На поверхности VPN выглядит просто: нажал кнопку — заработал интернет без блокировок. Но под капотом идёт сложный балет криптографии, сетевых протоколов и маршрутизации. В этой статье — детальный разбор того, как именно работает VPN, без лишней воды и с фокусом на 2026 год.
Общая схема: что происходит при подключении
Когда вы нажимаете «Подключить» в приложении VPN, происходит следующее:
- Клиент устанавливает соединение с VPN-сервером по указанному адресу и порту
- Стороны обмениваются криптографическими ключами (handshake) и согласуют параметры шифрования
- Между клиентом и сервером поднимается зашифрованный туннель
- Операционная система перенаправляет весь трафик в этот туннель через виртуальный сетевой интерфейс
- VPN-сервер расшифровывает пакеты, подменяет адрес отправителя на свой и отправляет их в открытый интернет
- Ответ возвращается на сервер, шифруется и отправляется обратно в туннель к клиенту
Снаружи это выглядит так: между вами и интернетом стоит «посредник», и весь ваш трафик идёт через него в зашифрованном виде. Провайдер видит только зашифрованный поток к одному IP.
Туннелирование: что это и зачем
Туннелирование — это упаковка одних сетевых пакетов внутрь других. Представьте матрёшку: ваш HTTP-запрос к сайту — это маленькая фигурка, а VPN-пакет — это большая фигурка, в которую запихана меньшая.
Технически это работает так: исходный IP-пакет (с реальным адресом получателя и содержимым) шифруется и помещается внутрь нового IP-пакета. У внешнего пакета адрес получателя — VPN-сервер, а содержимое — непрозрачный набор байт. Только сервер может «распаковать матрёшку» и достать оригинальный пакет.
Виртуальный сетевой адаптер
На уровне ОС VPN создаёт виртуальный интерфейс (например, tun0 в Linux или TAP-Windows). Все приложения думают, что отправляют пакеты в обычную сеть, а на самом деле они уходят в туннель.
Шифрование: симметричное и асимметричное
Шифрование — ядро VPN. Оно превращает понятные данные в нечитаемый поток байт, который без ключа выглядит как случайный шум. В VPN одновременно используются два типа шифрования.
Асимметричное шифрование (для рукопожатия)
У каждой стороны есть пара ключей: публичный (открытый для всех) и приватный (только у владельца). То, что зашифровано публичным ключом, можно расшифровать только приватным. Это используется в начале сессии, чтобы безопасно договориться об общем секрете. Алгоритмы: RSA, ECDH (Elliptic Curve Diffie-Hellman), Curve25519.
Симметричное шифрование (для основного трафика)
Когда общий секрет согласован, дальше используется симметричное шифрование — один и тот же ключ и для шифрования, и для расшифровки. Оно во много раз быстрее асимметричного, поэтому подходит для потоковых данных. Алгоритмы: AES-256-GCM, ChaCha20-Poly1305.
Зачем сразу оба
Асимметричное шифрование решает проблему «как договориться о ключе по открытому каналу». Симметричное — обеспечивает реальную скорость. Связка из двух подходов называется гибридной криптосистемой и используется не только в VPN, но и в HTTPS, мессенджерах, банковских системах.
TLS 1.3 и роль рукопожатия
Современные VPN (включая VLESS Reality) опираются на TLS 1.3 — тот же протокол, что и HTTPS-сайты. TLS 1.3 — это не просто шифрование, а целая процедура установления безопасного соединения с проверкой подлинности сторон.
Упрощённая последовательность TLS 1.3 handshake:
- Клиент отправляет ClientHello: список поддерживаемых шифров, случайное число, эфемерный публичный ключ
- Сервер отвечает ServerHello: выбранный шифр, своё случайное число, свой публичный ключ, сертификат
- Обе стороны вычисляют общий секрет по протоколу Diffie-Hellman, не передавая его по сети
- Из общего секрета выводятся ключи для шифрования трафика
- Дальше всё общение идёт уже зашифрованным симметричным шифром
PFS — Perfect Forward Secrecy
В TLS 1.3 используются эфемерные (одноразовые) ключи, которые удаляются после сессии. Даже если злоумышленник запишет весь трафик, а потом украдёт приватный ключ сервера — расшифровать прошлые сессии он всё равно не сможет.
Маршрутизация: как трафик попадает в туннель
После установки туннеля ОС нужно решить: какие пакеты отправлять через VPN, а какие — напрямую. Это делается через таблицу маршрутизации. Когда VPN активен, она перестраивается так, чтобы маршрут по умолчанию (0.0.0.0/0) вёл в виртуальный VPN-интерфейс.
Есть нюансы:
- Split tunneling — режим, при котором в VPN идёт только часть трафика (например, конкретные приложения), а остальное — напрямую
- Kill switch — функция, блокирующая весь интернет, если VPN-соединение разрывается, чтобы реальный IP не утёк
- DNS leak protection — принудительная маршрутизация DNS-запросов в туннель, чтобы провайдер не видел список ваших сайтов
- IPv6 leak — известная проблема: если ОС использует IPv6, а VPN — только IPv4, IPv6-трафик может идти в обход
Эволюция VPN-протоколов
| Протокол | Год | Шифрование | Статус в 2026 |
|---|---|---|---|
| PPTP | 1996 | MPPE (слабое) | Устарел, небезопасен |
| L2TP/IPsec | 1999 | AES-128/256 | Работает, но медленный |
| OpenVPN | 2001 | AES-256-GCM | Жив, но детектируется DPI |
| IKEv2/IPsec | 2005 | AES-256, ChaCha20 | Хорош для мобильных |
| WireGuard | 2018 | ChaCha20-Poly1305 | Быстрый, но виден DPI |
| VLESS Reality | 2023 | TLS 1.3 + XTLS | Лидер 2026 для России |
PPTP — реликвия 90-х
Первый массовый VPN-протокол. Использует устаревший MS-CHAP v2 и MPPE-шифрование, которые ломаются за минуты на современном железе. Категорически не рекомендуется.
OpenVPN — рабочая лошадка нулевых
Гибкий, кроссплатформенный, открытый. Использует SSL/TLS и AES. Главные минусы — высокая нагрузка на CPU и характерные паттерны пакетов, по которым DPI его легко опознаёт.
WireGuard — минимализм и скорость
Революция 2018 года. Всего ~4000 строк кода (против 600 000 у OpenVPN), современная криптография, работа в ядре Linux. Минус — фиксированный заголовок UDP-пакета, который легко детектируется.
VLESS Reality — стандарт 2026
Протокол, который маскирует свой трафик под HTTPS к легитимным сайтам и невидим для DPI. Подробнее в статье что такое VLESS и что такое Reality.
Что видит ваш провайдер при включённом VPN
Без VPN провайдер видит:
- IP-адреса всех сайтов, куда вы ходите
- DNS-запросы (домены сайтов)
- SNI в TLS-заголовках (имя домена даже у HTTPS-сайтов)
- Объём и время трафика по каждому сайту
С VPN провайдер видит только:
- Один IP-адрес — это VPN-сервер
- Зашифрованный поток данных без расшифровки
- Объём и время общего трафика
Для устаревших протоколов также виден характерный паттерн пакетов, по которому DPI понимает: «это VPN». Для VLESS Reality этот паттерн неотличим от обычного посещения microsoft.com или подобных сайтов.
Ограничения VPN
VPN — это инструмент, у которого есть пределы:
- Доверие к провайдеру. VPN-провайдер видит весь ваш расшифрованный трафик. Выбирайте сервисы с прозрачной no-logs политикой.
- Потеря скорости и пинга. Даже самый быстрый VPN добавляет хотя бы несколько миллисекунд задержки.
- Утечки DNS, WebRTC, IPv6. При неправильной настройке реальный IP может утечь через эти каналы.
- Tracking на уровне приложений. Если приложение само отправляет ваш userID, GPS-координаты и данные аккаунта — VPN тут не поможет.
- Юрисдикция сервера. Сервер находится в физической стране и подчиняется её законам.
VPN не равно «полная анонимность»
Если вам нужна максимальная приватность — комбинируйте VPN с Tor, отдельным браузером со включёнными настройками против fingerprinting и отдельной операционной системой (Tails, Whonix).
Итог: что важно запомнить
VPN — это связка из трёх вещей: туннелирование (упаковка пакетов), шифрование (защита содержимого) и маршрутизация (направление трафика через сервер). Чем современнее протокол, тем эффективнее эта связка работает, тем меньше она «весит» по CPU и батарее и тем сложнее её обнаружить системам глубокого анализа трафика.
BRAID VPN использует протокол VLESS Reality поверх TLS 1.3 — современный стек, разработанный специально для регионов с активной цензурой. Подробности — на странице технологии. Чтобы протестировать получите бесплатный ключ на 7 дней.