Утечки DNS
VPN не гарантирует нам абсолютной анонимности, и вообще он сделан не для этого. Но есть определенный тип угрозы, который может привести к тому, что частично информация о посещаемых сайтах будет раскрыта, даже с включенным VPN. Речь идет об утечках DNS.
Обычно "утечкой DNS" называют ситуацию, когда несмотря на запущенный VPN-туннель ваше устройство отправляет DNS-запросы к DNS-серверу провайдера. В таком случае полезность VPN как такового значительно снижается, ведь провайдер будет видеть какие сайты вы посещаете.
Проблемы ОС Windows, которые приводят к утечкам DNS
Начиная с версии 8, ОС от Microsoft по умолчанию отправляют DNS-запросы сначала на тот сервер, который указан в настройках TCP/IPv4 в свойствах сетевого соединения. Сейчас провайдеры обычно настраивают роутер а не ПК, в системе остается автоматический выбор DNS. Это означает, что запрос будет переадресован роутеру, и если на нем установлены DNS провайдера, запрос пойдет к ним.
По идее эта проблема предотвращается установкой публичных DNS в сетевых настройках, например Google DNS:
8.8.8.8
8.8.4.4
Но на практике это уже не помогает, потому что провайдеры используют прозрачные DNS-прокси, об этом чуть дальше.
Еще одна проблема Windows - попытки Microsoft оптимизировать сетевые соединения. Они еще в Windows 8 ввели службу Smart Multi-Homed Name Resolution, или "Улучшенное многоадресное разрешение имен". Она для разрешения DNS-запросов каждый раз рассылает их по всем доступным сетям используя все сетевые интерфейсы компьютера, чтобы использовать наиболее быстро полученный. Вот подключились вы к VPN, и у вас появляется отдельная сеть, через которую должны идти все запросы. Но сетевое соединение с провайдером тоже остается в системе. И из-за SMHNR винда может DNS-запросы заодно отправить и к нему.
Отключается этот "помощник" в редакторе локальной групповой политики:
Запускаем интерфейс "Выволнить": Win+R
Пишем gpedit.msc и Enter
Далее находим: Конфигурация компьютера > Административные шаблоны > Сеть > DNS-клиент > Отключить улучшенное многоадресное разрешение имен
Двойной клик и переключаем на "Включено". Включено отключение, да. Если "выключатель" выключает свет, то он включен когда свет выключен?.. Великий и могучий русский язык
Козни провайдера
Есть такая нехорошая технология, которая называется "прозрачные DNS-прокси". Используется провайдерами чтобы перехватывать любой DNS-запрос, даже идущий к публичному DNS, и перенаправлять его на провайдерский DNS.
Поэтому не работает больше обход блокировок путем указания публичных DNS на роутерах и в системе с большинством провайдеров. Еще одна причина отключить улучшенное многоадресное разрешение имен в винде.
Проверить утечки DNS при включенном VPN вы можете на https://browserleaks.com/dns или https://dnsleaktest.com/