multi-hop vpn


Efterhånden som truslerne fra avanceret tracking og statssponseret overvågning fortsætter med at vokse, leder nogle privatlivsinteresserede efter mere beskyttelse i form af multi-hop VPN'er. Hvis du overvejer de ressourcer, der bruges af overvågningsorganer til at de-anonymisere brugere, er det faktisk et gyldigt hensyn at vælge en VPN-tjeneste, der tilbyder et højere niveau af anonymitet.

En multi-hop VPN krypterer simpelthen din forbindelse på tværs af to eller flere servere (flere humle), før de går ud til det almindelige internet. At dirigere din trafik gennem to eller flere servere i separate jurisdiktioner giver dig et højere niveau af privatliv og sikkerhed - selvom en server skulle kompromitteres.

I denne vejledning vil vi forklare, hvorfor folk bruger multi-hop VPN'er, og hvordan de kan hjælpe dig med at opnå de højeste niveauer af privatliv og sikkerhed. Vi vil undersøge to forskellige typer multi-hop VPN-opsætninger:

  1. Multi-hop-konfiguration ved hjælp af en primær VPN-service og to eller flere VPN-servere (ofte kaldet en “kaskade”).
  2. Multi-hop-konfiguration, der involverer to eller flere forskellige VPN-tjenester og forskellige placeringer (nogle gange kaldet en "kede kæde").

Nøglefaktoren, når du overvejer, om du har brug for en multi-hop VPN, er din trusselmodel. Hvor meget privatliv har du brug for og ønsker i betragtning af din unikke situation?

Ansvarsfraskrivelse: For langt de fleste brugere er en multi-hop VPN hverken nødvendig eller værd at ydeevneudbyttet (øget latenstid og langsommere hastigheder). Et standard VPN-opsætning (single-hop) med stærk OpenVPN-kryptering, nul lækager og andre værktøjer til beskyttelse af personlige oplysninger (sikker browser, annonceblokerer osv.) Skal give dig mere end nok privatliv og sikkerhed.

For de virkelig paranoide, og for dem, der søger de højeste niveauer af online anonymitet, er der multi-hop VPN'er ...

Overvågning og avanceret online anonymitet

En multi-hop VPN er et godt værktøj til beskyttelse af personlige oplysninger mod målrettet overvågning og andre teoretiske angrebsvektorer, som vi vil diskutere nedenfor. Det kan også være nyttigt for dem i farlige situationer, som journalister eller politiske dissidenter, der bor i undertrykkende lande.

Et centralt spørgsmål er, om du kan stole på det datacenter, hvor VPN-serveren er placeret.

VPN-tjenester vil leje eller lease servere fra datacentre over hele verden til deres netværk. Disse servere vil være fuldt krypteret, sikret og under kontrol af VPN-udbyderen og derved forhindre tredjepartsadgang til følsomme brugerdata og trafik.

Hvad kan datacentret se med en krypteret VPN-server?

Selv med stærk kryptering af VPN-serveren kunne datacenteret (vært) - eller måske et eksternt statligt overvågningsbureau - potentielt overvåge indgående og udgående trafik på serveren.

Selvom dette kan virke alarmerende, ville det stadig være meget vanskeligt for datacentret (eller tredjepart) at indsamle nyttige oplysninger, fordi:

  • Trafikken forbliver krypteret på VPN-tunnelen, som lige nu anses for at være uknuselig (256-bit AES OpenVPN).
  • Det er ekstremt vanskeligt at korrelere udgående trafik med indgående trafik. (Teoretisk kan trafikforhold for nogle brugere være muligt gennem avanceret statistisk analyse og undersøgelse af trafikmønstre, selvom dette stadig er ekstremt vanskeligt.)
  • De fleste VPN'er bruger delte IP'er, med mange brugere på en given server på samme tid, hvor al trafik er blandet. (Bemærk: dette er også grunden til, at du ikke skal "rulle din egen VPN", som kun du bruger).

Selvom en standard, single-hop VPN-konfiguration vil være tilstrækkelig for langt de fleste brugere, kan indkommende / udgående trafikforbindelse stadig være mulig - i det mindste i teorien.

vpn-servere overvågningEn enkelt VPN-server kunne målrettes af modstandere.

Er datacentre virkelig målrettet mod trafik korrelationsangreb?

Vi har ingen måde at vide med sikkerhed. I mange tilfælde, hvor myndighederne ønskede kundedata, gik de simpelthen til datacentret og fysisk beslaglagde serveren:

  • Perfekte privacy-servere var (ingen kundedata blev påvirket)
  • Der blev beslaglagt ExpressVPN-servere i Tyrkiet (ingen kundedata blev påvirket) - som påpeget i min guide om ingen logfiler VPN-tjenester

I andre tilfælde har nogle VPN'er samarbejdet med myndighederne og afleveret brugerinformation - se f.eks. Sagen med IPVanish og også med PureVPN.

Multi-hop VPN-kaskade

Det første eksempel på en multi-hop VPN, vi vil undersøge, er en "kaskade" - hvor trafikken er krypteret på tværs af to eller flere af VPN's servere.

En udbyder, der tilbyder muligheden for at oprette brugerdefinerede VPN-kaskader med op til fire servere, er. Her er en grundlæggende visuel forklaring på, hvordan det ville fungere ved hjælp af en fire-hop VPN-kaskade:

vpn multi-hop vpn kaskade

På billedet ovenfor ændres brugerens identitet ved ethvert hop og omkrypteres ved hjælp af OpenVPN 256-bit AES-kryptering (for eksempel), før trafikken afslutter VPN-kaskaden til det almindelige internet. Med hvert hop får den nye VPN-server kun den forrige VPN-server IP-adresse / placering - yderligere skjult og beskyttet brugerens ægte identitet.

Perfect Privacy giver også nogle interessante punkter i deres:

Med en kaskadeforhold bliver dette [trafik korrelation] angreb meget vanskeligere, fordi mens internetudbyderen / tavshuggeren stadig kender brugerens VPN-indgangsnode, ved det ikke på hvilken server trafikken afslutter. Han bliver nødt til at overvåge alle VPN-servere og tage et gæt, hvilken exit-node brugeren bruger. Dette gør det næsten umuligt at med succes identificere brugere ved trafikforbindelse.

Det er også teoretisk muligt, at en hacker har fysisk adgang til VPN-serveren i datacentret. I dette tilfælde kan han muligvis udføre et de-anonymiseringsangreb på VPN-brugeren. En kaskadet forbindelse beskytter mod denne angrebsvektor: Da brugerens trafik er indkapslet med et ekstra lag kryptering for hvert hop i kaskaden, kan ingen trafik læses eller korreleres med indkommende trafik.

Angriberen vil stadig se udgående krypteret trafik til en anden VPN-server, men han kan ikke afgøre, om dette er en mellem- eller udgangsnode. For at kunne aflytte og afkryptere trafikken, ville angriberen have fysisk adgang til alle humle i kaskaden samtidig. Dette er praktisk talt umuligt, hvis humle er i forskellige lande.

Brug af et multi-hop opsætning med stærk kryptering og andre værktøjer til beskyttelse af personlige oplysninger (såsom en sikker browser) giver dig et ekstremt højt online anonymitet og sikkerhed.

Double-hop VPN'er

Double-hop VPN-servere er en unik funktion hos nogle VPN-udbydere.

Med en dobbelt-hop VPN-konfiguration kunne den første server se din oprindelige IP-adresse, og den anden server kunne se din udgående trafik, men ingen af ​​serverne ville have både din IP-adresse og din udgående trafik.

brugerretning-4caretning-4SE-2retning-4internet

Denne opsætning skal stadig tilbyde anstændig ydeevne, og den vil også tilbyde et højere niveau af sikkerhed og privatliv i forhold til en enkelt-hop-opsætning.

Der er et par VPN'er, der tilbyder dobbelt-hop-konfigurationer, som jeg har testet og fundet at fungere godt:

  • - 3,75 $ pr. Måned; med base i Rumænien; 22 dobbelt-hop-konfigurationer (VPN.ac-gennemgang)
  • - $ 3,49 pr. Måned (med); med base i Panama; 16 dobbelt-hop-konfigurationer (NordVPN-gennemgang)
  • - 2,99 $ pr. Måned; med base i Bulgarien; men kun to dobbelt-hop-konfigurationer, der i øjeblikket er tilgængelige (VPNArea review)

Ydeevne: I min test har jeg fundet ud af, at du stadig kan få fremragende hastigheder med nogle dobbelt-hop VPN'er. Nedenfor er et eksempel, hvor jeg ramte over 81 Mbps downloadhastighed med VPN.ac på deres Tyskland > Canada-forbindelse. Min basishastighed (ikke-VPN) var omkring 100 Mbps (testet fra Tyskland).

mac os vpn hastighedVPN.ac tilbyder fremragende ydelse - selv med dobbelt-hop-forbindelser.

En ulempe med dobbelt-hop VPN'er nævnt ovenfor er, at de kun tilbyder statisk konfigurationer. Dette betyder, at du ikke kan konfigurere din egen unikke multi-hop VPN ved hjælp af nogen server på netværket.

Derudover kan du også oprette dobbelt-hop VPN-konfigurationer med og - men disse er selvkonfigurerbare i stedet for statisk, hvilket vi forklarer mere nedenfor.

Browserudvidelse + VPN-klient med VPN.ac

Et andet nyttigt værktøj til beskyttelse af personlige oplysninger er en sikker proxy-browserudvidelse, som kan kombineres med en VPN-app på operativsystemet. VPN.ac tilbyder en sikker proxy-browserudvidelse til browsere Firefox, Chrome og Opera. Udvidelsen krypterer al trafik i browseren ved hjælp af TLS (HTTPS) og er hurtig og let.

På billedet herunder kan du se, at jeg er tilsluttet en VPN-server i Sverige med VPN.acs desktop-applikation, mens jeg også har forbindelse til en server i New York via browser-proxyudvidelsen. Bemærk de fremragende hastigheder på trods af dobbeltkryptering og længere afstand (fra min placering i Europa):

dobbelt-hop vpn-server

Ligesom med deres VPN-applikation tilbyder VPN.ac også dobbelt-hop-proxy-placeringer til browseren. Dette betyder, at du muligvis kører en dobbelt-hop VPN-serverforbindelse på den desktop VPN-app, og også en separat dobbelt-hop-forbindelse gennem browseren. Da browserudvidelsen fungerer uafhængigt (i modsætning til de fleste andre VPN-browserudvidelser), kan den kombineres med en anden VPN-service, der kører på desktop-applikationen.

Selvkonfigurerbare multi-hop VPN'er

En selvkonfigurerbar multi-hop VPN giver dig mulighed for individuelt at vælge serverne i VPN-kaskaden.

er den eneste udbyder, der giver dig mulighed for at oprette selv-konfigurerbar VPN-kaskader med op til fire humle direkte i VPN-klienten. Jeg testede denne funktion til Perfect Privacy review med både Windows og Mac OS klienter og fandt, at alt fungerer godt.

Her er en fire-hop VPN-serverkaskade: Frankfurt >> København >> Calais >> Malmø

perfekt privatliv bedste vpnDen perfekte beskyttelse af Windows-klienter ved hjælp af en fire-hop VPN-kaskade.

Med denne konfiguration vil din ægte identitet og IP-adresse blive beskyttet bag fire forskellige krypterede VPN-servere.

Hver webside, du besøger, ser kun serveroplysningerne om det sidste hop i VPN-kaskaden. Du kan blot aktivere indstillingen for multi-hop-konfiguration og derefter dynamisk tilføje eller fjerne VPN-servere i VPN-klienten. Her er en lækagetest, der viser dette:

perfekt privatliv ipv6 og ipv4Multi-hop VPN-kaskade uden lækager.

Du kan også se ovenfor, at Perfect Privacy giver mig både en IPv4 og IPv6-adresse - de er en af ​​de få VPN'er, der tilbyder .

Jeg testede også denne fire-hop-konfiguration for hastighed og fik 25 Mbps download (på en 100 Mbps-forbindelse). Dette er ikke så dårligt i betragtning af den højere latenstid og trafik, der krypteres på tværs af alle fire humle. (En dobbelt-hop-konfiguration med servere i nærheden ville have været hurtigere.)

multi-hop vpn-hastighedskaskadeFremragende hastigheder til en VPN-kaskade ved hjælp af fire forskellige servere (humle).

Bemærk: Med perfekt privatliv kan du bruge selvkonfigurerbare multi-hop-kaskader med:

  • Windows VPN Manager-app
  • Linux VPN Manager-app
  • Mac OS-app
  • NeuroRouting-funktion (forklaret nedenfor)

En anden mulighed for en fire-hop VPN-kaskade er med .

ZorroVPN er en Belize-baseret udbyder, der gjorde det godt med test til ZorroVPN-gennemgangen. Bortset fra den højere pris er den største ulempe med ZorroVPN, at de ikke tilbyder nogen tilpassede VPN-applikationer. Dette forårsager et par problemer:

  • Du skal bruge tredjeparts OpenVPN-applikationer, såsom Viskositet, Tunnelblick eller andre.
  • Du skal manuelt oprette multi-hop VPN-serverkonfigurationsfil og derefter importere filen til dit VPN-program. Med andre ord kan du ikke blot oprette eller ændre en multi-hop-kaskade direkte i VPN-appen, f.eks. Med .

Det andet problem her er, at ingen af ​​disse tredjeparts applikationer har indbyggede indstillinger til lækebeskyttelse. Du bliver nødt til at konfigurere en kill switch og lækebeskyttelse manuelt til alle enheder.

ZorroVPN tilbyder et anstændigt udvalg af servere og god ydelse. Se testresultaterne i ZorroVPN-gennemgangen eller besøg for mere info.

Dynamiske multi-hop VPN-konfigurationer (NeuroRouting)

Den seneste udvikling inden for multi-hop-forbindelser og avanceret sikkerhed er. Dette er en unik funktion var i oktober 2017 af Perfect Privacy.

NeuroRouting er en dynamisk, multi-hop-konfiguration, der giver dig mulighed for samtidig at rute din trafik på tværs af adskillige unikke / forskellige serverkonfigurationer i netværket. Denne funktion forklares mere i mit NeuroRouting-indlæg, men her er hovedpunkterne:

  • Dynamisk - Din internettrafik dirigeres dynamisk over flere humle i VPN-servernetværket for at tage den mest sikre rute. Routingstien er baseret på TensorFlow, en open source-software til maskinlæring, og data forbliver i netværket så længe som muligt. Baseret på TensorFlow lærer netværket konstant den bedste og mest sikre rute for et givet websted / server.
  • Samtidig - Hver webside / server, du får adgang til, tager en unik rute. Adgang til flere forskellige websteder giver dig adskillige, unikke multi-hop-konfigurationer og IP-adresser på samme tid, svarende til placeringen af ​​webstedserveren og den sidste VPN-server i kaskaden.
  • Server-side - Denne funktion er aktiveret på serversiden, hvilket betyder, hver gang du får adgang til VPN-netværket, vil NeuroRouting være aktiv (medmindre du deaktiverer det fra medlemsoversigten). Dette betyder også, at det fungerer på enhver enhed - fra routere til Mac OS og Android. Endelig fungerer NeuroRouting med OpenVPN (enhver konfiguration) såvel som IPSec / IKEv2, som kan bruges naturligt på de fleste operativsystemer.

Billedet herunder viser NeuroRouting i aktion, med brugeren tilsluttet en VPN-server i Island, mens han får adgang til fire forskellige websteder placeret i forskellige dele af verden.

perfekt neurorouting til privatlivets fredNeuroRouting i aktion.

Du kan lære mere om .

Multi-hop VPN-kæder med forskellige VPN-udbydere

En anden mulighed er at oprette kæder, der bruger mere end en VPN-udbyder på samme tid. Dette kaldes undertiden som en "VPN inden for en VPN" eller en "indlejret kæde" af VPN'er.

Dette er en god mulighed for at beskytte brugere mod en VPN, der kan blive kompromitteret, samt en VPN-server, der kan blive kompromitteret.

Her er et par forskellige måder at gøre dette på:

VPN 1 på router > VPN 2 på computer / enhed

Dette er en nem opsætning med en VPN på en router og derefter ved hjælp af en anden VPN-service på din computer eller enhed, som er forbundet via din VPN-router. Valg af servere i nærheden hjælper med at minimere ydelse, der er ramt af denne opsætning.

VPN 1 på computeren (vært) > VPN 2 på virtuel maskine (VM)

Dette er en anden opsætning, der kan køres uden meget besvær. Installation af VirtualBox (gratis), installation og opsætning af operativsystemet i VM, f.eks. Linux (gratis), og installer og kør derefter en VPN fra VM. Denne opsætning kan også hjælpe med at beskytte dig mod browserfingeraftryk ved at forfalske et andet operativsystem fra din værtscomputer.

Du kan også tilføje en router til miksen ved hjælp af tre forskellige VPN-tjenester:

VPN 1 på router > VPN 2 på computeren (vært) > VPN 2 på virtuel maskine (VM)

Til sidst kan du også oprette virtuelle maskiner inden for virtuelle maskiner og derved tilføje flere links til kæden. (Hvis du er ny på virtuelle maskiner, er der mange videoer tilgængelige online, der forklarer opsætning og brug.)

Virtuelle maskiner er et fantastisk værktøj til beskyttelse af personlige oplysninger og sikkerhed, da de giver dig mulighed for at skabe isolerede miljøer til forskellige formål - også kendt som opdeling. Inden VirtualBox kan du oprette adskillige forskellige VM'er ved hjælp af forskellige operativsystemer, såsom Linux, som du kan installere gratis. Dette giver dig også let at oprette nye browserfingeraftryk med hver ekstra VM, samtidig med at du skjuler din værtsmaskins fingeraftryk.

Brug Linux - Når jeg opsætter VM'er, vil jeg anbefale at køre et Linux OS af følgende grunde:

  • Gratis
  • Åben kilde
  • Mere privat end Windows eller Mac OS
  • Mere sikkert end Windows eller Mac OS

Ubuntu er brugervenlig og let at komme i gang på få minutter.

Bemærk: Vær sikker på deaktiver WebGL i Firefox med alle dine VM'er (se instruktionerne i Firefox's privatlivshåndbog ved hjælp af: konfigurationsindstillinger). Dette vil forhindre grafikfingeraftryk, da alle VM'erne bruger den samme grafikdriver.

Konklusion om multi-hop VPN'er

En multi-hop VPN-konfiguration er en fremragende måde at beskytte dig selv mod målrettet overvågning, forbedret overvågning og andre trusselscenarier. Brug af en multi-hop VPN vil gøre trafik korrelationsangreb ekstremt vanskelige for en modstander, selvom en VPN-server skulle kompromitteres.

Hvis du søger de højeste niveauer af online anonymitet, kan du bruge en multi-hop VPN “kæde” med forskellige udbydere og forskellige placeringer. Dette kan let gøres med virtuelle maskiner ved hjælp af den gratis VirtualBox-software.

En af de enkleste metoder til at bruge en multi-hop VPN på alle enheder ville være at anvende fra Perfect Privacy. Aktiver blot NeuroRouting fra medlemsoversigten, og det vil automatisk blive anvendt til alle enheder, der opretter forbindelse til VPN, med enhver protokol, enhver app og enhver enhed (fordi det er en server-side-funktion snarere end en app-funktion).

Nedenfor er de multi-hop VPN'er, jeg har testet, og som viste sig at fungere godt.

Pas på dig selv!

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me