Tải về
Quay lại blog
Kỹ thuật··6 phút đọc

VPN Tunnel là gì và hoạt động như thế nào?

Ngôn ngữ: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнська简体中文繁體中文

"Tunnel" là một trong những từ ngành VPN dùng liên tục nhưng hiếm khi giải thích. Đây là một phép ẩn dụ hay, và khi bạn hiểu rõ nó, phần còn lại về cách VPN hoạt động sẽ tự nhiên vào chỗ.

Trả lời ngắn gọn: VPN tunnel là kết nối được mã hóa giữa thiết bị của bạn và máy chủ VPN. Dữ liệu của bạn được bọc bên trong một lớp ngoài và bị xáo trộn, để mạng bạn đang dùng có thể truyền tải mà không đọc được nội dung hay biết điểm đến thực sự. "Tunnel" chính là hành lang được bảo vệ đó đi xuyên qua một mạng vốn hoàn toàn mở.

Điểm chính

  • VPN tunnel = đóng gói (bọc dữ liệu) + mã hóa (xáo trộn nội dung).
  • Nó che giấu lưu lượng của bạn khỏi mạng nội bộ và nhà cung cấp Internet, đồng thời ẩn địa chỉ IP của bạn với các trang web bạn truy cập.
  • không che giấu hoạt động của bạn trên một trang web bạn đã đăng nhập, và không khiến bạn trở nên ẩn danh.
  • "Tunnel" được tạo ra và bảo mật bởi một giao thức VPN; mặc định hiện đại là WireGuard.

VPN tunnel là gì

Hãy hình dung Internet mở như một con đường công cộng nhộn nhịp. Thông thường dữ liệu của bạn di chuyển trên con đường đó hoàn toàn lộ thiên — bất kỳ ai đứng dọc đường (mạng Wi-Fi bạn đang dùng, nhà cung cấp Internet) đều có thể thấy bên ngoài mỗi gói tin: nó đi đâu và đại khái là gì.

VPN tunnel là một hành lang có mái che và khóa chặt được xây dựng dọc theo con đường đó, chạy từ thiết bị của bạn đến máy chủ VPN. Dữ liệu của bạn đi qua hành lang thay vì phơi ra ngoài trời. Người quan sát có thể thấy rằng có gì đó đang di chuyển giữa bạn và máy chủ VPN, nhưng không biết đó là gì hay sẽ đi đến đâu sau đó. Ở đầu kia, máy chủ VPN mở gói dữ liệu của bạn và gửi đến đích thực sự.

Không có gì thay đổi về mặt vật lý trên con đường. Tunnel được tạo bằng phần mềm — cụ thể là hai kỹ thuật phối hợp cùng nhau.

VPN tunnel hoạt động như thế nào

1. Đóng gói (bọc dữ liệu). Dữ liệu Internet thông thường của bạn được chia thành các gói tin. VPN lấy từng gói tin và đặt nó bên trong một gói tin khác — giống như niêm phong một lá thư vào trong một phong bì thứ hai. Phong bì ngoài chỉ ghi địa chỉ máy chủ VPN. Bất kỳ ai đọc phong bì ngoài chỉ thấy một gói tin đi đến VPN, và không biết gì về lá thư gốc bên trong.

2. Mã hóa (khóa dữ liệu). Đóng gói đơn thuần chỉ che giấu địa chỉ. Mã hóa xáo trộn nội dung để ngay cả khi ai đó mở phong bì ngoài, phong bì trong vẫn không thể đọc được nếu không có khóa. Chỉ thiết bị của bạn và máy chủ VPN mới giữ các khóa này, và chúng thỏa thuận với nhau trong một quá trình thiết lập ngắn gọn gọi là bắt tay khi tunnel được thiết lập.

Kết hợp lại: dữ liệu của bạn được bọc để thế giới bên ngoài không thấy đích đến thực sự, và bị xáo trộn để không đọc được nội dung. Sự kết hợp đó chính là tunnel.

Khi tunnel đang hoạt động, mọi lưu lượng ứng dụng được định tuyến qua nó đều được xử lý như vậy. Khi tunnel bị ngắt, lưu lượng ngừng được bảo vệ — đó chính xác là lý do tại sao mọi người quan tâm đến điều gì xảy ra vào thời điểm đó; chúng tôi đề cập đến điều đó trong VPN kill switch trên iPhone.

Tunnel che giấu gì — và không che giấu gì

Đây là điểm cần nói thẳng, vì "tunnel" có thể nghe giống như áo tàng hình. Thực ra không phải vậy.

VPN tunnel che giấu:

  • Lưu lượng của bạn khỏi mạng nội bộ — Wi-Fi quán cà phê hay khách sạn không đọc được bạn đang làm gì.
  • Lưu lượng của bạn khỏi nhà cung cấp Internet — họ chỉ thấy dữ liệu mã hóa đi đến máy chủ VPN, không phải các trang web bạn truy cập.
  • Địa chỉ IP của bạn khỏi các trang web bạn kết nối — chúng thấy địa chỉ máy chủ VPN thay vì địa chỉ của bạn.

VPN tunnel không che giấu:

  • Những gì bạn làm trên một trang web bạn đã đăng nhập. Nếu bạn đăng nhập vào một tài khoản, dịch vụ đó biết đó là bạn, dù có tunnel hay không.
  • Danh tính của bạn theo bất kỳ nghĩa tuyệt đối nào. Tunnel cải thiện quyền riêng tư của bạn; nó không khiến bạn ẩn danh, và bất kỳ nhà cung cấp nào hứa hẹn làm bạn vô hình trên mạng là đang quảng cáo quá mức. Quyền riêng tư có nhiều lớp, không phải tuyệt đối — đọc thêm về mindset đó trong chính sách no-logs thực sự có nghĩa gì.
  • Những thứ ngoài tầng mạng, như browser fingerprinting hay những gì bạn tự nguyện chia sẻ.

Nếu bạn vẫn đang cân nhắc những đánh đổi đó có xứng đáng với bạn không, liệu bạn có cần VPN không sẽ giúp bạn đi qua quyết định đó.

Giao thức tạo nên tunnel

VPN tunnel được tạo ra và bảo mật bởi một giao thức — bộ quy tắc đã thỏa thuận về cách thực hiện đóng gói, mã hóa và bắt tay. Giao thức quyết định tunnel nhanh đến đâu, kết nối lại nhanh thế nào, và mật mã học có hiện đại không.

Giao thức mặc định hiện tại đáng biết là WireGuard: một giao thức gọn nhẹ, nhanh với codebase nhỏ — điều quan trọng vì ít code hơn có nghĩa là ít chỗ cho lỗi ẩn náu hơn và kết nối lại nhanh hơn trên điện thoại liên tục chuyển mạng. Các giao thức cũ hơn như OpenVPN và IKEv2 vẫn tồn tại và có công dụng của chúng. Chúng tôi so sánh trực tiếp trong bài so sánh giao thức của chúng tôi.

Ghi chú về split tunneling

Vì mọi người thường tìm kiếm nó cùng với "VPN tunnel", đáng nói một dòng. Split tunneling có nghĩa là định tuyến một số ứng dụng qua tunnel và để các ứng dụng khác dùng kết nối bình thường. Nó hữu ích khi bạn muốn, chẳng hạn, trình duyệt được bảo vệ nhưng ứng dụng ngân hàng hay thiết bị nội bộ bỏ qua VPN. Đây là tính năng thực tế trên một số nền tảng, tuy nhiên iOS xử lý định tuyến cấp ứng dụng hạn chế hơn desktop, vì vậy đừng kỳ vọng một nút bật/tắt split-tunnel kiểu desktop trên iPhone.

Ở hầu hết các quốc gia, sử dụng VPN — và do đó là VPN tunnel — hoàn toàn hợp pháp và đó chính xác là những gì các ngân hàng và doanh nghiệp dùng để bảo vệ kết nối. Một số ít quốc gia hạn chế VPN; chúng tôi đề cập bức tranh đó trong hướng dẫn về tính hợp pháp của VPN. Về mặt an toàn, bản thân tunnel là phần an toàn. Điều khác nhau là liệu nhà cung cấp ở đầu kia có đáng tin cậy với lưu lượng mà họ có thể thấy hay không — đó là câu hỏi về chính sách ghi log, không phải về tunneling.

Câu hỏi thường gặp

VPN và tunnel khác nhau như thế nào? Tunnel là hành lang mã hóa; VPN là toàn bộ dịch vụ tạo ra và vận hành nó. "VPN tunnel" đặc biệt chỉ kết nối được bảo vệ giữa thiết bị của bạn và máy chủ VPN.

VPN tunneling làm gì? Nó bọc dữ liệu của bạn để mạng bên ngoài không thấy đích đến thực sự và mã hóa để nội dung không thể đọc được — bảo vệ lưu lượng của bạn trong quá trình truyền tải và ẩn IP của bạn khỏi các trang web bạn kết nối.

Sử dụng VPN tunnel có hợp pháp không? Ở hầu hết các quốc gia, có. Một số ít hạn chế hoặc cấm VPN; những gì bạn làm bên trong tunnel vẫn phải tuân theo pháp luật.

Split tunneling là gì? Chỉ định tuyến một số ứng dụng qua VPN trong khi các ứng dụng khác dùng kết nối bình thường — tiện khi bạn muốn bảo vệ có chọn lọc. Hỗ trợ khác nhau tùy nền tảng, và iOS hạn chế hơn desktop.

Kết luận

VPN tunnel chỉ là hai ý tưởng phối hợp với nhau: bọc dữ liệu để đích đến bị ẩn, và xáo trộn để nội dung không thể đọc được. Điều đó mang lại cho bạn sự bảo vệ thực sự khỏi mạng bạn đang dùng và khỏi nhà cung cấp Internet, đồng thời ẩn IP của bạn khỏi các trang web — mà không khiến bạn ẩn danh. Giao thức xây dựng tunnel, và WireGuard là mặc định hiện đại.

Snap VPN chạy trên WireGuard, không yêu cầu tài khoản hay email của bạn, và không lưu log lưu lượng. Có trên App Store.

Daniel Brooks
Networking & protocols writer