公共 Wi‑Fi 我只当应急：你该怎么用 VPN 自保

我在机场候机时见过最离谱的一幕：同一排座位，手机里跳出来三个“Airport Free WiFi”。信号都满格。

我没连。旁边的人连上后，微信能刷，邮箱也能开，然后开始输公司邮箱密码。

别赌。

公共 Wi‑Fi 真正危险的，不是“被偷看网页”

很多人以为 HTTPS 已经把一切都搞定了。现实没这么简单。

第一类坑是“长得一样的网”。假热点（Evil Twin）把名字、图标、甚至网页登录页都仿得很像，手机自动连上去的概率不低。你以为在蹭网，实际在把流量交给别人转发。你打开银行 App 也许没事，但你那一瞬间的登录 cookie、重置密码短信的触发、甚至公司的 SSO 跳转，都可能被盯上。

第二类坑是 DNS。公共网络里做 DNS 劫持太容易了，最常见的玩法是把某些域名解析到“广告页”或钓鱼页，或者干脆把你的查询记录记下来。哪怕页面本身是 TLS，DNS 请求如果走明文，旁路设备也能看个大概。

第三类更烦：会话劫持。不是每个 App 都全程 TLS pinning，也不是每个接口都写得严谨。你在 Wi‑Fi 里丢几个包、重传几次，边界条件就开始出现了。说白了，公共网络把“不稳定”变成攻击面。

“我不开 VPN 也没事”的错觉从哪来

因为大多数时候，什么都没发生。

你刷短视频，顶多卡一下。你收邮件，感觉也正常。可风险不是按天结算的，它是按一次错误操作触发的。比如：你刚连上假热点，系统弹出 captive portal，要你点“同意”。你顺手点了，浏览器被引到一个看着像真的登录页。你输入了手机号。

这一下就够了。

还有个常见错觉：开了 VPN 就一定安全。也不一定。你用的 VPN 协议、DNS 走向、客户端是否可信、是否有分流漏洞，都决定了“你到底把什么藏起来了”。我见过不少 Android 机子，VPN 开着，DNS 还在走运营商，抓包一看一清二楚。

我更在意的，是协议和客户端的细节

我会优先选这几种（按我自己的使用频率）：

• WireGuard：走 UDP，握手快，移动网络切换时体验很好，但在某些网络里 UDP 丢包会让你误以为“VPN 坏了”
• VLESS+REALITY：更像正常的 TLS 流量，遇到限制比较多的 Wi‑Fi 时更抗揍，代价是配置项多一点
• Shadowsocks-2022：轻快，适合做分流或路由器常驻，但遇到复杂环境时要看实现细节

客户端我也挑。iOS 上我用过 Shadowrocket，省事，但你得自己管订阅和规则；Android 上 V2RayNG、NekoBox、Hiddify 我都装过，NekoBox 的一些细节更顺手，不过电量消耗跟你开的规则数量有关。别小看电量，移动端加密和保活会吃电，尤其是你在地铁里信号反复横跳时，耗电会明显上去。

只开 VPN 不够，我会顺手做两件小事

这部分挺琐碎，但真的管用。

一个是 DNS。能用加密 DNS 就用，至少别把查询全丢在公共网络里。看客户端是否支持把 DNS 走隧道里，或者在系统里配好 DoH/DoT。做不到也别硬装，装了却漏更糟。

另一个是“什么时候开”。我一般是连上 Wi‑Fi 的瞬间就开 VPN，让后面的登录、同步、推送都跑在隧道里。等你先登录完一堆账号再开，前面那段已经裸奔。

我自己的小流程就四步：

• 关掉自动加入同名 Wi‑Fi（iOS 里特别容易踩坑）
• 连上后先不开任何 App，先把 VPN 拉起来
• 确认 IP 变了，再去点 captive portal 或开浏览器
• 在网络很差时宁愿切回 4G/5G，不硬扛

路由器和电脑也别忽略，OpenWrt 很省心也很折腾

如果你经常出差，笔记本连公共 Wi‑Fi 的时间比手机还长。Windows、macOS 上我更看重两点：一是断线重连的策略，二是分流规则别写太花。规则越复杂，越容易在某次更新后把公司内网、Git、邮件弄断，排查起来很烦。

家里有 OpenWrt 的话，把 VPN 跑在路由器上确实省心，电视、游戏机都能用。但它也有坑：MTU 设置不对会让某些网站“半开半关”，你看着像加载中，其实是分片被丢了。这个问题在公共 Wi‑Fi 上更常见，因为链路本来就不干净。

我什么时候会推荐“省心型”的 VPN

如果你不想研究订阅、节点、协议细节，只想在咖啡店把工作做完，那就选一个稳定的成品服务。最近我给家里人装的是 DuduVPN，需要省心的话就去 https://t.me/duduvpnsbot 拿配置，别让他们自己在一堆“免费节点”里乱点。

最后一个实用细节：在公共 Wi‑Fi 上尽量把重要账号的登录放到 VPN 打开之后再做，哪怕只是改个邮箱绑定也一样。