Har hver VPN en kill switch?

Nei. Noen gratis eller lave VPN-apper inkluderer ikke en, eller skjuler den bak en udokumentert innstilling. Før du stoler på en VPN for noe alvorlig, må du kontrollere at kill-bryteren eksisterer og fungerer på plattformen din. Mullvad, ProtonVPN, NordVPN og ExpressVPN sender alle én; mange gratisleverandører gjør det ikke.

Vil en drepebryter kutte internett mitt helt?

Ja, det er poenget. Når tunnelen går ned, blokkerer drepebryteren all ikke-VPN-trafikk. Internett ser ut som "ødelagt" til du enten kobler til VPN-en igjen eller deaktiverer kill-bryteren. For de fleste brukere er dette den riktige avveiningen; for noen er det frustrerende under lange gjentilkoblingsstormer på ustabile nettverk.

Er en kill switch det samme som "alltid-på VPN"?

De overlapper hverandre. Alltid-på-VPN ber OS-et automatisk koble til VPN og nekte trafikk til det lykkes. En kill switch reagerer på at VPN-en faller. Moderne Android kombinerer begge deler - "Alltid-på VPN + Blokker tilkoblinger uten VPN" er effektivt en OS-påtvunget drepebryter.

Kan jeg bygge min egen kill-switch med iptables eller pf?

Ja, lett. Mønsteret er: tillat loopback, tillat trafikk til VPN-serverens IP på porten, tillat trafikk på tunnelgrensesnittet (f.eks. tun0 eller wg0), slipp alt annet. Mange selvvertsbaserte WireGuard-oppsett bruker akkurat denne brannmursnippet.

Beskytter en kill switch mot DNS-lekkasjer?

Hvis implementert riktig, ja - fordi DNS-pakker som prøver å rømme utenfor tunnelen, blir blokkert sammen med alt annet. Men dette forutsetter at VPN-klienten konfigurerer DNS til å bruke en løser som bare kan nås via tunnelen. Bekreft med vår DNS-lekkasjetest .

VPN Kill Switches forklart: Nettverkslåser, Alltid-på VPN og hvorfor de betyr noe

Hele jobben til en VPN er å forhindre at din virkelige IP og trafikk blir eksponert. Men VPN-er kobler fra – nettverk endres, bærbare datamaskiner sover, prosesser krasjer. En kill switch er sikkerhetsnettet som blokkerer all nettverkstrafikk i det øyeblikket tunnelen går ned, slik at et kort gjenoppkoblingsvindu ikke blir en IP-lekkasjehendelse. Hver seriøs personvernsak trenger en.

Hele artikkelen er gitt på engelsk nedenfor.

A VPN kill switch (noen ganger kalt "nettverkslås" eller "internet kill switch") er en brannmurregel som tillater trafikk ut av enheten din bare gjennom VPN-tunnelen. I det øyeblikket tunnelen faller, er alt annet blokkert. Resultatet: ingen klartekst fallback, ingen DNS-lekkasje til Internett-leverandøren din, ingen app kobler seg stille til over det virkelige nettverket mens du ikke så.

Hvorfor en kill-switch ikke er valgfri for bruk med høy innsats

VPN-er kobler fra oftere enn de fleste brukere er klar over. Wi-Fi slipper en pakke, den bærbare datamaskinen sover, du går mellom AP-er, operatøren gir deg en ny IP, VPN-serveren starter på nytt. Hver av disse hendelsene får tunnelen til å reforhandle, og under reforhandlingsgapet vil operativsystemet gjerne rute trafikk over det underliggende nettverket hvis du lar det. Torrentklienter på operativsystemnivå, systemoppdateringer og synkroniserte skytjenester kobler seg alle sammen aggressivt på alle nettverksendringer – din virkelige IP kan vises på destinasjonen innen millisekunder etter at tunnelen går ned.

For noen som bruker en VPN for å omgå en regional restriksjon, er en kort lekkasje irriterende. For en journalist, aktivist, eller alle hvis VPN er en del av en faktisk trusselmodell, kan den ene lekket forbindelse være hele kompromisset.

Hvordan en ekte kill-switch implementeres

Ter er to pålitelige mekanismer:

PLZ17 installeringsregler for VPN-klientmuren:VPN-muren (iptables på Linux, pfctl på macOS, Windows Filtering Platform på Windows) som slipper enhver pakke som ikke er bundet til VPNs tunnelgrensesnitt. Når tunnelen går ned, gjelder reglene; ingenting unnslipper.
Standard-rutekapring med et synkehull: klienten setter systemets standard gateway til tunnelen og nekter å fjerne den ruten selv om tunnelen svikter. Enhver pakke som matcher standardruten faller inn i et svart hull.

Det spinkle alternativet – en polling-sløyfe som overvåker VPN-prosessen og deaktiverer nettverket når det ser prosessen krasjer – har et sårbarhetsvindu mellom den faktiske frakoblingen og polling-tikken. Anerkjente VPN-klienter bruker brannmurtilnærmingen.

Aplikasjonsnivå vs systemnivå kill-svitsjer

Noen VPN-klienter tilbyr kill-svitsjer per applikasjon: "drep disse spesifikke appene hvis VPN faller, men la resten av nettverket fungere." Dette er nyttig for en torrentklient som aldri skal berøre den virkelige IP-en mens du lar nettleseren din være brukbar. Ulempen er at det krever at operativsystemet kan drepe prosesser selektivt, noe som er vanskeligere enn bare å blokkere trafikk — og OS-kroker for dette er plattformspesifikke.

Drapsbrytere på systemnivå er enklere og mer pålitelige: ingenting går ut med mindre tunnelen er oppe. Avveiningen er at under gjentilkobling fungerer ingenting i det hele tatt.

Alltid-på-VPN: mobilversjonen

Android, iOS og macOS støtter alle "alltid-på-VPN" - operativsystemet selv nekter å sende trafikk før den konfigurerte VPN-en er tilkoblet. Dette er enda sterkere enn en kill-switch på app-nivå fordi OS-nettverksstakken er håndheveren, ikke VPN-klienten. Android Always-On + Blokker tilkoblinger uten VPN er gullstandarden for mobil, og det er det de fleste trusselmodellbevisste brukere kjører.

Teste drepebryteren

Hurtigtesten: Koble til VPN, start en kontinuerlig ping- eller trafikkstrøm til en kjent nettverksserver, og trekk den tilbake til en kjent nettverkstjener (eller dra den tilbake til nettverket). Strømmen skal stoppe og ikke stille fall tilbake til din virkelige IP. Bekreft ved å besøke vår IP-oppslag-side under gapet — den skal være utilgjengelig, ikke vise din ekte IP.

Caveats

Kill-svitsjer beskytter your-trafikken. De hjelper ikke mot problemer på destinasjonssiden – en tjeneste som allerede vet hvem du er, avlærer den ikke fordi du er på en VPN. De hjelper heller ikke med nettlesers fingeravtrykk, tredjeparts sporingsinformasjonskapsler eller noe annet over nettverkslaget. En kill switch lukker én spesifikk lekkasjekategori: den midlertidige IP/DNS-lekkasjen under tunneloverganger.

Ofte stilte spørsmål

Har hver VPN en kill switch?: Nei. Noen gratis eller lave VPN-apper inkluderer ikke en, eller skjuler den bak en udokumentert innstilling. Før du stoler på en VPN for noe alvorlig, må du kontrollere at kill-bryteren eksisterer og fungerer på plattformen din. Mullvad, ProtonVPN, NordVPN og ExpressVPN sender alle én; mange gratisleverandører gjør det ikke.
Vil en drepebryter kutte internett mitt helt?: Ja, det er poenget. Når tunnelen går ned, blokkerer drepebryteren all ikke-VPN-trafikk. Internett ser ut som "ødelagt" til du enten kobler til VPN-en igjen eller deaktiverer kill-bryteren. For de fleste brukere er dette den riktige avveiningen; for noen er det frustrerende under lange gjentilkoblingsstormer på ustabile nettverk.
Er en kill switch det samme som "alltid-på VPN"?: De overlapper hverandre. Alltid-på-VPN ber OS-et automatisk koble til VPN og nekte trafikk til det lykkes. En kill switch reagerer på at VPN-en faller. Moderne Android kombinerer begge deler - "Alltid-på VPN + Blokker tilkoblinger uten VPN" er effektivt en OS-påtvunget drepebryter.
Kan jeg bygge min egen kill-switch med iptables eller pf?: Ja, lett. Mønsteret er: tillat loopback, tillat trafikk til VPN-serverens IP på porten, tillat trafikk på tunnelgrensesnittet (f.eks. tun0 eller wg0), slipp alt annet. Mange selvvertsbaserte WireGuard-oppsett bruker akkurat denne brannmursnippet.
Beskytter en kill switch mot DNS-lekkasjer?: Hvis implementert riktig, ja - fordi DNS-pakker som prøver å rømme utenfor tunnelen, blir blokkert sammen med alt annet. Men dette forutsetter at VPN-klienten konfigurerer DNS til å bruke en løser som bare kan nås via tunnelen. Bekreft med vår <a href="/dns-leak-test">DNS-lekkasjetest</a>.