Hvorfor holder min VPN op med at fungere nogle gange?

Flere muligheder. VPN-serverens IP blev tilføjet til en blokeringsliste (prøv en anden server). Netværkets DPI fingeraftrykte protokollen og blokerer den (prøv OpenVPN-TCP/443 med obfuscation eller en dedikeret obfuscated protokol som Proton Stealth eller NordWhisper). Destinationstjenesten (Netflix, din bank) føjede VPN-IP'en til sin afvisningsliste (prøv en anden exit eller en dedikeret streamingserver).

Vil nogen VPN fungere i Kina?

Få arbejder pålideligt. Standardprotokoller detekteres og blokeres inden for få minutter af den store firewall. Specialiserede slørede protokoller (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks med v2ray-plugin, AmneziaWG) virker noget af tiden. Våbenkapløbet vipper frem og tilbage ugentligt. Rejsende, der specifikt har brug for Kina-pålidelig VPN, bør installere flere udbydere og konfigurationer på forhånd.

Hvordan ved Netflix, at jeg bruger en VPN?

Primært IP-baseret detektion. Netflix vedligeholder en database over kendte IP-intervaller fra VPN-udbydere og afviser streams fra disse IP'er. De opdaterer databasen konstant. Nogle VPN-udbydere roterer exit-IP'er hurtigere end Netflix-opdateringer, men det er et bevægeligt mål. Bolig-IP'er (udskåret fra rigtige forbruger-ISP'er) omgår dette, men er dyrere i drift.

Er det ulovligt at bruge en VPN i restriktive lande?

For det meste er det tekniske svar ja, det praktiske svar er, at håndhævelse mod individuelle brugere er sjælden. Kina kræver, at VPN-udbydere registrerer sig hos regeringen; ikke-registrerede VPN'er er teknisk ulovlige, men titusinder af kinesiske borgere bruger dem. Ruslands situation er den samme. UAE har lejlighedsvis idømt individuelle brugere bøder. Den faktiske personlige risiko afhænger af din synlighed — stille personlig brug er sjældent målrettet; aktivisme eller forretning, der tiltrækker opmærksomhed er.

Kan en VPN-udbyder fortælle, hvornår jeg bliver blokeret?

Generelt ja - forbindelsesfejl, drosling eller DPI-fingeraftryksmatches vises i deres telemetri. Udbydere, der tager censuromgåelse alvorligt (Proton, NordVPN, Mullvad) sporer aktivt, hvilke netværk/regioner der blokerer deres forbindelser og udruller nye protokoller eller serverkonfigurationer som svar. Udbydere med svagere omgåelsesbudgetter følger ikke dette så tæt.

VPN-blokering forklaret: Hvordan lande og tjenester blokerer VPN'er (og hvordan de kommer uden om det)

VPN-blokering er kat-og-mus-spillet mellem mennesker, der forsøger at bruge VPN'er, og regeringer, internetudbydere, streamingtjenester og virksomhedsnetværk, der forsøger at stoppe dem. Kina kører det mest aggressive blokeringsprogram; Rusland, Iran og UAE følger tæt efter; Netflix har brugt år på at forsøge at nægte VPN-brugere adgang. Sådan fungerer blokeringen faktisk på den tekniske side, og hvad VPN-udbydere gør for at glide forbi den.

Hele artiklens krop findes på engelsk nedenfor.

Blokeringsmetoder

IP blokeringsliste

Den enkleste metode. Kompilér en liste over kendte VPN-udbyderes IP-områder og bloker dem alle. Streamingtjenester bruger dette mest aggressivt - Netflix, Hulu, BBC iPlayer, Disney+ har alle bygget sofistikeret VPN-IP-detektion, der opdateres dagligt. Lande bruger også dette som et førstelinjeforsvar.

Counter: VPN-udbydere tilføjer konstant nye server-IP'er og roterer exit-puljer. Nogle tilbyder bolig-IP'er (IP'er hentet fra rigtige forbruger-ISP'er i stedet for datacentre) til brugere, der specifikt har brug for at omgå blokeringer af IP-omdømme.

Port-blokering

VPN-protokoller har kendte porte. OpenVPN's IANA-tildelte port er 1194. WireGuard er som standard 51820. IKEv2 bruger UDP 500 og 4500. Bloker disse porte, bloker den åbenlyse VPN-trafik.

Counter: VPN-udbydere kører deres servere på standardporte - så typisk ser VPN-trafik ud for OpenVPN-trafik som ordinær TCP/443 HTTPS.

Dyb pakkeinspektion af protokolhåndtryk

Den seriøse tilgang. Selv når en VPN kører på TCP/443, har håndtrykket af OpenVPN, WireGuard eller IKEv2 en genkendelig byte-signatur, som DPI-systemer kan fingeraftrykke. The Great Firewall of China bruger denne teknik rutinemæssigt - selv WireGuard-on-443 bliver opdaget og blokeret inden for få minutter.

Counter: protokolsløring. Pak VPN-håndtrykket ind i noget, der ligner ægte HTTPS-, WebSocket- eller QUIC-trafik. Eksempler: ProtonVPNs Stealth, NordVPNs NordWhisper, OpenVPN med Stunnel/Cloak/Obfsproxy, AmneziaWG (en WireGuard-gaffel, der randomiserer sit håndtryk), V2Ray-protokoller. selve håndtrykket har fingeraftryk. En specifik browser producerer ClientHello-meddelelser med en bestemt chiffer-suite rækkefølge, specifik udvidelsesliste, specifik JA3-hash. Hvis din "HTTPS"-forbindelse har et TLS-fingeraftryk, der ikke matcher nogen større browser, kan det være en VPN-klient, der bærer et kostume.

Counter: Moderne obfuskationsværktøjer efterligner TLS-fingeraftryk fra større browsere byte-for-byte (uTLS i Go, utls.js, lignende på andre sprog). Katten-og-musen fortsætter.

TTrafikformanalyse

Selv når indhold er krypteret, og fingeraftryk matcher en rigtig browser, er rytmen i en VPN-session karakteristisk. Altid tovejs, vedvarende gennemstrømning, ensartede pakkestørrelser - ikke det sprængfyldte hente-gengivelse-pause-mønster af faktisk web-browsing. Maskinlæringsmodeller kan identificere VPN-flows fra form alene med overraskende nøjagtighed.

Counter: Introducer dummy-trafik for at skjule formen (Mullvads DAITA gør dette), eller kør VPN-protokollen over noget, der allerede har en uregelmæssig form (Snowflakes WebRTC-videoopkaldsforklædning).

XX3Active). probing

Når den store firewall ser en mistænkelig forbindelse, sender den nogle gange testpakker til destinationen for at bekræfte, om det faktisk er en VPN-server. En rigtig HTTPS-server reagerer med et genkendeligt TLS-håndtryk; en VPN-server kan reagere på en måde, der giver sig selv væk. Hele forbindelsen blokeres derefter.

Counter: VPN-servere kan konfigureres til at kræve godkendelse før de reagerer — "fremmede" får en generisk 404 eller intet svar, kun godkendte klienter får VPN-håndtrykket. Brugere kan ikke engang downloade VPN-klienten, fordi vpnmasterpro.com (eller en hvilken som helst anden) ikke løser.

Counter: brug DNS over HTTPS til at forespørge på en ikke-blokeret resolver. Distribuer installationsmedier via kanaler, som censoren ikke kan opsnappe (Telegram, Tor, USB-sticks, ambassadedistributioner).

Hvor blokering er aggressiv

China — den mest sofistikerede DPI-implementering i verden. Standard VPN-protokoller blokeres inden for få minutter efter at de er blevet opdaget. Kun slørede protokoller (og nogle gange ikke engang dem) fungerer pålideligt.
Russia — TSPU-udrulning siden 2019 har tilføjet omfattende DPI til de fleste større internetudbydere. Twitter/X blev droslet i 2021; mange VPN-udbydere blev blokeret fra 2022.
Iran — DPI fra 2008, regelmæssige VPN-blokeringsbegivenheder, især under protester. Mahsa Amini-protesterne i 2022 førte til udbredt VPN-implementering, da regeringen strammede restriktionerne.
UAE, Saudi-Arabien, Oman, Qatar — VPN'er er begrænset til formål, der omgår godkendt indholdsfiltrering. Håndhævelsen er ujævn, men teknisk kapabel.
Nordkorea — landets indenlandske Kwangmyong-netværk er uden luft fra det globale internet. VPN-omgåelse er i det væsentlige N/A.
India — CERT-Ins 2022-regel tvang VPN-udbydere til enten at logge brugeraktivitet eller trække sig ud. De fleste velrenommerede udbydere trak fysiske servere.
Turkey — December 2023 blokerede 16 VPN-udbydere, herunder IPVanish, ExpressVPN, NordVPN, Tor.

Streaming-service blockingPLZ33XXX2Different
XX2Different teknik. Netflix, Hulu, BBC iPlayer, Disney+, Amazon Prime osv. blokerer VPN-IP'er for at håndhæve geografisk licensering. De forsøger ikke at forhindre dig i at få adgang til internettet som helhed - bare fra at se deres indhold fra det "forkerte" land.
Counter: dedikerede streamingoptimerede servere, der ofte roterer IP'er. Nogle VPN'er (Windflix fra Windscribe, dedikerede streamingservere fra NordVPN/ExpressVPN/Surfshark) jagter eksplicit streaming-våbenkapløbet. Mindre privatlivs-puristiske VPN'er (Mullvad, Proton) engagerer sig ikke, så deres streamingpålidelighed er lavere.

Virksom netværksblokering

Mange virksomheder og skoler blokerer VPN-trafik af overholdelses- og sikkerhedsmæssige årsager. Metoderne ligner hinanden: portblokering, IP-blokeringslister, DPI. Motivationen er anderledes (compliance, indholdsfiltrering, opdagelse af malware), men teknikkerne kortlægges direkte.

Lolig status

At bruge en VPN er lovligt i de fleste lande. Infrastrukturen eksisterede til lovlig virksomhedsbrug længe før forbruger-VPN'er blev almindelige.
Drift af en VPN-tjeneste er reguleret i nogle lande (Kina, Rusland, Iran) — udbydere overholder enten lokale logføringskrav eller er blokeret.
XPLZ-godkendt4
PLZ53XUs VPN i nogle lande. Kina og Rusland kræver, at VPN-udbydere, der opererer indenlandsk, registrerer sig og samarbejder; at bruge en uregistreret (dvs. ægte) VPN er teknisk ulovlig, men håndhævelsen af individuelle brugere er ujævn.
Brug af en VPN til at begå en forbrydelse forbliver ulovlig overalt; VPN'en ændrer ikke på det.

Hvis du er i et land, der blokerer VPN'er

Vælg en udbyder med specialbygget obfuskation: ProtonVPN Stealth, NordVPN NordWhisper eller specialværktøjer, som f.eks. (Shadowsocks) eller AmneziaWG.
Få installationsmediet, før du har brug for det: udbydernes downloaddomæner kan blive blokeret, når du allerede er inde.
Behold Teller med Snowflake74X7 som en VPN74XT eller med Snowflake7 som en VPN74X7 sikkerhedskopiering:XPLX5 Tors pluggbare transporter fungerer ofte stadig.
Forvent fejl: forbindelser, der fungerede i går, kan ikke være i dag; have flere udbydere og protokoller klar.

Bekræft, at din tunnel fungerer, når den forbindes med vores leak-test.

Ofte stillede spørgsmål

Hvorfor holder min VPN op med at fungere nogle gange?: Flere muligheder. VPN-serverens IP blev tilføjet til en blokeringsliste (prøv en anden server). Netværkets DPI fingeraftrykte protokollen og blokerer den (prøv OpenVPN-TCP/443 med obfuscation eller en dedikeret obfuscated protokol som Proton Stealth eller NordWhisper). Destinationstjenesten (Netflix, din bank) føjede VPN-IP'en til sin afvisningsliste (prøv en anden exit eller en dedikeret streamingserver).
Vil nogen VPN fungere i Kina?: Få arbejder pålideligt. Standardprotokoller detekteres og blokeres inden for få minutter af den store firewall. Specialiserede slørede protokoller (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks med v2ray-plugin, AmneziaWG) virker noget af tiden. Våbenkapløbet vipper frem og tilbage ugentligt. Rejsende, der specifikt har brug for Kina-pålidelig VPN, bør installere flere udbydere og konfigurationer på forhånd.
Hvordan ved Netflix, at jeg bruger en VPN?: Primært IP-baseret detektion. Netflix vedligeholder en database over kendte IP-intervaller fra VPN-udbydere og afviser streams fra disse IP'er. De opdaterer databasen konstant. Nogle VPN-udbydere roterer exit-IP'er hurtigere end Netflix-opdateringer, men det er et bevægeligt mål. Bolig-IP'er (udskåret fra rigtige forbruger-ISP'er) omgår dette, men er dyrere i drift.
Er det ulovligt at bruge en VPN i restriktive lande?: For det meste er det tekniske svar ja, det praktiske svar er, at håndhævelse mod individuelle brugere er sjælden. Kina kræver, at VPN-udbydere registrerer sig hos regeringen; ikke-registrerede VPN'er er teknisk ulovlige, men titusinder af kinesiske borgere bruger dem. Ruslands situation er den samme. UAE har lejlighedsvis idømt individuelle brugere bøder. Den faktiske personlige risiko afhænger af din synlighed — stille personlig brug er sjældent målrettet; aktivisme eller forretning, der tiltrækker opmærksomhed er.
Kan en VPN-udbyder fortælle, hvornår jeg bliver blokeret?: Generelt ja - forbindelsesfejl, drosling eller DPI-fingeraftryksmatches vises i deres telemetri. Udbydere, der tager censuromgåelse alvorligt (Proton, NordVPN, Mullvad) sporer aktivt, hvilke netværk/regioner der blokerer deres forbindelser og udruller nye protokoller eller serverkonfigurationer som svar. Udbydere med svagere omgåelsesbudgetter følger ikke dette så tæt.