Кратко — это не обязательно «только у вас», и вероятность того, что проблема на стороне МегаФона, достаточно высока. Ниже — почему так бывает, какие проверки сделать и какие обходы использовать.
Почему это может случаться
- DPI / фильтрация трафика. Некоторые мобильные операторы применяют глубокую проверку пакетов и «не пропускают» VPN‑протоколы (SSTP, OpenVPN и т. п.), даже если порт 443 открыт для обычного HTTPS. SSTP хоть и работает поверх TLS/443, имеет специфичный HTTP‑запросы и может детектироваться и блокироваться.
- Прозрачный прокси / WAP‑шлюз. Оператор может заставлять весь трафик идти через прокси/шлюз, который допускает только «правильный» HTTPS (обычные браузерные запросы) и блокирует «сырой» TLS/необычные HTTP‑методы.
- CGNAT / маршрутизация / IPv6. У мобильных APN часто нет публичного IPv4 или используется CGNAT — для исходящих соединений это обычно не мешает, но при некоторых апн/режимах (только IPv6, NAT64) пакеты к вашему серверу могут неправильно переводиться.
- Локальные ограничения APN. Некоторые APN (например «wap») явно ограничивают соединения, есть «internet» APN с более свободными правилами.
Что проверить (диагностика)
1. Убедиться, что APN на телефоне — «internet» (без прокси). В настройках точки доступа (APN) поле Proxy должно быть пустым.
2. Узнать внешний адрес, с которого выходит телефон: зайдите на 2ip.ru или whatismyip и посмотрите, публичный ли это IPv4 или адрес из диапазона оператора (CGNAT).
3. Проверить доступность TCP-порта 443 к серверу с телефона:
- На ПК в сети МегаФон: nc -vz <IP_сервера> 443 или telnet <IP_сервера> 443
- Или на Android: приложения типа Network Utilities, PortDroid, либо Termux + nc/openssl.
4. Попробовать установить TLS‑соединение: openssl s_client -connect <IP>:443 -servername <ваш_домен>. Если TCP соединение не устанавливается или TLS не происходит — блокировка/маршрутизация.
5. Попробовать подключиться к вашему SSTP‑серверу с другого мобильного оператора (симка другого провайдера) — если работает, то виноват МегаФон.
Быстрые экспериментальные проверки
- Поменяйте порт SSTP‑серверу на какой‑нибудь другой (например 4433 или 8443) и попробуйте подключиться с телефона через МегаФон. Если на другом порту работает — оператор фильтрует/инспектирует 443.
- Попробуйте другой VPN‑протокол: OpenVPN TCP на 443, SoftEther (может маскироваться под HTTPS) — некоторые «обфускаторы» обойдут DPI.
- Подключите ноут к раздаче телефона (или к USB‑модему МегаФон) и с него выполните tcpdump/wireshark, чтобы посмотреть, что делается с пакетом.
Возможные решения / обходы
- Попросить у МегаФона уточнить DPI/фильтрацию и проброс портов; часто техподдержка говорит «ограничений нет», но у службы фильтрации трафика есть политики в разных регионах/на разных APN.
- Использовать другой APN (интернет), либо если есть — подключиться к тарифу/услуге без блокировок VPN.
- Перенести VPN на порт/протокол, который оператор не фильтрует (например, SoftEther/HTTPS‑обёртка, OpenVPN TCP 443 с mimic‑режимом).
- Использовать SSH/HTTPS‑туннель (stunnel, websockify, etc.) или коммерческие VPN с обфускацией.
- Если критично иметь сервер в мобильном интернете — учесть, что мобильный оператор, скорее всего, даст CGNAT и входящие подключения будут недоступны (нужен статический публичный IP/услуга «публичный IP»).
Вывод
Хотя техподдержка МегаФона может заявлять «ограничений нет», на практике мобильные сети часто фильтруют/инспектируют трафик (особенно на 443), и это наиболее правдоподобная причина, почему SSTP с телефона, подключённого к МегаФон, тайм‑аутится. Сделайте шаги диагностики выше (APN, проверка TCP 443, смена порта/протокола). Если тесты покажут, что TCP на 443 не проходит или что на другом порту всё работает — это прямой индикатор блокировки/фильтрации со стороны оператора.