· 12 мин чтения

Корпоративный DNS-фильтр на Pi-hole и WireGuard: как мы защитили 500 устройств школы за 60 тысяч рублей

Корпоративный DNS-фильтр на Pi-hole и WireGuard: как мы защитили 500 устройств школы за 60 тысяч рублей

Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. Сегодня хочу поделиться одним очень полезным кейсом, который, я уверен, пригодится как обычным офисам, так и образовательным учреждениям. Расскажу, как с помощью двух абсолютно бесплатных программ — Pi-hole и WireGuard — можно выполнить все требования по контентной фильтрации, надёжно защитить ваши устройства от вредоносных сайтов и при этом не потратить ни копейки на дорогие коммерческие лицензии. Звучит здорово, правда?

Зачем компании или школе DNS-фильтрация

Когда мне нужно объяснить руководителю, что же такое этот DNS-фильтр, я всегда привожу простое сравнение — это как справочная служба. Вот смотрите: ваш компьютер, перед тем как открыть любой сайт, всегда обращается к DNS-серверу с вопросом: «А какой IP у google.com?» Сервер, конечно же, даёт ответ, и тогда устройство спокойно устанавливает соединение. А вот DNS-фильтр работает как такая очень избирательная справочная: про «полезные» сайты он расскажет всё честно, а если вы спросите про «вредный», то он хитро подсунет ложный IP. И что в итоге? Сайт просто не откроется, и никаких проблем!

Зачем это нужно бизнесу или школе:

Кейс: школа на 500 устройств без бюджета на коммерческие решения

Помню, как в марте 2026 года к нам обратился директор школы «ОбразованиеПлюс». У него была, к сожалению, очень типичная для всего образования проблема. Представьте: 500 устройств — это и целые компьютерные классы, и ноутбуки у учителей, и планшеты у администрации, да ещё и планшеты в библиотеке. И при этом — полное отсутствие какой-либо контентной фильтрации! А тут ещё после недавней проверки прокуратуры им прилетело предписание: всё это безобразие нужно было исправить всего за месяц. Ситуация, конечно, была горячая.

Дополнительные вводные:

Я сразу предложил вот такое решение: использовать Pi-hole в качестве DNS-фильтра, WireGuard — как VPN для наших удалённых учителей, ну а Unbound будет работать как собственный рекурсивный резолвер, чтобы обеспечить максимальную приватность.

Что мы развернули и почему именно эти три инструмента

Каждый компонент тут отвечает за своё.

КомпонентРольАльтернативы
Pi-holeDNS-фильтр и журнал запросовSkyDNS (платно), AdGuard Home (тоже бесплатный)
WireGuardVPN для удалённых учителей, чтобы и они шли через школьный фильтрOpenVPN (тяжелее), L2TP (старше)
UnboundСобственный рекурсивный DNS, чтобы Google и Cloudflare не видели запросы школыBIND (сложнее), Knot (для крупных провайдеров)
Mikrotik RouterOSПринудительная маршрутизация всего DNS-трафика на Pi-hole, блокировка обхода через DoHOPNsense, pfSense (если уже есть)

Самое классное, что все эти программы абсолютно бесплатные, у них открытый код, и их уже успешно обкатали тысячи организаций по всему миру. Для школы это просто идеальное комбо: никаких ноль рублей за лицензии, мы получаем полный контроль над всеми данными, и что важно — ни один DNS-запрос не уходит «на сторону». Полная безопасность и экономия!

Как мы это разворачивали — по шагам, без перегруза

  1. Выделили под Pi-hole мини-сервер. Достаточно слабенькой машины: 2 ядра, 2 ГБ оперативной памяти, 50 ГБ диска. У нас была старая VM на гипервизоре — поставили туда. На рынке подходит и Raspberry Pi 4, отсюда и название.
  2. Запустили Pi-hole в Docker-контейнере. Это упрощает обновления и резервное копирование.
  3. Подключили списки блокировки. Базовый Steven Black список (около 130 тысяч доменов), плюс специализированные списки против азартных игр, контента 18+, фейковых новостей. В сумме — 847 тысяч заблокированных доменов.
  4. Создали белый список образовательных ресурсов. uchi.ru, foxford.ru, resh.edu.ru, sferum.ru, всё что нужно для учебного процесса. Иначе фильтр случайно блокирует то, что нельзя блокировать.
  5. Настроили три группы пользователей. Ученики — строжайшая фильтрация, без соцсетей и развлечений. Учителя — умеренная, соцсети разрешены, контент 18+ заблокирован. Администрация — минимальная, только защита от вредоносов и контента 18+.
  6. Подключили Unbound. Это собственный рекурсивный резолвер, который ходит напрямую к корневым DNS-серверам интернета. Запросы школы не уходят к Google или Cloudflare.
  7. Настроили Mikrotik как «принудительный» маршрутизатор DNS. Все DNS-запросы внутри школьной сети редиректятся на Pi-hole, обход через настройку «своего DNS» на устройстве не работает. Заблокировали известные серверы DNS over HTTPS — Google, Cloudflare, NextDNS.
  8. Развернули WireGuard для удалённых учителей. 30 преподавателей получили личные конфигурационные файлы, при подключении из дома весь их DNS-трафик идёт через школьный Pi-hole.
  9. Настроили еженедельные отчёты. Каждое воскресенье директор школы получает в Telegram сводку: сколько было запросов, сколько заблокировано, топ заблокированных доменов, активность по группам.

Развёртывание всего этого дела «под ключ» заняло у нас всего 11 рабочих дней. Над проектом трудились два наших инженера: старший специалист отвечал за настройку и запуск Pi-hole, Unbound и WireGuard, а средний инженер занимался Mikrotik и потом лично развозил все необходимые конфиги учителям.

Что получилось через первый месяц

Школа отчиталась прокуратуре, проверка закрыта. Технические показатели за первые тридцать дней:

ПоказательЗначение
DNS-запросов в сутки≈ 180 000
Заблокировано в сутки≈ 32 000 (около 18 %)
Доменов в чёрных списках847 293
Среднее время ответа DNS4 мс из кэша / 85 мс при первом запросе
Активных подключений учителей по VPN22 из 30
Жалоб на ложные блокировки8 за месяц (все исправлены добавлением в белый список)

Кстати, учителя сразу заметили, что браузеры теперь просто летают! И это вовсе не какая-то магия: просто за первый месяц Pi-hole смог заблокировать около миллиона рекламных трекеров, которые раньше безбожно подгружались на каждой открываемой странице, замедляя работу.

Сколько это стоило школе

Теперь финансовая часть — то, ради чего всё и затевалось. Полный расчёт по апрелю 2026 года, с НДС:

Статья расходовСумма
Аудит сети и проектирование12 000 ₽
Установка Pi-hole + Unbound15 000 ₽
Настройка WireGuard, генерация конфигов 30 учителей14 000 ₽
Перенастройка Mikrotik (VLAN-политики, блокировка DoH)10 000 ₽
Документация и обучение администратора школы9 000 ₽
Итого первичные работы60 000 ₽
Ежемесячное сопровождение (обновление списков, разбор жалоб)5 500 ₽/мес

Просто для сравнения: если бы они выбрали коммерческое решение, например, SkyDNS Школа на те же 500 устройств, то это обошлось бы им примерно в 280 000 руб. в год. А теперь посчитайте: за три года использования экономия составит около 800 000 руб. Чувствуете разницу?

Где этот же подход работает помимо школ

За последние два года мы развернули похожие решения в десятке организаций. Делюсь, кому это подходит:

Подводные камни, о которых редко пишут

И сразу про грабли, на которые мы наступали:

Получите бесплатный аудит сети и расчёт DNS-фильтрации

Если вашему офису, школе или даже крупному предприятию срочно нужна надёжная контентная фильтрация, просто свяжитесь с нами! Мы с удовольствием приедем, внимательно изучим вашу инфраструктуру и подготовим подробный письменный расчёт стоимости всего развёртывания. И кстати, для всех новых клиентов в Москве и в радиусе 50 км от МКАД аудит будет абсолютно бесплатным.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Чем Pi-hole отличается от платного SkyDNS или Kaspersky Safe Kids?
Pi-hole — бесплатный, с открытым кодом, ставится на свой сервер и не передаёт данные о посещённых сайтах третьим лицам. SkyDNS и Kaspersky — платные, удобнее в управлении, но видят весь ваш DNS-трафик. Для школ и компаний с чувствительными данными Pi-hole безопаснее, но требует своего администратора.
Можно ли использовать Pi-hole в обычном офисе на 30 человек?
Можно и нужно. Защищает от вредоносных сайтов, режет рекламные баннеры (что ускоряет работу браузеров), помогает следить за тем, какие сервисы используют сотрудники. Стоимость внедрения для офиса 30 ПК — около 25 000 руб. под ключ.
Сколько стоит развернуть DNS-фильтрацию на школу или офис?
От 25 000 руб. для офиса до 30 рабочих мест и от 60 000 руб. для школы или большой организации с разделением групп пользователей. Поддержка — 3 500–6 000 руб./мес в составе абонентки.
Дети могут обойти DNS-фильтрацию?
Современные смартфоны и браузеры умеют использовать DNS over HTTPS — это обход фильтрации. Но мы блокируем известные DoH-серверы на уровне роутера и блокируем выход на сторонние DNS. После такой настройки обойти фильтр без VPN невозможно.
Что будет, если Pi-hole упадёт?
Без DNS интернет перестанет работать. Поэтому всегда ставим резервный Pi-hole или указываем второй DNS на уровне DHCP. У нас за два года ни один Pi-hole в продакшне не падал — это очень устойчивое решение, но резервирование обязательно.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.