dns proxy что это в роутере

dns proxy что это в роутере

Твой провайдер видит всё: закрываем сетевые дыры

Подробный гайд: dns прокси от рекламы — настраиваем DoH и Pi-hole, закрываем утечки и защищаем роутер. Читай до конца и блокируй слежку провайдера!
Если ты просто вбил dns прокси от рекламы в настройки роутера, поздравляю: ты сменил одного наблюдателя на другого. Разбираем, как реально работает фильтрация трафика и где прячутся дыры. Большинство пользователей считает, что смена сервера в интерфейсе маршрутизатора мгновенно очищает эфир от баннеров и трекеров. На практике ты просто меняешь шило на мыло, перекладывая свои логи из рук одного провайдера в руки другого, если не понимаешь механику перехвата. Давай вскроем эту тему без маркетинговой шелухи и посмотрим, как устроена сетевая гигиена на уровне пакетов.
Анатомия перехвата: как Ростелеком и МТС видят ваши запросы
Когда твой смартфон или ноутбук пытается открыть сайт, он сначала спрашивает у DNS-сервера, какой IP-адрес привязан к доменному имени. По умолчанию этот вопрос летит по протоколу UDP на 53 порт в абсолютно открытом виде. Представь, что ты отправляешь почтовую открытку: любой сортировщик по пути следования может прочитать текст, не вскрывая конверт.
Именно так работают узлы глубокой проверки пакетов (DPI), которые стоят на шлюзах крупных операторов вроде Ростелекома, МТС или Билайна. DPI видит каждый твой запрос. Провайдер не просто знает, что ты сидишь в интернете. Он видит точную структуру твоих интересов: какие медицинские порталы ты гуглишь ночью, какие новостные сводки читаешь, куда пытаешься зайти, но получаешь заглушку от Роскомнадзора.
Более того, открытый DNS — это идеальная площадка для инъекций. Ты наверняка сталкивался с ситуацией, когда вместо ожидаемого сайта тебе показывают «партнерскую» страницу с рекламой казино или сомнительных товаров. Это не магия и не вирус на твоем устройстве. Это подмена DNS-ответа на уровне провайдера. DPI перехватывает твой UDP-пакет, генерирует фальшивый ответ с IP-адресом своего сервера и отправляет его тебе раньше, чем успеет ответить легитимный DNS. Твой браузер послушно открывает подставную страницу.
Шифрование как гигиена: DoH, DoT и QUIC против DPI
Чтобы отрезать провайдеру возможность читать твои открытки, нужно запечатать их в бронированный сейф. Для этого были разработаны протоколы шифрованного DNS.
DNS-over-TLS (DoT) работает поверх TCP на порту 853. Он оборачивает стандартный DNS-запрос в TLS-туннель. Это надежно, но TCP имеет свои недостатки: он чувствителен к потерям пакетов и может добавлять задержки (head-of-line blocking), если ты сидишь на нестабильном мобильном интернете.
DNS-over-HTTPS (DoH) использует стандартный 443 порт, тот же, что и обычный защищенный веб-трафик. Для DPI провайдера твой DNS-запрос теперь неотличим от запроса к банку или социальной сети. Провайдер видит только IP-адрес DNS-сервера и объем переданных данных, но не видит сами домены. Однако DoH работает поверх TCP, поэтому наследует его проблемы с задержками.
DNS-over-QUIC (DoQ) — это современный стандарт на базе UDP. Он использует 0-RTT (zero round-trip time), что означает установление соединения и отправку первого зашифрованного запроса в одном пакете. WireGuard добавляет 5 мс пинг и 97% от скорости канала, а DoQ в связке с ним творит чудеса: ты получаешь молниеносное разрешение доменов без уязвимостей TCP.
Но есть нюанс. Если ты используешь DoH, провайдер все равно может анализировать SNI (Server Name Indication) в TLS-рукопожатии, если ты обращаешься к самому DNS-серверу по доменному имени, а не по IP. Чтобы избежать этого, современные клиенты используют IP-адреса DNS-резолверов или ESNI/ECH (Encrypted Client Hello), скрывая даже имя целевого сервера.
Чего вам НЕ говорят в других гайдах
Любой популярный блогер покажет тебе красивую картинку с зелеными галочками после настройки фильтра. Но в мире инфобеза дьявол кроется в деталях, о которых принято молчать.
Бесплатные сыры и продажа трафика. Поддержание инфраструктуры DNS-серверов стоит денег. Аренда мощностей, защита от DDoS, зарплата инженеров. Если сервис позиционируется как «бесплатный DNS без рекламы», задай себе вопрос: кто оплачивает счета? Ответ прост: твои данные. Некоторые бесплатные провайдеры агрегируют метаданные (какие домены и с каких IP запрашиваются), обезличивают их (якобы) и продают дата-брокерам или рекламным сетям для построения поведенческих профилей.
Фейковые утечки и политика No-Logs. Красивая надпись «Мы не храним логи» на лендинге часто сопровождается сноской мелким шрифтом. Под логами понимается содержание запросов. Но при этом провайдер может хранить «connection timestamps» (время сессий), IP-адреса клиентов и объем трафика для «предотвращения злоупотреблений». По запросу суда этих метаданных достаточно, чтобы идентифицировать тебя и привязать твою активность к конкретному времени.
Отсутствие независимых аудитов. В мире VPN-сервисов нормой стало проходить аудиты у Cure53 или Quarkslab, которые проверяют архитектуру на наличие бэкдоров и подтверждают отсутствие логов. Индустрия DNS-прокси этим не страдает. Ты просто веришь разработчику NextDNS или AdGuard на слово, что их серверный код не пишет твой трафик на скрытые разделы дисков.
Поддельный Kill Switch. Ты настроил split tunneling: торренты идут через VPN, а остальной трафик — напрямую. Ты включаешь DNS-прокси для блокировки рекламы. Но что происходит, когда сессия VPN обрывается? Правильный kill switch должен полностью остановить сетевой интерфейс. Дешевые реализации просто откатывают настройки маршрутизации к дефолтным. В этот момент твой трафик, включая DNS-запросы, мгновенно улетает в открытый шлюз провайдера. Ты этого не заметишь, но все твои «защищенные» действия за последние секунды уйдут в лог оператора.
Битва титанов: NextDNS, AdGuard и Pi-hole в полевых условиях
Чтобы не быть голословным, давай сравним конкретные решения. Мы берем не маркетинговые обещания, а сухие технические факты.
| Сервис | Юрисдикция и суды | Поддерживаемые протоколы | Реальная скорость (отклик) | Цена и лимиты | Аудит и прозрачность |
| :--- | :--- | :--- | :--- | :--- | :--- |
| NextDNS | США (14 Eyes). Высокий риск выдачи по суду. | DoH, DoT, DoQ, Anonymized EDNS | ~15-25 мс (зависит от региона) | Бесплатно до 300к запросов/мес, далее $2/мес | Код частично открыт, аудита инфраструктуры нет |
| AdGuard DNS | Кипр / РФ (есть локальные узлы). | DoH, DoT, DoQ, DNSCrypt | ~10-20 мс (отличные пиры в СНГ) | Бесплатно, Premium от €2/мес | Есть прозрачные отчеты, код фильтров открыт |
| ControlD | Канада (5 Eyes). | DoH, DoT, DoQ | ~30-40 мс | Бесплатно, Pro от $3/мес | Молодой сервис, аудитов пока нет |
| Pi-hole (Self) | Твоя квартира (Твоя юрисдикция). | Только локальный UDP 53 (требует DoT-форвардера) | ~1-2 мс (локально) | Бесплатно (нужно железо, от 3000 руб за Pi) | Полная прозрачность, код открыт, логи только у тебя |
| Yandex DNS (Basic) | РФ. Подчиняется законам Яровой. | DoH, DoT, UDP 53 | ~5-10 мс (максимально быстро) | Бесплатно | Полное логирование, передача данных в ОРД |
Примечание: Pi-hole сам по себе не шифрует трафик. Он работает как локальный кэш и фильтр. Чтобы защитить его от провайдера, ты должен настроить на самом роутере или сервере с Pi-hole форвардинг запросов через Stubby или Unbound по протоколу DoT/DoQ.
Маршрутизация без дыр: Split Tunneling и локальные убийцы
Настройка DNS-фильтра на уровне всей сети — это хорошо, но она убивает умный дом. Твоей лампочке Yeelight или роботу-пылесосу не нужен шифрованный DoH, они просто не умеют в него, и если ты заставишь их ходить через туннель, они отвалятся. Здесь на сцену выходит split tunneling на уровне DNS.
В Keenetic или OpenWrt ты можешь настроить политику маршрутизации:
1. Весь трафик с MAC-адресов твоего ноутбука и смартфона идет на локальный IP-адрес Pi-hole или в зашифрованный туннель.
2. Трафик с MAC-адресов умных устройств идет напрямую в интернет, минуя фильтр.
Но как заставить «умные» приложения на Android или Windows использовать именно твой DNS, если они hardcoded на 8.8.8.8 (Google DNS)?
Решение — жесткий файрвол. В Linux (OpenWrt, роутеры на Entware) ты можешь использовать iptables, чтобы просто дропать все исходящие UDP и TCP пакеты на 53 порт, которые не идут на твой локальный резолвер.

Разрешаем DNS только на наш локальный Pi-hole
iptables -A OUTPUT -p udp --dport 53 -d 192.168.1.10 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -d 192.168.1.10 -j ACCEPT
Блокируем все остальные попытки обратиться к внешним DNS
iptables -A OUTPUT -p udp --dport 53 -j DROP
iptables -A OUTPUT -p tcp --dport 53 -j DROP

Эта нехитрая манипуляция гарантирует, что даже если вредоносное ПО или кривой софт попытается «стучаться» напрямую к провайдеру, оно получит таймаут. Приложению ничего не останется, кроме как использовать системные настройки, где прописан твой защищенный DNS.
Отдельная боль — утечки через WebRTC. Если ты сидишь в браузере и используешь DNS-прокси для обхода блокировок или скрытия факта использования VPN, WebRTC может пробить дыру. Он умеет определять твой реальный локальный и публичный IP-адрес, игнорируя настройки DNS и даже прокси. Чтобы закрыть эту дыру, в настройках браузера (или через расширения вроде uBlock Origin) нужно жестко запретить обработку ICE-кандидатов, либо использовать флаги командной строки при запуске.
Вывод
Слепая вера в то, что волшебная строчка в настройках роутера решит все проблемы приватности, ведет к ложному чувству безопасности. Грамотный dns прокси от рекламы — это не конечная точка, а лишь фундамент. Он требует обязательного шифрования канала через DoH/DoT, жесткого контроля маршрутизации через split tunneling и понимания того, кому именно ты доверяешь свои метаданные. Только выстраивая многоуровневую защиту, где DNS-фильтрация работает в связке с проверенными протоколами и файрволами, ты возвращаешь себе реальный контроль над своим цифровым следом.

Замедляет ли шифрованный DNS интернет по сравнению с обычным?

Если говорить о «голом» UDP, то да, шифрование добавляет задержку на установку TLS-сессии. Но на практике ты этого не заметишь. Во-первых, современные DNS-клиенты кешируют соединения. Во-вторых, если ты используешь DNS-over-QUIC (DoQ), он работает по протоколу UDP и использует 0-RTT, что убирает лишние рукопожатия. Более того, DoH и DoT часто оказываются быстрее, потому что провайдеры иногда искусственно режут приоритет UDP 53 в часы пик, а HTTPS-трафик (443 порт) они боятся трогать, чтобы не сломать доступ к банкам и госуслугам.

Увидит ли провайдер, что я блокирую рекламу через DoH, и сможет ли это заблокировать?

Провайдер не увидит сами домены, которые ты запрашиваешь, потому что они спрятаны внутри TLS-туннеля. Но он увидит IP-адрес твоего DNS-сервера (например, серверов AdGuard или NextDNS) и объем трафика. Технически провайдер может заблокировать доступ к этим IP-адресам по DPI, анализируя сигнатуры TLS-рукопожатий. Именно поэтому в корпоративных сетях и странах с жесткой цензурой часто режут порты 853 (DoT) и специфические DoH-эндпоинты. Обходится это сменой провайдера или использованием нестандартных портов.

Pi-hole на Raspberry Pi или готовый облачный NextDNS — что выбрать для дома?

Зависит от твоих навыков и параноидальности. Pi-hole дает полный контроль: логи хранятся только у тебя на флешке, ты можешь писать собственные regex-фильтры, и ни один суд не сможет их у тебя изъять. Но ты сам отвечаешь за аптайм, обновление списков и безопасность самой «малинки». NextDNS — это «поставил и забыл». У них потрясающий веб-интерфейс, аналитика в реальном времени и защита от фишинга. Но ты отдаешь им все свои логи, и они находятся в юрисдикции США. Для обычного пользователя NextDNS удобнее, для энтузиаста инфобеза — только Pi-hole с собственным DoT-форвардером.

🕵️Безопасный серфинг

Почему в браузере Chrome реклама всё равно лезет, если DNS настроен на роутере?

Тут работают два фактора. Первый: Chrome (и Firefox) по умолчанию включают «Безопасный DNS» (DoH). Браузер игнорирует настройки роутера и идет напрямую к Google или Cloudflare, минуя твой локальный фильтр. Это нужно отключать в настройках браузера или перенастраивать на свой DoH-провайдер. Второй фактор — CNAME-клоакинг. Рекламные сети (особенно на YouTube или в мобильных приложениях) маскируют трекеры под домены первого лица (например, `ads.google.com` маскируется под `tracking.youtube.com`). DNS-фильтр не может заблокировать `youtube.com`, иначе у тебя не откроется сам сайт. Тут DNS бессилен, нужны расширения уровня браузера (uBlock Origin) или проксирование трафика через AdGuard Home с расширенным синтаксисом.

Как проверить, что мой DNS-запрос действительно зашифрован и не течет?

Никогда не верь настройкам, верь фактам. Открой браузер и зайди на сайт browserleaks.com/dns или ipleak.net. Эти ресурсы покажут, какой именно IP-адрес резолвера видит внешний мир. Если ты настроил DoH через браузер, ты увидишь IP-адрес Cloudflare или NextDNS. Если ты настроил DoT на роутере, ты также увидишь их IP. Но если ты вдруг увидишь IP-адрес своего домашнего роутера (например, 192.168.1.1) или IP-адрес шлюза провайдера — поздравляю, у тебя утечка, и весь твой трафик идет в открытом виде.

Спасет ли DNS-фильтр от фишинга и вредоносных ссылок, которые присылают в Telegram?

Частично. Хорошие DNS-провайдеры (тот же NextDNS или AdGuard) ведут списки фишинговых доменов и серверов, распространяющих малварь. Если ты кликнешь по ссылке на откровенно скамный сайт, DNS-сервер вернет «пустоту» (NXDOMAIN) или IP-заглушку, и браузер покажет ошибку. Но DNS бессилен против телеграм-ботов, которые крадут сессионные куки, или против фишинга, который использует легитимные домены (например, поддельная форма авторизации на `accounts.google.com.evil-domain.com`, где DNS отрезает только последний уровень, но браузеры часто умеют парсить такие вещи). DNS-фильтр — это сетка безопасности, но не броня.

📘Узнать о шифровании