Fexyn
Fexyn
All posts

Okul ve üniversite Wi-Fi kısıtlamaları gerçekte nasıl

Fexyn Team··8 min read

Okullar ve üniversiteler Wi-Fi ağlarını filtreliyor. Filtreleme agresiflik açısından değişiyor — bazı K-12 okulları ağır içerik blokları çalıştırıyor; bazı üniversiteler çoğunlukla korsanı önlemeye ya da bandwidth'i korumaya yönelik daha hafif filtreler çalıştırıyor. Birçok öğrenci filtrelerin etrafından dolaşmanın yollarını arıyor.

Bu, okul filtrelemesinin teknik olarak nasıl çalıştığının, VPN'in ne yapabilip ne yapamadığının ve gerçek politika ve risk tablosunun nasıl göründüğünün versiyonu. Okulunun kurallarını ihlal etmen için teşvik değil — ağda ne olduğunu anlaman için bilgi.

Başlamadan önce bir not. Çoğu okulun ağ kimlik bilgileri aldığında imzaladığın Kabul Edilebilir Kullanım Politikaları (AUP) var. AUP'lar yaygın olarak VPN dahil aşma araçlarını yasaklıyor. AUP ihlali ağ erişiminin iptaliyle, akademik disiplin işlemiyle ya da bazı durumlarda resmi yaptırımlarla sonuçlanabilir. Sana okulunun politikasını ihlal etmeni söylemiyoruz. Filtrelemenin nasıl çalıştığını açıklıyoruz.

Okul filtrelemesi gerçekte nasıl çalışır

Birkaç katman, tek başına ya da birlikte kullanılır:

1. DNS-seviyesi filtreleme. Okul kendi DNS sunucusunu işletir ve bloklu domain'ler için sinkhole IP veya "Bloklu" sayfasıyla yanıt verir. En ucuz ve en yaygın teknik. Tesadüfi kullanıcılara karşı çalışır; üçüncü taraf DNS ya da DNS-over-HTTPS kullanan herkes tarafından yenilir.

2. Proxy-bazlı içerik filtreleri. Tüm HTTP trafiği bir proxy sunucusu üzerinden geçer (K-12 için Lightspeed, Securly, GoGuardian, FortiGuard; yüksek öğretim için Cisco Umbrella, Zscaler). Proxy kategori-bazlı filtreler (porno, sosyal medya, oyun, kumar) ve domain başına kuralları uygular. SNI inceleyerek HTTP ve HTTPS'te çalışır; TLS inspection etkin değilse HTTPS içeriğini görmez.

3. SSL/TLS inspection. Okul kendi root CA'sını öğrenci cihazlarına kurar. Proxy sonra TLS bağlantılarına MITM yapar — öğrenciler okulun CA'sının verdiği "geçerli" sertifikaları görür, ama okul proxy'si içeriği şifre çözüp inceliyor. Bu en ağır filtre ve okul-sahibi cihazlarda tipik.

4. Deep packet inspection. İçerik şifrelenmiş olsa bile trafiği protokol pattern'ine göre tanımlar. BitTorrent'i tanır, yaygın VPN protokollerini (WireGuard, OpenVPN) tanır, oyun trafiğini tanır. İçeriği görmeden kategoriye göre bloklamaya izin verir.

5. Cihaz seviyesi izleme. Okul-sahibi laptop ya da tablet'lerde, MDM (Mobile Device Management) ve endpoint yazılımı cihazda olan her şeyi görür — uygulama kurulumları, tarayıcı geçmişi, bazen ekran içeriği. Bu herhangi bir VPN'in altında; VPN cihazın kendisinde çalışan izleme yazılımından aktiviteyi gizlemiyor.

Kombinasyon okulun ne görebileceğini ve bloklayabileceğini belirler. Tipik bir K-12 dağıtımı beşini de kullanır. Tipik bir üniversite 1, 2 ve bazen 4'ü; nadiren 3 veya 5'i.

VPN ne yapar

Okul Wi-Fi'sına bağlı kişisel bir cihazda (kendi laptop ya da telefonun):

  • Cihazın ile VPN sağlayıcı arasındaki trafiği şifreler
  • DNS-seviyesi filtrelemeyi atlar (tunnel içinde VPN sağlayıcının DNS'i kullanılır)
  • Proxy-bazlı içerik filtrelerini atlar (proxy hedefleri değil şifrelenmiş VPN trafiği görür)
  • Okul ağı VPN protokollerini de bloklamak için özel olarak konfigüre edilmediyse TLS inspection'ı atlar
  • VPN protokollerinin kendisini tanımlayan ve onları ağ seviyesinde bloklayan DPI'ı atlamaz

Okul-sahibi bir cihazda VPN çok daha azını yapar:

  • Okulun MDM'si VPN kurulumunu engelleyebilir
  • Okulun root CA'sı kurulu ve TLS inspection VPN dışındaki trafikte hâlâ çalışır
  • Endpoint yazılımı ağ şifrelemesinden bağımsız olarak cihaz seviyesinde aktiviteyi görür
  • Birçok okul dağıtımı okul-sahibi cihazlarda VPN trafiğini özel olarak tespit eder ve bloklar

Dürüst çerçeveleme: VPN'li kişisel cihazda çoğu ağ-seviyesi filtrenin etrafından dolaşabilirsin. Okul-sahibi cihazda VPN çoğunlukla etkisiz çünkü izleme cihaz seviyesinde.

Standart VPN'ler başarısız olduğunda ve Reality nasıl yardımcı oluyor

Bazı okul ağları standart VPN protokollerini özel olarak blokluyor. Pattern'ler:

  • UDP'yi tamamen blokla (WireGuard'ı, L2TP'yi, IKEv2'yi öldürür)
  • Bilinen VPN sağlayıcı IP aralıklarını blokla
  • DPI ile VPN handshake pattern'lerini tanımla ve blokla
  • Sadece spesifik giden portlara izin ver (80, 443, bazen 53)

Okulun bunlardan herhangi birini yapıyorsa, standart VPN protokolleri (WireGuard, OpenVPN, IKEv2) hiç bağlanmayabilir. ProtonVPN'in "Stealth" modu ve NordVPN'in "Obfuscated Servers"'ı bile daha agresif okul filtreleme kurulumlarınca tespit ediliyor.

Vision flow ile VLESS Reality bunu halleden protokol sınıfı. Port 443 üzerinden gerçek bir public siteye (microsoft.com ya da benzeri) gerçek TLS 1.3 handshake yapıyor. Okul ağ filtresinin bakış açısından, bağlantı Microsoft'a normal HTTPS taraması gibi görünüyor; filtre okul ağındaki diğer her şeyi de kırmadan bunu bloklayamaz.

Fexyn VLESS Reality'yi Fexyn Stealth olarak gönderiyor. Okulları agresif VPN-protokol filtrelemesi çalıştıran öğrenciler için, çalışan budur.

Meşru kullanım durumları

Konuşmaya değer çünkü okul VPN'i hakkındaki konuşma sadece bloklu oyunlara erişmek isteyen öğrencilerle ilgili değil:

Aşırı filtrelerde araştırma erişimi. K-12 ve hatta bazı üniversite filtreleri meşru araştırma materyalini blokluyor — cinsel sağlık kaynakları, ruh sağlığı bilgileri, tartışmalı konuları kapsayan haber kaynakları, teknik güvenlik içeriği. Meşru akademik ihtiyaçları olan öğrenciler bazen filtrenin yanlış kategorize ettiği araştırma materyaline erişemiyor.

Paylaşılan ağlarda gizlilik. Yurt Wi-Fi'sında kişisel laptop'ı kullanan bir öğrenci, yüzlerce ya da binlerce diğer öğrenciyle paylaşılan bir ağda. Ağ seviyesi görünürlük önemli; VPN okulun ağının senin spesifik taraman hakkında ne gözlemleyebileceğini sınırlıyor.

Sansürlü ülkelerden uluslararası öğrenciler. Anavatan interneti ağır sansürlü olan Batı üniversitesinde okuyan Çinli, İranlı ya da Rus öğrencinin sıkça VPN kullanma sebepleri var: anavatan servislerine erişimi sürdürmek, aileyle iletişim kurmak, anavatan hükümetinin bloklayacağı içeriğe erişmek.

Araştırmayı bloklayan agresif filtreleri atlamak. Üniversite filtreleri bazen akademik veritabanlarını yanlışlıkla blokluyor, archive.org, bazı teknik-blog domain'leri, güvenlik-araştırma materyali. Meşru teknik projeler üzerinde çalışan öğrencilerin bazen yanlış kategorizasyon etrafında yönlendirilmesi gerekiyor.

Yurt ağlarında ISP-seviyesi izlemeden kaçınma. Birçok üniversite yurt Wi-Fi için ticari ISP'lerle ortaklık yapıyor; ISP'nin izlemesi geçerli. VPN bu maruziyeti sınırlıyor.

Yardımcı olamayacağımız meşru olmayan kullanımlar:

  • Bizzat yasaklı olduğu için bloklu materyal'e erişim (CSAM vb.) — VPN yasadışı içeriğe erişimin yasal statüsünü değiştirmiyor
  • Online sınavda kopya çekmek — proctoring sistemleri sıkça VPN kullanımını tespit ediyor; sınav proctoring'ini atlamak akademik suiistimal
  • Üniversite ağlarında telif hakkı uygulamasından kaçınma — üniversiteler sıkça DMCA bildirimleri alıyor; VPN kullanmak yasal maruziyeti kaydırabilir ama ortadan kaldırmıyor

Risk tablosu

Okul Wi-Fi'sında kişisel-cihaz VPN için gerçekçi değerlendirme:

Düşük risk: "VPN'e izin verilmiyor"un ötesinde herhangi bir spesifik politikayı ihlal etmeyen genel VPN kullanımı. Tespit oluyor; sonuçlar genelde uyarı, sonra ağ erişiminin iptali.

Orta risk: Aşma araçlarını yasaklayan açık AUP'ları olan, okulun aktif olarak VPN kullanımını izlediği okullarda VPN kullanımı. Tespit disiplin işlemiyle sonuçlanabilir.

Yüksek risk: Bizzat yasaklı içeriğe erişmek için VPN kullanımı (kopya, taciz, yasadışı materyal). VPN altta yatan ihlali değiştirmiyor; yakalanmak genelde akademik ve bazen yasal sonuçlarla sonuçlanır.

En yüksek risk: Açık AUP'nın tekrarlayan, kasıtlı ihlali, özellikle güçlü onur kuralı uygulaması olan üniversitelerde. Bazı K-12 bölgeleri tekrarlayan AUP ihlalleri için öğrencileri uzaklaştırdı.

Çoğu öğrenci için dürüst cevap: okulunun AUP'sini oku. Okulun açıkça VPN'i yasaklıyorsa, kullanım durumunun riske değip değmeyeceğine karar ver. Okulun özel olarak yasaklamıyorsa (birçok üniversite konuda sessiz), risk çoğunlukla tespit edilirse ağ erişiminin iptali.

Tespit pattern'leri

Okullar VPN kullanımını tipik olarak nasıl tespit eder:

  • Bilinen ticari VPN IP aralıklarına bağlantı
  • Trafik pattern'leri (tek bir IP'ye uzun süreli TLS bağlantıları)
  • Bilinen VPN sağlayıcı domain'leri için DNS sorguları
  • Beklenen DNS sorgularının başarısızlığı (cihaz kendi resolver'larını kullanıyor)
  • Standart VPN protokollerinde DPI fingerprint'leri

Reality'nin yaklaşımı (gerçek public siteye gerçek TLS handshake, meşru HTTPS'e uyan trafik şekli) bu tespit yöntemlerinin çoğunu başarısız kılıyor. Kalan tespit vektörü IP itibarı — aynı okuldaki birçok öğrenci aynı VPN sağlayıcının IP aralığına bağlanırsa, IP okul filtresinin blok listesine ekleniyor.

Fexyn Stealth kullanan öğrenciler için, sunucu filomuzdaki (Frankfurt, Helsinki, Kıbrıs, Ashburn) IP rotasyonu daha küçük IP aralıkları olan sağlayıcılara göre statik-IP bloklamayı daha az etkili kılıyor.

Sıkça sorulanlar

Okulum VPN kullandığımı yakalar mı?

Okulun filtreleme sofistikasyonuna ve ne kadar dikkatli olduğuna bağlı. DNS sızıntısı olmayan ve bilinen VPN domain'i kullanmayan kişisel cihazda Reality protokolü tipik okul filtreleri için tespit edilmesi zor. IP-itibar listeleri ve DPI içeren agresif filtreleme bilinen VPN sağlayıcılarına bağlantıları tespit edebilir ama Reality-sınıfı protokolleri tipik olarak tespit etmiyor.

Okul VPN'de ziyaret ettiğim web sitelerini görebilir mi?

Hayır, VPN tunnel'ının kendisinin varlığı dışında. Okul VPN sağlayıcına şifrelenmiş trafik görür; hedefleri görmez.

Okul VPN kullandığımı bilir mi?

Belki. Uzun bir süre boyunca tek bir IP'ye şifrelenmiş trafik görüyorlar; bu pattern VPN kullanımıyla tutarlı. Trafiği VPN olarak kategorize edip etmedikleri araçlarına bağlı.

VPN kullanmak okul kurallarına aykırı mı?

AUP'ni oku. Birçok K-12 okul ve bazı üniversiteler okul ağlarında VPN kullanımını açıkça yasaklıyor. Bazıları konuyu özel olarak ele almıyor. Bazıları belirli kullanım kategorileri (araştırma, uluslararası öğrenciler) için izin veriyor. Çeşitlilik geniş; varsaymadan önce kontrol et.

Yakalanırsam ne olur?

İlk seferki ihlaller için tipik olarak uyarı ve muhtemelen ağ erişiminin iptali. Tekrarlayan ya da ağırlaştırılmış ihlaller için (VPN'i açıkça yasaklı içerik için kullanmak), uzaklaştırmaya kadar akademik disiplin işlemi. Üniversiteler ilk ihlaller için K-12'den daha hoşgörülü olmaya meyilli; ikisi de geniş ölçüde değişiyor.

Sadece telefonumun mobil verisini kullanmalı mıyım?

Gizlilik amacıyla, evet — okulun cep operatörünü kontrol etmiyor. Maliyet veri planı kullanımı. Sınırsız mobil planı olan öğrenciler için, "okulun taramamı görmesini istemiyorum"un en basit cevabı çoğunlukla bu: kişisel tarama için cellular, okul aktiviteleri için okul Wi-Fi'sı.

Fexyn'i 7 gün ücretsiz dene — standart VPN protokollerini bloklayan okul ağları için Stealth (Vision ile VLESS Reality). Reality protokol rehberi DPI'ı nasıl atladığını kapsıyor; ISP'in ne görür daha geniş ağ-gizlilik tablosunu kapsıyor.

Son inceleme 2026-05-09.

Okul ve üniversite Wi-Fi kısıtlamaları gerçekte nasıl | Fexyn VPN