Jak wybrać i skonfigurować VPN, który naprawdę działa
Praktyczny poradnik: jak wybrać VPN, który protokół ustawić i jak go skonfigurować, żeby faktycznie chronił twoją prywatność. Bez reklam, bez nazw - same konkrety.
Powrót do bloga
Większość ludzi instaluje VPN i myśli, że stali się niewidoczni. Taka cyfrowa peleryna niewidzialności. Klik, połącz, ikonka kłódeczki - i gotowe, jestem anonimowy, prawda?
Nic bardziej mylnego. VPN to narzędzie, a jak każde narzędzie - działa tylko wtedy, kiedy wiesz, jak go użyć i poprawnie skonfigurujesz. Źle ustawiony VPN daje ci wyłącznie fałszywe poczucie bezpieczeństwa. I to jest gorsze niż brak VPN w ogóle, bo przynajmniej bez niego wiesz, że jesteś na widoku.
W tym poradniku wyjaśniam, co VPN naprawdę robi, jak wybrać dostawcę, który nie jest oszustwem, jaki protokół ustawić i jak załatać luki w prywatności, o których większość ludzi nawet nie myśli.
Co VPN faktycznie robi (a czego nie)
Potrzebujesz przypomnienia? Mamy proste wyjaśnienie, czym jest VPN. W skrócie: VPN tworzy zaszyfrowany tunel między twoim urządzeniem a serwerem gdzieś na świecie. Twój dostawca internetu nie widzi, co robisz, a strony internetowe widzą adres IP serwera VPN zamiast twojego.
A teraz to, czego VPN nie robi:
Nie daje ci anonimowości. Zaloguj się na konto Google przez VPN, a Google dalej wie, kim jesteś. VPN ukrywa twój adres IP, nie twoją tożsamość.
Nie chroni przed phishingiem ani złośliwym oprogramowaniem. Kliknij fałszywy link do banku, a VPN z przyjemnością zaszyfruje ten ruch prosto do atakującego. Chroni tunel, nie to, co przez niego przepływa.
Nie ukrywa cię przed dostawcą VPN. Przenosisz zaufanie ze swojego dostawcy internetu na dostawcę VPN. Zamiast tego, żeby twój dostawca internetu widział wszystko, teraz twój dostawca VPN może to robić. Dlatego tak ważne jest, kogo wybierzesz.
Więc do czego się przydaje? Do tego, żeby twój dostawca internetu nie logował twojej historii przeglądania. Do ochrony w publicznych sieciach WiFi. Do omijania blokad geograficznych. Naprawdę przydatne rzeczy - tylko nie licz na cuda.
Jak wybrać dostawcę VPN (i nie dać się nabrać)
Rynek VPN to jeden wielki bałagan. Fałszywe recenzje, agresywny marketing i rankingi “10 najlepszych VPN”, które po cichu należą do firm VPN. Oto, na co naprawdę warto zwrócić uwagę.
Polityka bez logów - ale zweryfikowana. Każdy dostawca twierdzi, że nie zbiera logów. To jest na każdej stronie głównej. Pytanie brzmi: czy mogą to udowodnić? Szukaj takich, którzy potwierdzają to niezależnymi audytami bezpieczeństwa przeprowadzonymi przez renomowane firmy. Audyt oznacza, że zewnętrzna firma faktycznie zbadała ich infrastrukturę i potwierdziła, że nie przechowują danych użytkowników. Jeszcze lepiej - niektórzy dostawcy uruchamiają serwery wyłącznie w RAM, więc po restarcie wszystko jest czyszczone. Brak dysków twardych oznacza brak danych do przejęcia.
Aplikacje z otwartym kodem źródłowym. Jeśli aplikacja ma otwarty kod, każdy może zajrzeć do niego i sprawdzić, czy robi to, co firma obiecuje. Żadnego ukrytego śledzenia, żadnego tajnego logowania. Zamknięty kod to czarna skrzynka. Nie znaczy, że automatycznie jest źle, ale otwarty kod to mocny sygnał zaufania.
Unikaj darmowych VPN. Jeśli nie płacisz, to ty jesteś produktem. Darmowe VPN były przyłapywane na wstrzykiwaniu reklam do stron, instalowaniu trackerów, a nawet sprzedawaniu przepustowości twojego urządzenia osobom trzecim. To, przed czym chcesz się chronić, jest dosłownie ich modelem biznesowym.
Anonimowa płatność. Najlepsi dostawcy przyjmują kryptowaluty, gotówkę albo karty podarunkowe. Jeśli zależy ci na prywatności, to płacenie kartą na swoje nazwisko trochę mija się z celem. Nie każdy tego potrzebuje - jeśli chcesz tylko ochrony w kawiarni, normalna płatność wystarczy.
Własne serwery. Czy dostawca jest właścicielem swoich serwerów, czy wynajmuje je od centrów danych? Własny sprzęt to pełna kontrola. Wynajem dodaje kolejną stronę, która potencjalnie może uzyskać dostęp do infrastruktury albo odpowiedzieć na wnioski prawne.
Jurysdykcja: wybierz odpowiedni kraj
Kraj, w którym zarejestrowany jest twój dostawca VPN, decyduje o tym, jakie prawo obowiązuje w stosunku do twoich danych.
Sojusz Five Eyes (USA, Wielka Brytania, Kanada, Australia, Nowa Zelandia) to partnerstwo wywiadowcze, które swobodnie wymienia się danymi. Jeśli twój dostawca VPN ma siedzibę w jednym z tych krajów, nakaz sądowy z dowolnego z nich może potencjalnie wymusić ujawnienie danych. Dalej jest Nine Eyes (dochodzą Dania, Francja, Holandia, Norwegia) i Fourteen Eyes (dochodzą Niemcy, Belgia, Włochy, Hiszpania, Szwecja). Im dalej po liście, tym luźniejsza współpraca, ale nadal istnieje.
Czy to znaczy, że nigdy nie powinieneś korzystać z VPN z siedzibą w tych krajach? Niekoniecznie. Dostawca, który naprawdę nie zbiera logów, nie ma czego przekazać niezależnie od jurysdykcji. Ale przy równych warunkach lepiej szukać dostawców w krajach przyjaznych prywatności, takich jak Szwajcaria, Islandia, Panama czy Rumunia - miejsca z silnym prawem do prywatności i bez członkostwa w żadnym z sojuszy Eyes.
Jedna ważna rzecz, którą ludzie często mylą: gdzie dostawca jest zarejestrowany (jurysdykcja prawna) a gdzie znajduje się serwer, z którym się łączysz. Jurysdykcja dostawcy określa, na jakie wnioski prawne musi odpowiadać. Lokalizacja serwera określa, skąd wydaje się pochodzić twój ruch. Jeśli musisz ustalić priorytety, jurysdykcja dostawcy jest ważniejsza - to tam wywierana jest presja prawna.
Protokoły VPN: który wybrać
Protokół decyduje o szyfrowaniu, szybkości i faktycznym poziomie bezpieczeństwa.
| Protokół | Szybkość | Bezpieczeństwo | Ocena |
|---|---|---|---|
| WireGuard | Wysoka | Silne | Zalecany |
| OpenVPN | Średnia | Silne | Solidna alternatywa |
| IKEv2/IPsec | Wysoka | Dobre | Dobry na telefon |
| L2TP/IPsec | Niska | Przyzwoite | Przestarzały |
| PPTP | Wysoka | Słabe | Omijaj |
WireGuard to zdecydowany zwycięzca. Około 4000 linii kodu w porównaniu z ponad 100 000 u OpenVPN. Mniej kodu to mniej błędów, łatwiejszy audyt i nowoczesna kryptografia (ChaCha20, Curve25519). Jest szybszy, natychmiast odnawia połączenie na telefonie i zużywa mniej baterii. Jeśli twój dostawca go obsługuje, korzystaj.
OpenVPN to niezawodna alternatywa - sprawdzony w boju, szeroko wspierany, solidny z AES-256. Po prostu wolniejszy i cięższy.
IKEv2 dobrze radzi sobie z przełączaniem sieci, więc jest solidnym wyborem na telefon. Wbudowany w iOS, macOS i Windows.
Reszta? Odpuść sobie. PPTP ma znane luki z początku lat 2000. Jeśli twój dostawca nadal go oferuje, to sygnał ostrzegawczy.
Najlepsze rozwiązanie: własny serwer WireGuard
Oto problem z komercyjnymi dostawcami VPN - nadal ufasz komuś innemu w kwestii swojego ruchu sieciowego. Nawet tym najlepszym. Czytasz ich politykę prywatności, sprawdzasz raporty z audytów i masz nadzieję, że wszystko się zgadza.
Chcesz całkowicie wyeliminować ten problem z zaufaniem? Postaw własny serwer VPN.
Wynajmij mały VPS w kraju przyjaznym prywatności, zainstaluj WireGuard, podłącz swoje urządzenia. Twój ruch przechodzi przez zaszyfrowany tunel do serwera, który kontrolujesz tylko ty. Żadnych pośredników, żadnych polityk logowania, o które trzeba się martwić. Minimalistyczny design WireGuard oznacza, że konfiguracja to zaledwie kilka linii, a nie strony ustawień.
Kompromis jest taki: z komercyjnym VPN twój ruch miesza się z ruchem tysięcy użytkowników na tym samym IP. Na własnym serwerze jesteś jedynym użytkownikiem. Do ochrony przed dostawcą internetu i zabezpieczenia w publicznych sieciach WiFi to w zupełności wystarcza. Jeśli zależy ci na anonimowości w tłumie, lepiej sprawdzi się komercyjny dostawca albo Tor.
Kill Switch: twoja siatka bezpieczeństwa
Połączenia VPN czasem się zrywają. WiFi się zacina, serwer się restartuje, telefon przełącza się na inną sieć. I w momencie, kiedy VPN odpada, ruch leci prosto przez twoje zwykłe połączenie z prawdziwym IP na widoku. Nawet kilka sekund wystarczy, żeby wyciekły zapytania DNS i ruch w tle.
Kill Switch blokuje cały ruch internetowy w momencie, gdy VPN się rozłączy. Nic nie wchodzi i nic nie wychodzi, dopóki połączenie nie zostanie przywrócone. Traktuj to jako wyłącznik awaryjny dla twojej prywatności.
Znajdź to ustawienie w aplikacji VPN i włącz je. Niektórzy dostawcy nazywają to “blokada sieci” albo “stałe VPN”. Możesz też skonfigurować to na poziomie systemu za pomocą reguł zapory sieciowej - tak jest pewniej, bo działa nawet wtedy, gdy aplikacja VPN się wysypie.
Przetestuj to. Połącz się z VPN, a potem celowo go odłącz. Jeśli nadal możesz przeglądać internet, twój Kill Switch nie działa.
Dzielony tunel: kieruj tylko to, co potrzebujesz
Przepuszczanie wszystkiego przez VPN spowalnia połączenie i może zepsuć lokalne usługi albo wywołać blokady na platformach streamingowych. Dzielony tunel pozwala ci wybrać, co idzie przez VPN, a co łączy się bezpośrednio.
Kilka praktycznych przykładów: przeglądanie stron i komunikatory przez VPN, ale streaming wideo bezpośrednio. Aplikacje służbowe przez VPN, ale prywatne przeglądanie bezpośrednio. Większość aplikacji VPN obsługuje kierowanie po aplikacjach (wybierasz, które aplikacje korzystają z VPN - prostsze) lub kierowanie po adresach (wskazujesz, które adresy mają iść przez VPN - bardziej precyzyjne).
Kompromis jest oczywisty: wszystko, co wyłączysz z VPN, nie jest przez niego chronione. Zastanów się, co faktycznie wymaga ochrony. W razie wątpliwości kieruj wszystko przez VPN i wyłączaj tylko to, co sprawia problemy.
DNS: wyciek prywatności, o którym nikt nie mówi
Możesz mieć najlepszy VPN na świecie, a i tak twoja cała historia przeglądania wycieknie przez DNS. DNS tłumaczy nazwy stron na adresy IP, a domyślnie te zapytania często lecą do serwerów twojego dostawcy internetu - nieszyfrowane i w pełni logowane.
Wiele aplikacji VPN obsługuje to automatycznie, kierując DNS przez tunel. Ale nie wszystkie tak robią, a błędy w konfiguracji są częste. Jeśli twoje zapytania DNS wyciekają poza tunel, dostawca internetu widzi każdą stronę, którą odwiedzasz, mimo że reszta twojego ruchu jest zaszyfrowana.
Napraw to szyfrowanym DNS. Dwie główne opcje: DNS over HTTPS (DoH) wysyła zapytania przez zwykłe połączenia HTTPS, przez co trudno go zablokować, bo wygląda jak normalny ruch w sieci. DNS over TLS (DoT) używa dedykowanego szyfrowanego połączenia - odrobinę szybszy, ale łatwiejszy do zidentyfikowania i zablokowania. Oba są nieskończenie lepsze niż zwykły DNS.
Nie korzystaj z DNS swojego dostawcy internetu. Wybierz dostawcę DNS nastawionego na prywatność, który nie loguje zapytań i obsługuje szyfrowane DNS. Sprawdź nasze rekomendacje DNS, żeby znaleźć konkretne propozycje.
Przetestuj wycieki. Po połączeniu z VPN wyszukaj “DNS leak test” i uruchom taki test. Te narzędzia pokazują, które serwery DNS obsługują twoje zapytania. Jeśli przy aktywnym VPN widzisz serwery swojego dostawcy internetu, masz wyciek. Napraw konfigurację DNS, zanim zrobisz cokolwiek innego.
Dodatkowe wskazówki
Sprawdź wycieki IP. Po połączeniu wyszukaj “what is my IP” w wyszukiwarce. Jeśli widzisz swój prawdziwy adres IP, coś jest nie tak. Przetestuj też wycieki WebRTC - niektóre przeglądarki ujawniają twój prawdziwy IP przez WebRTC nawet przy aktywnym VPN.
Ogarnij IPv6. Wiele VPN tuneluje tylko ruch IPv4. Jeśli twoje urządzenie korzysta też z IPv6 (większość nowoczesnych tak robi), ten ruch może całkowicie ominąć VPN. Upewnij się, że twój VPN obsługuje tunelowanie IPv6 albo wyłącz IPv6 na urządzeniu, kiedy jesteś połączony.
Nie zapominaj o telefonie. Twój telefon ujawnia tyle samo danych co komputer, a może nawet więcej, bo wszystkie aplikacje bez przerwy komunikują się z serwerami. Użytkownicy iPhone’a, zajrzyjcie do naszego poradnika o zabezpieczaniu iPhone’a.
Bądź konsekwentny ze swoją tożsamością. Jeśli chodzi ci o anonimowość, nie loguj się na konta, które cię identyfikują, kiedy jesteś na VPN. W momencie, gdy zalogujesz się na Gmaila, Google wie, kim jesteś, niezależnie od twojego IP.
Dla poważnej anonimowości rozważ Tor. VPN daje prywatność wobec twojego dostawcy internetu i lokalnej sieci. Jeśli potrzebujesz prawdziwej anonimowości - takiej, jakiej potrzebują dziennikarze czy aktywiści - Tor to inne narzędzie do innego modelu zagrożeń.
Silne uwierzytelnianie nadal ma znaczenie. VPN chroni twoje połączenie, nie twoje konta. Stosuj odpowiednie zabezpieczenia logowania wszędzie.
Podsumowanie
Twój plan działania:
- Wybierz dostawcę ze zweryfikowaną polityką bez logów, jurysdykcją przyjazną prywatności, aplikacjami z otwartym kodem i niezależnymi audytami
- Używaj WireGuard - szybszy, prostszy i bezpieczniejszy niż alternatywy
- Włącz Kill Switch, żeby ruch nigdy nie wyciekł, kiedy VPN odpadnie
- Skonfiguruj szyfrowane DNS i przetestuj pod kątem wycieków
- Ustaw dzielony tunel, żeby pogodzić prywatność z wydajnością
- Przetestuj wszystko - wycieki IP, wycieki DNS, IPv6, Kill Switch
Albo idź o krok dalej: omiń komercyjnych dostawców i postaw własny serwer WireGuard. Pełna kontrola, zero potrzeby zaufania.
VPN nie sprawi, że staniesz się niewidoczny. Ale dobrze skonfigurowany sprawi, że będziesz dużo trudniejszym celem. A w świecie, w którym każdy chce twoich danych, właśnie o to chodzi.
Szukasz konkretnych rekomendacji dostawców? Sprawdź naszą stronę z zasobami.