Утечка DNS при VPN: как найти и устранить

Капающий кран — иллюстрация утечки

Краткое определение

DNS (система доменных имён) переводит удобочитаемые адреса (например, example.com) в IP-адреса. Утечка DNS — это ситуация, когда запросы DNS идут не через защищённый канал VPN, а напрямую через DNS-сервер провайдера или маршрутизатора, раскрывая ваши запросы.

Важно: если ваша цель — защититься от отслеживания со стороны провайдера, устранение утечек DNS критично. Это не заменяет другие меры защиты от целенаправленного наблюдения (например, со стороны крупных разведок), но закрывает один из самых частых векторов раскрытия метаданных.

Что такое утечка DNS и почему она опасна

DNS — служба соответствия имён и адресов. Когда браузер запрашивает сайт, он обращается к DNS-серверу. По умолчанию эти серверы часто назначаются интернет-провайдером (ISP). Если DNS-запросы идут на сервер провайдера, то он видит каждое доменное имя, которое вы запрашиваете.

Утечка DNS происходит, когда запросы DNS обходят VPN и отправляются напрямую на DNS-провайдера вашего провайдера. Следствия:

Провайдер (или владелец DNS-сервера) может логировать посещаемые сайты.
Снижается эффективность VPN в части приватности.
Возможна целевая фильтрация, редиректы или цензура.

Краткое различие терминов:

DNS — система сопоставления имён и IP.
DoH — DNS over HTTPS, шифрует DNS внутри HTTPS-потока.
DoT — DNS over TLS, шифрует DNS поверх TLS на выделенном порту.

Как диагностировать утечку DNS

Используйте комбинированный подход: веб-сервисы и локальные команды.

Веб‑тесты

Откройте VPN и перейдите на https://www.dnsleaktest.com. Нажмите «Standard test» (Стандартный тест). Можно также выбрать «Extended test» для более длинной проверки.
Альтернативы: https://ipleak.net, https://www.dnsleak.com. Эти сервисы показывают, какие DNS-серверы видят ваши запросы.

Если в списке результатов указан ваш ISP или страна/город, соответствующие вашему реальному подключению — это признак утечки.

Скриншот результата стандартного теста DNS

Локальные команды (для продвинутых пользователей)

Windows: откройте PowerShell или cmd и выполните:

nslookup example.com

Посмотрите, какой сервер отвечает (в верхней части вывода будет указан «Server»).

Linux/macOS:

dig +short example.com

или

resolvectl query example.com

Если сервер — не тот, который назначает ваш VPN (или это IP вашего ISP), значит есть утечка.

Тесты для IPv6

Многие утечки происходят через IPv6. Отключите IPv6 временно и повторите тесты, чтобы увидеть, меняется ли результат. Также проверяйте, какие IPv6-адреса используются.

Критерии приёмки (тестовый сценарий)

Условие успеха: при включённом VPN веб‑тесты и локальные команды показывают DNS-сервер(ы) принадлежащие VPN-провайдеру или нейтральным приватным DNS (Cloudflare/Quad9/OpenDNS и т. п.), а не вашему ISP.
Условие провала: любой результат с DNS-провайдером ISP или с маршрутизатором в вашей локальной сети.

Как остановить утечку DNS — пошаговый план

Ниже перечислены проверенные методы, начиная с простых и заканчивая более техническими.

1) Измените DNS-серверы

Поменяйте системные или маршрутизаторные DNS на приватные провайдеры. Это работает не всегда (если ваш роутер перехватывает запросы), но стоит сделать первым.

Рекомендуемые DNS (часто используются для приватности и производительности):

Cloudflare DNS: 1.1.1.1 и 1.0.0.1 (поддерживает DoH/DoT).
Quad9: 9.9.9.9 (фокус на безопасности).
OpenDNS: 208.67.222.222 и 208.67.222.220.
Google Public DNS: 8.8.8.8 и 8.8.4.4.

Инструкции (кратко):

Windows 10/11: Параметры сети → Изменить параметры адаптера → Правой клик на интерфейсе → Свойства → IPv4 → Использовать следующие адреса DNS.
macOS: Системные настройки → Сеть → Дополнительно → DNS.
Linux (systemd-resolved): редактируйте /etc/systemd/resolved.conf или используйте NetworkManager.
Роутер: войдите в админку и замените DNS на уровне DHCP.

Важно: Если роутер или провайдер принудительно перехватывает порт 53 (transparent DNS proxy), смена DNS на устройстве не поможет — нужно перекрывать запросы на уровне маршрутизатора или использовать DoH/DoT.

2) Включите DNS через VPN (провайдерский DNS)

Многие VPN имеют опцию «DNS leak protection» — она принудительно направляет DNS-запросы через VPN-интерфейс. Проверьте настройки клиента VPN и включите её.

Провайдеры, которые известны поддержкой защиты от утечек и/или собственных DNS:

NordVPN
ExpressVPN
SurfShark
PureVPN
Astrill VPN
IPVanish

Если ваш VPN не предоставляет защищённый DNS, рассмотрите переключение на провайдера с поддержкой или использование DoH/DoT поверх общего соединения.

3) Используйте DNS over HTTPS (DoH) или DNS over TLS (DoT)

DoH и DoT шифруют DNS, предотвращая перехват трафика, и часто обходят простое перенаправление портов. Настройте браузер (Firefox поддерживает DoH в настройках) или системный клиент (например, cloudflared для Cloudflare).

DoH обычно использует порт 443 (HTTPS), что делает его менее заметным для перехвата.
DoT использует порт 853.

Замечание: DoH решает проблему шифрования DNS, но не гарантирует, что DNS будет идти через VPN-интерфейс; сочетайте DoH с принудительным маршрутом через VPN.

4) Отключите Teredo (Windows)

Teredo — адаптер для совместимости IPv4/IPv6. Он может ломать маршрутизацию и приводить к утечкам DNS/IPv6. Для отключения выполните в командной строке с правами администратора:

netsh interface teredo set state disabled

Чтобы вернуть состояние по умолчанию:

netsh interface teredo set state type=default

5) Используйте приватный браузер и настройки DNS в браузере

Tor Browser: скрывает IP и маршрутизует запросы через сеть Tor; DNS-запросы обычно уходят через Tor.
Firefox: имеет встроенную поддержку DoH; включите и укажите провайдера DoH.
Brave: также поддерживает DoH и приватные функции.

Комбинация VPN + приватный браузер повышает устойчивость к утечкам, но требует корректных настроек.

6) Блокируйте прямые DNS-запросы вне VPN (на уровне брандмауэра или маршрутизатора)

Самый надёжный метод — запретить отправку DNS-запросов напрямую в Интернет, разрешая их только через интерфейс VPN. Примеры:

На Linux с iptables:

# блокировать исходящие DNS на порт 53 для всех интерфейсов, кроме vpn0
iptables -A OUTPUT -p udp --dport 53 -o ! vpn0 -j DROP
iptables -A OUTPUT -p tcp --dport 53 -o ! vpn0 -j DROP

На роутере: настройте правила firewall или переадресацию портов, чтобы весь исходящий трафик на порт 53 шёл на локальный DNS-перехватчик (например, на DNS, работающий через VPN), или блокируйте его полностью.

Важно: корректно указывайте имя интерфейса VPN (vpn0, tun0, etc.) в своих правилах. Неправильная конфигурация может разорвать подключение.

7) Следите за IPv6

Если ваш VPN не поддерживает IPv6, возможна утечка через IPv6-адреса. Решения:

Отключите IPv6 на клиенте полностью.
Или используйте VPN с полноценной поддержкой IPv6 и его DNS.

8) Программы мониторинга VPN

Инструменты вроде VPNCheck (платная версия) или OpenVPN Watchdog помогают автоматически перезапускать VPN или блокировать соединение при разрыве (kill switch). Они также могут исправлять DNS-настройки.

Когда перечисленные меры не работают — причины и контрмеры

Принудительная переадресация DNS у провайдера (transparent proxy) — решается блокировкой порта 53 и использованием DoH/DoT.
Неполадки в клиенте VPN или конфликт сетевых адаптеров — обновите клиент, проверьте настройки split tunneling.
Маршрутизатор сдаёт приоритет собственным DNS: замените DNS в роутере или прошивке (альтернативная прошивка: OpenWrt, DD‑WRT) или используйте правила NAT.
Корпоративные сети с прокси/фильтрами: обсудите настройки с ИТ, используйте корпоративный VPN/прокси согласно политике.

Чек-листы по ролям

Чек-лист — обычный пользователь

Включите VPN.
Перейдите на dnsleaktest.com и выполните Standard/Extended тест.
Если видите свой ISP — включите DNS leak protection в клиенте VPN или смените DNS на 1.1.1.1/9.9.9.9.
Отключите Teredo в Windows, если нужно.

Чек-лист — продвинутый пользователь / сисадмин

Настройте systemd-resolved с DoH/DoT или установите локальный DNS-перепрошиватель.
Настройте iptables/ufw для блокировки портов 53/853 (вне VPN интерфейса).
Проверьте IPv6 — отключите или обеспечьте поддержку через VPN.
Настройте мониторинг и kill-switch.

Чек-лист — корпоративный ИТ

Предоставьте централизованные политики DNS через DHCP и VPN.
Используйте внутренние DNS-серверы, доступные только через корпоративный VPN.
Документируйте процедуру проверки утечек и автоматизированного ответа.

Мини‑методология проверки (SOP)

Включите VPN и выполните базовый веб‑тест (dnsleaktest.com).
Выполните локальные проверки nslookup/dig.
Если выявлена утечка — включите DNS leak protection у VPN, смените DNS, включите DoH/DoT.
Перезагрузите сетевые интерфейсы и повторите тест.
При сохранении утечки — примените правила firewall/iptables для блокировки DNS вне VPN.
Проверьте IPv6 и Teredo.
Документируйте результаты и добавьте автоматический мониторинг.

Тестовые сценарии и критерии приёмки

Тест 1: VPN подключен → dnsleaktest показывает только DNS-провайдеры VPN/приватные DNS → Пройдено.
Тест 2: Отключите VPN → dnsleaktest показывает ISP DNS → Ожидаемо.
Тест 3: Попытка доступа с отключённым IPv4 через IPv6 → проверка на IPv6-утечки.
Тест 4: Сброс настроек сети и повторная проверка после изменения роутера/правил firewall.

Быстрые подсказки и эвристики

Правило 1: Если вы видите IP или название вашего ISP в результатах теста — думайте «утечка».
Правило 2: DoH на уровне браузера полезен, но сочетание с VPN даёт лучшее покрытие.
Правило 3: Блокировка портов 53 (TCP/UDP) для всех интерфейсов, кроме VPN, — наиболее надёжная защита.

Фактбокс: важные порты и протоколы

DNS (стандарт): порт 53 (UDP/TCP).
DoH: работает по HTTPS — порт 443.
DoT: порт 853.
Teredo: использует UDP-порту 3544 (иногда вызывает сложности с маршрутизацией).

Mermaid: простой алгоритм действий

flowchart TD
  A[Запускаете VPN] --> B{Проверка на dnsleaktest.com}
  B -- Нет утечек --> C[Обычная работа]
  B -- Есть утечка --> D[Включить DNS leak protection в VPN]
  D --> E{Устранено?}
  E -- Да --> C
  E -- Нет --> F[Сменить DNS на 1.1.1.1/9.9.9.9]
  F --> G{Устранено?}
  G -- Да --> C
  G -- Нет --> H[Блокировать порт 53 вне интерфейса VPN]
  H --> I{Устранено?}
  I -- Да --> C
  I -- Нет --> J[Обратиться к провайдеру/сменить VPN]

Часто задаваемые вопросы

Q: Можно ли полностью защититься от отслеживания, только исправив утечку DNS?

A: Нет. Исправление утечек DNS важно, но для комплексной приватности нужно учитывать IP-адрес, куки, отпечатки браузера и поведение приложений. Утечка DNS — одна из уязвимостей, но не единственная.

Q: Нужно ли выключать IPv6?

A: Если ваш VPN не поддерживает IPv6, временное отключение IPv6 на клиенте — быстрый и действенный способ избежать утечки.

Q: Достаточно ли включить DoH в браузере?

A: DoH шифрует DNS в браузере, но другие приложения всё ещё могут отправлять DNS напрямую. Для системного покрытия используйте DoH/DoT и/или направьте весь трафик через VPN с блокировкой портов 53.

Важные замечания

Важно: некоторые меры (iptables, изменения на роутере) требуют навыков администратора. Ошибки в правилах firewall могут прервать доступ в Интернет. Всегда делайте резервные копии конфигураций и тестируйте изменения постепенно.

Краткое резюме

Утечка DNS подрывает приватность при работе через VPN. Диагностика с помощью веб‑тестов и локальных команд помогает выявить проблему. Комбинируйте смену DNS, использование DoH/DoT, включение DNS leak protection в VPN и правила брандмауэра — это надёжный набор мер. Для корпоративных сред желательно централизованное управление и автоматический мониторинг.

Важно: регулярно повторяйте тесты после обновлений клиента VPN, смены сетевого оборудования или прошивки роутера.