«Эта сеть блокирует зашифрованный DNS-трафик» — как исправить
Что означает «Эта сеть блокирует зашифрованный DNS-трафик»?
Когда вы видите «Эта сеть блокирует зашифрованный DNS-трафик» в настройках Wi-Fi, это означает, что ваше устройство пыталось отправить DNS-запросы через зашифрованный канал, но сеть это заблокировала. Устройство переключается на отправку DNS-запросов в незашифрованном виде, что означает, что любой в той же сети потенциально может видеть, какие сайты вы посещаете.
Apple ввела это предупреждение о конфиденциальности в iOS 14 (выпущена в сентябре 2020 года) и соответствующей macOS Big Sur. Оно появляется в Настройки > Wi-Fi > [имя сети] как «Предупреждение о конфиденциальности» на iPhone и iPad, или в Системные настройки > Wi-Fi > Подробнее на Mac.
Само предупреждение не нарушает работу интернет-соединения. Ваше устройство по-прежнему разрешает доменные имена и загружает сайты нормально — просто делает это без дополнительного уровня конфиденциальности, который обеспечивает зашифрованный DNS.
Что такое зашифрованный DNS-трафик?
Каждый раз, когда вы посещаете сайт, ваше устройство отправляет DNS-запрос для преобразования доменного имени (например, dnsrobot.net) в IP-адрес. Традиционный DNS отправляет эти запросы открытым текстом через порт 53 — полностью без шифрования. Это означает, что ваш интернет-провайдер, сетевой администратор или любой человек в той же Wi-Fi сети может видеть каждый домен, который вы запрашиваете.
Зашифрованный DNS оборачивает эти запросы в шифрование, точно так же, как HTTPS защищает веб-трафик. Вместо отправки dns-query: dnsrobot.net открытым текстом, ваше устройство шифрует запрос так, что только DNS-сервер может его прочитать.
Существует два основных протокола зашифрованного DNS, которые поддерживают устройства Apple:
DNS-over-HTTPS (DoH) — отправляет DNS-запросы через HTTPS на порту 443, делая их неотличимыми от обычного веб-трафика
DNS-over-TLS (DoT) — отправляет DNS-запросы через TLS-соединение на выделенном порту 853, обеспечивая шифрование с чёткой границей протокола
По данным Cloudflare Radar, внедрение зашифрованного DNS значительно выросло с 2020 года: DoH обрабатывает более 25% всех DNS-запросов крупных публичных резолверов по состоянию на 2025 год. Apple, Google и Mozilla продвигают зашифрованный DNS как стандарт по умолчанию в своих экосистемах.
DoH и DoT: в чём разница
Оба протокола шифруют ваши DNS-запросы, но работают по-разному. Понимание разницы поможет вам выбрать правильное решение при исправлении проблемы блокировки.
| Характеристика | DNS-over-HTTPS (DoH) | DNS-over-TLS (DoT) |
|---|---|---|
| Порт | 443 (общий с HTTPS) | 853 (выделенный) |
| Видимость | Смешивается с веб-трафиком — сложно обнаружить | Использует отдельный порт — легко идентифицировать |
| Сложность блокировки | Очень трудно заблокировать без нарушения HTTPS | Легко заблокировать фильтрацией порта 853 |
| Поддержка браузерами | Chrome, Firefox, Safari, Edge | Ограниченная поддержка браузерами |
| Поддержка ОС | iOS 14+, macOS Big Sur+, Android 9+, Windows 11 | iOS 14+, macOS Big Sur+, Android 9+ |
| Скорость | Немного медленнее (накладные расходы HTTPS) | Немного быстрее (более лёгкая TLS-обёртка) |
| Лучше подходит для | Обхода сетевых ограничений | Выделенного шифрования DNS |
Когда сеть блокирует зашифрованный DNS, обычно сначала блокируется DoT, потому что порт 853 легко идентифицировать и отфильтровать. DoH труднее заблокировать, так как он использует тот же порт 443, что и весь HTTPS-трафик — его блокировка нарушит работу всех защищённых сайтов. Некоторые сети блокируют оба протокола, используя глубокую инспекцию пакетов (DPI) для обнаружения и отбрасывания DNS-запросов независимо от порта.
Почему сети блокируют зашифрованный DNS?
Не вся блокировка зашифрованного DNS является вредоносной. Существует несколько обоснованных причин, по которым сеть может блокировать или вмешиваться в зашифрованный DNS-трафик:
Корпоративные сети — IT-отделы блокируют зашифрованный DNS для обеспечения политик безопасности, фильтрации контента и обнаружения угроз. Им нужна видимость DNS-запросов для блокировки вредоносных доменов и предотвращения утечки данных
Маршрутизаторы с родительским контролем — Маршрутизаторы со встроенным родительским контролем (например, Netgear Armor или ASUS AiProtection) перехватывают DNS-запросы для фильтрации категорий контента. Зашифрованный DNS обходит эти фильтры
Фильтрация контента провайдером — Некоторые интернет-провайдеры используют DNS-фильтрацию для соблюдения государственных правил или блокировки известных вредоносных сайтов. Зашифрованный DNS делает эту фильтрацию невозможной
Порталы авторизации публичных Wi-Fi — Отели, аэропорты и кафе используют перехват DNS для перенаправления на страницу входа. Зашифрованный DNS нарушает этот механизм перенаправления
Устаревшая прошивка маршрутизатора — Старые маршрутизаторы могут не понимать пакеты зашифрованного DNS и отбрасывать их как повреждённый трафик, даже без намеренной блокировки
Pi-hole и AdGuard Home — DNS-блокировщики рекламы должны видеть ваши DNS-запросы для фильтрации рекламы. Они блокируют зашифрованный DNS к внешним серверам, чтобы все запросы шли через локальный фильтр
Самая распространённая причина для домашних пользователей — просто устаревшая прошивка маршрутизатора, которая неправильно обрабатывает пакеты зашифрованного DNS. Обновление прошивки часто решает проблему без каких-либо других изменений.
Как исправить на iPhone и iPad (iOS/iPadOS)
Эти исправления расположены от самого простого к самому тщательному. Начните с исправления 1 и продвигайтесь дальше, пока предупреждение не исчезнет.
Исправление 1: перезагрузите устройство и маршрутизатор
Простая перезагрузка очищает кэшированные сетевые состояния на устройстве и маршрутизаторе. Это решает проблему примерно в 30–40% случаев, особенно после автоматического обновления прошивки маршрутизатора или технического обслуживания провайдера.
iPhone/iPad: удерживайте боковую кнопку + кнопку громкости > сдвиньте для выключения > подождите 30 секунд > включите
Маршрутизатор: отключите кабель питания > подождите 30 секунд > подключите обратно > подождите 2 минуты для полной загрузки
После перезагрузки обоих устройств перейдите в Настройки > Wi-Fi и нажмите на имя вашей сети. Проверьте, осталось ли сообщение «Предупреждение о конфиденциальности».
Исправление 2: забудьте и заново подключитесь к сети Wi-Fi
Удаление сети сбрасывает всю сохранённую конфигурацию (включая кэшированные настройки DNS) и заставляет устройство установить новое подключение.
# Путь в iOS:
Настройки > Wi-Fi > нажмите (i) рядом с именем сети > Забыть эту сеть > Подтвердить
# Затем подключитесь заново:
Настройки > Wi-Fi > выберите вашу сеть > введите парольИсправление 3: обновите iOS/iPadOS до последней версии
Apple регулярно улучшает обработку зашифрованного DNS в обновлениях iOS. Ранние версии (iOS 14.0–14.3) имели известные проблемы с ложными предупреждениями и нестабильным согласованием DoH/DoT.
Перейдите в Настройки > Основные > Обновление ПО и установите все доступные обновления. По состоянию на март 2026 года iOS 18 включает улучшенное резервное поведение зашифрованного DNS и лучшую совместимость с корпоративными сетями.
Исправление 4: настройте DNS-серверы вручную
Если DNS вашего маршрутизатора не поддерживает шифрование, вы можете переопределить его на уровне устройства, установив публичный провайдер зашифрованного DNS.
# Путь настройки DNS в iOS:
Настройки > Wi-Fi > нажмите (i) рядом с сетью > Настройка DNS > Вручную
# Удалите существующие DNS-серверы, затем добавьте:
# Для Cloudflare (самый быстрый, ориентирован на конфиденциальность):
1.1.1.1
1.0.0.1
# Для Google (надёжный, глобальный охват):
8.8.8.8
8.8.4.4
# Для Quad9 (встроенная блокировка вредоносных сайтов):
9.9.9.9
149.112.112.112Это указывает вашему iPhone отправлять DNS-запросы на указанные серверы вместо тех, что назначены сетью через DHCP. Обратите внимание, что эта настройка действует для каждой сети — нужно настраивать отдельно для каждой Wi-Fi сети.
Исправление 5: сбросьте сетевые настройки
Если ни одно из вышеперечисленных исправлений не помогло, сброс сетевых настроек удалит все сохранённые Wi-Fi сети, конфигурации VPN и настройки сотовой связи, предоставив устройству полностью чистое сетевое состояние.
# iOS 16+:
Настройки > Основные > Перенос или сброс iPhone > Сброс > Сбросить настройки сети
# iOS 15 и ранее:
Настройки > Основные > Сброс > Сбросить настройки сетиПосле сброса устройство перезагрузится. Вам нужно будет заново подключиться ко всем Wi-Fi сетям и ввести пароли. Профили VPN также потребуется перенастроить.
Как исправить на Mac (macOS)
То же предупреждение отображается на Mac в Системные настройки > Wi-Fi > Подробнее (macOS Ventura и новее) или Системные настройки > Сеть > Wi-Fi > Дополнительно (более ранние версии). У пользователей Mac есть дополнительные возможности помимо того, что предлагает iOS.
Смена DNS на Mac через Системные настройки
macOS позволяет установить DNS-серверы глобально, что применяется ко всем сетям.
# macOS Ventura+ (Системные настройки):
Системные настройки > Wi-Fi > Подробнее (рядом с сетью) > вкладка DNS
Удалите существующие серверы, добавьте: 1.1.1.1 и 1.0.0.1
# Альтернативно, через Терминал:
sudo networksetup -setdnsservers Wi-Fi 1.1.1.1 1.0.0.1
# Проверьте изменение:
networksetup -getdnsservers Wi-Fi
# Ожидаемый результат:
# 1.1.1.1
# 1.0.0.1Очистка кэша DNS на Mac
После смены DNS-серверов очистите локальный кэш DNS, чтобы Mac немедленно начал использовать новые серверы.
# macOS Ventura / Sonoma / Sequoia:
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
# Проверьте, что DNS-разрешение работает:
nslookup dnsrobot.net 1.1.1.1
# Должно вернуть: Address: 195.250.20.4Как исправить на маршрутизаторе
Исправление проблемы на уровне маршрутизатора — лучшее долгосрочное решение, так как оно применяется ко всем устройствам в сети. Вот два наиболее эффективных решения на уровне маршрутизатора.
Обновите прошивку маршрутизатора
Устаревшая прошивка — самая распространённая причина блокировки зашифрованного DNS в домашних сетях. Производители маршрутизаторов выпустили обновления прошивки для правильной обработки трафика DoH и DoT.
ASUS: Панель администратора маршрутизатора (192.168.1.1) > Администрирование > Обновление прошивки > Проверить наличие обновлений
TP-Link: tplinkwifi.net > Системные инструменты > Обновление прошивки (или используйте приложение Tether)
Netgear: routerlogin.net > Администрирование > Обновление прошивки > Проверить онлайн
Linksys: 192.168.1.1 > Подключение > Обновление прошивки маршрутизатора
Смена DNS-серверов на маршрутизаторе
Смена DNS на уровне маршрутизатора означает, что каждое устройство в вашей сети (телефоны, ноутбуки, смарт-телевизоры, IoT-устройства) автоматически будет использовать быстрые зашифрованные DNS-серверы.
# Типичная настройка DNS маршрутизатора:
# 1. Откройте панель администратора: http://192.168.1.1 или http://192.168.0.1
# 2. Перейдите в: Настройки WAN > Конфигурация DNS
# 3. Измените с «Получить от провайдера» на «Вручную»
# 4. Введите DNS-серверы:
Основной DNS: 1.1.1.1 (Cloudflare)
Дополнительный DNS: 8.8.8.8 (Google)
# Альтернатива: Quad9 с блокировкой вредоносных сайтов
Основной DNS: 9.9.9.9
Дополнительный DNS: 149.112.112.112
# 5. Сохраните и перезагрузите маршрутизаторПосле изменения DNS маршрутизатора все устройства в сети будут использовать новые серверы. Предупреждение о зашифрованном DNS должно исчезнуть на ваших устройствах Apple в течение нескольких минут после повторного подключения.
Лучшие DNS-серверы с поддержкой шифрования
Не все DNS-серверы поддерживают DoH или DoT. Если вы меняете DNS для устранения предупреждения о зашифрованном DNS, выберите провайдера, изначально поддерживающего шифрование.
| Провайдер | IPv4 основной | IPv4 дополнительный | DoH | DoT | Особенности |
|---|---|---|---|---|---|
| Cloudflare | 1.1.1.1 | 1.0.0.1 | Да | Да | Самый быстрый (11 мс), конфиденциальность |
| Google Public DNS | 8.8.8.8 | 8.8.4.4 | Да | Да | Самый надёжный, глобальный anycast |
| Quad9 | 9.9.9.9 | 149.112.112.112 | Да | Да | Блокировка вредоносных сайтов, некоммерческий |
| Cloudflare Family | 1.1.1.3 | 1.0.0.3 | Да | Да | Блокирует вредоносное ПО + взрослый контент |
| AdGuard DNS | 94.140.14.14 | 94.140.15.15 | Да | Да | Блокирует рекламу + трекеры |
| NextDNS | Пользовательский | Пользовательский | Да | Да | Настраиваемая фильтрация, аналитика |
Все перечисленные провайдеры поддерживают DoH и DoT, что означает, что устройства Apple будут автоматически использовать зашифрованный DNS при настройке этих серверов. Cloudflare и Google — самые безопасные варианты для максимальной совместимости.
Как проверить, что зашифрованный DNS работает
После применения исправлений убедитесь, что ваши DNS-запросы действительно шифруются. Вот методы для каждой платформы.
Проверка на iPhone/iPad
На iOS самый простой способ проверки — само предупреждение:
Перейдите в Настройки > Wi-Fi и нажмите (i) рядом с именем вашей сети
Если сообщение «Предупреждение о конфиденциальности» / «Эта сеть блокирует зашифрованный DNS-трафик» исчезло, шифрование работает
Вы также можете посетить 1.1.1.1/help в Safari — там показано, используете ли вы DoH/DoT и какой DNS-резолвер обрабатывает ваши запросы
Проверка на Mac
На macOS вы можете использовать Терминал для проверки DNS-разрешения и статуса шифрования.
# Проверьте, какие DNS-серверы активны:
scutil --dns | grep nameserver
# Проверьте DNS-разрешение через Cloudflare DoH:
curl -s -H 'accept: application/dns-json' 'https://1.1.1.1/dns-query?name=dnsrobot.net&type=A' | python3 -m json.tool
# Проверьте, работает ли DoH через тестовую страницу Cloudflare:
open https://1.1.1.1/helpКогда это предупреждение нормально (и его можно игнорировать)
Предупреждение о зашифрованном DNS не всегда является проблемой, которую нужно исправлять. В некоторых ситуациях сеть намеренно блокирует зашифрованный DNS по обоснованным причинам безопасности.
Корпоративные/офисные сети — IT-отдел вашей компании блокирует зашифрованный DNS для мониторинга вредоносного ПО и обеспечения политик безопасности. Это стандартная практика, и это не означает, что ваши данные в опасности — сама сеть управляется и защищена
Школьные/университетские сети — Учебные заведения блокируют зашифрованный DNS для фильтрации контента, требуемой нормативными актами
Пользователи Pi-hole или AdGuard Home — Если вы используете локальный DNS-блокировщик рекламы, он намеренно блокирует зашифрованный DNS к внешним серверам для фильтрации рекламы. Это предусмотренное поведение
Wi-Fi отелей и аэропортов — Эти сети используют порталы авторизации, требующие перехвата DNS для перенаправления на страницу входа. Предупреждение будет отображаться, пока вы не пройдёте аутентификацию
В таких случаях вы можете спокойно продолжать пользоваться сетью. Ваши DNS-запросы не зашифрованы, но сама сеть обеспечивает уровень управления и безопасности, который компенсирует это. Основной риск незашифрованного DNS — в ненадёжных публичных сетях, где кто-то может подслушать ваши запросы.
Часто задаваемые вопросы
Проверьте вашу конфигурацию DNS сейчас
Используйте бесплатный инструмент DNS Lookup от DNS Robot для проверки DNS-записей, состояния распространения и корректной работы DNS-серверов.
Try DNS LookupFrequently Asked Questions
Это означает, что ваша Wi-Fi сеть не позволяет устройству Apple использовать DNS-over-HTTPS (DoH) или DNS-over-TLS (DoT) для шифрования DNS-запросов. Интернет продолжает работать, но DNS-запросы отправляются открытым текстом, что означает, что другие в сети могут видеть, какие сайты вы посещаете.