VPN-шифрование — это end-to-end?

Нет. VPN шифрует трафик между устройством и VPN-сервером. От сервера до сайта идёт то шифрование, которое использует сам сайт (HTTPS почти везде в 2026, но технически VPN-провайдер мог бы видеть открытый текст для любого не-HTTPS трафика).

VPN замедляет интернет?

Накладные расходы есть всегда — шифрование, дополнительный физический хоп, возможные правки MTU. С современным протоколом на близком сервере разница невелика и обычно незаметна для веба, видео и игр. Полный разбор — на странице про скорость.

Провайдер увидит, что я использую VPN?

Для большинства протоколов — да: видит шифрованный трафик на одну точку, что является признаком VPN. С транспортом типа Reality, который мимикрирует под HTTPS к публичному сайту, провайдер не может надёжно отличить ваш трафик от обычного посещения этого сайта.

Нужен ли VPN, если я хожу только по HTTPS?

HTTPS защищает содержимое каждого соединения, но провайдер видит имя домена (через SNI), DNS-запросы и паттерны трафика. VPN убирает всё это из видимости провайдера.

Бесплатные VPN — это то же самое, только бесплатно?

Нет. VPN-провайдер видит то, что раньше видел ваш ISP. Бесплатные обычно монетизируют именно эту видимость — продают данные, подсовывают рекламу или и то и другое. Подробно — на странице про бесплатные VPN.

Как работает VPN

Без рекламных лозунгов. По шагам — что происходит между вашим устройством и VPN-сервером, что именно прячет шифрование, чего оно не прячет, и при чём здесь DPI.

Попробовать VnePN 3 дня бесплатно — без карты

Версия на 30 секунд

VPN делает три конкретные вещи. Во-первых, шифрует трафик между устройством и выбранным сервером — сети между вами (ваш Wi-Fi, ваш провайдер, аэропортный роутер) видят непрозрачный поток байт, а не имена сайтов. Во-вторых, прокидывает трафик через сервер — сайты и приложения видят IP сервера, а не ваш. В-третьих, обычно загоняет DNS-запросы в тот же шифрованный туннель, чтобы промежуточные сети не видели и имён.

Всё остальное — kill switch, сплит-туннель, multi-hop, обфускация — надстройки над этими тремя примитивами.

По шагам: запрос через VPN

1. Приложение делает запрос. Браузер хочет открыть example.com. Без VPN ОС резолвит домен через DNS провайдера и открывает TCP/TLS-соединение через дефолтный маршрут.

2. VPN-клиент перехватывает. Когда VPN подключён, виртуальный сетевой интерфейс (tun0 на Linux/macOS, WireGuard-адаптер на Windows) становится дефолтным маршрутом для исходящего трафика. ОС отдаёт каждый пакет туда, а не на физический Wi-Fi.

3. Шифрование. Клиент шифрует каждый пакет симметричным ключом, согласованным во время рукопожатия. Современные протоколы используют AES-256-GCM или ChaCha20-Poly1305 — оба AEAD, то есть пакет ещё и аутентифицируется. Подмена или повтор обнаруживаются на приёмнике.

4. Инкапсуляция. Зашифрованная нагрузка заворачивается во внешний транспорт (UDP для WireGuard и большинства конфигов OpenVPN, TCP/443 с TLS для стелс-сетапов, обычный TLS для VLESS+Reality). Именно внешний пакет идёт через провайдера.

5. Сервер расшифровывает и форвардит. На сервере пакеты расшифровываются, проходят NAT в публичный IP сервера и уходят на example.com. Сайт видит запрос от сервера, не от вас.

6. Ответ возвращается. Ответ от example.com приходит на сервер, перешифровывается и едет обратно вашему клиенту через тот же туннель. Приложение видит обычный HTTPS-ответ — оно даже не знает, что путь шёл иначе.

Что VPN реально скрывает

От локальной сети и провайдера VPN скрывает: какие домены вы резолвите (когда DNS идёт через туннель), к каким IP вы подключаетесь, какие протоколы используете (кроме общего «шифрованный трафик на одну точку»), и содержимое каждого соединения.

Для сайтов VPN меняет: ваш видимый IP, геолокацию по этому IP, привязанные к нему лимиты и гео-ограничения.

От любопытного соседа в кофейне VPN скрывает всё, кроме самого факта подключения к VPN-эндпоинту. Он не увидит ни вашу банковскую сессию, ни мессенджер, ни поиск. Развёрнуто — на странице про безопасность Wi-Fi.

Чего VPN НЕ скрывает

Об этом обычно не пишут в рекламе, так что давайте конкретно.

VPN-провайдер видит то, что раньше видел ваш ISP. Если он ведёт логи — у него вся ваша история. Поэтому «no-logs policy» важнее выбора протокола.

Авторизованная учётка остаётся вашей. VPN не разлогинивает вас в Google, Facebook или банке. Залогинились в аккаунт — этот аккаунт знает, что это вы, с какого IP бы вы ни пришли.

Фингерпринт браузера никуда не делся. Canvas, шрифты, разрешение, WebGL — сайты могут связать ваши заходы вместе через смену IP. VPN не антитрекинг; это отдельный слой (uBlock Origin, Privacy Badger, закалённый браузер).

Малварь на устройстве работает без помех. Если устройство скомпрометировано, вредонос видит данные в чистом виде ещё до того, как они попадут в туннель.

Некоторые утечки — проблема протокола. WebRTC может отдать сайту ваш локальный IP даже при поднятом VPN. Проверка — на WebRTC leak-тестере. DNS может протечь похожим образом — см. DNS leak-тестер.

Протоколы простыми словами

OpenVPN. Ветеран. Зрелый, проаудированный, ходит по UDP или TCP. Минус — узнаваемое рукопожатие. На свободных сетях нормально, на сетях с DPI всё чаще троттлится. Подробнее про OpenVPN в России.

WireGuard. Современный минимализм. Маленькая кодовая база, быстрое рукопожатие, скорость близкая к железу. Та же оговорка — рукопожатие опознаётся, поэтому в странах с DPI его шейпят. Отлично подходит для домашнего VPS и site-to-site.

IKEv2/IPSec. Удобный для мобильных. Быстро переподключается при смене сети, нативный на iOS и macOS. Тот же фингерпринт-вопрос.

VLESS+Reality. Сегодняшний ответ для ограничивающих сетей. Везёт данные внутри настоящего TLS-рукопожатия с реальным публичным сайтом, поэтому DPI не отличает его от обычного HTTPS-трафика. Подробный разбор.

Shadowsocks. SOCKS5-прокси с шифрованием, популярный в Китае. Опознаётся легче, чем Reality, но ставится проще. Часто используется как вторичный протокол в связке V2Ray/XRay.

Когда VPN реально помогает

Ограничивающие сети. Если местный DPI режет конкретные протоколы или сайты, правильно выбранный VPN восстанавливает доступ. Слово «правильно» здесь ключевое — см. страницу про OpenVPN о том, почему выбор протокола важен в первую очередь.

Публичный Wi-Fi. Кофейня, отель, аэропорт. Угроза не теоретическая: атаки от соседей по сети, подменённые captive-порталы, иногда даже SSL stripping на дешёвом железе. VPN превращает локальную сеть в тупую трубу.

Гео-ограничения. Стриминговые каталоги, региональные цены, инструменты, отрезающие IP из определённых регионов. Эндпоинт VPN в другой стране — самый простой обход.

Сокрытие от провайдера. Провайдеры во многих странах продают агрегированные данные о просмотрах. VPN перекладывает эту видимость с компании, которой вы не доверяете, на ту, которую вы выбрали сами.

Где VPN помогает меньше: защита от целенаправленного государственного противника, анонимизация от сервиса, в который вы залогинились, замена endpoint-защиты. Разные задачи — разные инструменты.

Часто задаваемые вопросы

Посмотреть, как это работает

Запустить VLESS+Reality на тех же серверах, по которым мы только что прошлись. 3 дня бесплатно, без карты.

Попробовать VnePN