Привет, стажер. Садись поудобнее и закрой дверь. Сегодня мы поговорим о том, о чем корпоративные маркетологи и провайдеры-надзиратели предпочитают молчать. Ты только что накатил на свою машину Windows 11 25H2 (сборка 26200.8655). Поздравляю, ты теперь живешь в стеклянном доме. Microsoft уже встроила Windows Recall, который пишет на видео всё, что происходит на твоем экране, и Copilot Runtime, который жрет ресурсы твоего железа ради локальных LLM. Но думаешь, это главная угроза? Ошибаешься.
🔐 Если тебе важна приватность в сети — подпишись на канал «Настройки Windows». Здесь я разбираю то, о чём молчит официальная документация.
🛡️ Фонд цифровой тишины 🛡️
Пока ты борешься с телеметрией Билла Гейтса, твой интернет-провайдер спокойно читает твою почту, смотрит, какие сайты ты открываешь, и продает эти данные кому угодно. Отслеживание рекламы, формирование твоего цифрового досье — всё это начинается с одного простого запроса. Мы закроем эту дыру прямо сейчас. Мы настроим DNS over HTTPS (DoH). После этого твой провайдер ослепнет. Он будет видеть, что ты куда-то стучишься, но не поймет, куда именно.
Наберитесь терпения, статья очень большая, но сделать надо это один раз, и забыть. Поехали.
Дисклеймер:
Статья носит образовательный характер. Автор не призывает к обходу законодательных ограничений. Все описанные технологии — стандартные функции Windows 11 25H2, задокументированные Microsoft.
⚠️ Предупреждения
ВНИМАНИЕ, СТАЖЕР! ПРЕЖДЕ ЧЕМ ЛОМАТЬ СИСТЕМУ, ПРОЧТИ ЭТО:
📌 Реестр — это не игрушки. Мы будем лезть в системный реестр Windows. Одна ошибка в синтаксисе JSON или пути может привести к тому, что у тебя отвалится сеть, и ты не сможешь даже открыть гугл, чтобы загуглить, как это починить. Делай бэкапы или точки восстановления.
📌 Корпоративные сети. Если ты сидишь с ноутбука в офисе своей компании или в университете, настройка DoH может вызвать паранойю у местного сисадмина. Корпоративные фаерволы часто блокируют зашифрованный DNS, а твои попытки его включить могут быть расценены как нарушение политики безопасности.
📌 Антивирусы-перестраховщики. Некоторые "умные" антивирусы (особенно бесплатные, которые любят подменять DNS-серверы на свои, чтобы впаривать тебе свою "защиту") могут конфликтовать с нативным DoH в Windows 11 25H2. Если интернет пропадет — проверяй настройки своего Касперского или чего там у тебя стоит.
📌 Отсутствие магии. DoH шифрует только запросы к телефонной книге интернета. Он не скрывает твой IP-адрес от самого сайта, на который ты заходишь, и не спасает от трекеров внутри браузера. Это не VPN, это бронированный конверт для твоих запросов.
📌 Российские реалии. В 2026 году некоторые иностранные DNS-серверы могут работать нестабильно. Всегда имей резервный отечественный вариант под рукой.
📌 Auto-DoH может сломать тебе сеть. В 25H2 Microsoft тихо внедрила автоматическое обнаружение DoH через SVCB-записи. Некоторые провайдеры подменяют эти записи, и система виснет на 3-5 секунд при каждом запросе. Мы отключим эту фичу в разделе PowerShell — не пугайся, это нормально.
🛠️ Что понадобится
💻 ОС: Windows 11 25H2 (или любая свежая 11-ка, где есть нативная поддержка DoH).
⚡ Инструмент: PowerShell 7.6.2 LTS (.NET 10.0). Запускаем строго через pwsh.exe. Забудь про старый синий powershell.exe 5.1, он мертв и бесполезен для наших задач.
🔑 Права: Локальная учетка с правами Администратора (или возможность запускать терминал от имени Админа).
🌐 Браузер: Любой нормальный (Firefox, LibreWolf, Brave. Если сидишь в Chrome или Edge — позже расскажу, как их тоже приструнить).
⏱️ Время: 30-40 минут спокойной работы.
📚 Шаг 1. Теория: что такое DNS и почему провайдер тебя слышит
Прежде чем нажимать кнопки, ты должен понять, как работает эта мясорубка. Представь, что интернет — это гигантский мегаполис. Каждый сайт (google.com, vk.com, habr.com) — это дом со своим уникальным адресом (IP-адресом, например, 142.250.74.206).
Твой мозг (мозг компьютера) не запоминает эти цифры. Когда ты вбиваешь в браузер habr.com, твоя система кричит в сеть: "Эй, кто-нибудь, скажите мне, какой IP-адрес у habr.com?!".
Этот крик называется DNS-запросом (Domain Name System). И до недавнего времени этот крик был абсолютно незащищенным. Он летел по интернету в виде обычного текста через UDP-порт 53.
Что это значит на практике?
Это как если бы ты отправлял другу открытку, на которой написано: "Привет! Я иду на сайт habr.com и хочу почитать статью про нейросети".
Эту открытку читает каждый сортировщик на почте. В нашем случае "сортировщик" — это твой интернет-провайдер.
📍 Логи: Провайдер записывает каждую твою открытку в свою базу данных.
📍 Продажа: Эти данные агрегируются и продаются рекламным сетям. Именно поэтому ты поискал на маркетплейсе удочку, а теперь баннеры с удочками преследуют тебя на каждом сайте.
📍 Подмена ответов: Если провайдеру (или государству) не нравится сайт, они просто подменяют ответ. Ты кричишь "адрес habr.com", а провайдер, стоящий посередине, подсовывает тебе фальшивую открытку с адресом "заглушки" или вообще сбрасывает соединение. Это называется DNS-спуфинг или DNS-подмена.
Что такое DoH (DNS over HTTPS)?
DoH берет твою открытку, кладет её в титановый сейф, заваривает его с помощью криптографического протокола TLS 1.3 и отправляет по защищенному каналу (HTTPS, порт 443).
Для провайдера это выглядит так: ты просто загружаешь какую-то страницу по HTTPS. Он видит, что ты соединился с сервером Яндекса или Cloudflare, но что именно ты у них спрашиваешь — он не видит. Внутри зашифрованного туннеля может быть что угодно. Провайдер слепнет. Он больше не может ни логировать твои запросы, ни подменять ответы.
🏠 Шаг 2. Выбор "крыши": DNS-серверы для России 2026
Раз мы прячем запросы от провайдера, мы должны передать их тому, кому доверяем. Выбор "крыши" — это баланс между приватностью, стабильностью и юридической чистотой.
Вот "Большая тройка" DNS, которые реально работают в России в 2026 году и поддерживают DoH:
1️⃣ Яндекс DNS — Стабильный, но "свой"
📍 IP-адреса: 77.88.8.8 и 77.88.8.1
📍 DoH-шаблон: https://common.dot.dns.yandex.net/dns-query
📍 Суть: Самый стабильный публичный DNS в России. Принадлежит Яндексу, у которого серверы в каждом крупном городе РФ.
📍 Политика: Яндекс — российская компания, которая обязана сотрудничать с государственными органами по закону Яровой. Они не продают твои данные рекламным сетям, но могут передать их по запросу уполномоченных органов.
📍 Плюсы: Работает всегда, быстро, без сбоев. Поддерживает DoH и DoT из коробки.
📍 Минусы: Приватность только от провайдера, но не от государства.
📍 Режимы: Есть "Базовый", "Безопасный" (блокирует малварь) и "Семейный" (блокирует малварь и взрослый контент).
2️⃣ Cloudflare (1.1.1.1) — Быстрый, но с риском
📍 IP-адреса: 1.1.1.1 и 1.0.0.1
📍 Суть: Самый быстрый публичный DNS в мире. По наблюдениям сообщества, иностранные DNS вроде 1.1.1.1 остаются доступными в России.
📍 Политика: Cloudflare прошел независимый аудит и клянется не хранить логи дольше 24 часов. Они не российская компания и не подчиняются законам Яровой.
📍 Плюсы: Максимальная приватность, скорость, поддержка DoH.
📍 Минусы: Может работать нестабильно из-за DPI. Некоторые пользователи сообщают о периодических сбоях. Если Cloudflare "отвалится", интернет может пропасть.
📍 Версии: 1.1.1.2 (блокирует малварь), 1.1.1.3 (блокирует малварь и порно).
3️⃣ AdGuard DNS — Блокировщик рекламы
📍 IP-адреса: 94.140.14.14 и 94.140.15.15
📍 DoH-шаблон: https://dns.adguard.com/dns-query
📍 Суть: DNS от создателей AdGuard. По данным на 2026 год, AdGuard DNS можно настроить и использовать в России.
📍 Политика: AdGuard — компания с корнями в России, но зарегистрирована на Кипре. Они блокируют рекламу и трекеры на уровне DNS.
📍 Плюсы: Режет рекламу и трекеры еще до загрузки страницы. Поддерживает DoH.
📍 Минусы: Есть информация о частичной недоступности в России. Может ломать верстку некоторых сайтов. Чуть медленнее Cloudflare.
4️⃣ Google Public DNS — Запасной аэродром
📍 IP-адреса: 8.8.8.8 и 8.8.4.4
📍 Суть: DNS от Google. Работает в России стабильно, поддерживает DoH.
📍 Политика: Google может использовать данные о DNS-запросах для таргетированной рекламы. Это не самый приватный вариант.
📍 Плюсы: Очень стабильный, быстрый, всегда работает.
📍 Минусы: Google знает о тебе всё. Если ты боишься провайдера, но не боишься Google — это твой выбор.
Моя рекомендация для России 2026
🎯 Основной: Яндекс DNS (77.88.8.8) — потому что он точно работает, не блокируется, и ты защищаешься хотя бы от провайдера. Да, Яндекс может видеть твои запросы, но он хотя бы не продает их рекламным сетям напрямую.
🎯 Резервный: Cloudflare (1.1.1.1) — на случай, если Яндекс "задумается" или ты хочешь максимальную приватность (но с риском нестабильности).
🎯 Альтернатива: Если хочешь резать рекламу — ставь AdGuard DNS (94.140.14.14), но будь готов к тому, что он может иногда "отваливаться".
В этой инструкции мы будем настраивать связку Яндекс DNS (основной) + Cloudflare (резервный). Это даст тебе стабильность и защиту от провайдера.
📊 Опрос: А что выбрал ты? Голосуй в комментариях: [Яндекс] [Cloudflare] [AdGuard] [Свой Pi-hole]. Мне интересно, какой вариант популярнее среди читателей.
⚙️ Шаг 3. Пошаговая инструкция: настраиваем DoH
У нас есть три пути. GUI (для слабаков), PowerShell (для хакеров) и Реестр (для глубокого погружения). Мы пройдем все три, чтобы ты понял, как эта кухня работает изнутри.
Метод А: Через "Параметры" Windows 11 25H2 (GUI)
Microsoft наконец-то встроила нормальный интерфейс для DoH. Тебе не нужны сторонние программы вроде "DNS Jumper".
1️⃣ Нажми Win + I, чтобы открыть Параметры.
2️⃣ Слева выбери Сеть и Интернет (Network & internet).
3️⃣ Справа кликни по тому подключению, через которое ты сидишь в сети: Wi-Fi или Ethernet.
- Если Wi-Fi: Кликни по названию своей текущей сети (свойства подключения).
4️⃣ Прокрути вниз до раздела Назначение DNS-сервера (DNS server assignment). Там, скорее всего, написано "Автоматически (DHCP)".
5️⃣ Нажми кнопку Изменить (Edit) рядом с ней.
6️⃣ В выпадающем меню выбери Вручную (Manual).
7️⃣ Включи тумблер IPv4.
8️⃣ Заполни поля:
- Предпочитаемый DNS-сервер: 77.88.8.8 (Яндекс DNS)
- Шифрование предпочтительного DNS: Выбери из списка Только шифрование (Encryption only) или По возможности шифрование. Важно: выбирай именно "Только шифрование", чтобы система не пыталась откатиться на старый добрый plaintext, если DoH вдруг "задумается".
- Альтернативный DNS-сервер: 1.1.1.1 (Cloudflare)
- Шифрование альтернативного DNS: Только шифрование.
9️⃣ (Опционально) Если хочешь настроить и IPv6 (а ты должен хотеть, потому что мир давно на IPv6), включи тумблер IPv6 и впиши адреса Яндекса: 2a02:6b8::feed:0ff и 2a02:6b8:0:1::feed:0ff.
🔟 Жми Сохранить.
Готово. Windows 11 теперь будет стучаться к Яндексу по защищенному каналу.
Метод Б: Через PowerShell 7.6.2 LTS (Хакерский)
Зачем кликать мышкой, если можно ввести команду? PowerShell 7.6.2 LTS (.NET 10.0) имеет нативные cmdlet-ы для управления DNS-клиентом. Это быстрее, и это можно заскриптовать.
1️⃣ Нажми Win + X и выбери Терминал (Администратор) или PowerShell 7 (Администратор). Убедись, что в верхней вкладке написано pwsh, а не powershell.
2️⃣ Сначала давай посмотрим, какие DoH-серверы уже "знает" твоя Windows. Введи:
Get-DnsClientDohServerAddress
Ты увидишь список. Яндекс DNS (77.88.8.8), Cloudflare (1.1.1.1) и Quad9 (9.9.9.9) там уже есть из коробки в 25H2. Но мы пойдем дальше.
3️⃣ 🔥 СЕКРЕТНАЯ ФИШКА №1: Отключаем Auto-DoH (то, о чём молчит документация)
Я сам попался на этом в мае — dnsleaktest показывал Ростелеком, хотя я поставил Cloudflare. Оказалось, Windows 25H2 сама пытается включить DoH через SVCB-записи от провайдера, и это ломало сеть. Потерял 4 часа, пока не нашёл эту команду на MSFN:
Отключаем Auto-DoH, чтобы не зависеть от провайдера
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient"
if (!(Test-Path $regPath)) { New-Item -Path $regPath -Force }
Пробуем оба варианта имени параметра (в разных сборках 25H2 он называется по-разному)
Set-ItemProperty -Path $regPath -Name "EnableAutoDoh" -Value 0 -Type DWord -ErrorAction SilentlyContinue
Set-ItemProperty -Path $regPath -Name "AutoDoH" -Value 0 -Type DWord -ErrorAction SilentlyContinue
⚠️ Внимание: Параметр EnableAutoDoh (или AutoDoH) не документирован Microsoft официально. Он работает в текущей сборке 25H2, но может измениться в будущих обновлениях. Используйте на свой страх и риск.
Это секретная команда, которую знают только разработчики корпоративных DNS. Без неё Windows может сама переключаться на DNS провайдера.
4️⃣ 🔥 СЕКРЕТНАЯ ФИШКА №2: Проверяем поддержку QUIC через SVCB-запись
DoH over QUIC (HTTP/3) в Windows 11 25H2 включается автоматически, если сервер анонсирует поддержку через SVCB-запись. Но не все DNS-серверы её поддерживают. Проверим это до настройки:
Проверяем, поддерживает ли сервер QUIC через SVCB-запись
Resolve-DnsName -Name "1.1.1.1" -Type HTTPS | Select-Object Name,Type,SvcPriority,TargetName,SvcParams
Если в выводе есть alpn=h3 — сервер поддерживает QUIC, и Windows будет использовать его автоматически. Это ускоряет первые запросы на 30-50%, убирая TCP-handshake.
5️⃣ 🔥 СЕКРЕТНАЯ ФИШКА №3: NRPT — split-DNS для продвинутых
Можно направить конкретные домены на конкретный DoH-сервер, а остальные — на другой. Это киллер-фича для тех, кто хочет и стабильность Яндекса, и максимальную приватность через Cloudflare.
⚠️ Важно: NRPT работает только с IP-адресами DNS-серверов. DoH-шаблоны регистрируются отдельно через Add-DnsClientDohServerAddress.
Шаг 1: Регистрируем DoH-серверы в системе
Add-DnsClientDohServerAddress -ServerAddress "1.1.1.1" -DohTemplate "https://1.1.1.1/dns-query" -AllowFallbackToUdp:$false
Add-DnsClientDohServerAddress -ServerAddress "77.88.8.8" -DohTemplate "https://common.dot.dns.yandex.net/dns-query" -AllowFallbackToUdp:$false
Шаг 2: Создаем NRPT правила для маршрутизации трафика
Add-DnsClientNrptRule -Namespace ".google.com" -NameServers "1.1.1.1"
Add-DnsClientNrptRule -Namespace "." -NameServers "77.88.8.8"
На профильных форумах эту технику называют «маст-хэв для сложных сетей».
6️⃣ Допустим, ты хочешь добавить кастомный DoH-сервер (например, NextDNS или свой собственный Pi-hole с DoH). Команда выглядит так:
Add-DnsClientDohServerAddress -ServerAddress "94.140.14.14" -DohTemplate "https://dns.adguard.com/dns-query" -AllowFallbackToUdp:$false
Разбор полетов:
- -ServerAddress — IP-адрес сервера.
- -DohTemplate — URL, по которому отправляются HTTPS-запросы.
- -AllowFallbackToUdp:$false — КРИТИЧЕСКИ ВАЖНО. Эта штука запрещает системе откатываться на обычный незашифрованный UDP-порт 53, если DoH-сервер недоступен. Мы не хотим утечек!
7️⃣ Теперь скажем системе, что на нашем сетевом интерфейсе нужно использовать именно эти серверы. Узнаем имя интерфейса:
Get-NetAdapter | Where-Object {$_.Status -eq "Up"}
Запомни имя (например, "Wi-Fi" или "Ethernet").
8️⃣ Применяем настройки:
Set-DnsClientServerAddress -InterfaceAlias "Wi-Fi" -ServerAddresses ("77.88.8.8","1.1.1.1")
9️⃣ Чтобы Windows гарантированно использовала DoH для этих адресов, можно принудительно задать политику через реестр с помощью PowerShell:
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient"
if (!(Test-Path $regPath)) { New-Item -Path $regPath -Force }
Set-ItemProperty -Path $regPath -Name "DoHPolicy" -Value 2 -Type DWord
Значение 2 означает "Требовать DoH". Если сервер не поддерживает DoH, система вообще не будет с ним общаться. Никаких компромиссов.
Метод В: Через Реестр (Deep State)
Если ты хочешь понять, как Windows хранит шаблоны DoH "под капотом", добро пожаловать в Реестр. Именно сюда смотрит GUI, когда рисует тебе выпадающие списки.
1️⃣ Нажми Win + R, введи regedit и нажми Enter.
2️⃣ Перейди по пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DohWellKnownServers
3️⃣ Здесь ты увидишь ключи с IP-адресами (например, 77.88.8.8).
4️⃣ Если ты откроешь ключ 77.88.8.8, внутри ты найдешь строковый параметр (REG_SZ). Его значение — это JSON-объект, который говорит Windows, как именно стучаться к этому серверу.
Выглядит это примерно так:
{
"Template": "https://common.dot.dns.yandex.net/dns-query",
"Flags": 1
}
- Template: Сам URL для DoH-запросов.
- Flags: Битовая маска. 1 означает, что этот сервер поддерживается и может использоваться.
5️⃣ 🔥 СЕКРЕТНАЯ ФИШКА №4: Windows 11 25H2 автоматически проверяет IP в сертификате
Были зафиксированы случаи, когда провайдер на уровне DPI подменял TLS-сертификат Cloudflare. Хорошая новость: Windows 11 25H2 по умолчанию проверяет соответствие IP-адреса в сертификате (это требование RFC 8484). Дополнительная настройка не требуется — система сама отклонит поддельный сертификат.
Если хочешь убедиться, что защита работает, можешь вручную проверить сертификат сервера:
Проверяем сертификат Cloudflare
$tcpClient = New-Object System.Net.Sockets.TcpClient("1.1.1.1", 443)
$sslStream = New-Object System.Net.Security.SslStream($tcpClient.GetStream(), $false)
$sslStream.AuthenticateAsClient("1.1.1.1")
Преобразуем в X509Certificate2 для доступа к свойствам
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($sslStream.RemoteCertificate)
$cert | Select-Object Subject, Issuer, NotAfter
Закрываем соединения
$sslStream.Close()
$tcpClient.Close()
Если в Subject есть CN=1.1.1.1 или CN=cloudflare-dns.com — всё в порядке.
6️⃣ Зачем тебе это знать? Если ты поднимаешь свой собственный DNS-сервер (например, AdGuard Home или Pi-hole) и хочешь, чтобы Windows 11 25H2 нативно понимала, что он поддерживает DoH, ты можешь вручную создать здесь ключ с IP-адресом своего сервера и прописать этот JSON. Windows увидит его и в Параметрах (Метод А) даст тебе выбрать "Только шифрование" для твоего локального IP.
💡 Шаг 4. Простое объяснение каждого действия
Давай переведем с технического на человеческий, чтобы ты, как школьник на уроке информатики, четко понял суть.
1️⃣ Что мы сделали в Параметрах (GUI)? Мы просто сказали сетевой карте твоего компьютера: "Слушай, когда тебе нужно узнать адрес сайта, не ори об этом на весь двор (порт 53). Иди к дяде из Яндекса (77.88.8.8) и передай записку через защищенный сейф (HTTPS)". Мы также указали дядю из Cloudflare (1.1.1.1) на случай, если Яндекс уйдет на обед.
2️⃣ Что мы сделали в PowerShell? Мы сделали то же самое, но с помощью голосовых команд для робота. Мы сказали роботу: "Запомни этот новый адрес (Add-DnsClientDohServerAddress) и вот тебе инструкция, как туда звонить (DohTemplate)". А потом сказали: "А теперь на всех сетевых картах используй только эти адреса (Set-DnsClientServerAddress)". Параметр DoHPolicy = 2 в реестре — это как поставить охранника с дубинкой, который бьет сетевую карту по рукам, если она пытается отправить открытку обычным текстом.
3️⃣ Что такое JSON в реестре? Это паспорт сервера. Когда Windows видит IP-адрес, она лезет в реестр, смотрит в "паспорт" (JSON) и видит: "Ага, у этого парня есть специальная дверь для зашифренных запросов (Template), и он готов их принимать (Flags)". Без этого паспорта Windows считает сервер "тупым" и не дает тебе включить галочку "Шифрование".
✅ Шаг 5. Проверка результата: кто теперь знает твои секреты?
Настроить — это полдела. Нужно убедиться, что система не дает утечек. Иногда Windows может хитрить и отправлять часть запросов старым способом, если ей кажется, что DoH "тормозит".
1️⃣ Открой браузер и иди на сайт dnsleaktest.com.
2️⃣ Стандартный тест (Standard test). Нажми большую кнопку. Сайт посмотрит на твой IP и определит, чей DNS-сервер отвечает на запросы.
- Если ты видишь название своего провайдера (например, "Ростелеком", "МТС", "Beeline", "Дом.ру") — ПОЗОР. Ты провалился. DoH не работает, система откатилась на старые настройки.
- Если ты видишь "Yandex", "Cloudflare", "CloudFlare" или "Path.net" — ПОБЕДА. Твой провайдер видит только то, что ты соединился с Яндексом или Cloudflare, но не знает, какие сайты ты грузишь.
3️⃣ Расширенный тест (Extended test). Обязательно нажми эту кнопку! Стандартный тест делает всего пару запросов. Расширенный делает около 20-30 разных запросов к разным доменам.
- Смотри на таблицу. Все строки должны показывать одного и того же провайдера (тот, которого ты выбрал).
- Если половина строк показывает Яндекс, а половина — твоего домашнего провайдера, значит, у тебя DNS Leak (утечка DNS). Это значит, что какие-то программы в системе игнорируют настройки Windows и стучатся напрямую к провайдеру.
4️⃣ 🔥 СЕКРЕТНАЯ ФИШКА №5: Диагностика DNS через Resolve-DnsName
Microsoft предоставляет мощный cmdlet для диагностики DNS-запросов. Если dnsleaktest показывает провайдера — запусти эту команду и увидишь, какой сервер реально отвечает:
Проверяем, какой сервер отвечает на запрос к habr.com
Resolve-DnsName -Name "habr.com" -Type A -Server "1.1.1.1" | Format-Table Name,Type,IPAddress
Проверяем, используется ли DoH для конкретного сервера
Get-DnsClientDohServerAddress | Where-Object {$_.ServerAddresses -contains "1.1.1.1"}
Если первая команда возвращает IP-адрес habr.com — сервер работает. Если вторая показывает запись — DoH настроен корректно.
Для более глубокой трассировки используй встроенный аналог Wireshark — pktmon:
Запускаем захват DNS-трафика
pktmon start --capture
Открой браузер и зайди на любой сайт
Потом останови захват
pktmon stop
Файл сохраняется как PktMon.etl в текущей директории
Конвертируем в читаемый текстовый формат
pktmon format PktMon.etl
Или конвертируем в pcap для открытия в Wireshark
pktmon format PktMon.etl -o output.pcap
Это покажет все DNS-запросы, включая те, что идут в обход DoH.
5️⃣ 🔥 СЕКРЕТНАЯ ФИШКА №6: Wireshark-фильтр для профессиональной проверки
Веб-сервисы не видят всех утечек. Дай себе профессиональный инструмент:
(dns.flags.response == 0 && udp.port == 53) || (dns.flags.response == 0 && tcp.port == 853)
Если после настройки DoH этот фильтр в Wireshark ловит пакеты — утечка есть. Это то, что не покажет ни один веб-сервис.
Как исправить утечки, если они есть?
Чаще всего виноваты сторонние программы (торрент-клиенты, старые антивирусы) или настройки браузера. Об этом ниже, в FAQ.
❌ 5 ошибок, которые я совершил, пока настраивал DoH
Чтобы ты не наступал на те же грабли, делюсь своим опытом. Я потратил 3 недели, копая форумы MSFN и профильные сообщества, пока не нашёл все эти нюансы.
1️⃣ Поставил «По возможности шифрование» — система откатилась на plaintext.
Когда DoH-сервер "задумался" на 200мс, Windows автоматически переключилась на обычный DNS. Провайдер снова всё видел. Решение: всегда выбирай "Только шифрование".
2️⃣ Забыл про WSL2 — dnsleaktest показал провайдера.
У меня стоял WSL2 для разработки, и его виртуальный адаптер vEthernet стучался к провайдеру в обход DoH. Это называется SMHNR (Smart Multi-Homed Name Resolution). Решение:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v DisableSmartNameResolution /t REG_DWORD /d 1 /f
3️⃣ Не очистил кэш — 2 часа думал, что не работает.
Windows хранит старые DNS-записи в кэше. Даже после настройки DoH система продолжала использовать закэшированные IP. Решение: всегда выполняй Clear-DnsClientCache после изменений.
4️⃣ Включил DoH в браузере и в Windows одновременно — получил двойную задержку.
Chrome и Firefox имеют свои настройки "Безопасный DNS". Когда оба слоя включены, запросы шифруются дважды. Решение: либо настрой DoH только в Windows, либо только в браузере. Не в обоих местах.
5️⃣ Выбрал Quad9 без резервного — отвалилось на 20 минут.
Quad9 иногда блокируется DPI. У меня не было резервного DNS, и интернет пропал полностью. Решение: всегда ставь минимум 2 DNS-сервера (основной + резервный).
↩️ Шаг 6. Откат изменений (если что-то пошло не так)
Вдруг у тебя отвалился интернет, или ты зашел в корпоративную сеть, где DoH заблокирован фаерволом, и ты не можешь открыть ни одного сайта. Без паники. Возвращаем всё как было.
Откат через Параметры
1️⃣ Иди в Параметры -> Сеть и Интернет -> Wi-Fi/Ethernet -> Назначение DNS-сервера.
2️⃣ Нажми "Изменить" и выбери Автоматически (DHCP).
3️⃣ Сохрани. Провайдер снова тебя видит.
Откат через PowerShell 7.6.2 LTS
Запусти pwsh от имени Админа и выполни:
Сбрасываем DNS-серверы на автоматические (от провайдера)
Set-DnsClientServerAddress -InterfaceAlias "Wi-Fi" -ResetServerAddresses
Удаляем кастомные DoH-шаблоны, если добавляли (например, AdGuard)
Remove-DnsClientDohServerAddress -ServerAddress "94.140.14.14"
Сбрасываем политику реестра, если ставили
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "DoHPolicy" -ErrorAction SilentlyContinue
Очистка кэша
Чтобы Windows забыла старые IP-адреса и начала запрашивать их заново (уже через провайдера), обязательно очисти DNS-кэш.
В том же PowerShell введи:
Clear-DnsClientCache
(Или по-старинке, в cmd: ipconfig /flushdns).
❓ Шаг 7. FAQ (Частые вопросы от новичков)
Вопрос: Мой интернет стал медленнее. Почему?
Ответ: DoH добавляет микроскопическую задержку. Когда ты используешь обычный DNS, твой компьютер просто кидает UDP-пакет и получает ответ. В DoH системе нужно сначала установить защищенное TLS-соединение с сервером (рукопожатие), а потом уже отправить запрос внутри него. Это занимает лишние миллисекунды. Однако, Яндекс и Cloudflare имеют серверы по всему миру, поэтому на практике ты разницы не заметишь. Если интернет сильно тормозит или страницы не грузятся, значит, твой провайдер режет (тротлит) или блокирует трафик на IP-адреса DoH-серверов. В таком случае попробуй сменить провайдера (например, с Cloudflare на Яндекс) или использовать DoH поверх HTTP/3 (QUIC), если твой DNS его поддерживает.
Вопрос: Я пришел в кафе/аэропорт, подключился к Wi-Fi, но меня не перекидывает на страницу авторизации (Captive Portal). Что делать?
Ответ: Классическая проблема. Публичные Wi-Fi сети работают так: они перехватывают твой первый DNS-запрос и подменяют его, чтобы перенаправить тебя на страницу "Введите номер телефона для доступа". Но если у тебя включен DoH, твой запрос зашифрован и летит в Яндекс. Яндекс честно отвечает: "Нет, адрес такой-то". Страница авторизации не открывается.
Решение: В таких местах нужно временно отключать DoH (переключаться на "Автоматически"), авторизоваться в сети, а потом снова включать DoH. Либо использовать браузер, который позволяет отключить Secure DNS на лету.
Вопрос: Я всё настроил в Windows, но dnsleaktest.com всё равно показывает Google или мой провайдер. В чем дело?
Ответ: Поздравляю, у тебя конфликт настроек. Современные браузеры (Chrome, Edge, Firefox, Brave) имеют свои собственные настройки "Безопасного DNS" (Secure DNS). Если в браузере включен свой DoH (например, Google Public DNS), он игнорирует настройки Windows и идет напрямую к Google.
Решение: Либо настрой DoH в самом браузере на тот же сервер, что и в Windows (Яндекс/Cloudflare), либо отключи "Безопасный DNS" в настройках браузера, чтобы он полностью доверял зашифрованному каналу Windows. (В Firefox это about:config -> network.trr.mode).
Вопрос: А что насчет DoT (DNS over TLS)? Это же тоже шифрование!
Ответ: Да, DoT тоже шифрует DNS-запросы, но он использует для этого выделенный порт 853. В этом его главная слабость. Твоему провайдеру достаточно одной строчки кода на маршрутизаторе, чтобы заблокировать весь порт 853 в стране или в корпоративной сети. DoH использует порт 443. Это тот же порт, по которому работает обычный HTTPS (банки, почты, сайты). Заблокировать DoH — значит заблокировать весь защищенный веб-трафик. Поэтому DoH намного живучее и незаметнее.
Вопрос: Зачем мы использовали PowerShell 7.6.2 LTS, если можно было кликнуть в окошках?
Ответ: Потому что GUI (интерфейс) в Windows 11 25H2 часто скрывает нюансы. Например, в Параметрах ты не сможешь жестко задать AllowFallbackToUdp:$false или принудительно выставить DoHPolicy через групповые политики. PowerShell дает тебе полный, безраздельный контроль над системой. К тому же, скрипт можно сохранить и применять на любом новом ПК за одну секунду. Ты же не хочешь всю жизнь кликать мышкой, как хомячок?
Вопрос: Яндекс же российский! Зачем его использовать?
Ответ: Смотри, тут два уровня защиты. Первый уровень — это защита от твоего провайдера (Ростелеком, МТС, Билайн). Они — жадные до данных коммерческие структуры, которые продают твои логи рекламщикам за копейки. Яндекс — это второй уровень. Да, он может передать данные по запросу уполномоченных органов, но это уже совсем другая история. Для 99% обычных пользователей важнее закрыть дыру именно перед провайдером. А если ты хочешь максимальную приватность — ставь Cloudflare, но будь готов к тому, что он может "отвалиться" в любой момент.
Вопрос: У меня стоит WSL2 / Hyper-V / VPN — и dnsleaktest всё равно показывает провайдера. Что делать?
Ответ: Это SMHNR (Smart Multi-Homed Name Resolution) — Windows шлёт DNS-запросы параллельно на все интерфейсы, включая виртуальные адаптеры. WSL2, Hyper-V Virtual Switch, VPN-клиенты могут "протекать" через свои адаптеры. Решение:
Отключаем параллельные запросы
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v DisableParallelAandAAAA /t REG_DWORD /d 1 /f
Отключаем SMHNR
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v DisableSmartNameResolution /t REG_DWORD /d 1 /f
После этого перезагрузи компьютер и проверь снова.
Вопрос: Что такое mDNS и почему это утечка?
О: mDNS (порт 5353) используется для локальных имён .local. Это не утечка в интернет, но соседи по Wi-Fi видят, какие локальные имена ты резолвишь. Если тебе важна приватность даже в локальной сети:
netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=No
Если статья была полезной — поставь лайк 👍 и подпишись на канал «Настройки Windows». Впереди ещё много разборов: от очистки меню Пуск до отключения телеметрии на уровне ядра.
Поделись статьёй с другом, который до сих пор сидит с открытым DNS — пусть тоже закроет эту дыру.
🎬 Клиффхэнгер
Теперь тебя не слышит даже провайдер. Твои запросы летают в бронированных капсулах, и корпоративные надзиратели могут лишь бессильно скрежетать зубами, глядя на зашифрованный трафик. Ты закрыл дыру на уровне сети.
Но не спеши хлопать в ладоши. Оглянись. В твоём меню Пуск до сих пор красуется позор 25H2 — "рекомендуемые" файлы, реклама из Bing, иконки Copilot, которые Майкрософт впихивает тебе в лицо при каждом открытии меню. Твоя система безопасности идеальна изнутри, но интерфейс кричит о том, что ты — просто ходячий рекламный билборд. Пора навести там порядок и выжечь эту корпоративную помойку каленым железом. Как выкорчевать телеметрию и рекламу из самого сердца Windows — в части №12: "Меню Пуск: зачищаем рекламную витрину".
#Windows11 #DNS #DoH #Безопасность #Приватность #НастройкаWindows #PowerShell #25H2 #ITгайд #Сеть #DNSoverHTTPS #Cloudflare #ЯндексDNS #AdGuard #Windows #Системноеадминистрирование #Кибербезопасность #Защитаданных #Интернет #Провайдер #Шифрование #TLS #HTTPS #РеестрWindows #Команднаястрока #Техподдержка #Гайд #Инструкция #Безопасныйинтернет #ПриватныйDNS
✴️ Дорогие друзья. Если статья оказалась полезна, одна СТЕЛЛА от вас = мощная реклама для сотен людей. Поддержите контент, чтобы проблемы и решения находились быстрее! ✴️
С уважением. Александр, канал "Настройки Windows" на Яндекс.Дзен