คู่มือ·12 พ.ค. 2569·9 นาที

VPN คืออะไร? คู่มือฉบับสมบูรณ์

ภาษา: English العربية Deutsch Español فارسی Français हिन्दी Bahasa Indonesia Italiano 日本語 한국어 Polski Português Русский Türkçe Українська Tiếng Việt 简体中文繁體中文

เครือข่ายส่วนตัวเสมือน — VPN — คือบริการที่ส่งผ่านการรับส่งข้อมูล อินเทอร์เน็ตของอุปกรณ์ผ่านอุโมงค์ที่เข้ารหัสไปยังเซิร์ฟเวอร์ที่ ผู้ให้บริการดูแล คู่มือนี้อธิบายว่า VPN ทำงานในระดับเทคนิคอย่างไร ทำอะไรได้และทำอะไรไม่ได้ในด้านความเป็นส่วนตัวและความปลอดภัย และจะประเมินตัวเลือกที่มีอยู่ได้อย่างไร

VPN ทำอะไรได้จริง

แอป VPN สร้างอุโมงค์เครือข่ายระหว่างอุปกรณ์ของผู้ใช้กับเซิร์ฟเวอร์ ที่อยู่ระยะไกล การรับส่งข้อมูลที่มุ่งสู่อินเทอร์เน็ตทั้งหมดจากอุปกรณ์ จะถูกห่อหุ้ม เข้ารหัส และส่งผ่านอุโมงค์นี้ไปยังเซิร์ฟเวอร์ ซึ่งจากนั้น จะส่งต่อการรับส่งข้อมูลไปยังปลายทางบนอินเทอร์เน็ตสาธารณะ การรับส่งข้อมูลขากลับจะเดินทางตามเส้นทางย้อนกลับ

การจัดวางแบบนี้นำมาซึ่งการเปลี่ยนแปลงในทางปฏิบัติสองอย่าง อย่างแรก เครือข่ายที่อยู่ระหว่างอุปกรณ์กับเซิร์ฟเวอร์ VPN — รวมถึง Wi-Fi ในพื้นที่ ผู้ให้บริการอินเทอร์เน็ต (ISP) และเครือข่ายส่งผ่านใด ๆ — จะเห็นเพียงการรับส่งข้อมูลที่เข้ารหัสระหว่างอุปกรณ์กับเซิร์ฟเวอร์ VPN เท่านั้น อย่างที่สอง อินเทอร์เน็ตสาธารณะจะเห็นคำขอที่มาจากที่อยู่ IP ของเซิร์ฟเวอร์ VPN แทนที่จะเป็นที่อยู่จริงของอุปกรณ์

ดังนั้น VPN จึงเปลี่ยนว่าใครสามารถมองเห็นการรับส่งข้อมูลได้ และที่อยู่ใด ที่บริการระยะไกลมองเห็น แต่โดยตัวมันเองแล้ว VPN ไม่ได้ทำให้การเชื่อมต่อ นิรนาม และไม่ได้กำจัดการติดตามทุกรูปแบบ

VPN ทำงานอย่างไร

กลไกหลักคือการห่อหุ้มที่ผสานเข้ากับการเข้ารหัส เมื่อไคลเอนต์ VPN ทำงานอยู่ ระบบปฏิบัติการจะส่งแพ็กเก็ตขาออกผ่านอินเทอร์เฟซเครือข่าย เสมือนที่แอป VPN สร้างขึ้น แต่ละแพ็กเก็ตจะถูกห่อไว้ภายในแพ็กเก็ตใหม่ — ห่อหุ้ม — และเข้ารหัสด้วยกุญแจเซสชันที่ตกลงกันไว้ตอนที่สร้าง การเชื่อมต่อ

การสร้างอุโมงค์

การห่อหุ้มหมายความว่าแพ็กเก็ตต้นฉบับ — รวมถึงที่อยู่ปลายทางและ เนื้อหาของมัน — จะกลายเป็นเนื้อหาของแพ็กเก็ตชั้นนอกที่ระบุที่อยู่ไปยัง เซิร์ฟเวอร์ VPN แพ็กเก็ตชั้นนอกเดินทางผ่านอินเทอร์เน็ตสาธารณะไปยัง เซิร์ฟเวอร์ ซึ่งจะถอดรหัสเนื้อหาและส่งต่อแพ็กเก็ตต้นฉบับออกไป

การเข้ารหัส

โปรโตคอล VPN สมัยใหม่ใช้อัลกอริทึมการเข้ารหัสแบบยืนยันตัวตน เช่น ChaCha20-Poly1305 หรือ AES-GCM กุญแจเซสชันจะถูกตกลงกันในเวลาที่ เชื่อมต่อโดยใช้โปรโตคอลแลกเปลี่ยนกุญแจที่สร้างบนการเข้ารหัสกุญแจ สาธารณะ สิ่งนี้รับประกันว่าผู้สังเกตการณ์ที่อยู่กลางการเชื่อมต่อจะไม่ สามารถอ่านการรับส่งข้อมูลที่ห่อหุ้มไว้หรือแก้ไขมันได้โดยไม่ถูกตรวจพบ

การกำหนดเส้นทางและ DNS

นอกเหนือจากการเข้ารหัสแล้ว แอป VPN ยังกำหนดค่าตารางเส้นทางของ ระบบปฏิบัติการใหม่ เพื่อให้การรับส่งข้อมูลทั้งหมด — หรือในบางการตั้งค่า เฉพาะปลายทางที่กำหนดเท่านั้น — ถูกส่งผ่านอุโมงค์ โดยทั่วไปคำขอ DNS ก็จะถูกส่งผ่าน VPN ด้วยเช่นกัน เพื่อป้องกันการรั่วไหลไปยังเครือข่าย ในพื้นที่

กรณีการใช้งานทั่วไป

VPN ตอบโจทย์วัตถุประสงค์ที่แตกต่างกันหลายอย่าง และการตั้งค่าผู้ให้บริการ ที่เหมาะสมขึ้นอยู่กับว่าอันใดเป็นแรงจูงใจหลัก

ความเป็นส่วนตัวจากเครือข่ายในพื้นที่ การเชื่อมต่อ Wi-Fi สาธารณะ — ร้านกาแฟ โรงแรม สนามบิน — อาจเปิดเผยการรับส่งข้อมูล ที่ไม่ได้เข้ารหัสให้กับผู้ใช้คนอื่นบนเครือข่ายเดียวกัน VPN กำจัดการเปิดเผยนี้เพราะการรับส่งข้อมูลถูกเข้ารหัสก่อนที่จะออกจาก อุปกรณ์
ความเป็นส่วนตัวจากผู้ให้บริการอินเทอร์เน็ต ISP สามารถเห็นปลายทางของการค้นหา DNS ที่ไม่ได้เข้ารหัสและข้อมูลเมตา ของการเชื่อมต่อ TLS VPN จะย้ายการมองเห็นนี้จาก ISP ไปยังผู้ให้บริการ VPN
การเลือกตำแหน่งทางภูมิศาสตร์ บางบริการจำกัดการเข้าถึง ตามที่อยู่ IP ของผู้ใช้ VPN ช่วยให้ผู้ใช้ดูเหมือนกำลังเชื่อมต่อจาก ประเทศที่เซิร์ฟเวอร์ VPN ตั้งอยู่
การเข้าถึงเครือข่ายสำหรับองค์กร VPN ขององค์กร ถูกใช้เพื่อให้พนักงานที่ทำงานทางไกลเข้าถึงบริการภายในที่เป็นส่วนตัว ซึ่งไม่ได้เปิดเผยต่ออินเทอร์เน็ตสาธารณะ

โปรโตคอลใน VPN สมัยใหม่

โปรโตคอลกำหนดว่าอุโมงค์ถูกสร้างขึ้นอย่างไร ใช้อัลกอริทึมการเข้ารหัสใด และการเชื่อมต่อมีพฤติกรรมอย่างไรเมื่อเกิดการสูญหายของแพ็กเก็ตหรือ การเปลี่ยนแปลงเครือข่าย โปรโตคอลที่พบบ่อยที่สุดในบริการ VPN สำหรับ ผู้บริโภคคือ WireGuard, OpenVPN และ IKEv2/IPsec

WireGuard เป็นโปรโตคอลที่ใหม่ที่สุดในสามตัวนี้ มันใช้ชุดเล็ก ๆ ของ องค์ประกอบการเข้ารหัสสมัยใหม่ ใช้โค้ดประมาณสี่พันบรรทัด และถูกรวม เข้ากับเคอร์เนล Linux รวมถึงระบบปฏิบัติการสำหรับผู้บริโภคส่วนใหญ่ การออกแบบของมันให้ความสำคัญกับความเรียบง่าย ประสิทธิภาพ และพื้นที่ ตรวจสอบที่เล็ก

OpenVPN เก่ากว่าและยืดหยุ่นกว่ามาก: มันรองรับชุดรหัส วิธีส่งผ่าน และ ตัวเลือกการตั้งค่าจำนวนมาก ความยืดหยุ่นนี้แลกมาด้วยความซับซ้อน OpenVPN ยังคงถูกนำไปใช้อย่างแพร่หลาย โดยเฉพาะในสภาพแวดล้อมขององค์กร

IKEv2/IPsec ถูกฝังอยู่ใน iOS, macOS และ Windows มันทำงานได้ดีบน อุปกรณ์มือถือและจัดการการเปลี่ยนแปลงเครือข่าย — เช่น การสลับระหว่าง Wi-Fi กับเครือข่ายมือถือ — ได้อย่างราบรื่น

การเปรียบเทียบโดยละเอียดของสองโปรโตคอลที่พบบ่อยที่สุดสำหรับผู้บริโภค มีอยู่ใน การเปรียบเทียบ WireGuard กับ OpenVPNของเรา

VPN เทียบกับพร็อกซีและ Tor

บางครั้ง VPN ถูกสับสนกับพร็อกซีและกับเครือข่าย Tor กลไกและแบบจำลอง ภัยคุกคามของแต่ละอย่างแตกต่างกัน

เซิร์ฟเวอร์พร็อกซีส่งต่อการรับส่งข้อมูลของแอปพลิเคชันเฉพาะ — ที่พบบ่อย ที่สุดคือ HTTP — ไปยังปลายทางในนามของผู้ใช้ โดยทั่วไปพร็อกซีไม่ได้ เข้ารหัสการรับส่งข้อมูลด้วยตัวเอง และทำงานในระดับแอปพลิเคชันมากกว่า ระดับเครือข่าย

Tor คือเครือข่ายนิรนามที่ส่งผ่านการรับส่งข้อมูลผ่านรีเลย์สามตัวที่เลือก จากชุดที่ดำเนินการโดยอาสาสมัคร โดยเข้ารหัสแต่ละช่วงแยกกัน Tor ให้ความนิรนามต่อเครือข่าย — ไม่มีรีเลย์ตัวใดตัวหนึ่งที่สามารถเห็นทั้ง ต้นทางและปลายทาง — แต่มันช้ากว่า VPN และไม่เหมาะกับงานที่ต้องการ ปริมาณการรับส่งข้อมูลสูง

VPN ให้การเข้ารหัสต่อเครือข่ายในพื้นที่และเปลี่ยนที่อยู่ IP ที่มองเห็นได้ แต่มันย้ายความไว้วางใจไปยังผู้ให้บริการ VPN ซึ่งเห็นที่อยู่จริงของผู้ใช้ และปลายทางที่ผู้ใช้เข้าถึง

ข้อจำกัดที่ควรเข้าใจ

VPN เป็นองค์ประกอบหนึ่งของแนวทางความเป็นส่วนตัวในภาพรวมที่กว้างกว่า และไม่ควรถูกมองว่าเป็นทางออกที่สมบูรณ์ มีข้อจำกัดสำคัญหลายอย่างที่ ต้องคำนึงถึง

ผู้ให้บริการ VPN เป็นจุดความไว้วางใจใหม่ ในที่ที่ ก่อนหน้านี้ ISP มองเห็นการเชื่อมต่อได้ ตอนนี้ผู้ให้บริการ VPN มีการ มองเห็นที่เทียบเท่ากัน ดังนั้นความน่าเชื่อถือของนโยบายไม่เก็บบันทึก และการออกแบบโครงสร้างพื้นฐานของผู้ให้บริการจึงมีความสำคัญ คู่มือของเรา เกี่ยวกับ นโยบาย VPN แบบไม่เก็บบันทึก อธิบายว่าคำกล่าวอ้างเช่นนี้หมายความว่าอย่างไรจริง ๆ

ความปลอดภัยของอุปกรณ์ปลายทางไม่เปลี่ยนแปลง VPN ไม่ได้ป้องกันมัลแวร์ที่ทำงานอยู่บนอุปกรณ์ การโจมตีแบบฟิชชิง ส่วนขยาย เบราว์เซอร์ที่ถูกบุกรุก หรือการติดตามโดยแอปพลิเคชันที่ได้รับสิทธิ์เข้าถึง ข้อมูลของผู้ใช้ไปแล้ว

การติดตามในระดับเว็บไซต์ยังดำเนินต่อไป VPN เปลี่ยน ที่อยู่ IP ที่บริการระยะไกลมองเห็น แต่ไม่ส่งผลต่อคุกกี้ ลายนิ้วมือ เบราว์เซอร์ หรือบัญชีที่ผู้ใช้ลงชื่อเข้าใช้อยู่

การเลือกผู้ให้บริการ

เมื่อประเมินบริการ VPN มีหลายปัจจัยที่ควรพิจารณา

การรองรับโปรโตคอล ผู้ให้บริการสมัยใหม่ควรรองรับ WireGuard หรือ IKEv2/IPsec OpenVPN ยังคงเป็นตัวเลือกที่สมเหตุสมผล เพื่อความเข้ากันได้
นโยบายความเป็นส่วนตัวและประวัติการตรวจสอบนโยบาย ความเป็นส่วนตัวที่สั้นและเฉพาะเจาะจงพร้อมผลการตรวจสอบอิสระนั้น น่าเชื่อถือกว่าข้อความโฆษณาที่อ้างว่า “การเข้ารหัสระดับการทหาร” โดยไม่มีรายละเอียดเพิ่มเติม
ข้อกำหนดเรื่องบัญชี บริการที่ทำงานโดยไม่มีบัญชี ผู้ใช้จะเก็บข้อมูลน้อยกว่าและลดปริมาณข้อมูลที่อาจถูกเปิดเผยในกรณีที่ เกิดการรั่วไหล
การใช้งานคิลสวิตช์ คิลสวิตช์ที่ทำงานได้จริงจะป้องกัน การเปิดเผยการรับส่งข้อมูลหากอุโมงค์ตัดการเชื่อมต่อ ภาพรวมของเรา เกี่ยวกับ คิลสวิตช์ VPN อธิบายวิธีตรวจสอบว่ามันทำงานถูกต้องหรือไม่
เขตอำนาจศาล ประเทศที่ผู้ให้บริการจดทะเบียนส่งผล ต่อระบบกฎหมายที่ผู้ให้บริการดำเนินงานภายใต้

Snap VPN ถูกสร้างขึ้นบนหลายหลักการเหล่านี้: โปรโตคอลเดียว ไม่มีบัญชีผู้ใช้ คิลสวิตช์ ที่เปิดใช้งานโดยค่าเริ่มต้น และ เครือข่ายเซิร์ฟเวอร์ที่คัดสรร ครอบคลุม สามภูมิภาคแทนที่จะเป็นตำแหน่งนับสิบที่ใช้งานน้อย ขั้นตอนการตั้งค่า โดยละเอียดมีบันทึกไว้ใน คู่มือการตั้งค่าบน iPhone

The Snap VPN Team

Editorial