Varför slutar mitt VPN att fungera ibland?

Flera möjligheter. VPN-serverns IP har lagts till i en blockeringslista (prova en annan server). Nätverkets DPI tog fingeravtryck av protokollet och blockerar det (prova OpenVPN-TCP/443 med obfuskation, eller ett dedikerat obfuscerat protokoll som Proton Stealth eller NordWhisper). Destinationstjänsten (Netflix, din bank) lade till VPN-IP:n till sin avvisningslista (prova en annan utgång eller en dedikerad streamingserver).

Kommer någon VPN att fungera i Kina?

Få arbetar tillförlitligt. Standardprotokoll upptäcks och blockeras inom några minuter av den stora brandväggen. Specialiserade obfuskerade protokoll (NordVPNs NordWhisper, ProtonVPNs Stealth, Shadowsocks med v2ray-plugin, AmneziaWG) fungerar ibland. Vapenkapplöpningen lutar fram och tillbaka varje vecka. Resenärer som specifikt behöver Kina-pålitlig VPN bör installera flera leverantörer och konfigurationer i förväg.

Hur vet Netflix att jag använder ett VPN?

I första hand IP-baserad detektering. Netflix upprätthåller en databas med kända IP-intervall för VPN-leverantörer och vägrar strömmar från dessa IP-adresser. De uppdaterar databasen ständigt. Vissa VPN-leverantörer roterar utgångs-IP:er snabbare än Netflix-uppdateringar, men det är ett rörligt mål. IP-adresser för bostäder (uttagna från riktiga konsumentleverantörer) kringgår detta men är dyrare att driva.

Är det olagligt att använda en VPN i restriktiva länder?

För det mesta är det tekniska svaret ja, det praktiska svaret är att verkställighet mot enskilda användare är sällsynt. Kina kräver att VPN-leverantörer registrerar sig hos regeringen; icke-registrerade VPN är tekniskt olagliga men tiotals miljoner kinesiska medborgare använder dem. Rysslands situation är liknande. UAE har ibland bötfällt enskilda användare. Den faktiska personliga risken beror på din synlighet — tyst personlig användning är sällan målinriktad; aktivism eller affärer som drar till sig uppmärksamhet är.

Kan en VPN-leverantör berätta när jag blockeras?

Generellt sett ja – anslutningsfel, strypning eller DPI-fingeravtrycksmatchningar dyker upp i deras telemetri. Leverantörer som tar kringgående av censur på allvar (Proton, NordVPN, Mullvad) spårar aktivt vilka nätverk/regioner som blockerar deras anslutningar och rullar ut nya protokoll eller serverkonfigurationer som svar. Leverantörer med svagare kringgående budgetar följer inte detta så noga.

VPN-blockering förklaras: Hur länder och tjänster blockerar VPN (och hur de tar sig runt det)

VPN-blockering är katt-och-råtta-spelet mellan människor som försöker använda VPN och regeringar, internetleverantörer, streamingtjänster och företagsnätverk som försöker stoppa dem. Kina kör det mest aggressiva blockeringsprogrammet; Ryssland, Iran och Förenade Arabemiraten följer tätt efter; Netflix har ägnat flera år åt att försöka neka VPN-användare åtkomst. Så här fungerar blockeringen faktiskt på den tekniska sidan, och vad VPN-leverantörer gör för att glida förbi den.

Hela artikeltexten finns på engelska nedan.

Blockeringsmetoder

IP blockeringslista

Den enklaste metoden. Sammanställ en lista över kända IP-intervall för VPN-leverantörer och blockera dem alla. Streamingtjänster använder detta mest aggressivt – Netflix, Hulu, BBC iPlayer, Disney+ har alla byggt sofistikerad VPN-IP-detektion som uppdateras dagligen. Länder använder också detta som ett förstahandsförsvar.

Counter: VPN-leverantörer lägger till nya server-IP:er konstant och roterar utgångspooler. Vissa erbjuder IP-adresser för bostäder (IP:er hämtade från riktiga konsumentleverantörer snarare än datacenter) för användare som specifikt behöver kringgå blockeringar av IP-rykte.

Portblockering

VPN-protokoll har kända portar. OpenVPN:s IANA-tilldelade port är 1194. WireGuard har som standard 51820. IKEv2 använder UDP 500 och 4500. Blockera dessa portar, blockera den uppenbara VPN-trafiken.

Counter: VPN-leverantörer kör sina servrar på standardportar – så trafiken ser vanligtvis ut som TCP/443 för OpenVPN-trafik. HTTPS.

Djup paketinspektion av protokollhandskakningar

Det seriösa tillvägagångssättet. Även när ett VPN körs på TCP/443 har handskakningen för OpenVPN, WireGuard eller IKEv2 en igenkännbar bytesignatur som DPI-system kan fingeravtrycka. Den stora brandväggen i Kina använder den här tekniken rutinmässigt - även WireGuard-on-443 upptäcks och blockeras inom några minuter.

Counter: protokollförvirring. Slå in VPN-handslaget i något som ser ut som äkta HTTPS-, WebSocket- eller QUIC-trafik. Exempel: ProtonVPNs Stealth, NordVPNs NordWhisper, OpenVPN med Stunnel/Cloak/Obfsproxy, AmneziaWG (en WireGuard-gaffel som randomiserar sitt handslag), V2Ray-protokoll.

TLS-fingeravtryck

XPLZ24 uppsäger sig själv som ett framgångsrikt VPN, HTTPs som framgångsrikt handslaget i sig har fingeravtryck. En specifik webbläsare producerar ClientHello-meddelanden med en specifik chiffersvitsordning, specifik tilläggslista, specifik JA3-hash. Om din "HTTPS"-anslutning har ett TLS-fingeravtryck som inte matchar någon större webbläsare, kan det vara en VPN-klient som bär en kostym.

Counter: moderna obfuskeringsverktyg efterliknar TLS-fingeravtrycken från större webbläsare byte-för-byte (uTLS i Go, utls.js, liknande på andra språk). Katten-och-musen fortsätter.

TTrafikformanalys

Även när innehåll är krypterat och fingeravtryck matchar en riktig webbläsare är rytmen i en VPN-session distinkt. Alltid dubbelriktad, uthållig genomströmning, konsekventa paketstorlekar – inte det sprickiga hämtning-render-paus-mönstret för faktisk webbsurfning. Maskininlärningsmodeller kan identifiera VPN-flöden från enbart form med överraskande noggrannhet.

Counter: introducera dummy-trafik för att dölja formen (Mullvads DAITA gör detta), eller kör VPN-protokollet över något som redan har en oregelbunden form (Snowflakes WebRTC-videosamtal förklädnad).

XX3Active). probing

När den stora brandväggen ser en misstänkt anslutning skickar den ibland testpaket till destinationen för att bekräfta om det faktiskt är en VPN-server. En riktig HTTPS-server svarar med en igenkännbar TLS-handskakning; en VPN-server kan svara på ett sätt som ger sig själv. Hela anslutningen blockeras sedan.

Counter: VPN-servrar kan konfigureras för att kräva autentisering innan de svarar — "främlingar" får ett generiskt 404 eller inget svar, endast autentiserade klienter får VPN-handskakning. Användare kan inte ens ladda ner VPN-klienten eftersom vpnmasterpro.com (eller någon annan) inte löser sig.

Counter: använd DNS över HTTPS för att fråga en oblockerad resolver. Distribuera installationsmedia via kanaler som censorn inte kan fånga upp (Telegram, Tor, USB-minnen, ambassaddistributioner).

Där blockering är aggressiv

China — världens mest sofistikerade DPI-distribution. Standard VPN-protokoll blockeras inom några minuter efter att de har upptäckts. Endast obfuskerade protokoll (och ibland inte ens de) fungerar tillförlitligt.
Russia — TSPU-utrullning sedan 2019 har lagt till omfattande DPI till de flesta större ISP:er. Twitter/X stryps 2021; många VPN-leverantörer blockerades från och med 2022.
Iran — DPI från 2008, regelbundna VPN-blockerande händelser särskilt under protester. Mahsa Amini-protesterna 2022 ledde till utbredd VPN-utbyggnad när regeringen skärpte restriktionerna.
UAE, Saudiarabien, Oman, Qatar — VPN:n är begränsade för ändamål som kringgår godkänd innehållsfiltrering. Tillämpningen är ojämn men tekniskt kapabel.
Nordkorea — landets inhemska Kwangmyong-nätverk är avstängt från det globala internet. VPN kringgående är i huvudsak N/A.
India — CERT-Ins regel från 2022 tvingade VPN-leverantörer att antingen logga användaraktivitet eller dra sig ur. De flesta välrenommerade leverantörer drog fysiska servrar.
Turkey — december 2023 blockerade 16 VPN-leverantörer inklusive IPVanish, ExpressVPN, NordVPN, Tor.

Streaming-service blockingPLZ3XXX2DifferenXPLZ3D Netflix, Hulu, BBC iPlayer, Disney+, Amazon Prime, etc. blockerar VPN-IP:er för att upprätthålla geografisk licensiering. De försöker inte hindra dig från att komma åt internet i stort – bara från att titta på deras innehåll från "fel" land.
Counter: dedikerade streamingoptimerade servrar som roterar IP:er ofta. Vissa VPN:er (Windflix från Windscribe, dedikerade streamingservrar från NordVPN/ExpressVPN/Surfshark) jagar explicit strömningskapprustningen. Mindre sekretesspuristiska VPN:er (Mullvad, Proton) engagerar sig inte, så deras streamingtillförlitlighet är lägre.

Företagsnätverksblockering

Många företag och skolor blockerar VPN-trafik av efterlevnads- och säkerhetsskäl. Metoderna är liknande: portblockering, IP-blockeringslistor, DPI. Motivationen är annorlunda (efterlevnad, innehållsfiltrering, upptäckt av skadlig programvara) men teknikerna kartläggs direkt.

Llaglig status

Att använda en VPN är lagligt i de flesta länder. Infrastrukturen fanns för legitim företagsanvändning långt innan konsument-VPN blev vanliga.
Drift av en VPN-tjänst är reglerad i vissa länder (Kina, Ryssland, Iran) — leverantörer följer antingen lokala loggningskrav eller är blockerade.
XPLZ-53XUsinged isbestriktad VPN53XUsed i vissa länder. Kina och Ryssland kräver att VPN-leverantörer som verkar inhemskt registrerar sig och samarbetar; att använda ett oregistrerat (d.v.s. äkta) VPN är tekniskt olagligt men upprätthållandet av enskilda användare är ojämnt.
Att använda ett VPN för att begå ett brott förblir olagligt överallt; VPN ändrar inte det.

Om du är i ett land som blockerar VPN:er

Välj en leverantör med specialbyggd obfuskation: ProtonVPN Stealth, NordVPN NordWhisper eller specialverktyg som deras da Mullvquiad eller Out-experiment (Shadowsocks) eller AmneziaWG.
Hämta installationsmediet innan du behöver det: leverantörers nedladdningsdomäner kan blockeras när du redan är inne.
Behåll Teller med Snowflake74X7 som en VPN74XT eller med Snowflake7 misslyckas med Snowflake7. Tors pluggbara transporter fungerar ofta fortfarande.
Förvänta fel: anslutningar som fungerade igår kanske inte idag; ha flera leverantörer och protokoll redo.

Verifiera att din tunnel fungerar när den ansluts till vårt leak-test.

Vanliga frågor

Varför slutar mitt VPN att fungera ibland?: Flera möjligheter. VPN-serverns IP har lagts till i en blockeringslista (prova en annan server). Nätverkets DPI tog fingeravtryck av protokollet och blockerar det (prova OpenVPN-TCP/443 med obfuskation, eller ett dedikerat obfuscerat protokoll som Proton Stealth eller NordWhisper). Destinationstjänsten (Netflix, din bank) lade till VPN-IP:n till sin avvisningslista (prova en annan utgång eller en dedikerad streamingserver).
Kommer någon VPN att fungera i Kina?: Få arbetar tillförlitligt. Standardprotokoll upptäcks och blockeras inom några minuter av den stora brandväggen. Specialiserade obfuskerade protokoll (NordVPNs NordWhisper, ProtonVPNs Stealth, Shadowsocks med v2ray-plugin, AmneziaWG) fungerar ibland. Vapenkapplöpningen lutar fram och tillbaka varje vecka. Resenärer som specifikt behöver Kina-pålitlig VPN bör installera flera leverantörer och konfigurationer i förväg.
Hur vet Netflix att jag använder ett VPN?: I första hand IP-baserad detektering. Netflix upprätthåller en databas med kända IP-intervall för VPN-leverantörer och vägrar strömmar från dessa IP-adresser. De uppdaterar databasen ständigt. Vissa VPN-leverantörer roterar utgångs-IP:er snabbare än Netflix-uppdateringar, men det är ett rörligt mål. IP-adresser för bostäder (uttagna från riktiga konsumentleverantörer) kringgår detta men är dyrare att driva.
Är det olagligt att använda en VPN i restriktiva länder?: För det mesta är det tekniska svaret ja, det praktiska svaret är att verkställighet mot enskilda användare är sällsynt. Kina kräver att VPN-leverantörer registrerar sig hos regeringen; icke-registrerade VPN är tekniskt olagliga men tiotals miljoner kinesiska medborgare använder dem. Rysslands situation är liknande. UAE har ibland bötfällt enskilda användare. Den faktiska personliga risken beror på din synlighet — tyst personlig användning är sällan målinriktad; aktivism eller affärer som drar till sig uppmärksamhet är.
Kan en VPN-leverantör berätta när jag blockeras?: Generellt sett ja – anslutningsfel, strypning eller DPI-fingeravtrycksmatchningar dyker upp i deras telemetri. Leverantörer som tar kringgående av censur på allvar (Proton, NordVPN, Mullvad) spårar aktivt vilka nätverk/regioner som blockerar deras anslutningar och rullar ut nya protokoll eller serverkonfigurationer som svar. Leverantörer med svagare kringgående budgetar följer inte detta så noga.