при этом полностью зашифрован TLS от устройства до сервера. Подключиться можно бесплатно на 3 дня через Telegram-бот.
В обычном режиме приложение подключается напрямую к нашему серверу по его IP — это быстро, но такой IP можно вычислить и заблокировать. В режиме CDN-обхода подключение идёт через сеть Cloudflare: для провайдера это выглядит как обращение к обычному облачному сервису, а не к VPN. Блокировать по IP бесполезно, потому что эти же адреса обслуживают тысячи легальных сайтов. Идейно это близко к domain fronting — обходу по доменам и SNI крупных CDN.
Нет. Достаточно включить переключатель в настройках (Настройки → CDN-обход) и обновить подписку в приложении. Бот сам сформирует ссылку с VLESS+XHTTP поверх TLS через Cloudflare, а приложение Happ подхватит новые параметры. Никаких портов, ключей или адресов вводить руками не нужно. Если вдруг что-то не подключается, напишите в поддержку — поможем за пару минут.
3 дня бесплатно. 10 ГБ трафика. CDN-обход через Cloudflare, Hysteria2 и VLESS+XHTTP в одной подписке. Без карты.
Открыть Telegram бот