Większość użytkowników VPN instaluje aplikację, klika „Połącz” i uważa temat za zamknięty. Tymczasem domyślne ustawienia większości usług VPN są kompromisem między wygodą a bezpieczeństwem – i jeśli zależy ci na tym drugim, domyślna konfiguracja to punkt wyjścia, nie punkt docelowy.
Jak działa VPN i przed czym naprawdę chroni?
Zanim zaczniesz konfigurować VPN, warto zrozumieć, co ta technologia faktycznie robi – bo marketingowe obietnice producentów często mijają się z rzeczywistością.
VPN (Virtual Private Network) tworzy zaszyfrowany tunel między twoim urządzeniem a serwerem VPN. Cały ruch sieciowy przechodzi przez ten tunel, zanim dotrze do internetu. Efekt jest dwojaki: twój dostawca internetu (ISP) widzi tylko zaszyfrowany ruch do serwera VPN, nie wiedząc, jakie strony odwiedzasz. Strony internetowe widzą adres IP serwera VPN, nie twój prawdziwy adres.
Przed czym VPN chroni: podsłuchem w publicznych sieciach Wi-Fi, śledzeniem przez ISP, geoblokowaniem i cenzurą sieciową, niektórymi formami fingerprinting opartego na IP.
Przed czym VPN nie chroni: śledzeniem przez cookies i fingerprinting przeglądarki, złośliwym oprogramowaniem na urządzeniu, phishingiem, wyciekiem danych z serwisów, z których korzystasz, ani – co kluczowe – nieuczciwym dostawcą VPN, któremu powierzasz cały swój ruch.
To ostatnie jest najważniejsze. Korzystając z VPN, przesuwasz zaufanie z ISP na dostawcę VPN. Jeśli dostawca loguje twój ruch i sprzedaje dane reklamodawcom lub udostępnia je na żądanie władz – jesteś w gorszej sytuacji niż bez VPN, bo dałeś jednej firmie dostęp do całości swojego ruchu.
Wybór protokołu – fundament bezpieczeństwa
Protokół VPN to sposób, w jaki twoje urządzenie komunikuje się z serwerem VPN. Wybór protokołu ma fundamentalne znaczenie dla bezpieczeństwa i wydajności.
WireGuard to aktualny złoty standard i protokół, który powinieneś wybrać w pierwszej kolejności jeśli jest dostępny. Napisany od zera z myślą o bezpieczeństwie i prostocie – ma zaledwie ok. 4000 linii kodu (dla porównania OpenVPN to ponad 70 000), co sprawia, że jest łatwiejszy do audytu i ma mniejszą powierzchnię ataku. Jest szybszy niż konkurencja i równie bezpieczny. Wszystkie poważne usługi VPN obsługują WireGuard dziś jako opcję domyślną lub preferowaną.
OpenVPN to sprawdzony, otwartoźródłowy protokół z wieloletnią historią audytów bezpieczeństwa. Wolniejszy od WireGuard, ale niezwykle elastyczny i obsługiwany przez praktycznie każde urządzenie i system operacyjny. Preferowany protokół w konfiguracjach korporacyjnych i dla zaawansowanych użytkowników stawiających stabilność nad szybkość.
IKEv2/IPSec to dobry wybór na urządzeniach mobilnych – szczególnie świetnie radzi sobie z przełączaniem między sieciami (Wi-Fi → LTE) bez zrywania połączenia VPN. Wbudowany w iOS i macOS jako natywna opcja.
L2TP/IPSec, PPTP – unikaj. L2TP ma podejrzenia o backdoor od NSA, PPTP jest przestarzały i podatny na ataki. Jeśli twój dostawca oferuje tylko te protokoły – zmień dostawcę.
Własny protokół dostawcy (Lightway od ExpressVPN, NordLynx od NordVPN) – zazwyczaj zbudowane na WireGuard z własnymi modyfikacjami. Warto sprawdzić, czy był poddany niezależnemu audytowi.
Kluczowe ustawienia bezpieczeństwa – co włączyć obowiązkowo
Wybór protokołu to dopiero początek. Kilka ustawień, które każdy użytkownik VPN powinien skonfigurować przed codziennym użyciem.
Kill Switch to absolutna podstawa i funkcja, bez której VPN daje złudne poczucie bezpieczeństwa. Kill Switch blokuje cały ruch sieciowy w momencie, gdy połączenie VPN zostaje nieoczekiwanie przerwane. Bez niego, gdy VPN rozłączy się (co zdarza się regularnie przy niestabilnym połączeniu), twój ruch natychmiast przepływa przez ISP z prawdziwym adresem IP – bez żadnego ostrzeżenia. Większość aplikacji VPN ma Kill Switch w ustawieniach – sprawdź, czy jest włączony. W Mullvad i ProtonVPN jest domyślnie aktywny.
DNS Leak Protection – bez tej ochrony twoje zapytania DNS (tłumaczenie nazw domen na adresy IP) mogą „uciekać” poza tunel VPN do serwerów DNS twojego ISP, zdradzając odwiedzane strony. Sprawdź, czy twój VPN używa własnych serwerów DNS i czy ma aktywną ochronę przed wyciekami. Możesz przetestować to na dnsleaktest.com – przy aktywnym VPN powinieneś widzieć wyłącznie serwery DNS dostawcy VPN, nie swojego ISP.
IPv6 Leak Protection – większość starszych usług VPN obsługuje tylko IPv4. Jeśli twoja sieć używa IPv6 i VPN go nie obsługuje, twój prawdziwy adres IPv6 może być widoczny mimo aktywnego połączenia. Sprawdź na ipleak.net przy aktywnym VPN – pole IPv6 powinno być puste lub pokazywać adres serwera VPN.
Multi-hop (Double VPN) – opcja dostępna w ProtonVPN, NordVPN i kilku innych usługach, która kieruje ruch przez dwa serwery VPN zamiast jednego. Serwer wyjściowy nie zna twojego prawdziwego IP, a serwer wejściowy nie zna odwiedzanych przez ciebie stron. Wolniejsze połączenie, ale znacznie trudniejsze do śledzenia dla każdego potencjalnego obserwatora.
Tor over VPN – połączenie VPN → Tor dla maksymalnej anonimowości. ProtonVPN oferuje serwery Tor over VPN. Bardzo wolne, ale praktycznie niemożliwe do śledzenia. Odpowiednie dla ekstremalnych przypadków wymagających maksymalnej prywatności, nie do codziennego użycia.
Wybór serwera – nie zawsze „najbliższy jest najlepszy”
Domyślny wybór najbliższego serwera jest optymalny pod kątem prędkości, ale nie zawsze pod kątem bezpieczeństwa i prywatności.
Jurysdykcja serwera ma znaczenie prawne. Serwer w kraju należącym do sojuszu 14 Eyes (USA, UK, Kanada, Australia, Nowa Zelandia, Francja, Niemcy, Holandia i inne) podlega przepisom umożliwiającym wymianę danych wywiadowczych między rządami. Jeśli prywatność jest priorytetem, rozważ serwery w krajach poza tą koalicją – Szwajcaria, Islandia, Panama, Rumunia.
No-log policy i jej weryfikacja – większość dostawców VPN deklaruje brak logów. Kluczowe jest, czy ta polityka była niezależnie audytowana przez zewnętrzną firmę bezpieczeństwa (Cure53, SEC Consult, PwC) i czy dostawca ma historię potwierdzającą brak danych do przekazania przy żądaniach prawnych. ProtonVPN, Mullvad i IVPN przeszły niezależne audyty i mają udokumentowane przypadki, gdzie na żądanie organów ścigania nie mieli nic do przekazania.
RAM-only servers – serwery, które przechowują dane wyłącznie w pamięci RAM i kasują je przy każdym restarcie. ExpressVPN, NordVPN i Mullvad stosują tę architekturę – nawet fizyczne przejęcie serwera przez organy ścigania nie dałoby żadnych danych o użytkownikach.
Konfiguracja na poziomie systemu operacyjnego
Dla maksymalnego bezpieczeństwa warto uzupełnić konfigurację aplikacji VPN o ustawienia systemowe.
Firewall z regułami VPN – na Windows Defender Firewall lub iptables na Linuksie możesz skonfigurować reguły blokujące cały ruch wychodzący z wyjątkiem interfejsu VPN. To systemowy kill switch niezależny od aplikacji VPN – działa nawet jeśli aplikacja VPN zawiedzie lub zostanie zamknięta.
Na Linuksie przez iptables:
# Zablokuj cały ruch wychodzący
iptables -P OUTPUT DROP
# Zezwól na ruch przez interfejs VPN (tun0 dla OpenVPN, wg0 dla WireGuard)
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -o wg0 -j ACCEPT
# Zezwól na loopback
iptables -A OUTPUT -o lo -j ACCEPT
# Zezwól na połączenie z serwerem VPN przez główny interfejs
iptables -A OUTPUT -d [IP_SERWERA_VPN] -j ACCEPTWłasny DNS over HTTPS/TLS – zamiast polegać na serwerach DNS dostawcy VPN, możesz skonfigurować własny resolver DNS z szyfrowaniem. 1.1.1.1 od Cloudflare z obsługą DNS over HTTPS lub 9.9.9.9 od Quad9 (z filtrowaniem złośliwych domen) to popularne wybory zapewniające dodatkową warstwę ochrony.
Wyłączenie WebRTC w przeglądarce – WebRTC może ujawniać prawdziwy adres IP nawet przy aktywnym VPN przez mechanizm STUN. W Firefox: about:config → media.peerconnection.enabled → false. W Chrome: rozszerzenie WebRTC Network Limiter od Google.
Jak przetestować czy VPN działa poprawnie?
Konfiguracja bez weryfikacji to połowa roboty. Zestaw testów, które warto przeprowadzić po każdej zmianie ustawień:
ipleak.net – kompleksowy test ujawniający twój adres IPv4, IPv6, serwery DNS i WebRTC. Przy aktywnym VPN wszystkie pola powinny pokazywać dane serwera VPN lub być puste.
dnsleaktest.com – dedykowany test wycieków DNS w trybie Extended, sprawdzający wszystkie serwery DNS używane podczas połączenia.
browserleaks.com – rozbudowany zestaw testów sprawdzający fingerprinting przeglądarki, WebGL, Canvas i inne wektory identyfikacji poza adresem IP.
Test Kill Switch – rozłącz VPN ręcznie podczas aktywnego testu na ipleak.net i sprawdź, czy strona przestaje ładować nowe dane (Kill Switch zadziałał) czy pokazuje twój prawdziwy IP (Kill Switch nie działa).
