L3 Что такое VPN — с полного нуля

Если ты слышал «VPN — это шифрование», «VPN — это туннель», «VPN скрывает IP» — и тебе никто не объяснял что именно происходит в проводе, эта статья — твой фундамент. Без неё дальнейшие уроки про Reality и Hysteria будут казаться магией.

Что узнаешь

1. Зачем вообще нужен VPN

Когда ты открываешь сайт example.com, твой компьютер посылает в провод IP-пакет. В этом пакете три критичные вещи на виду у всех, кто стоит между тобой и сайтом:

  1. Твой IP-адрес (откуда пакет) — провайдер, государство, владелец Wi-Fi-точки видят его
  2. IP назначения — провайдер видит, куда ты идёшь
  3. Имя хоста в TLS-handshake (поле SNI) — даже на HTTPS видно «какой сайт»

Шифрованный канал HTTPS защищает только содержимое (что ты загружаешь). А факт, что ты пошёл на example.com, виден всем. На этом построены все блокировки и логирование.

Без VPN: что видит провайдер
Ты IP: 2.92.x.x (дом) Провайдер + ТСПУ видит ВСЁ: • твой IP • IP сайта • SNI (имя домена) example.com IP: 93.184.x.x HTTPS Заголовок пакета — открытый Шифруется только тело HTTPS. Кто куда пошёл — видно всегда. Чтобы заблокировать сайт — достаточно правила: «дроп всех пакетов с SNI = example.com» Это и делает ТСПУ/GFW: смотрит SNI и режет. Не «взламывает HTTPS» — это не нужно.
Без VPN: провайдер видит, КУДА ты идёшь, даже на HTTPS

VPN решает это одной идеей: упаковать твой трафик в другой зашифрованный поток, который снаружи выглядит «как один сплошной шифрованный канал в одну единственную точку».

2. Что такое туннель — главное слово в курсе

Туннель — это когда ты берёшь один сетевой пакет и кладёшь его целиком внутрь другого пакета. Внешний пакет несёт внутренний по сети. Это и есть инкапсуляция.

Аналогия

Письмо в письме

У тебя есть письмо: «Привет, я хочу прочитать example.com» с обратным адресом «Москва, ул. X». Ты кладёшь его в конверт, а на конверте пишешь «Амстердам, VPN-сервер». Курьер (провайдер) видит только конверт: ты послал что-то в Амстердам. В Амстердаме твой человек открывает конверт, читает внутреннее письмо, идёт в example.com, забирает ответ, кладёт обратно в конверт, отправляет тебе. Снаружи весь обмен — «между тобой и Амстердамом».

Конверт = внешний IP-пакет (VPN-туннель). Письмо внутри = твой исходный пакет к example.com.

Туннелирование: пакет в пакете
ВНЕШНИЙ IP-ПАКЕТ (то, что видит провайдер) Внешний IP-header src: 2.92.x.x → dst: VPN-сервер UDP/TCP, port 51820 Зашифрованное тело внутри лежит исходный пакет: ВНУТРЕННИЙ IP-ПАКЕТ src: 10.8.0.5 (VPN-IP) → dst: 93.184.216.34 (example.com) HTTPS-handshake → GET / HTTP/2 провайдер этого НЕ видит — оно зашифровано Внешний пакет: «я общаюсь с одним сервером в Амстердаме». Что внутри — никто кроме сервера не знает.
Инкапсуляция: исходный пакет шифруется и кладётся внутрь нового пакета
Под капотом

Почему говорят «виртуальная сеть»

После поднятия туннеля у тебя на компьютере появляется новый сетевой интерфейс: обычно tun0 (Linux), utun (macOS) или «WireGuard Tunnel» (Windows). Он ведёт себя как настоящая сетевая карта со своим IP (например 10.8.0.5), но физически никакого кабеля у него нет.

Это и есть virtual в «Virtual Private Network»: сеть существует только как программная абстракция. Через виртуальный интерфейс ОС шлёт пакеты как обычно — VPN-клиент перехватывает, шифрует, упаковывает во внешний пакет и отправляет в физический Ethernet/Wi-Fi.

3. Чем VPN отличается от HTTPS, прокси и Tor

Это самый частый вопрос новичков. Все четыре механизма «шифруют» — но защищают разное.

Механизм Что скрывает Что НЕ скрывает Кто видит «куда ты пошёл»
HTTPS (TLS) Содержимое (запросы, ответы, cookies) IP назначения, SNI (домен), объём трафика Все на пути: провайдер, ТСПУ
HTTP-прокси Адрес назначения (заменяется на прокси) Всё содержимое, факт обращения к прокси Прокси-сервер видит ВСЁ открытым
SOCKS5-прокси Адрес назначения (на уровне TCP) Содержимое (если не HTTPS поверх) Прокси-сервер + провайдер видит сам факт прокси
VPN Всё: IP назначения, SNI, домены, тип трафика Сам факт VPN (если без маскировки) Только VPN-сервер. Провайдер видит только «связь с VPN»
Tor Всё, плюс маршрут через 3 рандомных узла Сам факт Tor (entry node) Никто из узлов не знает src+dst одновременно
Главное различие

Слой работы

HTTPS работает на L7 (приложение) и шифрует данные одной сессии. SOCKS5-прокси работает на L5 — пересылает TCP-стримы, но не оборачивает их. VPN работает на L3 (или ниже): шифрует всё, что бы ни шло с твоей машины: DNS-запросы, BitTorrent, видеозвонок, обращение к серверам обновлений — всё уходит через туннель. Tor работает на L7 как прокси, но через 3 узла с onion-шифрованием — заметно медленнее.

Когда что использовать:

4. Три типа VPN — у каждого своя задача

В индустрии VPN — это не один механизм, а три разных сценария с разной архитектурой.

Три типа VPN
① Remote-Access VPN «классический» — один пользователь подключается к серверу Ноут туннель VPN-сервер (в Амстердаме) обычный интернет Сайты Кто использует: домашний пользователь, командировочный с публичного Wi-Fi, обходящий блокировки. Протоколы: WireGuard, OpenVPN, Reality. ② Site-to-Site VPN соединение двух офисов через интернет как одну сеть Офис A 10.1.0.0/16 маршрутизатор с IPsec IPsec / WireGuard туннель «как будто офисы в одном здании» Офис B 10.2.0.0/16 маршрутизатор с IPsec Кто использует: компании с несколькими филиалами, ДЦ-ДЦ репликация, облако ↔ on-prem. Протоколы: IPsec (стандарт де-факто), реже WireGuard. ③ Mesh / Overlay VPN любой-к-любому, без центрального сервера на пути трафика Tailscale, Nebula, Netbird, ZeroTier. Каждая нода знает других напрямую, control plane хранит ключи и координаты. Хит для devops-команд.
Три архитектуры. Не путай их: «VPN от Mullvad» = remote-access, «VPN между офисами» = site-to-site

5. История: почему мы пришли к Reality

Эволюция VPN — это история «гонки вооружений» между протоколами и блокировками. Каждая эпоха решает проблемы предыдущей.

Год Протокол Что нового Почему устарел
1996 PPTP (Microsoft) Первый массовый VPN. Простая настройка. MS-CHAPv2 взломан, шифрование MPPE слабое. Запрещён в 2026
1998 IPsec Промышленный стандарт. Поддержка везде. Сложная настройка (IKEv1 кошмар), плохо проходит NAT, заметен DPI
2001 OpenVPN TLS-based, кросс-платформа, гибкость Узнаваемый fingerprint, медленнее WireGuard, 600k строк кода
2005 L2TP/IPsec Стандарт для встроенной поддержки в ОС Известные порты (UDP 500/4500/1701) — блокируются на раз
2016 WireGuard 4000 строк кода, в ядре Linux, очень быстрый UDP-only handshake детектится DPI. Не маскируется.
2017 Shadowsocks Симметричный «прокси» без рукопожатий — невидим Active probing в Китае научились детектить
2018 V2Ray / VMess Динамическая обфускация, обёртка под HTTPS Свой handshake → отпечатки TLS не как у браузера
2021 Trojan Притворяется обычным HTTPS-сайтом Нужен настоящий домен + сертификат, TLS-in-TLS детект
2022 XTLS-Vision Маскирует TLS-in-TLS, выглядит как нормальный HTTPS Всё ещё нужен домен; уязвим к active probing на server
2022 Hysteria / TUIC QUIC-туннель, BBR, port hopping UDP-only, кое-где режут UDP целиком
2023 Reality Притворяется чужим сайтом, не нужен домен. Текущий топ Будущее покажет
2023 AmneziaWG WireGuard + junk-пакеты против российского DPI Нишевое решение
2024+ MASQUE, ECH, PQ Стандартный HTTPS как туннель, ECH прячет SNI, post-quantum ключи Будущее, ещё не массово
Главный тренд: мы прошли путь «сделаем VPN быстрым» → «сделаем VPN безопасным» → «сделаем VPN невидимым». Сегодня главное свойство VPN — не скорость и не криптография (с этим всё давно ок), а неотличимость от обычного HTTPS-трафика.

6. Чего VPN НЕ делает — важно понимать

VPN — мощный инструмент, но не магия. Что он не делает:

Заблуждение

«VPN делает меня полностью анонимным»

Нет. VPN-провайдер видит весь твой трафик — он стал твоим новым «провайдером». Если он логирует или продаёт данные — ты обменял одну слежку на другую. Анонимность — это Tor, не VPN. VPN даёт приватность от провайдера и смену IP, и всё. Cookies, fingerprinting браузера, аккаунт Google — продолжают тебя идентифицировать.

Заблуждение

«VPN защищает от хакеров»

VPN защищает только канал «ты → VPN-сервер». Дальше пакет идёт по обычному интернету. Если ты заходишь на фишинговый сайт через VPN — фишинг не перестаёт работать. Если у тебя открыт RDP с паролем «1234» — VPN не спасёт.

Заблуждение

«У меня дома Wi-Fi, VPN не нужен»

Дома Wi-Fi контролируешь ты — да. Но провайдер (и ТСПУ на его кабеле) видит всё, что ты делаешь. Если задача — не открыть «кто за стенкой ловит мой Wi-Fi» (этого никто не делает), а «не показывать провайдеру SNI каждого сайта» — VPN тут нужен.

Что VPN реально даёт
  1. Скрытие SNI и IP назначения от провайдера/государства — главная функция в 2026
  2. Смена твоего IP на IP сервера (для гео-ограниченного контента)
  3. Защита открытого Wi-Fi от соседа со sniffer'ом (это уже редкая угроза, но есть)
  4. Доступ к корпоративной сети извне без публикации сервисов в интернет
  5. Объединение разных площадок в одну логическую сеть (site-to-site)

7. Почему этот курс длинный — а не «сядь и настрой за 5 минут»

Можно открыть YouTube, поставить за 10 минут готовое решение и пользоваться. Зачем 14 модулей?

Потому что блокировки умнеют, и через год твой VPN перестанет работать. Если ты не понимаешь, почему Reality лучше Trojan и что именно детектит DPI — ты будешь перебирать готовые конфиги наугад. Если понимаешь — заменишь обфускацию или сменишь транспорт за час.

Сетевой инженер, понимающий VPN на уровне «как DPI ищет TLS-in-TLS», ценится в десятки раз выше, чем «знающий какие галочки нажимать в 3x-ui». Это редкая компетенция на рынке.

Ключевое: VPN — это инкапсуляция (пакет в пакете) плюс шифрование внешнего канала. Современные VPN дополнительно решают задачу маскировки — чтобы внешний канал выглядел как обычный HTTPS. На этой триаде — инкапсуляция, криптография, маскировка — построены все 14 уроков курса.

8. Что дальше

В следующем уроке мы вскроем «шифрование» — посмотрим, что такое симметричное и асимметричное шифрование, как стороны договариваются о ключе (key exchange), почему все современные VPN используют ChaCha20-Poly1305 или AES-GCM, как устроен TLS 1.3 handshake побайтово.

Это самый «химический» урок курса — после него протоколы (OpenVPN, WireGuard, Reality) разбираются на раз, потому что внутри они все построены на одних и тех же криптопримитивах.