Słownik — Pojęcia VPN w prostym języku

Kill switch monitoruje tunel VPN i blokuje cały ruch internetowy, jeśli tunel zostanie zerwany — na przykład gdy zmieniasz Wi-Fi lub serwer traci połączenie. Bez niego komputer dalej wysyła pakiety przez Twoją zwykłą sieć, dopóki klient się nie połączy ponownie, co ujawnia Twój prawdziwy adres IP. Dla kogoś, kto używa VPN, by ukryć swoją lokalizację, kill switch jest w praktyce obowiązkowy.

Split tunneling dzieli ruch na dwie ścieżki. Możesz na przykład puścić przeglądarkę przez VPN, ale pozwolić aplikacji bankowej lub lokalnym drukarkom iść poza nim — w przeciwnym razie usługa często Cię blokuje albo działa wolniej niż trzeba. Przeciwieństwo split tunneling — pełny tunel — przesyła wszystko przez VPN niezależnie od aplikacji.

Przy multi-hop (czasem nazywanym double VPN) Twój ruch jest przepuszczany przez łańcuch dwóch serwerów w różnych krajach. Pierwszy serwer widzi Twój prawdziwy IP, ale nie to, co odwiedzasz; drugi widzi cel, ale nie skąd ruch pierwotnie pochodził. To chroni przed dostawcą, który traci dyscyplinę w kwestii logów, ale kosztuje prędkość i dla większości jest przesadą.

Za każdym razem, gdy otwierasz stronę, komputer sprawdza nazwę domeny przez serwer DNS. Jeśli ruch DNS przez pomyłkę idzie bezpośrednio do Twojego dostawcy internetu, zamiast przez tunel VPN, nadal widzi on całą listę stron, które odwiedzasz, nawet jeśli sam ładunek strony jest zaszyfrowany. Ochrona przed wyciekami DNS wymusza, by zapytania szły przez tunel.

Protokół VPN określa, jak klient i serwer negocjują zaszyfrowany tunel i jak są pakowane pakiety. WireGuard to nowoczesny standard z małą bazą kodu, szybki i dobry w sieciach mobilnych. OpenVPN jest starszy i wolniejszy, ale wyjątkowo dobrze sprawdzony i dostępny wszędzie. IKEv2/IPsec dobrze radzi sobie ze zmianami sieci i jest często używany na komórkach. Unikaj starszych protokołów, takich jak PPTP czy L2TP bez IPsec.

Wszystkie poważne usługi VPN szyfrują ruch za pomocą AES-256 lub ChaCha20. Oba są dziś praktycznie nie do złamania znanymi metodami. Hasła typu »military-grade« czy »bank-grade encryption« to czysty marketing — taki standard nie istnieje. Większe znaczenie ma to, jak wymieniane są klucze i czy stosowane jest perfect forward secrecy, co robią wszystkie nowoczesne protokoły.

Kraj, w którym firma ma siedzibę, decyduje o tym, które sądy i służby bezpieczeństwa mogą zażądać danych lub zmusić dostawcę do rozpoczęcia logowania. Kraje w ramach współpracy Five Eyes / Nine Eyes / 14 Eyes rutynowo wymieniają się informacjami wywiadowczymi; dostawcy z siedzibą poza nimi (na przykład w Panamie czy Szwajcarii) są nieco bardziej niezależni. Nie chroni to jednak przed słabą polityką no-logs — kraj bez wymogów retencji wystarczy tylko wtedy, gdy dostawca faktycznie niczego nie zapisuje.

Czytaj więcej o Five / Nine / 14 Eyes →

Liczba serwerów to popularna cyfra do eksponowania, ale sama w sobie niewiele mówi. Trzy tysiące serwerów w pięciu krajach jest gorsze niż trzysta serwerów w pięćdziesięciu krajach. Liczy się to, czy są serwery blisko miejsca, w którym jesteś (opóźnienie), oraz w krajach, do których musisz się podłączyć (geoblokady). Wysokie liczby odzwierciedlają też sposób liczenia dostawcy — instancje wirtualne i load balancery są często wliczane.

Liczba krajów z serwerami decyduje o tym, z jakich regionów geograficznych możesz dostać adres IP. Jeśli chcesz dotrzeć do BBC iPlayer, musisz mieć serwery w Wielkiej Brytanii; jeśli chcesz oglądać amerykański Netflix, musisz mieć je w USA. Dla większości osób spokojnie wystarczy 30–50 krajów; wszystko powyżej to głównie edge case.

Lokalizacje serwerów mówią, skąd możesz mieć punkt wyjściowy. Niektórzy dostawcy prowadzą fizyczne serwery we wszystkich wymienionych krajach; inni korzystają z serwerów wirtualnych, gdzie maszyna stoi gdzieś indziej, ale przypisuje adres IP z kraju docelowego. Dla geoblokad oba rozwiązania są równoważne; dla opóźnienia lepsze jest fizyczne umiejscowienie.

Plan darmowy to zazwyczaj próbka, a nie pełnoprawna opcja. Typowe ograniczenia to 500 MB do 10 GB ruchu miesięcznie, kilka krajów serwerów i niższa prędkość. Unikaj darmowych VPN od nieznanych dostawców — utrzymanie jest drogie i jeśli nie płacisz, to prawdopodobnie jesteś produktem (mierzenie reklam lub odsprzedaż ruchu).

Gwarancja jest w praktyce darmowym okresem próbnym: płacisz abonament roczny i żądasz zwrotu pieniędzy przed upływem terminu, jeśli nie jesteś zadowolony. Przeczytaj warunki — niektórzy dostawcy odmawiają zwrotu, jeśli zużyłeś za dużo ruchu, kupiłeś przez App Store lub w ramach specjalnych promocji.

Prawie wszyscy dostawcy VPN reklamują się głęboko zrabatowaną ceną pierwszego okresu, a potem wracają do znacznie wyższej ceny standardowej przy odnowieniu. Rabat może wynosić 60–80 % w pierwszym roku. To cena odnowienia jest kosztem długoterminowym — to ta liczba, którą powinieneś porównywać.

Limit określa, ile z Twoich urządzeń może być zalogowanych do VPN w tym samym czasie. Router liczy się jako jedno urządzenie, ale obejmuje wszystko, co łączy się przez niego, więc instalacja na routerze to dobry sposób na oszczędzanie limitu urządzeń. Jeśli dzielisz konto z rodziną, zazwyczaj potrzebujesz wsparcia dla 5–10 jednoczesnych urządzeń.

Z nieograniczoną liczbą jednoczesnych połączeń możesz zalogować się na dowolnej liczbie urządzeń naraz. Praktyczne dla dużych gospodarstw, sprzętu smart home i jeśli chcesz dzielić konto z bliską rodziną. Zakłada się rozsądne użytkowanie — dostawcy zazwyczaj reagują na komercyjne dzielenie kont.

Większość blokad reklam w VPN to w zasadzie czarna lista DNS: serwer odmawia rozwiązania znanych domen reklamowych. Działa to przeciwko banerom i trackerom firm trzecich, ale pomija reklamy, które leżą na tej samej domenie co treść (na przykład YouTube). Dedykowane rozszerzenie przeglądarki, takie jak uBlock Origin, jest bardziej dokładne. Dwie zalety wariantu VPN: chroni wszystkie urządzenia i działa w aplikacjach, nie tylko w przeglądarce.

Oficjalna aplikacja usługi VPN ułatwia instalację i automatycznie obsługuje szczegóły takie jak kill switch i ochrona przed wyciekami DNS. Powszechnie wspierane są Windows, macOS, Linux, iOS, Android. Jeśli brakuje platformy (na przykład konkretny router lub Apple TV), często można połączyć się ręcznie poprzez pliki konfiguracyjne OpenVPN lub WireGuard, ale bez dodatkowych funkcji.

Rozszerzenie VPN w Chrome lub Firefox to w większości przypadków proxy HTTPS, a nie pełny tunel VPN. Chroniony jest tylko ruch przeglądarki; cały inny ruch sieciowy (inne aplikacje, aktualizacje systemu, klient pocztowy) idzie zwykłą drogą. Przydatne, gdy chcesz tymczasowo zmienić kraj wyjścia bez stawiania tunelu systemowego, ale to nie zastępuje prawdziwego klienta VPN.

Ustawiamy Tak, jeśli własna strona dostawcy wymienia streaming jako funkcję. Wiele serwisów streamingowych prowadzi listy adresów IP VPN i je blokuje. Dostawca, który działa dzisiaj, może przestać działać za tydzień. Krótka gwarancja zwrotu pieniędzy to najlepsze zabezpieczenie, jeśli streaming jest Twoim głównym celem.

Liczba serwisów streamingowych, które dostawca sam wymienia jako wspierane na swojej stronie. Niektórzy wymieniają wyczerpująco na dedykowanej stronie, inni tylko podzbiór, jeszcze inni nie wymieniają w ogóle.