Как заставить Windows 11 использовать только DNS от IKEv2-сервера MikroTik
При подключении к VPN-серверу IKEv2 на базе MikroTik (RouterOS) с клиентом Windows 11 часто возникает проблема: операционная система продолжает использовать DNS-серверы, полученные по DHCP от локального маршрутизатора, игнорируя DNS, переданный в конфигурации подключения. Это приводит к утечке DNS-запросов и снижению безопасности. В отличие от мобильных устройств (Android, iOS), которые корректно применяют DNS от VPN, Windows 11 требует дополнительных настроек. В этой статье разберём причины и способы решения.
Почему Windows 11 игнорирует DNS от IKEv2?
Основная причина - приоритет DNS-серверов в Windows. Когда активен интерфейс VPN, система по умолчанию использует DNS от всех активных сетевых адаптеров, включая физический (Ethernet или Wi-Fi). Метрика маршрута для VPN (26) ниже, чем для физического интерфейса (4200), но это влияет только на маршрутизацию трафика, а не на выбор DNS. В Windows 11 нет встроенного механизма автоматического отключения локальных DNS при подключении IKEv2, если сервер не передаёт настройку split DNS.
Настройка MikroTik для принудительной передачи DNS
Убедитесь, что в конфигурации IKEv2 на MikroTik в разделе mode config правильно указан статический DNS. Это должен быть IP-адрес самого роутера в подсети, из которой выдаются адреса клиентам VPN. Пример команды в терминале RouterOS:
/ip ipsec mode-config add name=IKEv2-config address-pool=vpn-pool split-nclude=0.0.0.0/0 static-dns=192.168.100.1Параметр split-nclude=0.0.0.0/0 указывает, что весь трафик должен идти через VPN (туннель). Убедитесь, что split-dns не используется, так как он может переопределить настройки DNS.
Способы исправления на стороне Windows 11
Способ 1: Изменение метрики DNS через реестр
Этот метод заставляет Windows игнорировать DNS от интерфейсов с более высокой метрикой. Откройте редактор реестра (regedit) и перейдите к:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersСоздайте параметр DWORD DisableDHCPMediaSense со значением 1. Затем перейдите к:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\LinkageНайдите параметр Bind и удалите из списка строки, соответствующие физическому интерфейсу (обычно начинаются с \Device\...Ethernet или ...WiFi). Перезагрузите компьютер.
Способ 2: Блокировка DNS-запросов через брандмауэр
Создайте правило в брандмауэре Windows, которое блокирует исходящие DNS-запросы (UDP-порт 53) для всех интерфейсов, кроме VPN. Это принудительно заставит систему использовать только DNS от IKEv2. Правило должно разрешать трафик только для IP-адреса DNS-сервера MikroTik (например, 192.168.100.1).
Способ 3: Использование PowerShell для сброса DNS при подключении
Напишите скрипт, который при установке VPN-соединения очищает кэш DNS и отключает DNS-клиент для физического интерфейса. Пример команды для отключения DNS на интерфейсе Ethernet:
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ResetServerAddressesЗатем при разрыве VPN верните настройки обратно. Это можно автоматизировать через планировщик задач.
Почему телефоны работают, а Windows - нет?
Мобильные операционные системы (Android, iOS) имеют более строгую политику безопасности: при активном VPN они блокируют все DNS-запросы, кроме тех, что направлены на DNS, переданный VPN-сервером. Windows 11, напротив, использует DNS over all interfaces (DNS через все интерфейсы), что является уязвимостью. В Windows 10 была опция Use Windows DNS only over VPN в настройках VPN-подключения, но в Windows 11 эта настройка часто скрыта или не работает корректно.
Дополнительные рекомендации
- Проверьте, что на физическом интерфейсе не включено автоматическое получение DNS через DHCP - если возможно, задайте статический DNS (например, 8.8.8.8) временно, чтобы исключить конфликт.
- Обновите драйверы сетевой карты и установите последние обновления Windows 11 - иногда Microsoft исправляет поведение DNS в патчах.
- Рассмотрите использование сторонних VPN-клиентов (например, OpenVPN или WireGuard), которые корректно обрабатывают DNS в Windows 11.
Следуя этим инструкциям, вы сможете добиться того, чтобы Windows 11 при активном IKEv2 использовала только DNS от сервера MikroTik, обеспечивая полное туннелирование трафика и защиту от утечек.