Чем Pi-hole отличается от платного SkyDNS или Kaspersky Safe Kids?

Pi-hole — бесплатный, с открытым кодом, ставится на свой сервер и не передаёт данные о посещённых сайтах третьим лицам. SkyDNS и Kaspersky — платные, удобнее в управлении, но видят весь ваш DNS-трафик. Для школ и компаний с чувствительными данными Pi-hole безопаснее, но требует своего администратора.

Можно ли использовать Pi-hole в обычном офисе на 30 человек?

Можно и нужно. Защищает от вредоносных сайтов, режет рекламные баннеры (что ускоряет работу браузеров), помогает следить за тем, какие сервисы используют сотрудники. Стоимость внедрения для офиса 30 ПК — около 25 000 руб. под ключ.

Сколько стоит развернуть DNS-фильтрацию на школу или офис?

От 25 000 руб. для офиса до 30 рабочих мест и от 60 000 руб. для школы или большой организации с разделением групп пользователей. Поддержка — 3 500–6 000 руб./мес в составе абонентки.

Дети могут обойти DNS-фильтрацию?

Современные смартфоны и браузеры умеют использовать DNS over HTTPS — это обход фильтрации. Но мы блокируем известные DoH-серверы на уровне роутера и блокируем выход на сторонние DNS. После такой настройки обойти фильтр без VPN невозможно.

Что будет, если Pi-hole упадёт?

Без DNS интернет перестанет работать. Поэтому всегда ставим резервный Pi-hole или указываем второй DNS на уровне DHCP. У нас за два года ни один Pi-hole в продакшне не падал — это очень устойчивое решение, но резервирование обязательно.

Сети и безопасность 17 апреля 2026 · 12 мин чтения

Корпоративный DNS-фильтр на Pi-hole и WireGuard: как мы защитили 500 устройств школы за 60 тысяч рублей

Меня зовут Семёнов Евгений Сергеевич, я директор компании АйТи Фреш. В этой статье я хочу разобрать конкретный кейс, который часто пригождается и обычным офисам, и образовательным учреждениям: как с помощью двух бесплатных программ — Pi-hole и WireGuard — закрыть требования по контентной фильтрации, защитить устройства от вредоносных сайтов и не разориться на коммерческих лицензиях.

Зачем компании или школе DNS-фильтрация

Когда я объясняю руководителю, что такое DNS-фильтр, я обычно сравниваю это со справочной службой. Любой компьютер, прежде чем зайти на сайт, спрашивает у DNS-сервера: «Какой IP-адрес у google.com?» DNS-сервер отвечает, и компьютер открывает соединение. DNS-фильтр работает как избирательная справочная: на запросы о «полезных» сайтах он отвечает честно, а на запросы о «вредных» отвечает ложным IP-адресом, и сайт просто не открывается.

Зачем это нужно бизнесу или школе:

Защита от вредоносных сайтов. Сотрудник кликает по фишинговой ссылке в письме — DNS-фильтр блокирует домен злоумышленника, заражения не происходит.
Блокировка вредоносного контента. Школы по 436-ФЗ обязаны фильтровать запрещённый контент. Без фильтра не пройдёшь проверку прокуратуры.
Контроль использования рабочего времени. Компания может закрыть доступ к развлекательным сайтам с рабочих компьютеров. Не панацея, но снижает соблазн.
Блокировка рекламы. Рекламные сети заметно нагружают канал и часто становятся источником вредоносного кода. Блокировка ускоряет работу браузеров и снижает риск.
Журнал DNS-запросов. Если случилось ЧП, можно посмотреть, на какие сайты ходил сотрудник или ученик. Это требование 436-ФЗ для школ.

Кейс: школа на 500 устройств без бюджета на коммерческие решения

В марте 2026 года к нам пришёл директор школы «ОбразованиеПлюс» с типичной для образования проблемой. У них 500 устройств — компьютерные классы, ноутбуки учителей, планшеты администрации, планшеты в библиотеке. Никакой контентной фильтрации не было. После недавней проверки прокуратуры пришло предписание: исправить за месяц.

Дополнительные исходные:

Сеть построена на Mikrotik RB4011, разделена на три VLAN: учителя, ученики, администрация.
30 преподавателей работают из дома и подключаются к школьным ресурсам через TeamViewer.
Бюджет — крайне ограниченный. SkyDNS, Kaspersky Safe Kids и другие коммерческие решения отпали по стоимости (от 200 тыс. руб. в год за такое количество устройств).
Нужен был журнал DNS-запросов с возможностью посмотреть историю по конкретному устройству — для отчётов прокуратуре.

Решение, которое я предложил: Pi-hole в качестве DNS-фильтра + WireGuard как VPN для удалённых учителей + Unbound как собственный рекурсивный резолвер для приватности.

Что мы развернули и почему именно эти три инструмента

Каждый компонент выполняет свою задачу.

Компонент	Роль	Альтернативы
Pi-hole	DNS-фильтр и журнал запросов	SkyDNS (платно), AdGuard Home (тоже бесплатный)
WireGuard	VPN для удалённых учителей, чтобы и они шли через школьный фильтр	OpenVPN (тяжелее), L2TP (старше)
Unbound	Собственный рекурсивный DNS, чтобы Google и Cloudflare не видели запросы школы	BIND (сложнее), Knot (для крупных провайдеров)
Mikrotik RouterOS	Принудительная маршрутизация всего DNS-трафика на Pi-hole, блокировка обхода через DoH	OPNsense, pfSense (если уже есть)

Все программы — бесплатные, с открытым кодом, проверены тысячами организаций по всему миру. Для школы это идеальная связка: ноль рублей за лицензии, полный контроль данных, никакой передачи DNS-запросов сторонним сервисам.

Как мы это разворачивали — по шагам, без перегруза

Выделили под Pi-hole мини-сервер. Достаточно слабенькой машины: 2 ядра, 2 ГБ оперативной памяти, 50 ГБ диска. У нас была старая VM на гипервизоре — поставили туда. На рынке подходит и Raspberry Pi 4, отсюда и название.
Запустили Pi-hole в Docker-контейнере. Это упрощает обновления и резервное копирование.
Подключили списки блокировки. Базовый Steven Black список (около 130 тысяч доменов), плюс специализированные списки против азартных игр, контента 18+, фейковых новостей. В сумме — 847 тысяч заблокированных доменов.
Создали белый список образовательных ресурсов. uchi.ru, foxford.ru, resh.edu.ru, sferum.ru, всё что нужно для учебного процесса. Иначе фильтр случайно блокирует то, что нельзя блокировать.
Настроили три группы пользователей. Ученики — строжайшая фильтрация, без соцсетей и развлечений. Учителя — умеренная, соцсети разрешены, контент 18+ заблокирован. Администрация — минимальная, только защита от вредоносов и контента 18+.
Подключили Unbound. Это собственный рекурсивный резолвер, который ходит напрямую к корневым DNS-серверам интернета. Запросы школы не уходят к Google или Cloudflare.
Настроили Mikrotik как «принудительный» маршрутизатор DNS. Все DNS-запросы внутри школьной сети редиректятся на Pi-hole, обход через настройку «своего DNS» на устройстве не работает. Заблокировали известные серверы DNS over HTTPS — Google, Cloudflare, NextDNS.
Развернули WireGuard для удалённых учителей. 30 преподавателей получили личные конфигурационные файлы, при подключении из дома весь их DNS-трафик идёт через школьный Pi-hole.
Настроили еженедельные отчёты. Каждое воскресенье директор школы получает в Telegram сводку: сколько было запросов, сколько заблокировано, топ заблокированных доменов, активность по группам.

Полное развёртывание под ключ заняло 11 рабочих дней. Над проектом работали два инженера: старший делал Pi-hole, Unbound и WireGuard, средний настраивал Mikrotik и развозил конфиги учителям.

Что получилось через первый месяц

Школа отчиталась прокуратуре, проверка закрыта. Технические показатели за первые тридцать дней:

Показатель	Значение
DNS-запросов в сутки	≈ 180 000
Заблокировано в сутки	≈ 32 000 (около 18 %)
Доменов в чёрных списках	847 293
Среднее время ответа DNS	4 мс из кэша / 85 мс при первом запросе
Активных подключений учителей по VPN	22 из 30
Жалоб на ложные блокировки	8 за месяц (все исправлены добавлением в белый список)

Дополнительно учителя заметили, что браузеры стали работать быстрее. Это не магия: за месяц Pi-hole заблокировал около миллиона рекламных трекеров, которые раньше подгружались на каждой странице.

Сколько это стоило школе

Финансовая часть — то, ради чего вся история затевалась. Полный расчёт по апрелю 2026 года, с НДС:

Статья расходов	Сумма
Аудит сети и проектирование	12 000 ₽
Установка Pi-hole + Unbound	15 000 ₽
Настройка WireGuard, генерация конфигов 30 учителей	14 000 ₽
Перенастройка Mikrotik (VLAN-политики, блокировка DoH)	10 000 ₽
Документация и обучение администратора школы	9 000 ₽
Итого первичные работы	60 000 ₽
Ежемесячное сопровождение (обновление списков, разбор жалоб)	5 500 ₽/мес

Для сравнения: коммерческое решение SkyDNS Школа на 500 устройств обошлось бы школе примерно в 280 000 руб. в год. За три года использования экономия — около 800 000 руб.

Где этот же подход работает помимо школ

За последние два года мы развернули похожие решения в десятке организаций. Делюсь, кому это подходит:

Образовательные учреждения. Школы, колледжи, кружки. Прямое требование 436-ФЗ + защита детей от опасного контента.
Офисы среднего бизнеса. 30–200 рабочих мест. Защита от вредоносных сайтов, блокировка рекламы, базовый контроль использования времени.
Производственные предприятия. Цеха с компьютерами на рабочих местах, где интернет нужен только для конкретных задач. Жёсткая фильтрация всего лишнего.
Гостиницы и общественные Wi-Fi. Защита гостей от вредоносных сайтов + соблюдение требований 152-ФЗ о персональных данных.
Семьи с детьми. Один из наших клиентов поставил Pi-hole домой — отзывы хорошие.

Подводные камни, о которых редко пишут

Делюсь граблями, на которые мы наступали:

Резервирование критично. Если упадёт единственный DNS-сервер, в сети сразу пропадает интернет. Всегда ставим второй Pi-hole или прописываем резервный DNS в DHCP.
Списки блокировки имеют ложные срабатывания. Первые две недели после запуска регулярно прилетают жалобы «не открывается такой-то нужный сайт». Нужен инженер, готовый оперативно править белые списки.
DNS over HTTPS — главный обход. Современные браузеры умеют его использовать в обход системного DNS. Без блокировки на уровне роутера фильтр обходится за 30 секунд. Это самое сложное место настройки.
Журнал DNS-запросов — это персональные данные. Хранение требует базовых мер по 152-ФЗ: ограничение доступа, политика хранения, журнал доступа к журналу.
Pi-hole — не файрвол. Он защищает только от вредоносных сайтов через DNS. Если зловред уже на компьютере и общается с командным сервером по IP-адресу напрямую — Pi-hole его не остановит. Нужны другие слои защиты.

Получите бесплатный аудит сети и расчёт DNS-фильтрации

Если вашему офису, школе или предприятию нужна контентная фильтрация — приедем, посмотрим инфраструктуру и сделаем письменный расчёт стоимости развёртывания. Для новых клиентов в Москве и в радиусе 50 км от МКАД аудит бесплатный.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Чем Pi-hole отличается от платного SkyDNS или Kaspersky Safe Kids?: Pi-hole — бесплатный, с открытым кодом, ставится на свой сервер и не передаёт данные о посещённых сайтах третьим лицам. SkyDNS и Kaspersky — платные, удобнее в управлении, но видят весь ваш DNS-трафик. Для школ и компаний с чувствительными данными Pi-hole безопаснее, но требует своего администратора.
Можно ли использовать Pi-hole в обычном офисе на 30 человек?: Можно и нужно. Защищает от вредоносных сайтов, режет рекламные баннеры (что ускоряет работу браузеров), помогает следить за тем, какие сервисы используют сотрудники. Стоимость внедрения для офиса 30 ПК — около 25 000 руб. под ключ.
Сколько стоит развернуть DNS-фильтрацию на школу или офис?: От 25 000 руб. для офиса до 30 рабочих мест и от 60 000 руб. для школы или большой организации с разделением групп пользователей. Поддержка — 3 500–6 000 руб./мес в составе абонентки.
Дети могут обойти DNS-фильтрацию?: Современные смартфоны и браузеры умеют использовать DNS over HTTPS — это обход фильтрации. Но мы блокируем известные DoH-серверы на уровне роутера и блокируем выход на сторонние DNS. После такой настройки обойти фильтр без VPN невозможно.
Что будет, если Pi-hole упадёт?: Без DNS интернет перестанет работать. Поэтому всегда ставим резервный Pi-hole или указываем второй DNS на уровне DHCP. У нас за два года ни один Pi-hole в продакшне не падал — это очень устойчивое решение, но резервирование обязательно.