SNI — это поле «куда вы идёте» в TLS-рукопожатии. В обычном HTTPS-соединении в SNI пишется домен сайта, на который вы заходите. В VLESS Reality SNI используется как маскировка: трафик к VPN-серверу выглядит для DPI как визит на популярный сайт. От правильного SNI зависит, пройдёт ли соединение через ТСПУ. Разберём, как работает SNI в Reality, какие домены брать в 2026, и как сменить SNI в Hiddify, V2RayTun и NekoBox.
Что такое SNI и зачем он в Reality
SNI (Server Name Indication) — расширение TLS, которое отправляется в открытом виде в самом начале рукопожатия. Сервер видит, какой именно сайт вы хотите, и отдаёт нужный сертификат.
Reality использует это поле, чтобы выглядеть «как обычный визит». Когда вы подключаетесь к VPN-серверу, в SNI он пишет домен из списка — например, www.cloudflare.com. DPI видит «пользователь зашёл на cloudflare.com по HTTPS», на самом деле внутри — VLESS-туннель.
Если SNI выбран правильно, ТСПУ не отличит ваш трафик от 90% обычного интернета. Если неправильно — соединение может быть распознано как VPN и зарезано.
Какие SNI работают в РФ 2026
Подходящие домены — крупные, с большим объёмом легитимного TLS-трафика, не блокированные в РФ:
- www.cloudflare.com — самый универсальный, работает почти везде.
- www.microsoft.com — стабильно, доменом много кто пользуется.
- www.apple.com — норма, но иногда нестабильно.
- www.google.com — да, в РФ Google не заблокирован.
- www.bing.com — стабильно.
- www.yahoo.com — рабочий, но менее популярный.
- discord.com — после блокировок Discord — нет, не используйте.
- github.com — бывают замедления, не лучший выбор.
Главное правило: домен должен быть из «обычного TLS-трафика». Чем больше людей легитимно ходят на сайт — тем безопаснее SNI.
Как изменить SNI в клиенте
Hiddify (Android/Windows/Mac/Linux):
- Откройте список профилей.
- Длинный тап по нужному ключу → «Edit».
- В поле SNI впишите новый домен.
- Сохраните.
V2RayTun (iPhone):
- Тап по ключу → шестерёнка.
- В разделе TLS → SNI впишите новый домен.
- Сохраните.
NekoBox (Windows/Android):
- ПКМ по ключу → Edit.
- TLS Settings → Server Name → новый домен.
Когда стоит сменить SNI
- Соединение поднимается, но скорость 0.5-1 Мбит/с — DPI распознал и режет.
- Подключение моментально рвётся.
- TLS handshake идёт, но HTTPS не открывается.
- У провайдера сменилось правило фильтрации.
Простое правило: если что-то не так — попробуйте сменить SNI на www.cloudflare.com. Если стало лучше — оставляйте, если хуже — пробуйте microsoft.com.
Почему сервис должен сам выбирать SNI
Хороший VPN-провайдер уже встраивает в выдаваемый ключ оптимальный SNI и обновляет его, если ТСПУ начинает блокировать конкретный домен. Пользователю не нужно ничего менять руками.
У MyHostBox в ключе VLESS Reality SNI подобран автоматически — на январь 2026 это www.cloudflare.com и www.microsoft.com на разных серверах. Если домен попадает в блокировку, провайдер выдаёт обновлённую конфигурацию.
Подробности по протоколу — на странице ключей.
Распространённые ошибки с SNI
- Использовать SNI домена, заблокированного в РФ (LinkedIn, Facebook).
- Использовать SNI с самоподписанным сертификатом — DPI это считает аномалией.
- Менять SNI на «маленький» домен — мало легитимного трафика, аномалия.
- Использовать SNI того сайта, к которому вы реально ходите — может попасть в логи и спалиться.
Сравнение популярных SNI для Reality
| SNI | Стабильность в РФ | Скорость | Заметки |
|---|---|---|---|
| www.cloudflare.com | 95% | Высокая | Универсальный выбор |
| www.microsoft.com | 90% | Высокая | Стабильно |
| www.apple.com | 85% | Высокая | Иногда подвисает |
| www.google.com | 90% | Высокая | В РФ не блокирован |
| www.bing.com | 85% | Высокая | Реже используется |
| discord.com | 20% | Низкая | Сам Discord под блокировкой |
| github.com | 60% | Средняя | Бывают замедления |
FAQ
Что такое SNI в VLESS Reality простыми словами?
Это маскировка адреса сервера. В TLS-рукопожатии в SNI пишется не реальный VPN-сервер, а популярный сайт (Cloudflare, Microsoft). DPI видит обычный HTTPS-визит и пропускает.
Какой SNI лучший для России в 2026?
www.cloudflare.com и www.microsoft.com — самые стабильные. Для запасного варианта — www.google.com и www.bing.com.
Можно ли использовать любой домен как SNI?
Технически да, но нужно чтобы домен реально отвечал TLS на 443 порту. Иначе DPI заметит несоответствие. Лучше брать из проверенного списка.
Зачем менять SNI, если ключ работает?
Если работает — не меняйте. Менять стоит только если соединение нестабильно или скорость подозрительно низкая.
SNI — это то же самое, что dest в Reality?
Связано. dest — реальный домен, к которому идёт TCP-соединение. SNI — что отправляется в TLS. Обычно их делают одинаковыми, но dest должен быть реально доступен.
Безопасно ли менять SNI на сайт банка?
Технически да, но это плохая идея — если какой-то банк начнёт логировать «странные» подключения, ваш IP может попасть в их анализ. Лучше нейтральные технические домены.
Итог
SNI в VLESS Reality — это сердце маскировки. От правильного домена зависит, пройдёт ли трафик через ТСПУ или сразу попадёт в категорию «VPN, режем».
У MyHostBox SNI настроен автоматически и обновляется при изменении блокировок. Триал 3 дня бесплатно через @tgbpn_bot — вручную ничего настраивать не нужно.