Как проверить, не течёт ли DNS через VPN
DNS leak — это когда VPN-туннель работает, но запросы на разрешение имён сайтов уходят мимо туннеля, напрямую к DNS-серверу вашего провайдера. В итоге сам трафик зашифрован, а оператор всё равно видит, на какие домены вы ходите. Для приватности это сводит большую часть смысла VPN на ноль.
Проверить наличие утечки можно за минуту: тест на стороннем сервисе (например, dnsleaktest.com) сравнивает, какие DNS-серверы реально отвечают на ваши запросы. Если в списке IP вашего провайдера или регионального оператора — утечка есть. Если только IP VPN-провайдера или его DNS — туннель закрыт правильно.
Ниже — как именно появляется leak, как его проверить пошагово (сценарий «до VPN» и «после VPN») и какие настройки в Hiddify, Amnezia и других современных клиентах закрывают проблему в один клик.
Коротко
- DNS leak = провайдер видит куда вы ходите, даже при включённом VPN.
- Проверка: открыть dnsleaktest.com, нажать Extended test, посмотреть список DNS-серверов.
- Сравнить два прогона: без VPN и с VPN — IP-адреса DNS должны полностью смениться.
- Если после включения VPN остался IP вашего оператора — утечка есть.
- В Hiddify и Amnezia есть встроенная защита от DNS-утечек, включается в настройках.
- WebRTC-leak — отдельный сценарий, проверяется на browserleaks.com или dnsleaktest.com.
Откуда берётся DNS leak: основные сценарии
Сама природа утечки в том, что DNS-запрос и обычный TCP-трафик идут по разным каналам в системе. VPN перехватывает маршруты для пакетов с данными, но DNS-резолвер может быть настроен мимо туннеля — и тогда часть приватности отваливается.
Системный DNS приоритетнее VPN
Особенно на Windows и Android встречается ситуация: VPN поднял интерфейс, но операционная система продолжает обращаться к DNS-серверу, который выдал DHCP оператора. Так задумано в части реализаций ради устойчивости, а на практике это и есть классический leak.
VPN-клиент не пушит свой DNS
Некоторые «лёгкие» клиенты или сторонние сборки протоколов не подменяют DNS-резолвер на свой при подключении. Туннель есть, маршрут к 0.0.0.0/0 в нём есть, а DNS — старый. В итоге имена резолвятся мимо VPN.
IPv6 без туннеля
Если у оператора включён IPv6, а VPN перехватывает только IPv4, то DNS-запросы по IPv6-каналу спокойно уходят к провайдеру. Решение — либо отключить IPv6 на устройстве, либо использовать VPN с полным dual-stack.
Браузер с собственным DoH
Chrome, Firefox и Edge умеют DNS-over-HTTPS поверх системного DNS. Иногда это лечит leak (запросы идут к публичному DoH через VPN), иногда — наоборот, ходят мимо туннеля. Поведение зависит от настроек и конкретной сборки.
Симптомы DNS-утечки
| Что видите в тесте | Что это значит | Что делать |
|---|---|---|
| DNS-сервер из IP-диапазона вашего оператора | Прямая утечка — DNS идёт в обход туннеля | Включить «Block DNS leaks» в клиенте |
| Несколько IP, часть из вашей страны | Частичная утечка, часто из-за IPv6 | Отключить IPv6 на интерфейсе |
| Только IP VPN-провайдера или 1.1.1.1 / 8.8.8.8 | Утечки нет | Ничего, всё в порядке |
| Видна геолокация вашего города | DNS отвечает локальный оператор | Переключиться на DNS внутри туннеля |
| В browserleaks светится локальный IP в WebRTC | WebRTC leak, не DNS | Отключить WebRTC в браузере или клиенте |
| До VPN и после — одинаковый список | VPN вообще не подменяет DNS | Сменить клиент или включить нужную опцию |
Как проверить прямо сейчас
Сценарий из двух шагов. Первый: отключите VPN, откройте dnsleaktest.com, нажмите Extended test и запомните, какие DNS-сервера в выдаче — это «без VPN». Второй: подключите VPN, перезагрузите страницу и запустите Extended test ещё раз. Если список полностью сменился и в нём только IP, не принадлежащие вашему оператору, — туннель герметичный.
Если у вас Hiddify или Amnezia — настройки защиты от DNS-утечек уже встроены в клиент, их нужно явно включить. Документация по конфигурации Hiddify, в том числе работа с DNS, доступна в Hiddify Manager.
Параллельно полезно проверить через Freedom Checker, какие сайты у вас вообще открываются с VPN и какие — без, по разным операторам и регионам.
Сбой или блокировка?
DNS leak — это не сбой и не блокировка, это особенность конфигурации. Сбой выглядит иначе: сайты вообще не открываются, ошибки DNS, таймауты. Утечка же не мешает работе — она «просто» делает приватность бесполезной, и пока вы не запустите тест, вы можете жить с ней годами.
Блокировка же — это обратная история: DNS отвечает, но возвращает заведомо неверный адрес (NXDOMAIN или адрес заглушки оператора). Если VPN перехватывает DNS и шлёт его через туннель, такой блок легко обойти, потому что DNS-запрос идёт к серверу, не подчинённому российским правилам фильтрации.
На что обратить внимание
- Делайте тест в двух режимах подряд: без VPN и с VPN. Сравнение нагляднее единичного прогона.
- Используйте Extended (более 6 запросов), а не Standard — он точнее ловит частичную утечку.
- Если у вас включён IPv6, проверьте leak отдельно по IPv6.
- В браузере отдельно проверьте WebRTC leak — он раскрывает реальный IP даже при идеальном DNS.
- В Hiddify и Amnezia включите опцию «Block DNS leaks» или эквивалент.
- На системном уровне можно вручную прописать DNS в настройках VPN-интерфейса (1.1.1.1, 9.9.9.9).
- Бесплатные VPN часто не закрывают leak вообще — у них этой настройки попросту нет.
Вывод
Утечка DNS — самый тихий способ потерять приватность при включённом VPN. Проверка занимает минуту и не требует ничего, кроме браузера. Если первый же тест покажет в списке DNS-серверов вашего оператора — это сигнал срочно поправить настройки клиента или сменить сам клиент.
Не полагайтесь на «у меня же зелёная иконка VPN» — иконка означает только наличие туннеля, не герметичность.