Аварийният превключвател (kill switch) на VPN обяснен: Какво прави, защо има значение и как да проверите дали вашият работи
Аварийният превключвател на VPN блокира целия трафик извън VPN, когато тунелът прекъсне, предотвратявайки изтичането на реалния ви IP по средата на сесията. Ето какво предлага всеки голям одитиран VPN и как да го тествате сами.
Какво е аварийният превключвател на VPN
Аварийният превключвател на VPN е функция, която блокира целия интернет трафик на дадено устройство винаги когато VPN тунелът не е активен. Целта е да се предотврати изтичането на реалния ви IP, присвоен от доставчика на интернет, към услуга по местоназначение в краткия интервал между прекъсване на тунела и повторно свързване. Тунелите прекъсват по обикновени причини — смяна на мрежата, рестарт на сървъра, заспиване на лаптопа — и без авариен превключвател операционната система преминава в отворено състояние, насочвайки пакетите през голия интерфейс, докато VPN се свърже отново. С авариен превключвател тези пакети се отхвърлят. Услугата по местоназначение вижда или изходния IP на VPN, или нищо.
Кои одитирани VPN разполагат с авариен превключвател
Всичките пет големи одитирани платени VPN разполагат с авариен превключвател в официалните си клиентски приложения: Mullvad (режимът на защитната стена е реализацията на аварийния превключвател; документиран на mullvad.net), Proton VPN (опции за авариен превключвател + постоянен авариен превключвател на всяка платформа), NordVPN (системен авариен превключвател на macOS / Windows / Linux; iOS използва профила Always-On VPN на Apple), ExpressVPN (Network Lock — търговско наименование на аварийния превключвател) и Surfshark (авариен превключвател, документиран в настройките на приложението). Реализацията се различава според платформата: на macOS / Windows / Linux правило на защитната стена на ниво операционна система е най-силната реализация; на iOS поведението на аварийния превключвател зависи от това дали конфигурацията е инсталирана като Per-App VPN или като профил Always-On.
Поведението на аварийния превключвател е част от обхвата на одита
Поведението на аварийния превключвател не е просто функция — то е стандартна цел за тестване в публикуваните одити на инфраструктурата. Одитът на Mullvad от Cure53 (юни 2024) включваше тестове за сигурност от тип бяла кутия, обхващащи 'всичко, което засяга поверителността', на производствени OpenVPN и WireGuard сървъри; неуспехът да се възстанови прекъсната връзка без изтичане би бил констатация. Praetorian и Cure53 прегледаха пренаписването на Lightway на ExpressVPN на Rust през септ.–окт. 2024; резултатът от повторния тест през декември 2024 потвърди отстраняването на всички докладвани проблеми. Коректността на аварийния превключвател е имплицитно част от всяко твърдение за 'no-logs / no-leak' — ако отказ на аварийния превключвател изтече реалния IP, свойството no-logs е безпредметно за тази връзка.
Как се различават реализациите на аварийния превключвател
Съществуват три модела. (1) Правила на защитната стена на ниво операционна система — най-силни. VPN клиентът инсталира правила PF/iptables/Windows Firewall, които отхвърлят целия трафик извън тунела. Режимът на защитната стена на Mullvad е от тази категория. (2) Аварийни превключватели на ниво приложение — по-слаби. VPN клиентът прекъсва трафика само от конфигуриран списък с приложения. Полезно за избирателно прекъсване на торент клиент при прекъсване на тунела, но не защитава фоновия трафик от други приложения. (3) iOS Always-On VPN — силно, но условно. Конфигурацията Always-On на ниво операционна система гарантира, че никакъв трафик не протича без VPN, но работи само когато е конфигурирана като управляван профил, а не като потребителска инсталация с едно докосване. Документацията за Always-On VPN се намира на сайта за разработчици на Apple (developer.apple.com).
Как да проверите дали аварийният ви превключвател работи
Свържете се с вашия VPN, отворете терминал, изпълнете `curl ifconfig.me`, за да потвърдите, че се появява изходният IP на VPN. След това изключете мрежовия си интерфейс (Wi-Fi off / Ethernet изключен) и го включете отново. Докато мрежата се възстановява, изпълнявайте същата команда curl в тесен цикъл. Ако по време на прозореца на повторно свързване видите реалния IP на доставчика си, аварийният превключвател се е провалил. Ако не видите нищо (curl дава грешка 'no route to host' или подобно), докато VPN се свърже отново, аварийният превключвател е сработил. Този тест е разрушителен само за текущата VPN сесия — не изисква нито акаунт, нито тестова конфигурация. Повторете за всеки VPN протокол, който вашият клиент поддържа (WireGuard и OpenVPN се държат различно при повторно свързване).
Кога аварийният превключвател е достатъчен — и кога не е
Аварийният превключвател защитава краткия прозорец на прекъсване на тунела. Той не защитава от изтичания на DNS, докато тунелът е активен (това е отделен въпрос, обхванат от DNS конфигурацията на VPN), и не отменя със задна дата изтичането на данни, които са протекли преди да се установи тунелът. Винаги стартирайте VPN, преди да започнете дейността, която зависи от VPN — аварийните превключватели нямат памет.
Източници
Одит на Mullvad (Cure53 юни 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Одити за no-logs на Proton VPN: protonvpn.com/blog/no-logs-audit. Одити на NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Одити на Lightway на ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (потърсете 'Always-On VPN'). Всички URL адреси са достъпени на 2026-04-30.