Ваш провайдер видит ваш DNS: Организуем шифрование на роутере под ключ

[CyberSec RuTOR]

Когда вы закрываете VPN-туннель, считая себя уже полностью невидимым, часто остаётся одна тихая дыра. Это DNS. Ваши DNS-запросы, даже при активном VPN, часто отправляются простым текстом прямо вашему провайдеру. Он может не только видеть, какие сайты вы посещаете, но и логировать это, подвергать цензуре или подменять ответы. Сегодня мы превратим ваш роутер в настоящую крепость: настроим шифрование DNS на уровне всей сети, чтобы провайдер увидел только один зашифрованный канал, но не понял, куда вы на самом деле ходите.

1. Почему провайдер продолжает следить, даже если у вас есть VPN​

Вы настраиваете VPN-клиент на компьютере, подключаетесь к серверу в другой стране, заходите на ipleak.net и видите IP-адрес сервера. Кажется, что всё под контролем. Однако многие VPN-клиенты по умолчанию могут игнорировать системные настройки DNS. Они отправляют DNS-запросы «в открытую» через вашего провайдера, даже если весь остальной трафик идёт через шифрованный туннель.

В результате провайдер, конечно, не видит, какие именно страницы вы открываете на сайте, но отлично знает, на какие сайты вы заходите — по вашим DNS-запросам. А иногда этого достаточно, чтобы составить полную картину. Не говоря уже о том, что в странах с интернет-цензурой подмена или блокировка DNS — стандартный инструмент.

---

2. Что такое DNS over TLS и чем он отличается от DoH​

DoT (DNS over TLS) использует отдельный порт 853, защищает весь канал целиком и скрывает факт DNS-запроса от провайдера.
DoH (DNS over HTTPS) маскирует запросы под обычный HTTPS-трафик на порту 443, но может быть более ресурсоёмким.

Для роутера оптимален именно DoT — он лучше вписывается в системную архитектуру и даёт более предсказуемую производительность.

---

3. Выбор инструмента: Stubby или Unbound​

В OpenWrt есть два основных способа.

Stubby — «заглушка». Лёгкий прокси, который просто перенаправляет DNS-запросы на внешние DoT-серверы. Идеален для новичков и большинства сценариев. Именно на нём построена базовая инструкция на OpenWrt Wiki.

Unbound — полноценный рекурсивный резолвер. Может сам опрашивать корневые DNS-серверы и кэшировать ответы. Требует больше памяти и внимания к настройкам.

В лекции основное внимание уделю связке Dnsmasq + Stubby как самому надёжному и проверенному методу для OpenWrt.

---

4. Пошаговая настройка «под ключ»​

4.1. Проверка роутера и подготовка​

Убедитесь, что у вас настроена синхронизация времени через NTP. Без правильного времени TLS-сертификаты не пройдут проверку. Это одна из частых причин, почему Stubby не запускается: у роутера сбито время, и он не может достучаться до NTP-сервера, а без этого TLS-аутентификация невозможна.

4.2. Установка пакетов​

Логинимся на роутер по SSH и выполняем:

opkg update
opkg install stubby ca-certificates

Пакет ca-certificates содержит корневые сертификаты, необходимые для проверки TLS-соединений.

4.3. Базовая настройка Stubby​

Редактируем /etc/config/stubby:

config stubby 'global'
option manual '1'

Затем настраиваем /etc/stubby/stubby.yml. Центральные параметры:

• round_robin_upstreams: 1 — распределяет нагрузку между серверами.
• tls_authentication: GETDNS_AUTHENTICATION_REQUIRED — строго проверяет сертификаты.
• idle_timeout: 10000 — таймаут в миллисекундах.
• listen_addresses — адрес и порт, где Stubby будет слушать локальные DNS-запросы. Обычно он должен работать на 127.0.0.1@5453.
• dnssec_return_status: GETDNS_EXTENSION_TRUE — включает DNSSEC на уровне Stubby.

Секция upstream_recursive_servers — это список внешних DoT-резолверов, к которым будет обращаться Stubby. Ниже даю примеры для Cloudflare и Quad9.

Cloudflare:

  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 1.0.0.1
    tls_auth_name: "cloudflare-dns.com"

Quad9:

  - address_data: 9.9.9.9
    tls_auth_name: "dns.quad9.net"
  - address_data: 149.112.112.112
    tls_auth_name: "dns.quad9.net"

4.4. Перенаправление Dnsmasq на Stubby​

Редактируем /etc/config/dhcp. Добавляем в секцию config dnsmasq:

option noresolv '1'
list server '127.0.0.1#5453'

Опция noresolv '1' запрещает Dnsmasq самостоятельно читать стандартный resolv.conf, полностью передавая управление Stubby.

4.5. Запуск и проверка​

/etc/init.d/stubby enable
/etc/init.d/stubby start
/etc/init.d/dnsmasq restart

Проверить можно командой:

nslookup google.com localhost 5453

Если в ответе видите IP-адрес, всё работает.

4.6. Блокировка рекламы и трекеров на уровне роутера​

Установим пакет adblock:

opkg install adblock luci-app-adblock

Adblock работает в связке с DNS-сервером (Dnsmasq или Unbound). Он загружает списки доменов рекламы/трекеров и возвращает NXDOMAIN (несуществующий домен) вместо IP-адреса.

Популярные списки:

• oisd — всё в одном, минимальный процент ложных срабатываний, отлично подходит как стартовый список.
• Energized — категорийные блок-листы (basic/ultimate/Spark).
• RKN! — пропускать не стоит.

LuCI-интерфейс находится в меню «Services → Adblock» и позволяет управлять настройками через веб-морду.

---

5. Разбираемся с DNS-провайдерами: Quad9, Cloudflare и другие​

Quad9 (9.9.9.9): управляется некоммерческой организацией. Отличается строгими правилами приватности и встроенной защитой от угроз.

Cloudflare (1.1.1.1): высокая скорость, обязуется не использовать ваши данные для таргетинга рекламы. Однако сервера расположены преимущественно в странах «пятёрки» (США, Великобритания, Канада, Австралия, Новая Зеландия), что может вызывать вопросы в ряде юрисдикций. Но для большинства задач это хороший выбор.

OpenNIC,

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, UncensoredDNS — независимые некоммерческие операторы. Их поддержка в проекте может быть не такой активной, поэтому я рекомендую Quad9 или Cloudflare.

Важный момент: при выборе DoT-провайдера обязательно проверяйте поддержку DNSSEC. Эта технология защищает от подмены DNS-ответов и гарантирует, что вы попали именно на настоящий сайт, а не на фишинговую копию.

---

6. Что даёт эта настройка для вашей анонимности​

1. Провайдер не видит ваши DNS-запросы. Его оборудование фиксирует только зашифрованный трафик на порт 853, не зная, какие именно домены вы ищете.
2. Защита от перехвата. В публичных сетях поднять подставную точку и перехватить ваши данные становится практически невозможно.
3. Блокировка рекламы. Если добавить в конфигурацию списки adblock, назойливые баннеры будут отфильтровываться ещё на уровне DNS, не долетая до вашего браузера.
4. Единое правило для всех устройств. Ноутбук, телефон, умная колонка — им не нужны дополнительные настройки. Роутер отвечает на их запросы, а сам уже ходит на внешние DoT-серверы.

Любое устройство, подключённое к вашему Wi-Fi, теперь будет отправлять DNS-запросы вашему роутеру. Роутер, в свою очередь, будет перенаправлять их в Stubby, который установит шифрованное TLS-соединение с выбранным вами провайдером. Ваш провайдер увидит лишь зашифрованный трафик к Cloudflare или Quad9, не имея понятия, какие именно сайты вы посещаете.

Этот метод хорош тем, что вы настраиваете шифрование один раз на роутере, и оно работает для всех устройств в вашей сети. Не нужно прописывать DNS вручную на каждом ноутбуке или телефоне.

---

7. Чек-лист для самопроверки​

• Синхронизация времени на роутере настроена и работает.
• Установлены пакеты stubby и ca-certificates.
• В файле /etc/stubby/stubby.yml прописаны настройки выбранного DoT-провайдера.
• Dnsmasq перенаправлен на Stubby (порт 5453).
• Команда проверки nslookup google.com localhost 5453 возвращает корректный IP.
• Установлен adblock с активными списками блокировки.
• После всех изменений роутер перезагружен.

Остались вопросы? Столкнулись с ошибкой при настройке? Пишите в комментариях, давайте разбираться вместе. Делаем интернет безопаснее — с нуля.

С уважением, ваш CyberSec RuTOR.

 

[xipilend]

Такие годные темы особенно в нынешних реалиях. Плохо что пылятся и не привлекает внимание юзеров.

 

[CyberSec RuTOR]

Такие годные темы особенно в нынешних реалиях. Плохо что пылятся и не привлекает внимание юзеров.

Доброго времени суток, каждый найдет свою тему - вопрос времени

 

[Acid808]

Очень крутая информация, спасибо 🙏