VPN установлен, статус-строка горит зелёным, флажок сменился на нидерландский — и многие на этом останавливаются. Проблема в том, что «подключён» и «защищён» — не синонимы. VPN-клиент может честно показывать активное соединение, пока DNS-запросы тихо уходят к вашему провайдеру, браузер сливает реальный IP через WebRTC, а kill switch не настроен вообще. Это не редкость — это норма для среднестатистической установки по умолчанию.
Ниже — практический разбор того, что стоит проверить сразу после установки. Без рекламы конкретных сервисов, без обещаний абсолютной анонимности. Просто то, что реально влияет на то, работает ли ваша защита.
Что такое утечка DNS и почему её не видно невооружённым глазом
DNS — это телефонный справочник интернета: когда вы набираете адрес сайта, система спрашивает у DNS-сервера, какой IP ему соответствует. По умолчанию этот запрос уходит к серверу вашего интернет-провайдера. VPN должен перехватить этот запрос и пустить его через свой зашифрованный туннель — к собственному DNS-серверу.
Утечка DNS возникает, когда туннель работает, внешний IP сменился, но DNS-запросы по-прежнему идут мимо — к провайдеру, к роутеру или к браузерному резолверу. Сайт видит VPN-адрес, а оператор сети всё равно знает, какие домены вы запрашиваете. Не содержимое страниц, но список посещённых ресурсов — и этого уже достаточно, чтобы нарисовать ваш профиль. Подробнее о механике таких утечек — на SecurityLab.
Особая ловушка — браузерный DNS-over-HTTPS. Chrome, Firefox и Edge умеют отправлять DNS-запросы напрямую в Cloudflare или Google, минуя и провайдера, и VPN-клиент. Технически это не утечка к провайдеру, но это и не маршрут через ваш VPN. Результат теста будет выглядеть «чисто», а DNS-запросы будет видеть третья сторона.
Как проверить DNS-утечку: три шага
Первое — зафиксируйте базовый адрес. Отключите VPN, зайдите на ipleak.net или dnsleaktest.com и запишите, какой DNS-сервер показывает тест. Обычно там будет ваш провайдер.
Второе — подключите VPN и повторите тест. Если в результатах по-прежнему фигурирует ваш домашний провайдер или мобильный оператор — это утечка. Если там появился Cloudflare, Google или другой публичный резолвер — возможно, это ваш браузер с включённым DoH. Зайдите в настройки браузера, найдите «Безопасный DNS» или «DNS-over-HTTPS» и либо отключите, либо укажите там DNS-сервер самого VPN-сервиса.
Третье — отдельно проверьте WebRTC. Это механизм браузера для видеозвонков и P2P, и он умеет раскрывать реальный IP-адрес даже при активном VPN-туннеле — через STUN-запросы, которые идут напрямую. Chrome, Firefox и Edge уязвимы по умолчанию. Проверить можно на том же ipleak.net или browserleaks.com — раздел WebRTC. Если там показывается ваш домашний IP — это проблема, которую VPN-клиент сам по себе не решает. Нужно отключать WebRTC в браузере или ставить расширение типа uBlock Origin с включённой защитой WebRTC.
Kill switch: как убедиться, что он реально работает
Kill switch — это механизм, который блокирует весь интернет-трафик в момент, когда VPN-соединение обрывается. Без него при разрыве туннеля (а это случается: нестабильный Wi-Fi, смена сети, засыпание ноутбука) трафик мгновенно начинает идти через обычное соединение — с реальным IP.
Большинство клиентов имеют kill switch в настройках, но по умолчанию он часто выключен. Найдите в настройках вашего клиента пункты «Kill Switch», «Network Lock», «Internet Kill Switch» или «Killswitch» — называют по-разному. Включите и проверьте, что он действительно работает.
Проверка простая: подключитесь к VPN, откройте любой сайт-тест IP. Затем прямо в интерфейсе клиента вручную отключите VPN — не через системный трей, а нажав «Disconnect» в приложении. Если kill switch работает, браузер должен немедленно выдать ошибку соединения. Если страница обновится с новым (реальным) IP — kill switch либо выключен, либо не работает.
Важный нюанс: некоторые клиенты реализуют kill switch на уровне приложения, а некоторые — на уровне файрвола операционной системы. Второй надёжнее: он продолжает блокировать трафик даже если само VPN-приложение аварийно завершилось. Уточните в документации вашего сервиса, какой тип используется. Отдельная история с Android — исследователи Mullvad обнаружили, что в Android 14 kill switch мог давать утечки DNS при переключении серверов, даже при включённом «Always On VPN».
IPv6: слепая зона большинства VPN-пользователей
Многие VPN-сервисы до сих пор не поддерживают IPv6 или поддерживают с оговорками. Если ваш провайдер выдаёт IPv6-адрес, а VPN-клиент его не проксирует — сайты могут видеть реальный IPv6-адрес, даже когда IPv4 надёжно спрятан за VPN-сервером. На тех же ipleak.net и browserleaks.com есть отдельная строка для IPv6 — проверьте её.
Если там торчит ваш реальный адрес, а клиент не имеет явной настройки блокировки IPv6, можно отключить IPv6 на уровне сетевого адаптера Windows: «Сетевые подключения» → свойства адаптера → снять галку с «Протокол интернета версии 6 (TCP/IPv6)». Радикально, но надёжно.
Кто реально стоит за вашим VPN-сервисом
Это, пожалуй, самый недооценённый пункт. Рынок VPN выглядит как конкурентный зоопарк из десятков брендов, но на деле за большинством крупных сервисов стоят несколько холдингов.
Крупнейший игрок — Kape Technologies, которому принадлежат ExpressVPN, CyberGhost и Private Internet Access. История компании неоднозначна: до 2018 года она называлась Crossrider и была известна как разработчик SDK для браузерных расширений, которые активно использовались для внедрения рекламы и малвари. Компания сменила название, вошла в VPN-бизнес и в 2021 году купила ExpressVPN почти за миллиард долларов. Кроме самих VPN-сервисов, Kape владеет сайтами vpnMentor и WizCase — популярными ресурсами с рейтингами VPN, которые последовательно ставят продукты Kape на первые места. Детальная карта владельцев опубликована на Хабре.
Ziff Davis (бывший j2 Global) владеет IPVanish, StrongVPN и рядом других сервисов. Та же компания владеет PCMag, CNET и IGN — изданиями, активно публикующими обзоры VPN. Это не значит, что сервисы плохие, но конфликт интересов здесь очевиден.
Nord Security — литовский холдинг, которому принадлежат NordVPN и Surfshark (объединились в 2022 году). Юрисдикция — Панама через дочернюю структуру NordVPN S.A., что компания исторически позиционирует как конфиденциальную юрисдикцию без обязательного логирования.
Есть и независимые сервисы — Proton VPN, Mullvad, Windscribe — у которых нет корпоративного холдинга над головой. Это не гарантия идеальной приватности, но хотя бы нет структурного конфликта интересов.
Как проверить реального владельца: откройте политику конфиденциальности сервиса (Privacy Policy) — там по закону обязаны указывать материнскую компанию. Ещё быстрее — поисковый запрос «[название VPN] parent company» или поиск компании-разработчика в Google Play/App Store.
Практический чеклист после установки VPN
| Что проверить | Как | Норма |
|---|---|---|
| Смена внешнего IP | ipleak.net до и после подключения | IP изменился, страна соответствует серверу |
| DNS-утечка | dnsleaktest.com → Extended Test | Нет DNS вашего домашнего провайдера |
| WebRTC-утечка | ipleak.net → раздел WebRTC | Реальный IP не показывается |
| IPv6-утечка | ipleak.net → IPv6-строка | Нет реального IPv6, или строка пустая |
| Kill switch | Ручное отключение VPN при открытом тесте IP | Трафик блокируется, страница не обновляется |
| DoH в браузере | Настройки браузера → «Безопасный DNS» | Отключён или указан DNS сервиса |
| Владелец сервиса | Privacy Policy → поиск материнской компании | Известная юрисдикция, нет конфликта интересов |
Что точно не стоит делать
Не доверяйте расширениям для браузера как полноценной замене VPN-клиента. Браузерное расширение защищает только трафик самого браузера — мессенджеры, торрент-клиенты, игры, системные обновления продолжают работать через ваш реальный IP без шифрования.
Не используйте бесплатные VPN без чёткого понимания, на чём они зарабатывают. Если продукт бесплатный, и вы не понимаете бизнес-модель — скорее всего, продуктом являетесь вы. Это не метафора: ряд бесплатных мобильных VPN документально передавал трафик пользователей третьим сторонам.
Не считайте, что VPN делает вас анонимным. VPN скрывает ваш IP и шифрует трафик от провайдера. Но если вы залогинены в Google, Facebook или любом другом сервисе — они прекрасно знают, кто вы, вне зависимости от IP.
Главный вывод: VPN — это инструмент с конкретными свойствами, а не магический щит. Установить и забыть — значит получить ложное чувство безопасности. Десять минут на проверку сразу после установки дают реальное понимание того, что именно защищено, а что нет.
FAQ: частые вопросы о проверке VPN
Если IP сменился, значит VPN работает нормально? Не обязательно. Смена IP — это базовая функция, но DNS-запросы, WebRTC и IPv6 могут всё равно раскрывать реальные данные. Нужна полная проверка по чеклисту. Kill switch включён в настройках — этого достаточно? Нет, нужно проверить его работу вручную. Часть реализаций на уровне приложения не срабатывает при аварийном завершении процесса или при засыпании устройства. Стоит ли беспокоиться о владельце VPN, если сервис имеет хорошие отзывы? Стоит учитывать, что крупные холдинги типа Kape владеют и VPN-сервисами, и обзорными сайтами. Хорошие отзывы — не независимый показатель. Ищите независимые аудиты (no-log audits) от третьих сторон. Помогает ли VPN-расширение для Chrome от утечек WebRTC? Частично. Расширения VPN не всегда блокируют WebRTC. Надёжнее — отключить WebRTC в настройках браузера через флаги или использовать uBlock Origin с включённой опцией блокировки WebRTC. Если тест показывает DNS Cloudflare, а не мой провайдер — это утечка? Это не утечка к провайдеру, но DNS-запросы обрабатывает Cloudflare, а не ваш VPN-сервер. Проверьте, включён ли DoH в браузере, и решите, доверяете ли вы Cloudflare как оператору DNS.Дисклеймер: использование VPN регулируется законодательством страны пребывания. В России деятельность VPN-сервисов ограничена рядом нормативных актов, в том числе требованиями Роскомнадзора о подключении к ФГИС. Использование VPN для обхода законных блокировок на территории РФ может нарушать действующее законодательство. Автор не призывает к нарушению закона и не несёт ответственности за использование описанных инструментов в противоправных целях. Материал носит исключительно информационный характер.
