multi-hop vpn


Terwijl de bedreigingen van geavanceerde tracking en door de staat gesponsorde surveillance blijven groeien, zoeken sommige privacyliefhebbers naar meer bescherming in de vorm van multi-hop VPN's. Als u rekening houdt met de middelen die door surveillancebureaus worden uitgegeven om gebruikers te de-anonimiseren, is het kiezen van een VPN-service met een hoger anonimiteitsniveau inderdaad een geldige overweging.

Een multi-hop VPN versleutelt eenvoudig uw verbinding over twee of meer servers (meerdere hops) voordat u het reguliere internet verlaat. Het routeren van uw verkeer via twee of meer servers in afzonderlijke rechtsgebieden geeft u een hoger niveau van privacy en beveiliging - zelfs als één server in gevaar zou komen.

In deze gids leggen we uit waarom mensen multi-hop VPN's gebruiken en hoe ze u kunnen helpen het hoogste niveau van privacy en beveiliging te bereiken. We zullen twee verschillende soorten multi-hop VPN-instellingen onderzoeken:

  1. Multi-hop configuratie met behulp van één primaire VPN-service en twee of meer VPN-servers (vaak een "cascade" genoemd).
  2. Multi-hop configuratie met twee of meer verschillende VPN-services en verschillende locaties (soms een "geneste keten" genoemd).

De belangrijkste factor bij het overwegen of u een multi-hop VPN nodig heeft, is uw bedreigingsmodel. Hoeveel privacy heeft u nodig en wilt u gezien uw unieke situatie?

ontkenning: Voor de overgrote meerderheid van de gebruikers is een multi-hop VPN niet noodzakelijk en de prestaties niet waard (hogere latentie en lagere snelheden). Een standaard (single-hop) VPN-installatie met sterke OpenVPN-codering, nul lekken en andere privacytools (beveiligde browser, ad blocker, etc.) zou u meer dan voldoende privacy en beveiliging moeten bieden.

Voor de echte paranoïde en voor degenen die de hoogste niveaus van online anonimiteit zoeken, zijn er echter multi-hop VPN's ...

Bewaking en geavanceerde online anonimiteit

Een multi-hop VPN is een goede privacytool tegen gerichte monitoring en andere theoretische aanvalsvectoren die we hieronder zullen bespreken. Het kan ook nuttig zijn voor mensen in gevaarlijke situaties, zoals journalisten of politieke dissidenten die in onderdrukkende landen wonen.

Een belangrijke vraag is of u het datacenter kunt vertrouwen waar de VPN-server zich bevindt.

VPN-services huren of leasen servers van datacenters over de hele wereld voor hun netwerk. Deze servers worden volledig gecodeerd, beveiligd en worden beheerd door de VPN-provider, waardoor externe toegang tot gevoelige gebruikersgegevens en verkeer wordt voorkomen.

Wat kan het datacenter zien met een gecodeerde VPN-server?

Zelfs met sterke versleuteling van de VPN-server kan het datacenter (host) - of misschien een extern bewakingsbureau - mogelijk inkomend en uitgaand verkeer op de server monitoren.

Hoewel dit misschien alarmerend lijkt, zou het voor het datacenter (of een derde partij) nog steeds erg moeilijk zijn om nuttige informatie te verzamelen omdat:

  • Het verkeer blijft gecodeerd op de VPN-tunnel, die nu als onbreekbaar wordt beschouwd (256-bit AES OpenVPN).
  • Uitgaand verkeer correleren met inkomend verkeer is uiterst moeilijk. (Theoretisch kan verkeerscorrelatie voor sommige gebruikers mogelijk zijn door geavanceerde statistische analyse en het bestuderen van verkeerspatronen, hoewel dit uiterst moeilijk blijft.)
  • De meeste VPN's gebruiken gedeelde IP's, met veel gebruikers op een bepaalde server tegelijkertijd, waarbij al het verkeer gemengd is. (Opmerking: dit is ook de reden waarom u niet “uw eigen VPN moet rollen” dat alleen u zult gebruiken).

Hoewel een standaard, single-hop VPN-configuratie voldoende is voor de overgrote meerderheid van de gebruikers, kan inkomend / uitgaand verkeer nog steeds mogelijk zijn - althans in theorie.

VPN-servers bewakenEen enkele VPN-server kan worden aangevallen door tegenstanders.

Zijn datacenters echt het doelwit voor verkeerscorrelatie-aanvallen?

We weten het niet zeker. In veel gevallen wanneer autoriteiten klantgegevens wilden, gingen ze gewoon naar het datacenter en namen de server fysiek in beslag:

  • Perfecte privacy-servers waren (geen klantgegevens beïnvloed)
  • ExpressVPN-servers zijn in beslag genomen in Turkije (geen klantgegevens beïnvloed) - zoals aangegeven in mijn gids over geen logs VPN-services

In andere gevallen hebben sommige VPN's samengewerkt met autoriteiten en gebruikersinformatie overhandigd - zie bijvoorbeeld het geval met IPVanish en ook met PureVPN.

Multi-hop VPN-cascade

Het eerste voorbeeld van een multi-hop VPN die we zullen onderzoeken, is een 'cascade' - waarbij verkeer wordt versleuteld over twee of meer van de VPN-servers.

Eén aanbieder biedt de mogelijkheid om aangepaste VPN-cascades met maximaal vier servers te maken. Hier is een eenvoudige visuele uitleg over hoe dat zou werken met een vier-hop VPN-cascade:

vpn multi-hop vpn-cascade

In de bovenstaande afbeelding wordt de identiteit van de gebruiker bij elke sprong gewijzigd en opnieuw gecodeerd met behulp van OpenVPN 256-bit AES-codering (bijvoorbeeld), voordat het verkeer de VPN-cascade verlaat naar het reguliere internet. Bij elke sprong krijgt de nieuwe VPN-server alleen het IP-adres / de locatie van de vorige VPN-server - waardoor de ware identiteit van de gebruiker verder wordt verduisterd en beschermd.

Perfect Privacy maakt ook enkele interessante punten in hun:

Met een trapsgewijze verbinding wordt deze [verkeerscorrelatie] -aanval veel moeilijker omdat, hoewel de ISP / afluisteraar nog steeds het VPN-toegangsknooppunt van de gebruiker kent, niet weet op welke server het verkeer wordt afgesloten. Hij zou alle VPN-servers moeten bewaken en een schatting moeten maken van welk exitknooppunt de gebruiker gebruikt. Dit maakt het vrijwel onmogelijk om gebruikers met verkeercorrelatie te identificeren.

Het is ook theoretisch mogelijk dat een aanvaller fysieke toegang heeft tot de VPN-server in het datacenter. In dat geval kan hij mogelijk een deanonimisatie-aanval uitvoeren op de VPN-gebruiker. Een trapsgewijze verbinding beschermt tegen deze aanvalsvector: aangezien het verkeer van de gebruiker is ingekapseld met een extra coderingslaag voor elke sprong in de cascade, kan geen verkeer worden gelezen of gecorreleerd met inkomend verkeer.

De aanvaller ziet nog steeds uitgaand gecodeerd verkeer naar een andere VPN-server, maar hij kan niet bepalen of dit een middelste of een exit-knooppunt is. Om het verkeer met succes te onderscheppen en te decpytteren, moet de aanvaller tegelijkertijd fysieke toegang hebben tot alle hops in de cascade. Dit is praktisch onmogelijk als de hop zich in verschillende landen bevindt.

Het gebruik van een multi-hop setup met sterke encryptie en andere privacytools (zoals een beveiligde browser), biedt u een extreem hoog niveau van online anonimiteit en beveiliging.

Double-hop VPN's

Double-hop VPN-servers zijn een unieke functie bij sommige VPN-providers.

Met een dubbele hop VPN-configuratie kan de eerste server uw oorspronkelijke IP-adres zien en de tweede server kan uw uitgaand verkeer zien, maar geen van beide servers heeft zowel uw IP-adres als uw uitgaand verkeer.

gebruikerrichtingsgevoelige 4carichtingsgevoelige 4se-2richtingsgevoelige 4internet

Deze setup moet nog steeds behoorlijke prestaties bieden en biedt ook een hoger niveau van beveiliging en privacy dan een single-hop setup.

Er zijn een paar VPN's met dubbele hop-configuraties die ik heb getest en goed bevonden:

  • - $ 3,75 per maand; gevestigd in Roemenië; 22 double-hop configuraties (VPN.ac review)
  • - $ 3,49 per maand (met); gevestigd in Panama; 16 double-hop configuraties (NordVPN review)
  • - $ 2,99 per maand; gevestigd in Bulgarije; maar momenteel slechts twee dubbele hop-configuraties beschikbaar (VPNArea review)

Prestatie: Tijdens mijn testen heb ik ontdekt dat je nog steeds uitstekende snelheden kunt halen met sommige dubbele hop VPN's. Hieronder is een voorbeeld waarbij ik de downloadsnelheid van 81 Mbps met VPN.ac op hun Duitsland bereikte > Canada-verbinding. Mijn baseline (niet-VPN) snelheid was ongeveer 100 Mbps (getest vanuit Duitsland).

mac os vpn snelheidVPN.ac biedt uitstekende prestaties - zelfs met dubbele hop-verbindingen.

een nadeel met de hierboven genoemde dubbele hop VPN's is dat ze alleen aanbieden statisch configuraties. Dit betekent dat u uw eigen unieke multi-hop VPN niet kunt configureren met behulp van een server in het netwerk.

Bovendien kunt u ook dubbele hop VPN-configuraties maken met en - maar deze zijn zelfconfigureerbaar in plaats van statisch, wat we hieronder meer zullen uitleggen.

Browser-extensie + VPN-client met VPN.ac

Een andere handige privacytool is een veilige proxy-browserextensie, die kan worden gecombineerd met een VPN-app op het besturingssysteem. VPN.ac biedt een veilige proxy-browserextensie voor Firefox-, Chrome- en Opera-browsers. De extensie codeert al het verkeer binnen de browser met behulp van TLS (HTTPS) en is snel en licht van gewicht.

In de onderstaande afbeelding ziet u dat ik verbonden ben met een VPN-server in Zweden met de desktop-applicatie van VPN.ac, terwijl ik ook verbonden ben met een server in New York via de proxy-extensie van de browser. Let op de uitstekende snelheden, ondanks de dubbele codering en langere afstand (vanaf mijn locatie in Europa):

dubbele hop VPN-server

Net als bij hun VPN-applicatie biedt VPN.ac ook proxy-locaties met dubbele hop voor de browser. Dit betekent dat u mogelijk een dubbele hop VPN-serververbinding op de desktop VPN-app gebruikt, en ook een afzonderlijke dubbele hop-verbinding via de browser. Aangezien de browserextensie onafhankelijk werkt (in tegenstelling tot de meeste andere VPN-browserextensies), kan deze worden gecombineerd met een andere VPN-service die wordt uitgevoerd op de desktopapplicatie.

Zelf configureerbare multi-hop VPN's

Met een zelf configureerbare multi-hop VPN kunt u de servers in de VPN-cascade individueel selecteren.

is de enige provider waarmee u kunt maken self-configureerbare VPN-cascades met maximaal vier hop rechtstreeks in de VPN-client. Ik heb deze functie getest voor de Perfect Privacy-review bij zowel de Windows- als Mac OS-clients en vond dat alles goed werkte.

Hier is een vier-hop VPN-servercascade: Frankfurt >> Kopenhagen >> Calais >> Malmo

perfecte privacy beste VPNDe perfecte privacy Windows-client, met behulp van een VPN-cascade met vier hops.

Met deze configuratie worden uw ware identiteit en IP-adres beschermd achter vier verschillende gecodeerde VPN-servers.

Elke website die u bezoekt, ziet alleen de servergegevens van de laatste hop in de VPN-cascade. U kunt eenvoudig de multi-hop configuratie-instelling inschakelen en vervolgens dynamisch VPN-servers toevoegen of verwijderen in de VPN-client. Hier is een lektest die dit aantoont:

perfecte privacy ipv6 en ipv4Multi-hop VPN-cascade zonder lekken.

Je kunt hierboven ook zien dat Perfect Privacy me zowel een IPv4- als IPv6-adres geeft - ze zijn een van de weinige VPN's die aanbieden .

Ik testte ook deze vier-hop configuratie voor snelheid en kreeg 25 Mbps download (op een 100 Mbps-verbinding). Dit is niet slecht, gezien de hogere latentie en het verkeer dat opnieuw wordt versleuteld over alle vier de hops. (Een dubbele hop-configuratie met servers in de buurt zou sneller zijn geweest.)

multi-hop vpn snelheidscascadeUitstekende snelheden voor een VPN-cascade met behulp van vier verschillende servers (hops).

Notitie: Met Perfect Privacy kunt u zelf configureerbare multi-hop cascades gebruiken met:

  • Windows VPN Manager-app
  • Linux VPN Manager-app
  • Mac OS-app
  • NeuroRouting-functie (hieronder uitgelegd)

Een andere optie voor een vier-hop VPN-cascade is met .

ZorroVPN is een in Belize gevestigde provider die het goed deed voor het testen van de ZorroVPN-review. Afgezien van de hogere prijs, is het belangrijkste nadeel van ZorroVPN dat ze geen aangepaste VPN-toepassingen bieden. Dit veroorzaakt een paar problemen:

  • U moet OpenVPN-toepassingen van derden gebruiken, zoals Viscosity, Tunnelblick of andere.
  • U moet het multi-hop VPN-serverconfiguratiebestand handmatig maken en het bestand vervolgens importeren in uw VPN-toepassing. Met andere woorden, u kunt niet eenvoudig een multi-hop cascade rechtstreeks in de VPN-app maken of wijzigen, zoals met .

Het andere probleem is dat geen van deze applicaties van derden ingebouwde instellingen voor lekbescherming hebben. U moet een kill-schakelaar en lekbescherming handmatig configureren voor alle apparaten.

ZorroVPN biedt een behoorlijke selectie servers en goede prestaties. Bekijk de testresultaten in de ZorroVPN-beoordeling of bezoek voor meer info.

Dynamische multi-hop VPN-configuraties (NeuroRouting)

De nieuwste ontwikkeling in multi-hop verbindingen en geavanceerde beveiliging is. Dit is een unieke functie was in oktober 2017 door Perfect Privacy.

NeuroRouting is een dynamisch, multi-hop configuratie waarmee u tegelijkertijd uw verkeer kunt routeren over verschillende unieke / verschillende serverconfiguraties in het netwerk. Deze functie wordt meer uitgelegd in mijn NeuroRouting-bericht, maar hier zijn de belangrijkste punten:

  • Dynamisch - Uw internetverkeer wordt dynamisch over meerdere hops in het VPN-servernetwerk geleid om de meest veilige route te nemen. Het routeringspad is gebaseerd op TensorFlow, een open source software voor machine learning, en gegevens blijven zo lang mogelijk in het netwerk. Het netwerk is gebaseerd op TensorFlow en leert voortdurend de beste en veiligste route voor een bepaalde website / server.
  • simultaan - Elke website / server die u bezoekt, neemt een unieke route. Toegang tot meerdere verschillende websites geeft u tegelijkertijd tal van unieke multi-hop configuraties en IP-adressen, die overeenkomen met de locatie van de websiteserver en de laatste VPN-server in de cascade.
  • Server-side - Deze functie is geactiveerd op de server, wat betekent dat elke keer dat u toegang krijgt tot het VPN-netwerk, NeuroRouting actief is (tenzij u het uitschakelt via het ledendashboard). Dit betekent ook dat het op elk apparaat werkt - van routers tot Mac OS en Android. Ten slotte werkt NeuroRouting met OpenVPN (elke configuratie) en IPSec / IKEv2, die native kunnen worden gebruikt op de meeste besturingssystemen.

De onderstaande afbeelding toont NeuroRouting in actie, met de gebruiker verbonden met een VPN-server in IJsland, terwijl hij toegang heeft tot vier verschillende websites in verschillende delen van de wereld.

perfecte privacy neuroroutingNeuroRouting in actie.

Je kunt hier meer over leren .

Multi-hop VPN-ketens met verschillende VPN-providers

Een andere optie is om ketens met meerdere VPN-providers tegelijkertijd te maken. Dit wordt soms een 'VPN binnen een VPN' of een 'geneste keten' van VPN's genoemd.

Dit is een goede optie om gebruikers te beschermen tegen een VPN die mogelijk is aangetast, evenals een VPN-server die mogelijk is aangetast.

Hier zijn een paar verschillende manieren om dit te doen:

VPN 1 op router > VPN 2 op computer / apparaat

Dit is een eenvoudige installatie met een VPN op een router en vervolgens met behulp van een andere VPN-service op uw computer of apparaat, die is verbonden via uw VPN-router. Door servers in de buurt te kiezen, kunt u de prestaties met deze installatie minimaliseren.

VPN 1 op computer (host) > VPN 2 op virtuele machine (VM)

Dit is een andere installatie die zonder veel gedoe kan worden uitgevoerd. Installeer VirtualBox eenvoudig (gratis), installeer en configureer het besturingssysteem binnen de VM, zoals Linux (gratis), en installeer en voer vervolgens een VPN uit vanuit de VM. Deze installatie kan u ook helpen beschermen tegen vingerafdrukken van de browser door een ander besturingssysteem te vervalsen dan uw hostcomputer.

Je kunt ook een router toevoegen aan de mix, met behulp van drie verschillende VPN-services:

VPN 1 op router > VPN 2 op computer (host) > VPN 2 op virtuele machine (VM)

Ten slotte kunt u ook virtuele machines maken binnen virtuele machines, waardoor meer links aan de keten worden toegevoegd. (Als u nieuw bent met virtuele machines, zijn er veel video's online beschikbaar die de installatie en het gebruik uitleggen.)

Virtuele machines zijn een geweldig hulpmiddel voor privacy en beveiliging, omdat u hiermee geïsoleerde omgevingen voor verschillende doeleinden kunt creëren - ook bekend als compartimentering. Binnen VirtualBox kunt u verschillende VM's maken met behulp van verschillende besturingssystemen, zoals Linux, die u gratis kunt installeren. Hiermee kunt u ook gemakkelijk nieuwe browser-vingerafdrukken maken met elke extra VM, terwijl ook de vingerafdruk van uw hostmachine wordt verborgen.

Gebruik Linux - Bij het instellen van VM's raad ik aan om een ​​Linux-besturingssysteem te gebruiken om de volgende redenen:

  • Vrij
  • Open source
  • Meer privé dan Windows of Mac OS
  • Veiliger dan Windows of Mac OS

Ubuntu is gebruiksvriendelijk en gemakkelijk om binnen enkele minuten aan de slag te gaan.

Notitie: Zorg dat je schakel WebGL uit in Firefox met al uw VM's (zie de instructies in de privacygids van Firefox met behulp van about: config instellingen). Dit voorkomt grafische vingerafdrukken, aangezien alle VM's hetzelfde grafische stuurprogramma zullen gebruiken.

Conclusie over multi-hop VPN's

Een multi-hop VPN-configuratie is een uitstekende manier om uzelf te beschermen tegen gerichte bewaking, verbeterde bewaking en andere bedreigingsscenario's. Het gebruik van een multi-hop VPN maakt verkeerscorrelatie-aanvallen extreem moeilijk voor een tegenstander, zelfs als een VPN-server in gevaar zou komen.

Als u op zoek bent naar de hoogste niveaus van online anonimiteit, kunt u een multi-hop VPN-keten met verschillende providers en verschillende locaties gebruiken. Dit kan eenvoudig worden gedaan met virtuele machines met behulp van de gratis VirtualBox-software.

Een van de eenvoudigste methoden om een ​​multi-hop VPN te gebruiken alle apparaten zou zijn om de van Perfect Privacy te gebruiken. Activeer eenvoudig NeuroRouting vanaf het ledendashboard en het wordt automatisch toegepast op alle apparaten die verbinding maken met de VPN, met elk protocol, elke app en elk apparaat (omdat het een server-side functie is in plaats van een app-functie).

Hieronder staan ​​de multi-hop VPN's die ik heb getest en die goed bleken te presteren.

Blijf Veilig!

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me