dns с впн

dns с впн

Что на самом деле видит ваш DNS-резолвер

Подробный гайд: прокси сервера днс — разбираем утечки, DoH, DoT и риски бесплатных резолверов. Настрой защиту DNS-запросов за 10 минут.
Когда ты вбиваешь в браузер telegram.org, первым шагом идёт не TLS-рукопожатие и не загрузка HTML. Браузер отправляет 56-байтный UDP-пакет на резолвер провайдера — и в этом пакете открытым текстом написано, какой именно домен ты хочешь посетить. Прокси сервера днс — это промежуточное звено, которое подменяет стандартный резолвер оператора на сторонний, теоретически более приватный. На практике всё сложнее: EDNS Client Subnet, SNI-утечки, логообязательства по 152-ФЗ и поддельные kill switch превращают настройку DNS в минное поле. Разбираемся, где заканчивается приватность и начинается иллюзия.
Анатомия DNS-запроса: 56 байт, которые расскажут о тебе всё
Классический DNS работает поверх UDP 53 порта. Структура запроса минималистична: ID транзакции (2 байта), флаги, один вопрос (домен + тип записи) и секция дополнительных данных. Провайдер, видящий этот трафик, узнаёт:
- Точное время запроса — коррелирует с твоей активностью.
- Домен — даже без Deep Packet Inspection понятно, что ты зашёл на habr.com, а не на «новостной портал».
- EDNS Client Subnet (ECS) — расширение, которое передаёт первые 24 бита твоего IP (для IPv6 — первые 56 бит) удалённому резолверу «для ускорения CDN». Cloudflare и Google DNS по умолчанию обрезают ECS до /24, но некоторые провайдеры форвардят полный адрес.
- QNAME — полное имя, включая субдомены. Запрос mail.google.com и drive.google.com — это два разных запроса, по которым можно восстановить паттерн поведения.
Прокси сервера днс решают одну задачу: убрать резолвер провайдера из цепочки. Но если ты просто сменил DNS в настройках Windows на 1.1.1.1, а трафик идёт по-прежнему по UDP 53 без шифрования — любой DPI на уровне магистрального провайдера (Ростелеком, МТС, TransTelecom) видит те же 56 байт. Разница только в том, что теперь их читает не «Дом.ру», а Cloudflare.
DoH, DoT, DoQ: шифрование, которое ломается на уровне SNI
Три современных протокола пытаются закрыть plaintext-утечку:
DNS over TLS (DoT, RFC 7858) — оборачивает DNS-запросы в TLS-туннель на порту 853. Провайдер видит только IP-адрес резолвера и объём трафика. SNI в ClientHello раскрывает имя резолвера (dns.google), но не конкретный запрашиваемый домен.
DNS over HTTPS (DoH, RFC 8484) — прячет DNS внутри HTTPS-трафика на порту 443. Для DPI это выглядит как обычный веб-запрос к cloudflare-dns.com. Проблема: если провайдер режет весь зарубежный HTTPS или применяет TLS-fingerprinting, DoH-трафик легко отфильтровывается по JA3-хешу.
DNS over QUIC (DoQ, RFC 9250) — использует QUIC (UDP + TLS 1.3). Минимальный latency, нет head-of-line blocking, 0-RTT для повторных соединений. WireGuard-туннель с DoQ-форвардингом даёт пинг 4–7 мс до европейского резолвера.
Но есть нюанс, о котором молчат 90% гайдов. SNI-утечка. Даже если DNS зашифрован через DoH, браузер при установке TLS-соединения с целевым сайтом отправляет SNI (Server Name Indication) открытым текстом в ClientHello. Провайдер видит: «этот клиент установил соединение с 104.16.0.1 и в SNI указал protonmail.com». DNS-прокси решил проблему резолвера, но не проблему SNI. Решение — ECH (Encrypted Client Hello, RFC 8484-bis), но его поддержка в браузерах и на серверах пока фрагментарна.
Чего вам НЕ говорят в других гайдах
Большинство материалов сводится к «смени DNS на 1.1.1.1 и будет счастье». Вот что остаётся за кадром:
1. Бесплатные DNS-прокси продают метаданные. NextDNS в бесплатном тарифе хранит логи 24 часа. AdGuard DNS (публичный) декларирует no-log, но юридическое лицо зарегистрировано на Кипре — юрисдикция, не входящая в 14 Eyes, но с туманным прецедентным правом. Quad9 (швейцарская IBM + GCSC) проходит независимый аудит раз в год, но в их privacy policy есть оговорка: «мы можем хранить агрегированные данные для улучшения сервиса». Агрегированные — это как?
2. Fake-утечки и тесты, которым нельзя верить. Проверка на ipleak.net или browserleaks.com показывает DNS-утечки только на уровне браузера. Если ты настроил DoH в Firefox, но система использует DNS провайдера для системных обновлений (Windows Update, apt), эти запросы уходят мимо. Нужна проверка на уровне tcpdump или Wireshark с фильтром port 53.
3. Логообязательства по 152-ФЗ и 149-ФЗ. Российские DNS-провайдеры (Яндекс DNS, SkyDNS) обязаны хранить метаданные 12 месяцев по закону «О связи». Зарубежные сервисы, имеющие представительство в РФ (например, локальные CDN-узлы Cloudflare), могут попасть под требование о локализации данных. Если резолвер физически стоит в Москве — он подпадает под российскую юрисдикцию независимо от регистрации компании.
4. Подделка kill switch. Некоторые «безопасные» DNS-настройки обещают блокировку трафика при обрыве туннеля. На деле: если ты настроил DoH в браузере, а VPN отвалился, браузер молча fallback-ит на системный DNS провайдера. Kill switch работает только на сетевом уровне (iptables/nftables), а не на уровне приложения.
5. DNS-rebinding и CNAME-cloaking. Прокси сервера днс может фильтровать вредоносные домены, но CNAME-маскировка (когда tracker.malware.com имеет CNAME на cdn.legitimate.com) обходит большинство blacklist-фильтров. NextDNS и ControlD частично решают это через анализ цепочек CNAME, но ценой задержки 15–40 мс на каждый запрос.
Прокси сервера днс против VPN: где заканчивается приватность
DNS-прокси и VPN решают разные задачи. Вот честное сравнение без маркетинга:
| Критерий | DNS-прокси (DoH/DoT) | VPN (WireGuard/OpenVPN) |
|---|---|---|
| Что скрывает | Только DNS-запросы от провайдера | Весь трафик + IP-адрес от целевых сайтов |
| Видит ли провайдер SNI | Да, SNI открыт в TLS ClientHello | Нет, SNI внутри туннеля |
| WebRTC-утечка IP | Не защищает, реальный IP виден | Защищает (при корректном kill switch) |
| Скорость | +0–5 мс пинга, без потери throughput | −3–15% throughput на WireGuard, −15–30% на OpenVPN |
| Обход geo-блокировок | Нет (IP остаётся твой) | Да, если сервер в нужной стране |
| Защита в публичном Wi-Fi | Частичная (шифрует DNS, но не HTTP) | Полная (весь трафик в туннеле) |
| Стоимость | Бесплатно или $2–5/мес (NextDNS) | $3–13/мес (нормальный no-log VPN) |
| Юрисдикция логов | Зависит от провайдера резолвера | Зависит от VPN-сервиса + протокола |
Вывод: DNS-прокси — это не замена VPN, а дополнение. Если ты сидишь дома через Ростелеком и хочешь скрыть от провайдера список посещаемых доменов — DoH достаточно. Если ты в кафе и подключаешься к открытому Wi-Fi — нужен VPN, потому что DNS-прокси не шифрует HTTP-трафик и не прячет твой IP от целевого сервера.
Сценарии: когда DNS-прокси спасает, а когда создаёт иллюзию
Сценарий 1. Журналист в командировке. Работает из отеля, сеть гостевого Wi-Fi. Настраивает DoH в браузере — провайдер отеля не видит, какие домены запрашиваются. Но: если журналист зайдёт на сайт по HTTP (без HTTPS), контент виден полностью. Если использует мессенджер без E2E-шифрования — трафик виден. DNS-прокси решает одну задачу, создавая ложное чувство безопасности.
Сценарий 2. Пользователь торрентов. Трекеры и пиры видят реальный IP через DHT и peer exchange. DNS-прокси тут бесполезен: торрент-клиент делает DNS-запросы для резолва трекеров, но основной трафик идёт по TCP/UDP напрямую. Нужен VPN с kill switch и запретом утечек, либо Tor поверх VPN для критичных задач.
Сценарий 3. Обход блокировки мессенджера. Роскомнадзор блокирует по IP и DPI. Смена DNS на зарубежный резолвер не помогает: блокировка на уровне магистральных маршрутизаторов, а не DNS. Нужен VPN или обходные протоколы (Shadowsocks, V2Ray, WireGuard с обфускацией).
Сценарий 4. Корпоративная сеть и split tunneling. IT-отдел настраивает корпоративный DNS-прокси (например, Cisco Umbrella) для фильтрации malware-доменов. Split tunneling позволяет корпоративному трафику идти через VPN, а личному — напрямую. Но если DNS-запросы форвардятся в корпоративный резолвер даже для личных доменов — работодатель видит весь список посещений. Решение: настроить split DNS, где .corp.local идёт в корпоративный резолвер, а остальное — в личный DoH.
Сценарий 5. Умный дом и IoT. Камеры, розетки, холодильники шлют телеметрию на китайские/американские серверы. DNS-прокси с фильтрацией (AdGuard DNS, NextDNS) блокирует известные трекеры. Но: если устройство хардкодит IP-адреса (а многие IoT-устройства так делают), DNS-фильтрация бесполезна. Нужен сетевой экран на уровне роутера.
Настройка: Keenetic, Windows, OpenWrt — пошагово
Keenetic (KeenOS 3.x+):
1. Веб-интерфейс → Мои сети и Wi-Fi → Домашняя сеть → DHCP-сервер.
2. В поле «DNS IPv4» и «DNS IPv6» вводи адрес резолвера (например, 77.88.8.8 для Яндекс DNS или 94.140.14.14 для AdGuard).
3. Для DoH: KeenOS поддерживает DNS-over-HTTPS нативно. Раздел «Интернет-фильтры» → DNS-over-HTTPS → включи, выбери провайдера или введи кастомный URL (https://dns.adguard-dns.com/dns-query).
4. Проверь: ndm show ip name-server в CLI должен показать DoH-адрес, а не провайдерский.
Windows 10/11 (DoH через реестр):
Windows 10 не поддерживает DoH нативно в GUI. Через PowerShell:

Установка DNS-сервера
Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses ("1.1.1.1","1.0.0.1")
Включение DoH (Windows 11 22H2+)
Параметры → Сеть и Интернет → Ethernet → Изменение параметров адаптера → Свойства → IPv4 → Использовать следующие DNS
В Windows 11 23H2+ DoH включается в GUI: "Предпочтительное шифрование DNS" → "Разрешить DoH"

Для принудительного DoH в Windows 10 — используй dnsproxy от AdGuard или dnscrypt-proxy как локальный форвардер на 127.0.0.1:53.
OpenWrt (dnscrypt-proxy + unbound):

opkg update
opkg install dnscrypt-proxy2 unbound-daemon
/etc/config/dnscrypt-proxy
config dnscrypt-proxy 'config'
    option enabled '1'
    option listen_addresses '127.0.0.1:5353'
    option require_dnssec '1'
    list server_names 'cloudflare' 'quad9-dnscrypt-ip4filter-pri-1'
/etc/config/unbound — форвардинг на dnscrypt-proxy
config stub-server
    list domain ''
    option port '5353'
    option addr '127.0.0.1'

Проверка утечек:

tcpdump -i any -n port 53
Должен показать только запросы к 127.0.0.1:5353 (dnscrypt-proxy)
Никаких запросов к DNS провайдера

Таблица: кто из DNS-провайдеров реально не ведёт логи
| Провайдер | Юрисдикция | No-log аудит | Протоколы | ECS | Фильтрация | Цена |
|---|---|---|---|---|---|---|
| Cloudflare (1.1.1.1) | США (9 Eyes) | Да, Deloitte 2023 | DoH, DoT, DoQ | Обрезается до /24 | Нет (в 1.1.1.1) | Бесплатно |
| Quad9 (9.9.9.9) | Швейцария | Да, Cure53 2024 | DoH, DoT, DoQ | Нет | Malware-домены (IBM X-Force) | Бесплатно |
| NextDNS | США / ФРГ (серверы) | Частичный (24 часа) | DoH, DoT, DoQ | Настраивается | Кастомные списки, parental | $0 / $2/мес |
| AdGuard DNS | Кипр | Заявлено, без независимого аудита | DoH, DoT, DoQ, DNSCRYPT | Настраивается | Реклама + трекеры | $0 / €2.99/мес |
| Яндекс DNS (77.88.8.8) | РФ | Нет, хранение 12 мес. по 152-ФЗ | Plain DNS, DoT | Да | Базовая фильтрация (Safe) | Бесплатно |
| ControlD | Канада (5 Eyes) | Да, нет независимого аудита | DoH, DoT, DoQ | Настраивается | Кастомные правила | $0 / $3/мес |
Ключевой вывод по таблице: «no-log» без независимого аудита — это маркетинг. Cloudflare и Quad9 проходят ежегодные проверки. Остальные — декларируют, но не подтверждают.
Вопросы и ответы

Замедлит ли DoH интернет и на сколько?

На WireGuard-канале с пингом 10 мс до сервера DoH добавляет 3–8 мс на первый запрос (TLS handshake). Последующие запросы используют TLS session resumption и идут за 1–2 мс. Если резолвер географически далеко (США из Москвы), задержка вырастет до 80–120 мс на первый запрос. Решение: использовать anycast-резолверы (Cloudflare, Quad9) с узлами в Москве или использовать `dnscrypt-proxy` с автоматическим выбором ближайшего сервера по latency.

🕵️Безопасный серфинг

Может ли провайдер узнать, какие сайты я посещаю, если я использую DoH?

Да, через SNI в TLS ClientHello. Когда браузер устанавливает соединение с `protonmail.com`, он отправляет SNI открытым текстом. Провайдер видит IP-адрес сервера и SNI, даже если DNS-запрос зашифрован. Полная защита — ECH (Encrypted Client Hello), но его поддержка ограничена. Альтернатива: VPN, который прячет весь трафик, включая SNI.

Чем WireGuard + DoH отличается от просто WireGuard?

WireGuard шифрует весь трафик и скрывает DNS-запросы внутри туннеля. Если ты дополнительно настроил DoH внутри WireGuard — это избыточно: DNS уже защищён туннелем. Но если ты используешь split tunneling (часть трафика идёт напрямую), то DoH для «прямого» трафика имеет смысл. Конфигурация: WireGuard туннелит всё, кроме `.local` доменов, которые резолвятся через локальный DNS, а остальной DNS идёт через DoH внутри туннеля.

Почему бесплатные DNS-прокси могут быть опаснее провайдерских?

Бесплатный сервис должен монетизироваться. Варианты: продажа агрегированных метаданных рекламным сетям, внедрение подмены рекламы (как было с Hola VPN, который продавал трафик пользователей в ботнет), сбор данных для таргетинга. Cloudflare 1.1.1.1 — исключение: они монетизируют через Cloudflare for Teams, а публичный DNS — имиджевый проект. Но даже Cloudflare хранит 25 часов логов для отладки (затем удаляет). Quad9 не хранит ничего, но фильтрует malware-домены через IBM X-Force — значит, они знают, какие домены считаются вредоносными, и могут обновлять списки.

🔑Приватность онлайн

Как проверить, нет ли DNS-утечек на моём роутере?

Подключись к Wi-Fi роутера, зайди на `browserleaks.com/dns` и `ipleak.net`. Если видишь IP провайдера — утечка. Далее: `tcpdump -i eth0 port 53` на роутере (если есть SSH) или Wireshark на ПК. Фильтр: `dns`. Должны быть только запросы к твоему настроенному резолверу. Если видишь запросы к `router.login` или `isp-dns` — прошивка игнорирует настройки и использует провайдерский DNS. Решение: прописать DNS в `/etc/resolv.conf` вручную и запретить DHCP-форвардинг.

Работает ли смена DNS для обхода блокировок Роскомнадзора?

Нет, если блокировка по IP или DPI. РКН блокирует на уровне магистральных маршрутизаторов (DPI-системы от РДТЕЛЕКОМ, MERA). Смена DNS на зарубежный резолвер не помогает: трафик всё равно идёт через российского провайдера, который видит SNI и IP-адрес заблокированного ресурса. Для обхода нужен VPN, прокси или обходные протоколы (Shadowsocks, V2Ray, WireGuard с obfuscation). DNS-прокси решает другую задачу: скрыть от провайдера список запрашиваемых доменов, но не обойти блокировку.

Что такое DNS-rebinding и как от него защититься?

DNS-rebinding — атака, когда злоумышленник регистрирует домен, который сначала резолвится в легитимный IP, а затем (с низким TTL) в локальный IP (127.0.0.1 или 192.168.1.1). Браузер, считая домен «тем же самым», позволяет JavaScript обращаться к локальному API (роутер, IoT-устройства). Защита: DNS-прокси с фильтрацией rebinding-атак (NextDNS, AdGuard DNS имеют такую опцию), либо отключение JavaScript для недоверенных сайтов, либо использование браузера с изоляцией локальных IP (Firefox `network.dns.disablePrefetchFromHTTPS`).

🕵️Безопасный серфинг

Нужен ли DNS-прокси, если я уже использую Tor?

Tor сам резолвит DNS через exit-ноду, и DNS-запросы не утекают наружу (если не настроен transparent proxy). Добавление DoH поверх Tor избыточно и может сломать схему: DoH-запрос пойдёт через Tor, что добавит задержку и может быть заблокировано exit-нодой. Исключение: если ты используешь Tor Browser с мостами и хочешь скрыть от локального провайдера сам факт использования Tor — тогда DoH для резолва bridge-адресов имеет смысл. Но в 99% случаев: Tor → exit → целевой сайт, DNS уже защищён.

Вывод
Прокси сервера днс — это не волшебная таблетка приватности, а узкоспециализированный инструмент. Они решают конкретную задачу: убрать провайдера из цепочки резолвинга доменов. Но DNS — только один вектор утечки. SNI, WebRTC, IP-адрес, TLS-fingerprinting — всё это остаётся открытым, если не использовать VPN или хотя бы ECH.
Выбор DNS-прокси сводится к трём факторам: юрисдикция (Швейцария > Кипр > США для параноиков), независимый аудит no-log (Cloudflare и Quad9 проходят, остальные декларируют), и поддержка современных протоколов (DoQ предпочтительнее DoH для мобильных сетей с частой сменой IP).
Если ты настраиваешь DNS для дома — Quad9 или Cloudflare 1.1.1.1 с DoH. Если для роутера с фильтрацией рекламы — NextDNS или AdGuard DNS с кастомными списками. Если для критичной журналистской работы — DNS вообще не тот инструмент, который тебе нужен: нужен VPN с kill switch, Tor для анонимизации IP, и ECH-совместимый браузер.
Помни: настройка DNS без понимания остальных векторов утечки создаёт иллюзию безопасности. Иллюзия хуже, чем её отсутствие — она заставляет тебя расслабиться и делать вещи, которые ты бы не делал, зная о реальных рисках. Проверяй утечки через tcpdump, а не через веб-сайты. Читай privacy policy целиком, а не первый абзац. И не верь слову «бесплатно» в контексте приватности.