Wycieki DNS w VPN: jak sprawdzić i naprawić

Włączyłeś VPN, ale dostawca wciąż widzi, że wchodzisz na YouTube lub Instagram. Brzmi jak paranoja — dopóki nie sprawdzisz. Wyciek DNS to jedna z najczęstszych przyczyn, dla których VPN chroni gorzej, niż się wydaje. Jeśli masz problemy z niestabilnym działaniem zablokowanych stron lub po prostu chcesz upewnić się o bezpieczeństwie —Wyciek DNS w VPN: rozwiązanie tego problemu istnieje, i jest prostsze, niż myślisz.

Co to jest wyciek DNS i dlaczego jest niebezpieczny w Rosji

DNS to książka telefoniczna internetu. Kiedy wpisujesz instagram.com, twoje urządzenie najpierw pyta serwer DNS: „jaki IP ma ta domena?”. Dopiero potem następuje połączenie. Problem polega na tym, że VPN szyfruje samo połączenie, ale zapytanie DNS może przejść obok tunelu — prosto do serwera twojego dostawcy.

Wynik: treść jest zaszyfrowana, ale fakt, że zwróciłeś się do domeny telegram.org lub youtube.com — nie.

Jak działają zapytania DNS przy włączonym VPN

W idealnym przypadku wszystko wygląda tak: urządzenie → zaszyfrowany tunel VPN → serwer DNS dostawcy VPN → strona. Zapytanie przechodzi przez tunel, dostawca w Rosji widzi tylko zaszyfrowany strumień na IP serwera VPN i nic więcej.

Ale jeśli coś poszło nie tak — system operacyjny wysyła zapytanie DNS bezpośrednio, zanim tunel zdąży je przechwycić. Lub równolegle z tunelem. To jest właśnie wyciek.

Dlaczego DPI i dostawca widzą domeny nawet przez VPN

Rosyjscy dostawcy aktywnie wykorzystują DPI (Deep Packet Inspection) — technologię głębokiej inspekcji pakietów. TSPU, które Roskomnadzor zobowiązał dostawców do zainstalowania, analizują ruch właśnie na poziomie zapytań DNS, między innymi.

Jeśli twoje zapytanie DNS idzie w otwartej formie do serwera dostawcy, system DPI widzi domenę. Dalej — blokada lub throttling, to właśnie spowolnienie YouTube, z powodu którego wielu instaluje VPN. Powstaje błędne koło: VPN jest, a spowolnienie nigdzie nie znika.

Czym grozi wyciek DNS przy omijaniu blokad RKN

Dostawca otrzymuje listę domen, do których się odwołujesz. To wystarczy, aby zastosować blokadę nawet przy aktywnym VPN. Sam ruch jest zaszyfrowany — nie wiedzą, co dokładnie oglądałeś na YouTube, ale wiedzą, że tam chodziłeś, i mogą spowolnić lub zablokować połączenie na poziomie odpowiedzi DNS.

Dla tych, którzy używają VPN właśnie do omijania blokad Instagram, Facebook, TikTok, Twitter/X lub Telegram — wyciek DNS praktycznie unieważnia ochronę.

Jak sprawdzić wyciek DNS w minutę

Sprawdzenie zajmuje dosłownie minutę. Włącz VPN, otwórz przeglądarkę i postępuj zgodnie z instrukcją poniżej. Nie potrzebujesz żadnej specjalistycznej wiedzy.

Test na dnsleaktest.com i browserleaks.com

Najprostszym sposobem jest wejście nadnsleaktest.com przy aktywnym połączeniu VPN. Strona pokazuje, które serwery DNS przetwarzają twoje zapytania w tej chwili. Podobnie działabrowserleaks.com/dns — tam jest trochę więcej szczegółów o konfiguracji przeglądarki.

Jeszcze jedna opcja —ipleak.net. Pokazuje od razu adres IP, DNS i WebRTC na jednej stronie, co jest wygodne do szybkiej kompleksowej kontroli.

Czym różni się test Standard od Extended

Na dnsleaktest.com są dwa przyciski: Standard test i Extended test. Standard wykonuje około 6 zapytań, Extended — 36. Różnica jest ważna: w teście Standard niektóre wycieki mogą się nie ujawniać, ponieważ system operacyjny zdążył zbuforować zapytania lub load balancer przypadkowo przekazuje je przez tunel.

Zawsze uruchamiaj test Extended. To zajmuje około 20 sekund, ale wynik jest niezawodny.

Jak czytać wynik: jakie IP i kraje powinny być

Po teście zobaczysz listę serwerów DNS z adresami IP i geolokalizacją. Jeśli połączyłeś się z serwerem VPN w Niemczech — na liście powinny być niemieckie lub neutralne serwery DNS twojego dostawcy VPN.

Jeśli na liście pojawił się rosyjski adres IP lub serwer z nazwą twojego dostawcy (na przykład dns.mts.ru lub coś podobnego pod względem geolokalizacji) — masz wyciek. To bezpośrednie potwierdzenie, że zapytania DNS przechodzą obok tunelu.

Dodatkowe sprawdzenie na wyciek WebRTC

WebRTC to osobna historia. Przeglądarki takie jak Chrome i Firefox używają go do wideorozmów, i może on ujawnić twój rzeczywisty adres IP nawet przy aktywnym VPN. Można to sprawdzić nabrowserleaks.com/webrtc.

Jeśli widzisz swój rzeczywisty rosyjski IP obok IP VPN — w przeglądarce należy wyłączyć WebRTC. W Firefoxie robi się to przez about:config → media.peerconnection.enabled → false. W Chrome łatwiej zainstalować rozszerzenie uBlock Origin z włączoną opcją blokowania WebRTC.

Jak wyeliminować wyciek DNS na różnych urządzeniach

Nie ma uniwersalnego rozwiązania — na każdej platformie jest inna specyfika. Poniżej — konkretne kroki dla każdego urządzenia.

Windows: ustawienia adaptera i parametr Block outside DNS

W Windows problem często związany jest z tym, że system nadal wysyła zapytania DNS przez fizyczny adapter sieciowy równolegle z VPN. Są dwa rozwiązania.

Pierwsze — jeśli masz klienta OpenVPN, dodaj do konfiguracji linięblock-outside-dns. To zamyka DNS poza tunel na poziomie Windows Filtering Platform. Działa niezawodnie, sprawdzone.

Drugie — wpisać DNS ręcznie w ustawieniach adaptera VPN: Panel sterowania → Połączenia sieciowe → adapter VPN → Właściwości → IPv4 → wpisać DNS dostawcy VPN (zwykle podany w dokumentacji). Przy okazji w ustawieniach pozostałych adapterów (Wi-Fi, Ethernet) usuń automatyczny DNS, aby system nie zwracał się do nich w przypadku awarii tunelu.

Kill switch — obowiązkowo. Większość normalnych klientów VPN (Mullvad, ProtonVPN, NvoVPN) ma go w ustawieniach. Bez niego przy krótkim zerwaniu VPN system natychmiast przełącza się na bezpośrednie połączenie, a DNS trafia do dostawcy.

Android: Prywatny DNS i zachowanie różnych aplikacji VPN

Android 9+ dodał systemową funkcję Prywatny DNS (DNS-over-TLS). Brzmi jak ochrona — ale to właśnie ona często powoduje wycieki. Prywatny DNS działa na poziomie systemowym i może omijać tunel VPN.

Sprawdź: Ustawienia → Sieć → Zaawansowane → Prywatny DNS. Jeśli jest ustawione „Automatycznie” lub wpisany jest zewnętrzny adres — to potencjalny wyciek przy aktywnym VPN. Przy używaniu aplikacji VPN z własnym resolverem DNS (jak większość normalnych klientów) lepiej przełączyć Prywatny DNS w tryb „Wyłączony” lub „Off”.

Dodatkowo: niektóre aplikacje Android typu Psiphon lub proste klienci proxy przesyłają tylko ruch HTTP, ale nie DNS. Efekt — klasyczny wyciek. Używaj pełnoprawnego klienta VPN z trybem „Cały ruch”.

iPhone/iOS: cechy profili i iCloud Private Relay

Na iOS VPN zazwyczaj konfiguruje się przez profile (.mobileconfig) lub przez wbudowane klientów. Większość przyzwoitych aplikacji VPN na iOS radzi sobie z DNS normalnie — tunelują go przez swój serwer.

Ale jest jeden niuans:iCloud Private Relay. Jeśli masz subskrypcję iCloud+, Private Relay może być włączony, i będzie przetwarzać DNS niezależnie od VPN. Przy jednoczesnej pracy wyniki testu DNS stają się nieprzewidywalne — widzisz raz serwery Apple, raz serwery VPN.

Rozwiązanie: przy używaniu VPN wyłączaj iCloud Private Relay. Ustawienia → [twój Apple ID] → iCloud → Private Relay → wyłącz. Rozwiązują podobne zadania, ale przeszkadzają sobie nawzajem.

macOS: ręczna konfiguracja DNS i sprawdzenie

Na macOS DNS wpisuje się osobno dla każdego interfejsu sieciowego. Jeśli VPN tworzy wirtualny interfejs (utun0 i podobne), należy upewnić się, że systemowy DNS dla Wi-Fi i Ethernet nie nadpisuje go.

Ustawienia systemowe → Sieć → wybierz Wi-Fi → Zaawansowane → DNS. Jeśli są tam wpisane serwery dostawcy — zamień je na DNS swojego serwisu VPN lub tymczasowo pozostaw puste przy aktywnym VPN. Po zmianach uruchom ponownie VPN i powtórz test na dnsleaktest.com.

Router i Smart TV/Apple TV: DNS na poziomie sieci

Smart TV, Apple TV, PlayStation, Xbox — nie mają swoich klientów VPN. Nie zainstalujesz aplikacji na telewizorze Samsung. Jedynym sposobem na zabezpieczenie tych urządzeń jest skonfigurowanie VPN i DNS na poziomie routera.

Na routerach z oprogramowaniem OpenWRT, DD-WRT lub Keenetic (popularny w Rosji) można uruchomić klienta VPN bezpośrednio na routerze i wskazać DNS dostawcy VPN w ustawieniach serwera DHCP. Wtedy wszystkie urządzenia w sieci, w tym telewizory i konsole, automatycznie korzystają z zabezpieczonego DNS.

Ważny niuans: jeśli masz podwójny NAT (na przykład router dostawcy + twój router) — DNS wpisany na routerze dostawcy może zasłaniać twoje ustawienia. Upewnij się, że twój router działa w trybie routera, a nie mostu, i to on przydziela DHCP urządzeniom w sieci.

Zależność wycieku od protokołu: WireGuard, OpenVPN, IKEv2, VLESS

Protokół ma znaczenie — i nie wszystkie traktują DNS w ten sam sposób. Rozważmy to szczerze, bez marketingu.

Dlaczego WireGuard i OpenVPN zachowują się inaczej

OpenVPN przy prawidłowej konfiguracji (parametrblock-outside-dns na Windows, opcja redirect-gateway def1 w konfiguracji) tuneluje cały ruch, w tym DNS. Sprawdzona opcja, działa przewidywalnie.

WireGuard jest nieco inny pod względem architektury — nie obsługuje block-outside-dns natywnie. Ale większość klientów WireGuard (Mullvad App, oficjalny WireGuard dla Windows) realizuje tę ochronę na poziomie aplikacji. W konfiguracji WireGuard jest parametrDNS = w sekcji [Interface] — jeśli jest zapisany, klient używa wskazanego DNS i blokuje systemowy. Jeśli nie jest zapisany — wyciek jest prawie gwarantowany.

IKEv2 normalnie tuneluje DNS przy użyciu natywnych klientów na Windows i iOS. Na Androidzie jest nieco trudniej — zależy od implementacji.

Shadowsocks i VLESS/XRay: DNS poza głównym tunelem

Oto gdzie większość artykułów milczy. Shadowsocks i VLESS/XRay to protokoły proxy, a nie pełnoprawne VPN. Doskonale omijają DPI i blokady RKN, szczególnie w połączeniu z obfuskacją. Ale domyślnie proxy'ują ruch aplikacji (TCP/UDP), a zapytania DNS idą bezpośrednio przez systemowy resolver.

Jeśli używasz klientów typu v2rayN, Nekobox lub sing-box z VLESS/XRay — musisz ustawić zasady DNS osobno. W sing-box robi się to w sekcji dns konfiguracji: wskazujesz serwer (na przykład 1.1.1.1 przez proxy) i zasady routingu DNS. Bez tego — klasyczny wyciek, nawet jeśli cały ruch HTTP idzie przez proxy.

Amnezia i obfuskacja: na co wpływa w kontekście DNS

AmneziaVPN i inne narzędzia obfuskacji (obfs4, Cloak, GoodbyeDPI) ukrywają sygnaturę ruchu VPN przed DPI. Pomaga to obejść blokadę samego protokołu VPN, ale nie rozwiązuje problemu wycieku DNS.

Amnezia buduje się na WireGuard lub OpenVPN — oznacza to, że wszystko, co powiedziano o tych protokołach, ma tu zastosowanie. Obfuskacja działa na poziomie transportowym, DNS to oddzielna warstwa. Jeśli podstawowy protokół jest poprawnie skonfigurowany, DNS pójdzie przez tunel. Jeśli nie — pójdzie obok, a obfuskacja nic tu nie pomoże.

Co wybrać, jeśli ważna jest ochrona przed wyciekami

Dla maksymalnej ochrony DNS — klasyczne protokoły VPN z poprawnie skonfigurowanym klientem. WireGuard z zapisanym DNS w konfiguracji lub OpenVPN z block-outside-dns — oba działają dobrze. Niektóre usługi, w tym NvoVPN, oferują własny DNS wewnątrz tunelu, co eliminuje konieczność ręcznego konfigurowania tego.

Jeśli używasz VLESS/XRay — nie zapomnij skonfigurować routingu DNS w sing-box lub v2ray. To nie jest trudne, ale wymaga jednego dodatkowego kroku w konfiguracji.

Co NIE działa i częste błędy

Przez lata nagromadziło się kilka trwałych mitów. Oto co naprawdę nie działa — i dlaczego.

Zmiana DNS na 8.8.8.8 nie zamyka wycieku

To chyba najczęstsza rada w internecie. „Zapisz Google DNS 8.8.8.8 lub Cloudflare 1.1.1.1 — i nie będzie wycieków”. To nieprawda.

Zmiana serwera DNS zmienia tylko to,komu idzie twoje zapytanie. Ale jeśli zapytanie idzie poza tunel — i tak przechodzi przez sieć dostawcy w otwartej postaci, a DPI je widzi. Po prostu zmieniłeś adresata z dns.provider.ru na 8.8.8.8, ale trasa i tak idzie przez dostawcę. To nie jest rozwiązanie.

Rozszerzenia przeglądarki zamiast systemowego VPN

Rozszerzenia typu „VPN dla Chrome” lub „Proxy dla Firefox” chronią tylko ruch samej przeglądarki. Systemowe zapytania DNS, zapytania innych aplikacji, komunikatory — wszystko to idzie na bok. Rozszerzenie daje fałszywe poczucie ochrony.

To samo dotyczy blokatorów WebRTC — zamykają tylko jeden konkretny wyciek w przeglądarce, ale w żaden sposób nie wpływają na systemowy DNS.

Wyłączony kill switch i przerwy w połączeniu

Kill switch — to nie opcjonalna funkcja. To krytycznie ważny element ochrony. Przy krótkiej przerwie w VPN (zmiana sieci, niestabilny sygnał Wi-Fi, zmiana IP) system operacyjny natychmiast przełącza się na bezpośrednie połączenie. Zapytanie DNS idzie do dostawcy — wszystko, wyciek zarejestrowany.

Przerwa może trwać 2-3 sekundy. Wystarczająco, aby zapytanie DNS dla otwieranej strony poszło bezpośrednio. Jeśli w twoim kliencie jest kill switch — włącz go. Jeśli klient nie oferuje kill switch — szukaj innego. Tak właśnie wyglądawyciek DNS w VPN: rozwiązanie na poziomie ustawień.

I jeszcze jedna niedoceniana sytuacja: korporacyjny filtr DNS lub kontrola rodzicielska, zapisane na urządzeniu. Takie narzędzia często nadpisują systemowy DNS i działają niezależnie od VPN. Jeśli na urządzeniu jest profil MDM lub aplikacja kontroli rodzicielskiej z własnym DNS — będzie przechwytywać zapytania niezależnie od ustawień VPN.

Jeśli poradziłeś sobie z ustawieniami, uruchomiłeś Extended test i upewniłeś się, że serwery DNS należą do twojego dostawcy VPN, a nie rosyjskiego operatora —wyciek DNS w VPN: rozwiązanie znalezione i problem zamknięty. Sprawdzaj to okresowo, szczególnie po aktualizacji aplikacji lub systemu.