公共 Wi‑Fi 别裸奔：VPN 能救你哪些坑

我在机场见过最糟的 Wi‑Fi

有次在机场候机，旁边的人开着笔记本，Wireshark 跑得飞起。我本来在回工单，手机刚连上“Airport_Free_WiFi”，页面弹了个登录门户，让我输手机号收验证码。

我停了一下。

同名热点太常见了，真假难分。更要命的是，公共 Wi‑Fi 这类环境里，你跟一堆陌生设备被塞进同一个二层网络，很多事不需要黑客电影的特效，手快就行。

别侥幸。

公共 Wi‑Fi 到底能怎么坑你

很多人以为“我用的都是 HTTPS，怕啥”。这话只对一半。内容确实更难被直接读走，但你暴露的东西依然不少，而且有些攻击压根不靠读内容。

常见的坑法大概这些：

• Evil Twin：搞一个同名 SSID，信号更强，你的手机自动就过去了
• ARP 欺骗/网关劫持：让你以为他是路由器，流量先过他再出网
• DNS 劫持：你访问的是 bank.com，他给你解析到另一个 IP
• 登录门户钓鱼：做个看起来很像的 Wi‑Fi 认证页，骗你输账号或验证码

能被看见。

即便全站 HTTPS，旁路的人也能看见你在跟哪些域名建立连接、你用的是不是某些 App、你是不是在反复重试登录（移动网络差的时候更明显）。如果再叠加 DNS 劫持、证书弹窗恐吓、甚至引导你装个“Wi‑Fi 助手”，事情就开始变脏了。

还有一个现实问题：很多公共 Wi‑Fi 会做奇怪的限速、丢包、UDP 抑制。你打开视频会议，画面糊、声音断，明明信号满格。

这很烦。

VPN 真能挡住什么，挡不住什么

VPN 最值钱的一点，是把你设备到 VPN 服务器之间的链路加密，公共 Wi‑Fi 那段的人基本只能看到你在跟某个 VPN 节点说话，看不见你具体访问了什么站点，也不太好做 DNS 级别的手脚。

但别把 VPN 当万能盾。它挡不住这些：

你自己点进了钓鱼链接、在假页面里把密码输掉；你的设备本身中招；你在浏览器里留着一堆跟踪 Cookie；或者某个 App 把 token 写在奇怪的地方。VPN 也不会替你判断“这个证书警告能不能点继续”。能弹出这种警告，本身就已经是红灯了。

另外，VPN 也不是越“全局”越好。像 iOS 上开全局代理，有时会影响本地局域网设备（AirDrop、打印机、投屏），Android 上则常见电量掉得更快一点，尤其你在地铁里网络频繁切换时，隧道重连会很频繁，延迟也会抖。

协议别神化，细节才决定体验

我日常用得最多的是两类：WireGuard 和 VLESS+REALITY。前者走 UDP，握手快，移动场景体验通常更稳；后者更像是在“长得像 TLS 的通道”里跑流量，遇到某些对 UDP 不友好的网络会更好用。别纠结名词，核心是：能连上、少丢包、别漏。

我会重点看这些设置，不然你以为开了 VPN，其实漏得一塌糊涂：

• Kill Switch/阻断无 VPN 流量：断线就断网，别悄悄回落到裸连
• DNS 走隧道：避免 DNS 泄漏，尤其是 Android 上各种“私有 DNS”混用
• IPv6 处理：要么全走隧道，要么干脆禁掉，别只代理 IPv4
• 自动连接规则：识别陌生 Wi‑Fi 直接拉起 VPN，别等你想起来

客户端也很关键。iOS 我见得最多的是 Shadowrocket；Android 上 V2RayNG、NekoBox、Hiddify 都有人用；电脑端 Windows/macOS 反而简单，很多 VPN 自带的 WireGuard 配置一导入就行。家里路由器要全屋走的话，OpenWrt 配 WireGuard 很省心，但调 MTU 有时候要花点时间，不然看似能上网，视频却一直转圈。

我自己的习惯：先开再连，不给它机会

我现在基本形成肌肉记忆：连上公共 Wi‑Fi 的第一件事不是刷消息，是确认 VPN 已经起来，状态栏那个小图标在。

还有两个小动作挺有用：一是把手机“自动加入开放网络”关掉；二是遇到需要装证书、装描述文件、装所谓加速器的 Wi‑Fi，直接用流量或者换一家店。

如果你懒得折腾自建节点、也不想在一堆配置里找谁稳定，我这阵子用 DuduVPN 比较多，需要的时候就去它的 бот 里拉配置 https://t.me/duduvpnsbot 。

在公共 Wi‑Fi 上，先开 VPN，再登录邮箱。