Что такое VPN и как он на самом деле работает

В кафе Wi‑Fi бодро показывает «подключено», а банк внезапно просит заново войти и присылает письмо про «необычную активность». Знакомая сцена. Сеть общая, вокруг десяток ноутбуков, и вы не знаете, кто там чем интересуется. В этот момент обычно вспоминают про VPN.

VPN многие представляют как «кнопку приватности». В реальности это просто аккуратно собранный набор сетевых трюков: шифрование, туннель, смена точки выхода в интернет и несколько защитных мелочей вокруг. Если понимать механику, перестаёшь ждать от VPN чудес и начинаешь выбирать его по делу.

Кому и что видно, если VPN не включён

Когда вы открываете сайт без VPN, у провайдера и у администратора точки доступа (в кафе, отеле, офисе) есть вполне конкретная картинка.

• Видно, куда идут пакеты по IP. То есть «в сторону такого-то сервера».
• Часто видно домены через DNS-запросы (если DNS не шифрован).
• Видно метаданные соединений: когда, сколько, как долго.
• Содержимое страниц под HTTPS обычно не видно, но это не значит, что «ничего не видно».

HTTPS защищает содержимое (логины, тексты, формы), но не прячет сам факт обращения и общую структуру трафика. Даже с HTTPS остаются вещи вроде SNI/ESNI (в зависимости от настроек и браузера), размеры пакетов, частота запросов. По этим признакам иногда угадывают сервис, даже если не видят данные.

И ещё один момент, который люди пропускают. IP-адрес.

IP часто используется как сигнал: для географии, для антифрода, для ограничений доступа. Если вы сидите из сети отеля в другой стране, сервис может нервничать. VPN не «делает вас невидимкой», он просто даёт другой выходной адрес и защищает участок «ваше устройство → VPN‑сервер».

Кстати, часть проблем решается и без VPN: включить DNS-over-HTTPS в браузере, следить за HTTPS, не пользоваться открытым Wi‑Fi без нужды. Но VPN закрывает больше дыр сразу.

Что происходит после кнопки «Подключиться»

Снаружи это выглядит просто: вы выбираете страну, жмёте подключение, появляется ключик в статус-баре. Внутри происходит последовательность шагов.

Сначала клиент (на iOS, Android, Windows, macOS, OpenWrt) договаривается с сервером о параметрах: какой протокол, какие ключи, как подтверждаем подлинность сервера. Дальше поднимается туннель. Это виртуальный сетевой интерфейс, через который приложение начинает гонять пакеты.

Потом меняется маршрутизация. Система решает: «вот этот трафик отправляю в туннель, а вот этот оставляю напрямую». Если включён полный режим, почти всё уходит в VPN. Если настроен split tunneling, часть трафика идёт мимо (например, локальные устройства, принтеры, банковское приложение или наоборот).

Дальше важная часть: DNS.

Если клиент настроен правильно, DNS-запросы тоже уходят в туннель, а резолвером становится сервер VPN или указанный защищённый DNS. Если настроен плохо, получается классическая утечка: сайты открываются через VPN, а DNS уходит провайдеру.

Это раздражает.

Ещё один слой, который часто недооценивают: kill switch. Это правило, которое режет интернет, если туннель оборвался, чтобы трафик не «вылез» наружу в обычную сеть. На десктопе это обычно делается через правила брандмауэра. На мобильных системах всё сложнее, но нормальные клиенты тоже умеют.

Протоколы: почему их много и чем они отличаются

VPN не равен одному протоколу. Под капотом могут быть разные варианты, и от них зависит скорость, устойчивость в мобильных сетях и то, насколько легко такое соединение блокировать.

Вот четыре названия, которые я реально встречаю каждый день:

• WireGuard. Быстрый, лаконичный, обычно работает по UDP. На телефоне часто экономичнее по батарее, чем старые схемы, но многое решает реализация клиента.
• OpenVPN. Проверенная классика, бывает UDP и TCP. На слабых устройствах и в загруженных сетях может быть тяжелее.
• VLESS+REALITY. Чаще используется как антиблокировочный транспорт. Хорошо маскируется под обычный TLS-трафик (вплоть до порта 443), но настройка уже не для «двух кликов».
• Shadowsocks-2022. Тоже из антиблокировочной семьи. В правильной обвязке работает очень бодро, но это скорее транспортный прокси, а не «VPN во всём смысле».

Если вы настраивали V2RayNG, NekoBox, Shadowrocket или Hiddify, то видели, что вопрос не только в «стране», а в конкретной схеме подключения.

Чуда не бывает.

Любой протокол платит за шифрование и обход ограничений. Разница в том, где именно эта плата выше: по задержке, по расходу батареи, по стабильности на LTE/5G, по способности переживать потерю пакетов.

Почему с VPN иногда медленнее (и когда это нормально)

Самая честная причина проста: маршрут становится длиннее. Вы идёте не «устройство → сайт», а «устройство → VPN‑сервер → сайт». Плюс добавляется шифрование и обработка пакетов на сервере.

Есть и более неприятные причины.

Первая: неверно выбранный транспорт в плохой сети. TCP поверх TCP в некоторых режимах OpenVPN может вести себя капризно: ретрансляции накладываются друг на друга, и в результате получаете «залипание» загрузок. На мобильном интернете, где потери и скачущая задержка обычны, UDP-протоколы часто ощущаются ровнее.

Вторая: MTU. Когда вы добавляете туннель, полезная нагрузка в пакете уменьшается. Если где-то по пути режут фрагментацию или хитро настроен оператор, начинаются странности: часть сайтов грузится, часть нет, мессенджер то жив, то мёртв.

Третья: батарея. На телефоне VPN держит сокет активным, шифрует трафик, иногда чаще будит радиомодуль. Разница особенно видна, если протокол агрессивно держит соединение и вы много перемещаетесь между базовыми станциями.

Если нужен быстрый практический ориентир, я обычно делаю так: для повседневного серфинга беру ближайший сервер, для потокового видео проверяю пару соседних стран, а для рабочих созвонов оставляю тот вариант, где меньше скачет задержка, даже если пиковая скорость ниже.

Как быстро понять, что VPN настроен правильно

Я не люблю «магические» индикаторы в приложениях. Предпочитаю проверять руками пару вещей.

Во-первых, IP и DNS. Откройте любой сервис проверки, посмотрите, какой IP виден снаружи, и какие DNS-серверы используются. Если IP «страны VPN», а DNS вашего провайдера, это повод лезть в настройки.

Проверяйте DNS.

Во-вторых, утечки WebRTC в браузере. На десктопе это иногда всплывает в Chrome-подобных браузерах, если настройки приватности не трогали годами. На iOS обычно проще, но тоже зависит от браузера и расширений.

В-третьих, IPv6. Некоторые VPN по умолчанию работают только с IPv4, а IPv6 оставляют как есть. Тогда часть приложений может ходить напрямую, и вы получаете «половинчатую» защиту. Либо отключайте IPv6 на интерфейсе (если понимаете последствия), либо выбирайте сервис, который умеет в IPv6 корректно.

Если хочется пройтись по настройкам без гаданий, у DuduVPN есть нормальные подсказки и ответы на типовые проблемы в разделе вопросы и ответы. А для понимания, какие режимы и защита вообще доступны (kill switch, split tunneling и прочее), проще заглянуть на страницу возможностей DuduVPN.

Где VPN реально помогает, а где нет

VPN отлично решает две задачи: защищает трафик в чужих сетях и даёт выход в интернет из другой точки. Это полезно, когда вам важна приватность в Wi‑Fi или когда сервис режет доступ по географии.

Но VPN не лечит всё.

Если на устройстве стоит вредоносное приложение, оно может утащить данные до включения VPN или через разрешения, которые вы сами выдали. Если вы вошли в аккаунт в соцсети, а потом включили VPN, сама соцсеть всё равно знает, что это вы. И да, браузерные отпечатки (шрифты, расширения, параметры устройства) VPN не обнуляет.

Ещё одна тонкость: корпоративные сети. Иногда VPN поверх корпоративного VPN превращается в головоломку с маршрутами и DNS-суффиксами. Работает, но приходится думать.

Как я бы выбирал сервис, если бы начинал с нуля

Я смотрю не на «самый быстрый в мире», а на приземлённые вещи: какие протоколы реально доступны, есть ли нормальные клиенты под мои устройства, как решаются блокировки, есть ли понятные инструкции и вменяемая поддержка. И да, тарифы должны быть прозрачными, без акций с мелким шрифтом. Для этого удобно просто открыть страницу с ценами и сравнить планы по сроку и устройствам.

Если вам нужен вариант «поставил и забыл» без ручной возни с конфигами, попробуйте DuduVPN. Быстро завести подписку и получить подсказки по установке удобно через бота в Telegram.

Настройка на разных устройствах: пару наблюдений из практики

На Windows и macOS я люблю, когда клиент умеет жёсткий kill switch на уровне системы, а не «если приложение живо, то всё хорошо». На роутерах с OpenWrt удобно поднимать VPN на весь дом, но тогда не забывайте про исключения для локальных сервисов (умный дом, принтеры, NAS).

На Android чаще всего вижу два сценария. Либо обычный VPN-клиент с WireGuard, либо связка с V2RayNG/NekoBox для VLESS+REALITY. Второй вариант иногда спасает там, где «классический» VPN режут, но за это платите сложностью профилей и тем, что один неверный переключатель отправит DNS наружу.

На iOS, если речь про прокси-схемы, чаще всплывает Shadowrocket. Он мощный, но интерфейс на любителя, и легко запутаться в правилах маршрутизации. Я периодически вижу, как люди случайно проксируют вообще всё, включая локальные сети, и потом удивляются, почему не находится Chromecast.

И маленький бытовой совет напоследок: если на мобильном интернете с VPN появляются обрывы и «полузагрузки», попробуйте в клиенте снизить MTU (часто помогает значение 1280) и проверьте, ушёл ли эффект на тех же сайтах.