VPN加密是端到端的吗？

不是。VPN加密您的设备与VPN服务器之间的流量。从服务器往后到目标网站，连接采用网站本身使用的方式（2026年几乎一切都是HTTPS，但从技术上讲VPN提供商有能力看到任何非HTTPS流量的明文）。

VPN会减慢我的网速吗？

总会有一些开销——加密、额外的物理跳转、可能的MTU调整。在附近的服务器上使用现代协议，差异很小，对于浏览、视频和游戏通常无法察觉。完整分析在速度页面。

我的ISP能看出我在使用VPN吗？

对于大多数协议，能——他们能看到到单一端点的加密流量，这是VPN的特征。使用模仿到公共网站的HTTPS的Reality式传输，ISP无法可靠地将您的流量与对该网站的正常浏览区分开。

如果我只使用HTTPS网站，还需要VPN吗？

HTTPS保护每个连接的内容，但您的ISP仍能看到域名（通过SNI）、DNS查询和流量模式。VPN将所有这些移出您ISP的视野。

免费VPN是同样的东西，只是免费而已吗？

不是。VPN提供商看到您ISP过去看到的一切。免费提供商往往将这种可见性变现——出售数据、注入广告，或两者兼有。详细分析在免费VPN页面。

VPN 究竟如何工作

没有营销口号。实际走一遍您的设备与VPN服务器之间发生的事情，加密保护什么、不保护什么，以及DPI之战在其中的位置。

试用VnePN Free for 3 days — no card required

30秒版本

VPN做三件具体的事。首先，它加密您的设备与所选服务器之间的流量，因此中间的网络（您的Wi-Fi、您的ISP、机场路由器）看到的是不透明的字节，而不是您正在访问哪些网站。其次，它将该流量通过服务器转发出去，因此您连接的网站和应用看到的是服务器的IP地址，而不是您的。第三，它通常将您的DNS查询移入同一加密隧道内，因此同样的中间网络也无法看到您正在解析的名称。

其他一切——kill switch、分流、多跳、混淆——都建立在这三个基本要素之上。

逐步详解：一个请求如何通过VPN

1. 应用发起请求。您的浏览器想加载example.com。没有VPN时，操作系统会通过您ISP的DNS解析域名，然后通过默认路由打开一个TCP/TLS连接。

2. VPN客户端拦截。当VPN连接时，一个虚拟网络接口（Linux/macOS上的tun0，Windows上的WireGuard适配器）成为出站流量的默认路由。操作系统将每个数据包交给该接口，而不是物理Wi-Fi。

3. 加密。VPN客户端用握手期间协商的对称密钥加密每个数据包。现代协议使用AES-256-GCM或ChaCha20-Poly1305——两者都是AEAD密码，因此每个数据包还会被认证。篡改或重放会在接收端被检测到。

4. 封装。加密的载荷被包裹在外层传输中（WireGuard和大多数OpenVPN配置使用UDP，更隐蔽的设置使用带TLS的TCP/443，VLESS+Reality使用纯TLS）。外层数据包才是穿过您ISP的内容。

5. 服务器解密并转发。在VPN服务器上，数据包被解密、经NAT转换为服务器的公网IP，然后发送到example.com。网站看到的是来自服务器的请求，而不是来自您的。

6. 回复返回。来自example.com的响应到达服务器，被重新加密，并通过同一隧道传回您的客户端。您的应用看到的是正常的HTTPS响应，毫不知道路径有所不同。

VPN究竟隐藏什么

对您的本地网络和ISP，VPN隐藏：您解析哪些域名（当DNS通过隧道时）、您连接哪些IP地址、除了"到单一端点的加密流量"之外您使用哪些协议，以及每个连接的内容。

对您访问的网站，VPN改变：您的表面IP地址、根据该IP推断的地理位置，以及与之相关的任何速率限制或地理限制。

对同一咖啡店Wi-Fi上好奇的路人，VPN隐藏：除了您连接到VPN端点这一事实之外的一切。他们无法看到您的银行会话、您的即时通讯或您的搜索历史。关于该场景的详细介绍在Wi-Fi安全页面。

VPN不隐藏什么

这部分在大多数广告中被略过，所以值得讲得具体些。

VPN提供商看到您ISP过去看到的内容。如果他们保留日志，他们就拥有您完整的浏览历史。"无日志政策"的主张正是为什么提供商的选择比所用协议更重要。

已登录的身份仍然是您。VPN不会让您退出Google、Facebook或您的银行。如果您登录某个账户，无论您从哪个IP前来，该账户仍然知道这是您。

浏览器指纹识别仍然有效。Canvas、字体、屏幕分辨率、WebGL——网站可以在IP变化后重新识别您。VPN不是反追踪工具；那是单独的一层（uBlock Origin、Privacy Badger、加固的浏览器）。

本地恶意软件不受影响。如果您的设备被入侵，恶意软件在数据到达VPN隧道之前就看到了明文数据。

有些泄露是协议特有的。即使VPN已连接，WebRTC也可能向网站暴露您的本地IP。用WebRTC泄露测试器测试它。DNS可能以类似方式泄露——见DNS泄露测试器。

协议，用通俗的话讲

OpenVPN。老兵。成熟、经过审计，运行于UDP或TCP之上。代价是可识别的握手——在开放网络上没问题，在有DPI的网络上越来越被限速。更多关于OpenVPN在俄罗斯的问题。

WireGuard。现代极简主义。代码库微小、握手快速、吞吐量接近裸机。同样的警告——它的握手可被识别，所以有DPI的国家会对它限速。在家用VPS或站点到站点连接上表现优异。

IKEv2/IPSec。移动友好的经典。网络切换时重连快速，在iOS和macOS上原生支持。同样的指纹问题。

VLESS+Reality。当前针对限制性网络的答案。将数据携带在与真实公共网站的真实TLS握手内部，因此DPI无法将其与常规HTTPS流量区分开。深入了解。

Shadowsocks。带加密的SOCKS5代理，在中国流行。比Reality更容易被指纹识别，但运行更轻量。常用作V2Ray/XRay设置中的辅助协议。

VPN究竟何时有帮助

限制性网络。当本地DPI对特定协议或网站限速时，正确选择的VPN能恢复访问。"正确选择"这个限定语很重要——见OpenVPN页面，了解为什么协议选择现在是首要的。

公共Wi-Fi。咖啡店、酒店、机场。威胁并非理论上的：同网络攻击者、强制门户重定向，有时在廉价硬件上甚至直接进行SSL剥离。VPN将本地网络变成一根哑管道。

地理摩擦。流媒体目录、地区定价、屏蔽特定地区IP的工具。在另一个国家的VPN端点是最简单的变通方法。

对您的ISP隐藏流量。许多国家的ISP出售聚合的浏览数据。VPN将这种可见性从您不信任的公司转移到您明确选择的公司。

它帮助较少的地方：防御有针对性的国家级对手、从您已登录的服务中将您匿名化、替代端点安全软件。不同的问题，不同的工具。

Frequently Asked Questions

看看实际效果

在我们刚刚走过的同样的服务器上运行VLESS+Reality。免费3天，无需信用卡。

试用VnePN