L3 Что такое VPN — с полного нуля
Если ты слышал «VPN — это шифрование», «VPN — это туннель», «VPN скрывает IP» — и тебе никто не объяснял что именно происходит в проводе, эта статья — твой фундамент. Без неё дальнейшие уроки про Reality и Hysteria будут казаться магией.
- Что такое туннелирование и почему оно «виртуальное»
- Как именно VPN скрывает IP-адрес и что видит провайдер
- Чем VPN отличается от прокси, Tor и обычного HTTPS
- Три типа VPN: remote-access, site-to-site, mesh/overlay
- Историю развития от PPTP (1996) до Reality (2023) — почему мы здесь
- Почему «VPN» в 2026 году — это часто не VPN в классическом смысле
1. Зачем вообще нужен VPN
Когда ты открываешь сайт example.com, твой компьютер посылает в провод
IP-пакет. В этом пакете три критичные вещи на виду у всех, кто стоит между тобой
и сайтом:
- Твой IP-адрес (откуда пакет) — провайдер, государство, владелец Wi-Fi-точки видят его
- IP назначения — провайдер видит, куда ты идёшь
- Имя хоста в TLS-handshake (поле SNI) — даже на HTTPS видно «какой сайт»
Шифрованный канал HTTPS защищает только содержимое (что ты загружаешь). А факт, что ты
пошёл на example.com, виден всем. На этом построены все блокировки и логирование.
VPN решает это одной идеей: упаковать твой трафик в другой зашифрованный поток, который снаружи выглядит «как один сплошной шифрованный канал в одну единственную точку».
2. Что такое туннель — главное слово в курсе
Туннель — это когда ты берёшь один сетевой пакет и кладёшь его целиком внутрь другого пакета. Внешний пакет несёт внутренний по сети. Это и есть инкапсуляция.
Письмо в письме
У тебя есть письмо: «Привет, я хочу прочитать example.com» с обратным адресом «Москва, ул. X».
Ты кладёшь его в конверт, а на конверте пишешь «Амстердам, VPN-сервер». Курьер
(провайдер) видит только конверт: ты послал что-то в Амстердам. В Амстердаме твой человек открывает
конверт, читает внутреннее письмо, идёт в example.com, забирает ответ, кладёт обратно в конверт,
отправляет тебе. Снаружи весь обмен — «между тобой и Амстердамом».
Конверт = внешний IP-пакет (VPN-туннель). Письмо внутри = твой исходный пакет к example.com.
Почему говорят «виртуальная сеть»
После поднятия туннеля у тебя на компьютере появляется новый сетевой интерфейс:
обычно tun0 (Linux), utun (macOS) или «WireGuard Tunnel» (Windows).
Он ведёт себя как настоящая сетевая карта со своим IP (например 10.8.0.5), но
физически никакого кабеля у него нет.
Это и есть virtual в «Virtual Private Network»: сеть существует только как программная абстракция. Через виртуальный интерфейс ОС шлёт пакеты как обычно — VPN-клиент перехватывает, шифрует, упаковывает во внешний пакет и отправляет в физический Ethernet/Wi-Fi.
3. Чем VPN отличается от HTTPS, прокси и Tor
Это самый частый вопрос новичков. Все четыре механизма «шифруют» — но защищают разное.
| Механизм | Что скрывает | Что НЕ скрывает | Кто видит «куда ты пошёл» |
|---|---|---|---|
| HTTPS (TLS) | Содержимое (запросы, ответы, cookies) | IP назначения, SNI (домен), объём трафика | Все на пути: провайдер, ТСПУ |
| HTTP-прокси | Адрес назначения (заменяется на прокси) | Всё содержимое, факт обращения к прокси | Прокси-сервер видит ВСЁ открытым |
| SOCKS5-прокси | Адрес назначения (на уровне TCP) | Содержимое (если не HTTPS поверх) | Прокси-сервер + провайдер видит сам факт прокси |
| VPN | Всё: IP назначения, SNI, домены, тип трафика | Сам факт VPN (если без маскировки) | Только VPN-сервер. Провайдер видит только «связь с VPN» |
| Tor | Всё, плюс маршрут через 3 рандомных узла | Сам факт Tor (entry node) | Никто из узлов не знает src+dst одновременно |
Слой работы
HTTPS работает на L7 (приложение) и шифрует данные одной сессии. SOCKS5-прокси работает на L5 — пересылает TCP-стримы, но не оборачивает их. VPN работает на L3 (или ниже): шифрует всё, что бы ни шло с твоей машины: DNS-запросы, BitTorrent, видеозвонок, обращение к серверам обновлений — всё уходит через туннель. Tor работает на L7 как прокси, но через 3 узла с onion-шифрованием — заметно медленнее.
Когда что использовать:
- HTTPS — всегда, для всего веба (это база, не альтернатива VPN)
- SOCKS5-прокси — точечно, для одного приложения (браузер с расширением)
- VPN — когда нужна защита всей системы целиком + смена страны
- Tor — когда нужна анонимность, не скорость; для журналистов, активистов
4. Три типа VPN — у каждого своя задача
В индустрии VPN — это не один механизм, а три разных сценария с разной архитектурой.
5. История: почему мы пришли к Reality
Эволюция VPN — это история «гонки вооружений» между протоколами и блокировками. Каждая эпоха решает проблемы предыдущей.
| Год | Протокол | Что нового | Почему устарел |
|---|---|---|---|
| 1996 | PPTP (Microsoft) | Первый массовый VPN. Простая настройка. | MS-CHAPv2 взломан, шифрование MPPE слабое. Запрещён в 2026 |
| 1998 | IPsec | Промышленный стандарт. Поддержка везде. | Сложная настройка (IKEv1 кошмар), плохо проходит NAT, заметен DPI |
| 2001 | OpenVPN | TLS-based, кросс-платформа, гибкость | Узнаваемый fingerprint, медленнее WireGuard, 600k строк кода |
| 2005 | L2TP/IPsec | Стандарт для встроенной поддержки в ОС | Известные порты (UDP 500/4500/1701) — блокируются на раз |
| 2016 | WireGuard | 4000 строк кода, в ядре Linux, очень быстрый | UDP-only handshake детектится DPI. Не маскируется. |
| 2017 | Shadowsocks | Симметричный «прокси» без рукопожатий — невидим | Active probing в Китае научились детектить |
| 2018 | V2Ray / VMess | Динамическая обфускация, обёртка под HTTPS | Свой handshake → отпечатки TLS не как у браузера |
| 2021 | Trojan | Притворяется обычным HTTPS-сайтом | Нужен настоящий домен + сертификат, TLS-in-TLS детект |
| 2022 | XTLS-Vision | Маскирует TLS-in-TLS, выглядит как нормальный HTTPS | Всё ещё нужен домен; уязвим к active probing на server |
| 2022 | Hysteria / TUIC | QUIC-туннель, BBR, port hopping | UDP-only, кое-где режут UDP целиком |
| 2023 | Reality | Притворяется чужим сайтом, не нужен домен. Текущий топ | Будущее покажет |
| 2023 | AmneziaWG | WireGuard + junk-пакеты против российского DPI | Нишевое решение |
| 2024+ | MASQUE, ECH, PQ | Стандартный HTTPS как туннель, ECH прячет SNI, post-quantum ключи | Будущее, ещё не массово |
6. Чего VPN НЕ делает — важно понимать
VPN — мощный инструмент, но не магия. Что он не делает:
«VPN делает меня полностью анонимным»
Нет. VPN-провайдер видит весь твой трафик — он стал твоим новым «провайдером». Если он логирует или продаёт данные — ты обменял одну слежку на другую. Анонимность — это Tor, не VPN. VPN даёт приватность от провайдера и смену IP, и всё. Cookies, fingerprinting браузера, аккаунт Google — продолжают тебя идентифицировать.
«VPN защищает от хакеров»
VPN защищает только канал «ты → VPN-сервер». Дальше пакет идёт по обычному интернету. Если ты заходишь на фишинговый сайт через VPN — фишинг не перестаёт работать. Если у тебя открыт RDP с паролем «1234» — VPN не спасёт.
«У меня дома Wi-Fi, VPN не нужен»
Дома Wi-Fi контролируешь ты — да. Но провайдер (и ТСПУ на его кабеле) видит всё, что ты делаешь. Если задача — не открыть «кто за стенкой ловит мой Wi-Fi» (этого никто не делает), а «не показывать провайдеру SNI каждого сайта» — VPN тут нужен.
- Скрытие SNI и IP назначения от провайдера/государства — главная функция в 2026
- Смена твоего IP на IP сервера (для гео-ограниченного контента)
- Защита открытого Wi-Fi от соседа со sniffer'ом (это уже редкая угроза, но есть)
- Доступ к корпоративной сети извне без публикации сервисов в интернет
- Объединение разных площадок в одну логическую сеть (site-to-site)
7. Почему этот курс длинный — а не «сядь и настрой за 5 минут»
Можно открыть YouTube, поставить за 10 минут готовое решение и пользоваться. Зачем 14 модулей?
Потому что блокировки умнеют, и через год твой VPN перестанет работать. Если ты не понимаешь, почему Reality лучше Trojan и что именно детектит DPI — ты будешь перебирать готовые конфиги наугад. Если понимаешь — заменишь обфускацию или сменишь транспорт за час.
Сетевой инженер, понимающий VPN на уровне «как DPI ищет TLS-in-TLS», ценится в десятки раз выше, чем «знающий какие галочки нажимать в 3x-ui». Это редкая компетенция на рынке.
8. Что дальше
В следующем уроке мы вскроем «шифрование» — посмотрим, что такое симметричное и асимметричное шифрование, как стороны договариваются о ключе (key exchange), почему все современные VPN используют ChaCha20-Poly1305 или AES-GCM, как устроен TLS 1.3 handshake побайтово.
Это самый «химический» урок курса — после него протоколы (OpenVPN, WireGuard, Reality) разбираются на раз, потому что внутри они все построены на одних и тех же криптопримитивах.