Private DNS Servers — Encrypted DNS to Prevent ISP Snooping

FreeGuard дає змогу перемикатися між надійними публічними DNS-resolver’ами (Cloudflare, Google, Quad9, OpenDNS, AdGuard) і спрямовує запити через зашифрований VPN-тунель, щоб ваш ISP не міг бачити, які домени ви відвідуєте. Ми не керуємо власними рекурсивними DNS-серверами.

Як насправді працює DNS-захист у FreeGuard

Замість запуску власних resolver’ів ми надаємо підібраний список відомих публічних DNS-провайдерів і надсилаємо запити до них через VPN-тунель. Ваш ISP бачить лише зашифрований VPN-трафік, а не DNS-запити до доменів.

Коли ви відкриваєте вебсайт, ваш пристрій спочатку звертається до DNS-resolver’а, щоб перетворити домен на IP-адресу. Без VPN це запитання надсилається до вашого ISP у відкритому вигляді, тож вони фіксують кожен домен, який ви відвідуєте.

Мобільні застосунки FreeGuard містять екран налаштувань DNS Server, де ви обираєте один із підтримуваних resolver’ів — Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9), OpenDNS (208.67.222.222) або AdGuard DNS (94.140.14.14). У настільному застосунку за замовчуванням використовуються провайдери DoH (doh.pub, dns.alidns.com), а досвідчені користувачі можуть змінити це через dns_config.yaml.

Після підключення кожен DNS-запит надсилається через зашифрований тунель до вибраного resolver’а. Ваш ISP бачить лише зашифрований потік, що прямує до VPN-сервера — вони не можуть визначити, які домени ви шукали.

Щоб було зрозуміло: ми не запускаємо власний сервер “FreeGuard DNS”. Приватність забезпечується тим, що (a) тунель приховує запит від вашого ISP і (b) ви обираєте надійний сторонній resolver замість resolver’а вашого ISP.

Що захищає перемикання DNS через тунель

Тунель не дає вашому ISP журналювати або фільтрувати домени, які ви відвідуєте, і зупиняє DNS-hijacking у ненадійних мережах. Це не робить кожного DNS-провайдера однаково приватним — ваш вибраний resolver усе одно бачить запит.

Стеження та фільтрація з боку ISP: Багато ISP журналюють кожен DNS-запит, вставляють рекламу під час невдалих запитів або блокують домени на рівні DNS. Маршрутизація DNS через VPN повністю обходить ISP.

DNS-hijacking у публічному Wi-Fi: Готельні, кафе- та аеропортові мережі іноді перенаправляють DNS на сервери captive portal або шкідливі resolver’и. Тунелювання DNS повністю обходить локальний DNS-стек мережі.

Компроміс довіри: Який би публічний resolver ви не обрали (Cloudflare, Google, Quad9 тощо), він усе одно бачитиме запити, які розв’язує, відповідно до своєї політики конфіденційності. Цінність FreeGuard у тому, що він дає вам вибір і приховує запити від вашого ISP — а не замінює кожен resolver власним.

Як використовувати DNS-захист

1. Крок 1: Підключіться до FreeGuard. Резолвер за замовчуванням застосовується автоматично через тунель — додаткове налаштування не потрібне
2. Крок 2: (Mobile) Відкрийте Settings → DNS Server і виберіть Cloudflare, Google, Quad9, OpenDNS або AdGuard DNS
3. Крок 3: Перевірте через наш DNS Leak Test на /tools/dns-leak-test, щоб переконатися, що запити виходять через VPN

Часті запитання

Чи запускає FreeGuard власні приватні DNS-сервери?

Ні. Ми не керуємо власними рекурсивними resolver’ами. Ми тунелюємо ваші DNS-запити до відомих публічних провайдерів (Cloudflare, Google, Quad9, OpenDNS, AdGuard на mobile; doh.pub / dns.alidns.com за замовчуванням на desktop).

Тоді чим це краще, ніж просто використовувати 1.1.1.1 напряму?

З двох причин. По-перше, без VPN ваш ISP усе одно бачить метадані вашого загального трафіку, навіть якщо DNS зашифрований. По-друге, FreeGuard переносить DNS-запит всередину VPN-тунелю, тож ні ваш ISP, ні локальний Wi-Fi не можуть його переглянути або перехопити.

Чи можу я змінити, який DNS-провайдер використовує FreeGuard?

На mobile — так: Settings → DNS Server показує список підтримуваних resolver’ів. На desktop досвідчені користувачі можуть змінити значення за замовчуванням, відредагувавши dns_config.yaml у каталозі конфігурації.

Що бачить мій ISP, коли я використовую FreeGuard із увімкненим DNS-захистом?

Вони бачать зашифрований VPN-трафік до сервера FreeGuard. Вони не бачать самі DNS-запити, домени, які ви відвідуєте, або вміст — лише один зашифрований потік.

Чи бачить обраний публічний DNS-провайдер мої запити?

Так. Який би resolver ви не обрали (Cloudflare, Google, Quad9 тощо), він усе одно розв’язує запит, і до нього застосовується власна політика журналювання. Тунель приховує запит від вашого ISP і локальної мережі, але не від обраного вами resolver’а.

Чи журналює FreeGuard мої DNS-запити?

Ні. DNS-запити проходять через тунель і розв’язуються в реальному часі. Ми не зберігаємо журнали запитів. Загалом наша політика журналювання мінімальна; дивіться розділ Privacy.

Це DNS-over-HTTPS / DNS-over-TLS?

За замовчуванням на desktop використовуються провайдери DoH. На mobile запити проходять всередині VPN-тунелю (який сам по собі зашифрований), тож транспортне шифрування забезпечує VPN. У будь-якому разі запити не надсилаються у відкритому вигляді через вашу локальну мережу.

Чи вплине перемикання DNS-провайдерів на швидкість?

Зазвичай дуже мало. Cloudflare (1.1.1.1) і Google (8.8.8.8) широко розгорнуті та швидкі для більшості регіонів; Quad9 і AdGuard додають фільтрацію, що може додати кілька мілісекунд. Якщо помітите повільну роботу, перемкніться на інший варіант на екрані DNS Server.