VPN 这个词现在经常和“翻墙”绑在一起,但它一开始不是为这个场景设计的。它最早解决的是企业网络里的老问题:员工不在公司,怎么安全访问公司内网?

公司里通常有一些不对公网开放的系统,比如 OA、财务系统、代码仓库、文件服务器、数据库管理后台。人在办公室,电脑接入公司网络,自然能访问。人在家里或酒店,连的是家庭宽带和公共 Wi-Fi,就不再属于公司内网了。

VPN 的作用,就是在普通互联网之上,临时搭一条加密的虚拟专线。

VPN 工作原理

VPN 原本是给公司内网用的

VPN 的全称是 Virtual Private Network,中文通常叫“虚拟专用网络”。

“虚拟”是因为它不是真的把一根网线拉到你家。你的电脑还是通过普通互联网连接公司服务器。

“专用”是因为 VPN 会在你和公司网络之间建立一条加密隧道。外面的人能看到你在和公司 VPN 服务器通信,但看不到隧道里面具体传了什么。

一个典型的企业 VPN 场景是这样:

1
2
3
4
5
员工电脑
-> 加密隧道
公网互联网
-> 公司 VPN 网关
-> 公司内网系统

员工先连接公司 VPN。认证通过后,公司 VPN 网关会给这台电脑分配一个内网地址,比如 10.8.0.23。这时,公司内网会把这台电脑当成一台临时接入的内部设备。

于是人在家里,也能访问这些地址:

1
2
3
http://intranet.company.local
ssh 10.0.1.12
\\fileserver\project

这就是 VPN 的原始用途:远程、安全、受控地进入一个私有网络。

VPN 主要做三件事

VPN 不是一个“加速按钮”,也不是一个神秘开关。它主要做三件事:认证、封装、改路由。

第一步是认证。你的电脑连接 VPN 服务器时,服务器要先确认你是谁。认证方式可以是账号密码、证书、一次性验证码,或者几种方式组合。

第二步是建立加密隧道。认证通过后,客户端和服务器会协商密钥,后面的数据都用这个密钥加密。外层网络只能看到你正在连接 VPN 服务器,看不到里面真正访问的内网地址或网站内容。

第三步是改路由。操作系统里会多出一张虚拟网卡,VPN 客户端把需要走隧道的流量交给它。哪些流量走 VPN,哪些流量还走本地网络,由路由表决定。

VPN 路径变化

公司 VPN 通常会做分流:

1
2
访问公司内网 10.0.0.0/8 -> 走 VPN
访问普通网站 -> 走本地网络

这种模式叫 split tunnel。它只把办公需要的内网流量送进 VPN,不影响你本地刷网页、看视频。

另一种是全局模式:

1
2
3
访问公司内网 -> 走 VPN
访问普通网站 -> 也走 VPN
访问海外网站 -> 也走 VPN

后来 VPN 能被用于跨境访问,关键就在这个全局路由。

数据包到底怎么走

不打开 VPN 时,你访问一个网站,大致是这样:

1
电脑 -> 家庭路由器 -> 运营商网络 -> 目标网站

打开 VPN 后,路径可能变成:

1
电脑 -> VPN 加密隧道 -> VPN 服务器 -> 目标网站

具体到数据包,可以拆成几步看:

1
2
3
4
5
6
7
8
1. 浏览器发起访问,例如 https://example.com
2. 操作系统根据路由表,把流量交给 VPN 虚拟网卡
3. VPN 客户端把原始数据包封装起来
4. 客户端再套一层加密外壳,发给 VPN 服务器
5. VPN 服务器解密后,替你访问目标网站
6. 目标网站把响应发给 VPN 服务器
7. VPN 服务器加密返回给你的电脑
8. VPN 客户端解密,浏览器拿到网页内容

这里最重要的是“封装”。

原始数据包的目标可能是:

1
你的电脑 -> example.com

经过 VPN 封装后,外层变成:

1
你的电脑 -> VPN 服务器

真正的目标地址被包在加密隧道里。中间网络看到的是外层连接,而不是内层访问细节。

为什么后来会被用于跨境访问

既然 VPN 可以让你的流量先到另一台服务器,再由那台服务器访问互联网,它自然就会改变外界看到的访问来源。

假设你直接访问某个海外网站:

1
你的电脑 -> 本地网络 -> 海外网站

如果中间链路存在限制、丢包或路由质量很差,访问就可能失败,或者慢到没法用。

如果你先连接一台境外 VPN 服务器,路径就变成:

1
你的电脑 -> 加密隧道 -> 境外 VPN 服务器 -> 海外网站

目标网站看到的访问者,不再是你的本地 IP,而是 VPN 服务器的 IP。中间网络看到的,主要是你和 VPN 服务器之间的一条加密连接。

这就是 VPN 被用于跨境访问的基础逻辑。它不是把网络限制“打掉”,而是把原本直接访问目标网站的请求,改成先发给一个中转服务器,再由中转服务器代你访问。

公司 VPN 和个人跨境 VPN 的区别

两者底层都可能使用加密隧道,但目标不一样。

公司 VPN 的目标是进入私有网络:

1
员工 -> 公司 VPN -> 公司内网

重点是身份认证、权限控制和审计。你能访问哪些系统,通常由公司策略决定。

个人跨境访问里的 VPN,目标通常是改变公网出口:

1
用户 -> VPN 服务器 -> 公网网站

重点是出口位置、线路质量、DNS、协议稳定性和服务器负载。

所以二者不是两种完全无关的技术,而是同一种“加密隧道能力”在不同场景下的使用。企业拿它做远程办公,个人拿它改变出口路径。

VPN 协议负责什么

常见 VPN 协议有 IPsec、OpenVPN、WireGuard、L2TP、PPTP 等。它们的细节不同,但要解决的问题差不多:

1
2
3
4
5
确认身份
协商密钥
建立隧道
封装数据包
在另一端解包并转发

PPTP 很早期,安全性已经不适合严肃场景。OpenVPN 成熟、兼容性强,但配置相对重。WireGuard 更现代,代码少,性能好,现在很多系统和路由器都开始支持它。

企业 VPN 更看重权限、审计、稳定和可管理。个人使用时更在意连接成功率、速度、延迟和是否容易被网络环境干扰。

DNS 也是一部分

很多人理解 VPN 时只看 IP,其实 DNS 也很关键。

DNS 的作用是把域名解析成 IP:

1
example.com -> 93.184.216.34

如果网页流量走了 VPN,但 DNS 查询还走本地网络,就会出现 DNS 泄漏。结果是:真正访问内容在隧道里,域名查询却暴露在本地网络里。

一个处理得比较完整的 VPN 连接,通常会同时接管这些东西:

1
2
3
4
IP 路由
DNS 查询
IPv6 流量
局域网访问策略

这些细节没处理好,就会出现“明明连上 VPN,但部分网站还是不通”或者“部分流量其实没有走 VPN”的情况。

为什么 VPN 有时候会变慢

普通访问是直连:

1
你 -> 目标网站

VPN 访问多了一个中转点:

1
你 -> VPN 服务器 -> 目标网站

距离更远,延迟可能增加。加密和解密需要计算资源。VPN 服务器如果用户很多,也会拥堵。某些网络环境下,VPN 协议还可能被限速、阻断或干扰。

所以 VPN 的速度取决于很多因素:服务器位置、线路质量、协议、加密算法、运营商互联、服务器负载。不是装了同一个客户端,所有人就会得到同样的速度。

VPN 不是匿名神器

VPN 可以隐藏你的本地 IP,让目标网站看到 VPN 服务器的 IP。但这不等于完全匿名。

网站仍然可能通过账号、浏览器指纹、Cookie、设备特征识别你。VPN 服务商本身也可能看到连接记录,具体取决于它的日志政策、技术实现和运营方式。

更准确地说,VPN 提供的是:

1
2
3
加密传输
远程接入
改变出口

它能提高某些场景下的安全性和隐私性,但不是让一个人在互联网上彻底消失。

小结

VPN 最早是企业远程办公的基础设施。它解决的是“人在外面,如何安全进入公司内网”的问题。核心技术是加密隧道、虚拟网卡和路由控制。

后来它被用于跨境访问,是因为同样的隧道机制可以把用户流量先送到另一台服务器,再由那台服务器访问公网。这样一来,访问路径、出口 IP 和 DNS 都可能发生变化。

理解 VPN,不需要把它想得太神秘。它本质上就是在互联网里套了一层受控的加密网络。公司用它连接内网,个人用它改变出口。场景变了,底层逻辑还是那条隧道。