Sõnastik — VPN-i mõisted lihtsas keeles

Kill switch jälgib VPN-tunnelit ja blokeerib kogu internetiliikluse, kui tunnel katkeb — näiteks kui vahetad WiFi-võrku või server kaotab ühenduse. Ilma selleta jätkab arvuti pakettide saatmist tavalise võrgu kaudu kuni klient taasühendub, paljastades su tegeliku IP-aadressi. Kellele, kes kasutab VPN-i asukoha varjamiseks, on kill switch praktikas kohustuslik.

Split tunneling jagab liikluse kaheks teeks. Sa võid näiteks lasta brauseril minna VPN-i kaudu, kuid lasta pangarakendusel või kohalikel printeritel sealt välja — vastasel juhul lõpeb see sageli sellega, et teenus blokeerib su või on aeglasem kui vaja. Split tunnelingu vastand — full tunnel — saadab kõik VPN-i kaudu sõltumata rakendusest.

Multi-hopi (mõnikord double VPN) puhul ühendatakse su liiklus kahe erinevas riigis asuva serveri ahela kaudu. Esimene server näeb su tegelikku IP-d, kuid mitte seda, kuhu sa lähed; teine näeb sihtkohta, kuid mitte seda, kust liiklus algselt tuli. See kaitseb teenusepakkuja eest, kes kaotab logimisdistsipliini, kuid maksab kiirust ja on enamiku jaoks ülearu.

Iga kord, kui avad veebilehe, otsib arvuti domeeninime üles DNS-serveri kaudu. Kui DNS-liiklus läheb kogemata otse su internetiteenusepakkuja juurde, mitte VPN-tunneli kaudu, näevad nad endiselt kogu külastatud saitide nimekirja, isegi kui lehelaadimine ise on krüpteeritud. DNS-i lekkekaitse sunnib päringud tunnelisse.

VPN-protokoll määrab, kuidas klient ja server lepivad kokku krüpteeritud tunnelis ja kuidas pakette pakitakse. WireGuard on moodne standard väikse koodibaasiga, on kiire ja hea mobiilivõrkudes. OpenVPN on vanem ja aeglasem, kuid äärmiselt hästi läbiproovitud ja kättesaadav kõikjal. IKEv2/IPsec tuleb hästi toime võrguvahetustega ja seda kasutatakse sageli mobiilides. Väldi vanemaid protokolle nagu PPTP või L2TP ilma IPsecita.

Kõik tõsised VPN-teenused krüpteerivad liiklust AES-256 või ChaCha20-ga. Mõlemad on tänapäeval teadaolevate meetoditega praktiliselt murdmatud. Fraasid nagu »military-grade« või »bank-grade encryption« on puhas turundus — sellist standardit pole olemas. Tähtsam on see, kuidas võtmeid vahetatakse ja kas kasutatakse perfect forward secrecy-t, mida teevad kõik moodsad protokollid.

Riik, kus ettevõttel on registrijärgne asukoht, määrab, millised kohtud ja julgeolekuteenistused saavad nõuda andmeid või sundida teenusepakkujat hakkama logima. Five/Nine/14 Eyesi koostöö raames olevad riigid jagavad luureandmeid rutiinselt; nendest väljaspool asuvad teenusepakkujad (näiteks Panama või Šveits) on veidi vabamad. See ei kaitse aga halva no-logs-poliitika eest — säilitamiskohustuseta riik aitab ainult siis, kui teenusepakkuja tegelikult midagi ei salvesta.

Loe rohkem Five / Nine / 14 Eyesi kohta →

Serverite arv on populaarne number, mida esile tõsta, kuid see ise ütleb vähe. Kolm tuhat serverit viies riigis on halvem kui kolmsada serverit viiekümnes riigis. Tähtis on see, kas servereid on lähedal, kus sina oled (latentsus) ja riikides, kuhu pead ühenduma (geoblokeering). Suured arvud peegeldavad ka seda, kuidas teenusepakkuja loeb — virtuaalsed eksemplarid ja koormusbilansid loetakse sageli kaasa.

Serveritega riikide arv määrab, millistest geograafilistest piirkondadest saad IP-aadressi. Kui tahad ligi pääseda BBC iPlayerile, peavad serverid olema Ühendkuningriigis; kui tahad vaadata Ameerika Netflixit, peavad need olema USA-s. Enamiku jaoks piisab 30–50 riigist; kõik üle selle on peamiselt eriolukordade jaoks.

Serverite asukohad ütlevad, kust saad väljumispunkti. Mõned teenusepakkujad haldavad füüsilisi servereid kõigis loetletud riikides; teised kasutavad virtuaalseid servereid, kus masin asub kuskil mujal, kuid määrab IP-aadressi sihtriigist. Geoblokeerimise jaoks on mõlemad samaväärsed; latentsuse jaoks on füüsiline asukoht parem.

Tasuta versioon kipub olema näide, mitte täisväärtuslik alternatiiv. Tüüpilised piirangud on 500 MB kuni 10 GB liiklust kuus, vähe serveririike ja madalam kiirus. Väldi tundmatutelt teenusepakkujatelt tasuta VPN-e — käitamine on kallis ja kui sa ei maksa, oled tõenäoliselt sina toode (reklaamimõõtmine või liikluse edasimüük).

Garantii on praktikas tasuta proovimisperiood: maksad aastatasu ja nõuad raha tagasi enne perioodi lõppu, kui sa pole rahul. Loe tingimused — mõned teenusepakkujad keelduvad tagasimakset, kui oled kasutanud liiga palju liiklust, ostnud App Store'i kaudu või soetanud teatud kampaaniate kaudu.

Peaaegu kõik VPN-teenusepakkujad turundavad end sügavalt soodustatud esmase perioodi hinnaga ja pöörduvad seejärel tagasi oluliselt kõrgema tavahinna juurde, kui sa pikendad. Allahindlus võib olla esimesel aastal 60–80%. Pikenemishind on pikaajaline kulu — just seda numbrit peaksid võrdlema.

Piirang määrab, mitu su seadet saavad korraga olla VPN-i sisse logitud. Ruuter loetakse üheks seadmeks, kuid katab kõik, mis selle taga ühenduvad, seega on installeerimine ruuterile hea viis seadmete arvuga kokku hoida. Kui jagad kontot perega, on tavaliselt vaja tuge 5–10 üheaegsele seadmele.

Piiramatu arvu üheaegsete ühendustega saad korraga sisse logida nii paljudest seadmetest kui soovid. Praktiline suurtele majapidamistele, nutikodu seadmetele ja kui soovid kontot lähedaste pereliikmetega jagada. Mõistlik kasutus on eeldatud — teenusepakkujad reageerivad tavaliselt ärilisele jagamisele.

Enamik VPN-i reklaamiblokeerijaid on põhimõtteliselt DNS-i mustad nimekirjad: server keeldub teadaolevaid reklaamidomeene üles otsimast. See toimib banneritele ja kolmanda osapoole jälitajatele, kuid jätab vahele reklaamid, mis asuvad samal domeenil mis sisu (näiteks YouTube). Spetsiaalne brauserilaiendus nagu uBlock Origin on põhjalikum. VPN-versiooni kaks eelist: see kaitseb kõiki seadmeid ja töötab rakendustes, mitte ainult brauseris.

Ametlik VPN-teenuse rakendus muudab paigaldamise lihtsaks ja hoolitseb automaatselt detailide nagu kill switch ja DNS-i lekkekaitse eest. Tavaline tugi on Windowsile, macOS-ile, Linuxile, iOS-ile, Androidile. Kui platvorm puudub (näiteks konkreetne ruuter või Apple TV), saab sageli siiski käsitsi ühenduda OpenVPN- või WireGuard-konfiguratsioonifailide kaudu, kuid ilma lisafunktsioonideta.

VPN-laiendus Chrome'is või Firefoxis on enamasti HTTPS-proksi, mitte täielik VPN-tunnel. Kaitstud on ainult brauseri liiklus; kogu muu võrguliiklus (teised rakendused, süsteemiuuendused, e-posti klient) läheb tavalist teed. Kasulik, kui tahad ajutiselt vahetada väljumisriiki ilma süsteemse tunneli ülesseadmiseta, kuid see ei asenda päris VPN-klienti.

Märgime Jah, kui teenusepakkuja enda sait mainib striimimist kui funktsiooni. Paljud striimingteenused peavad VPN-i IP-aadresside nimekirju ja blokeerivad neid. Teenusepakkuja, mis täna töötab, võib järgmisel nädalal lõpetada töötamise. Lühike raha-tagasi-garantii on parim kindlustus, kui striimimine on su peamine eesmärk.

Striimingteenuste arv, mille teenusepakkuja ise oma saidil toetatuna loetleb. Mõned loetlevad ammendavalt pühendatud lehel, teised vaid alamhulga, teised üldse mitte.