Как проверить что VPN не палит трафик — DNS-утечка, WebRTC, IP-лик

Автор: Сергей Зайцев | Опубликовано: 11.05.2026 | Обновлено: 11.05.2026 | Чтение: 10 мин

Включил VPN, зашёл на 2ip.ru — там мой реальный IP. Такое бывает. Это называется IP-leak или DNS-leak. Разберу три типа утечек и как их закрыть.

Что в статье

1. Три типа утечек: IP, DNS, WebRTC 2. Как проверить каждую — инструменты и команды 3. Что делать если утечка нашлась 4. Настройка kill switch 5. FAQ

---

Три типа утечек и чем они опасны

IP-leak (утечка реального IP) — сайт видит ваш настоящий IP, а не IP ноды. Происходит когда VPN-клиент завис, переподключается или отключился без Kill Switch.

DNS-leak (утечка DNS) — VPN подключён, IP скрыт, но DNS-запросы (например, discord.com → 162.159.130.233) уходят через DNS-сервер вашего провайдера. РКН видит что вы запрашиваете заблокированные домены.

WebRTC-leak — браузер раскрывает ваш реальный IP через WebRTC (голосовые/видеозвонки в браузере). Это баг в Chrome/Firefox, не в VPN-клиенте. Работает даже когда VPN включён.

---

Шаг 1 — Проверить IP

Самый простой тест:

1. Отключите VPN 2. Зайдите на 2ip.ru — запомните IP 3. Включите VPN 4. Обновите страницу

Если IP изменился — базовая защита работает. Если IP тот же — VPN не работает или не подключён.

Более точный инструмент: ipleak.net — показывает IP, DNS-серверы и WebRTC одновременно.

Если IP не изменился

Три причины: 1. VPN-клиент завис — перезапустить 2. Соединение установлено но трафик не идёт через тоннель — проверить настройки маршрутизации 3. Split tunnel настроен так что браузер исключён — проверить настройки клиента

---

Шаг 2 — Проверить DNS-утечку

DNS-утечка опаснее чем кажется. Ростелеком и МТС умеют по DNS-запросам понять что вы заходите на заблокированный ресурс — даже если сам трафик зашифрован.

Инструменты:

• dnsleaktest.com → «Extended test»
• 1.1.1.1/help — проверка через Cloudflare

Что должно показать при правильной настройке:

• DNS-сервер: IP ноды или Cloudflare (1.1.1.1 / 1.0.0.1) или Google (8.8.8.8)
• НЕ должен показывать: IP Ростелекома, МТС, Билайна, Дом.ру

Командой в терминале (Linux/macOS):

dig +short whoami.cloudflare.com TXT @1.1.1.1

Если в ответе IP вашей VPN-ноды — DNS не течёт.

Windows PowerShell:

Resolve-DnsName -Name whoami.cloudflare.com -Type TXT -Server 1.1.1.1

Почему DNS-утечки частые

В Windows 10/11 есть «умный мульти-хоминг» (Smart Multi-Homed Name Resolution). Система отправляет DNS-запрос одновременно через VPN-туннель и через Wi-Fi-адаптер — кто ответит первым, тот и выиграл. Это обходит DNS-настройки VPN-клиента.

Как закрыть на Windows: Group Policy Editor → Computer Configuration → Administrative Templates → Network → DNS Client → Turn off smart multi-homed name resolution → Enabled

Или через реестр:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "DisableSmartNameResolution" -Value 1

---

Шаг 3 — Проверить WebRTC-утечку

WebRTC раскрывает реальный IP даже при работающем VPN. Это критично если вы пользуетесь голосовыми звонками в браузере или Google Meet.

Инструмент: browserleaks.com/webrtc

Смотрите на поле «Local IP Address» — там не должно быть вашего реального домашнего IP.

Если есть утечка:

Chrome: 1. Установить расширение WebRTC Leak Prevent или WebRTC Control 2. Или отключить WebRTC через chrome://flags/#disable-webrtc

Firefox: 1. about:config → media.peerconnection.enabled → false

Если вы не пользуетесь видеозвонками в браузере — просто отключить WebRTC. Если пользуетесь (Google Meet, Zoom в браузере) — устанавливать расширение которое даёт WebRTC только разрешённым сайтам.

---

Как настроить Kill Switch

Kill Switch — это механизм который блокирует весь интернет если VPN-соединение оборвалось. Без него при кратком переподключении VPN трафик может уйти напрямую.

Kill Switch в Hiddify (iOS/Android/Windows)

Settings → Connection → Kill Switch → Enable

Kill Switch в v2rayNG (Android)

v2rayNG сам по себе не имеет Kill Switch. Вместо этого:

• Settings → Android VPN → «Always-on VPN» — в настройках Android (Настройки → Сеть → VPN → v2rayNG → шестерёнка → Always-on)
• Включить «Block connections without VPN»

Kill Switch на роутере (Keenetic с XKeen)

Если VPN стоит на роутере — весь трафик дома автоматически идёт через него. Kill Switch не нужен — нет соединения с нодой = нет интернета для устройств.

Ручной Kill Switch на Linux через iptables

# Разрешить только VPN-трафик и локальную сеть
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -d <IP_ВАШЕЙ_НОДЫ> -j ACCEPT
iptables -A INPUT -s <IP_ВАШЕЙ_НОДЫ> -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT

Заменить на реальный IP сервера.

---

Полный чек-лист проверки

Делать при каждом новом подключении или обновлении клиента:

□ 1. Зайти на ipleak.net при выключенном VPN — запомнить IP
□ 2. Включить VPN
□ 3. Зайти на ipleak.net — IP должен измениться
□ 4. На dnsleaktest.com → Extended test — не должен быть DNS провайдера
□ 5. На browserleaks.com/webrtc — не должен быть домашний IP в Local IP
□ 6. Kill Switch включён в клиенте
□ 7. Отключить VPN вручную — интернет должен пропасть если Kill Switch работает

---

FAQ

Что опаснее — IP-утечка или DNS-утечка? Для обхода блокировок — DNS-утечка опаснее. РКН идентифицирует вас по DNS-запросам даже если реальный IP скрыт. Для анонимности — IP-утечка опаснее.

Мой VPN — VLESS/Xray. Нужно ли беспокоиться о DNS? Да. VLESS сам по себе не меняет DNS-сервер в системе. Нужно либо настроить DNS через клиент (Hiddify это делает автоматически), либо вручную поставить 1.1.1.1 в настройках сетевого адаптера.

Как Hiddify обрабатывает DNS? Hiddify по умолчанию перехватывает DNS-запросы и отправляет их через туннель. В настройках: Connection → DNS → «Tunnel» — убедитесь что включено.

Проверил — DNS течёт только для .local доменов. Это критично? Нет. .local домены — это Bonjour/mDNS для локальной сети. Они не уходят в интернет, это нормально.

Можно ли доверять онлайн-инструментам для проверки утечек? Ipleak.net, dnsleaktest.com, browserleaks.com — проверенные инструменты, работают через JS в браузере. Для параноиков — дополнительно смотреть трафик через Wireshark: фильтр dns покажет куда уходят запросы.

Что такое IPv6-утечка? Если у вас есть IPv6-адрес от провайдера, а VPN-клиент не проксирует IPv6 — сайты могут видеть ваш реальный IPv6. В Hiddify: Settings → IPv6 → Enable → Tunnel. Или отключить IPv6 в системе если не нужен.

---

Итог

Три теста занимают 5 минут: ipleak.net, dnsleaktest.com, browserleaks.com. Если всё чисто — VPN работает как надо. Если течёт DNS — настроить DoH или вручную прописать 1.1.1.1. Если WebRTC — отключить в браузере.

Мой бот по умолчанию выдаёт Hiddify-конфиги с правильными DNS-настройками — течь не должно.

Получить конфиг через бот

---

Читайте также

• Как настроить v2rayNG на Android
• Streisand vs Hiddify на iPhone
• VLESS vs Shadowsocks vs OpenVPN
• Что такое ТСПУ простыми словами
• VPN для торговли — защита Binance, Kraken
• VPN для iCloud — Private Relay не работает