VPN-tapakytkin selitettynä: Mitä se tekee, miksi sillä on merkitystä ja kuinka varmistat omasi toimivuuden
VPN-tapakytkin estää kaiken VPN:n ulkopuolisen liikenteen, kun tunneli katkeaa, ja estää näin todellisen IP:si vuotamisen kesken istunnon. Tässä kerrotaan, mitä kukin suuri auditoitu VPN tarjoaa ja kuinka testaat sen itse.
Mikä VPN-tapakytkin on
VPN-tapakytkin on toiminto, joka estää kaiken internetliikenteen laitteella aina, kun VPN-tunneli ei ole aktiivinen. Tarkoituksena on estää todellisen, internetpalveluntarjoajan myöntämän IP:si vuotaminen kohdepalveluun siinä lyhyessä ikkunassa, joka jää tunnelin katkeamisen ja uudelleenyhdistämisen väliin. Tunnelit katkeavat aivan tavallisista syistä — verkonvaihto, palvelimen uudelleenkäynnistys, kannettavan lepotila — ja ilman tapakytkintä käyttöjärjestelmä palaa avoimeen tilaan ja ohjaa paketteja suojaamattoman liitännän kautta, kunnes VPN yhdistyy uudelleen. Tapakytkimellä nämä paketit hylätään. Kohdepalvelu näkee joko VPN:n ulostulo-IP:n tai ei mitään.
Mitkä auditoidut VPN:t tarjoavat tapakytkimen
Kaikki viisi suurta auditoitua maksullista VPN:ää tarjoavat tapakytkimen virallisissa asiakassovelluksissaan: Mullvad (palomuuritila on tapakytkimen toteutus; dokumentoitu osoitteessa mullvad.net), Proton VPN (tapakytkin- ja pysyvä tapakytkin -vaihtoehdot jokaisella alustalla), NordVPN (järjestelmänlaajuinen tapakytkin macOS:ssä / Windowsissa / Linuxissa; iOS käyttää Applen Always-On-VPN-profiilia), ExpressVPN (Network Lock — tuotemerkitty tapakytkin) ja Surfshark (tapakytkin dokumentoitu sovelluksen asetuksissa). Toteutus eroaa alustoittain: macOS:ssä / Windowsissa / Linuxissa käyttöjärjestelmätason palomuurisääntö on vahvin toteutus; iOS:ssä tapakytkimen toiminta riippuu siitä, onko kokoonpano asennettu Per-App-VPN:nä vai Always-On-profiilina.
Tapakytkimen toiminta kuuluu auditoinnin laajuuteen
Tapakytkimen toiminta ei ole pelkkä ominaisuus — se on vakiotestauskohde julkaistuissa infrastruktuuriauditoinneissa. Cure53:n Mullvad-auditointi (kesäkuu 2024) sisälsi white-box-tietoturvatestauksen, joka kattoi 'kaiken yksityisyyteen vaikuttavan' tuotannon OpenVPN- ja WireGuard-palvelimilla; epäonnistuminen toipua katkenneesta yhteydestä ilman vuotoa olisi havainto. Praetorian ja Cure53 tarkastivat ExpressVPN:n Lightwayn Rust-uudelleenkirjoituksen syys–lokakuussa 2024; uusintatestin tulos joulukuussa 2024 vahvisti kaikkien raportoitujen ongelmien korjaamisen. Tapakytkimen virheettömyys on implisiittisesti osa jokaista 'lokittomuus / vuodottomuus' -väitettä — jos tapakytkimen vika paljastaa todellisen IP:n, lokittomuusominaisuus on tuolle yhteydelle merkityksetön.
Kuinka tapakytkimen toteutukset eroavat
On olemassa kolme mallia. (1) Käyttöjärjestelmätason palomuurisäännöt — vahvin. VPN-asiakas asentaa PF-/iptables-/Windowsin palomuurisäännöt, jotka hylkäävät kaiken tunnelin ulkopuolisen liikenteen. Mullvadin palomuuritila kuuluu tähän luokkaan. (2) Sovellustason tapakytkimet — heikompi. VPN-asiakas estää liikenteen vain määritetystä sovelluslistasta. Hyödyllinen esimerkiksi torrent-asiakkaan valikoivaan pysäyttämiseen tunnelin katketessa, mutta ei suojaa muiden sovellusten taustaliikennettä. (3) iOS Always-On-VPN — vahva mutta ehdollinen. Käyttöjärjestelmätason Always-On-kokoonpano varmistaa, ettei liikennettä kulje ilman VPN:ää, mutta toimii vain hallittuna profiilina määritettynä, ei yhdellä napautuksella tehtynä kuluttaja-asennuksena. Always-On-VPN-dokumentaatio löytyy Applen kehittäjäsivustolta (developer.apple.com).
Kuinka varmistat, että tapakytkimesi toimii
Yhdistä VPN:ääsi, avaa pääte ja suorita `curl ifconfig.me` vahvistaaksesi, että VPN:n ulostulo-IP näkyy. Poista sitten verkkoliitäntäsi käytöstä (Wi-Fi pois / Ethernet irti) ja ota se uudelleen käyttöön. Verkkoyhteyden palautuessa suorita sama curl tiukassa silmukassa. Jos näet uudelleenyhdistämisikkunan aikana todellisen internetpalveluntarjoajasi IP:n, tapakytkin epäonnistui. Jos et näe mitään (curl antaa virheen 'no route to host' tai vastaavan), kunnes VPN yhdistyy uudelleen, tapakytkin toimi. Tämä testi on tuhoisa vain käynnissä olevalle VPN-istunnolle — se ei vaadi tiliä eikä testikokoonpanoa. Toista se jokaiselle VPN-protokollalle, jota asiakkaasi tukee (WireGuard ja OpenVPN käyttäytyvät eri tavoin uudelleenyhdistettäessä).
Milloin tapakytkin riittää — ja milloin ei
Tapakytkin suojaa lyhyttä tunnelin katkeamisikkunaa. Se ei suojaa DNS-vuodoilta tunnelin ollessa pystyssä (ne ovat erillinen huolenaihe, jonka VPN:n DNS-kokoonpano kattaa), eikä se peruuta takautuvasti tietojen vuotamista, jotka kulkivat ennen tunnelin pystyttämistä. Käynnistä VPN aina ennen kuin aloitat toiminnan, joka riippuu VPN:stä — tapakytkimillä ei ole muistia.
Lähteet
Mullvadin auditointi (Cure53 kesäkuu 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Proton VPN:n lokittomuusauditoinnit: protonvpn.com/blog/no-logs-audit. NordVPN:n auditoinnit: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN:n Lightway-auditoinnit: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On-VPN: developer.apple.com (haku 'Always-On VPN'). Kaikki URL-osoitteet luettu 2026-04-30.