Slovník — VPN pojmy srozumitelně

Kill switch hlídá VPN tunel a blokuje veškerý internetový provoz, pokud se tunel přeruší — třeba když přepnete wifi nebo server ztratí spojení. Bez něj počítač posílá pakety přes vaši běžnou síť dál, dokud se klient znovu nepřipojí, čímž odhalí vaši skutečnou IP adresu. Pro toho, kdo VPN používá ke skrytí své polohy, je kill switch prakticky povinný.

Split tunneling rozděluje provoz do dvou cest. Můžete například nechat prohlížeč jít přes VPN, ale bankovní aplikaci nebo místní tiskárny nechat mimo, jinak vás daná služba často zablokuje nebo bývá pomalejší, než je třeba. Opakem split tunnelingu — full tunnel — je posílání všeho přes VPN bez ohledu na aplikaci.

Při multi-hop (někdy zvaném double VPN) jde váš provoz řetězcem dvou serverů v různých zemích. První server vidí vaši skutečnou IP, ale ne to, co navštěvujete; druhý vidí cíl, ale ne odkud provoz původně přišel. Chrání proti poskytovateli, který poleví ve své logovací disciplíně, ale stojí to rychlost a pro většinu lidí je to už nadstandard.

Pokaždé když otevřete webovou stránku, počítač přeloží doménové jméno přes DNS server. Pokud DNS provoz omylem jde přímo k vašemu poskytovateli internetu místo přes VPN tunel, ten i nadále vidí celý seznam webů, které navštěvujete, i když samotné načítání stránky je šifrované. Ochrana proti úniku DNS tlačí dotazy zpátky do tunelu.

VPN protokol určuje, jak klient a server vyjednávají šifrovaný tunel a jak se balí pakety. WireGuard je moderní standard s malou kódovou základnou, je rychlý a dobře si rozumí s mobilními sítěmi. OpenVPN je starší a pomalejší, ale extrémně prověřený a je všude. IKEv2/IPsec dobře zvládá přepínání sítí a často se používá na mobilech. Vyhněte se starším protokolům jako PPTP nebo L2TP bez IPsec.

Všechny seriózní VPN služby šifrují provoz pomocí AES-256 nebo ChaCha20. Oba jsou dnes známými metodami prakticky neprolomitelné. Fráze jako „military-grade“ nebo „bank-grade encryption“ jsou čistý marketing — žádný takový standard neexistuje. Co hraje větší roli, je způsob výměny klíčů a zda se používá perfect forward secrecy, což všechny moderní protokoly dělají.

Země, kde má firma sídlo, určuje, které soudy a bezpečnostní služby si mohou vyžádat data nebo donutit poskytovatele začít logovat. Země v rámci spoluprací Five/Nine/14 Eyes si rutinně sdílejí zpravodajské informace; poskytovatelé sídlící mimo (například v Panamě nebo Švýcarsku) mají o něco volnější ruce. To ale nechrání před špatnou no-logs politikou — země bez povinnosti uchovávat data pomůže jen tehdy, když poskytovatel skutečně nic neukládá.

Více o Five / Nine / 14 Eyes →

Počet serverů je oblíbené číslo, kterým se chlubit, ale samo o sobě říká málo. Tři tisíce serverů v pěti zemích je horší než tři sta serverů v padesáti zemích. Co se počítá, je jestli jsou servery blízko vás (latence) a v zemích, kam se potřebujete připojit (geoblokování). Vysoká čísla také odrážejí, jak poskytovatel počítá — virtuální instance a load balancery se často započítávají.

Počet zemí se servery určuje, ze kterých geografických regionů můžete dostat IP adresu. Pokud chcete sledovat BBC iPlayer, potřebujete servery ve Spojeném království; pokud chcete americký Netflix, potřebujete je v USA. Pro většinu lidí stačí 30–50 zemí; cokoli nad to je hlavně pro okrajové případy.

Lokality serverů říkají, kam můžete vyjít. Někteří poskytovatelé provozují fyzické servery ve všech uvedených zemích; jiní používají virtuální servery, kde stroj stojí někde jinde, ale přiděluje IP adresu z cílové země. Pro geoblokování jsou obě varianty rovnocenné; pro latenci je lepší fyzické umístění.

Bezplatný tarif bývá ochutnávka, ne plnohodnotná alternativa. Typická omezení jsou 500 MB až 10 GB provozu měsíčně, pár zemí a nižší rychlost. Vyhněte se bezplatným VPN od neznámých poskytovatelů — provoz je drahý, a když neplatíte, jste pravděpodobně produktem (měření reklamy nebo přeprodej provozu).

Záruka je v praxi bezplatné zkušební období: zaplatíte roční poplatek a před skončením lhůty si peníze vyžádáte zpět, pokud nejste spokojeni. Přečtěte si podmínky — někteří poskytovatelé vrácení odmítnou, pokud jste využili moc dat, nakoupili přes App Store nebo koupili v rámci speciální akce.

Skoro všichni VPN poskytovatelé se prezentují hluboce zvýhodněnou cenou na první období a po obnově se vrátí k podstatně vyšší běžné ceně. Sleva může činit 60–80 % v prvním roce. Právě cena obnovy je dlouhodobá cena — to je číslo, které byste měli porovnávat.

Limit určuje, kolik vašich zařízení může být přihlášeno k VPN současně. Router se počítá jako jedno zařízení, ale pokrývá vše, co se za něj připojí, takže instalace na routeru je dobrý způsob, jak šetřit kapacitu. Pokud sdílíte účet s rodinou, obvykle potřebujete podporu 5–10 současných zařízení.

S neomezeným počtem současných připojení se můžete přihlásit na libovolný počet zařízení najednou. Praktické pro velké domácnosti, chytrou domácnost a pro sdílení účtu s nejbližší rodinou. Předpokládá se rozumné používání — poskytovatelé obvykle zakročí proti komerčnímu sdílení.

Většina VPN blokátorů reklam je v podstatě DNS blocklist: server odmítá překládat známé reklamní domény. Funguje to proti bannerům a sledovačům třetích stran, ale nezachytí reklamy, které jsou na stejné doméně jako obsah (například YouTube). Vyhrazený plugin do prohlížeče jako uBlock Origin je důkladnější. Dvě výhody VPN varianty: chrání všechna zařízení a funguje v aplikacích, ne jen v prohlížeči.

Oficiální aplikace pro VPN službu usnadňuje instalaci a automaticky se postará o věci jako kill switch a ochranu proti úniku DNS. Běžná podpora bývá pro Windows, macOS, Linux, iOS, Android. Pokud platforma chybí (například konkrétní router nebo Apple TV), často jde připojení sestavit ručně přes konfigurační soubory OpenVPN nebo WireGuard, ale bez extra funkcí.

VPN rozšíření v Chromu nebo Firefoxu je ve většině případů HTTPS proxy, ne plnohodnotný VPN tunel. Chrání se jen provoz z prohlížeče; veškerý ostatní síťový provoz (jiné aplikace, aktualizace systému, e-mailový klient) jde běžnou cestou. Užitečné, když chcete dočasně změnit zemi výstupu bez zakládání systémového tunelu, ale není to náhrada za skutečného VPN klienta.

Označíme Ano, pokud vlastní web poskytovatele zmiňuje streaming jako funkci. Mnoho streamovacích služeb spravuje seznamy VPN IP adres a blokuje je. Poskytovatel, který funguje dnes, může příští týden přestat fungovat. Krátká záruka vrácení peněz je nejlepší pojistka, pokud je streaming váš hlavní účel.

Počet streamovacích služeb, které poskytovatel sám uvádí na svém webu jako podporované. Někteří uvádějí vyčerpávající seznam na vyhrazené stránce, jiní jen podmnožinu, další to nevypisují vůbec.