Shell's Home

Aug 6, 2015 - 1 minute read - Comments

关于vpn的一些话

最近在弄一些关于vpn的事,又在quora上看到了好多关于vpn的问题。(不知为何quora总是推荐让我回答vpn的问题)其中很多问题极其傻,缺少基础性常识,一看就是外行问的。

其实也难怪,vpn的需求,并不只是专业人士有。有位朋友向我咨询vpn问题,他可既不是要翻墙,也不是专业人士。所以我打算把和vpn有关的一些常识写一下,以备咨询。

vpn能做什么?

vpn能做什么,取决于你想要他做什么。vpn其实就是一个虚拟的线,连通两个地点,就如同真的接了一根线一般。只不过这个虚拟的线,实际上是由你到对方地点的网络来提供的支持。通常情况下,这么传数据会使得你的数据暴露在网络上。但是vpn里传输的所有数据都经过了加密,你可以认为传输者看不见。

所以,vpn能做什么呢?

有些公司阻止了员工访问很多网络。借助vpn,你可以绕到第三方的网络里去访问哪些网站。其实gfw也是同类情况,只是这家公司更大而已。

有些网络会监听访问,用来做一些对用户不利的事情。例如在国外,使用bt下载很可能会招致版权组织的诉讼。这时可以借助vpn来下载。或者某些公司也会监听用户的数据,例如qq。对于这类情况,你也可以用vpn跳出公司的网络。当然,如果你对这些问题已经有了顾虑,那么就不应当使用国产路由器。大部分国产路由器都会有监控用户数据的行为,很多甚至会修改。

vpn不能做什么?

vpn的常规模型,是从用户实际上网的地点“逃逸”到vpn供应商那里。(我们不讨论一些特殊情况)所以,他解决不了一些问题。

例如你的网站没有加密,那么就无法期待vpn来帮你。除非你能让你的所有用户和网站全部连到同一个vpn上(所以访问你的网站前需要先拨vpn)。基于同一个理由,你无法用vpn对抗网站劫持。

同理,如果某个网站未加密,你也无法指望使用vpn保证安全。vpn只能保证守在你家门口的这些人(例如ISP)无法弄到数据。守在服务器门口的人(如果有的话)依然可以获得你和服务器的全部通讯。

vpn分为哪些种类,有什么特点?

一般来说,常见的vpn有这么几种。

  • pptp。最古典和最通用的vpn。windows里默认内置,搭建和使用都相当容易。但是由于特殊的网络设计,因此有些公司无法使用。而且有安全性隐患。对掌握极大资源的攻击者,内容基本透明。
  • ipsec+l2tp。windows里内置,大部分公司应当都可以连通(没有故意拦截的话)。对于除美国政府外的截听者,应该都比较安全。
  • openvpn。复杂和强大,模式多变。需要安装第三方程序,因此并不是很容易用。但是可以跨越大部分公司网络,不会有什么阻碍。安全性很高,也有一些算法可以用来对抗美国政府。由于中国政府的封锁,无法跨越国内外。
  • sstp。windows自己的协议。只需要一个ssl连接,因此跨越性比openvpn还好。新版windows里应该有内置。
  • AnyConnect。Cisco的协议,需要安装第三方程序。跨越性和安全性没有实用数据。

简单来说。如果你只是要用而已,并且没有被掌握极大资源的攻击者盯上,而且不是反美国政府。那么哪种方便用哪种。下面是一些系统的兼容性建议:

  • windows: pptp, ipsec+l2tp, sstp
  • linux: openvpn, pptp
  • android: pptp, ipsec+l2tp, openvpn
  • ios: pptp, ipsec+l2tp, anyconnect(似乎这是唯一一个能在ios上非越狱安装的vpn应用)

从上面我们可以看到,pptp其实是兼容性最好的,但是不是所有网络都支持。次之的是ipsec+l2tp。如果还有问题,openvpn应当能够解决你的问题。如果都不行,再考虑其他。sstp仅建议用于只有windows客户端的情况,anyconnect仅建议用于你钱足够多的情况。

所以大部分vpn供应商的协议选择都是pptp/ipsec+l2tp,或者多一个openvpn。这足以应付大部分情况。

这里 是我看到的一个比较全面的,关于vpn之间比较的页面。

使用了vpn,我的网络安全了么?

不一定。如我上面所说,vpn只保证了你家门口的安全。守护在服务器前的人依然可以获得数据。甚至,如果vpn供应商怀有恶意的话,他们也能够获得数据。所以这是一个ISP和VPN供应商,谁更可信的问题。

而且实际情况往往更加复杂。很多数据的获取,并不来源于源IP地址,而是在浏览器里植入了身份相关信息。浏览器的身份相关信息相当敏感,没有他们,你就无法在网站上登录。也因此,这些数据一旦被恶意者获得,他们就能借助你在第三方网站上的身份信息,获得你是谁。

对于这些威胁,vpn都是无能为力的。

ipv6试用手记 使用tmate和mdp做培训

comments powered by Disqus