VPN и DNS over HTTPS: почему браузер может обходить DNS VPN и что проверить в 2026 году

Если сайт в браузере открывается «не так», Telegram или Discord ведут себя иначе, а VPN при этом подключён, причина не всегда в самом VPN. В 2026 году всё чаще вмешивается отдельный слой — DNS over HTTPS, или «защищённый DNS» в браузере. Ниже — практичный разбор, как отличить полезную защиту от конфликта настроек и не сломать приватность.

Коротко: что такое DNS over HTTPS и при чём здесь VPN

DNS — это система, которая превращает имя сайта в сетевой адрес. Обычный DNS-запрос может идти к DNS-серверу провайдера, роутера, корпоративной сети или VPN-сервиса. DNS over HTTPS, сокращённо DoH, отправляет такие запросы внутри HTTPS-соединения к выбранному DNS-провайдеру. В интерфейсах Chrome, Edge и некоторых других браузеров это часто называется Secure DNS или «защищённый DNS».

VPN решает другую задачу: он создаёт зашифрованный туннель для трафика устройства или приложения. Хороший VPN обычно также выдаёт свои DNS-настройки, чтобы запросы не уходили мимо туннеля. Конфликт начинается тогда, когда браузер решает: «я сам выберу DNS по HTTPS», а VPN-клиент ожидает, что DNS будет идти через его маршрут.

В результате пользователь видит странные симптомы: IP в проверке изменился, но часть сайтов открывается как раньше; приложение не видит то же, что браузер; корпоративный домен перестал резолвиться; фильтр на роутере не работает только в браузере. Это не магия и не обязательно «утечка всего трафика» — чаще это несовпадение DNS-маршрутов.

Когда DoH полезен, а когда мешает

DNS over HTTPS полезен, когда вы подключены к случайной Wi‑Fi-сети, не доверяете локальному DNS или хотите снизить риск подмены DNS-ответов. Официальные материалы Google Public DNS описывают DoH как DNS-запросы через HTTPS, включая поддержку IPv4 и IPv6. Cloudflare отдельно публикует инструкции по настройке DoH в браузерах. Microsoft в документации Edge описывает политики DnsOverHttpsMode и шаблоны DoH-резолверов для управляемых устройств.

Но у DoH есть обратная сторона: он может обходить DNS, который назначает VPN, домашний роутер, родительский фильтр или рабочая сеть. Поэтому вопрос не в том, «включать или выключать навсегда», а в том, кто должен управлять DNS в конкретном сценарии.

Главные симптомы конфликта VPN и DNS over HTTPS

1. В браузере сайт открывается, а в приложении нет

Это классический признак разницы между браузерным DNS и системным DNS. Браузер с включённым Secure DNS может резолвить домены через своего провайдера, а приложение — через DNS, который выдал VPN или сеть. Поэтому веб-версия сервиса работает, а настольное или мобильное приложение показывает ошибку подключения.

Похожая логика разобрана в соседней статье «VPN работает в браузере, но не в приложениях». Разница здесь в том, что мы смотрим не только на маршруты приложений, но именно на слой DNS inside browser.

2. VPN подключён, но проверка DNS показывает чужого провайдера

Если IP-адрес изменился, но DNS-тест показывает Google, Cloudflare, Quad9 или другого публичного резолвера, не делайте поспешный вывод, что VPN «не работает». Возможно, браузер отправляет DoH-запросы к выбранному резолверу. Это может быть нормально, если вы сознательно так настроили браузер. Но если цель — единая DNS-политика через VPN, такую настройку нужно пересмотреть.

Подробнее о базовой диагностике DNS есть в статье «VPN DNS настройки».

3. Рабочие или локальные домены перестали открываться

Корпоративные сети часто используют внутренние домены, которые не существуют в публичном DNS. Домашние сети тоже могут использовать локальные имена для NAS, принтера, панели роутера или медиасервера. Если браузер отправляет запросы внешнему DoH-провайдеру, он может просто не знать такие имена.

Для рабочего устройства безопаснее не менять политику Secure DNS самостоятельно. Если это личный ноутбук, тестируйте аккуратно: выключите Secure DNS в одном браузере, проверьте только проблемный домен и верните настройку, если причина не подтвердилась.

4. YouTube, Telegram Web или Discord Web ведут себя иначе после смены DNS

Медиа и звонки зависят не только от DNS, но и от маршрута, UDP/TCP, MTU, QUIC и качества сети. Однако DNS может быть первым звеном: если браузер выбирает один адрес сервиса, а приложение — другой, поведение отличается. Для таких случаев полезно проверять цепочку по порядку: DNS → маршрут VPN → протокол → качество сети.

Если проблема именно в звонках, полезен отдельный материал «VPN для видеозвонков».

Как проверить настройки в Chrome, Edge и Firefox

Названия пунктов меню могут немного отличаться между версиями и языками интерфейса, поэтому ориентируйтесь на смысл: безопасность, приватность, DNS, Secure DNS, DNS over HTTPS.

Chrome

В Chrome настройка обычно находится в разделе безопасности. Ищите пункт «Использовать защищённый DNS» или Secure DNS. Там может быть режим автоматического выбора или выбор конкретного провайдера. Если выбран конкретный внешний провайдер, браузер может резолвить домены отдельно от VPN.

Практичный тест: временно переключите Chrome на системный DNS или выключите Secure DNS, затем перезапустите браузер и проверьте только проблемный сайт. Если поведение изменилось, причина, скорее всего, в DoH-маршруте. Если нет — верните настройку и ищите проблему в VPN-профиле, DNS внутри VPN, IPv6 или MTU.

Microsoft Edge

Для Edge важны две зоны: обычные настройки приватности и корпоративные политики. В Microsoft Learn есть отдельные политики DnsOverHttpsMode и DnsOverHttpsTemplates. Это означает, что на рабочем устройстве пункт может быть задан администратором и недоступен для изменения.

Если Edge управляется организацией, не пытайтесь обходить ограничения. Правильный путь — зафиксировать симптом: какой домен не открывается, работает ли он вне VPN, что показывает другой браузер, и передать это администратору.

Firefox

Firefox использует собственные уровни защиты DNS over HTTPS. Официальная страница поддержки Mozilla может быть недоступна из-за антибот-проверки, но сам принцип такой же: Firefox может использовать DoH независимо от системного DNS. Если проблема проявляется только в Firefox, сравните его DNS-настройку с Chrome или Edge.

Android и iPhone

На телефонах путаница чаще возникает не из-за браузера, а из-за системных функций: Private DNS на Android, iCloud Private Relay в Safari, профили VPN, режим «всегда включённый VPN», экономия трафика и ограничения фоновой активности. Если браузер и приложения ведут себя по-разному, проверяйте не только VPN-клиент, но и системные настройки DNS/приватности.

Чеклист диагностики без лишнего риска

• Проверьте, включён ли VPN и меняется ли внешний IP.
• Сравните один и тот же сайт в двух браузерах: например Chrome и Firefox.
• Откройте настройки Secure DNS / DNS over HTTPS в проблемном браузере.
• Если выбран внешний DNS-провайдер, временно переключите на системный DNS.
• Перезапустите браузер, а не только вкладку.
• Проверьте, не управляется ли браузер организацией.
• Для рабочего ноутбука не меняйте политики без IT-администратора.
• Если проблема только в приложениях, проверьте split tunneling и DNS внутри VPN.
• Если ломаются локальные устройства, проверьте доступ к локальной сети и DNS роутера.
• После теста верните более безопасную настройку, которая соответствует вашей цели.

Как настроить безопасно: три рабочих стратегии

Стратегия 1. Всё через VPN

Подходит, если вам важна единая логика: IP, DNS и маршруты должны идти через VPN. В этом режиме лучше отключить отдельный DoH в браузере или поставить режим, который использует системный DNS. Дальше убедитесь, что VPN-клиент сам выдаёт DNS и не допускает DNS-запросы вне туннеля.

Для FoliVPN начните с базовой страницы https://folivpn.org/ и используйте актуальный профиль для своего устройства. Не смешивайте несколько VPN-клиентов и DNS-утилит одновременно: так сложнее понять, кто именно меняет маршрут.

Стратегия 2. VPN для трафика, DoH — только в браузере

Подходит продвинутым пользователям, которые понимают, зачем им конкретный DoH-провайдер. Например, вы хотите, чтобы браузер использовал Cloudflare или Google Public DNS через HTTPS, а остальные приложения шли по системным правилам. Минус: диагностика становится сложнее, а DNS-тесты могут выглядеть «неожиданно».

Этот вариант не стоит включать на рабочем устройстве, если корпоративная сеть зависит от внутренних DNS-зон.

Стратегия 3. Раздельные профили под разные задачи

Самый аккуратный вариант для 2026 года — не пытаться сделать одну настройку для всего. Используйте основной браузер с системным DNS через VPN, а отдельный профиль браузера — для тестов DoH. На роутере или в VPN-клиенте держите понятные правила: какие устройства идут через VPN, какие нет, какие приложения исключены.

Если вы уже используете split tunneling, синхронизируйте его с DNS-логикой. Иначе получится, что приложение исключено из VPN, но DNS уходит через VPN, или наоборот.

Чего не стоит делать

Не включайте сразу несколько «ускорителей DNS», VPN, браузерных расширений и системных профилей. Не копируйте настройки из случайных инструкций, если не понимаете, какой DNS-провайдер там указан. Не пытайтесь обходить политики рабочего устройства: это может нарушить правила компании и создать проблемы с доступом к внутренним ресурсам.

Также не стоит считать DoH полноценной заменой VPN. DoH защищает DNS-запросы между клиентом и DNS-резолвером, но не делает весь трафик браузера VPN-туннелем. И наоборот: VPN без аккуратных DNS-настроек может давать странные симптомы, особенно если браузер живёт по своим правилам.

Итог

VPN и DNS over HTTPS не конкуренты, если их настроить осознанно. VPN отвечает за туннель и маршрут трафика, DoH — за способ отправки DNS-запросов. Проблемы начинаются, когда браузер, система, роутер и VPN выбирают разные DNS-пути.

Практичное правило простое: для стабильности держите DNS внутри VPN; для экспериментов с DoH используйте отдельный браузерный профиль; для рабочих устройств следуйте политике администратора. Так вы сохраните приватность, не сломаете приложения и быстрее поймёте, где именно находится ошибка.

FAQ

DNS over HTTPS делает VPN ненужным?

Нет. DoH шифрует DNS-запросы, но не заменяет VPN-туннель для всего трафика. VPN и DoH решают разные задачи.

Почему DNS-тест показывает Cloudflare или Google, хотя VPN включён?

Частая причина — включённый Secure DNS в браузере. Браузер может отправлять DNS-запросы к выбранному DoH-провайдеру отдельно от DNS, который выдал VPN.

Нужно ли выключать Secure DNS навсегда?

Не обязательно. Если всё работает и вы понимаете, какой DNS используете, настройку можно оставить. Если есть конфликты с VPN, рабочими доменами или локальной сетью, временно переключитесь на системный DNS и сравните результат.

Почему сайт открывается в Chrome, но не в приложении?

Chrome может использовать собственный DoH, а приложение — системный DNS или DNS VPN. Поэтому они получают разные ответы или идут по разным маршрутам.

Безопасно ли менять DoH на рабочем ноутбуке?

Если устройство управляется организацией, лучше не менять. В Edge и Chrome такие параметры могут задаваться политиками. Обратитесь к IT-администратору и передайте симптомы.

Что выбрать для FoliVPN: DoH или DNS VPN?

Для большинства пользователей стабильнее вариант «всё через VPN»: актуальный профиль FoliVPN, DNS от VPN и без отдельного DoH в браузере. DoH оставляйте только если понимаете, зачем он нужен.

Может ли DoH ломать локальные устройства — принтер, NAS, роутер?

Да, если браузер отправляет локальные имена внешнему DNS-провайдеру, который не знает вашу домашнюю сеть. В таком случае проверьте Secure DNS и доступ к локальной сети.