Почему VPN работает на Wi-Fi, но не работает на LTE?

Мобильные операторы применяют более жёсткую фильтрацию протоколов и CGNAT с короткими таймаутами. WireGuard и OpenVPN UDP режутся чаще, чем те же протоколы в домашней сети. Помогает смена протокола на маскирующий и keepalive.

Что такое CGNAT и при чём он к VPN?

CGNAT (Carrier-Grade NAT) — это механизм, при котором тысячи мобильных абонентов сидят за одним внешним IP. У него короткий таймаут на сессии — если по туннелю долго нет трафика, запись пропадает и интернет «теряется». Лечится включением persistent keepalive.

Почему VPN не подключается через мобильный интернет МТС, а через МегаФон работает?

У операторов разные политики фильтрации и разные настройки ТСПУ. Один может блокировать UDP к нестандартным портам, другой — нет. Помогает смена протокола на VLESS Reality или OpenVPN TCP/443.

Какой протокол VPN лучше для мобильного интернета?

Сейчас стабильнее всего идут VLESS с Reality, Hysteria 2 и Shadowsocks 2022 — они маскируются под обычный HTTPS-трафик. Из «классики» — OpenVPN TCP на порт 443 проходит чаще, чем UDP.

Что делать, если VPN на LTE подключается, но интернета нет?

Чаще всего это либо CGNAT-таймаут (нужен keepalive), либо MTU слишком большой (снизить до 1280–1380), либо DNS не разрешается (включить DNS внутри туннеля или 1.1.1.1).

Помогает ли смена APN оператора?

В большинстве случаев нет — стандартный APN оператора для VPN подходит. Но у некоторых ИИ-тарифов и корпоративных SIM-карт APN ограничен, и через него часть протоколов запрещена. Стоит проверить, тот ли APN используется.

Почему VPN не работает на мобильном интернете — разбор

Опубликовано 3 апреля 2026 г. · Дмитрий Рябов

Если VPN нормально работает дома по Wi-Fi, но на мобильном интернете не подключается или подключается без интернета — почти всегда виновата комбинация из трёх причин: операторская фильтрация UDP/протоколов, CGNAT с агрессивным таймаутом и низкий эффективный MTU. Лечится сменой протокола, портов и MTU.

Мобильная сеть устроена иначе, чем домашняя: между вашим устройством и интернетом стоят NAT-операторы, фильтры по типам трафика, ограничения по портам и DPI, который видит и режет нестандартные пакеты. Один и тот же VPN-клиент с теми же настройками может вести себя совершенно по-разному в Wi-Fi и в LTE.

Ниже — разбор, как именно мобильный интернет ломает VPN и что с этим делать. Параллельно проверка через Freedom Checker покажет, у каких операторов сейчас проходит ваш протокол.

Коротко

Мобильные операторы режут UDP сильнее, чем домашние — WireGuard и OpenVPN UDP часто не проходят.
CGNAT обрывает «тихие» туннели через 30–120 секунд — нужен keepalive в настройках VPN.
На LTE эффективный MTU ниже домашнего — WireGuard на 1420 часто рвётся, помогает 1280–1380.
Помогает смена протокола на TCP/443 (OpenVPN TCP, VLESS Reality) или Hysteria 2 с большим keep-alive.
Один и тот же сервис может работать на МегаФоне и не работать на МТС — это норма.

Почему мобильный интернет ломает VPN: основные причины

Не одна причина, а четыре. Какая из них у вас — определяется поведением туннеля при подключении.

1. Операторская фильтрация и блокировка протоколов

Российские мобильные операторы (МТС, МегаФон, Билайн, Tele2, Yota) применяют ТСПУ-фильтры и собственные политики на стыке мобильной сети с интернетом. Голый WireGuard и OpenVPN UDP часто отсекаются по сигнатуре раньше, чем доходят до сервера. На домашнем интернете эта же фильтрация может быть мягче или отсутствовать.

Что помогает: маскирующие протоколы (VLESS Reality, Hysteria 2, Shadowsocks 2022), TCP/443 вместо UDP, AmneziaWG вместо чистого WireGuard.

2. CGNAT и тайм-ауты сессий

Мобильные операторы сажают тысячи абонентов на один внешний IP через Carrier-Grade NAT. У такого NAT агрессивный таймаут: если по соединению ничего не идёт 30–120 секунд, запись таблицы пропадает. После этого следующий пакет приходит «в никуда», туннель считается живым на стороне клиента, но фактически мёртв.

Решение: включить в VPN-клиенте persistent keepalive (для WireGuard — 15–25 секунд), для OpenVPN — параметр keepalive.

3. MTU и фрагментация

Мобильная сеть часто не пропускает большие пакеты. Если внутри туннеля MTU 1420 (стандарт WireGuard), а оператор пропускает только 1400, ICMP-сообщение о «нужна фрагментация» может не дойти. Туннель поднят, а большие пакеты (HTTPS-страницы, видео) теряются.

Решение: снизить MTU до 1280–1380 в настройках VPN-клиента.

4. Региональные различия и роуминг

Один и тот же оператор в разных регионах настраивает ТСПУ по-разному. В роуминге между регионами также возможны разные политики. Это объясняет, почему у вас VPN работал в одном городе и сломался в другом без видимой причины.

Как понять, что именно сломалось

Симптом	Возможная причина	Что проверить
На Wi-Fi работает, на LTE — не подключается совсем	Оператор блокирует протокол / порт	Сменить на VLESS Reality / Hysteria 2 / TCP 443
Подключается, но через минуту-две интернета нет	CGNAT обрывает сессию по таймауту	Включить persistent keepalive 15–25 сек
Сайты грузятся медленно или «зависают» на больших файлах	MTU слишком большой	Снизить MTU до 1280–1380
На одном операторе работает, на другом — нет	Разные политики фильтрации	Сменить протокол на маскирующий
В одном городе работает, в другом — нет	Региональные настройки ТСПУ	Проверить с другим протоколом
Подключается и сразу отключается	DPI режет handshake	Перейти на Reality / Hysteria, отключить агрессивный энергосейв

Как проверить прямо сейчас

Freedom Checker регулярно проверяет доступность сайтов и протоколов через российских мобильных операторов. Это позволяет понять, проблема ли в конкретно вашем устройстве/настройке или в политике оператора в целом.

Простая проверка: подключитесь к LTE, попробуйте открыть нейтральный сайт без VPN. Если открывается — мобильный интернет жив, проблема в туннеле. Если не открывается ничего — проблема с APN, балансом или зоной покрытия.

Проверить доступность через Freedom Checker

Сбой или блокировка?

Если VPN не работает только в LTE одного оператора, а у других операторов в том же регионе — работает, это операторская фильтрация. Помогает только смена протокола.

Если перестало работать одновременно у всех операторов в регионе — вероятно, региональная блокировка по IP подсети сервиса или массовая работа ТСПУ. Помогает смена VPN-сервиса или протокола.

На что обратить внимание

Сравните поведение в Wi-Fi и в LTE — это сразу скажет, кто виноват.
Попробуйте раздать LTE с другого телефона — это отделит проблему сети от проблемы устройства.
На Android отключите экономию заряда для VPN-приложения — иначе сервис будет убиваться в фоне.
Проверьте APN оператора — у некоторых ИИ-тарифов специальные APN, через которые VPN запрещён.
Не выключайте мобильные данные и Wi-Fi одновременно — VPN может «зависнуть» на старом интерфейсе.
Включите в VPN-клиенте принудительный TCP/443 — это самый «незаметный» транспорт.
Ситуация может отличаться по оператору, региону и времени проверки.

Вывод

Мобильный интернет ломает VPN иначе, чем домашний: фильтрация по протоколу + CGNAT-таймауты + ограничения MTU. Решает не сам сервис, а правильная связка протокола, портов и keepalive.

Если ваш VPN падает только на LTE — почти всегда помогает переключение на маскирующий протокол через TCP/443 и снижение MTU.

Проверить сейчас