VPN 到底做了什么：从“换个 IP”到加密隧道

我第一次认真研究 VPN，是被公共 Wi‑Fi 逼的

在机场连上免费 Wi‑Fi，手机一堆弹窗。网页能开，App 也能刷，但我总觉得哪里不对劲。

很烦。

后来我干脆抓包看了一眼：同一网段里乱七八糟的广播、可疑的 DNS 响应、还有一些“看起来像在引导你走别的路”的东西。那一刻我才明白，VPN 不是用来装神秘的，它更像是在不靠谱的路口，帮你换到一条更可控的路。

真相是，VPN 只是在帮你换一条更可控的路。

所谓“换 IP”，其实是把出口搬走

你不开 VPN 的时候，大多数网站看到的是你当前网络的公网 IP：可能是家宽出口，也可能是公司网关，或者运营商的 NAT 出口。你的流量从设备出发，穿过本地路由器、运营商、各种中间网络，最后到达目标站点。

开了 VPN 以后，你先和 VPN 服务器建立一条加密通道（常被叫做“隧道”）。从网站的视角看，你的请求像是从 VPN 服务器那边发出来的，于是“你在哪”就变成“VPN 服务器在哪”。这就是大家口中的“换 IP”。

但别误会。VPN 不会让你隐身，也不会自动让你变成另一个人，它做的是把出口集中到一个你选择（并且愿意信任）的地方。

连上那一刻发生了什么：握手、密钥、再开始搬运

你点下连接按钮时，客户端（iOS、Android、macOS、Windows 都类似）会先和服务器做握手：商量用什么算法、怎么生成会话密钥、如何验证对方身份。之后数据才开始在隧道里跑。

别急。

这里面最容易被忽略的是 DNS。很多人以为“浏览器能开就行”，但如果 DNS 还走本地网络，你访问什么域名、解析到哪个 IP，仍然可能被旁路观察到，甚至被投毒。靠谱的 VPN 客户端会把 DNS 一起接管，或者至少提供“只走 VPN 的 DNS”这种模式；有些还会配合 DoH/DoT，但核心点不在名词，而在路径是否真的被统一到隧道里。

另一个细节是路由策略：全局、分流、按应用。比如我在手机上经常只让浏览器和 Telegram 走 VPN，银行 App 走直连，省电也少出幺蛾子。分流做不好，就会出现奇怪的登录风控、CDN 绕路、甚至本地设备互联（投屏、局域网打印）突然失效。

协议别只看“快”，看它在你网络里能不能活下来

同样叫 VPN，底层协议差异挺大。你会在不同软件里看到这些名字：

• WireGuard（通常走 UDP，代码量小，连上很快，但在某些网络里 UDP 更容易丢包）
• OpenVPN/IKEv2（老牌，兼容性强，调参空间大，缺点是有时更费电）
• VLESS+REALITY、Shadowsocks-2022（更偏“代理协议”生态，常见于 Hiddify、NekoBox、V2RayNG、Shadowrocket 这类客户端，优点是更灵活，缺点是配置细节多）

我自己在移动网络上更在意两件事：切基站时的重连速度，以及丢包时的体感。地铁里你会明显感觉到，有的协议会“卡一下再恢复”，有的会直接断一会儿。还有电量，尤其是 iOS 后台策略比较严格，协议和实现写得不好，耗电会很直观。

如果你经常遇到“公司网只放行 443”，那就要理解 TLS 443 只是端口和外观，不是万能通行证。网络设备可能会做更深的识别；反过来，有些方案也会把流量伪装得更像正常的 HTTPS。能不能穿过去，跟你所在网络的策略有关，也跟服务端配置质量有关。

开了 VPN 也会翻车：不是你手滑，是细节在作妖

我见过最常见的翻车点大概就这几类：

• DNS 泄漏：表面走了 VPN，解析还在本地，访问记录不干净
• IPv6 没处理：IPv4 走隧道，IPv6 直连，网站照样看到你
• Kill Switch 没开：VPN 掉线那几秒，流量自动回直连
• 误分流：某个 App 被排除在外，结果它最先把你的真实 IP 送出去

还有个现实问题：你把“信任”从本地网络转移给了 VPN 服务商。服务商能看到什么，取决于它的日志策略、客户端实现、出口架构。有些产品说得天花乱坠，结果连最基本的故障排查都靠用户自己猜，这种我一般直接绕开。

我挑 VPN 服务时会盯的东西（说点工程视角的）

第一是可控。客户端要能清楚地告诉我：当前用的协议是什么、是否接管 DNS、是否支持按应用分流、掉线怎么处理。这些东西写在页面上比口号实在，你可以直接翻一眼他们的功能说明。

第二是使用成本。不是钱的成本，是“折腾成本”。例如 OpenWrt 路由器能不能用、iOS 上有没有稳定的配置方式、遇到问题有没有清晰的排障路径。我挺反感那种把一切都归因于“你网络不好”的客服话术，所以我会看他们的常见问题写得是否像真干过运维。

第三才是套餐。多设备、是否限速、按月还是按年，这些都得和你的使用方式匹配。我一般会先按一个月试水，跑通自己的场景再说，省得把钱锁死在不合适的线路上。价格透明不透明，一眼就能从订阅与价格看出来。

如果你只想少折腾一点

我这两年出差多，用过一堆客户端和节点配置，最省心的还是直接用成体系的服务。要是你更在意稳定和省时间，可以试试DuduVPN，不想下 App 或者需要快速开通的话，用他们的Telegram bot也行。

手机上连好以后，第一件事就是开一次“只用 VPN 的 DNS”，再故意断网重连看看 Kill Switch 是否真的生效。