← К библиотеке
Безопасность Теория

Cloudflare ECH и блок из РФ: почему сайт не грузится

Классическая загадка: твоя панель или сайт стоит за Cloudflare, из-за границы открывается идеально, из РФ без VPN — глухо, а сам домен нигде не заблокирован. Разберём, почему так происходит, при чём тут ECH и как это связано с тем, что инспекция теперь читает не имена, а поведение.

Симптом, который сбивает с толку

Ситуация, на которой залипают почти все операторы. Ты поднял панель, сайт или мини-приложение за Cloudflare — включил проксирование, оранжевое облако. Из-за границы всё летает, отдаёт 200, домена нет ни в одном блоклисте. А из РФ без VPN страница просто не открывается: соединение виснет и рвётся. Стоит включить любой VPN — и всё сразу работает.

Первая мысль — «домен заблокировали». Проверяешь по спискам — нет. Вторая — «origin лёг». Но из-за границы он отвечает. Третья — «Cloudflare забанил РФ». Тоже нет, другие сайты за CF открываются. Загадка в том, что виновата не блокировка домена и не сервер, а конкретное TLS-расширение.

Что такое ECH и почему он ломается

Корень проблемы — ECH (Encrypted Client Hello), который Cloudflare с некоторых пор включает на зоне по умолчанию. Чтобы понять, при чём тут он, вспомним, как вообще устроено начало HTTPS-соединения.

Когда браузер стучится на сайт, он в самом первом сообщении (ClientHello) открытым текстом называет, к какому имени идёт, — это поле SNI. Именно по нему инспекция трафика годами и работала: увидел запрещённое имя в SNI — сбросил соединение. ECH придуман, чтобы закрыть эту дыру: он шифрует ClientHello целиком, включая SNI. Инспекция больше не видит, к какому сайту ты идёшь.

Звучит как благо для приватности — и является им в остальном мире. Но с конца 2024 года российская инспекция реагирует на ECH именно к Cloudflare предельно грубо: раз имя спрятано и это соединение к CF, оно рвёт хендшейк целиком. Логика простая — «не вижу, куда идёт клиент, но вижу, что это ECH к Cloudflare → сброс».

Почему через VPN работает

Теперь понятно, почему VPN лечит симптом. Когда ты под VPN, твой трафик выходит в интернет за пределами зоны действия российской инспекции. Хендшейк с ECH до Cloudflare происходит уже с зарубежной точки, где никто его не рвёт. Инспекция внутри страны видит только зашифрованный туннель до твоей ноды и понятия не имеет, что внутри — обращение к сайту за CF.

То есть сам сайт всё это время был доступен. Проблема жила ровно на участке «российский клиент → Cloudflare», и только из-за ECH. Домен не в бане, origin жив, CF работает — а страница не грузится. Отсюда и путаница.

Как это подтвердить, не гадая

Признак, отличающий этот случай от настоящей блокировки, — наличие ECH-конфига в DNS-записи домена. Cloudflare публикует его в специальной HTTPS-записи (тип 65): там появляется параметр ech= и маркер cloudflare-ech.com. Если он есть — почти наверняка ты поймал именно этот сценарий, а не блокировку. Если его нет, а сайт всё равно недоступен из РФ, — причина другая, и лечить надо иначе.

Идея в том, чтобы не чинить вслепую. Симптом «открывается только с VPN» встречается и при реальной блокировке домена, и при отравлении DNS, и при ECH. Различить их — вопрос одной проверки DNS-записи, а не перебора решений наугад.

Что с этим делать (и почему это про весь дизайн)

Лечится это на стороне Cloudflare — ECH на зоне можно выключить, и тогда российская инспекция снова видит обычный ClientHello, который она не трогает, и страница открывается без VPN. Это обратимая настройка на несколько минут, применяется сразу ко всем поддоменам зоны. Конкретные шаги — вопрос практики, здесь важнее понять механику.

А механика эта — часть большой картины. Инспекция трафика в 2026 давно не работает по спискам IP и доменов. Она реагирует на то, как выглядит соединение: спрятанный SNI к известному провайдеру — сигнал сам по себе, даже без запрещённого имени. Это ровно та же логика, по которой душат VPN-протоколы: не «что за адрес», а «почему это соединение выглядит необычно». Понимаешь эту логику — понимаешь, почему одни вещи из РФ открываются, а другие нет, и перестаёшь чинить вслепую.

Как именно выключить ECH в панели Cloudflare и что делать, если CF троттлит зону целиком, — в практических статьях про чистый вход и обход блокировок. А общую логику поведенческой инспекции разбираем в разделе про обход DPI.

Следующий гайд Чеклист анонимности оператора → Не понравилась статья или что-то непонятно? Напишите мне — помогу или поправлю. @notrealvpn →
Материал носит образовательный характер и посвящён инженерии сетевой инфраструктуры. Вы отвечаете за соблюдение законов своей юрисдикции.