Как работает VPN?

Question

[WebDev]

мне неясно три момента:
1) Скачал WAPR, подключился, зашел на ip2location и у меня сменился ip адрес, но не сменилась страна и город. Страну и город тут вообще негде выбрать, как я понял. Зачем нужно такое подключение и как оно работает? Заблокированные сайты по-прежнему не работают.
2) Каким образом вообще проходит трафик при работе с VPN? Я себе это представляю так: когда я делаю запрос, например открываю facebook, данные идут не напрямую к facebook, а сначала в сеть VPN, а оттуда уже к facebook.
3) Во всяких видео про ВПН все время рассматривается один и тот же случай: вы пришли в кафе, подключились к wi-fi и у вас украли все ваши данные. Кто в этом случае может украсть данные? Владелец wi-fi, верно? Он может прослушивать траффик, который проходит через роутер. Но он может это сделать только по незащищенному соединению. Если веб-сайт использует шифрование, то он уже ничего не получит. Но, допустим, что соедининие незащищено, но я использую vpn. Как мне это поможет? Ведь я, допустим, отправляю через форму на сайте данные банковской карты, эти данные ведь сначала пройдут через роутер, прежде чем попасть в VPN?

Answer 1

[Drno]

2. да, именно так WARP это не полноценный VPN
3. При установке VPN соединения, всё уже пойдет внутри него. так что роутер увидит только зашифрованный трафик

Comments

[Dmitry Roo]

WARP это не полноценный VPN

Вот тут, пожалуйста, по подробнее. Что значит “не полноценный vpn?”

[Aelliari]

да, именно так WARP это не полноценный VPN

У них есть отдельный сервис для этого, ZeroTrust, в панели управления cf регистрируешься, создаешь команду и подключаешь клиентов в приложении warp. Можно использовать и как L3 vpn между пачкой устройств

VPN соединения, всё уже пойдет внутри него

Если не split tunneling же? Но в случае warp - его включить нельзя вроде

Answer 2

[Griboks]

Зачем нужно такое подключение и как оно работает?

Значит, вам не нужен такой VPN. У них на сайте указано, что можно выбрать разные страны. Возможно, вы не смогли найти эту вкладку или не смогли подключиться.

Каким образом вообще проходит трафик при работе с VPN?

Конкретно такое VPN - это маркетинговое название зашифрованного туннеля. Трафик шифруется на вашем компьютере, отправляется на сервер VPN, расшифровывается, передаётся оттуда уже на сервер назначения.

когда я делаю запрос, например открываю facebook, данные идут не напрямую к facebook...

Да, именно так. Но тут достаточно использовать веб-прокси.

Кто в этом случае может украсть данные?

Любой в радиусе 100 метров.

Но он может это сделать только по незащищенному соединению.

Верно, защищённое соединение для этого и придумано, чтобы промежуточные узлы не могли украсть данные.

Но, допустим, что соедининие незащищено, но я использую vpn. Как мне это поможет?

Некоторые WiFi (возможно, после атаки злоумышленников) нарочно подменяют сертификаты или заставляют использовать незащищённые соединения. В таком случае VPN поможет обойти эти ограничения.
Если же сам сайт имеет незащищённое соединения, тогда уже ничего не поможет.
В любом случае, сервер VPN расшифровывает трафик, и оставшаяся часть маршрута остаётся открытой.

данные ведь сначала пройдут через роутер, прежде чем попасть в VPN?

Нет, VPN работает end to end.

Comments

[Aelliari]

У них на сайте указано, что можно выбрать разные страны.

У warp? Да никогда было нельзя, но ноды у cloudflare по всему миру. Не понял где вы это прочли

Нет, VPN работает end to end.

Это странная формулировка, трафик всё равно проходит через "роутер", только он уже закрыт e2e шифрованием

[Griboks]

Aelliari, всё идёт через роутер. А VPN как технология работает с оконечными устройствами.

Answer 3

[Aelliari]

Страну и город тут вообще негде выбрать, как я понял. Зачем нужно такое подключение и как оно работает?

Ты подключаешься к ближайшей ноде cloudflare, это не настраивается (но возможно есть разграничение по нодам для warp, warp+ и ZeroTrust, тут я не знаю). Трафик до ноды - точно также закрыт от любопытных, от ноды - маршрутами и днс сервером управляет cloudflare, иногда можно получить "ускорение" интернета за счет более оптимальных маршрутов.
Так как ближайшая нода cloudflare скорее всего находится в твоей стране - она так же может попадать под местные законы по фильтрации трафика (но как оно тут - я не уверен, у меня заблокированное открывает).

Каким образом вообще проходит трафик при работе с VPN?

VPN - Virtual Private Network. Так как ты и представляешь, все верно. За исключением того что cloudflare предлагает сервис ZeroTrust, который помимо такого варианта исполнения, позводяет ещё и объеденить свои устройсьва в общую сеть для чего и был изначально разработан vpn. Собственно использование vpn сервера в качестве шлюза - это "бонусная" возможность технологии vpn

Кто в этом случае может украсть данные

Тот кто может слушать трафик, при определенных обстоятельствах это не обязательно владелец точки доступа, но есть оговорки, о них - ниже.

Но он может это сделать только по незащищенному соединению. Если веб-сайт использует шифрование, то он уже ничего не получит

Да, если сайт использует корректно настроенный TLS, а ты не игнорируешь предупреждения браузера, и не добавлял левые чертификаты удостоверяющих центров в доверенные на устройстве - незаметно сделать он не сможет, данные зашифрованы end2end. По крайней мере для веб браузеров и приложений которые проверяют сертификат сервера.

Как мне это поможет? Ведь я, допустим, отправляю через форму на сайте данные банковской карты, эти данные ведь сначала пройдут через роутер, прежде чем попасть в VPN?

В общем случае, трафик до vpn сервера - зашифрован, но в зависимости от технологии шифрование может быть не надежным, какой нибудь pptp можно вскрыть и посмотреть на лету, провернуть тоже самое с IKEv2 или wireguard (к примеру), на данный момент не представляется возможным. Владелец точки доступа будет видеть только зашифрованный трафик (с оговорками, в vpn туннель можно отправлять и не всё). С другой стороны, использовать для оплаты сайт, который не использует https - уже само по себе плохая идея. Ибо трафик проходит кроме данного роутера ущё через десятки устройств, а кто их контролирует - тоже неизвестно

Answer 4

[CityCat4]

Зачем нужно такое подключение и как оно работает?

Потому что warp-шмарп - это не vpn, а очередной прокси плюс свой DNS. Очередная попытка крупной конторы подняться на волне хайпа и потырить юзерские данные (в особенности, если это бесплатно). Единственный нормальный VPN - тот, который построил сам. Ты вообще-то закон собираешься нарушать - и доверяешь при это какой-то левой шляпе.

когда я делаю запрос, например открываю facebook, данные идут не напрямую к facebook, а сначала в сеть VPN, а оттуда уже к facebook.

Более-менее верно. Если у тебя VPN установлен непосредственно с компа, то на компе есть новый сетевой интерфейс, который создается тогда, когда подключаешься к нему. Ты должен направить трафик до facebook в этот интерфейс - и тогда он пойдет сначала на VPN-сервер, а уже с него - на fаcebook. Facebook (равно как и все остальные сайты) видит IP, с которого к нему пришло подключение, но ничего не может сказать о том, был ли этот пакет сгенерирован на самом устройстве, с которого он пришел, либо же он через него смаршрутизирован, поэтому он проверяет IP пришедшего к нему пакета и пропускает/не пропускает. У VPN-сервера будет другоая локация и его скорее всего пропустят.
(Это все про нормальные VPN, а не про разные веб-прокси, которые почему-то называют VPN)

Кто в этом случае может украсть данные?

Кто угодно, кто слушает трафик в зоне приема. Обычно, конечно же владельцы точки.

Если веб-сайт использует шифрование, то он уже ничего не получит

Вы подключаетесь к точке и Вас просят для авторизации в ней установить некий "авторизатор". При установке "авторизатора" Вам подсунут некий сертификат в корневые и после этого смогут подделывать сертификаты сайтов, на которые Вы идете - называется бампинг и широко используется в корпоративных сетях. Защита от других будет, да. Но владелец точки будет иметь доступ к Вашему соединению, так как он спер ключ соединения с помощью бампинга.

эти данные ведь сначала пройдут через роутер, прежде чем попасть в VPN?

Нет. В нормальном VPN данные сразу идут в VPN

Comments

[Aelliari]

Потому что warp-шмарп - это не vpn

Вполне себе vpn, работает по протоколу wireguard, позволяет объеденять в сеть компьютеры на уровне L3 (Cloudflare ZeroTrust), плюс свой днс. По каким признакам, по вашему, это не впн?

Очередная попытка крупной конторы подняться на волне хайпа и потырить юзерские данные

Тут, пожалуй, я скорее согласен. С другой стороны, cf далеко и от того что они знают по dns запросам какие порносайты я посещаю...

Ты вообще-то закон собираешься нарушать

Обход блокировок физическим лицом в РФ запрещен законом? (не могу говорить о других странах) Каким? Да и вообще, почему сразу речь о нарушении закона?

[CityCat4]

VPN - это сеть которую строю я. С применением тех протоколов, которые считаю нужным. Если что-то мне навязывает вторую сторону VPN - а я правильно понимаю, что в WARP вторая сторона это сf? - то это уже не тот VPN который можно использовать для передачи информации, которую хотелось бы скрыть.

Обход блокировок физическим лицом в РФ запрещен законом?

Пока нет. Но тем не менее:
- информация имеет свойство храниться
- жизнь не кончится ни завтра , ни послезавтра. Ситуация с VPN и блокировками будет все хуже - потому что на самом деле настоящая Большая Война - впереди. И Донбасская спецоперация нам покажется легкой разминкой, учебным уровнем перед началом настоящего. И когда она начнется, история о том, куда ты ходил и чем пользовался - может внезапно всплыть...