VPN 连接能绕过路由器的防火墙吗?

VPN 连接能绕过路由器的防火墙吗?

我最近一直在关注 VPN 提供商,我注意到虚拟专用网络提供了一个防火墙每月需额外付费。防火墙页面上显示以下内容:

当您连接到 VyprVPN 时,您将绕过无线路由器并获得自己的专用互联网连接。此连接不共享,因此...未经请求的入站扫描不再被阻止。

热熔胶是我正在考虑的另一家提供商,我注意到他们没有提到防火墙。所以我给他们发了一封电子邮件,得到了以下回复:

VPN 不会绕过您的操作系统/路由器防火墙。VPN 也不会充当防火墙。我们不提供附加防火墙服务。您需要一个好的防病毒/防火墙保护套件来防止恶意软件和入侵。

那么谁是对的?VPN 连接能绕过路由器防火墙吗?我是不是误解了 Vypyr 的网站?

答案1

VPN 本身不会绕过防火墙,而是“穿过”防火墙。让我试着更详细地解释一下。

当您的计算机想要获取某个网页等内容时,它会创建一个 HTTP 请求。此数据包被包装成 TCP 数据包,网站名称解析为 IP 地址,并将 TCP 数据包移交给 IP 层进行路由。IP 层根据 IP 地址及其路由表决定将数据包发送到何处(下一跳路由器,通常是您的默认网关)。它将 TCP 数据包包装成 IP 数据报,将下一跳路由器的 MAC 地址放入其中,然后将其移交给以太网接口,该接口将整个过程传输到网络上。

防火墙在整个机器的 IP 层工作(通常都是这样)。您的普通 SOHO 路由器/网关/调制解调器设备将有一个防火墙,允许传出连接和任何返回数据包。

现在,当您建立 VPN 连接时会发生什么?VPN 客户端会创建与其他地方的 VPN 服务器的连接。重要的是,它还会更改您的路由表,这通常会导致 IP 层现在将您的全部或部分传出流量路由到 VPN 客户端,而不是直接从接口传出。然后,VPN 客户端将整个 IP 数据报包装到另一个 TCP 数据包中(此时,原始数据包实际上对 IP 层不可见),然后该数据包现在被发送到 VPN 服务器(服务器将其解开然后传递)。

这样做的最终效果是“隧道”。通常适用于数据包的防火墙和路由规则被“绕过”,方法是将数据包推过 VPN 连接。这也意味着,如果 VPN 隧道处理全部您的传出流量,那么在 SOHO 路由器上应用的任何保护机制现在都将无效。

我希望这可以解释此上下文中“绕过”的含义。

答案2

为了获得最大的乐趣,他们两个都错误——但两者都正确。

VPN 将允许原本可能被阻止的流量中间的防火墙无法通过,因为流量看起来不像防火墙规则旨在阻止的流量。例如,如果防火墙配置为阻止所有发往内部计算机的传入连接,则该流量将不是如果数据包封装在 VPN 中,就会被防火墙阻止,原因很简单,从防火墙的角度来看,该流量就像 VPN 流量。

另一方面,防火墙仍然能够制定规则,阻止 VPN 流量本身(无论 VPN 流量是什么),如果配置为这样(这意味着您的 VPN 将无法工作)——因此您需要注意您在这方面的防火墙规则。

此外,VPN 端点的防火墙也会影响流量,因为它们可以看到从 VPN 隧道流出并变成常规流量的流量。我怀疑 Vypyr 的防火墙服务会在流量进入 VPN 并传输到您的端点之前对其进行过滤,从而为您节省了必须承载该流量却最终将其丢弃的成本。

答案3

“不会绕过路由器防火墙。”是错误的,至少对于“绕过”的直观理解是错误的:您得到的是计算机上的网络接口,它似乎直接连接到他们的网络。所以我会认为操作系统防火墙适用,但路由器看不到任何数据包。Vypr 是正确的。

相关内容