VPN 连接能绕过路由器的防火墙吗？

Question 1

VPN 本身不会绕过防火墙，而是“穿过”防火墙。让我试着更详细地解释一下。

当您的计算机想要获取某个网页等内容时，它会创建一个 HTTP 请求。此数据包被包装成 TCP 数据包，网站名称解析为 IP 地址，并将 TCP 数据包移交给 IP 层进行路由。IP 层根据 IP 地址及其路由表决定将数据包发送到何处（下一跳路由器，通常是您的默认网关）。它将 TCP 数据包包装成 IP 数据报，将下一跳路由器的 MAC 地址放入其中，然后将其移交给以太网接口，该接口将整个过程传输到网络上。

防火墙在整个机器的 IP 层工作（通常都是这样）。您的普通 SOHO 路由器/网关/调制解调器设备将有一个防火墙，允许传出连接和任何返回数据包。

现在，当您建立 VPN 连接时会发生什么？VPN 客户端会创建与其他地方的 VPN 服务器的连接。重要的是，它还会更改您的路由表，这通常会导致 IP 层现在将您的全部或部分传出流量路由到 VPN 客户端，而不是直接从接口传出。然后，VPN 客户端将整个 IP 数据报包装到另一个 TCP 数据包中（此时，原始数据包实际上对 IP 层不可见），然后该数据包现在被发送到 VPN 服务器（服务器将其解开然后传递）。

这样做的最终效果是“隧道”。通常适用于数据包的防火墙和路由规则被“绕过”，方法是将数据包推过 VPN 连接。这也意味着，如果 VPN 隧道处理全部您的传出流量，那么在 SOHO 路由器上应用的任何保护机制现在都将无效。

我希望这可以解释此上下文中“绕过”的含义。

Answer

VPN 本身不会绕过防火墙，而是“穿过”防火墙。让我试着更详细地解释一下。

当您的计算机想要获取某个网页等内容时，它会创建一个 HTTP 请求。此数据包被包装成 TCP 数据包，网站名称解析为 IP 地址，并将 TCP 数据包移交给 IP 层进行路由。IP 层根据 IP 地址及其路由表决定将数据包发送到何处（下一跳路由器，通常是您的默认网关）。它将 TCP 数据包包装成 IP 数据报，将下一跳路由器的 MAC 地址放入其中，然后将其移交给以太网接口，该接口将整个过程传输到网络上。

防火墙在整个机器的 IP 层工作（通常都是这样）。您的普通 SOHO 路由器/网关/调制解调器设备将有一个防火墙，允许传出连接和任何返回数据包。

现在，当您建立 VPN 连接时会发生什么？VPN 客户端会创建与其他地方的 VPN 服务器的连接。重要的是，它还会更改您的路由表，这通常会导致 IP 层现在将您的全部或部分传出流量路由到 VPN 客户端，而不是直接从接口传出。然后，VPN 客户端将整个 IP 数据报包装到另一个 TCP 数据包中（此时，原始数据包实际上对 IP 层不可见），然后该数据包现在被发送到 VPN 服务器（服务器将其解开然后传递）。

这样做的最终效果是“隧道”。通常适用于数据包的防火墙和路由规则被“绕过”，方法是将数据包推过 VPN 连接。这也意味着，如果 VPN 隧道处理全部您的传出流量，那么在 SOHO 路由器上应用的任何保护机制现在都将无效。

我希望这可以解释此上下文中“绕过”的含义。

Question 2

为了获得最大的乐趣，他们两个都错误——但两者都正确。

VPN 将允许原本可能被阻止的流量中间的防火墙无法通过，因为流量看起来不像防火墙规则旨在阻止的流量。例如，如果防火墙配置为阻止所有发往内部计算机的传入连接，则该流量将不是如果数据包封装在 VPN 中，就会被防火墙阻止，原因很简单，从防火墙的角度来看，该流量就像 VPN 流量。

另一方面，防火墙仍然能够制定规则，阻止 VPN 流量本身（无论 VPN 流量是什么是)，如果配置为这样（这意味着您的 VPN 将无法工作）——因此您需要注意您在这方面的防火墙规则。

此外，VPN 端点的防火墙也会影响流量，因为它们可以看到从 VPN 隧道流出并变成常规流量的流量。我怀疑 Vypyr 的防火墙服务会在流量进入 VPN 并传输到您的端点之前对其进行过滤，从而为您节省了必须承载该流量却最终将其丢弃的成本。

Answer