我通过互联网连接到客户端 VPN。关于数据如何通过 VPN 流动以及数据如何通过互联网流动,我有两个问题。它们如下:
我认为通过 VPN 或互联网传输数据的区别在于 VPN 中的数据是安全的。如果使用 VPN,数据仍然通过互联网传输,即
My computer > MyISP >Internet Exchange > Client ISP > Client Network
数据是加密的,只有客户端才能解锁。对吗?如果上述内容正确,并且数据即使在 VPN 上也能通过互联网传输,那么为什么一旦与客户端网络建立连接,我就无法通过 VPN 访问互联网?
答案1
非VPN流量可以简化为:
浏览器 > 操作系统 > 互联网 > Web 服务器
上面,浏览器要求您的计算机操作系统 (OS) 连接互联网,这很可能首先经过您自己网络中的某些调制解调器/路由器,以及您的 ISP 的服务器。
当使用公共 VPN 时(例如安全地使用不受信任的公共 WiFi 网络,或欺骗位于其他国家/地区的网络服务器),流程如下:
浏览器 > 操作系统 >加密> 互联网 > VPN 提供商 >解密> 互联网 > 网络服务器
因此,浏览器甚至不知道它正在使用 VPN(操作系统会负责处理这个问题),VPN 提供商会解密 VPN 流量,然后将其转发到目标服务器。
访问 HTTPS 网站时,流量也会由浏览器和 Web 服务器加密。如果没有 VPN:
浏览器 >加密> 操作系统 > 互联网 > 网络服务器 >解密
当同时使用 HTTPS 和 VPN 时,流量会被加密两次。在这种情况下,VPN 提供商只能解密 VPN 流量,但无法看到浏览器实际传输的内容:
浏览器 >加密> 操作系统 >加密> 互联网 > VPN 提供商 >解密> 互联网 > 网络服务器 >解密
请注意,如果是私人 VPN(例如连接到公司网络),则 VPN 服务器也可能允许流量到互联网:
浏览器 > 操作系统 > 加密 > 互联网 > 公司 VPN > 解密 >公司网络> 互联网 > 网络服务器
然而,私人 VPN 通常配置为不将流量路由到任何外部网站:
浏览器 > 操作系统 > 加密 > 互联网 > 公司 VPN > 解密 >仅限公司网络
为了解决这个问题,你电脑操作系统上的 VPN 客户端可能只允许将 VPN 用于一些流量。就像在 Windows 电脑上一样,通过禁用选项例如“在远程网络上使用默认网关”操作系统将仅使用 VPN 来传输到您公司的网络,但对于其他流量,只需照常连接到互联网即可。但这可能是一个安全风险(例如,您计算机上的恶意软件可以同时连接到公司网络和互联网上的任何其他服务器!),除非您真正了解风险,否则不应更改。
答案2
VPN 代表虚拟专用网络。它使您能够从公共网络(互联网)安全地访问您的专用网络。
VPN 的工作原理与您描述的非常相似,只是最后一部分通常称为“VPN 服务器”,而不是“客户端”
要访问网站:
不使用VPN:
User -> ISP1 -> Internet -> ISP3 -> Website
使用 VPN:
User (Through VPN client) -> ISP1 -> Internet -> ISP2 -> (VPN Server) -> ISP2 -> Internet -> ISP3 -> Website
VPN 加密仅存在于用户和 VPN 服务器之间。经过 VPN 服务器传输的数据与您访问的网站一样安全。
是的,用户与VPN服务器之间的数据只能由其中一个解密。
如果您的设置如下:
User (Through VPN client) -> ISP1 -> Internet -> ISP2 -> (VPN Server)
这称为站点到站点的连接。(例如:公司分支机构到总部)。
取决于 VPN 服务器配置和路由表。您可以完全按照上面的示例操作并启用对 Internet 的访问。
事实上,这正是 VPN 提供商的工作方式。
例子:
User in China -> ISP (CN) -> Internet -> ISP (DE) -> VPN Server in Germany -> ISP (DE) -> Internet -> ISP (US) -> Facebook
您访问互联网的能力取决于您的 VPN 服务器网络配置。
答案3
有两种方法可以配置客户端 VPN(与 VPN 服务器的连接)。
全隧道
分割隧道
在完整隧道中,当你连接到 VPN 服务器时,它会告诉你的客户端全部流量将被加密,并且默认情况下通过 VPN 路由到 VPN 服务器。
此时,你的 VPN 服务器可以拒绝通过你的任何流量,它是网络连接。
在分割隧道中,VPN 服务器仅向您的客户端提供网络路由的子集。然后,您的客户端查看其本地路由表,以查看其要发送的流量是否会在不使用 VPN 的情况下流向互联网,还是会进入 VPN。
分割隧道 VPN 的安全性较低,但对于非加密流量来说速度更快。
假设您想通过 VPN 连接到您的服务器...您想通过 RDP 连接到 192.168.15.101...但在匆忙中您意外地输入了 102.168.15.101...您的 VPN 客户端会查看它所给出的路由...发现 102.168.15.101 不在 192.168.15.x 中,并将流量直接从您的 NIC 路由到互联网。如果有人正在运行嗅探器或蜜罐,您的意外 102.168...可能会暴露您的用户名、计算机名称和密码。
拆分隧道配置可以加快您(客户端)的速度,原因有二。加密流量需要大量 CPU,因此加密的流量越少,您的 CPU 在移动流量上所花的时间就越多。
其次,如果所有流量都进入 VPN,它必须从您所在的位置流向 VPN 服务器,并且然后出去上网。
想象一下,你想去商店……最快的方式是从你所在的位置直达那家商店。把所有东西都放到 VPN 中……你不是直接去商店……而是先绕道去相反方向 5 英里外的邮局,然后开车去同一家商店。