DNS vs DoH vs DoT vs DoQ: зачем это нужно, чем отличается и что выбрать
DNS vs DoH vs DoT vs DoQ: зачем это нужно, чем отличается и что выбрать
Каждый заход на сайт, каждое сообщение в мессенджере, каждый запрос приложения начинается с одного и того же незаметного шага — DNS-запроса: устройство спрашивает «а какой IP у этого домена?». И вот подвох: классический DNS задаёт этот вопрос открытым текстом. Его видит — а при желании и подменяет — любой на пути: провайдер, владелец Wi-Fi в кафе, промежуточное оборудование и что ещё угодно, кто по кайфу может настроить что угодно, что УДОБНО КОНКРЕТНО ДЛЯ НЕГО И ЕГО РАБОЧЕЙ СРЕДЫ.
Очень хочу избежать здесь талмуда и скороговорок на очень непонятные темы(для кого-то), но это всё же важно как мне кажется и вообще инфа оч полезная, прочитать явно не будет лишним
DoT, DoH и DoQ — три способа этот вопрос зашифровать. Задача у них одна (спрятать DNS), но решают они её по-разному, и от выбора зависит скорость, приватность и то, переживёт ли это ваша сеть. Ниже разберём что это, почему различия реально важны, какие грабли ждут на практике и что в итоге выбрать — и честно скажем, чего шифрование DNS не умеет, чтобы вы не купились на популярные мифы.
Кому пригодится: если хотите закрыть свои запросы от провайдера, вырезать рекламу и вредоносные домены сразу на всех устройствах, починить тормозной DNS, осознанно выбрать резолвер или поднять свой — это для вас.
Меня можно знать по никнейму Aster./Asterlike. Вообще я микроразработчик, со мной можно связаться как угодно, я открыт ко всему
**Сторонний мой проект: Zapret2UI.
Содержание
- Что это такое
- Почему отличия важны
- Принципиальные отличия: DNS, DoT, DoH, DoQ
- Сравнения: скорость, приватность, стабильность, шифрование
- Проблемы, с которыми можно столкнуться
- Почему доверие к резолверу важно
- Свой резолвер и как его использовать
- Что выбрать и что выбирает большинство
- Сценарии использования
- Мини-FAQ и мифы
- Что в итоге
- Источники
Что это такое
DNS — это что-то типо телефонной книги интернета: она превращает понятные человеку имена
(example.com) в IP-адреса, по которым реально идёт соединение. Допустим от Вашего провайдера до любого другого сервиса,сервера и т.д ну вы поняли. А резолвер —
это справочная служба, которая на такие вопросы отвечает. Обычно её вам молча
выдаёт провайдер, но указать можно любую на уровне ОС, а некоторые и можно на уровне приложений(будет ниже).
Чтобы дальше было наглядно, представьте, что запрос к резолверу — это письмо. Тогда четыре способа его отправить выглядят так:
- Do53 — классический открытый DNS (порт 53). Это открытка: быстро, но текст прочитает любой почтальон по пути, а среди текущего интернета чет почтальонов развелось многовато.
- DoT (DNS over TLS, порт 853) — запечатанный конверт, но с крупной пометкой, что это DNS. Прочитать нельзя, а вот перехватить всю такую почту — легко.
- DoH (DNS over HTTPS, порт 443) — тот же конверт, брошенный в общую гору обычных писем (веб-трафика). Со стороны не отличить от миллионов других.
- DoQ (DNS over QUIC, порт 853/443) — такой же конверт, но отправленный курьером побыстрее, который не застревает в пробках(курьер в +30 мне везет картошку фри и колу, чтобы я просто вкусно покушал, желание открыть бешенное, но не будет этого делать, потому что не его).
Немного истории для контекста: DNS придумали в 1983-м, когда о приватности никто не думал, — поэтому 40 лет он и ходил «открыткой», простой лист бумаги, который может прочитать кто угодно и так же ПОДМЕНИТЬ ОТВЕТ. Долгое время единственной защитой считался DNSSEC, но он решает другую задачу.
DNSSEC — это не шифрование. Он ставит на письмо что-то вроде голограммы-печати: получатель убеждается, что письмо подлинное и его не подменили по дороге. Но прочитать текст всё равно может кто угодно — конверта-то нет. За скрытность отвечают именно DoT/DoH/DoQ. Идеально — использовать вместе: DNSSEC от подмены, шифрование от подглядывания.
Почему отличия важны
Разница между этими четырьмя — не занудство для сетевиков. Она напрямую решает четыре бытовых вопроса:
- Кто видит ваши запросы. Открытый DNS читает провайдер; шифрованный — нет (но его читает резолвер, к этому ещё вернёмся).
- Как быстро открываются страницы. DNS — самый первый шаг любого соединения, и лишние миллисекунды тут умножаются на каждый домен на странице.
- Переживёт ли это ваша сеть. Один вариант легко режется по порту, другой
сливается с веб-трафиком, третий умирает там, где душат UDP. Здесь вообще ещё инфа должна быть, но вообще-то это статья написана исключительно в исследовательских целях для изучения сетей и понимания их устройства
у блин как завернул, ну вы видели?
- Насколько это управляемо. Дома это про удобство, в организации — про контроль
и безопасность.
Интересный факт, Яндекс браузер ПО УМОЛЧАНИЮ использует свой DNS, который они считают безопасным, но доверие к резолверу — самое важное, поэтому я рекомендую использовать браузеры, которые хоть чуть чуть отличаются своей защитой.
Фокус в том, что один и тот же протокол может быть отличным выбором дома и худшим — в офисной сети. Поэтому дальше — по существу.
Принципиальные отличия и вообще как это работает(ну прям для самых маленьких)
Чуть талмуда, думаю, для тех кто мало что в этом понимает — будет полезно
Обычный DNS (Do53)
Запрос уходит на порт 53, обычно по UDP, открытым текстом — та самая «открытка». Плюсы: работает вообще везде, ничего не весит, минимальная задержка. Минусы: нулевая приватность (провайдер видит всё, речь о трафике, конечно) и уязвимость к подмене (можно подсунуть фальшивый ответ и увести вас на левый сайт). Это база, от которой отталкиваются остальные три.
DoT — DNS over TLS
DNS, завёрнутый в TLS, на отдельном порту 853 — «конверт с пометкой DNS». Содержимое закрыто, но сам факт, что это DNS, виден всем: трафик идёт на характерный порт. Отсюда двойственность: легко заблокировать (режь порт 853 — и всё), но и легко контролировать в управляемой сети.
Кстати, «Частный DNS» в Android — это как раз DoT.
DoH — DNS over HTTPS
DNS, упакованный в обычный HTTPS на порту 443, — тот самый «конверт в общей горе писем». Для наблюдателя он неотличим от захода на любой сайт, так что вырезать его, не сломав заодно весь веб, крайне сложно. Версию поверх HTTP/3 называют DoH3 (она забирает скорость QUIC). Важный нюанс: DoH часто включают в самом приложении — браузеры Firefox и Chrome умеют его сами, в обход системного DNS. Поэтому «DNS системы» и «DNS браузера» иногда ведут в разные места, и это сбивает с толку при отладке.
По сути безопасная маскировка под обычный интернет трафик, коего миллион и сломав его ложится абсолютно всё
DoQ — DNS over QUIC
DNS поверх QUIC — это UDP-транспорт со встроенным шифрованием (TLS 1.3), порт 853 или 443. Берёт аккуратную конструкцию DoT и добавляет скорость QUIC:
- Нет «пробки из-за одной машины». По-простому: обычное TCP-соединение — это однополосная дорога. Застряла одна машина (потерялся пакет) — стоят все, кто сзади, даже если едут по своим делам. Это и есть head-of-line blocking. QUIC делает несколько независимых полос, поэтому одна заминка не тормозит остальные.
- Быстрое возобновление (0-RTT). Если вы уже общались с резолвером, повторно «представляться» не нужно — соединение поднимается почти мгновенно. Как в кофейне, где бариста уже знает ваш заказ, потому что вы здесь не первый раз и все знают, что вы пришли просто с важным видом посидеть в ноутбуке с чем-то там на миндальном.
- Переживает смену сети. Перескочили с Wi-Fi на мобильный — соединение не рвётся.
Итог: самый быстрый из шифрованных на мобильных и нестабильных каналах. Но он моложе остальных и зависит от здорового UDP(сейчас такое редкость, но всё же).
DoQ или DoH3? Оба едут на QUIC и по скорости идут вровень. DoH3 сохраняет слой HTTP (дружит с CDN и веб-инфраструктурой), DoQ — «голый» QUIC, чуть легче.
По сути, выбор любого из них — не ошибка, каждый из них хорош, но в нынешних реалиях по обстоятельствам очевидных для всех DoH выигрывает, всё же надо быть честным.
Сравнения
Скорость
Самое очевидное, скорость ответов на что угодно = задержка. «шифрование = медленнее» верна лишь наполовину. На самом первом запросе открытый DNS выигрывает — ему не нужно рукопожатие. Но в обычной работе соединение переиспользуется, QUIC умеет 0-RTT, и разрыв почти исчезает; по исследованиям на тысячах резолверов DoQ и DoH3 идут ноздря в ноздрю, DoQ чуть впереди. А решает на практике вообще не протокол, а близость резолвера и кеш: справочная за 5 мс по «открытке» обгонит справочную за 80 мс по любому шифрованию.
Итог в том, что шифрование хорошо, но задержка будет незначительной, самое важное — это то, насколько близко резолвер находится к Вам, по сути до какого почтового отделения вы пойдете, если есть возможность забрать свою открытку есть во всех отделениях города.
Приватность
Что шифрование скрывает: ваши запросы от провайдера и локальной сети. А вот что оно НЕ скрывает — и тут кроется главный миф большинства людей, кто в этом ничего не понимает:
- Резолвер видит всё. Вы не убрали наблюдателя — вы его поменяли. Раньше вашу почту читал любопытный сосед-провайдер, теперь вы носите её в выбранную частную справочную — и уже она видит всё, о чём вы спрашиваете. Это очень важный фактор, которым не стоит пренебрегать.
- SNI выдаёт, кому вы пишете. Даже с шифрованным DNS при заходе на сайт имя этого сайта уходит открытым текстом в служебном поле SNI. По-простому: конверт запечатан (текст письма не прочесть), но адрес получателя написан снаружи. Закрывает это только ECH (Encrypted Client Hello, RFC 9849) — он прячет и адрес. А чтобы ECH сработал приватно, нужен как раз шифрованный DNS: они работают в паре.
- IP получателя виден всегда — по нему часто и так понятно, куда вы пошли, так что нужно понимать кому вы собрались доверять и для чего.
Вывод: DoT/DoH/DoQ закрывают запрос от провайдера, но анонимом вас не делают.
Стабильность
Здесь протоколы расходятся сильнее всего:
- DoH — самый живучий. Прячется в общем HTTPS на порту 443; чтобы его срезать, надо ломать весь веб. ЭТОГО ДЕЛАТЬ НИКТО НЕ БУДЕТ, это просто глупо и не требуется
- DoT — легко блокируется по своему выделенному порту 853.
- DoQ — заложник UDP. Прекрасно держится на потерях, но там, где сеть душит UDP или QUIC, он проседает или не встаёт вовсе.
- Captive-порталы — те самые страницы входа в Wi-Fi отелей и аэропортов — ломают любой шифрованный DNS, пока вы не «прокликаете» вход по обычному DNS. Думаю всем же очевидно, что DNS провайдером автоматически становится ваш поставщик сети, если не настроен на уровне ОС
Шифрование
Все три (DoT/DoH/DoQ) шифруют запрос современной криптой уровня TLS 1.3 — по стойкости самого канала они равны. Do53 не шифрует ничего, ну он и старше меня почти в 3 раза, че от него ждать. Разница не в «силе» шифра, а в обёртке: TLS на своём порту (DoT), TLS внутри HTTP (DoH), TLS внутри QUIC (DoQ). И держите в голове: шифруется дорога до резолвера, а не вся ваша личность в сети — SNI и IP (см. «Приватность», там была инфа об этом) остаются отдельной задачей.
Сводка
| Критерий | Do53 | DoT | DoH | DoQ |
|---|---|---|---|---|
| Шифрование | Нет | Да | Да | Да |
| Скорость на плохом канале | — | Хуже | Хуже | Лучше |
| Устойчивость к блокировке | Низкая | Низкая | Высокая | Средняя |
| Прячет факт «это DNS» | — | Нет | Да | Частично |
| «Пробка из-за одной машины» (HoL) | — | Есть | Есть* | Нет |
| Порт | 53 | 853 | 443 | 853/443 |
* кроме DoH3 (он поверх QUIC)
Проблемы, с которыми можно столкнуться
- Раздвоение DNS. Включили DoH в браузере, а в системе остался открытый DNS — и весь не-браузерный трафик идёт незашифрованным. Для полного покрытия настраивайте на уровне ОС или роутера или с чего вы там ещё можете сидеть.
- Captive-порталы. Общественный Wi-Fi со страницей входа не пустит вас, пока шифрованный DNS не «прогнётся» под открытый. Одни ОС делают это сами, другие — нет, и тогда интернет как будто есть, а сайты не грузятся.
- Корпоративные и «умные» сети. Могут резать порт 853 (DoT) или душить UDP (DoQ), а DoH — наоборот, целенаправленно блокировать, чтобы не терять контроль над сетью.
- Резолвер — единая точка отказа. Лёг ваш DNS-сервис — и «интернет пропал», хотя каналы живы. Держите запасной адрес. Чаще всего 1 основной на своем VPS, и один запасной на лоу кост VPS, на который плевать(в плане это запасной вариант, где стоят допустим основные настройки)
- Далёкий резолвер = тормоза. Красивый приватный DNS на другом континенте может ощутимо замедлить открытие страниц, получение любой инфы с помощью интернета, т.к это и есть основная проблема подобных резолверов. Близость важнее «бренда».
- Приложения себе на уме. Часть софта и умных устройств ходит на свои зашитые DNS-серверы, игнорируя ваши настройки. Это одна из важнейших вещей, т.к должно быть понимание, что на всё вы повлиять не можете.
- DNS-утечки. При кривой настройке некоторых виртуальных сетей, которые используются лишь для исследования и понимания сетей запросы иногда всё равно утекают провайдерскому резолверу — это стоит проверять(Есть прекрасные сервисы типо dnsleaktest, browserleaks).
Почему доверие к резолверу важно
Ключевая мысль всей темы: шифрование не убирает наблюдателя — оно его меняет. Раньше запросы видел провайдер, теперь их целиком видит выбранный резолвер. Значит, ваша реальная приватность равна тому, насколько вы доверяете тому, кто отвечает на запросы. Проще говоря, вы сами выбираете, в чьи руки отдать список всего, что смотрите.
От чего зависит это доверие:
- Логи. Пишет ли резолвер историю запросов, как долго хранит, отдаёт ли третьим лицам(из которых может быть буквально кто угодно). У приличных сервисов это прописано в политике — не поленитесь прочитать.
- Юрисдикция. По чьим законам живёт оператор и кому обязан выдавать данные.
- Монетизация. Бесплатный публичный DNS на что-то живёт — вопрос, на чём именно.
Помните, если же вы пользуетесь чем-то бесплатно, скорее всего продукт — Вы. Это база базированая, не будьте глупцами(мне просто сказали мат нельзя)
- Фильтрация. Резолверы с блокировкой рекламы и вредоносного удобны, но это значит, что оператор решает, что вам показать. Это власть над тем, что вы видите.
- Централизация. Когда все ходят к паре гигантов, у тех скапливается карта запросов половины интернета. Частичное лекарство — Oblivious DoH (ODoH): между вами и резолвером ставится посредник, и получается хитрая развязка — справочная видит вопрос, но не знает, чей он, а посредник знает, чей, но не видит вопрос. Ни одна сторона не знает и то, и другое сразу.
Отсюда напрашивается следующий шаг для тех, кто не хочет доверять вообще никому.
Свой резолвер и как его использовать
Самый честный способ закрыть вопрос «кому я отдаю все свои запросы» — никому не отдавать, а поднять свой резолвер. Тогда доверенная сторона — вы сами.
Чем полезно и как применять:
- Один DNS на все устройства. Прописали резолвер в домашнем роутере — и весь дом (телефоны, ТВ, ноутбуки) разом получает приватный DNS и единые правила. Важно обратить внимание, что не все устройства будут его принимать, у некоторых устройств есть встроенные настройки на уровне ОС(выше рассказывал)
- Блок рекламы и трекеров на уровне сети. Подключаете блок-листы — реклама и телеметрия режутся сразу для всех устройств, без всяких расширений.
- Свои правила. Локальные домены, родительский фильтр, блок вредоносных зон, перенаправления — всё в ваших руках. Даже для счастливой мамочки двух ангелочков в декрете можно настроить что угодно — главное это базовое понимание того, что Вы делаете, ну и умение гуглить.
- Личный шифрованный адрес. Поднимаете свои DoH/DoT/DoQ (с бесплатным сертификатом Let's Encrypt) и ходите на них с телефона и ноутбука откуда угодно — запросы летят на ваш сервер, а не в Cloudflare или Google или не дай боже в Яндекс.
- Логи по вашим правилам. Сами решаете, вести ли историю и на сколько. Хотя по сути, если вы используете его как личный, то она Вам и не нужна, Вы же не паранойик.
На чём поднять (умеют все три протокола из коробки):
- AdGuard Home — веб-панель, блок-листы, мастер настройки. Лучший старт для большинства.
- Technitium DNS — помощнее, с поддержкой своих доменных зон.
- Unbound / dnsdist — классика для тех, кто любит собирать руками.
Про данные решения можно думать что угодно, но они одни из самых простых из быстрого старта. Всем нужен VPS с публичным IP. Процессор тут не в цене — DNS почти не грузит CPU; важнее стабильность и близкий дата-центр ради минимальной задержки, рекомендую людей ниже<3.
Где поднять. Свой резолвер нетребователен к железу — хватит самого младшего тарифа. Его легко развернуть на serv.host: нагрузка на CPU у DNS низкая, зато важны стабильность и близкий дата-центр ради минимальной задержки резолва.
Проверить выигрыш просто: сравните задержку резолва (dig, kdig, dnsperf) по
обычному DNS и по своему DoQ. Например: kdig +tls @1.1.1.1 example.com (DoT) или
kdig +https @1.1.1.1 example.com (DoH).
Что выбрать и что выбирает большинство
Под задачу:
- Приватность от провайдера в управляемой сети или на Android → DoT.
- Максимальная незаметность и включить в пару кликов в браузере → DoH / DoH3.
- Минимальная задержка, мобильный или рваный(нестабильный) канал → DoQ.
- Не доверять никому чужому → свой резолвер.
Что на практике выбирает большинство:
- Обычный пользователь — либо ничего, либо DoH в браузере (часто к Cloudflare).
- Android-аудитория — DoT через «Частный DNS» (
dns.google,dns.adguard.com). - Кому нужна фильтрация рекламы — AdGuard DNS или NextDNS.
- Энтузиасты — свой AdGuard Home.
- Самые массовые публичные резолверы — Cloudflare 1.1.1.1 и Google 8.8.8.8.
Публичные резолверы и поддержка протоколов:
| Резолвер | Адрес | DoH | DoT | DoQ | Особенность |
|---|---|---|---|---|---|
| Cloudflare | 1.1.1.1 | ✅ | ✅ | ✅ | Скорость, минимум логов |
| 8.8.8.8 | ✅ | ✅ | — | Надёжность | |
| Quad9 | 9.9.9.9 | ✅ | ✅ | ✅ (2026) | Блок вредоносных доменов |
| AdGuard | 94.140.14.14 | ✅ | ✅ | ✅ | Пионер DoQ, фильтрация |
| NextDNS | (свой ID) | ✅ | ✅ | ✅ | Гибкие правила под вас |
Как включить быстро: Windows 11 — Параметры → Сеть → свойства адаптера →
«Шифрование DNS (DoH)»; Linux — DNSOverTLS=yes в resolved.conf; Android —
«Частный DNS» → имя хоста (DoT); браузеры — «Безопасный DNS / DNS через HTTPS».
Сценарии использования
Где шифрованный или альтернативный DNS реально приносит пользу:
- Приватность на чужом Wi-Fi. В кафе, отеле, коворкинге локальная сеть больше не видит список ваших доменов.
- Блок рекламы, трекеров и вредоносного — на уровне сети. AdGuard/NextDNS или свой AdGuard Home режут это сразу на всех устройствах, без расширений. Один из самых массовых сценариев, потому что реклама бесит всех туда сюда.
- Семейный/родительский фильтр — единые правила для детских устройств. Ну или банальщина ограничение, того, что не должны увидеть свои пользователи(на уровне роутера допустим его настроить)
- Починка тормозного или «кривого» DNS. Если справочная провайдера тупит, глючит или подсовывает неверные ответы, честный внешний резолвер отдаёт правильный IP — и сайт снова открывается (если проблема была именно в DNS). Вот у меня например домашний интернет от самого смешного провайдера на 3 буквы, который работает как будто на заводе, каждые пол часа перекур ловит и всё :)
- Игры и стриминг. Быстрый и корректный резолвинг, меньше капризов лаунчеров и сервисов на провайдерском DNS. Напоминаем, это всё исследовательская инфа туда сюда.
- Единый приватный DNS на весь дом через свой резолвер на роутере.
Важная оговорка, чтобы не путать инструменты. Шифрованный DNS меняет, кто отвечает на ваши запросы, и прячет их от провайдера. Но он не меняет ваш IP и вашу страну. Поэтому сам по себе DoH/DoT/DoQ не открывает сервисы, закрытые по гео-IP (скажем, региональную недоступность части ИИ-сервисов вроде Gemini): для сервиса вы по-прежнему из своей страны. Это уже работа прокси/VPN. Есть отдельный класс — SmartDNS, который действительно меняет маршрут для отдельных сайтов, но это проксирование под капотом, а не «шифрование DNS». Короче: DoH/DoT/DoQ — про приватность и правильность ответа, а не про смену «гражданства» вашего трафика.
SmartDNS: отдельная категория для гео-разблокировки
Раз уж зашла речь про доступ к сервисам, которые сами ушли из России, честно разведём два инструмента. DoH/DoT/DoQ — про приватность. SmartDNS — про маршрут. Это разные вещи, и путать их — классическая ошибка. Далее разберем по полочкам че эт вообще такое.
Думаю, что вообще надо было засунуть эту инфу чуть выше, но не хотелось терять контекст у того, что я думаю важно.
Как работает. Представьте пункт пересылки почты за границей, но не для всей корреспонденции, а только для писем на пару конкретных адресов. Всё остальное вы отправляете напрямую. Ровно это и делает SmartDNS: он перехватывает запросы только к определённым заблокированным доменам и уводит их через свой зарубежный шлюз, а весь прочий трафик идёт как обычно. Отсюда его плюс перед VPN — скорость почти не страдает (за границу гонится не всё, а несколько сервисов), — и его суть: он не меняет ваш IP целиком, а «переадресует» отдельные платформы.
Важное разграничение. Такие сервисы восстанавливают доступ к тому, что само закрылось от пользователей из РФ, и — как отдельно подчёркивают их операторы — не открывают ресурсы заблокированные РКН внутри России. Это две разные вещи, мы вообще-то государство любим, я буквально сейчас ем сыр плавленный президент(не шутка кстати).
Что обычно разблокируют: ИИ-ассистенты (Gemini, ChatGPT, Claude, Copilot), стриминг (Spotify, Twitch), отдельные игровые сервисы, рабочие инструменты (GitHub Copilot, JetBrains, Notion). То, что решило поджав хвост уйти, понимая, что наши аналоги уже их выиграли, и вообще им тут не место, ну очевидно же.
Популярные варианты:
Важное упоминание, это не реклама и вообще не пользуйтесь ими, они говно и т.д, мне не платят за это деньги, это просто примеры. Так же автор статьи не отвечает за их работу и это ни в коем случае не рекомендация.
- Comss.one DNS (
dns.comss.one) — бесплатный, ориентирован на РФ, упор на ИИ-сервисы; поддерживает DoH/DoT. Операторы прямо пишут, что к РКН-заблокированному доступа он не даёт. - xbox-dns.ru — бесплатный community-проект (на донатах, с 2023), широкий список (игры, ИИ, стриминг, рабочие инструменты); есть обычный DNS, DoH и DoT, заявлен режим без логов (всё в оперативной памяти).
- Getflix — платный международный SmartDNS, исторически про стриминг (Netflix, Hulu).
Чем платите, кроме денег. Раз сервис ведёт ваш трафик к нужным платформам через свои шлюзы, он технически видит это соединение и может в него вмешаться. Поэтому: смотрите на политику логов и репутацию, не пускайте через незнакомый бесплатный SmartDNS чувствительные входы (банки, госсервисы) и помните — это доверие третьей стороне. Плюс нестабильность: бесплатные сервисы перегружаются и «отваливаются» (у Comss бывали сбои, из-за чего часть аудитории ушла на xbox-dns), а маршруты периодически латают под изменения на стороне платформ.
Важное упоминание, это не реклама и вообще не пользуйтесь ими, они говно и т.д, мне не платят за это деньги, это просто примеры. Так же автор статьи не отвечает за их работу и это ни в коем случае не рекомендация.
Свой SmartDNS на VPS: мини-инструкция
Главный минус чужого SmartDNS — то самое доверие: оператор видит ваш трафик к разблокируемым сервисам. Лечится так же, как с резолвером, — поднять свой. Тогда пункт пересылки ваш, и доверять постороннему не нужно.
Из чего состоит SmartDNS — из двух частей:
- DNS с перезаписью — для доменов из вашего списка отдаёт IP вашего VPS, а всё остальное резолвит как обычно.
- SNI-прокси на VPS — принимает эти соединения и по «адресу на конверте» (имя сайта из TLS-рукопожатия, тот самый SNI) пробрасывает их к настоящему сервису, не вскрывая содержимого. Платформа видит IP вашего VPS, а не ваш.
Критично — локация. VPS должен стоять там, где нужные сервисы доступны (например, ЕС): гео-проверка смотрит на IP выхода, так что сервер в РФ для разблокировки ушедших сервисов бесполезен. Берём VPS в подходящей локации — например, на serv.host (промокод promo22382).
Шаги:
-
SNI-прокси. Ставим
nginxсоstream-модулем (или специальныйsniproxy). Минимальный конфиг — проброс строго по белому списку (домены из списка идут к себе же, остальное отбрасывается):stream { resolver 1.1.1.1 ipv6=off; # домены из списка → проксируем к ним же; остальное → пусто (соединение закрывается) map $ssl_preread_server_name $upstream { ~*(gemini\.google\.com|chatgpt\.com|spotify\.com)$ $ssl_preread_server_name:443; default ""; } server { listen 443; ssl_preread on; proxy_pass $upstream; } } -
DNS с перезаписью. Проще всего — AdGuard Home: раздел «DNS rewrites» → нужные домены → IP вашего VPS. Заодно включаем свои DoH/DoT, чтобы и сам DNS шёл шифрованно.
-
Список доменов. Самая муторная часть — что заворачивать. Держите список коротким (только служебные домены нужных платформ), иначе теряете главный плюс SmartDNS — скорость. Готовые списки можно взять у community-проектов с того же гитхаба и т.д и подчистить.
-
Подключение. Указываем свой AdGuard Home как DNS на устройстве или роутере.
Обязательно закройте от чужих:
- Прокси — только по белому списку (как выше), иначе получите открытый релей, через который посторонние начнут гонять свой трафик за ваш счёт.
- DNS — только для своих IP (Access settings в AdGuard Home + фаервол). Открытый резолвер злоумышленники используют как «отражатель», чтобы усиливать атаки на чужие серверы, — а крайним окажетесь вы, думаю это очевидно.
Грабли с QUIC. Если платформа ушла в HTTP/3 (UDP 443) мимо вашего TCP-прокси — заблокируйте ей UDP 443 на VPS, и клиент сам откатится на TCP через прокси.
По сути это ваш личный Comss/xbox-dns: те же возможности, но шлюз и логи под вашим контролем, а не у третьей стороны.
Мини-FAQ и мифы
«Включил шифрованный DNS — стал анонимным». Нет: резолвер видит всё, а SNI и IP по-прежнему выдают, куда вы пошли. Не будьте наивными
«Поменял DNS — открылись заблокированные по гео сервисы». Нет: DNS не меняет ваш IP. Это делает прокси/VPN или SmartDNS — другой инструмент.
«DoH безопаснее DoT». По шифрованию они равны; отличаются заметностью и управляемостью, а не стойкостью.
«Шифрованный DNS всегда медленнее». На первом запросе — чуть-чуть; в реальной работе разница почти исчезает, а DoQ на мобильном бывает даже быстрее открытого.
«Достаточно включить DoH в браузере». Только для браузера; остальной трафик пойдёт по открытому DNS.
Что в итоге
Шифрование DNS — это в первую очередь про приватность от провайдера и правильность ответов, а не про анонимность и не про «открыть что угодно». Технически DoT/DoH/DoQ равны по стойкости и различаются заметностью, скоростью и живучестью в конкретной сети. Но какой бы протокол вы ни выбрали, уровень вашей приватности определяется тем, кому вы доверяете отвечать на запросы. Поэтому самый сильный ход — не просто включить шифрование, а выбрать резолвер, которому реально можно верить. А ещё лучше — стать этим резолвером самому.
Вообще я микроразработчик, со мной можно связаться как угодно, я открыт ко всему
**Сторонний мой проект: Zapret2UI.
С чем можно ознакомиться для понимания о чем здесь написано, но подробнее
что-то типо источников, личные рекомендации что-ли. ААААААААААА АНГЛИЙСКИЙ ЯЗЫК ЧЕ ДЕЛАТЬ-ТО

