Как настроить DNS на роутере для обхода 0x80a40401

Перед началом — два класса роутеров

Все роутеры делятся на два класса по поддержке DNS-функций.

Класс 1: стоковые потребительские роутеры. Большинство TP-Link, D-Link, Tenda, ASUS на заводской прошивке, бюджетные модели Mercusys, Netis. Умеют только заменить DNS на WAN — настройка применяется глобально, ко всем устройствам в доме. Hostname-override через UI не поддерживается.

Класс 2: продвинутые роутеры с DNS-функциями. Keenetic (любая модель на KeeneticOS 3.x+), OpenWrt (любой роутер с прошивкой OpenWrt), MikroTik с RouterOS, ASUS с прошивкой Asuswrt-Merlin (открытый форк стоковой ASUS). Умеют статические DNS-записи — направить домен X на IP Y, не трогая остальной DNS.

Если у вас роутер от провайдера (Ростелеком, МТС, Билайн — обычно HUAWEI или ZTE с фирменной прошивкой) и админка заблокирована или не позволяет менять DNS — нужен собственный роутер, поставленный в режим маршрутизатора за провайдерским в режиме моста. Это отдельная история, в этом гайде не покрываем.

Способ 1 — Глобальная замена DNS на роутере

Подходит для любого роутера. Минус: DNS меняется для всех устройств в сети, включая телефоны и ноутбуки. Если выбранный DNS из категории unsafe, риски подмены google.com и сайтов банков касаются всех устройств в доме. Плюс: универсальность.

Keenetic

Официальный гайд — Keenetic Help Center — Ways to add custom DNS servers; указывает три места UI для замены DNS (домашняя сеть, интернет-соединение, Internet Safety) и опцию «Ignore DNS» для игнорирования серверов провайдера.

1. Зайди в админку — 192.168.1.1 или my.keenetic.net в браузере.
2. Открой Интернет → твой тип соединения (Проводной / DSL / 4G / Wireless ISP).
3. Найди раздел Параметры IP или DNS.
4. Сними галку Использовать DNS-серверы провайдера (в EN-версии — Ignore DNS).
5. Введи DNS из каталога в поля DNS 1 / DNS 2.
6. Применить → перезагрузить роутер.

Альтернативный путь через DHCP: Мои сети и Wi-Fi → Домашняя сеть → DHCP-сервер → DNS. Этот вариант отдаёт DNS клиентам напрямую при подключении.

OpenWrt

LuCI (web-интерфейс):

1. Network → Interfaces → WAN → Edit.
2. Сними галку Use DNS servers advertised by peer.
3. В поле Use custom DNS servers введи DNS из каталога — по одному на строку.
4. Save & Apply.

CLI через UCI (если LuCI отключён):

uci set network.wan.peerdns='0'
uci add_list network.wan.dns='1.1.1.1'
uci add_list network.wan.dns='8.8.8.8'
uci commit network
service network restart

Замени 1.1.1.1 и 8.8.8.8 на пару из каталога.

MikroTik RouterOS

Winbox или WebFig:

1. IP → DNS.
2. В поле Servers введи DNS через запятую.
3. Включи Allow Remote Requests, чтобы устройства в сети использовали роутер как DNS.
4. Apply.

CLI:

/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes

Дополнительно проверь, что DHCP отдаёт IP роутера как DNS: IP → DHCP Server → Networks → DNS Servers.

ASUS (стоковая)

1. Войди в админку — 192.168.1.1 или 192.168.50.1 (новые модели ROG, ZenWiFi), либо http://www.asusrouter.com.
2. WAN → Internet Connection.
3. Найди раздел WAN DNS Setting.
4. На старой прошивке переключи Connect to DNS Server automatically на No. На новой нажми Assign и выбери Manual Setting.
5. Введи Primary DNS Server / Secondary DNS Server.
6. Apply.

Если на роутере включён DNS Privacy (DoH / DoT) — отключи. Он перехватывает DNS-запросы и игнорирует кастомные настройки.

TP-Link

Новый UI (модели после 2020):

1. Открой http://tplinkwifi.net/ или 192.168.0.1 (некоторые линейки — 192.168.1.1).
2. Advanced (сверху) → Network → Internet.
3. Прокрути до Advanced Settings → выбери Use the following DNS addresses.
4. Введи Primary DNS / Secondary DNS.
5. Save.
6. Перезагрузи роутер — TP-Link настаивает на этом в официальной FAQ: «Your router must be rebooted for the new DNS settings to take effect.»

Старый UI (Archer C20 / C50 и подобные до 2018): DHCP → DHCP Settings, ввести Primary DNS / Secondary DNS, Save.

Если на роутере ISP-кастомизированная прошивка (Ростелеком, МТС, Билайн) — изменение DNS часто заблокировано. Понадобится перепрошивка на стандартную, что в РФ-условиях рискованно (потеря гарантии, сложность). Реалистичнее купить отдельный роутер.

D-Link

1. Войди в админку — 192.168.0.1.
2. Settings → Internet → Advanced Settings. Альтернативный путь — Advanced на верхней панели → DNS в левом меню.
3. Введи Primary DNS и Secondary DNS.
4. Save.

UI отличается по моделям (DIR-300, DIR-615, DIR-825, DIR-2640). На прошивках от провайдеров часть пунктов может быть скрыта.

Tenda

1. Войди в админку — 192.168.0.1.
2. Internet Settings (Настройки интернета).
3. Введи Primary DNS и Secondary DNS.
4. Save → Reboot.

Tenda — самая ограниченная по DNS-функциям в нашем списке. Hostname-override не поддерживается, доступна только глобальная замена.

Способ 2 — Hostname-override (только один домен)

Подменяешь только xsts.auth.xboxlive.com на конкретный IP — остальной трафик идёт через провайдерский DNS как обычно. Плюс: безопаснее, не ломает банки и google.com. Минус: работает только на роутерах класса 2 (Keenetic, OpenWrt, MikroTik, ASUS Merlin) и требует доступа к CLI или конфигам.

Какой IP подставлять. Конкретный IP меняется со временем — Microsoft периодически перевыпускает адреса для xsts. Возьми текущий рабочий IP из категории «xsts IP» каталога Xbox DNS Checker. Не закрепляй IP из старого блога в интернете — за месяцы он уже устарел.

Keenetic — через Telnet / SSH

В KeeneticOS на 2026 нет UI для статических DNS-записей — делается через CLI. Лимит — 64 записи через ip host.

1. В админке: Управление → Пользователи и доступ → Telnet/SSH — включить Telnet-сервер.
2. На компьютере: telnet 192.168.1.1 (логин и пароль — те же, что у admin-аккаунта роутера).
3. Выполни команды:

   ip host xsts.auth.xboxlive.com 50.7.85.221
   system configuration save

   Подставь актуальный IP из каталога вместо 50.7.85.221.
4. Чтобы убрать запись: no ip host xsts.auth.xboxlive.com.

Условие работы: на устройствах в сети должен быть указан Keenetic (192.168.1.1) как DNS. Проверь: Мои сети и Wi-Fi → DHCP-сервер → DNS = адрес роутера.

Подводный камень: если провайдер выдаёт IPv6 и Xbox предпочитает IPv6-резолв, статическая IPv4-запись игнорируется. Решение — отключить IPv6: Интернет → IPv6 → выкл.

OpenWrt — через dnsmasq

Самый чистый способ — добавить запись в /etc/hosts (на роутере, не на ПК):

1. SSH в роутер: ssh root@192.168.1.1.
2. Открой /etc/hosts через vi или через LuCI: System → Custom Files.
3. Добавь строку: 50.7.85.221 xsts.auth.xboxlive.com (подставь актуальный IP).
4. Перезапусти dnsmasq: /etc/init.d/dnsmasq restart.

Альтернативный путь через LuCI:

1. Network → DHCP and DNS → Hostnames.
2. Add → hostname xsts.auth.xboxlive.com, IP из каталога.
3. Save & Apply.

Третий вариант — через /etc/config/dhcp:

config dnsmasq
    list address '/xsts.auth.xboxlive.com/50.7.85.221'

Подводный камень: если в dnsmasq включён DNSSEC, он может отвергнуть «подложный» ответ. Для конкретного домена можно дописать ipset=/xsts.auth.xboxlive.com/... или отключить DNSSEC.

MikroTik — статическая DNS-запись

Winbox / WebFig:

1. IP → DNS → Static → +.
2. Поле Name — xsts.auth.xboxlive.com.
3. Поле Address — IP из каталога.
4. OK.

CLI:

/ip dns static add address=50.7.85.221 name=xsts.auth.xboxlive.com

Проверка списка записей: /ip dns static print. Удаление: /ip dns static remove [find name=xsts.auth.xboxlive.com].

Из официальной документации MikroTik: «If you want to override domain name records from the upstream server with unusable records, you can add a static entry for the particular domain name. When both static and dynamic servers are set, static server entries are preferred.»

Условие: устройства в сети должны использовать роутер как DNS. Проверь IP → DHCP Server → Networks → DNS Servers — там должен быть IP роутера. TTL для статической записи можно задать через ttl= — по умолчанию 24 часа.

ASUS Merlin — через dnsmasq.conf.add

Это только для прошивки Asuswrt-Merlin (открытый форк, не стоковая ASUS). Проверь: Administrative → System → Firmware Version — должна содержать слово «Merlin».

1. Включи custom configs: Administration → System → Persistent JFFS2 partition = Yes, Enable JFFS custom scripts and configs = Yes.
2. SSH в роутер.
3. Создай или открой файл /jffs/configs/dnsmasq.conf.add:

   address=/xsts.auth.xboxlive.com/50.7.85.221

4. Перезапусти dnsmasq: service restart_dnsmasq.

На стоковой ASUS (без Merlin) hostname-override через UI не поддерживается. Реалистичный путь для стоковых ASUS — флешать Merlin (если модель совместима — RT-AC, RT-AX серии) или использовать только глобальную замену DNS.

Безопасность — что такое unsafe DNS

DNS-сервер переводит имя домена в IP-адрес. Когда устройство спрашивает «какой IP у google.com», DNS может вернуть честный ответ — а может подменить. Это и есть перехват DNS-запросов (DNS hijacking) в определении Касперского: «атака, при которой на запрос браузера DNS-сервер выдаёт неверный ответ». Без специальных проверок (DNSSEC) клиент это не замечает.

Часть DNS-серверов, которые «обходят блокировку Xbox», работают так: они подменяют ответ не только для xsts.auth.xboxlive.com (что нужно), но и для google.com, sberbank.ru, gosuslugi.ru. Перенаправление может вести на:

• Фишинговую копию сайта банка или госуслуг (кража логина).
• Сайт с накруткой рекламы.
• Страницу с вредоносным ПО (известный кейс — Switcher Trojan, описан Касперским в 2017).

Это не теоретический риск. Касперский разбирал атаку Switcher Trojan, при которой Android-приложение меняло DNS на роутере жертвы и перенаправляло пользователей на подменённые сайты банков.

Как Xbox DNS Checker маркирует «небезопасные». Серверный probe нашего сайта дополнительно резолвит google.com и gosuslugi.ru через каждый проверяемый DNS. Если ответ для контрольных доменов отличается от ожидаемого (другой ASN, другая страна) — DNS получает статус «небезопасный» в каталоге.

Что делать пользователю. На консоли unsafe-DNS использовать можно: на Xbox нет браузера для банков и госуслуг, риск минимален. На роутере — лучше не использовать unsafe постоянно, потому что DNS касается всех устройств в доме. Если приходится включить unsafe-DNS на роутере — делай это на время игровой сессии, потом возвращай DNS провайдера. DNS со статусом «работает» (не unsafe) можно оставлять постоянно.

После настройки — проверка

1. Перезагрузи роутер (через UI или физически — питанием).
2. На Xbox в Настройки → Общие → Параметры сети → Параметры DNS убедись, что стоит Автоматически — иначе консоль не возьмёт DNS у роутера.
3. Полностью выключи Xbox: зажми кнопку питания на корпусе на 10 секунд.
4. Включи Xbox снова. На главном экране сразу — Test Network: Настройки → Общие → Параметры сети → Проверка сетевого соединения.
5. Проверь все три строки — особенно «Подключение к Xbox Live». Если зелёная — DNS на роутере применился, иди в аккаунт.

Если «Подключение к Xbox Live: ошибка» — провайдер либо блокирует выбранный DNS, либо отдаёт IPv6, который обходит IPv4-настройку. Попробуй другую пару DNS из каталога, отключи IPv6 на роутере, или переключись на hostname-override (Способ 2 выше).

Дальше — какой IP или DNS взять

Для Способа 1 (глобальная замена) — пара DNS из категории «работает» каталога Xbox DNS Checker. Сортировка по результату последней проверки (обновляется каждые 6 часов).

Для Способа 2 (hostname-override) — IP из категории «xsts IP» каталога. Это IP-адреса, на которые корректно отвечает сервер xsts.auth.xboxlive.com для российских клиентов.

Подробнее про методологию проверки — на странице «Как работает проверка».

Частые вопросы

Если ничего не помогло

• Откатиться на настройку DNS на самой консоли — подробная инструкция на странице /setup-xbox. Имеет смысл, если роутер на ISP-прошивке и не позволяет менять DNS.
• Сменить роутер. Если стоит роутер от провайдера с заблокированной админкой — добавить за ним свой роутер (Keenetic, OpenWrt) в режиме маршрутизации. Провайдерский роутер в этом случае работает как модем.
• VPN. Не рекомендуем как primary. На роутере (OpenWrt + WireGuard, MikroTik + WireGuard, ASUS Merlin + OpenVPN) — реально, но: пинг в играх вырастает на 50-200 мс, бесплатные VPN ненадёжны, платные добавляют ежемесячные расходы. VPN имеет смысл, только если все DNS из каталога заблокированы провайдером.