Настройка DNS over HTTPS в Windows

[7rozen]

Что такое DNS?
DNS (Domain Name System) – это система, которая переводит понятные человеку доменные имена в IP-адреса, которые используют компьютеры для связи друг с другом. Представьте, что DNS – это как телефонная книга интернета. В обычной телефонной книге, если вам нужно найти номер телефона человека, вы ищете его по имени, и книга предоставляет вам номер. Точно так же DNS помогает находить IP-адреса, когда вы вводите доменное имя.
 

Подробнее: https://habr.com/ru/articles/818147/

 

Зачем нужен DNS over HTTPS (DoH)?

Обычно DNS запросы отправляются в открытом виде. Провайдер это видит и может подменять IP-адреса в ответах. Поскольку домены используются не только для сайта, но и для апдейтера и логин-сервера игры, в некоторых случаях вы можете видеть ошибки подключения к ним именно из-за этого.
 

Технология DNS over HTTPS позволяет шифровать DNS запросы по протоколу HTTPS и в этом случае провайдер не сможет подменять IP-адреса в ответах, для него это будет выглядеть как обычный зашифрованный HTTPS трафик.
 

Максимальный эффект вы получите от связки DoH + VPN/Прокси

Настройка DNS over HTTPS в Windows 11:

Скрытый текст

1. На панели задач жмем правой кнопкой мыши на значок сети, в появившемся контекстном меню выбираем "Параметры сети и Интернета".

2. В зависимости от вашего типа подключения выбираем Wi-Fi или Ethernet. Если пользуетесь обоими, то настраиваете для каждого отдельно.

 

3. Если выбрали Ethernet пропускаем этот пункт и сразу переходим к пункту 4. 
    Если выбрали Wi-Fi, то переходим в "Свойства оборудования".

 

4. В строке "Назначение DNS-сервера:" нажимаем на кнопку "Изменить"

 

5. В появившемся окне в выпадающем списке выбираем "Вручную", активируем переключатель IPv4.
В качестве предпочтильного DNS-сервера прописываем 8.8.8.8 от Google, в выпадающем списке DNS по протоколу HTTPS выбираем "Включено (автоматический шаблон)". 
В качестве дополнительного DNS-сервера прописываем 9.9.9.9 от Quad9 и снова в выпадающем списке DNS по протоколу HTTPS выбираем "Включено (автоматический шаблон)".
Затем нажимаем "Сохранить".

 

6. Если всё сделали правильно, то возле DNS-серверов будет написано "(зашифровано)".

Настройка DNS over HTTPS (подходит для всех версий Windows):

Скрытый текст

Посколько старые версии Windows не поддерживают DoH из коробки, нам нужно будет установить программу YogaDNS.

 

Скачиваем программу с официального сайта https://yogadns.com
Прямая ссылка: https://yogadns.com/download/YogaDNSSetup.exe

 

Запускаем YogaDNSSetup.exe и устанавливаем программу, нажимаем Next, соглашаемся с правилами "I accept the agreement", далее везде нажимаем Next (галочки не снимаем), далее Install и в конце Finish.

 

Затем программа автоматически запустится, если не запустилась, то запускаем с ярлыка на рабочем столе.

 

Далее появляется окно о программе, ставим галочку напротив "Don’t show on startup" и нажимаем ОК.

 

После появляется мастер конфигурации, если он не появился или вы случайно закрыли его, в строке меню выбираем Configuration ->  Configuration Wizard

 

В мастере конфигурации по умолчанию уже выбран Google DoH, нам нужно просто нажать Next, в следующем окне тоже Next и в конце OK.

 

На этом настройка DoH завершена.

 

[diesIrae]

24 минуты назад, 7rozen сказал:

Поскольку домены используются не только для сайта, но и для апдейтера и логин-сервера игры, в некоторых случаях вы можете видеть ошибки подключения к ним именно из-за этого.

Хм, а были ли такие случаи? 

Вроде, всё ещё актуальны две проблемы:

1) Логин пускает - гейм сервер не пускает. Оба сервера на одном ip, но разных портах. Что там происходит на участке между фасадом гейм сервера и реальным серверов - неизвестно, но DoH в этом случае всё равно бесполезен.

2) Дисконнект после логина на гейм сервер. В этом случае, после получения пары первичных пакетов с данными персонажа, сервер перестаёт отвечать клиенту. Из-за чего идёт отвал по таймауту. Но на этом этапе, клиент-сервер уже установили коннект по айпишнику и домен в этом процессе никак не участвует.

 

Кмк, это могло бы помочь только в случаях, когда апдейтер не может подключиться к серверу для проверки обновлений.

[7rozen]

1 час назад, diesIrae сказал:

Хм, а были ли такие случаи? 

Были, иначе бы этого гайда не было. Это видно в логах моего прокси-сервера 178.57.220.85, которым все пользуются.

Вот так выглядят нормальные подключения к логин-серверам (порт 2106):

Скрытый текст

[2026-04-05 13:08:28] [109.167.132.231]:50219 tcp connect to [146.59.8.223]:2106
[2026-04-05 13:08:55]  [2.61.217.109]:62698 tcp connect to [146.59.8.224]:2105
[2026-04-05 13:09:01]  [31.28.36.135]:59585 tcp connect to [95.183.13.236]:2106
[2026-04-05 13:09:40]  [176.98.174.24]:61840 tcp connect to [51.83.149.240]:2106
[2026-04-05 13:10:01]  [188.191.26.129]:53067 tcp connect to [51.83.190.84]:2106

В этом случае IP, которые клиенты присылают для подключения принадлежат астериосу.

А вот так выглядит явная провайдерская подмена:

Скрытый текст

[2026-04-03 15:58:17]  [31.171.196.2]:57574 tcp connect to [31.171.193.3]:2106
[2026-04-04 14:40:01]  [91.233.42.141]:50204 tcp connect to [10.100.0.114]:2106
[2026-04-04 19:40:18]  [185.141.77.150]:63001 tcp connect to [95.215.71.102]:2106
[2026-04-04 20:40:02]  [178.252.204.90]:57562 tcp connect to [178.252.252.9]:2106
[2026-04-05 08:57:43]  [46.31.26.166]:62981 tcp connect to [81.200.2.238]:2106
[2026-04-05 09:01:19]  [5.149.156.17]:58996 tcp connect to [178.236.130.73]:2106
[2026-04-05 09:02:25]  [72.56.78.126]:52748 tcp connect to [198.18.242.13]:2106
[2026-04-05 13:00:15]  [193.233.121.79]:60474 tcp connect to [10.11.13.200]:2106

 

Как видно по логам, IP, которые присылают клиенты принадлежат либо самим провайдерам, либо вообще не используются в интернете.
Вот полный список таких IP-адресов, которые не используются в интернете https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml

И в данном случае провайдеры развязали мне руки и я могу спокойно перенаправлять клиентов на реальные IP-адреса серверов астериоса.

Изменено 21 час назад пользователем 7rozen

[diesIrae]

окак. интересно.

Айпишники с примеров принадлежат всякой мелкой срани: ЭГС-Телеком, CityLine, Росин.тел, СУ29 телеком, maloco.

Цитата

[72.56.78.126]:52748 tcp connect to [198.18.242.13]:2106

А вот это вообще интересно, но возможно это был коннект с VPN'ом. 

 

В принципе, можно просто все коннекты на шестой порт перебрасывать на нужные айпишники, если коннект идёт куда-то вне списка. 

А с коннектами на порты гейм серверов такое дерьмо в логах есть?

[7rozen]

31 минуту назад, diesIrae сказал:

А вот это вообще интересно, но возможно это был коннект с VPN'ом. 

198.18.242.13 Да никакой это не коннект с VPN'ом, я же выше список на iana.org дал, там написано, что подсеть 198.18.0.0/15 используется для бенчмарков, то есть для тестирования сетей и в интернете не используется, в столбце Globally Reachable указано False. Провайдер просто наглым образом подменяет на IP-адрес, который вообще в интернете не используется, то есть вообще в никуда ведёт.

 

31 минуту назад, diesIrae сказал:

В принципе, можно просто все коннекты на шестой порт перебрасывать на нужные айпишники

Это не совсем правильно, поэтому я не буду этого делать. Сейчас я перенаправляю только те, что не используются в интернете. Правильнее будет если люди настроят DoH у себя в системе или если админы сами встроят DoH или любой другой протокол шифрования DNS в апдейтер и клиент. И еще по хорошему будет, если они в качестве транспорта в апдейтере будут использовать не HTTP, а HTTPS к примеру.
 

 

31 минуту назад, diesIrae сказал:

А с коннектами на порты гейм серверов такое дерьмо в логах есть?

Конечно нет. Если для получения списка IP-адресов логин-серверов игровой клиент использует 3 домена, то для гейм-серверов IP-адреса и порты присылает сам логин-сервер.

Но с апдейтером есть такие же проблемы, что и с логин-сервером.

Изменено 19 часов назад пользователем 7rozen

[7rozen]

Вы только не подумайте, что если включить DoH, то у вас волшебным образом всё сразу заработает. Перехват DNS-запросов это только один из факторов блокировки. DoH нужно использовать вместе с VPN/Прокси или AntiDPI, тогда можно будет избегать блокировок.

[CoCaColaCool]

сильно влияет на пинг ,многие уже ощутили игру на дагерах 

[Norimar]

Так каков итог этих шаманств? В игру пускает? И каков Пинг?