Ordliste — VPN-begreber i klart sprog

En kill switch overvåger VPN-tunnelen og blokerer al internettrafik, hvis tunnelen brydes — for eksempel når du skifter wifi, eller serveren mister forbindelsen. Uden den fortsætter computeren med at sende pakker via dit normale netværk, indtil klienten genopretter forbindelsen, hvilket afslører din rigtige IP-adresse. For den, der bruger VPN til at skjule sin lokation, er en kill switch i praksis obligatorisk.

Split tunneling deler trafikken i to ruter. Du kan for eksempel køre browseren via VPN, men lade bankappen eller lokale printere gå udenom, hvilket ellers ofte ender med, at tjenesten blokerer dig eller er langsommere end nødvendigt. Det modsatte af split tunneling — fuld tunnel — sender alt gennem VPN uanset app.

Ved multi-hop (også kaldet double VPN) sendes din trafik gennem en kæde af to servere i forskellige lande. Den første server ser din rigtige IP, men ikke hvad du besøger; den anden ser destinationen, men ikke hvorfra trafikken oprindeligt kom. Det beskytter mod en udbyder, der mister logningsdisciplinen, men koster hastighed og er overkill for de fleste.

Hver gang du åbner en webside, slår computeren domænenavnet op via en DNS-server. Hvis DNS-trafikken ved en fejl går direkte til din internetudbyder i stedet for gennem VPN-tunnelen, kan de stadig se hele listen af sites, du besøger, selvom selve sideindlæsningen er krypteret. DNS-lækagebeskyttelse tvinger opslagene ind i tunnelen.

En VPN-protokol bestemmer, hvordan klienten og serveren forhandler en krypteret tunnel, og hvordan pakkerne pakkes. WireGuard er den moderne standard med en lille kodebase, er hurtig og god på mobilnet. OpenVPN er ældre og langsommere, men ekstremt gennemprøvet og findes overalt. IKEv2/IPsec håndterer netværksskift godt og bruges ofte på mobiler. Undgå ældre protokoller som PPTP eller L2TP uden IPsec.

Alle seriøse VPN-tjenester krypterer trafikken med AES-256 eller ChaCha20. Begge er i dag praktisk talt ubrydelige med kendte metoder. Fraser som »military-grade« eller »bank-grade encryption« er ren markedsføring — der findes ingen sådan standard. Hvad der spiller en større rolle er, hvordan nøglerne udveksles, og om perfect forward secrecy bruges, hvilket alle moderne protokoller gør.

Det land, hvor selskabet har sit hjemsted, styrer hvilke domstole og efterretningstjenester, der kan kræve data udleveret eller tvinge udbyderen til at begynde at logge. Lande inden for Five/Nine/14 Eyes-samarbejderne deler efterretninger rutinemæssigt; udbydere med hjemsted udenfor (for eksempel Panama eller Schweiz) står lidt friere. Det beskytter dog ikke mod en dårlig no-logs-politik — et land uden opbevaringskrav er kun nok, hvis udbyderen rent faktisk ikke gemmer noget.

Læs mere om Five / Nine / 14 Eyes →

Antallet af servere er et populært tal at fremhæve, men siger lidt i sig selv. Tre tusinde servere i fem lande er værre end tre hundrede servere i halvtreds lande. Hvad der tæller er, om der findes servere tæt på, hvor du er (latens) og i de lande, du har brug for at forbinde til (geoblokering). Høje tal afspejler også, hvordan udbyderen tæller — virtuelle instanser og load balancere tælles ofte med.

Antallet af lande med servere afgør, hvilke geografiske regioner du kan få en IP-adresse fra. Er du ude efter at nå BBC iPlayer, skal der være servere i Storbritannien; vil du se amerikansk Netflix, skal der være i USA. For de fleste rækker 30-50 lande fint; alt derudover er primært til edge cases.

Serverlokationer fortæller, hvor du kan få et udgangspunkt. Nogle udbydere kører fysiske servere i alle de listede lande; andre bruger virtuelle servere, hvor maskinen står et andet sted, men tildeler en IP-adresse fra mållandet. Til geoblokering er begge ligeværdige; til latens er fysisk placering bedre.

En gratisplan plejer at være en smagsprøve, ikke et fuldgyldigt alternativ. Typiske begrænsninger er 500 MB til 10 GB trafik pr. måned, et fåtal serverlande og lavere hastighed. Undgå gratis-VPN fra ukendte udbydere — drift er dyr, og hvis du ikke betaler, er du sandsynligvis produktet (annoncemåling eller videresalg af trafik).

Garantien er i praksis en gratis prøveperiode: du betaler årsgebyret og kræver pengene tilbage, inden perioden udløber, hvis du ikke er tilfreds. Læs betingelserne — visse udbydere nægter tilbagebetaling, hvis du har brugt for meget trafik, har handlet via App Store eller har købt via særlige kampagner.

Næsten alle VPN-udbydere markedsfører sig med stærkt rabatteret pris i første periode og vender derefter tilbage til en betydeligt højere ordinær pris, når du fornyer. Rabatten kan være 60-80 % det første år. Det er fornyelsesprisen, der er den langsigtede omkostning — det er det tal, du bør sammenligne.

Grænsen styrer, hvor mange af dine enheder, der kan være logget ind på VPN samtidigt. En router tæller som én enhed, men dækker alt, der kobler op bag den, så installation på routeren er en god måde at spare på antallet af enheder. Deler du kontoen med familien, skal der normalt være understøttelse for 5-10 samtidige enheder.

Med ubegrænset antal samtidige forbindelser kan du logge ind på lige så mange enheder, du vil, samtidigt. Praktisk til storhusstande, smart home-udstyr, og hvis du vil dele kontoen med nær familie. Rimelig brug forudsættes — udbydere slår normalt ned på kommerciel deling.

De fleste VPN-annonceblokeringer er grundlæggende en DNS-sortliste: serveren nægter at slå kendte annoncedomæner op. Det virker mod bannerannoncer og tredjepartstrackere, men misser annoncer, der ligger på samme domæne som indholdet (for eksempel YouTube). En dedikeret browserudvidelse som uBlock Origin er mere grundig. To fordele ved VPN-varianten: den beskytter alle enheder og virker i apps, ikke kun i browseren.

En officiel app til VPN-tjenesten gør installationen nem og håndterer detaljer som kill switch og DNS-lækagebeskyttelse automatisk. Almindelig understøttelse findes til Windows, macOS, Linux, iOS, Android. Mangler en platform (for eksempel en specifik router eller Apple TV), kan man ofte alligevel koble op manuelt via OpenVPN- eller WireGuard-konfigurationsfiler, men så uden ekstrafunktioner.

En VPN-udvidelse i Chrome eller Firefox er i de fleste tilfælde en HTTPS-proxy, ikke en fuld VPN-tunnel. Kun browsertrafikken beskyttes; al anden netværkstrafik (andre apps, systemopdateringer, mailklient) går almindelig vej. Praktisk når du midlertidigt vil skifte udgangsland uden at sætte en systemtunnel op, men det er ingen erstatning for en rigtig VPN-klient.

Vi sætter Ja, hvis udbyderens eget site nævner streaming som en funktion. Mange streamingtjenester vedligeholder lister over VPN-IP-adresser og blokerer dem. En udbyder, der virker i dag, kan holde op med at virke næste uge. Kort pengene-tilbage-garanti er den bedste forsikring, hvis streaming er dit hovedformål.

Antallet af streamingtjenester, som udbyderen selv lister som understøttet på sit site. Nogle lister udtømmende på en dedikeret side, andre kun et udsnit, andre lister slet ikke.