Ordlista — VPN-begrepp på klarspråk

En kill switch övervakar VPN-tunneln och blockerar all internettrafik om tunneln bryts — till exempel när du byter wifi eller servern tappar kontakten. Utan den fortsätter datorn att skicka paket via ditt vanliga nät tills klienten återansluter, vilket avslöjar din riktiga IP-adress. För den som använder VPN för att dölja sin plats är kill switch i praktiken obligatorisk.

Split tunneling delar trafiken i två vägar. Du kan till exempel köra webbläsaren via VPN men låta bankappen eller lokala skrivare gå utanför, vilket annars ofta slutar med att tjänsten blockerar dig eller är segare än nödvändigt. Motsatsen — full tunnel — skickar allt genom VPN oavsett app.

Vid multi-hop (ibland kallat double VPN) kopplas din trafik genom en kedja av två servrar i olika länder. Den första servern ser din riktiga IP men inte vad du besöker; den andra ser destinationen men inte varifrån trafiken ursprungligen kom. Det skyddar mot en leverantör som tappar loggningsdisciplin, men kostar hastighet och är överkurs för de flesta.

Varje gång du öppnar en webbsida slår datorn upp domännamnet via en DNS-server. Om DNS-trafiken av misstag går direkt till din internetleverantör i stället för genom VPN-tunneln ser de fortfarande hela listan av sajter du besöker, även om själva sidladdningen är krypterad. DNS-läckageskydd tvingar uppslagningarna in i tunneln.

Ett VPN-protokoll bestämmer hur klienten och servern förhandlar fram en krypterad tunnel och hur paketen packas. WireGuard är den moderna standarden: liten kodbas, snabb, bra på mobilnät. OpenVPN är den äldre arbetshästen — långsammare men extremt välbeprövad och finns överallt. IKEv2/IPsec klarar nätverksbyten väl och används ofta på mobiler. Undvik äldre protokoll som PPTP eller L2TP utan IPsec.

Alla seriösa VPN-tjänster krypterar trafiken med AES-256 eller ChaCha20. Båda är idag praktiskt taget oknäckbara med kända metoder. Fraser som »military-grade« eller »bank-grade encryption« är ren marknadsföring — det finns ingen sådan standard. Vad som spelar större roll är hur nycklarna utväxlas och om perfect forward secrecy används, vilket alla moderna protokoll gör.

Det land där bolaget har sitt säte styr vilka domstolar och säkerhetstjänster som kan kräva ut data eller tvinga leverantören att börja logga. Länder inom Five/Nine/14 Eyes-samarbetena delar underrättelser rutinmässigt; leverantörer med hemvist utanför (till exempel Panama eller Schweiz) står något friare. Det skyddar däremot inte mot en dålig no-logs-policy — ett land utan lagringskrav räcker bara om leverantören faktiskt inte sparar något.

Läs mer om Five / Nine / 14 Eyes →

Antalet servrar är en populär siffra att lyfta fram men säger lite i sig självt. Tre tusen servrar i fem länder är sämre än tre hundra servrar i femtio länder. Vad som räknas är om det finns servrar nära där du är (latens) och i länderna du behöver ansluta till (geoblock). Höga tal speglar också hur leverantören räknar — virtuella instanser och lastbalanserare inräknas ofta.

Antalet länder med servrar avgör vilka geografiska regioner du kan få en IP-adress från. Är du ute efter att nå BBC iPlayer behöver det finnas servrar i Storbritannien; vill du se amerikanska Netflix behöver det finnas i USA. För de flesta räcker 30–50 länder gott; allt därutöver är främst för edge case.

En svensk server ger dig en svensk IP-adress, vilket krävs för att komma åt SVT Play utomlands och minskar latensen om du ansluter från Sverige. Observera skillnaden mot virtuella servrar — vissa leverantörer listar »Sverige« men kör faktiskt trafiken via en server i ett grannland med en svensk IP påklistrad. Det fungerar för geoblock men inte för latens.

Serverplatser berättar var du kan få en utgångspunkt. Vissa leverantörer kör fysiska servrar i alla listade länder; andra använder virtuella servrar där maskinen står någon annanstans men tilldelar en IP-adress från målandet. För geoblockering är båda likvärdiga; för latens är fysisk placering bättre.

En gratisplan brukar vara ett smakprov, inte ett fullvärdigt alternativ. Typiska begränsningar är 500 MB till 10 GB trafik per månad, ett fåtal serverländer och lägre hastighet. Undvik gratis-VPN från okända leverantörer — drift är dyr och om du inte betalar är du sannolikt produkten (annonsmätning eller vidareförsäljning av trafik).

Garantin är i praktiken en gratis testperiod: du betalar årsavgiften och kräver tillbaka pengarna innan perioden löper ut om du inte är nöjd. Läs villkoren — vissa leverantörer nekar återbetalning om du använt för mycket trafik, handlat via App Store eller köpt via särskilda kampanjer.

Nästan alla VPN-leverantörer marknadsför sig med djupt rabatterat första-perioden-pris och återgår sedan till ett betydligt högre ordinariepris när du förnyar. Rabatten kan vara 60–80 % det första året. Det är förnyelsepriset som är den långsiktiga kostnaden — det är den siffran du bör jämföra.

Gränsen styr hur många av dina enheter som kan vara inloggade på VPN samtidigt. En router räknas som en enhet men täcker allt som kopplar upp bakom den, så installation på routern är ett bra sätt att hushålla med slotarna. Delar du kontot med familjen behövs normalt 5–10 slotar.

Med obegränsat antal samtidiga anslutningar kan du logga in på hur många enheter du vill samtidigt. Praktiskt för storhushåll, smarta hem-utrustning och om du vill dela kontot med nära familj. Rimligt användande förutsätts — leverantörer slår normalt ned på kommersiellt delande.

De flesta VPN-annonsblockerare är i grunden en DNS-svartlista: servern vägrar slå upp kända annonsdomäner. Det fungerar mot banners och tredjepartsspårare men missar annonser som ligger på samma domän som innehållet (till exempel YouTube). En dedikerad webbläsarplug som uBlock Origin är mer grundlig. Två fördelar med VPN-varianten: den skyddar alla enheter och fungerar i appar, inte bara i webbläsaren.

En officiell app gör installationen triviel och sköter detaljer som kill switch och DNS-läckageskydd automatiskt. Vanligt stöd: Windows, macOS, Linux, iOS, Android. Saknas en plattform (till exempel en specifik router eller Apple TV) går det ofta ändå att koppla upp manuellt via OpenVPN- eller WireGuard-konfigurationsfiler, men då utan extrafunktioner.

Ett VPN-tillägg i Chrome eller Firefox är i de flesta fall en HTTPS-proxy, inte en full VPN-tunnel. Bara webbläsartrafiken skyddas; all annan nätverkstrafik (andra appar, systemuppdateringar, e-postklient) går vanlig väg. Användbart när du vill byta utgångsland tillfälligt utan att sätta upp en systemtunnel, men det är ingen ersättning för en riktig VPN-klient.

Netflix, BBC iPlayer, Disney+ och liknande upprätthåller listor över kända VPN-IP-adresser och blockerar dem. Leverantörer som satsar på streaming roterar IP-adresser och underhåller särskilda servrar för ändamålet, men det är en ständig katt-och-råtta-lek. En leverantör som fungerar idag kan sluta fungera nästa vecka. Kort pengarna-tillbaka-garanti är bästa försäkringen om streaming är ditt huvudsyfte.