VPN kill switch пояснено: що він робить, чому має значення та як перевірити, що ваш працює
VPN kill switch блокує весь не-VPN трафік, коли тунель обривається, запобігаючи витоку вашої справжньої IP-адреси посеред сесії. Ось що пропонує кожен великий аудитований VPN і як перевірити це самостійно.
Що таке VPN kill switch
VPN kill switch — це функція, яка блокує весь інтернет-трафік на пристрої щоразу, коли VPN-тунель неактивний. Сенс полягає в тому, щоб запобігти витоку вашої справжньої IP-адреси, призначеної провайдером, до цільового сервісу в короткому проміжку між обривом тунелю та повторним підключенням. Тунелі обриваються зі звичайних причин — зміна мережі, перезапуск сервера, режим сну ноутбука — і без kill switch операційна система переходить у відкритий стан, спрямовуючи пакети через незахищений інтерфейс, доки VPN не підключиться знову. З kill switch ці пакети відкидаються. Цільовий сервіс бачить або вихідну IP-адресу VPN, або нічого.
Які аудитовані VPN пропонують kill switch
Усі п'ять великих аудитованих платних VPN пропонують kill switch у своїх офіційних клієнтських застосунках: Mullvad (режим брандмауера є реалізацією kill switch; задокументовано на mullvad.net), Proton VPN (kill switch + опції постійного kill switch на кожній платформі), NordVPN (загальносистемний kill switch на macOS / Windows / Linux; iOS використовує профіль Always-On VPN від Apple), ExpressVPN (Network Lock — брендований kill switch) та Surfshark (kill switch задокументовано в налаштуваннях застосунку). Реалізація відрізняється залежно від платформи: на macOS / Windows / Linux найнадійнішою реалізацією є правило брандмауера на рівні операційної системи; на iOS поведінка kill switch залежить від того, чи встановлено конфігурацію як Per-App VPN, чи як профіль Always-On.
Поведінка kill switch є частиною обсягу аудиту
Поведінка kill switch — це не просто функція, а стандартний об'єкт тестування в опублікованих аудитах інфраструктури. Аудит Mullvad від Cure53 (червень 2024) включав тестування безпеки методом white-box, що охоплювало 'усе, що впливає на приватність' на виробничих серверах OpenVPN і WireGuard; нездатність відновити обірване з'єднання без витоку була б висновком. Praetorian і Cure53 переглянули переписування протоколу Lightway ExpressVPN мовою Rust у вер.–жовт. 2024; результат повторного тестування в грудні 2024 підтвердив усунення всіх повідомлених проблем. Коректність kill switch неявно є частиною будь-якої заяви 'без логів / без витоків' — якщо збій kill switch розкриває справжню IP-адресу, властивість відсутності логів для цього з'єднання втрачає сенс.
Чим відрізняються реалізації kill switch
Існує три шаблони. (1) Правила брандмауера на рівні операційної системи — найнадійніші. Клієнт VPN встановлює правила PF/iptables/Брандмауера Windows, які відкидають весь трафік поза тунелем. Режим брандмауера Mullvad належить до цієї категорії. (2) Kill switch на рівні застосунку — слабші. Клієнт VPN зупиняє трафік лише з налаштованого списку застосунків. Корисно для вибіркового зупинення торрент-клієнта при обриві тунелю, але не захищає фоновий трафік від інших застосунків. (3) iOS Always-On VPN — надійний, але умовний. Конфігурація Always-On на рівні операційної системи гарантує, що жоден трафік не проходить без VPN, але працює лише тоді, коли налаштована як керований профіль, а не як споживацька установка в один дотик. Документація Always-On VPN розміщена на сайті для розробників Apple (developer.apple.com).
Як перевірити, що ваш kill switch працює
Підключіться до VPN, відкрийте термінал, виконайте `curl ifconfig.me`, щоб підтвердити, що з'являється вихідна IP-адреса VPN. Потім вимкніть мережевий інтерфейс (Wi-Fi вимк. / Ethernet від'єднано) і ввімкніть його знову. Поки мережа відновлюється, виконайте той самий curl у щільному циклі. Якщо протягом вікна повторного підключення ви бачите свою справжню IP-адресу провайдера, kill switch не спрацював. Якщо ви не бачите нічого (curl видає помилку 'no route to host' чи подібну), доки VPN не підключиться знову, kill switch спрацював. Цей тест є деструктивним лише для поточної сесії VPN — він не потребує жодного облікового запису чи тестового стенду. Повторіть для кожного протоколу VPN, який підтримує ваш клієнт (WireGuard і OpenVPN поводяться по-різному під час повторного підключення).
Коли kill switch достатньо — а коли ні
Kill switch захищає коротке вікно обриву тунелю. Він не захищає від витоків DNS, поки тунель активний (це окреме питання, яке охоплює конфігурація DNS VPN), і не скасовує заднім числом витік даних, які пройшли до того, як тунель було піднято. Завжди запускайте VPN перед початком дії, що залежить від VPN — kill switch не має пам'яті.
Джерела
Аудит Mullvad (Cure53 червень 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Аудити без логів Proton VPN: protonvpn.com/blog/no-logs-audit. Аудити NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Аудити Lightway ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (шукайте 'Always-On VPN'). Усі URL-адреси відкрито 2026-04-30.