Корпоративный DNS-фильтр на Pi-hole и WireGuard: как мы защитили 500 устройств школы за 60 тысяч рублей
Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. Сегодня хочу поделиться одним очень полезным кейсом, который, я уверен, пригодится как обычным офисам, так и образовательным учреждениям. Расскажу, как с помощью двух абсолютно бесплатных программ — Pi-hole и WireGuard — можно выполнить все требования по контентной фильтрации, надёжно защитить ваши устройства от вредоносных сайтов и при этом не потратить ни копейки на дорогие коммерческие лицензии. Звучит здорово, правда?
Зачем компании или школе DNS-фильтрация
Когда мне нужно объяснить руководителю, что же такое этот DNS-фильтр, я всегда привожу простое сравнение — это как справочная служба. Вот смотрите: ваш компьютер, перед тем как открыть любой сайт, всегда обращается к DNS-серверу с вопросом: «А какой IP у google.com?» Сервер, конечно же, даёт ответ, и тогда устройство спокойно устанавливает соединение. А вот DNS-фильтр работает как такая очень избирательная справочная: про «полезные» сайты он расскажет всё честно, а если вы спросите про «вредный», то он хитро подсунет ложный IP. И что в итоге? Сайт просто не откроется, и никаких проблем!
Зачем это нужно бизнесу или школе:
- Защита от вредоносных сайтов. Сотрудник кликает по фишинговой ссылке в письме — DNS-фильтр блокирует домен злоумышленника, заражения не происходит.
- Блокировка вредоносного контента. Школы по 436-ФЗ обязаны фильтровать запрещённый контент. Без фильтра не пройдёшь проверку прокуратуры.
- Контроль использования рабочего времени. Компания может закрыть доступ к развлекательным сайтам с рабочих компьютеров. Не панацея, но снижает соблазн.
- Блокировка рекламы. Рекламные сети заметно нагружают канал и часто становятся источником вредоносного кода. Блокировка ускоряет работу браузеров и снижает риск.
- Журнал DNS-запросов. Если случилось ЧП, можно посмотреть, на какие сайты ходил сотрудник или ученик. Это требование 436-ФЗ для школ.
Кейс: школа на 500 устройств без бюджета на коммерческие решения
Помню, как в марте 2026 года к нам обратился директор школы «ОбразованиеПлюс». У него была, к сожалению, очень типичная для всего образования проблема. Представьте: 500 устройств — это и целые компьютерные классы, и ноутбуки у учителей, и планшеты у администрации, да ещё и планшеты в библиотеке. И при этом — полное отсутствие какой-либо контентной фильтрации! А тут ещё после недавней проверки прокуратуры им прилетело предписание: всё это безобразие нужно было исправить всего за месяц. Ситуация, конечно, была горячая.
Дополнительные вводные:
- Сеть построена на Mikrotik RB4011, разделена на три VLAN: учителя, ученики, администрация.
- 30 преподавателей работают из дома и подключаются к школьным ресурсам через TeamViewer.
- Бюджет — крайне ограниченный. SkyDNS, Kaspersky Safe Kids и другие коммерческие решения отпали по стоимости (от 200 тыс. руб. в год за такое количество устройств).
- Нужен был журнал DNS-запросов с возможностью посмотреть историю по конкретному устройству — для отчётов прокуратуре.
Я сразу предложил вот такое решение: использовать Pi-hole в качестве DNS-фильтра, WireGuard — как VPN для наших удалённых учителей, ну а Unbound будет работать как собственный рекурсивный резолвер, чтобы обеспечить максимальную приватность.
Что мы развернули и почему именно эти три инструмента
Каждый компонент тут отвечает за своё.
| Компонент | Роль | Альтернативы |
|---|---|---|
| Pi-hole | DNS-фильтр и журнал запросов | SkyDNS (платно), AdGuard Home (тоже бесплатный) |
| WireGuard | VPN для удалённых учителей, чтобы и они шли через школьный фильтр | OpenVPN (тяжелее), L2TP (старше) |
| Unbound | Собственный рекурсивный DNS, чтобы Google и Cloudflare не видели запросы школы | BIND (сложнее), Knot (для крупных провайдеров) |
| Mikrotik RouterOS | Принудительная маршрутизация всего DNS-трафика на Pi-hole, блокировка обхода через DoH | OPNsense, pfSense (если уже есть) |
Самое классное, что все эти программы абсолютно бесплатные, у них открытый код, и их уже успешно обкатали тысячи организаций по всему миру. Для школы это просто идеальное комбо: никаких ноль рублей за лицензии, мы получаем полный контроль над всеми данными, и что важно — ни один DNS-запрос не уходит «на сторону». Полная безопасность и экономия!
Как мы это разворачивали — по шагам, без перегруза
- Выделили под Pi-hole мини-сервер. Достаточно слабенькой машины: 2 ядра, 2 ГБ оперативной памяти, 50 ГБ диска. У нас была старая VM на гипервизоре — поставили туда. На рынке подходит и Raspberry Pi 4, отсюда и название.
- Запустили Pi-hole в Docker-контейнере. Это упрощает обновления и резервное копирование.
- Подключили списки блокировки. Базовый Steven Black список (около 130 тысяч доменов), плюс специализированные списки против азартных игр, контента 18+, фейковых новостей. В сумме — 847 тысяч заблокированных доменов.
- Создали белый список образовательных ресурсов. uchi.ru, foxford.ru, resh.edu.ru, sferum.ru, всё что нужно для учебного процесса. Иначе фильтр случайно блокирует то, что нельзя блокировать.
- Настроили три группы пользователей. Ученики — строжайшая фильтрация, без соцсетей и развлечений. Учителя — умеренная, соцсети разрешены, контент 18+ заблокирован. Администрация — минимальная, только защита от вредоносов и контента 18+.
- Подключили Unbound. Это собственный рекурсивный резолвер, который ходит напрямую к корневым DNS-серверам интернета. Запросы школы не уходят к Google или Cloudflare.
- Настроили Mikrotik как «принудительный» маршрутизатор DNS. Все DNS-запросы внутри школьной сети редиректятся на Pi-hole, обход через настройку «своего DNS» на устройстве не работает. Заблокировали известные серверы DNS over HTTPS — Google, Cloudflare, NextDNS.
- Развернули WireGuard для удалённых учителей. 30 преподавателей получили личные конфигурационные файлы, при подключении из дома весь их DNS-трафик идёт через школьный Pi-hole.
- Настроили еженедельные отчёты. Каждое воскресенье директор школы получает в Telegram сводку: сколько было запросов, сколько заблокировано, топ заблокированных доменов, активность по группам.
Развёртывание всего этого дела «под ключ» заняло у нас всего 11 рабочих дней. Над проектом трудились два наших инженера: старший специалист отвечал за настройку и запуск Pi-hole, Unbound и WireGuard, а средний инженер занимался Mikrotik и потом лично развозил все необходимые конфиги учителям.
Что получилось через первый месяц
Школа отчиталась прокуратуре, проверка закрыта. Технические показатели за первые тридцать дней:
| Показатель | Значение |
|---|---|
| DNS-запросов в сутки | ≈ 180 000 |
| Заблокировано в сутки | ≈ 32 000 (около 18 %) |
| Доменов в чёрных списках | 847 293 |
| Среднее время ответа DNS | 4 мс из кэша / 85 мс при первом запросе |
| Активных подключений учителей по VPN | 22 из 30 |
| Жалоб на ложные блокировки | 8 за месяц (все исправлены добавлением в белый список) |
Кстати, учителя сразу заметили, что браузеры теперь просто летают! И это вовсе не какая-то магия: просто за первый месяц Pi-hole смог заблокировать около миллиона рекламных трекеров, которые раньше безбожно подгружались на каждой открываемой странице, замедляя работу.
Сколько это стоило школе
Теперь финансовая часть — то, ради чего всё и затевалось. Полный расчёт по апрелю 2026 года, с НДС:
| Статья расходов | Сумма |
|---|---|
| Аудит сети и проектирование | 12 000 ₽ |
| Установка Pi-hole + Unbound | 15 000 ₽ |
| Настройка WireGuard, генерация конфигов 30 учителей | 14 000 ₽ |
| Перенастройка Mikrotik (VLAN-политики, блокировка DoH) | 10 000 ₽ |
| Документация и обучение администратора школы | 9 000 ₽ |
| Итого первичные работы | 60 000 ₽ |
| Ежемесячное сопровождение (обновление списков, разбор жалоб) | 5 500 ₽/мес |
Просто для сравнения: если бы они выбрали коммерческое решение, например, SkyDNS Школа на те же 500 устройств, то это обошлось бы им примерно в 280 000 руб. в год. А теперь посчитайте: за три года использования экономия составит около 800 000 руб. Чувствуете разницу?
Где этот же подход работает помимо школ
За последние два года мы развернули похожие решения в десятке организаций. Делюсь, кому это подходит:
- Образовательные учреждения. Школы, колледжи, кружки. Прямое требование 436-ФЗ + защита детей от опасного контента.
- Офисы среднего бизнеса. 30–200 рабочих мест. Защита от вредоносных сайтов, блокировка рекламы, базовый контроль использования времени.
- Производственные предприятия. Цеха с компьютерами на рабочих местах, где интернет нужен только для конкретных задач. Жёсткая фильтрация всего лишнего.
- Гостиницы и общественные Wi-Fi. Защита гостей от вредоносных сайтов + соблюдение требований 152-ФЗ о персональных данных.
- Семьи с детьми. Один из наших клиентов поставил Pi-hole домой — отзывы хорошие.
Подводные камни, о которых редко пишут
И сразу про грабли, на которые мы наступали:
- Резервирование критично. Если упадёт единственный DNS-сервер, в сети сразу пропадает интернет. Всегда ставим второй Pi-hole или прописываем резервный DNS в DHCP.
- Списки блокировки имеют ложные срабатывания. Первые две недели после запуска регулярно прилетают жалобы «не открывается такой-то нужный сайт». Нужен инженер, готовый оперативно править белые списки.
- DNS over HTTPS — главный обход. Современные браузеры умеют его использовать в обход системного DNS. Без блокировки на уровне роутера фильтр обходится за 30 секунд. Это самое сложное место настройки.
- Журнал DNS-запросов — это персональные данные. Хранение требует базовых мер по 152-ФЗ: ограничение доступа, политика хранения, журнал доступа к журналу.
- Pi-hole — не файрвол. Он защищает только от вредоносных сайтов через DNS. Если зловред уже на компьютере и общается с командным сервером по IP-адресу напрямую — Pi-hole его не остановит. Нужны другие слои защиты.
Получите бесплатный аудит сети и расчёт DNS-фильтрации
Если вашему офису, школе или даже крупному предприятию срочно нужна надёжная контентная фильтрация, просто свяжитесь с нами! Мы с удовольствием приедем, внимательно изучим вашу инфраструктуру и подготовим подробный письменный расчёт стоимости всего развёртывания. И кстати, для всех новых клиентов в Москве и в радиусе 50 км от МКАД аудит будет абсолютно бесплатным.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы
- Чем Pi-hole отличается от платного SkyDNS или Kaspersky Safe Kids?
- Pi-hole — бесплатный, с открытым кодом, ставится на свой сервер и не передаёт данные о посещённых сайтах третьим лицам. SkyDNS и Kaspersky — платные, удобнее в управлении, но видят весь ваш DNS-трафик. Для школ и компаний с чувствительными данными Pi-hole безопаснее, но требует своего администратора.
- Можно ли использовать Pi-hole в обычном офисе на 30 человек?
- Можно и нужно. Защищает от вредоносных сайтов, режет рекламные баннеры (что ускоряет работу браузеров), помогает следить за тем, какие сервисы используют сотрудники. Стоимость внедрения для офиса 30 ПК — около 25 000 руб. под ключ.
- Сколько стоит развернуть DNS-фильтрацию на школу или офис?
- От 25 000 руб. для офиса до 30 рабочих мест и от 60 000 руб. для школы или большой организации с разделением групп пользователей. Поддержка — 3 500–6 000 руб./мес в составе абонентки.
- Дети могут обойти DNS-фильтрацию?
- Современные смартфоны и браузеры умеют использовать DNS over HTTPS — это обход фильтрации. Но мы блокируем известные DoH-серверы на уровне роутера и блокируем выход на сторонние DNS. После такой настройки обойти фильтр без VPN невозможно.
- Что будет, если Pi-hole упадёт?
- Без DNS интернет перестанет работать. Поэтому всегда ставим резервный Pi-hole или указываем второй DNS на уровне DHCP. У нас за два года ни один Pi-hole в продакшне не падал — это очень устойчивое решение, но резервирование обязательно.
