Временное решение для сайтов, которых коснулись выборочные блокировки сетей
Вводные данные
Несколько наших клиентов столкнулись с ситуацией, когда сайт периодически становился недоступен для пользователей, чаще всего тех, кто подключался через мобильный интернет российских операторов. При этом проблема носила избирательный характер: у одних пользователей сайт открывался без проблем, у других — нет.
Симптомы были разными:
- сайт мог вообще не открываться;
- соединение могло сбрасываться;
- браузер бесконечно ожидал ответ от сервера;
- не устанавливалось защищенное HTTPS-соединение (в лучшем случае).
При этом тот же самый сайт мог нормально открываться:
- через другого интернет-провайдера;
- через VPN;

- из другой страны;
- в другом браузере;
- с другого устройства;
- у всех остальных пользователей.
Такое поведение обычно говорит не о неисправности сервера, а о проблемах прохождения трафика на определённом участке сети. Если объяснять максимально простыми словами — это похоже на ситуацию, когда «провод», по которому идёт интернет, оказывается повреждён или перекрыт в каком-то месте. Сам сервер продолжает работать, но часть пользователей не может до него «дойти».
Что удалось выяснить
В процессе диагностики стало понятно, что проблема шире.
Мы обнаружили многочисленные обращения других владельцев сайтов на с аналогичными симптомами. Позже наличие проблемы официально подтвердили и популярные хостинг-провайдеры, включая Timeweb и adminVPS. По их информации инфраструктура серверов работает штатно, а причина, вероятнее всего, связана с изменениями в работе ТСПУ (технических средств противодействия угрозам), через которые проходит трафик российских операторов связи.
Именно поэтому сайт мог открываться у одного пользователя и быть полностью недоступным у другого — в зависимости от оператора связи, региона, маршрута передачи данных, используемого браузера и особенностей обработки TLS-соединения.

Как мы пытались решить проблему
1. Смена хостинг-провайдера
Перевезли мы сайт быстро, но проблемы сохранялись с единственным отличием — теперь сайт был доступен только с браузера Mozilla.
2. Исключили влияние ECH
Новый хостнг-провайдер порекомендовал нам проверить использование технологии ECH (Encrypted Client Hello). Но на сайте:
- используется nginx 1.18.0, а данная версия ECH не поддерживает;
- дополнительная проверка показала, что браузер также не использует ECH.
3. Дополнительные IP-адреса
Параллельно с этим рассматривался вариант покупки нескольких IP-адресов и настройки нескольких A-записей DNS для другого сайта.
Идея заключалась в том, что если один IP окажется недоступен для части пользователей, браузер сможет обратиться ко второму адресу.
После анализа решили этот вариант не внедрять, поскольку при блокировке или фильтрации трафика на уровне операторов связи наличие нескольких IP не гарантирует устранения проблемы.
4. Проксирование через Killbot и DDoS-Guard
Также рассматривались сервисы проксирования (Killbot, DDoS-Guard), которые скрывают реальный сервер за собственной инфраструктурой.
Такой вариант потенциально способен обходить часть сетевых ограничений, однако требует постоянной абонентской платы, которая для крупного сайта с высоким трафиком выходила очень дорогой услугой, даже по меркам среднего бизнеса, которую между этим требовалось еще и согласовать с вышестоящим руководством, которое, мягко говоря, не было погружено в процесс ведения сайтом.
5. Замена IP сервера
Timeweb рекомендовал еще один вариант — заменить IPv4-адрес сервера.
До реализации этого решения дело также не дошло, поскольку был найден более простой способ.
Временное решение
По рекомендации Админ.ВПС мы изменили настройки защищённого соединения и перевели сайт с TLS 1.3 на TLS 1.2.
После изменения:
- сайт начал практически мгновенно открываться через сеть МегаФона;
- успешно прошли проверки через мобильную сеть T2;
- сайт корректно открывался через Wi-Fi Ростелекома.
Именно переход на TLS 1.2 оказался единственным изменением, которое дало подтвержденный положительный результат.
Да, с точки зрения современных рекомендаций TLS 1.3 предпочтительнее. Однако почти во всех случаях сайты не принимают онлайн-платежи и не обрабатывают чувствительные персональные данные, поэтому использование TLS 1.2 является допустимым временным компромиссом между безопасностью и доступностью ресурса.
Интересное наблюдение
Пользователи, сталкивающиеся с подобной проблемой, зачастую могут открыть сайт в Mozilla Firefox. Это связано с особенностями реализации сетевого стека и обработки TLS в данном браузере.

Расскажите о своей задаче
Мы свяжемся, обсудим детали, предложим оптимальный подход и составим понятный план действий.

Александр, project-manager
