Private DNS resolver на VPS: Unbound, AdGuard Home и свой DNS без открытого resolver
Свой DNS на VPS нужен тем, кто хочет контролировать DNS-запросы, не зависеть полностью от DNS провайдера или роутера, блокировать рекламу и трекеры на уровне DNS, использовать свои правила для доменов и получить одинаковую DNS-политику на телефоне, ноутбуке, домашней сети или небольшой команде.
Чаще всего для такой задачи рассматривают два варианта: Unbound и AdGuard Home. Unbound — это рекурсивный кэширующий DNS resolver с DNSSEC-валидацией. AdGuard Home — это DNS-сервер с веб-интерфейсом, фильтрами, блокировкой рекламы, трекеров, статистикой и удобным управлением клиентами.
Главное, что нужно понять сразу: private DNS resolver не должен быть открытым для всего интернета. Если просто поставить DNS на VPS и открыть порт 53 для всех, вы получите open resolver. Это плохая практика. Такой сервер могут использовать для DNS amplification, мусорного трафика и abuse. Правильная схема — DNS доступен только вашим устройствам: через VPN, firewall, allowlist IP или защищенный туннель.
Что такое private DNS resolver
Private DNS resolver — это DNS-сервер, которым пользуетесь только вы, ваша семья, команда или ваши устройства. Он принимает DNS-запросы, кэширует ответы, применяет правила блокировки и возвращает результат клиентам.
В обычной схеме устройство использует DNS от провайдера, роутера, Google, Cloudflare, Quad9 или другого публичного DNS-сервиса. В private DNS-схеме вы поднимаете свой resolver на VPS и направляете DNS-запросы туда.
Практический смысл такого решения:
- свои DNS-правила;
- блокировка рекламы и трекеров на уровне DNS;
- единая политика для нескольких устройств;
- меньше зависимости от DNS провайдера интернета;
- кэширование частых запросов;
- локальные DNS-записи для своих сервисов;
- контроль логов и статистики;
- возможность связать DNS с личным VPN на VPS.
Но свой DNS — это не магия приватности. DNS resolver видит домены, которые запрашивают ваши устройства. Если вы сами администрируете сервер, вы контролируете эти данные. Но если VPS плохо защищен, открыт всем или настроен без понимания, он становится не преимуществом, а риском.
Кому нужен свой DNS на VPS
Private DNS resolver на VPS подходит не всем. Он полезен, когда есть конкретная задача, а не просто желание “поставить еще один сервис”.
- Вы хотите использовать один DNS для телефона, ноутбука и домашней сети.
- Вы уже используете личный VPN на VPS и хотите отдавать DNS через него.
- Вы хотите блокировать рекламу, трекеры и вредоносные домены на DNS-уровне.
- Вам нужны свои локальные записи: например,
panel.home,nas.local,crm.internal. - Вы хотите видеть, какие устройства делают DNS-запросы.
- Вы хотите отделить DNS от провайдера домашнего интернета.
- Вам нужен DNS для небольшой команды или семейной сети.
- Вы хотите использовать Unbound как независимый recursive resolver.
Если вам нужен просто быстрый DNS без администрирования, проще использовать публичные DNS-сервисы. Если нужен контроль, фильтрация, свои правила и связка с VPN, тогда VPS с Unbound или AdGuard Home имеет смысл.
Unbound или AdGuard Home: что выбрать
Unbound и AdGuard Home решают разные задачи. Их не нужно противопоставлять как “лучше” и “хуже”. Часто правильная схема — использовать оба.
Unbound хорош, когда нужен чистый recursive resolver: кэширование, DNSSEC, рекурсия, работа без передачи всех запросов одному upstream DNS-провайдеру. Он легкий, стабильный и хорошо подходит как backend resolver.
AdGuard Home хорош, когда нужен удобный веб-интерфейс, списки блокировки, статистика, правила для клиентов, parental-style ограничения, переписывание DNS-записей и понятное управление без редактирования конфигов вручную.
Практическая схема для VPS часто такая:
- AdGuard Home принимает DNS-запросы от ваших устройств.
- AdGuard Home применяет фильтры, блокировки и правила.
- AdGuard Home отправляет разрешенные запросы в Unbound.
- Unbound выполняет рекурсивное разрешение и кэширует ответы.
- Клиенты получают ответ через AdGuard Home.
Так вы получаете удобство AdGuard Home и независимость Unbound. Но если вам не нужны фильтры и веб-интерфейс, можно использовать только Unbound. Если вам нужны только блокировки и не важна собственная рекурсия, можно использовать только AdGuard Home с upstream DNS-серверами.
Почему нельзя открывать DNS resolver всем в интернет
Это главный блок статьи. Если его проигнорировать, настройка будет технически работать, но архитектурно будет вредной.
DNS использует UDP, а UDP легко применяют в amplification-атаках. Открытый recursive resolver может отвечать любому IP в интернете. Злоумышленник может подделывать исходный адрес жертвы, отправлять запросы на ваш resolver, а ответы будут уходить жертве. В итоге ваш VPS участвует в мусорном трафике, а провайдер получает abuse-жалобы.
Поэтому правило простое:
- не открывайте порт 53 на весь интернет;
- не делайте публичный recursive resolver;
- разрешайте DNS только своим IP, VPN-сети или локальному интерфейсу;
- админку AdGuard Home не оставляйте публичной;
- используйте firewall;
- проверяйте сервер внешним сканом после настройки.
Если вы хотите пользоваться DNS с телефона вне дома, лучший путь — сначала подключать телефон к своему VPN на VPS, а уже внутри VPN использовать private DNS. Так DNS не торчит наружу, а доступ есть только у ваших устройств.
Лучшая архитектура для private DNS на VPS
Для большинства пользователей правильная архитектура выглядит так:
- VPS с чистой Ubuntu или Debian.
- WireGuard или другой VPN для доступа устройств к серверу.
- AdGuard Home слушает DNS только на VPN-интерфейсе или localhost.
- Unbound слушает только localhost на отдельном порту.
- Firewall закрывает порт 53 с публичного интернета.
- Веб-интерфейс AdGuard Home доступен только через VPN или ограниченный IP.
- Клиенты получают DNS через VPN-профиль.
Эта схема надежнее, чем публичный DNS-over-HTTPS или DNS-over-TLS endpoint без ограничения доступа. Шифрование DNS не равно авторизация. Если endpoint доступен всему интернету и принимает запросы от всех, он все равно может быть open resolver, просто с другим транспортом.
Какая конфигурация VPS нужна для Unbound/AdGuard Home
Private DNS resolver — легкая задача по ресурсам, если речь о личном использовании, семье или небольшой команде. Здесь важнее стабильность сети и uptime, чем мощный CPU.
Минимальный вариант для личного DNS:
- 1 vCPU;
- 1 GB RAM;
- 10-20 GB SSD/NVMe;
- 1 публичный IPv4;
- Ubuntu 22.04/24.04 или Debian 12;
- стабильная сеть;
- возможность быстро переустановить ОС.
Комфортный вариант для семьи, VPN + DNS и нескольких устройств:
- 2 vCPU;
- 2 GB RAM;
- 20-40 GB SSD/NVMe;
- 1 публичный IPv4;
- локация рядом с пользователями;
- нормальный лимит трафика;
- резервные копии или snapshot перед крупными изменениями.
Если на том же VPS уже работает VPN, мониторинг, небольшой сайт или Docker-сервисы, лучше брать запас по RAM. DNS сам по себе легкий, но проблемы начинаются, когда на один минимальный VPS ставят все подряд.
Где размещать DNS: дома или на VPS
Есть два популярных варианта: DNS дома на мини-сервере или DNS на VPS. Оба имеют смысл.
Домашний DNS удобен, если все устройства находятся в одной сети. Например, AdGuard Home или Pi-hole стоит дома, а роутер раздает его как DNS всем клиентам. Минус — вне дома этот DNS недоступен без VPN в домашнюю сеть.
DNS на VPS удобен, если вы уже используете VPS как VPN-точку, работаете из поездок, подключаете несколько сетей или хотите независимый сервер с публичным IP. Минус — нужно правильно закрыть доступ, чтобы не получить open resolver.
Если задача — семейный VPN и единый DNS для устройств вне дома, VPS часто удобнее. Если задача — только блокировка рекламы дома, локальный DNS в домашней сети может быть проще.
Unbound как отдельный resolver
Unbound можно использовать как самостоятельный recursive DNS resolver. Он будет сам выполнять рекурсивное разрешение DNS-запросов, проверять DNSSEC при включенной валидации и кэшировать ответы.
Такой вариант подходит, если вам не нужны блокировки рекламы, веб-интерфейс и подробная статистика. Вы просто хотите свой resolver вместо DNS провайдера.
Пример логики настройки:
- установить Unbound;
- включить DNSSEC;
- разрешить запросы только от своих сетей;
- закрыть порт 53 с публичного интернета;
- настроить clients через VPN или allowlist;
- проверить, что чужие IP не могут использовать resolver.
Главное в Unbound — access-control. Если разрешить запросы всем, вы получите open resolver. Если разрешить только VPN-подсеть, локальную сеть или конкретные IP, это уже private resolver.
AdGuard Home как private DNS с фильтрацией
AdGuard Home удобен для пользователей, которым нужен понятный интерфейс. Через него можно смотреть запросы, добавлять blocklist, разрешать домены, создавать rewrite-записи, настраивать клиентов и быстро понимать, какое устройство делает много DNS-запросов.
Для личного или семейного использования это часто удобнее, чем чистый Unbound. Не нужно каждый раз править конфиги вручную, чтобы добавить домен в исключения или посмотреть статистику.
Типовые задачи AdGuard Home:
- блокировка рекламы и трекеров;
- фильтрация вредоносных доменов;
- разные правила для разных клиентов;
- DNS rewrite для внутренних сервисов;
- удобные логи запросов;
- управление allowlist и blocklist;
- использование upstream DNS или локального Unbound.
Но веб-интерфейс AdGuard Home нельзя оставлять открытым в интернет. Его нужно закрыть firewall, VPN, reverse proxy с авторизацией или хотя бы ограничить по IP. Лучше — доступ только через VPN.
Связка AdGuard Home + Unbound
Один из самых популярных вариантов для self-hosted DNS — AdGuard Home спереди и Unbound сзади.
В такой схеме:
- клиенты отправляют DNS-запросы в AdGuard Home;
- AdGuard Home блокирует рекламу, трекеры и нежелательные домены;
- разрешенные запросы уходят в Unbound на
127.0.0.1; - Unbound выполняет recursive DNS resolution;
- ответ возвращается клиенту через AdGuard Home.
Плюсы схемы:
- есть удобный веб-интерфейс;
- есть фильтрация;
- есть локальный recursive resolver;
- можно не отправлять все DNS-запросы одному публичному upstream;
- можно кэшировать частые запросы;
- легче диагностировать клиентов и правила.
Минусы схемы:
- чуть сложнее настройка;
- нужно следить за двумя сервисами;
- ошибка в firewall может открыть DNS наружу;
- первичные запросы через Unbound могут быть не быстрее публичных DNS из-за отсутствия готового большого кэша;
- нужно понимать, где именно возникла проблема: в AdGuard Home, Unbound, VPN или firewall.
Для пользователей, которые хотят “просто фильтрацию”, можно начать с AdGuard Home и публичных upstream DNS. Для тех, кто хочет именно свой resolver, лучше добавлять Unbound.
Почему свой DNS не всегда быстрее Cloudflare или Google DNS
Это важный момент. Многие думают, что свой DNS на VPS автоматически будет быстрее. Это не всегда так.
Публичные DNS-провайдеры имеют крупную инфраструктуру, Anycast, большие кэши и узлы во многих странах. Ваш VPS — это один сервер в одной локации. Первый запрос к редкому домену через Unbound может быть медленнее, потому что resolver выполняет рекурсию сам. Повторные запросы могут быть быстрыми из-за локального кэша.
Свой DNS выбирают не только ради скорости. Основные причины — контроль, фильтрация, свои правила, единая политика для устройств и независимость от DNS провайдера. Если вам нужен только минимальный latency, лучше тестировать несколько вариантов и выбирать по фактическим замерам.
Какой доступ к DNS выбрать для устройств
Есть несколько способов подключить устройства к private DNS на VPS.
DNS через VPN.
Это самый безопасный и понятный вариант. Устройства подключаются к VPS через WireGuard или другой VPN, а DNS-запросы идут на внутренний VPN-IP сервера. Порт 53 не открыт в публичный интернет.
DNS только для allowlist IP.
Можно разрешить доступ к DNS только с конкретных домашних или офисных IP. Минус — если IP динамический, доступ будет ломаться. Для мобильных устройств такой вариант неудобен.
DNS-over-HTTPS или DNS-over-TLS.
Это удобно для некоторых устройств, но endpoint нужно защищать и ограничивать. Просто открыть DoH/DoT на весь интернет — спорное решение, потому что сервер может стать публичной точкой DNS-запросов.
Локальный DNS дома + VPS как резерв.
Подходит тем, кто хочет быстрый DNS дома, но иметь запасной вариант на VPS. Схема сложнее, зато более гибкая.
Для большинства пользователей, которые покупают VPS под private DNS, лучший первый вариант — DNS через VPN.
Что нужно подготовить перед установкой
Перед установкой подготовьте:
- VPS с чистой Ubuntu или Debian;
- публичный IPv4;
- root-доступ или sudo-пользователь;
- решение, как клиенты будут подключаться: VPN, allowlist IP или другой способ;
- список устройств или сетей, которым нужен доступ;
- понимание, нужен ли AdGuard Home, Unbound или оба;
- домен для панели или DoH/DoT, если он реально нужен;
- доступ к панели VPS на случай ошибки firewall.
Не ставьте DNS resolver на сервер, где уже хаотично настроены VPN, Docker, firewall, панели, сайты и старые правила iptables, если вы не понимаете текущую сетевую схему. Для первого запуска лучше отдельный чистый VPS.
Базовая схема установки Unbound на Debian/Ubuntu
Ниже не полный production-конфиг, а логика, чтобы понимать процесс.
Установка Unbound:
apt update && apt install -y unbound dnsutils
Проверка сервиса:
systemctl status unbound
Пример безопасной идеи для private resolver: Unbound слушает localhost или VPN-интерфейс, а access-control разрешает только ваши сети.
Пример фрагмента конфига:
server:
interface: 127.0.0.1
interface: 10.8.0.1
access-control: 127.0.0.0/8 allow
access-control: 10.8.0.0/24 allow
access-control: 0.0.0.0/0 refuse
hide-identity: yes
hide-version: yes
qname-minimisation: yes
prefetch: yes
Здесь 10.8.0.0/24 — пример VPN-сети. У вас она может быть другой: например, 10.66.66.0/24, 10.7.0.0/24 или подсеть WireGuard.
После изменения конфига проверьте синтаксис и перезапустите сервис:
unbound-checkconf
systemctl restart unbound
Проверка DNS-запроса локально:
dig @127.0.0.1 example.com
Проверка через VPN-IP:
dig @10.8.0.1 example.com
Если запрос с VPN-клиента работает, а с внешнего интернета нет, схема настроена правильно.
Базовая схема установки AdGuard Home
AdGuard Home можно ставить напрямую на систему или через Docker. Для новичка прямой установщик часто проще, но Docker удобнее, если вы уже ведете сервисы через docker compose.
Общая логика:
- установить AdGuard Home;
- первично открыть веб-интерфейс только для настройки;
- создать админ-пользователя с сильным паролем;
- выбрать интерфейсы прослушивания;
- указать upstream DNS или локальный Unbound;
- включить нужные фильтры;
- закрыть панель управления от публичного интернета;
- разрешить DNS только через VPN или доверенные IP.
Если AdGuard Home используется вместе с Unbound, upstream DNS можно указать так:
127.0.0.1:5335
В этом случае Unbound лучше настроить на отдельный локальный порт, например 5335, чтобы AdGuard Home занимал порт 53 для клиентов.
Не включайте сразу десятки blocklist. Это частая ошибка. Чем больше списков, тем выше шанс сломать нормальные сайты, банковские приложения, авторизацию, оплату, push-уведомления или аналитику, которая нужна вашему бизнесу. Начните с умеренного набора фильтров и добавляйте правила постепенно.
Как закрыть DNS от внешнего интернета
Firewall — обязательная часть настройки. Пример для UFW, если DNS должен быть доступен только из VPN-сети:
ufw default deny incoming
ufw allow OpenSSH
ufw allow in on wg0 to any port 53 proto udp
ufw allow in on wg0 to any port 53 proto tcp
ufw enable
Если веб-интерфейс AdGuard Home работает на порту 3000 или 80, не открывайте его публично. Разрешите доступ только через VPN:
ufw allow in on wg0 to any port 3000 proto tcp
Или, если панель уже перенесена на другой порт:
ufw allow in on wg0 to any port 8080 proto tcp
Проверить правила:
ufw status verbose
Смысл правил: публичный интернет не должен видеть ваш DNS, а ваши устройства через VPN должны получать доступ.
Как проверить, что resolver не открыт всем
Проверка после установки важнее самой установки. Нужно убедиться, что сервер не стал open resolver.
Проверки с самого VPS:
dig @127.0.0.1 example.com
Проверки с VPN-клиента:
dig @VPN_DNS_IP example.com
Проверки с внешнего сервера, который не входит в ваш VPN:
dig @PUBLIC_VPS_IP example.com
Правильный результат: через localhost и VPN запрос работает, через публичный IP с чужого сервера — нет.
Также проверьте открытые порты:
ss -tulpn
Если DNS слушает 0.0.0.0:53, это не всегда ошибка, но тогда firewall обязан строго ограничивать доступ. Если вы новичок, безопаснее слушать только localhost и VPN-интерфейс.
Частые ошибки при настройке private DNS на VPS
Ошибка 1. Открыть порт 53 для всех.
Это самая опасная ошибка. Сервер может стать open resolver и получить abuse-жалобы. DNS должен быть доступен только вашим устройствам.
Ошибка 2. Открыть админку AdGuard Home в интернет.
Даже с паролем это плохая идея. Панель управления лучше держать за VPN или ограничивать по IP.
Ошибка 3. Ставить слишком много фильтров.
Большое количество списков может ломать сайты и приложения. Начинайте с базовых списков, а потом добавляйте правила по необходимости.
Ошибка 4. Не понимать разницу между recursion и forwarding.
Unbound может быть recursive resolver. AdGuard Home часто используется как frontend с фильтрацией и отправляет запросы upstream DNS. Это разные роли.
Ошибка 5. Считать, что свой DNS автоматически быстрее.
Не всегда. Публичные DNS имеют крупные кэши и Anycast. Свой DNS дает контроль и фильтрацию, а скорость нужно проверять по факту.
Ошибка 6. Не делать резервную копию конфигов.
AdGuard Home rules, rewrite-записи, allowlist, blocklist и конфиги Unbound лучше сохранять. Если VPS придется переустановить, восстановление будет проще.
Ошибка 7. Ставить DNS на перегруженный VPS.
DNS легкий, но если на VPS уже крутится тяжелый сайт, база, VPN, мониторинг и Docker, задержки могут появиться из-за общей нагрузки.
Что делать, если DNS не отвечает
Проверяйте по порядку, не ломая всю систему сразу.
- Проверьте, запущен ли сервис:
systemctl status unboundили статус AdGuard Home. - Проверьте, слушает ли сервер порт:
ss -tulpn. - Проверьте firewall:
ufw status verbose. - Проверьте запрос локально:
dig @127.0.0.1 example.com. - Проверьте запрос через VPN-IP.
- Проверьте, не указали ли клиенту неправильный DNS.
- Проверьте, не конфликтуют ли два сервиса за порт 53.
- Проверьте логи Unbound или AdGuard Home.
Если AdGuard Home и Unbound стоят вместе, частая проблема — оба пытаются слушать порт 53. В такой схеме обычно AdGuard Home слушает 53 для клиентов, а Unbound слушает localhost на другом порту, например 5335.
Что делать, если сайты открываются медленно
Медленный DNS может быть из-за VPS, рекурсии, плохого маршрута, тяжелых фильтров, медленного upstream, ошибки IPv6 или проблем на клиенте.
Проверьте:
- скорость ответа DNS через
dig; - задержку до VPS;
- нагрузку CPU и RAM;
- количество активных blocklist;
- логи блокировок в AdGuard Home;
- работу Unbound без AdGuard Home;
- работу AdGuard Home с другим upstream;
- поведение через VPN и без VPN.
Если через публичный DNS сайты открываются быстрее, это не значит, что свой DNS плохой. Возможно, у публичного DNS уже был ответ в большом кэше, а ваш Unbound выполнял рекурсию впервые. Сравнивать нужно не один запрос, а серию повторных запросов и реальное поведение устройств.
Логи DNS: хранить или отключить
Логи — полезны для диагностики, но это чувствительные данные. В DNS-логах видно, какие домены запрашивали ваши устройства. Для семьи и личного использования лучше не хранить логи бесконечно.
Практичный подход:
- включить логи на этапе настройки;
- проверить, какие домены блокируются;
- исправить false positive;
- уменьшить срок хранения логов;
- не давать доступ к панели посторонним;
- не публиковать скриншоты логов без очистки данных.
Если DNS используется для команды или клиентов, нужно заранее определить правила хранения логов и доступа к ним. Нельзя относиться к DNS-логам как к безобидной технической информации.
Нужен ли DNS-over-HTTPS или DNS-over-TLS
DoH и DoT шифруют DNS-трафик между клиентом и DNS-сервером. Это полезно, если DNS-запросы идут через недоверенную сеть. Но если ваши устройства сначала подключаются к VPN, а DNS идет внутри VPN-туннеля, отдельный DoH/DoT может быть не нужен.
Не усложняйте схему без причины. Для большинства личных сценариев проще и безопаснее сделать так:
- устройство подключается к VPN;
- VPN выдает внутренний DNS;
- DNS доступен только внутри VPN;
- публичный порт 53 закрыт;
- админка DNS закрыта за VPN.
DoH/DoT имеет смысл, если вы точно понимаете, как будете ограничивать доступ, выпускать сертификаты, обновлять их и защищать endpoint от публичного использования.
Резервирование DNS
Если вы укажете свой VPS как единственный DNS для всех устройств, при падении VPS у вас могут перестать открываться сайты. Интернет физически будет работать, но домены не будут резолвиться.
Для критичных сценариев стоит подумать о резерве:
- второй DNS resolver на другом VPS;
- локальный DNS дома как fallback;
- публичный DNS как временный backup;
- мониторинг доступности DNS;
- быстрый доступ к панели VPS для перезагрузки.
Для личного использования можно начать с одного VPS, но важно понимать зависимость. Если DNS нужен для всей семьи или команды, резервный план нужен заранее.
Какой VPS выбрать в HSTQ для private DNS
Для Unbound, AdGuard Home или связки AdGuard Home + Unbound подойдет VPS/VDS с публичным IPv4, чистой Ubuntu или Debian и стабильной сетью. Для личного DNS обычно достаточно небольшого тарифа, но если на том же сервере будет VPN и несколько устройств, лучше брать запас по RAM.
Для сценария “private DNS + VPN” лучше выбирать VPS в локации, которая ближе к основным пользователям. Если семья или команда в Европе, обычно логичны европейские локации. Если основная аудитория в Азии, нужно смотреть ближайшую азиатскую площадку. Для DNS важна не только страна IP, но и задержка до VPS.
Посмотреть VPS/VDS можно здесь: https://cp.hstq.net/store/vps-vds-nmve.
Если нужен свой DNS на VPS, при обращении в поддержку лучше сразу указать сценарий: только Unbound, только AdGuard Home, связка AdGuard Home + Unbound, доступ через VPN, количество устройств, желаемая локация и нужен ли перенос существующих правил блокировки.
Короткий практический вывод
Private DNS resolver на VPS — хорошее решение, если вам нужен контроль, фильтрация, свои правила и единая DNS-политика для нескольких устройств. Для простого resolver подходит Unbound. Для удобного интерфейса и блокировки рекламы подходит AdGuard Home. Для более гибкой схемы можно использовать AdGuard Home как frontend и Unbound как recursive backend.
Но главная граница безопасности простая: свой DNS не должен быть открытым для всего интернета. Закрывайте порт 53, используйте VPN, ограничивайте доступ firewall, не публикуйте админку AdGuard Home и проверяйте сервер после настройки. Иначе private DNS быстро превращается в публичный open resolver с abuse-рисками.
Правильная схема для большинства пользователей: небольшой VPS, чистая Ubuntu или Debian, VPN-доступ, AdGuard Home для фильтрации, Unbound для рекурсии, DNS только внутри VPN и закрытая панель управления. Так VPS дает реальный контроль, а не новую точку проблем.
