Добавить в корзинуПозвонить
Найти в Дзене
Тех Макар
8 подписчиков

Невидимый интернет на домашнем роутере: как настроить DoT и забыть о «глазах» провайдера

2
2 мин
Задумывались ли вы когда-нибудь, что ваш провайдер — это не просто «труба» с интернетом, а невидимый свидетель каждого вашего шага? Даже если вы используете защищенные протоколы на сайтах, ваш роутер всё равно делает первый шаг в открытую: он спрашивает «адресную книгу» интернета (DNS), куда ему идти. И этот запрос виден всем. В чем «дыра»?
Стандартные DNS-запросы (на 53 порт) ходят в открытом виде. Это значит, что любой узел на пути от вашего роутера до сервера знает, на какой сайт вы заходите, как часто и в какое время. Провайдеры могут использовать это для сбора статистики, подмены ответов или просто для того, чтобы «присматривать» за вашим трафиком. Как системный администратор, я считаю, что сетевая гигиена — это не паранойя, а база. И решается эта проблема с помощью DoT (DNS-over-TLS). Что такое DoT на пальцах?
Это тот же DNS, но завернутый в защищенный TLS-тоннель (как HTTPS для сайтов). Как я настраиваю это у себя (на примере Keenetic/OpenWrt):
Я не сторонник полумер вроде настр

Задумывались ли вы когда-нибудь, что ваш провайдер — это не просто «труба» с интернетом, а невидимый свидетель каждого вашего шага? Даже если вы используете защищенные протоколы на сайтах, ваш роутер всё равно делает первый шаг в открытую: он спрашивает «адресную книгу» интернета (DNS), куда ему идти. И этот запрос виден всем.

В чем «дыра»?
Стандартные DNS-запросы (на 53 порт) ходят в открытом виде. Это значит, что любой узел на пути от вашего роутера до сервера знает, на какой сайт вы заходите, как часто и в какое время. Провайдеры могут использовать это для сбора статистики, подмены ответов или просто для того, чтобы «присматривать» за вашим трафиком.

Как системный администратор, я считаю, что сетевая гигиена — это не паранойя, а база. И решается эта проблема с помощью DoT (DNS-over-TLS).

Что такое DoT на пальцах?
Это тот же DNS, но завернутый в защищенный TLS-тоннель (как HTTPS для сайтов).

  1. Приватность: Никто «по дороге» не видит, какие домены вы запрашиваете.
  2. Целостность: Ответы от DNS-сервера невозможно подменить или перехватить.
  3. Стабильность: Современные публичные DoT-серверы (от Google, Cloudflare или Quad9) часто работают быстрее и стабильнее, чем «кривые» DNS локальных провайдеров.

Как я настраиваю это у себя (на примере Keenetic/OpenWrt):
Я не сторонник полумер вроде настройки на каждом смартфоне отдельно. Мы будем фиксить это на «шлюзе».

  1. Выбор провайдера: Я обычно использую связку из Cloudflare (1.1.1.1) и Google (8.8.8.8). Они поддерживают DoT «из коробки».
  2. Включаем компонент: В KeeneticOS достаточно зайти в «Интернет-фильтры», выбрать режим DNS-over-TLS и добавить адреса серверов.
  3. Проверка «рукопожатия»: После настройки заходим в лог роутера. Если видим успешный коннект по порту 853 — поздравляю, ваш трафик теперь в бронежилете.
  4. Force-режим: Обязательно ставим галочку «Игнорировать DNS провайдера». Это отсекает любую возможность роутеру «свалиться» на старый, небезопасный протокол.

Что это дает в итоге?
Ваш интернет становится визуально чище (меньше таргетированной рекламы, основанной на ваших запросах) и ощутимо стабильнее. А главное — провайдер больше не видит ваш список «прочитанного». Это и есть тот самый «невидимый интернет», который мы заслужили.

Важный нюанс: DoT не заменяет прокси или другие средства обхода ограничений, но он является фундаментом. Без защищенного DNS любые другие методы защиты — это как замок на стеклянной двери.

А вы доверяете DNS-серверам своего провайдера или давно перешли на сторону Google/Cloudflare? Делитесь своими конфигами в комментариях!