Что такое VPN? Гайд без воды
VPN — сервис, заворачивающий твой интернет-трафик в зашифрованный туннель и форвардящий через выбранный тобой сервер. Провайдер видит зашифрованный поток к этому серверу. Сайты видят IP сервера, не твой. Это весь продукт. Всё остальное, что маркетируют вокруг VPN, — либо побочный эффект этих двух фактов, либо, честно говоря, хайп.
Этот гайд — версия, которой нам не хватало, когда мы впервые смотрели VPN. Что меняется, когда включаешь, что не меняется, когда VPN реально помогает, и когда платишь ни за что.
Что VPN реально делает
С выключенным VPN твой ноутбук говорит напрямую с сетью провайдера. Провайдер маршрутизирует пакеты к серверу, который ты посещаешь. Провайдер видит destination-IP и доменные имена, которые ты ищешь. Сайты видят твой реальный IP. Операторы публичной Wi-Fi — то же самое.
Включи VPN — три вещи меняются.
Трафик шифруется между устройством и VPN-сервером. Провайдер больше не может читать, что ты отправляешь. Видит зашифрованные байты к одному IP — VPN-серверу. Не может сказать, смотришь ты YouTube, скачиваешь почту или читаешь Wikipedia.
DNS-запросы идут через тот же туннель. Резолвинг доменных имён происходит на резолвере VPN-провайдера, а не провайдера. Провайдер больше не видит список доменов. VPN-провайдер видит — поэтому «no-logs» — самый важный вопрос, который можно задать VPN.
Сайты видят IP VPN-сервера, не твой. Что бы ты ни посещал, получает соединение с exit-IP VPN. Не могут вывести твой домашний IP из этого соединения. Всё ещё могут fingerprint-ить твой браузер, идентифицировать аккаунт при логине, читать cookies — это не network-layer вещи.
Это весь механизм. Шифрование между тобой и сервером, DNS через туннель, трафик выходит с другим IP. И всё.
Что VPN НЕ делает
Здесь рушится большая часть маркетинга, поэтому будем конкретны.
VPN не делает тебя анонимным. Сдвигает trust boundary, не убирает её. Без VPN провайдер видит твою активность. С VPN провайдер VPN видит ту же активность (минус контент, поскольку HTTPS-трафик шифрован end-to-end). Ты заменил одного игрока на другого. Является ли это апгрейдом — целиком зависит от того, держит ли VPN-провайдер логи и доверяешь ли ты ему больше, чем провайдеру.
Когда заходишь в Gmail, Gmail всё равно знает, что это ты. Когда трекинговые пиксели Google срабатывают на следующем сайте, трекинг работает. Опирается на твой аккаунт, browser fingerprint и cookies, не на IP. VPN не может развязать аккаунт от браузера.
VPN не защищает от фишинга. Если кликнешь на вредоносную ссылку и наберёшь пароль на фейк-страницу — VPN добросовестно зашифрует и форвардит этот пароль атакующему. Туннелирование не инспектирует контент. Не знает, что вредоносное.
VPN не делает тебя cookie-immune или fingerprint-immune. Cookies живут поверх смены IP. Fingerprinting (canvas, шрифты, разрешение, hardware quirks) полностью игнорирует сетевую идентичность.
VPN не блокирует рекламу, malware или трекеры по умолчанию. Некоторые провайдеры бандлят DNS-блокировщик. Это независимо от самого VPN; можно запустить DNS-блокировщик без VPN и VPN без DNS-блокировщика.
VPN не шифрует трафик за exit-сервером. От VPN-сервера до сайта пакеты идут по обычному интернету. Если сайт использует HTTPS (большая часть в 2026) — этот участок и так зашифрован TLS. Если нет — твой трафик выходит с VPN и идёт в clear до назначения, как и без VPN.
Ментальная модель: VPN — приватный курьер между тобой и форвардинг-офисом. Поездка курьера запечатана. После того, как почта покидает офис, идёт обычной почтой.
Для чего VPN реально полезен
Три вещи с честными оговорками.
Приватность от провайдера и оператора сети. Самый сильный кейс. Провайдеры во многих странах (США, Великобритания, Австралия, ряд ЕС-членов) могут собирать или обязаны хранить browsing metadata. Операторы отельной и аэропортовой Wi-Fi часто логируют всё. Если не хочешь, чтобы провайдер строил профиль каждого посещённого домена — VPN перемещает эту видимость с провайдера на VPN-провайдера, что делает политику логирования последнего решающим фактором.
Гео-обход для легитимных сценариев. Стриминг сервиса, за который ты платишь, в поездке. Чтение новостного сайта, блокирующего твою страну. Доступ к банку родной страны из-за границы. Загрузка софта, который издатель ограничил по региону. Работает потому что сайты используют IP-геолокацию; подключаешься через сервер в регионе — сайт обращается с тобой, как будто ты там. Мы держим 4 exit-региона: Франкфурт, Хельсинки, Кипр, Ashburn.
Безопасность на недоверенных сетях. Кофейня, отель, конференция, аэропорт. Даже с HTTPS, защищающим контент, враждебный оператор сети может видеть, к каким доменам ты подключаешься через SNI, и исторически мог даунгрейдить или перехватывать соединения. VPN снижает видимость оператора до «зашифрованных байт к одному серверу».
Есть мелкие сценарии: обход rate-limiting, обход IP-банов, P2P-трафик, который провайдеры троттлят. Реальные, но вторичные.
Чем отличаются протоколы
VPN-протокол — конкретный криптографический разговор клиента с сервером. Выбор протокола влияет на скорость, надёжность на враждебных сетях и насколько детектируемо. Три стоит знать.
WireGuard. Самый быстрый в продакшене. Минимальный handshake, современные шифры (ChaCha20-Poly1305 для трафика, X25519 для обмена ключами), kernel-friendly дизайн. Connect time меньше секунды на тёплом пути. UDP. Легко идентифицировать как VPN, что нормально в большинстве сетей, но флагируется в некоторых. Fexyn везёт WireGuard как дефолтный и брендирует Bolt.
OpenVPN. Ветеран совместимости. Старее, медленнее, тяжелее WireGuard, но развёрнут два десятилетия и работает на сетях, где новые спотыкаются. Поддерживает UDP (быстрее) и TCP (надёжнее на flaky-сетях). TLS-handshake, конфигурируемые шифры (AES-256-GCM — современный дефолт). Полезен как fallback, когда WireGuard заблокирован или нужен TCP-транспорт. Брендируем Secure.
VLESS Reality. Анти-цензурный протокол из проекта XRay. Построен вокруг имитации настоящего TLS 1.3 к настоящему сайту (SNI-цель). Операторы сети видят то, что выглядит как TLS-handshake к легитимному популярному сайту. Медленнее в установке и чувствительнее к конфигурации, но выживает там, где WireGuard и OpenVPN заблокированы. Брендируем Stealth и используем Vision flow (xtls-rprx-vision).
Не нужно выбирать вручную. Хороший клиент выбирает правильный протокол под сеть и переключается автоматически. Rotation engine Fexyn стартует с WireGuard для скорости, фолбэчит на VLESS Reality для враждебных сетей и использует OpenVPN как last-resort.
Trust model: ты заменяешь провайдера на кого-то ещё
Эта часть VPN-маркетингу не очень нравится.
Без VPN: провайдер видит метадату активности (домены, времена, паттерны полосы). По закону во многих юрисдикциях обязан хранить и выдавать по запросу.
С VPN: провайдер видит зашифрованный туннель. VPN-провайдер видит метадату, которую раньше видел провайдер. Является ли это апгрейдом — зависит от трёх вопросов.
Держит ли VPN-провайдер логи, по которым тебя можно идентифицировать? Если да — ты ничего не улучшил, просто переместил данные в другую компанию. Если нет, и это верифицируемо, ты значимо снизил, кто может строить профиль активности.
Какова структура стимулов? Бесплатные VPN должны где-то зарабатывать. Несколько пойманы на логировании и продаже данных. Платные зарабатывают на подписках, что менее коррумпирующее, но не аудируется.
Верифицирован ли no-logs внешним аудитом? Горстка провайдеров публикует аудиты от Cure53, Deloitte, KPMG, PwC. Большинство — нет. У Fexyn пока нет; планируем сторонний аудит на 2026. До публикации отчёта наша посадка no-logs — операционная и заявленная, не верифицированная извне. Мы это говорим, потому что альтернатива — вводить тебя в заблуждение.
Честная версия value prop VPN: «мы — другой игрок, не твой провайдер, с другой бизнес-моделью и (в идеале) другой юрисдикцией. Если доверяешь нам больше — обмен апгрейд». Это реально, но это уже, чем «анонимность».
Когда VPN не нужен
VPN-маркетинг склонен предполагать, что нужно держать его 24/7. Это overkill для многих. Пропусти VPN когда:
Ты на доверенной сети и не делаешь ничего гео-ограниченного. Дома, в офисе, у друга. Оператор сети — ты или кто-то доверенный; HTTPS защищает контент; маржинальный приватностный выигрыш мал.
Ты посещаешь только HTTPS-сайты и не заботишься про метадату. TLS уже шифрует контент. Провайдер видит домен (через SNI и DNS), но не что ты на нём читаешь.
Нет нужды в гео-обходе. Если стриминг работает из твоей страны и читаемые новости не региональны — гео-выигрыш ноль.
Нужна максимальная полоса или минимальная задержка. VPN добавляет hop и шаг шифрования. Overhead мал (5–15% на WireGuard, больше на OpenVPN), но реален. Онлайн-гейминг на сервер далеко от exit'а будет хуже с VPN.
Используешь VPN для уклонения от трекинга сервисами, в которые залогинен. Не работает. Google знает, что это ты, потому что ты ввёл пароль. VPN невидим для application-layer.
Разумный дефолт большинства: VPN включён для путешествий и недоверенных сетей, включён, если хочешь стабильно скрывать browsing metadata от провайдера, выключен иначе. Кто-то держит всегда; это решение personal-threat-model, не техническое требование.
Что реально оценивать при выборе
Если ты решил, что хочешь VPN, важные вопросы:
Политика логирования и статус аудита. Прочитай privacy policy. Ищи connection logs, traffic logs, DNS logs явно отсутствующими. Ищи аудит. Если ничего нет — снижай доверие соответственно.
Юрисдикция. Five Eyes / Nine Eyes / Fourteen Eyes — вторичный фактор после логирования. No-logs провайдер в США приватнее, чем логирующий в Швейцарии. Логирование — вопрос, юрисдикция — модификатор.
Счёт серверов и локации, релевантные тебе. «5,000 серверов в 90 странах» — в основном маркетинг. Что важно — покрыты ли реально нужные локации (твоя страна, регион стриминга, low-latency exit для путешествий).
Kill switch и DNS leak protection. Если VPN падает, утекает ли реальный IP? Kill switch блокирует весь трафик при обрыве. DNS leak protection маршрутизирует все DNS через туннель. Оба должны быть стандартом.
Окно возврата. Большинство приличных VPN предлагают 7–30 дней. Используй. Маркетинг ненадёжен; тестирование на реальных сетях надёжно. Fexyn даёт 7-дневный бесплатный триал.
Цена. Реальная VPN-инфраструктура стоит денег. «Бесплатный» VPN монетизирует тебя как-то, почти всегда через данные. Платные тарифы сильно варьируются; разница в фичах часто меньше, чем в цене. Наши тарифы — $9.99 (месячный) до $2.99 (multi-year).
Итог
VPN — полезный, узкий инструмент. Шифрует трафик между тобой и сервером, даёт выглядеть будто ты браузишь из другого места, и защищает на сетях, которым не доверяешь. Не делает анонимным, не останавливает трекеры, не блокирует фишинг, не заменяет здравый смысл.
Если эти три выгоды (приватность от провайдера, гео-обход, безопасность на недоверенных сетях) совпадают с твоими реальными нуждами — VPN стоит запускать. Если нет — платишь за неиспользуемую фичу. И то и другое нормально.
FAQ
Нет. Заменяет видимость провайдера на видимость VPN-провайдера и меняет IP, который видят сайты. Логин-аккаунты, browser fingerprint, cookies всё равно идентифицируют тебя сервисам, которые уже знают, кто ты. Анонимность требует другого тулсета (Tor, разделённые аккаунты, hardened browsers).
Видит, что ты подключён к VPN-серверу (IP сервера, зашифрованные байты, паттерн полосы). Не видит, какие сайты, какие домены, что внутри. WireGuard и OpenVPN легко идентифицируются как VPN; VLESS Reality спроектирован выглядеть как обычный HTTPS.
Скорее всего нет, если только конкретно не хочешь скрыть browsing metadata от провайдера, нужен гео-обход или у тебя threat model, включающая домашнего провайдера.
Относись с серьёзным скептицизмом. Серверы стоят денег. Если не платишь — обычно ты продукт, через инжект рекламы, перепродажу browsing-данных, или хуже. Несколько пойманы на логировании. Бесплатный тариф платного провайдера с аудированными практиками — другая категория.
Слегка. WireGuard добавляет ~5–10% overhead. OpenVPN — 15–25%. Расстояние до сервера добавляет задержку пропорционально. Для типичного браузинга, стриминга, видеозвонков overhead невидим.
Да, с оговорками. Стримеры активно пытаются детектить и блокировать VPN-IP. Некоторые VPN сильно инвестируют в разблокировку; некоторые нет. Проверь окно возврата.
Да. HTTPS шифрует end-to-end между браузером и сайтом. VPN — между тобой и VPN-сервером. За exit'ом — обычный интернет. Без HTTPS VPN-провайдер и любая сеть между exit'ом и сайтом могут читать.
VPN туннелирует весь трафик с устройства через зашифрованное соединение на уровне ОС. Прокси обычно маршрутизирует трафик одного приложения (обычно браузера) и может вообще не шифровать.
Да, всем, что не опирается на IP. Cookies, логин, browser fingerprint, поведенческие сигналы — всё трекит независимо от VPN.
По умолчанию WireGuard (Bolt) для скорости. VLESS Reality (Stealth) на сетях, блокирующих VPN. OpenVPN (Secure) когда нужна старая инфраструктура или конкретная совместимость. Fexyn выбирает автоматически и фолбэчит при сбое.