🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
ГлавнаяСтатьиОсновы → Туннелирование

ВПН-
туннелирование.

Что технически означает "туннель". Encapsulation, виды, куда деваются твои пакеты.

Метафора и реальность

"Туннель" — образ. Технически — это encapsulation: пакет оборачивается в пакет. Внешний пакет ходит по обычной сети, внутренний скрыт от наблюдателей и доставляется только на ВПН-сервер, где разворачивается обратно.

Как работает encapsulation

Возьмём пример. Ты пингуешь google.com:

  1. Оригинальный пакет: source IP — твой телефон, destination IP — google.com, payload — ICMP ping.
  2. ВПН шифрует payload + headers: внутренний пакет (включая адреса) шифруется.
  3. Создаётся новый внешний пакет: source IP — твой телефон, destination IP — ВПН-сервер, payload — шифрованный оригинал.
  4. Внешний пакет идёт по сети: провайдер видит "трафик от тебя к ВПН-серверу", не к google.com.
  5. ВПН-сервер получает внешний: расшифровывает payload, достаёт оригинальный пакет.
  6. Сервер форвардит оригинал: меняет source IP на свой, отправляет в публичный интернет к google.com.
  7. Ответ возвращается: google.com шлёт ответ на IP ВПН-сервера. Сервер пакует обратно и шлёт тебе через туннель.

Режимы туннеля

Full tunnel (по умолчанию)

Весь сетевой трафик устройства идёт через ВПН-туннель. Браузер, мессенджеры, фоновые синки — всё. Максимальная защита, максимальная простота.

Split tunnel

Только часть трафика через ВПН. Можно настроить per-app (на Android — конкретные приложения через ВПН, остальные напрямую) или per-destination (некоторые сайты через ВПН, остальные мимо). См. детали.

Виды туннелей по слою OSI

  • Layer 2 (link layer): туннель проходит Ethernet-фреймы. Редко для consumer VPN, чаще для site-to-site.
  • Layer 3 (network layer): туннель проходит IP-пакеты. Стандарт для большинства VPN (WireGuard, OpenVPN TUN-режим, IPsec).
  • Layer 4-7 (application): SSL/TLS-уровневые туннели типа OpenVPN TAP. Реже встречаются.

MTU и фрагментация

Любой Ethernet-фрейм имеет максимум 1500 байт (MTU). Когда ВПН добавляет свои headers (~80 байт), завёрнутый пакет может превысить лимит — придётся фрагментировать.

Решение: ВПН-клиенты понижают MTU интерфейса (типично до 1380-1420 байт) чтобы encapsulated пакеты всё ещё влезали. Большинство клиентов делают это автоматически.

Смотри также

🎪 FAQ

Что такое encapsulation на самом деле?
Обёртывание одного пакета в другой. Берёшь оригинальный IP-пакет, шифруешь его содержимое, потом запихиваешь как payload нового внешнего пакета. Внешний пакет идёт в сети — внутренний скрыт. На ВПН-сервере распаковывают обратно: вынимают внутренний, расшифровывают, отправляют.
Full tunnel vs split tunnel?
Full tunnel — весь трафик устройства идёт через ВПН (по умолчанию). Split tunnel — только часть, остальное идёт напрямую через провайдера. Split полезен когда нужно, например, локальный принтер видеть. См. детали.
Почему MTU важен в туннелировании?
Encapsulation добавляет байты к пакету. Если оригинальный пакет был на пределе MTU (типично 1500), завёрнутый пакет превысит — фрагментируется или дропнется. Поэтому ВПН-клиенты часто понижают MTU (например до 1380) чтобы влезало.

🎪 Encapsulation = магия туннеля

🤖 Скачать бесплатно