Fuga DNS in VPN: come controllare e risolvere

Hai attivato la VPN, ma il provider vede comunque che stai accedendo a YouTube o Instagram. Sembra paranoia — finché non controlli. La fuga DNS è una delle cause più comuni per cui la VPN protegge meno di quanto sembri. Se hai riscontrato un funzionamento instabile dei siti bloccati o semplicemente vuoi assicurarti della sicurezza —Fuga DNS in VPN: soluzione questa problematica esiste, ed è più semplice di quanto pensi.

Che cos'è una fuga DNS e perché è pericolosa proprio in Russia

DNS è la rubrica telefonica di Internet. Quando digiti instagram.com, il tuo dispositivo chiede prima al server DNS: "qual è l'IP di questo dominio?". Solo dopo avviene la connessione. Il problema è che la VPN cripta la connessione stessa, ma la richiesta DNS può passare oltre il tunnel — direttamente al server del tuo provider.

In sintesi: il contenuto è criptato, ma il fatto che ti sei rivolto al dominio telegram.org o youtube.com — no.

Come funzionano le richieste DNS con la VPN attivata

In teoria, tutto dovrebbe apparire così: dispositivo → tunnel VPN criptato → server DNS del provider VPN → sito. La richiesta passa attraverso il tunnel, il provider in Russia vede solo il flusso criptato all'IP del server VPN e nient'altro.

Ma se qualcosa va storto — il sistema operativo invia la richiesta DNS direttamente, prima che il tunnel riesca a intercettarla. Oppure parallelamente al tunnel. Questa è la fuga.

Perché DPI e provider vedono i domini anche attraverso la VPN

I provider russi utilizzano attivamente il DPI (Deep Packet Inspection) — tecnologia di ispezione profonda dei pacchetti. I TSPU, che Roskomnadzor ha obbligato i provider a installare, analizzano il traffico proprio a livello delle richieste DNS, tra l'altro.

Se la tua richiesta DNS va in chiaro al server del provider, il sistema DPI vede il dominio. Poi — blocco o throttling, quel rallentamento di YouTube per cui molti installano la VPN. Risultato: la VPN c'è, ma il rallentamento non è scomparso.

Quali sono i rischi della fuga DNS nell'aggirare i blocchi del Roskomnadzor

Il provider riceve un elenco di domini a cui ti rivolgi. Questo è sufficiente per applicare un blocco anche con la VPN attiva. Il traffico stesso è criptato — non sanno cosa stai guardando su YouTube, ma sanno che ci sei andato e possono rallentare o bloccare la connessione a livello di risposta DNS.

Per chi utilizza la VPN proprio per aggirare i blocchi di Instagram, Facebook, TikTok, Twitter/X o Telegram — la fuga DNS annulla praticamente la protezione.

Come controllare la fuga DNS in un minuto

Il controllo richiede letteralmente un minuto. Attiva la VPN, apri il browser e segui le istruzioni qui sotto. Non sono necessarie conoscenze speciali.

Test su dnsleaktest.com e browserleaks.com

Il modo più semplice è andare sudnsleaktest.com con la connessione VPN attiva. Il sito mostra quali server DNS stanno elaborando le tue richieste in questo momento. Funziona in modo similebrowserleaks.com/dns — lì ci sono un po' più di dettagli sulla configurazione del browser.

Un'altra opzione è —ipleak.net. Mostra subito l'indirizzo IP, DNS e WebRTC su un'unica pagina, il che è comodo per un controllo rapido e completo.

Qual è la differenza tra il test Standard e il test Esteso

Su dnsleaktest.com ci sono due pulsanti: Test Standard e Test Esteso. Il test Standard fa circa 6 richieste, il test Esteso — 36. La differenza è importante: nel test Standard alcune fughe non si manifestano, perché il sistema operativo riesce a memorizzare nella cache le richieste o il bilanciatore le restituisce accidentalmente attraverso il tunnel.

Esegui sempre il test Esteso. Ci vogliono circa 20 secondi, ma il risultato è affidabile.

Come leggere il risultato: quali IP e paesi dovrebbero esserci

Dopo il test vedrai un elenco di server DNS con indirizzi IP e geolocalizzazione. Se ti sei connesso a un server VPN in Germania — nell'elenco dovrebbero esserci server DNS tedeschi o neutrali del tuo provider VPN.

Se nell'elenco appare un IP russo o un server con il nome del tuo provider (ad esempio, dns.mts.ru o qualcosa di simile per geolocalizzazione) — hai una fuga. Questa è una conferma diretta che le richieste DNS stanno passando oltre il tunnel.

Controllo aggiuntivo per la fuga WebRTC

WebRTC è un'altra storia. I browser come Chrome e Firefox lo utilizzano per le videochiamate, e può rivelare il tuo vero IP anche con la VPN attiva. Puoi controllare subrowserleaks.com/webrtc.

Se vedi il tuo vero IP russo accanto all'IP VPN, devi disattivare WebRTC nel browser. In Firefox si fa tramite about:config → media.peerconnection.enabled → false. In Chrome è più semplice installare l'estensione uBlock Origin con l'opzione di blocco WebRTC attivata.

Come risolvere la perdita di DNS su diversi dispositivi

Non esiste una soluzione universale: ogni piattaforma ha le sue specifiche. Di seguito sono riportati i passaggi specifici per ciascun dispositivo.

Windows: impostazioni dell'adattatore e parametro Block outside DNS

Su Windows, il problema è spesso legato al fatto che il sistema continua a inviare richieste DNS tramite l'adattatore di rete fisico insieme alla VPN. Ci sono due soluzioni.

Primo — se hai un client OpenVPN, aggiungi nella configurazione la rigablock-outside-dns. Questo chiude il DNS al di fuori del tunnel a livello di Windows Filtering Platform. Funziona in modo affidabile, testato.

Secondo — impostare manualmente il DNS nelle impostazioni dell'adattatore VPN: Pannello di controllo → Connessioni di rete → adattatore VPN → Proprietà → IPv4 → inserire il DNS del provider VPN (di solito indicato nella documentazione). Inoltre, nelle impostazioni degli altri adattatori (Wi-Fi, Ethernet) rimuovi il DNS automatico, in modo che il sistema non si riferisca a loro in caso di guasto del tunnel.

Kill switch — obbligatorio. La maggior parte dei normali client VPN (Mullvad, ProtonVPN, NvoVPN) lo ha nelle impostazioni. Senza di esso, in caso di breve interruzione della VPN, il sistema passa immediatamente a una connessione diretta e il DNS va al provider.

Android: DNS privato e comportamento di diverse app VPN

Android 9+ ha aggiunto la funzione di sistema DNS privato (DNS-over-TLS). Sembra una protezione, ma è proprio questa che spesso causa perdite. Il DNS privato funziona a livello di sistema e può aggirare il tunnel VPN.

Controlla: Impostazioni → Rete → Avanzate → DNS privato. Se è impostato su "Automatico" o è stato inserito un indirizzo di terze parti, si tratta di una potenziale perdita con la VPN attiva. Quando si utilizza un'app VPN con un proprio risolutore DNS (come la maggior parte dei normali client), è meglio impostare il DNS privato su "Off" o "Disattivato".

In aggiunta: alcune app Android come Psiphon o semplici client proxy inoltrano solo il traffico HTTP, ma non il DNS. Il risultato è una classica perdita. Utilizza un client VPN completo con modalità "Tutto il traffico".

iPhone/iOS: caratteristiche dei profili e iCloud Private Relay

Su iOS, la VPN di solito si configura tramite profili (.mobileconfig) o tramite client integrati. La maggior parte delle app VPN decenti su iOS gestisce il DNS in modo normale, tunnelizzandolo attraverso il proprio server.

Ma c'è un dettaglio:iCloud Private Relay. Se hai un abbonamento iCloud+, il Private Relay potrebbe essere attivato e gestirà il DNS indipendentemente dalla VPN. Quando entrambi sono attivi, i risultati del test DNS diventano imprevedibili: vedi i server Apple e i server VPN.

Soluzione: quando utilizzi la VPN, disattiva iCloud Private Relay. Impostazioni → [il tuo Apple ID] → iCloud → Private Relay → disattiva. Risolvono compiti simili, ma interferiscono tra loro.

macOS: configurazione manuale del DNS e verifica

Su macOS, il DNS viene impostato separatamente per ciascuna interfaccia di rete. Se la VPN crea un'interfaccia virtuale (utun0 e simili), è necessario assicurarsi che il DNS di sistema per Wi-Fi ed Ethernet non lo sovrascriva.

Impostazioni di sistema → Rete → seleziona Wi-Fi → Avanzate → DNS. Se ci sono server del provider, sostituiscili con il DNS del tuo servizio VPN o lasciali temporaneamente vuoti con la VPN attiva. Dopo le modifiche, riavvia la VPN e ripeti il test su dnsleaktest.com.

Router e Smart TV/Apple TV: DNS a livello di rete

Smart TV, Apple TV, PlayStation, Xbox: non hanno i propri client VPN. Non puoi installare un'app sul televisore Samsung. L'unico modo per proteggere questi dispositivi è configurare la VPN e il DNS a livello di router.

Su router con firmware OpenWRT, DD-WRT o Keenetic (popolare in Russia) è possibile avviare un client VPN direttamente sul router e specificare il DNS del provider VPN nelle impostazioni del server DHCP. In questo modo, tutti i dispositivi nella rete, comprese le TV e le console, utilizzano automaticamente il DNS protetto.

Dettaglio importante: se hai un doppio NAT (ad esempio, router del provider + il tuo router), il DNS impostato sul router del provider potrebbe sovrascrivere le tue impostazioni. Assicurati che il tuo router funzioni in modalità router e non in bridge, e che sia lui a fornire DHCP ai dispositivi della rete.

Dipendenza della perdita dal protocollo: WireGuard, OpenVPN, IKEv2, VLESS

Il protocollo conta e non tutti gestiscono il DNS allo stesso modo. Analizziamo onestamente, senza marketing.

Perché WireGuard e OpenVPN si comportano in modo diverso

OpenVPN con una configurazione corretta (parametroblock-outside-dns su Windows, opzione redirect-gateway def1 nella configurazione) tunnelizza tutto il traffico, incluso il DNS. Opzione collaudata, funziona in modo prevedibile.

WireGuard è leggermente diverso per architettura: non supporta block-outside-dns nativamente. Ma la maggior parte dei client WireGuard (Mullvad App, WireGuard ufficiale per Windows) implementano questa protezione a livello di applicazione. Nella configurazione di WireGuard c'è il parametroDNS = nella sezione [Interface] — se è specificato, il client utilizza il DNS indicato e blocca quello di sistema. Se non è specificato — la perdita è quasi garantita.

IKEv2 tunnelizza normalmente il DNS quando si utilizzano client nativi su Windows e iOS. Su Android è un po' più complicato — dipende dall'implementazione.

Shadowsocks e VLESS/XRay: DNS al di fuori del tunnel principale

Ecco dove la maggior parte degli articoli tace. Shadowsocks e VLESS/XRay sono protocolli proxy, non VPN complete. Funzionano bene per aggirare il DPI e i blocchi del Roskomnadzor, specialmente in combinazione con l'offuscamento. Ma per impostazione predefinita, proxyizzano il traffico delle applicazioni (TCP/UDP), mentre le richieste DNS vanno direttamente attraverso il risolutore di sistema.

Se utilizzi client come v2rayN, Nekobox o sing-box con VLESS/XRay — devi configurare le regole DNS separatamente. In sing-box questo si fa nella sezione dns della configurazione: indichi il server (ad esempio, 1.1.1.1 tramite proxy) e le regole di instradamento DNS. Senza questo — si verifica una classica perdita, anche se tutto il traffico HTTP passa attraverso il proxy.

Amnezia e offuscamento: cosa influisce nel contesto del DNS

AmneziaVPN e altri strumenti di offuscamento (obfs4, Cloak, GoodbyeDPI) nascondono la firma del traffico VPN dal DPI. Questo aiuta a superare il blocco del protocollo VPN stesso, ma non risolve il problema della perdita di DNS.

Amnezia si basa su WireGuard o OpenVPN — quindi tutto ciò che è stato detto su questi protocolli è applicabile anche qui. L'offuscamento funziona a livello di trasporto, il DNS è un livello separato. Se il protocollo di base è configurato correttamente, il DNS passerà attraverso il tunnel. Se no — passerà oltre, e l'offuscamento non aiuterà in questo caso.

Cosa scegliere se la protezione dalle perdite è importante

Per la massima protezione del DNS — protocolli VPN classici con client configurati correttamente. WireGuard con DNS specificato nella configurazione o OpenVPN con block-outside-dns — entrambi funzionano bene. Alcuni servizi, incluso NvoVPN, forniscono il proprio DNS all'interno del tunnel, il che elimina la necessità di configurarlo manualmente.

Se utilizzi VLESS/XRay — non dimenticare di configurare l'instradamento DNS in sing-box o v2ray. Non è difficile, ma richiede un ulteriore passaggio nella configurazione.

Cosa NON funziona e errori comuni

Negli anni si sono accumulati alcuni miti persistenti. Ecco cosa non funziona realmente — e perché.

Cambiare il DNS in 8.8.8.8 non chiude la perdita

Questo è, probabilmente, il consiglio più comune su Internet. "Specifica il DNS di Google 8.8.8.8 o Cloudflare 1.1.1.1 — e non ci saranno perdite". Questo è falso.

Cambiare il server DNS cambia solo ciò che, a chi va la tua richiesta. Ma se la richiesta va al di fuori del tunnel — passa comunque attraverso la rete del provider in chiaro, e il DPI la vede. Hai semplicemente cambiato il destinatario da dns.provider.ru a 8.8.8.8, ma il percorso passa comunque attraverso il provider. Non è una soluzione.

Estensioni del browser invece di VPN di sistema

Estensioni come "VPN per Chrome" o "Proxy per Firefox" proteggono solo il traffico del browser stesso. Le richieste DNS di sistema, le richieste di altre applicazioni, i messenger — tutto questo va a bypasso. L'estensione dà un falso senso di protezione.

Lo stesso vale per i blocchi WebRTC — chiudono solo una specifica perdita nel browser, ma non influenzano il DNS di sistema.

Kill switch disattivato e interruzioni della connessione

Il kill switch non è una funzione opzionale. È un elemento critico di protezione. In caso di breve interruzione della VPN (cambio di rete, segnale Wi-Fi instabile, cambio di IP) il sistema operativo passa immediatamente a una connessione diretta. La richiesta DNS va al provider — ecco, la perdita è registrata.

L'interruzione può durare 2-3 secondi. Abbastanza per far sì che la richiesta DNS per il sito aperto vada direttamente. Se nel tuo client c'è un kill switch — attivalo. Se il client non fornisce un kill switch — cerca un altro. Ecco come appare la perdita di DNS della VPN: soluzione a livello di impostazioni.

E un'altra situazione sottovalutata: filtro DNS aziendale o controllo parentale, specificato sul dispositivo. Questi strumenti spesso sovrascrivono il DNS di sistema e funzionano indipendentemente dalla VPN. Se sul dispositivo è presente un profilo MDM o un'app di controllo parentale con il proprio DNS — intercetterà le richieste indipendentemente dalle impostazioni della VPN.

Se hai capito le impostazioni, hai avviato il test esteso e hai verificato che i server DNS appartengano al tuo provider VPN e non a un operatore russo — la perdita di DNS della VPN: soluzione trovata e il problema è risolto. Controlla questo periodicamente, soprattutto dopo l'aggiornamento delle applicazioni o del sistema.