ВПН-туннелирование — техника заворачивания интернет-трафика в шифрованный конверт ("туннель") между устройством и ВПН-сервером. Внешняя сеть видит только шифрованный конверт, не содержимое.
Метафора
Представь обычный интернет-трафик как открытки — любой по пути может прочитать. ВПН-туннель — это как положить открытки в запечатанные броневые конверты до того, как они покинут дом. Любому смотрящему в сеть видны только броневые конверты. Содержимое запечатано и маршрутизируется к конкретной точке (ВПН-серверу) до распаковки и отправки в реальный пункт назначения.
Метафора "туннеля" схватывает идею, что оригинальный трафик скрыт во время транзита. Физического туннеля нет, но шифрованная обёртка делает трафик эффективно невидимым снаружи.
Как реально работает
Три вещи происходят при подключении к ВПН:
- Устройство договаривается о session-ключах с ВПН-сервером через key-exchange протокол (Diffie-Hellman или эквивалент).
- Каждый пакет с устройства заворачивается во внешний слой, зашифрованный session-ключами, адресован ВПН-серверу.
- ВПН-сервер получает завёрнутый пакет, расшифровывает, форвардит внутренний пакет туда, куда он реально шёл.
Протоколы реализующие это (WireGuard, OpenVPN, IKEv2/IPsec) отличаются криптографией и форматами пакетов, но core концепт тот же.
Что защищает, чего нет
Защищает:
- Содержимое трафика от наблюдателей на локальной сети и провайдера.
- Направления трафика от тех же наблюдателей.
- Твой реальный IP-адрес от сайтов которые посещаешь.
Не защищает:
- Что происходит на выходе туннеля (ВПН-провайдер видит направления).
- Что происходит на endpoints (устройство, целевой сервер).
- Идентификацию на уровне приложений (залогиненные аккаунты, куки, fingerprints).
Протоколы туннелирования
Основные протоколы сейчас:
- WireGuard — современный, быстрый, простой.
- OpenVPN — старее, более настраиваемый, медленнее.
- IKEv2/IPsec — совместный дизайн Microsoft + Cisco, частый на iOS.