Szószedet — VPN-fogalmak közérthetően

A kill switch figyeli a VPN-alagutat, és blokkolja az összes internetes forgalmat, ha az alagút megszakad — például amikor wifit váltasz, vagy a szerver elveszti a kapcsolatot. Nélküle a gép addig küldené tovább a csomagokat a hagyományos hálózaton keresztül, amíg a kliens újra nem csatlakozik, ami felfedi a valódi IP-címedet. Aki VPN-t használ a helye elrejtésére, annak a kill switch gyakorlatilag kötelező.

A split tunneling két útra osztja a forgalmat. Például futtathatod a böngészőt VPN-en keresztül, de hagyhatod, hogy a bankalkalmazás vagy a helyi nyomtatók kívül maradjanak — máskülönben ezeket gyakran blokkolja a szolgáltatás, vagy a kelleténél lassabb. A split tunneling ellentéte — a full tunnel — mindent a VPN-en keresztül küld, függetlenül az alkalmazástól.

Multi-hop esetén (néha double VPN-nek hívják) a forgalmad két, különböző országban található szerverből álló láncon keresztül halad. Az első szerver látja a valódi IP-címedet, de azt nem, hogy hova mész; a második látja a célt, de azt nem, hogy a forgalom eredetileg honnan jött. Védelmet ad egy olyan szolgáltató ellen, amelyik elveszti a no-logs fegyelmét, viszont sebességbe kerül, és a többség számára túlzás.

Minden alkalommal, amikor megnyitsz egy weboldalt, a gép feloldja a domain nevet egy DNS-szerveren keresztül. Ha a DNS-forgalom tévedésből közvetlenül az internetszolgáltatódhoz megy a VPN-alagút helyett, akkor ők továbbra is látják az összes felkeresett oldal listáját, még ha maga az oldalbetöltés titkosítva is van. A DNS-szivárgás elleni védelem rákényszeríti a lekérdezéseket az alagútba.

Egy VPN-protokoll meghatározza, hogyan tárgyal a kliens és a szerver egy titkosított alagutat, és hogyan csomagolódnak a csomagok. A WireGuard a modern szabvány: kis kódbázissal, gyors, és jól bírja a mobilhálózatokat. Az OpenVPN régebbi és lassabb, de rendkívül kipróbált, és mindenhol megtalálható. Az IKEv2/IPsec jól kezeli a hálózatváltásokat, és gyakran használják mobilon. Kerüld a régebbi protokollokat, mint a PPTP vagy az L2TP IPsec nélkül.

Minden komoly VPN-szolgáltatás AES-256-tal vagy ChaCha20-szal titkosítja a forgalmat. Mindkettő ma már gyakorlatilag feltörhetetlen az ismert módszerekkel. Az olyan kifejezések, mint a »military-grade« vagy »bank-grade encryption« tiszta marketing — nincs ilyen szabvány. Sokkal többet számít, hogyan cserélik a kulcsokat, és használnak-e perfect forward secrecy-t, amit minden modern protokoll megtesz.

Az az ország, ahol a cég székhelye van, határozza meg, mely bíróságok és titkosszolgálatok kérhetik ki az adatokat, vagy kényszeríthetik a szolgáltatót naplózásra. A Five/Nine/14 Eyes együttműködéseken belüli országok rutinszerűen megosztják a hírszerzési információkat; az ezeken kívüli (például panamai vagy svájci) székhelyű szolgáltatók szabadabbak. Ez viszont nem véd egy rossz no-logs szabályzat ellen — egy adattárolási kötelezettség nélküli ország csak akkor elég, ha a szolgáltató ténylegesen nem tárol semmit.

Tudj meg többet a Five / Nine / 14 Eyes-ról →

A szerverek száma népszerű kiemelt adat, de önmagában keveset mond. Háromezer szerver öt országban rosszabb, mint háromszáz szerver ötven országban. Ami számít: van-e szerver közel hozzád (latencia), és azokban az országokban, ahova csatlakozni szeretnél (geoblokk). A magas számok tükrözik azt is, hogyan számol a szolgáltató — a virtuális példányokat és terheléselosztókat gyakran beleszámolják.

A szerverekkel rendelkező országok száma határozza meg, mely földrajzi régiókból kaphatsz IP-címet. Ha a BBC iPlayert akarod elérni, az Egyesült Királyságban kell lennie szervernek; ha az amerikai Netflixet akarod nézni, az USA-ban kell lennie. A többség számára 30–50 ország bőven elég; az ezen felüli rész főleg edge case.

A szerverhelyszínek megmondják, honnan léphetsz ki. Egyes szolgáltatók fizikai szervereket üzemeltetnek minden listázott országban; mások virtuális szervereket használnak, ahol a gép máshol áll, de a célországból oszt ki IP-címet. Geoblokkolás szempontjából egyenértékűek; latencia szempontjából a fizikai elhelyezés a jobb.

Az ingyenes csomag általában ízelítő, nem teljes értékű alternatíva. Tipikus korlátok: 500 MB-tól 10 GB-ig terjedő havi forgalom, néhány szerverország és alacsonyabb sebesség. Kerüld az ismeretlen szolgáltatóktól származó ingyenes VPN-eket — az üzemeltetés drága, és ha te nem fizetsz, valószínűleg te vagy a termék (reklámmérés vagy a forgalom továbbértékesítése).

A garancia a gyakorlatban egy ingyenes próbaidőszak: kifizeted az éves díjat, és a határidő lejárta előtt visszakéred a pénzed, ha nem vagy elégedett. Olvasd el a feltételeket — egyes szolgáltatók megtagadják a visszatérítést, ha túl sok forgalmat használtál, App Store-on keresztül vásároltál, vagy speciális akciókon keresztül vetted meg.

Szinte minden VPN-szolgáltató mélyen kedvezményezett első időszakos árral hirdeti magát, majd lényegesen magasabb normál árra vált a megújításnál. A kedvezmény az első évben 60–80% lehet. A megújítási ár a hosszú távú költség — ezt a számot érdemes összehasonlítani.

A korlát meghatározza, hogy egyszerre hány eszközöd lehet bejelentkezve a VPN-be. Egy router egy eszköznek számít, de lefed mindent, ami mögötte csatlakozik, így a routerre telepítés jó módja az eszközszám csökkentésének. Ha a családdal osztod a fiókot, általában 5–10 egyidejű eszközre van szükség.

Korlátlan számú egyidejű kapcsolattal annyi eszközről jelentkezhetsz be egyszerre, ahányról csak akarsz. Hasznos nagy háztartásoknak, smart home-eszközöknek, és ha közeli családtagokkal akarod osztani a fiókot. Az ésszerű használat elvárás — a szolgáltatók általában lecsapnak a kereskedelmi megosztásra.

A legtöbb VPN-reklámblokkoló alapvetően egy DNS-feketelista: a szerver megtagadja az ismert reklámdomének feloldását. Ez működik a bannerek és a harmadik fél követői ellen, de elszalasztja azokat a reklámokat, amelyek a tartalommal egy doménen vannak (például YouTube). Egy dedikált böngészőkiegészítő, mint az uBlock Origin, alaposabb. A VPN-változatnak két előnye van: minden eszközt véd, és appokban is működik, nem csak a böngészőben.

Egy hivatalos app egyszerűvé teszi a telepítést, és automatikusan kezeli a részleteket, mint a kill switch és a DNS-szivárgás elleni védelem. Általában Windows, macOS, Linux, iOS, Android támogatott. Ha hiányzik egy platform (például egy adott router vagy Apple TV), gyakran OpenVPN- vagy WireGuard-konfigurációs fájlokkal manuálisan is csatlakoztatható, de extra funkciók nélkül.

Egy Chrome- vagy Firefox-VPN-kiegészítő a legtöbb esetben HTTPS-proxy, nem teljes VPN-alagút. Csak a böngészőforgalom védett; minden más hálózati forgalom (más appok, rendszerfrissítések, e-mail kliens) a szokásos úton megy. Hasznos, ha ideiglenesen szeretnél kilépő országot váltani anélkül, hogy rendszer-alagutat építenél, de nem helyettesíti az igazi VPN-klienst.

Igent állítunk be, ha a szolgáltató saját oldala funkcióként említi a streaminget. Sok streamingszolgáltatás VPN-IP-címek listáit tartja fenn, és blokkolja őket. Egy ma működő szolgáltató jövő héten már nem biztos, hogy működik. A rövid pénzvisszafizetési garancia a legjobb biztosíték, ha a streaming a fő célod.

Azon streamingszolgáltatások száma, amelyeket a szolgáltató saját maga támogatottként listáz az oldalán. Egyesek kimerítően listáznak egy dedikált oldalon, mások csak egy részhalmazt, megint mások egyáltalán nem listáznak.