🌫️ Дымка VPN Открыть бота →
split routing ·bypass ·клиенты

Дымку не нужно отключать на Госуслугах и Сбере

Российские сайты в Дымке идут мимо VPN автоматически — банки видят домашний IP, Госуслуги работают мгновенно. Разбор: какие клиенты подхватывают правила из коробки.

КД Команда Дымки
· · 6 мин чтения

Включил VPN — и Сбербанк-онлайн ругается «необычная активность», Госуслуги показывают капчу, Wildberries не пускает в личный кабинет. Привычная история для тех, кто пользуется зарубежным VPN. У Дымки этой проблемы нет: российские сайты ходят напрямую, мимо туннеля. И не потому, что вы что-то настроили — это уже зашито в подписку, которую выдаёт бот.

В этой статье — что именно отправляется мимо VPN, как это устроено технически и в каких клиентах правила подхватываются автоматически, а где их придётся доводить руками.

Зачем вообще делить трафик

Если весь трафик гнать через зарубежный сервер, два следствия. Первое: российские сайты грузятся медленнее — пакеты делают лишнюю петлю в Хельсинки или Амстердам. Второе и важнее — банки и финансовые сервисы видят, что вы заходите с иностранного IP. Антифрод-системы Сбера, Тинькофф, Альфы могут сбросить сессию, потребовать верификацию по СМС или временно заблокировать вход. Госуслуги тоже вписаны в anti-fraud — захóды с зарубежных IP считаются подозрительными.

Разделение трафика (split routing) решает обе проблемы одним движением. Российские домены и российские IP-адреса идут через ваш домашний интернет, мимо VPN. Остальное — через туннель Дымки. Банки видят нормальный домашний IP, YouTube видит финский, всё работает.

Что именно ходит мимо VPN

Конкретно в подписке Дымки настроены такие правила (одинаково в форматах v2ray, Clash и sing-box):

  • Все домены .ru, .su, .рф идут direct без всяких списков
  • Категория geosite:category-ru из базы runetfreedom/russia-v2ray-rules-dat — это VK, Yandex, Mail.ru, ВКонтакте, Кинопоиск, Avito, Wildberries, Ozon, Сбербанк, Тинькофф, ВТБ, Альфа, Госуслуги, MAX, и сотни других сервисов, у которых домен не .ru, но юридически они российские
  • Все IP-адреса geoip:ru — на случай если сайт использует CDN или хостится локально
  • Приватные сети192.168.x.x, 10.x.x.x и далее (чтобы локальный роутер и принтер работали как обычно)
  • BitTorrent-трафик — direct, чтобы не нагружать VPN-канал

База runetfreedom — это активно поддерживаемый проект (обновления каждые 6 часов), специально созданный для российских пользователей, в отличие от стандартной loyalsoldier/v2ray-rules-dat, заточенной под Китай.

Решение «куда отправить запрос» принимается на устройстве до входа в VPN-туннель. Поэтому российские сайты видят ваш домашний IP, а не IP сервера Дымки.

Как это работает технически

Когда вы открываете gosuslugi.ru, клиентское приложение (v2rayNG, Hiddify, Karing — любое) сначала смотрит на домен и IP назначения. Если домен заканчивается на .ru или попадает под geosite:category-ru, или IP назначения находится в подсетях geoip:ru — пакет уходит через default route операционной системы, минуя туннель. Если ничего не совпало — заворачивается в VLESS+Reality и уходит на сервер Дымки в Финляндии или Нидерландах.

Стратегия маршрутизации — IPIfNonMatch. Сначала клиент проверяет домен по правилам. Если по домену не понятно — резолвит DNS и проверяет полученный IP по geoip:ru. Это ловит хитрые случаи: например, vk.com (домен .com, не .ru), но IP-адреса VK всегда в российских подсетях — поэтому он автоматически уходит direct.

Отдельная история — DNS. Подписка Дымки настраивает раздельный DNS:

  • Российские домены резолвятся через Yandex DNS (77.88.8.8) — он знает локальные CDN, работает быстрее и не подвержен RKN-роутам
  • Всё остальное — через Cloudflare DNS-over-HTTPS (1.1.1.2), запросы идут через VPN, защищены от прослушки на пути

На каких клиентах работает из коробки

Главное условие: клиент должен импортировать подписку в полном формате (с правилами маршрутизации), а не как просто список серверов. Это разделяет клиенты на две категории.

Полная поддержка — рекомендуем

Hiddify (Windows / macOS / Linux / Android / iOS) — забирает sing-box-формат подписки целиком, со всеми правилами, DNS-настройками и rule-sets. После добавления подписки от @dymka_app_bot всё работает без единого касания настроек.

Karing (Windows / Android / iOS) — тоже sing-box под капотом. Поддерживает все правила маршрутизации Дымки. Дополнительный плюс: в марте 2026 закрыл известную уязвимость с локальным SOCKS5-прокси (см. ниже).

sing-box CLI (Linux / macOS / Windows) — если вы продвинутый пользователь, разворачиваете на сервере или роутере: подписка отдаётся в готовом sing-box-формате, скачать → запустить.

Clash Meta / Stash / FlClash (cross-platform) — подписка в Clash-формате содержит полные правила (GEOSITE,category-ru,DIRECT, DOMAIN-SUFFIX,ru,DIRECT, GEOIP,RU,DIRECT). Работает из коробки.

Частичная поддержка — потребуются 2 минуты настройки

v2rayNG (Android) — стандартный клиент в инструкциях бота. Импорт VLESS-ссылки добавляет только сервер, без правил. Чтобы включить bypass: настройки → роутинг → импортировать набор правил Russia от runetfreedom (одна ссылка). После этого geoip:ru и домены .ru идут direct.

Streisand (iOS) — стандартный клиент для iPhone. Та же история: VLESS-ссылка добавляет сервер без правил. Настройки → Routing → создать профиль с правилами domain:ru + geoip:ru → direct. На iOS есть нюанс с памятью: лимит около 50 МБ на туннель не позволяет загружать полную базу geosite:category-ru. Используется упрощённое правило domain:ru / .su / .рф + geoip:ru — этого хватает для 95% повседневных российских сайтов.

v2rayN (Windows) — после PR runetfreedom/v2rayN#5829 поддерживает встроенный «Russia preset». Один клик в настройках — все правила подгружаются автоматически.

Без полноценной поддержки

Встроенный VPN-клиент iOS (L2TP/IKEv2), стандартный Windows VPN, OpenVPN-клиенты — не имеют понятия о split routing на уровне домена. Через них вся российская интернет-жизнь идёт через зарубежный туннель, со всеми последствиями.

Как проверить, что bypass работает

Самый простой тест — открыть 2ip.ru или reg.ru/web-tools/myip с включённой Дымкой. Должен показать ваш реальный домашний IP, не финский или нидерландский. Если показывает зарубежный — split routing не активен. Проверьте в клиенте, что подписка импортирована полностью (с правилами), а не как обычный URL.

Второй тест — Госуслуги. Откройте gosuslugi.ru с включённой Дымкой. Если страница появляется мгновенно, без капчи и без предупреждения «обнаружена необычная активность» — bypass работает.

Третий тест — Сбербанк-онлайн. Зайти в личный кабинет с включённой Дымкой. Если не требует подтверждения по СМС и не блокирует сессию — значит банк видит ваш домашний IP, всё в порядке.

Безопасность: уязвимость localhost-прокси

В феврале-марте 2026 в технических сообществах обсуждали серьёзную уязвимость xray/sing-box-клиентов на мобильных устройствах. Суть: клиент поднимает локальный SOCKS5-прокси без авторизации, чтобы перехватывать системный трафик через VpnService. Параллельно любое приложение на том же устройстве — Сбербанк-онлайн, Госуслуги, MAX, Wildberries, Yandex, Касперский — может подключиться к этому локальному прокси напрямую и обойти split routing. Российский софт может узнать ваш реальный exit-IP, даже если правила маршрутизации настроены идеально.

К маю 2026 уязвимость закрыли через авторизацию локального порта (логин/пароль) в этих клиентах: v2rayNG, v2rayN, Karing, Throne, Happ, v2rayTun. Не закрыли (на момент публикации): Streisand, Hiddify, NekoBox, V2Box.

Что делать практически:

  • На Android, если стоит банковский софт и MAX — выбирайте v2rayNG или Karing, в настройках задайте логин/пароль для локального прокси (Settings → Inbound Settings)
  • На iOS — Streisand работает, но если параноидально относитесь к утечкам, переключайтесь на Karing с авторизацией
  • На Windows / macOS — v2rayN или Karing с включённой Inbound Authorization

Это разовая настройка, после неё локальный SOCKS5 требует логин/пароль, и системный VPN-трафик продолжает работать как обычно через VpnService/TUN.

Итог

Split routing у Дымки — не маркетинговая обёртка над «отключайте VPN на сайте банка вручную». Это работающий технический механизм: правила в подписке, актуальная база runetfreedom, раздельный DNS через Yandex для российских доменов и Cloudflare для остального. Бот выдаёт подписку в трёх форматах — выбирайте клиент под свою платформу, и Госуслуги, банки, маркетплейсы будут работать как до VPN.

Если ещё не пробовали — @dymka_app_bot, 1 ГБ/день бесплатно. Самый простой путь: бот → ваше устройство → клиент Hiddify или Karing — split routing включится автоматически.

— От команды Дымки

Хочешь VPN, который проходит ТСПУ?

Дымка использует VLESS+Reality+XHTTP — трафик маскируется под обычный HTTPS, поэтому DPI его не отличает. 1 ГБ/день бесплатно навсегда, безлимит за 50 ₽ первый месяц.

⚡ Открыть @dymka_app_bot → Добавить прокси в Telegram

Telegram работает? Открой бота. Не подключается? Добавь прокси — бот появится сам.

— Ещё в блоге
VLESS

VLESS Reality для чайников — простое объяснение протокола

Что такое VLESS Reality на пальцах. Как протокол маскирует VPN-трафик под обычный HTTPS и почему это работает в России в 2026.

Читать → ТСПУ

Как работает ТСПУ — техническое объяснение блокировок 2026

Что такое ТСПУ, как Роскомнадзор замедляет YouTube и блокирует VPN. Разбор технологий DPI, Deep Packet Inspection и SNI-фильтрации в России.

Читать →