Fexyn
Fexyn

قاموس

ما هو تنفيق VPN

لفّ حزم IP داخل حزم بروتوكول آخر فتسافر مُغلَّفة عبر شبكة غير موثوقة.

التنفيق هو تقنية حمل بروتوكول شبكة داخل آخر. نفق VPN يأخذ حزم IP التي سيرسلها جهازك عادةً إلى الإنترنت المفتوح، يلفّها في بروتوكول ثانٍ، ويعيد توجيهها إلى خادم VPN الذي يفكّ لفّها على الجانب الآخر. لا شيء عن الحزم الداخلية يصل إلى الشبكة المحلية — فقط الغلاف الخارجي.

كلمة "نفق" استعارة. لا يوجد أنبوب فيزيائي ولا مسار مخصّص. الحزم تسافر عبر نفس الراوترات والسويتشات والكابلات تحت البحر التي تسافر عبرها كل الأشياء الأخرى. ما يتغيّر هو ما تستطيع تلك الراوترات رؤيته: فقط الغلاف الخارجي.

كيف يعمل التغليف فعليًا

كل حزمة IP لديها رأس (إلى أين تذهب، من أين أتت، أيّ بروتوكول تحمل) وحِمل (البيانات). التنفيق يعامل الحزمة الأصلية كاملةً — رأس وحِمل — كبايتات معتمة، ثم يبني حزمة جديدة كليًا حولها.

نفق WireGuard يعمل هكذا: جهازك يريد إرسال حزمة TCP إلى 1.1.1.1. WireGuard يُشفّر الحزمة كاملةً بـ ChaCha20-Poly1305، يُسبقها برأسه الخاص، يلفّ النتيجة في datagram UDP، ويرسل ذلك datagram إلى IP العام لخادم VPN على المنفذ 51820. للشبكة المحلية، الحزمة المرئية الوحيدة هي "UDP من جهازك إلى خادم VPN." حزمة TCP داخلها غير قابلة للقراءة.

خادم VPN يعكس العملية: يستلم UDP، يُجرِّد رأس WireGuard، يفكّ التشفير، ويعيد توجيه الحزمة الداخلية إلى وجهتها الحقيقية.

ما تنفّقه بروتوكولات مختلفة

كل بروتوكول VPN يُعرَّف إلى حدّ كبير بما يُنفِّقه داخل ماذا.

  • WireGuard يُنفِّق حزم IP داخل UDP. الرأس ثابت الحجم وأدنى. مُعرَّف في Donenfeld 2017.
  • OpenVPN يُنفِّق حزم IP داخل TLS، الذي يعمل بنفسه عبر TCP أو UDP. handshake TLS يُنشئ مفاتيح الجلسة؛ حزم البيانات مُشفَّرة بـ AES-GCM أو ChaCha20. اقرأ RFC لـ TLS الكامن.
  • IPsec يُنفِّق حزم IP داخل رأس Encapsulating Security Payload (ESP)، مُعرَّف في RFC 4303. ESP يعمل مباشرة عبر IP (بروتوكول 50) أو، لاجتياز NAT، عبر UDP منفذ 4500.
  • VLESS Reality يُنفِّق حزم IP داخل إطار VLESS مخصّص، داخل TLS 1.3، داخل TCP. handshake TLS يُحوِّل شهادة طرف ثالث حقيقية فالاتصال غير قابل للتمييز إحصائيًا عن HTTPS عادي. اقرأ Reality.

الخيط المشترك أن الحزم الداخلية لا تظهر أبدًا على الشبكة العامة في شكلها الأصلي.

التنفيق مقابل التشفير

الاثنان يُخلطان غالبًا. التنفيق هو التغليف، خطوة اللفّ. التشفير هو جعل المحتويات الملفوفة غير قابلة للقراءة. نفق يمكن أن يوجد بدون تشفير (GRE، IP-in-IP)، والتشفير يمكن أن يوجد بدون تنفيق (TLS عبر اتصال TCP واحد). VPNs تفعل كليهما: تغلّف، ثم تُشفّر الحِمل المُغلَّف.

النتيجة العملية: أي شخص يراقب الشبكة يرى فقط الغلاف الخارجي. يعرفون أنك تتحدّث إلى خادم VPN محدّد وكم بيانات تتحرّك تقريبًا. لا يعرفون أيّ مواقع تزور، أيّ تطبيقات مفتوحة، أو أيّ IPs تستهدفها الحزم الداخلية.

لماذا شكل التنفيق يهمّ

الخصوم على مستوى الشبكة لا يستطيعون قراءة محتويات النفق، لكن يستطيعون رؤية وجود النفق. توقيع UDP لـ WireGuard قابل للتعرّف؛ بعض الشبكات تحجبه. OpenVPN عبر TCP-443 يبدو مثل HTTPS لأول وهلة لكن لديه دلالات تحت deep packet inspection. Reality يذهب أبعد بضمان أن الغلاف الخارجي غير قابل للتمييز عن اتصال TLS أصيل إلى موقع شعبي.

اختيار بروتوكول النفق يحدّد ما يستطيع المراقب كشفه، ما يستطيع حجبه، وكم حِملًا تحمل كل حزمة. رأس WireGuard النحيل يكلّف حوالي 32 بايتًا لكل حزمة. OpenVPN عبر TCP يكلّف أكثر ويضيف head-of-line blocking. اختيار النفق الصحيح هو القرار التصميمي المركزي لأي عميل VPN.

مصطلحات ذات صلة

جرّب Fexyn مجانًا لمدة 7 أيام

تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.

الأسعار
ما هو تنفيق VPN | Fexyn VPN