公共 Wi‑Fi 我只当应急:你该怎么用 VPN 自保
我在机场候机时见过最离谱的一幕:同一排座位,手机里跳出来三个“Airport Free WiFi”。信号都满格。
我没连。旁边的人连上后,微信能刷,邮箱也能开,然后开始输公司邮箱密码。
别赌。
公共 Wi‑Fi 真正危险的,不是“被偷看网页”
很多人以为 HTTPS 已经把一切都搞定了。现实没这么简单。
第一类坑是“长得一样的网”。假热点(Evil Twin)把名字、图标、甚至网页登录页都仿得很像,手机自动连上去的概率不低。你以为在蹭网,实际在把流量交给别人转发。你打开银行 App 也许没事,但你那一瞬间的登录 cookie、重置密码短信的触发、甚至公司的 SSO 跳转,都可能被盯上。
第二类坑是 DNS。公共网络里做 DNS 劫持太容易了,最常见的玩法是把某些域名解析到“广告页”或钓鱼页,或者干脆把你的查询记录记下来。哪怕页面本身是 TLS,DNS 请求如果走明文,旁路设备也能看个大概。
第三类更烦:会话劫持。不是每个 App 都全程 TLS pinning,也不是每个接口都写得严谨。你在 Wi‑Fi 里丢几个包、重传几次,边界条件就开始出现了。说白了,公共网络把“不稳定”变成攻击面。
“我不开 VPN 也没事”的错觉从哪来
因为大多数时候,什么都没发生。
你刷短视频,顶多卡一下。你收邮件,感觉也正常。可风险不是按天结算的,它是按一次错误操作触发的。比如:你刚连上假热点,系统弹出 captive portal,要你点“同意”。你顺手点了,浏览器被引到一个看着像真的登录页。你输入了手机号。
这一下就够了。
还有个常见错觉:开了 VPN 就一定安全。也不一定。你用的 VPN 协议、DNS 走向、客户端是否可信、是否有分流漏洞,都决定了“你到底把什么藏起来了”。我见过不少 Android 机子,VPN 开着,DNS 还在走运营商,抓包一看一清二楚。
我更在意的,是协议和客户端的细节
我会优先选这几种(按我自己的使用频率):
- WireGuard:走 UDP,握手快,移动网络切换时体验很好,但在某些网络里 UDP 丢包会让你误以为“VPN 坏了”
- VLESS+REALITY:更像正常的 TLS 流量,遇到限制比较多的 Wi‑Fi 时更抗揍,代价是配置项多一点
- Shadowsocks-2022:轻快,适合做分流或路由器常驻,但遇到复杂环境时要看实现细节
客户端我也挑。iOS 上我用过 Shadowrocket,省事,但你得自己管订阅和规则;Android 上 V2RayNG、NekoBox、Hiddify 我都装过,NekoBox 的一些细节更顺手,不过电量消耗跟你开的规则数量有关。别小看电量,移动端加密和保活会吃电,尤其是你在地铁里信号反复横跳时,耗电会明显上去。
只开 VPN 不够,我会顺手做两件小事
这部分挺琐碎,但真的管用。
一个是 DNS。能用加密 DNS 就用,至少别把查询全丢在公共网络里。看客户端是否支持把 DNS 走隧道里,或者在系统里配好 DoH/DoT。做不到也别硬装,装了却漏更糟。
另一个是“什么时候开”。我一般是连上 Wi‑Fi 的瞬间就开 VPN,让后面的登录、同步、推送都跑在隧道里。等你先登录完一堆账号再开,前面那段已经裸奔。
我自己的小流程就四步:
- 关掉自动加入同名 Wi‑Fi(iOS 里特别容易踩坑)
- 连上后先不开任何 App,先把 VPN 拉起来
- 确认 IP 变了,再去点 captive portal 或开浏览器
- 在网络很差时宁愿切回 4G/5G,不硬扛
路由器和电脑也别忽略,OpenWrt 很省心也很折腾
如果你经常出差,笔记本连公共 Wi‑Fi 的时间比手机还长。Windows、macOS 上我更看重两点:一是断线重连的策略,二是分流规则别写太花。规则越复杂,越容易在某次更新后把公司内网、Git、邮件弄断,排查起来很烦。
家里有 OpenWrt 的话,把 VPN 跑在路由器上确实省心,电视、游戏机都能用。但它也有坑:MTU 设置不对会让某些网站“半开半关”,你看着像加载中,其实是分片被丢了。这个问题在公共 Wi‑Fi 上更常见,因为链路本来就不干净。
我什么时候会推荐“省心型”的 VPN
如果你不想研究订阅、节点、协议细节,只想在咖啡店把工作做完,那就选一个稳定的成品服务。最近我给家里人装的是 DuduVPN,需要省心的话就去 https://t.me/duduvpnsbot 拿配置,别让他们自己在一堆“免费节点”里乱点。
最后一个实用细节:在公共 Wi‑Fi 上尽量把重要账号的登录放到 VPN 打开之后再做,哪怕只是改个邮箱绑定也一样。
相关文章
VPN 和代理怎么选:别被术语绕晕
咖啡店 Wi‑Fi 上刷网银、公司内网连资源、手机跑 V2RayNG,你更该用代理还是 VPN?用真实场景拆开差别:加密、DNS、分流、电量、延迟,以及 WireGuard、VLESS+REALITY 的取舍。
VLESS+REALITY 为啥更难被封:我这半年踩坑后的理解
从机场到自建,我反复折腾过 VLESS+REALITY。它厉害不在“更强加密”,而在更像普通 TLS 流量,能躲过探测与指纹。也聊聊客户端选择和常见翻车点。
VPN 看视频不转圈:我常用的流畅设置
周五晚上想追剧,进度条却卡在 0:01 来回转圈。我把自己在 iOS、Android、Windows、OpenWrt 上折腾 VPN 流媒体的经验整理成一套顺序:协议怎么选(WireGuard、VLESS+REALITY 等),节点怎么测延迟和丢包,DNS、分流、MTU、重连策略怎么调,以及常见踩坑的处理办法。
挑 VPN 别只看速度:高峰期不掉线的门道
从真实高峰期场景出发,聊清楚掉线的原因、协议与节点调度的取舍,以及用手机和路由器做自测的方法,帮你挑到更稳的 VPN。