Утечки VPN простыми словами: утечки DNS, WebRTC и IPv6 (и как их действительно проверить)

Приложение VPN показывает Подключено. Одно это слово ощущается как гарантия, но оно лишь означает, что ваше устройство установило зашифрованный туннель до VPN-сервера. Оно ничего не говорит о том, действительно ли весь идентифицирующий трафик проходит через этот туннель. Три распространённых сбоя — утечки DNS, WebRTC и IPv6 — каждый по отдельности способен раскрыть ваш настоящий IP-адрес или историю посещений, пока приложение спокойно показывает обнадёживающую зелёную галочку.

Это руководство делает три вещи, которые никогда не делают страницы из серии «одна утечка, купи вот этот VPN». Во-первых, оно объясняет реальный механизм каждой утечки, чтобы вы понимали, почему подключённый VPN всё равно может вас выдать. Во-вторых, оно проводит вас через самопроверку с помощью бесплатных независимых инструментов, доверять которым приходится не на слово вендора. В-третьих, оно даёт точные исправления для каждой операционной системы, браузера и роутера — и дисциплину повторного тестирования, которая подтверждает, что исправление сработало. Никакой рекламы брендов, никаких партнёрских ссылок — только механика.

Что такое утечка VPN на самом деле

Утечка — это любой трафик, который должен идти через зашифрованный туннель, но вместо этого выходит через ваше обычное интернет-соединение, раскрывая информацию, которую VPN был призван скрыть. Три утечки из этого руководства раскрывают две разные вещи. Утечка DNS раскрывает сайты, которые вы запрашиваете, вашему интернет-провайдеру (или тому, кто управляет резолвером, который вы случайно используете). Утечка WebRTC и утечка IPv6 способны раскрыть ваш настоящий IP-адрес — ваше реальное местоположение и личность в сети — напрямую сайтам, которые вы посещаете.

Самое важное, что нужно понять с самого начала: это отдельные проблемы с отдельными причинами и отдельными исправлениями. Конкуренты замалчивают это, потому что для одношагового рекламного нарратива такое неудобно, но именно в этом вся суть. Можно закрыть утечку DNS и всё равно сливать свой IP через WebRTC. Можно укрепить WebRTC в браузере и всё равно сливать данные через IPv6. Закрытие одной утечки ничего не говорит о двух других. Именно поэтому настоящий тест на утечки проверяет все три — каждый раз.

Как происходит каждая утечка (механизм)

Утечки DNS: запросы, ускользающие из туннеля

Прежде чем ваше устройство загрузит example.com, оно просит DNS-резолвер перевести это имя в IP-адрес. Когда VPN настроен правильно, этот DNS-запрос идёт внутри туннеля к резолверу, которым управляет VPN. Утечка DNS происходит, когда запрос вместо этого уходит к резолверу вашего провайдера (или резолверу, навязанному вашим роутером) по открытому соединению. Даже если содержимое страницы по-прежнему идёт через туннель, сам запрос раскрывает каждый посещаемый вами домен третьей стороне — и привязывает его к вашему настоящему IP.

Обычные виновники — операционная система, игнорирующая настройки DNS от VPN, жёстко прописанный резолвер (например, вручную заданный 8.8.8.8 или 1.1.1.1), который обходит туннель, либо правила раздельного туннелирования, выводящие DNS за пределы VPN. В Windows в частности функция под названием smart multi-homed name resolution может рассылать DNS-запросы сразу по всем сетевым интерфейсам и использовать тот ответ, что пришёл первым — нередко это резолвер вашего провайдера.

Утечки WebRTC: браузер раздаёт ваш IP

WebRTC (Web Real-Time Communication) — это браузерная технология, стоящая за видеозвонками прямо на странице, голосовым чатом и одноранговой передачей файлов. Чтобы соединить два узла напрямую, WebRTC нужно определить собственные IP-адреса устройства. Он делает это с помощью STUN-серверов, которые отвечают браузеру тем публичным IP, который они видят, а также перечисляет адреса локальной сети. Веб-страница может прочитать эти ICE-кандидаты через JavaScript API — без какого-либо запроса разрешения и без единого вашего клика.

Вот в чём подвох, который делает WebRTC опасным даже при работающем VPN: это определение может происходить вне прокси-маршрута, который ваш браузер использует для обычной загрузки страниц. В итоге страница может увидеть тот публичный IP, который операционная система считает реальным, а это может оказаться вашим настоящим адресом, а не адресом VPN. Утечка WebRTC — это проблема браузера. Её не исправят настройки DNS вашего VPN или его аварийный выключатель (kill switch), и именно поэтому люди, закрывшие утечку DNS, поражаются, обнаружив, что их IP всё ещё виден.

Утечки IPv6: трафик по дороге, которую туннель так и не проложил

Многие VPN-туннели передают только трафик IPv4. Если ваш провайдер и домашняя сеть также предоставляют связность по IPv6 — а это всё чаще стандарт по умолчанию — то любой запрос к назначению с поддержкой IPv6 может пойти по вашему родному IPv6-соединению, полностью минуя туннель, рассчитанный только на IPv4. Сайт видит ваш настоящий IPv6-адрес. VPN никогда не касался этого трафика и зачастую даже не замечал его, потому что следил только за стороной IPv4.

Вот почему утечка IPv6 так незаметно распространена: ничего не ломается, ничего не выглядит неправильным, а VPN рапортует об успехе. Решение — либо отключить IPv6 на устройстве или в сети, либо использовать VPN, который явно туннелирует IPv6 или блокирует его в подключённом состоянии. Надеяться, что провайдер тихо разберётся сам, — не стратегия: это нужно проверять тестом.

Запускаем тест: бесплатные инструменты и как их читать

Используйте независимые сторонние инструменты, а не страницу «ваш IP скрыт», которую показывает ваш VPN-провайдер — у вендора есть все стимулы рапортовать об успехе. Проводите каждый тест с подключённым VPN, в том же браузере и на том же устройстве, которым вы реально пользуетесь. Для отправной точки стоит один раз прогнать тесты сначала с выключенным VPN, чтобы знать, как выглядят ваш настоящий IP и провайдер; затем включите VPN и убедитесь, что эти значения исчезли.

Шаг 1 — тест на утечку DNS

Откройте dnsleaktest.com и запустите расширенный тест (Extended test). Он загружает серию уникальных имён хостов и сообщает, какие DNS-серверы их разрешили. Чистый результат показывает резолверы, принадлежащие вашему VPN-провайдеру (или приватный резолвер, который использует VPN), и, что критически важно, не содержит названия вашего провайдера или вашей родной страны, если вы подключились к серверу в другом месте. Протекающий результат показывает резолвер вашего провайдера или серверы в вашем реальном местоположении, которых вы не ожидали. ipleak.net показывает ту же информацию о DNS рядом с вашим IP, что удобно для перекрёстной проверки.

Шаг 2 — тест на утечку WebRTC

Откройте browserleaks.com/webrtc. Посмотрите на Public IP Address (публичный IP-адрес), который он обнаруживает через WebRTC. Чистый результат показывает либо отсутствие публичного IP, либо только IP VPN-сервера. Протекающий результат показывает ваш настоящий публичный IP в разделе WebRTC, хотя заголовок страницы (который использует обычный HTTP-запрос) показывает IP VPN — именно это несовпадение и есть классический признак утечки WebRTC. Локальные адреса в диапазонах 10.x, 172.16–31.x, 192.168.x или mDNS-имена .local, как правило, безвредны; настоящая опасность — появление вашего подлинного публичного IP.

Шаг 3 — тест на IPv6 и общий IP

Откройте ipleak.net. Он показывает ваш IPv4-адрес, любой IPv6-адрес и ваши DNS-серверы на одной странице. Чистый результат показывает только IP VPN (соответствующий выбранной вами стране) и либо отсутствие IPv6-адреса, либо IPv6, который тоже принадлежит VPN. Протекающий результат показывает IPv6-адрес от вашего провайдера или пару IPv4/IPv6, указывающую на два разных местоположения. Если вы видите настоящий IPv6 рядом с IPv4 от VPN — это хрестоматийная утечка IPv6.

VPN, который скрывает ваш IPv4, но раскрывает IPv6, не защитил вас наполовину — для любого сайта с поддержкой IPv6 вы просто не используете VPN вообще.

Точные исправления для каждой ОС, браузера и роутера

Исправляем утечки DNS

• В приложении VPN: включите любую опцию «Использовать только DNS от VPN», «Защита от утечек DNS» или «блокировать не-VPN DNS». Во многих приложениях это включено по умолчанию, но в сторонних конфигурациях OpenVPN/WireGuard зачастую нет.

• Windows: отключите smart multi-homed name resolution, которая рассеивает DNS по интерфейсам. В Windows Pro можно установить групповую политику «Turn off smart multi-homed name resolution» в значение «Включено»; в остальных случаях предпочтительнее VPN-клиент, который задаёт DNS и блокирует прочие резолверы. На время тестирования удалите из адаптеров любой вручную заданный публичный DNS (8.8.8.8, 1.1.1.1).

• macOS / Linux: убедитесь, что в сетевых настройках или в /etc/resolv.conf не прописан резолвер, обходящий туннель; позвольте VPN-клиенту управлять DNS. В Linux с systemd-resolved проверьте, что VPN задаёт маршрут домена, чтобы запросы шли к его резолверу.

• Роутер: если вы запускаете VPN на роутере, укажите в качестве DNS роутера резолвер VPN и отключите DNS, назначаемый провайдером. Также отключите функции роутера, которые перехватывают или перенаправляют DNS (некоторые настройки «родительского контроля» или «защиты от DNS rebind»).

Исправляем утечки WebRTC (только в браузере)

• Firefox: введите about:config в адресной строке, примите предупреждение, найдите media.peerconnection.enabled и установите значение false. Это полностью отключает WebRTC. Если WebRTC нужен для звонков, оставьте его включённым, но полагайтесь на VPN/расширение, которое маскирует обнаруженный IP, и повторите тест.

• Chrome / Edge: встроенного переключателя для полного отключения WebRTC нет. Учтите, что старая опция uBlock Origin «Prevent WebRTC from leaking local IP addresses» была удалена из десктопного расширения ещё в 2021 году, и даже когда она существовала, она маскировала только локальные/LAN адреса — она никогда не останавливала раскрытие публичного IP, которое и выдаёт вас на самом деле, так что это никогда не было тем решением, за которое его принимали. Современный Chromium уже скрывает локальные IP с помощью mDNS (это можно подтвердить флагом «Anonymize local IPs exposed by WebRTC» в chrome://flags). Чтобы контролировать раскрытие публичного IP, используйте специализированное расширение для управления WebRTC, а затем проверьте результат тестом на утечки, поскольку расширения по-разному и не всегда полностью блокируют утечку.

• Safari: раскрытие через WebRTC по умолчанию более ограничено, но тест всё равно проведите. Вы можете отключить его через экспериментальные/WebRTC-функции в меню Develop, если он вам не нужен.

• Проверка реальностью: отключение WebRTC может сломать Google Meet, Discord в браузере, Jitsi и подобные инструменты. Если они вам нужны, практичный путь — браузер/расширение, которое раздаёт только IP VPN, а не отключает WebRTC напрочь — подтверждённый повторным тестированием.

Исправляем утечки IPv6

• Лучший вариант: используйте VPN, который явно предлагает защиту от утечек IPv6 (он блокирует или туннелирует IPv6 в подключённом состоянии). Включите эту настройку и повторите тест.

• Windows: отключите IPv6 на активном адаптере (Свойства сетевого адаптера, снимите галочку Internet Protocol Version 6) или используйте блокировку IPv6 средствами VPN. Снова включите его, когда перестанете пользоваться VPN, который с ним не справляется.

• macOS: в Системных настройках установите для сетевой службы параметр Configure IPv6 в значение Link-local only (или Off через командную строку), если ваш VPN не умеет его туннелировать.

• Linux: отключите IPv6 для отдельного интерфейса или системно через sysctl (например, net.ipv6.conf.all.disable_ipv6=1), если туннель работает только с IPv4.

• Роутер: если вы запускаете VPN на роутере, отключите IPv6/WAN IPv6 роутера, чтобы ни одно устройство в сети не могло сливать данные через него. Это самое чистое решение для всего дома.

Почему «подключённый» VPN всё равно течёт

Даже после того как вы один раз прошли все три теста, защита не вечна — это состояние, которое может незаметно нарушиться. Вот моменты, когда «подключённый» VPN тихо начинает течь:

• Смена сети: переход с Wi-Fi на Ethernet, переключение точек доступа или то, как ваш телефон перескакивает между Wi-Fi и сотовой связью, могут на мгновение направить трафик за пределы туннеля, пока VPN заново восстанавливает свои правила.

• Сон и пробуждение: когда ноутбук выходит из сна, сеть часто восстанавливается раньше, чем переподключается VPN. На несколько секунд трафик идёт по голому соединению — этого достаточно, чтобы фоновые приложения «позвонили домой» с вашим настоящим IP.

• Переподключения и обрывы: каждый раз, когда туннель обрывается и переустанавливается, есть окно, в котором трафик может ускользнуть, если его не блокирует аварийный выключатель.

• Captive-порталы: Wi-Fi в отелях, аэропортах и кафе требует загрузить страницу входа прежде, чем заработает интернет. Эта страница по своей сути загружается вне VPN, и некоторые конфигурации остаются с утечкой, пока вы вручную не переподключитесь.

• Раздельное туннелирование: если вы исключили из VPN определённые приложения — или DNS — эти исключения являются утечками по конфигурации. Перепроверьте, что DNS тихо не оказался в списке «в обход».

• Возвращение IPv6: обновление ОС или сброс сети может незаметно снова включить IPv6, который вы прежде отключили, без предупреждения вновь открыв этот путь.

Аварийные выключатели и настройки защиты от утечек — и как они тихо подводят

Аварийный выключатель (kill switch) — это страховка от проблемы обрыва и переподключения: когда туннель падает, он блокирует весь интернет-трафик до возвращения VPN, чтобы в этот промежуток ничего не ускользнуло. Встроенная защита от утечек (защита от утечек DNS, блокировка IPv6, функции сетевой блокировки) гарантирует, что DNS и IPv6 всегда используют только туннель. Включите обе — они закрывают окна сбоев, за которыми вы не можете уследить вручную.

Но поймите их тихие режимы отказа. Аварийный выключатель срабатывает только тогда, когда приложение обнаруживает, что туннель упал; если туннель технически поднят, но DNS или IPv6 течёт в обход него, выключатель не видит проблемы и бездействует. Аварийные выключатели на уровне приложения защищают только трафик самого VPN-приложения, а не всю систему. Некоторые выключатели не срабатывают в окне сна/пробуждения или до входа в систему при загрузке. А «фаервольный» аварийный выключатель, который полностью блокирует трафик в выключенном состоянии, легко спутать с отсутствием интернета, что подталкивает людей его отключить. Урок: аварийный выключатель снижает риск, но не заменяет тестирование. Единственное доказательство того, что ваши настройки работают, — пройденный тест.

Безобидный результат против настоящего провала приватности

Не каждая незнакомая запись на странице теста на утечки — катастрофа. Понимание разницы убережёт вас от погони за призраками — или от игнорирования реальной угрозы.

• Безобидно: WebRTC показывает только локальные/частные адреса (10.x, 172.16–31.x, 192.168.x) или mDNS-имя хоста .local. Они не идентифицируют вас для сайта.

• Безобидно: DNS-резолверы, принадлежащие вашему VPN-провайдеру или используемому им приватному резолверу, даже если они в другом городе, чем ваш VPN-сервер — провайдеры держат целые парки резолверов.

• Безобидно: полное отсутствие IPv6-адреса, когда вы отключили IPv6. Это цель, а не провал.

• Настоящий провал: любой тест, показывающий ваш настоящий публичный IP (IPv4 или IPv6), ваш реальный город/провайдера или вашу родную страну, когда вы намеренно подключились в другом месте.

• Настоящий провал: результаты DNS, называющие вашего реального провайдера, или IPv4 и IPv6, которые разрешаются в два разных местоположения.

• Настоящий провал: заголовок страницы показывает IP VPN, а раздел WebRTC показывает ваш настоящий — это несовпадение и есть утечка.

Эмпирическое правило: публичный IP или название вашего провайдера, появляющиеся там, где их быть не должно, — это настоящий провал. Частные/локальные адреса и резолверы, принадлежащие провайдеру VPN, — это шум.

Дисциплина повторного тестирования: привычка, которая реально вас защищает

Тест на утечки — это моментальный снимок, а не сертификат. Поскольку защитное состояние нарушается при смене сети, засыпаниях, переподключениях и captive-порталах, тест имеет значение только для тех условий, в которых вы его проводили. Выработайте привычку:

1. Перепроверяйте после каждого исправления — измените одну настройку, затем убедитесь, что именно эта утечка закрыта, прежде чем двигаться дальше. Исправить все три сразу и протестировать один раз — значит скрыть, какое изменение сработало.

2. Перепроверяйте после каждой смены сети — новый Wi-Fi, переход на сотовую связь, подключение Ethernet или после входа через captive-портал.

3. Перепроверяйте после выхода из сна и после переподключения VPN, поскольку это окна наибольшего риска.

4. Перепроверяйте после обновлений ОС и приложений, которые могут тихо снова включить IPv6 или сбросить поведение DNS.

5. Запускайте все три теста вместе каждый раз — DNS, WebRTC и IPv6 независимы, и чистый результат по одному ничего не говорит об остальных.

Практический вывод

«Подключено» — это отправная точка, а не доказательство приватности. Проверяйте все три утечки независимыми инструментами — dnsleaktest.com для DNS, browserleaks.com/webrtc для WebRTC и ipleak.net для IPv6 и вашего общего IP. Относитесь к ним как к отдельным проблемам: принудительно задайте DNS от VPN на уровне ОС или роутера, нейтрализуйте WebRTC в браузере и блокируйте или туннелируйте IPv6. Включите аварийный выключатель и встроенную защиту от утечек для тех промежутков, за которыми вы не можете уследить, но никогда не доверяйте им слепо. Затем перепроверяйте после каждого исправления и каждой смены сети. Десять минут тестирования скажут вам о вашей реальной уязвимости больше, чем любая маркетинговая страница провайдера.

Часто задаваемые вопросы

Что такое тест на утечки VPN и как его провести?

Тест на утечки VPN проверяет, не ускользает ли какой-либо трафик из вашего зашифрованного туннеля, раскрывая ваш настоящий IP-адрес или DNS-запросы, пока VPN подключён. Чтобы провести его, подключите VPN, а затем зайдите на независимые инструменты вроде dnsleaktest.com, browserleaks.com/webrtc и ipleak.net. Если хоть один из них показывает ваш настоящий публичный IP, вашего провайдера или ваше домашнее местоположение — у вас утечка.

Как работает тест на утечку DNS и что считается успешным прохождением?

Тест на утечку DNS загружает уникальные имена хостов и сообщает, какие DNS-серверы их разрешили. Вы проходите тест, если резолверы принадлежат вашему VPN-провайдеру, а ваш собственный провайдер в списке не указан. Вы проваливаете тест, если появляется резолвер вашего провайдера или серверы находятся в вашем реальном местоположении, тогда как вы подключились в другом месте.

Как исправить утечку DNS?

Сначала включите «защиту от утечек DNS» или «использовать только DNS от VPN» в приложении VPN. В Windows также отключите smart multi-homed name resolution и удалите из адаптера любой вручную заданный публичный DNS вроде 8.8.8.8. На роутере с запущенным VPN укажите в качестве DNS роутера резолвер VPN и отключите DNS, назначаемый провайдером, затем повторите тест.

Что такое утечка WebRTC и останавливает ли её мой VPN?

Утечка WebRTC — это когда функция связи в реальном времени вашего браузера обнаруживает и раскрывает ваш настоящий IP-адрес веб-странице, даже при подключённом VPN. Большинство VPN её не останавливают, потому что это поведение браузера, а не сети. Исправьте это в Firefox, установив media.peerconnection.enabled в значение false в about:config. У Chrome и Edge нет встроенного переключателя для отключения WebRTC, поэтому используйте специализированное расширение для управления WebRTC и повторите тест — не полагайтесь на старый переключатель локального IP в uBlock Origin, который был удалён из десктопного расширения и в любом случае никогда не блокировал раскрытие публичного IP.

Что такое утечка IPv6 и как предотвратить её на моём VPN?

Утечка IPv6 происходит, когда ваш туннель VPN, рассчитанный только на IPv4, игнорирует трафик IPv6, позволяя ему идти по соединению провайдера и раскрывать ваш настоящий IPv6-адрес. Предотвратите её, включив защиту от утечек IPv6 в вашем VPN или отключив IPv6 на устройстве или роутере. После изменения настройки убедитесь на ipleak.net, что IPv6-адрес провайдера не появляется.

Предотвращает ли аварийный выключатель утечки DNS и WebRTC?

Не надёжно. Аварийный выключатель блокирует трафик только тогда, когда обнаруживает, что туннель упал, поэтому он ничего не делает с утечками DNS или WebRTC, происходящими, пока туннель ещё поднят. Вам нужны отдельная защита от утечек DNS и укрепление WebRTC на стороне браузера, а аварийный выключатель — как страховка от переподключений и обрывов.

Как часто нужно проводить тест на утечки VPN?

Тестируйте после каждого изменения конфигурации и перепроверяйте после каждой смены сети, цикла сна/пробуждения, переподключения VPN, входа через captive-портал и крупного обновления ОС или приложения. Каждый из этих моментов может незаметно вновь открыть утечку. Всегда запускайте все три теста вместе, поскольку DNS, WebRTC и IPv6 — независимые проблемы.