Sanasto — VPN-käsitteet selkokielellä

Kill switch valvoo VPN-tunnelia ja estää kaiken internetliikenteen, jos tunneli katkeaa — esimerkiksi vaihtaessasi wifiä tai palvelimen yhteyden katketessa. Ilman sitä tietokone jatkaa pakettien lähettämistä tavallisen verkkosi kautta, kunnes asiakasohjelma muodostaa yhteyden uudelleen, mikä paljastaa oikean IP-osoitteesi. Niille, jotka käyttävät VPN:ää sijainnin piilottamiseen, kill switch on käytännössä pakollinen.

Split tunneling jakaa liikenteen kahteen reittiin. Voit esimerkiksi ajaa selainta VPN:n kautta mutta antaa pankkisovelluksen tai paikallisten tulostimien kulkea sen ulkopuolelta — muuten palvelu usein estää sinut tai toimii tarpeettoman hitaasti. Split tunnelingin vastakohta — full tunnel — lähettää kaiken VPN:n kautta sovelluksesta riippumatta.

Multi-hopissa (joskus double VPN -nimellä) liikenteesi kulkee kahden palvelimen ketjun kautta eri maissa. Ensimmäinen palvelin näkee oikean IP-osoitteesi mutta ei sitä, missä vierailet; toinen näkee kohteen mutta ei sitä, mistä liikenne alun perin tuli. Tämä suojaa tarjoajalta, joka pettää loki-kurinsa, mutta maksaa nopeutta ja on ylimitoitettu useimmille.

Aina kun avaat verkkosivun, tietokone selvittää verkkotunnuksen DNS-palvelimelta. Jos DNS-liikenne menee vahingossa suoraan internetpalveluntarjoajallesi VPN-tunnelin sijaan, he näkevät edelleen koko listan sivustoja, joilla vierailet, vaikka itse sivun lataus on salattu. DNS-vuotosuojaus pakottaa kyselyt tunneliin.

VPN-protokolla määrittää, miten asiakas ja palvelin neuvottelevat salatun tunnelin ja miten paketit paketoidaan. WireGuard on moderni standardi pienellä koodikannallaan, nopea ja hyvä mobiiliverkoissa. OpenVPN on vanhempi ja hitaampi, mutta erittäin hyvin testattu ja saatavilla kaikkialla. IKEv2/IPsec selviää verkkojen vaihdoista hyvin ja sitä käytetään usein mobiililaitteissa. Vältä vanhempia protokollia kuten PPTP tai L2TP ilman IPsecia.

Kaikki vakavasti otettavat VPN-palvelut salaavat liikenteen joko AES-256:lla tai ChaCha20:lla. Molemmat ovat tällä hetkellä käytännössä murtumattomia tunnetuilla menetelmillä. Lauseet kuten »military-grade« tai »bank-grade encryption« ovat pelkkää markkinointia — sellaista standardia ei ole olemassa. Suurempi merkitys on sillä, miten avaimet vaihdetaan ja käytetäänkö perfect forward secrecyä, jota kaikki modernit protokollat käyttävät.

Maa, jossa yrityksellä on kotipaikkansa, määrittää, mitkä tuomioistuimet ja tiedustelupalvelut voivat vaatia dataa tai pakottaa tarjoajan aloittamaan kirjaamisen. Five/Nine/14 Eyes -yhteistyömaiden sisällä jaetaan tiedustelutietoa rutiininomaisesti; niiden ulkopuolelle (esimerkiksi Panama tai Sveitsi) sijoittuneet tarjoajat ovat hieman vapaampia. Tämä ei kuitenkaan suojaa huonolta no-logs-käytännöltä — maa ilman tallennusvaatimuksia riittää vain, jos tarjoaja todella ei tallenna mitään.

Lue lisää Five / Nine / 14 Eyesista →

Palvelinten lukumäärä on suosittu mainontaluku, mutta itsessään se kertoo vähän. Kolmetuhatta palvelinta viidessä maassa on huonompi kuin kolmesataa palvelinta viidessäkymmenessä maassa. Tärkeää on, onko palvelimia lähellä sijaintiasi (latenssi) ja maissa, joihin haluat yhdistää (geoblokit). Korkeat luvut heijastavat myös tarjoajan laskutapaa — virtuaali-instanssit ja kuormantasaajat lasketaan usein mukaan.

Niiden maiden lukumäärä, joissa on palvelimia, määrittää, mistä maantieteellisistä alueista voit saada IP-osoitteen. Jos haluat tavoittaa BBC iPlayerin, palvelimia täytyy olla Yhdistyneessä kuningaskunnassa; jos haluat katsoa amerikkalaista Netflixiä, niitä täytyy olla Yhdysvalloissa. Useimmille riittää 30–50 maata; sen yli on lähinnä erikoistapauksia varten.

Palvelinsijainnit kertovat, mistä voit saada ulostulopisteen. Jotkut tarjoajat ajavat fyysisiä palvelimia kaikissa listatuissa maissa; toiset käyttävät virtuaalisia palvelimia, joissa kone sijaitsee muualla mutta antaa IP-osoitteen kohdemaasta. Geoblokkien kannalta molemmat ovat samanarvoisia; latenssin osalta fyysinen sijainti on parempi.

Ilmainen versio on yleensä maistiainen, ei täysipainoinen vaihtoehto. Tyypillisiä rajoituksia ovat 500 Mt – 10 Gt liikennettä kuukaudessa, muutama palvelinmaa ja alhaisempi nopeus. Vältä tuntemattomien tarjoajien ilmaisia VPN-palveluja — toiminta on kallista, ja jos et maksa, olet todennäköisesti tuote (mainosmittaus tai liikenteen edelleenmyynti).

Takuu on käytännössä ilmainen testijakso: maksat vuosimaksun ja vaadit rahat takaisin ennen jakson päättymistä, jos et ole tyytyväinen. Lue ehdot — jotkut tarjoajat kieltäytyvät palauttamasta rahoja, jos olet käyttänyt liikaa liikennettä, ostanut App Storen kautta tai tehnyt oston erityiskampanjasta.

Lähes kaikki VPN-tarjoajat markkinoivat itseään syvästi alennetulla ensimmäisen kauden hinnalla ja palaavat sitten huomattavasti korkeampaan vakiohintaan, kun uusit. Alennus voi olla 60–80 % ensimmäisenä vuonna. Uusintahinta on pitkän aikavälin kustannus — sitä lukua kannattaa vertailla.

Raja määrittää, kuinka monta laitettasi voi olla kirjautuneena VPN:ään samanaikaisesti. Reititin lasketaan yhdeksi laitteeksi mutta kattaa kaiken, mikä yhdistyy sen taakse, joten asennus reitittimeen on hyvä tapa säästää laitemäärässä. Jos jaat tilin perheen kanssa, tarvitset yleensä tuen 5–10 samanaikaiselle laitteelle.

Rajattomalla samanaikaisten yhteyksien määrällä voit kirjautua niin monelle laitteelle kuin haluat yhtä aikaa. Käytännöllistä suurtalouksille, älykodin laitteille ja jos haluat jakaa tilin lähiperheen kanssa. Kohtuullinen käyttö oletetaan — tarjoajat puuttuvat yleensä kaupalliseen jakamiseen.

Useimmat VPN-mainosestot ovat pohjimmiltaan DNS-mustia listoja: palvelin kieltäytyy ratkaisemasta tunnettuja mainosdomeeneja. Tämä toimii bannereita ja kolmannen osapuolen seurantaa vastaan, mutta jättää huomiotta mainokset, jotka sijaitsevat samalla domeenilla kuin sisältö (esimerkiksi YouTube). Omistautunut selainlaajennus kuten uBlock Origin on perusteellisempi. VPN-version kaksi etua: se suojaa kaikkia laitteita ja toimii sovelluksissa, ei vain selaimessa.

Virallinen sovellus VPN-palvelulle tekee asennuksesta helpon ja hoitaa yksityiskohdat kuten kill switchin ja DNS-vuotosuojauksen automaattisesti. Yleisesti tuettuja ovat Windows, macOS, Linux, iOS ja Android. Jos alusta puuttuu (esimerkiksi tietty reititin tai Apple TV), yhteys onnistuu usein silti manuaalisesti OpenVPN- tai WireGuard-konfiguraatiotiedostoilla, mutta ilman lisäominaisuuksia.

VPN-laajennus Chromessa tai Firefoxissa on useimmissa tapauksissa HTTPS-välityspalvelin, ei täysi VPN-tunneli. Vain selainliikenne on suojattu; kaikki muu verkkoliikenne (muut sovellukset, järjestelmäpäivitykset, sähköpostiohjelma) kulkee tavanomaista reittiä. Hyödyllinen, kun haluat vaihtaa lähtömaata tilapäisesti ilman järjestelmätunnelin pystyttämistä, mutta se ei ole korvike oikealle VPN-asiakkaalle.

Asetamme Kyllä, jos tarjoajan oma sivusto mainitsee suoratoiston ominaisuutena. Monet suoratoistopalvelut ylläpitävät listoja VPN-IP-osoitteista ja estävät niitä. Tarjoaja, joka toimii tänään, voi lakata toimimasta ensi viikolla. Lyhyt rahat takaisin -takuu on paras vakuutus, jos suoratoisto on päätarkoituksesi.

Niiden suoratoistopalvelujen lukumäärä, jotka tarjoaja itse listaa tuettuina sivustollaan. Jotkut listaavat kattavasti omistautuneella sivulla, toiset vain osajoukon, kolmannet eivät lainkaan.