A road leading into a tunnel with a sign labeled VPN tunnel.

Pewnie już wiesz, że wirtualne sieci prywatne, czyli VPN, zapewniają Ci bezpieczeństwo w internecie. Ale to, jak działają i co dokładnie robią, może nadal być dla Ciebie niejasne. Dlatego w tym artykule opowiem Ci więcej o sieciach VPN i tunelach VPN – czym są, jak działają i jakie są ich różne rodzaje.

Co to jest tunel VPN?

Gdy łączysz się z internetem, używając VPN, ustanawiasz bezpieczne połączenie pomiędzy Twoim urządzeniem a siecią WWW, przez które przesyłane są Twoje dane. Takie połączenie nazywa się tunelem VPN – tunel VPN szyfruje i ukrywa Twoje dane, sprawiając, że stają nie nieczytelne dla osób nieposiadających właściwego klucza deszyfrującego.

Można to porównać do korzystania z usług osobistego kuriera zamiast poczty, z tym że taki kurier tłumaczy każdy list, który Ci dostarcza, na język zrozumiały tylko dla Ciebie. Dzięki temu nawet gdyby ktoś ukradł lub próbował przeczytać Twoją korespondencję, nic nie zrozumie!

To znaczy prawie nic. Bezpieczeństwo Twoich danych tak naprawdę zależy od protokołu szyfrowania używanego przez VPN, czyli od języka, na który kurier tłumaczy Twoje listy. 

W świecie VPN dostępne są różne protokoły o różnym stopniu bezpieczeństwa, odpowiednie do różnych zastosowań – wszystkie omówimy w dalszej części artykułu. Ale zacznijmy od tego, jak wygląda cały proces i jak możesz utworzyć tunel VPN.

Jak działa tunel VPN?

How does a VPN tunnel work?

Gdy klikasz w link lub pobierasz pliki z dowolnej strony internetowej, wysyłasz zapytania z prośbą o dane. Jeśli Twoje połączenie jest niezabezpieczone, takie dane są przekazywane z Twojego urządzenia do Twojego dostawcy usług internetowych, zanim trafią do internetu i wrócą do Ciebie z informacjami, jakie chcesz otrzymać.

W ten sposób Twój dostawca usług internetowych, strona internetowa i każda osoba czy podmiot szpiegujący Twoje połączenie mogą zobaczyć i zidentyfikować różne fragmenty przesyłanych przez Ciebie informacji. Następnie mogą wykorzystywać lub sprzedawać takie dane dla zysku.

Żeby tego uniknąć, sieć VPN nawiązuje bezpieczne połączenie z jednym ze swoich serwerów przez tunel VPN:

  • Krok 1: Wysyłasz zapytanie o utworzenie tunelu VPN przez klienta VPN do jednego z jego serwerów.
  • Krok 2: Podczas etapu 1 Twoje urządzenie i serwer VPN komunikują się ze sobą, identyfikując się nawzajem i sprawdzając, jakie zabezpieczenia muszą zastosować.
  • Krok 3: W etapie 2 powstaje tunel VPN, przez które będą przesyłane Twoje dane.
  • Krok 4: Zaszyfrowane dane są przesyłane tunelem VPN do internetu i z powrotem, dzięki czemu nie widzi ich nawet Twój dostawca usług internetowych.
  • Krok 5: Po określonym okresie czasu lub określonej liczbie przesyłów informacji tunel automatycznie się zamyka. Jeśli nadal chcesz utrzymywać połączenie, cały proces rozpocznie się od nowa od kroku 1.

Proces może wydawać się nieco skomplikowany, ale zazwyczaj takie zabezpieczenie Twojego połączenia z internetem trwa tylko chwilę. Pytanie brzmi, jak bezpieczny jest tak naprawdę tunel VPN? Odpowiedź jest prosta: to zależy od protokołu tunelowania.

Protokoły VPN

Wszystkie protokoły VPN powstały po to, by zabezpieczać dane przesyłane pomiędzy różnymi sieciami, ale nie wszystkie są takie same – bezpieczeństwo protokołu internetowego zależy od siły używanego protokołu VPN.

Prawdę mówiąc, dobrych protokołów VPN nie ma zbyt wiele, ale sprawdź te, na które raczej na pewno trafisz.

SSTP

A locked padlock with an SSTP label attached to it.
Zalety:
Wady:
Może omijać zapory sieciowe
Nigdy nie został przetestowany
Kompatybilny z wysokiej klasy algorytmami szyfrowania
Trudna konfiguracja w innym systemie operacyjnym niż Windows
Komunikacja i sprawdzanie ruchu internetowego na dobrym poziomie
Wymaga dużej przepustowości
Łatwa konfiguracja w Windowsie
Kod jest niedostępny dla dostawców VPN, co wzbudza obawy o prywatność i bezpieczeństwo

Rekomendacja: Całkiem dobry w teorii, ale niepolecany.

Secure Socket Tunneling Protocol (SSTP) to tunel VPN, który przesyła informacje bezpośrednio pomiędzy dwoma routerami bez hosta czy sieci. Protokół SSTP wykorzystuje kanał Secure Sockets Layer (SSL), który zapewnia komunikację, szyfrowanie i sprawdzanie ruchu na dobrym poziomie. Jest to bardzo bezpieczny protokół, który nie używa stałych portów, dzięki czemu łatwo omija zapory sieciowe.

Minusem protokołu SSTP jest to, że został stworzony pod system Windows i można go jeszcze skonfigurować tylko na Linuksie, w BSD i macOS. Poza tym nigdy nie został przetestowany, a jego kod nie jest powszechnie dostępny, przez co dostawcy VPN mają problemy z jego wdrożeniem. Jeśli chodzi o prędkość, SSTP też nie wypada najlepiej, ponieważ nie jest zbyt wydajny, chyba że ma do dyspozycji dużą przepustowość.

PPTP

PPTP
Zalety:
Wady:
Bardzo szybki
Niekompatybilny z dobrymi standardami szyfrowania
Łatwa konfiguracja
Łatwy do złamania
Przestarzały i zapomniany

Rekomendacja: Lepiej nie używać.

Protokół PPTP (Point-to-Point Tunneling Protocol) jest raczej przestarzały. Ma bardzo słabe zabezpieczenia, co wynika z braku odpowiednich metod szyfrowania. Potwierdziły to różne agencje rządowe, w tym NSA, którym całkiem łatwo udało się go złamać.

Ale zaletą protokołu PPTP jest jego prostota, dzięki czemu protokół nadal może być używany w określonych przypadkach. Do dnia dzisiejszego PPTP nie ma sobie równych w zakresie prędkości połączenia i łatwości konfiguracji. Ten protokół tunelowania jest cały czas bardzo przydatny do streamowania audio lub wideo, sprawdza się także w urządzeniach z wolnymi i przestarzałymi procesorami.

Jednak nie możemy go polecić, chyba że w danym przypadku bezpieczne połączenie nie jest priorytetem.

L2TP/IPsec

L2TP/IPsec
Zalety:
Wady:
Lepiej zabezpieczony od PPTP ale nadal niewystarczająco bezpieczny
Przestarzały
Relatywnie szybki
Nie posiada szyfrowania
Słabo sprawdza się w omijaniu zapór sieciowych
Słabe uwierzytelnianie, słaba integralność

Rekomendacja: Lepiej nie używać.

Layer 2 Tunneling Protocol (L2TP) to następca protokołu PPTP, który miał naprawić wady swojego poprzednika. Protokół L2TP jest używany razem z protokołem Internet Protocol Security suite (IPsec), co daje dwie warstwy ukrywania i szyfrowania danych. Tego protokołu często używają dostawcy internetu, żeby dostarczać część swoich usług.

L2TP jest kompatybilny z AES-256 – wiodącym w branży algorytmem szyfrowania danych. Dzięki warstwowym zabezpieczeniom protokół L2TP jest relatywnie bezpieczny, ale jego zalety bledną w porównaniu do procesów uwierzytelniania i weryfikacji, jakie oferują protokoły IKEv2, OpenVPN i WireGuard.

L2TP jest wprawdzie bezpieczniejszym protokołem tunelowania od swojego poprzednika, ale ceną za większe bezpieczeństwo jest mniejsza prędkość i elastyczność. Ze względu na podwójny proces szyfrowania przesyłanie danych jest dużo wolniejsze. L2TP używa także stałych portów i dosyć często nie jest w stanie obejść zapór sieciowych, przez co jego użytkownicy są częściej blokowani przez strony internetowe z lepszą infrastrukturą.

Shadowsocks

Shadowsocks
Zalety:
Wady:
Dobry do omijania cenzury
Dobry tylko do omijania cenzury
Open source, stale rozwijany
Szyfruje i ukrywa tylko ruch w przeglądarce
Prawie niemożliwy do wykrycia
Relatywnie szybki

Rekomendacja: Polecany do omijania cenzury.

Shadowsocks to protokół szyfrowania VPN typu open source, który powstał do omijania cenzury internetowej. Mimo że nie jest serwerem proxy, może kierować ruch internetowy do urządzenia użytkownika przez zewnętrzny serwer proxy socks5 i z użyciem innego języka.

Początkowo był najlepszym sposobem na omijanie ograniczeń nałożonych przez Chiński Mur Ogniowy, jednak nie jest dopracowany i nie sprawdza się zbyt dobrze w modelu usług VPN oferowanych przez dostawców.  

OpenVPN

The OpenVPN logo with an eye inside of it.
Zalety:
Wady:
Solidna ochrona
Przeciętna prędkość
Dobra metodologia uwierzytelniania i weryfikacji
Trudna ręczna konfiguracja
Szyfrowanie wysokiej klasy
Open source

Rekomendacja: Mocno polecany w większości sytuacji.

OpenVPN to wielofunkcyjny system VPN typu open source do połączeń point-to-point lub site-to-site dla aplikacji klienta i aplikacji serwerowych. OpenVPN pozwala również hostom na wzajemne uwierzytelnianie z użyciem kluczy wstępnych (PSK), danych uwierzytelniających i certyfikatów – zapewnia to bardzo bezpieczny i płynny proces dwustronnego potwierdzania.

Protokół OpenVPN jest uważany jedną z najbezpieczniejszych i powszechnie dostępnych opcji dla usług VPN, ponieważ może być wdrażany jako protokół. Wykorzystuje algorytm szyfrowania AES-256 i działa na różnych platformach, np. Windows, Mac, Android czy iOS.

Dzięki temu, że opiera się na otwartym oprogramowaniu, jest ciągle weryfikowany przez ekspertów i guru ds. cyberbezpieczeństwa. Jedyną prawdziwą wadą protokołu OpenVPN jest to, że oferuje przeciętną prędkość i trudno go ręcznie skonfigurować bez dodatkowego oprogramowania.

IKEv2

A locked padlock with an IKEv2 label attached to it.
Zalety:
Wady:
Solidna ochrona
Prędkość zależy od odległości pomiędzy urządzeniem a serwerem
Duże prędkości
Szyfrowanie wysokiej klasy
Dobra metodologia uwierzytelniania i weryfikacji

Rekomendacja: Mocno polecany, zwłaszcza w urządzeniach mobilnych.

Internet Key Exchange version 2 (IKEv2) to popularny protokół wśród użytkowników urządzeń mobilnych, którzy doceniają jego prędkość i bezpieczeństwo. Jest połączony ze zbiorem protokołów IPsec do tworzenia skojarzeń zabezpieczeń pomiędzy hostami, co działa podobnie jak certyfikaty wstępne protokołu OpenVPN.

Protokół IKEv2 jest kompatybilny z większością najnowocześniejszych algorytmów szyfrowania, w tym AES-256, i jest całkiem prosty do skonfigurowania. Jego największą zaletą jest jego wyjątkowo duża prędkość podczas łączenia się z najbliżej położonymi serwerami.

WireGuard

A shield with the WireGuard logo on it.
Zalety:
Wady:
Solidna ochrona
Nadal relatywnie nowy
Tylko 4000 wierszy kodu
Open source
Szyfrowanie wysokiej klasy
Super prędkość
Stabilna łączność i szybkie ponowne łączenie
Przyjazny dla użytkowników

Rekomendacja: Mocno polecany.

WireGuard® to najmłodszy z protokołów. Jest to protokół komunikacyjny VPN i oprogramowanie w jednym, zaprojektowany do lepszego wykorzystywania zasobów i większej wydajności niż IPsec i OpenVPN, zachowując przy tym ten sam poziom zabezpieczeń. WireGuard* ustanawia bezpieczne połączenia point-to-point, ale składa się tylko z 4000 wierszy kodu. Dla porównania, OpenVPN ma ich 400 000, a IPsec – 600 000.

Dzięki temu audyty bezpieczeństwa są dużo prostsze do przeprowadzenia, spada też prawdopodobieństwo zerwania połączenia VPN, a gdy już to się stanie, połączenie nawiązuje się szybciej. Jest to istotne dla osób, które głównie używają tuneli VPN do celów bezpieczeństwa.

WireGuard jest darmowy i udostępniany jako open source, posiada też łatwą do zainstalowania aplikację (w porównaniu do OpenVPN). Jest także dostępny jako niezależny protokół, dzięki czemu dostawcy VPN mogą stosować go w swoich usługach.

* WireGuard to zarejestrowany znak towarowy Jasona A. Donenfelda.

Jak widzisz, niektóre protokoły tunelowania zostały stworzone dla konkretnych zastosowań, inne są przestarzałe i pełne luk w zabezpieczeniach. Więc dobrze zastanów się przed ich wyborem! À propos wyborów, istnieje jeszcze jedna opcja tunelowania, o której warto wspomnieć: dzielone tunelowanie (split tunneling). 

Co to jest dzielone tunelowanie VPN?

Dzielone tunelowanie VPN (ukryte pod nazwą Bypasser w aplikacjach Surfshark) to funkcja, która pozwala Ci wybrać, co ma przechodzić przez tunel VPN. Jest przydatna, gdy chcesz zabezpieczyć tylko jedną aplikację lub gdy chcesz chronić wszystko oprócz jednej aplikacji. Na przykład, możesz wybrać, by cały ruch – oprócz aplikacji z banku – przechodził przez VPN. Dzięki temu ochronisz swoją aktywność w internecie, a Twój bank nie będzie blokować transakcji z innego kraju. 

Plusy i minusy dzielonego tunelowania VPN

Zalety:
Wady:
Ochrona prywatnych informacji
Nie wszystko jest chronione
Zawsze są jakieś dane, które trzeba zaszyfrować. Jeśli chcesz wyłączyć VPN z jakiegokolwiek powodu, funkcja dzielonego tunelowania pozwala Ci to bezpiecznie zrobić i nie narażać wrażliwych danych na ujawnienie.
Być może jedynym minusem dzielonego tunelowania jest cel, dla którego powstało. Jeśli wykluczysz z bezpiecznego połączenia niektóre aplikacje, narażasz je na niebezpieczeństwo, ponieważ ich ruch nie jest szyfrowany.
Różne adresy IP
Czasami zmiana adresu IP nie jest zbyt dobrym rozwiązaniem. Jeśli korzystasz z bankowości internetowej lub streamujesz, czasami musisz używać prawdziwego adresu IP, żeby uniknąć naruszenia warunków usługodawców. I właśnie do tego przydaje się dzielone tunelowanie.
Dostęp do domowych urządzeń
Większość bezprzewodowych urządzeń w Twoim domu łączy się z tą samą siecią co Twoje główne urządzenie. To może być problem, ponieważ po włączeniu VPN takie urządzenie wydaje się łączyć z innej sieci. Dzięki dzielonemu tunelowaniu możesz używać bezprzewodowych urządzeń bez ciągłego włączania i wyłączania VPN.
Wykluczanie aplikacji zużywających dużo danych
Szyfrowanie może spowolnić Twoje urządzenie. Zazwyczaj spadek prędkości jest ledwo zauważalny, ale jeśli używasz aplikacji zużywających dużo danych, może stać się irytujący. Z dzielonym tunelowaniem możesz wykluczyć takie aplikacje z połączenia VPN, zachować dobrą prędkość i chronić swój ruch.

Podsumowanie: używanie różnych protokołów VPN

Dostępnych jest tyle różnych protokołów tunelowania VPN, że wybór jednego może wydawać się dosyć trudny. Ale to tylko pozory: różnice pomiędzy protokołami dotyczą głównie kwestii technicznych i nie powinny Cię generalnie interesować, jeśli chcesz tylko ukryć swoje dane i streamować filmy z Netfliksa.

WireGuard i OpenVPN są dobrym wyborem pod kątem prędkości i bezpieczeństwa podczas codziennego przeglądania internetu na komputerze lub laptopie. W zależności od lokalizacji i dostępności serwera VPN protokół IKEv2 może okazać się lepszy, jeśli używasz telefonu komórkowego.

Ogólnie rzecz biorąc, większość dostawców VPN oferuje jeden lub dwa z nich, w zależności od sytuacji. Za to Surfshark ma wszystkie trzy, o co prosili nasi użytkownicy. Pamiętaj tylko, że jeśli nie chcesz, nie musisz ich wcale wybierać ani ręcznie konfigurować – w Surfshark wszystko konfigurujemy za Ciebie!

Wybór protokołów jeszcze nigdy nie był tak prosty!

30-dniowa gwarancja zwrotu pieniędzy

Włącz Surfshark

Najczęściej zadawane pytania

Co to jest VPN z pełnym tunelem?

Jest to sieć VPN, która zabezpiecza cały ruch na Twoim urządzeniu. Takiej sieci VPN prawdopodobnie używasz. Jeśli ją włączysz, chronisz wszystko na swoim urządzeniu – bez konieczności wykonywania dodatkowych kroków. 

Jaki jest najlepszy tunel VPN?

Gdy mówimy o najlepszym tunelu VPN, chodzi nam o protokół tunelowania. Najlepszy z nich to WireGuard. Oczywiście nie oznacza to, że inne są dużo gorsze lub że nie sprawdzą się lepiej w Twoim przypadku. Jako że jakość protokołu zależy w dużej mierze od sieci, najlepszym protokołem dla Ciebie może być inny protokół. 

Jak używać dzielonego tunelowania?

W Surfshark jest to bardzo proste dzięki funkcji Bypasser. Włącz ją w ustawieniach, wybierz aplikację lub stronę, którą chcesz wykluczyć z połączenia (lub vice versa), i gotowe.