تفاوت VPN با پروکسی، وقتی واقعاً پای کار می‌رسی

یه‌بار توی کافه نشسته بودم، وای‌فای عمومی، لپ‌تاپ باز، دو تا تب مرورگر و یک جلسه‌ی آنلاین که نباید قطع می‌شد. سریع یک پروکسی مرورگر روشن کردم تا فقط همان تب از فیلتر رد شود. جلسه وصل شد، اما پنج دقیقه بعد یک پیام از سرویس ایمیل آمد: «لاگین مشکوک». همان‌جا فهمیدم هنوز نصف ترافیکم بیرون تونل می‌رود.

فرق‌شان کوچک نیست.

پروکسی یعنی یک میان‌بُر برای یک اپ، نه کل دستگاه

پروکسی ساده‌ترین تعریفش این است: یک واسطه بین شما و مقصد. شما به پروکسی وصل می‌شوید، پروکسی از طرف شما به سایت یا سرویس مقصد وصل می‌شود. نتیجه؟ مقصد IP پروکسی را می‌بیند، نه IP واقعی شما.

پروکسی خیلی وقت‌ها «به‌ظاهر» کار را راه می‌اندازد. برای یک مرورگر، یک کلاینت دانلود، یا حتی یک اپ خاص روی Android که تنظیم پروکسی دارد. اما همین «اپ‌محور بودن» جایی دردسر می‌شود: اپی که پروکسی نمی‌فهمد، همچنان مستقیم بیرون می‌رود.

DNS لو می‌رود.

این جمله را شوخی نگیرید. خیلی از سناریوهایی که کاربر فکر می‌کند «وصل است» ولی لو می‌رود، دقیقاً از همین‌جا می‌آید: پروکسی فقط مسیر HTTP یا SOCKS را عوض می‌کند، اما درخواست‌های DNS ممکن است از DNS پیش‌فرض شبکه (مثلاً مودم یا DNS اپراتور) رد شوند. نتیجه؟ حتی اگر محتوا لود شود، لیست دامنه‌هایی که باز کرده‌اید جای دیگری ثبت می‌شود.

پروکسی‌ها معمولاً در یکی از این قالب‌ها به دست‌تان می‌رسند:

• HTTP/HTTPS Proxy (اغلب مخصوص مرورگر و ترافیک وب)
• SOCKS5 (عمومی‌تر، برای اپ‌های مختلف)
• Shadowsocks (یک جور پروکسی رمزنگاری‌شده که عملاً برای دور زدن فیلترینگ محبوب شد)
• VMess/VLESS (در کلاینت‌هایی مثل V2RayNG، NekoBox، Shadowrocket، Hiddify)

اینجا یک نکته‌ی مهم هست که معمولاً توی بحث‌ها قاطی می‌شود: خیلی چیزهایی که مردم به اسم «VPN» صدا می‌زنند، در عمل پروکسی‌محورند (مثل VLESS). اشکالی ندارد، چون برای کاربر خروجی مهم است، ولی از نظر فنی، مدل ترافیک و نشت‌ها فرق می‌کند.

پروکسی همیشه کافی نیست.

VPN یک تونل سطح سیستم می‌سازد، همین فرقِ اصلی است

VPN وقتی درست پیاده‌سازی شود، به سیستم‌عامل می‌گوید مسیر پیش‌فرض ترافیک را از یک تونل رد کن. یعنی فقط یک اپ نیست؛ کل دستگاه (یا حداقل هر چیزی که شما اجازه بدهید) از همان مسیر عبور می‌کند. همین باعث می‌شود کنترل بهتری روی DNS، روتینگ، و حتی قطع ناگهانی شبکه داشته باشید.

پروتکل‌های کلاسیک VPN را اگر بخواهم اسم ببرم، معمولاً با این‌ها سر و کار داریم: WireGuard، OpenVPN، IKEv2. WireGuard اغلب روی UDP کار می‌کند و به‌خاطر سبک بودنش روی موبایل واقعاً خوش‌رفتار است. IKEv2 هم برای حالت‌هایی که بین وای‌فای و دیتای موبایل جابه‌جا می‌شوید (roaming) معمولاً پایدارتر از چیزی است که از OpenVPN توقع دارید.

از آن طرف، خیلی از سرویس‌ها برای عبور از فیلترینگ سراغ خانواده‌ی V2Ray و چیزهایی مثل VLESS+REALITY می‌روند. اسمش را هر چه بگذاریم، اگر کلاینت روی سیستم یک تونل سراسری بسازد و DNS را هم مدیریت کند، کاربر آن را مثل VPN تجربه می‌کند. تفاوت در این است که روی کاغذ، VPN «اینترفیس شبکه» می‌سازد، ولی بعضی کلاینت‌ها ترافیک را در لایه‌ی اپلیکیشن جمع می‌کنند و دوباره پخش می‌کنند.

حاصلِ تجربه‌ی روزانه‌ام این است: اگر هدف‌تان فقط باز شدن یک سایت در مرورگر است، پروکسی می‌تواند کافی باشد. اگر قرار است اپ بانک، پیام‌رسان، ایمیل، و سیستم‌عامل هم درگیر شوند، پروکسی سریعاً از نفس می‌افتد.

امنیت و حریم خصوصی: این‌جا اشتباهات رایج دردناک می‌شوند

پروکسی و VPN هر دو یک «نقطه‌ی اعتماد» می‌سازند. یعنی اگر ارائه‌دهنده‌ی سرویس بد باشد، هر دو می‌توانند دردسر درست کنند. اما دو تفاوت عملی وجود دارد که معمولاً نادیده گرفته می‌شود.

اول: پوشش ترافیک. VPN (با تونل سیستم‌عامل) احتمال اینکه چیزی از قلم بیفتد را کمتر می‌کند. با پروکسی، یک سرویس کوچک مثل آپدیت سیستم، NTP، یا حتی یک اپ چت که تنظیم پروکسی را دور می‌زند، می‌تواند بیرون برود و IP واقعی‌تان را لو بدهد.

دوم: کنترل روی DNS و Kill Switch. این بخش را صادقانه بگویم، اگر Kill Switch درست کار نکند، اعصاب‌خردکن می‌شود. وقتی VPN قطع می‌شود و دستگاه بی‌خبر برمی‌گردد روی اینترنت معمولی، دقیقاً همان چند ثانیه کافی است تا یک اپ حساس (مثلاً کلاینت ایمیل) ترافیک را مستقیم بفرستد. سرویس‌های جدی معمولاً گزینه‌هایی مثل Kill Switch، Split Tunneling، و DNS امن را یک‌جا می‌دهند. اگر کنجکاوید دقیقاً این‌ها چه هستند و کجاها به درد می‌خورند، صفحه‌ی امکانات DuduVPN توضیحات خوبی دارد.

یک دام هم هست: پروکسی HTTPS لزوماً به معنی «امن‌تر» نیست. اگر کلاینت درست تنظیم نشده باشد، یا کسی با گواهی جعلی وسط راه نشسته باشد، می‌تواند تجربه‌ی بدی بسازد. VPN هم اگر سرور یا کلاینت درست نباشد، همین ریسک‌ها را دارد. راه‌حل جادویی وجود ندارد، فقط انتخاب درست و تنظیم درست.

سرعت، پینگ و باتری: روی موبایل همه‌چیز عریان می‌شود

روی دسکتاپ و اینترنت ثابت، خیلی وقت‌ها اختلاف پروکسی و VPN را فقط در «باز می‌شود یا نه» می‌بینید. روی موبایل اما داستان فرق می‌کند: packet loss، تغییر مداوم شبکه، و محدودیت باتری همه‌چیز را لو می‌دهند.

WireGuard معمولاً در این شرایط خوش‌اخلاق‌تر است. کمتر دست‌وپا می‌زند، handshake کوتاه‌تری دارد، و وقتی سیگنال بد می‌شود کمتر حس می‌کنید همه‌چیز باید از اول ساخته شود. در مقابل، بعضی تنظیمات پروکسی (خصوصاً وقتی روی TCP سوار می‌شوند) با از دست رفتن چند بسته شروع می‌کنند به تأخیر پشت تأخیر.

ولی همیشه هم VPN سریع‌تر نیست. اگر فقط می‌خواهید یک اپ سبک را رد کنید، پروکسی داخل همان اپ (مثلاً SOCKS5 داخل یک کلاینت) می‌تواند latency کمتری بدهد، چون سیستم‌عامل را درگیر تونل سراسری نمی‌کنید. بهایش همان ریسک نشت و ناقص بودن پوشش است.

این را هم اضافه کنم: روی iOS گاهی با بعضی کلاینت‌ها، مصرف باتری به‌خاطر reconnectهای پشت‌سرهم بالا می‌رود. روی Android هم اگر Always-on VPN را روشن کنید ولی شبکه‌تان ناپایدار باشد، ممکن است نوتیفیکیشن‌ها دیر برسند. این‌ها نقصِ «VPN بودن» نیست، اثر جانبیِ یک اتصال دائم روی شبکه‌ی بی‌ثبات است.

چه وقت پروکسی را انتخاب می‌کنم، چه وقت VPN را

من برای کارهای روزمره‌ام دو حالت دارم. وقتی فقط مرورگر یا یک ابزار مشخص درگیر است، پروکسی تمیز و سریع است. وقتی کارم جدی‌تر می‌شود (جلسه، پرداخت، سرویس‌های کاری)، VPN خیال‌ام را راحت‌تر می‌کند.

دو تا مثال واقعی:

اگر روی OpenWrt روتر، کل شبکه‌ی خانه را می‌خواهید از یک مسیر رد کنید، VPN یا تونل سراسری جواب طبیعی‌تری است. پروکسی روی روتر هم ممکن است، ولی بعدش باید درگیر policy routing و تنظیمات ریز شوید تا DNS و اپ‌ها درست رفتار کنند.

اگر روی Windows فقط می‌خواهید یک اپ مثل یک کلاینت خاص به سرور بیرون وصل شود، یک پروکسی SOCKS5 داخل همان اپ یا یک کلاینت مثل NekoBox (با تنظیمات دقیق) کارتان را راه می‌اندازد و به بقیه‌ی سیستم دست نمی‌زند.

اگر بخواهم خیلی عملی بگویم، انتخاب سریع را با این چک کوتاه انجام می‌دهم:

• فقط یک اپ یا یک تب مرورگر؟ پروکسی
• چند اپ و کل سیستم، با حساسیت روی DNS و قطع‌نشدن؟ VPN

در هر دو حالت، کیفیت سرویس تعیین‌کننده است. سروری که شلوغ باشد، پینگ را خراب می‌کند. مسیریابی بد، packet loss می‌دهد. و ارائه‌دهنده‌ای که پشتیبانی درست نداشته باشد، شما را می‌فرستد وسط آزمون‌وخطا.

برای همین قبل از خرید، من همیشه سراغ صفحه‌های شفاف می‌روم: هم شرایط پلن‌ها، هم اینکه دقیقاً چه چیزهایی ارائه می‌شود. لینک تعرفه‌ها و پلن‌ها معمولاً بهتر از ده تا پیام تبلیغاتی نشان می‌دهد چه چیزی می‌گیرید. و اگر گیر کردید که «این خطا یعنی چه» یا «روی iOS کدام روش بهتر است»، بخش سوالات متداول می‌تواند زمان زیادی ذخیره کند.

فیلترینگ و تشخیص: چرا بعضی روزها همه‌چیز قاطی می‌شود

وقتی شبکه به‌دنبال تشخیص ترافیک است، پروکسی‌های ساده (مثل HTTP Proxy) زودتر شناسایی می‌شوند. VPNهای کلاسیک هم اگر روی پورت‌ها و الگوهای مشخص باشند، ممکن است گیر کنند. برای همین است که این روزها اسم‌هایی مثل REALITY زیاد می‌شنوید؛ ایده این است که ترافیک شبیه چیزی شود که روی اینترنت عادی زیاد دیده می‌شود.

البته اینجا یک «گیر» هست: هر چه پیچیدگی بیشتر شود، تنظیمات هم حساس‌تر می‌شود. اگر کلاینت‌تان روی V2RayNG یا Shadowrocket یک گزینه را اشتباه بزنید، ممکن است وصل شوید ولی نیمه‌کاره. یا بدتر، فقط بخشی از ترافیک عبور کند. همان حالت خطرناک.

یک توصیه‌ی ساده: هر چیزی که انتخاب می‌کنید، سعی کنید DNS داخل تونل باشد و Kill Switch را جدی بگیرید. این دو تا بیشتر از چیزی که فکر می‌کنید جلوی نشت‌های ریز را می‌گیرند.

پیشنهاد شخصی، وقتی دنبال دردسر کمترم

اگر دنبال سرویسی هستید که هم برای استفاده‌ی روزمره راحت باشد، هم وقتی اوضاع شبکه سخت می‌شود گزینه‌های بیشتری داشته باشید، من معمولاً DuduVPN را پیشنهاد می‌کنم. برای راه‌اندازی سریع هم بات تلگرام DuduVPN مسیر کوتاهی است، مخصوصاً وقتی حوصله‌ی رفت‌وآمد بین چند اپ و تنظیمات دستی را ندارید.

بعد از اتصال، یک‌بار تنظیم DNS را چک کنید و مطمئن شوید اپ‌هایی مثل مرورگر و پیام‌رسان، بیرون از تونل چیزی ارسال نمی‌کنند.