🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
ГлавнаяСтатьиОсновы → Как работает ВПН?

Как работает
ВПН?

Три этапа: шифр → туннель → выход. Что именно происходит между тапом "подключить" и пакетом приходящим на сайт.

⚡ Короткая версия

Клиент шифрует пакет на твоём устройстве → отправляет на ВПН-сервер по шифрованному туннелю → сервер расшифровывает и форвардит на реальный сайт. Ответы идут обратно тем же путём. Снаружи виден только шифрованный трафик к ВПН-серверу.

Этап 1: handshake (рукопожатие)

Когда тапаешь "подключить":

  1. Клиент шлёт hello-пакет на ВПН-сервер.
  2. Сервер отвечает своим public-ключом.
  3. Клиент и сервер выводят общий session-ключ через Diffie-Hellman (или Curve25519 на WireGuard).
  4. Дальше — весь трафик шифруется этим session-ключом симметрично.

Handshake на WireGuard — ~50мс. На OpenVPN — 200мс+ из-за полного TLS-handshake. Делается один раз на сессию.

Этап 2: шифрование пакета

Каждый IP-пакет с устройства проходит через ВПН-клиент:

  1. Оригинальный пакет (например, HTTPS-запрос к google.com) формируется в стеке ОС.
  2. ВПН-клиент перехватывает пакет до отправки в сеть.
  3. Пакет шифруется symmetric-шифром (ChaCha20-Poly1305 или AES-256-GCM) с session-ключом.
  4. Шифрованный пакет заворачивается в новый пакет с IP-адресом ВПН-сервера как destination.

Снаружи: пакет идёт от твоего IP к ВПН-серверу. Содержимое — непонятный шум. Реальный destination (google.com) виден только ВПН-серверу после расшифровки.

Этап 3: туннелирование

"Туннель" — это просто стабильное шифрованное соединение между клиентом и сервером. По нему идут все пакеты твоего трафика.

В терминах сети: твой провайдер видит поток пакетов одного типа (например, WireGuard UDP-пакеты на порт 51820) к одному IP. Не видит сколько внутри отдельных соединений, какие сайты, какой контент.

Этап 4: выход

На ВПН-сервере:

  1. Входящий пакет расшифровывается session-ключом.
  2. Получается оригинальный IP-пакет с реальным destination.
  3. Сервер форвардит пакет в публичный интернет от своего IP.
  4. Сайт видит запрос с IP ВПН-сервера, не с твоего.

Ответ от сайта приходит на ВПН-сервер, шифруется тем же session-ключом, отправляется обратно в туннель к тебе. Клиент расшифровывает и отдаёт в стек ОС — приложение получает ответ как будто ВПН не было.

Что видят разные стороны

  • Твой провайдер: что ты подключён к ВПН-серверу. Не видит конкретные сайты или содержимое.
  • WiFi-сеть: то же что провайдер.
  • ВПН-провайдер: видит реальные сайты куда ходишь (он же расшифровывает). Не видит содержимое HTTPS-трафика.
  • Сайт: видит IP ВПН-сервера, не твой. Может видеть всё что обычно (User-Agent, куки, поведение).

Смотри также

🎪 FAQ

Что такое handshake?
Первая фаза подключения, когда клиент и сервер обмениваются ключами для шифрования сессии. На WireGuard handshake занимает ~50мс и нужен один раз — потом весь трафик идёт по уже установленному ключу. На OpenVPN handshake дольше (200мс+) из-за TLS-уровневой переговорки.
Где находится 'туннель' физически?
Туннель — логическая абстракция, не физическая. Физически — твои пакеты идут по тем же кабелям и роутерам что и обычный трафик. Просто они теперь шифрованы и адресованы одному endpoint (ВПН-сервер), вместо разных сайтов.
Почему скорость падает?
Три причины: (1) лишний хоп через ВПН-сервер добавляет latency, (2) шифрование/расшифровка добавляет CPU-оверхед на твоём устройстве и на сервере, (3) ВПН-сервер может быть нагружен другими юзерами. Хорошо построенные ВПН на WireGuard теряют ~5-15% от голой скорости.

🎪 Тапни — увидишь сам

🤖 Скачать бесплатно