⚠️ Что это
DNS-утечка — когда твои DNS-запросы (перевод "google.com" в IP) идут к DNS-серверу провайдера вместо ВПН-туннеля. Шифрование трафика работает, но провайдер видит каждый сайт куда ходишь.
Почему происходит
В нормальном сетапе:
- Тапаешь "google.com" в браузере.
- Браузер шлёт DNS-запрос: "Какой IP у google.com?"
- DNS-запрос должен идти через ВПН-туннель к ВПН-резолверу.
- Резолвер отвечает IP.
- Браузер подключается к этому IP.
Утечка происходит когда DNS-запрос на шаге 3 обходит туннель и идёт напрямую к DNS-серверу провайдера. Тогда провайдер видит: "юзер искал google.com".
Когда обычно случается
- Windows "smart multi-homed name resolution": ОС пытается оптимизировать запросы и шлёт всем доступным DNS-серверам одновременно. ВПН-клиент должен это отключать.
- IPv6 не туннелирован: ВПН туннелит IPv4, но устройство имеет IPv6 → IPv6 DNS-запросы утекают.
- Hardcoded DNS: некоторые приложения хардкодят DNS-сервер (типа Google DNS 8.8.8.8) и обходят ВПН.
- Браузер с собственным DNS: Firefox/Chrome могут использовать DoH к Cloudflare — не утечка к провайдеру, но не идёт через ВПН.
Как проверить
- Подключи ВПН.
- Зайди на наш тест или dnsleaktest.com.
- Запусти "Standard test".
- Глянь список DNS-серверов в результатах.
Хорошо: видишь Cloudflare, Google DNS, или ВПН-провайдера.
Плохо: видишь имя своего реального провайдера (Comcast, Verizon, Beeline, и т.п.).
Как починить
- Включи DNS leak protection в ВПН-клиенте (если есть toggle).
- Отключи IPv6 в настройках сети устройства.
- Используй надёжный ВПН — ClownVPN, ProtonVPN, Mullvad форсят DNS через туннель by default.
- Для Windows: GPO или registry-tweak чтобы отключить smart multi-homed name resolution.