Короткий ответ: VPN обычно подключается на уровне системы и может направлять через туннель весь трафик устройства, а proxy чаще работает как посредник для отдельного приложения, браузера или протокола. Но в современных клиентах граница стала менее очевидной: proxy-клиент с TUN-режимом может вести себя для пользователя почти как VPN, потому что перехватывает IP-пакеты локально и сам отправляет их через VLESS, Shadowsocks, SOCKS, Trojan или другой протокол.
Поэтому вопрос «VPN или proxy?» лучше формулировать точнее: какой трафик должен идти через посредника, кто будет видеть метаданные, есть ли шифрование до посредника, нужен ли доступ для всего устройства и доверяете ли вы оператору сервера. Название приложения само по себе не отвечает на эти вопросы.
#Что такое VPN
VPN, или виртуальная частная сеть, строит логическую сеть поверх существующей сети. В практическом сценарии устройство создает защищенное соединение до VPN-шлюза, получает маршруты и отправляет выбранный трафик через этот шлюз. NIST описывает VPN как виртуальную сеть поверх существующих физических сетей, которая может обеспечивать защищенную передачу данных и IP-информации между сетями или узлами.
Для пользователя это выглядит так: включается VPN-клиент, система показывает VPN-значок, часть или весь трафик идет не напрямую к сайтам, а через удаленный сервер. В классических VPN это могут быть WireGuard, OpenVPN, IKEv2/IPsec, корпоративный SSL VPN или встроенные системные профили. В мобильных системах приложение часто использует системный VPN API: например, Android VpnService создает локальный TUN-интерфейс, на который система начинает отправлять маршрутизируемые пакеты.
#Что такое proxy
Proxy — это посредник между клиентом и конечным сервером. Cloudflare описывает forward proxy как сервер перед клиентскими машинами: клиент отправляет запрос proxy-серверу, а тот общается с сайтом от имени клиента. Веб-сайт при этом обычно видит IP proxy, а не исходный IP пользователя.
Proxy бывает разным. HTTP proxy понимает HTTP-запросы. HTTPS proxy часто использует метод CONNECT, чтобы открыть двусторонний туннель к нужному хосту, например для HTTPS на 443 порту. SOCKS5 работает ниже уровня HTTP и может переносить TCP-соединения для разных приложений; поддержка UDP зависит от клиента, сервера и настроек. Есть также reverse proxy, который стоит перед сервером сайта, но в статье речь о forward proxy для пользователя.
От теории к подключению
От понимания к подключению
Если вы уже разобрались, зачем нужен VPN, можно получить данные для подключения и настроить доступ по инструкции.
#Матрица отличий
| Критерий | VPN | Proxy |
|---|---|---|
| Уровень работы | Чаще сетевой уровень: маршруты, виртуальный интерфейс, IP-пакеты, системный VPN-профиль. | Чаще уровень приложения или протокола: браузер, HTTP, SOCKS5, конкретная программа. |
| Область действия | Может покрывать все устройство, выбранные приложения или заданные маршруты. | Обычно покрывает только приложение, которое умеет работать через proxy, или системные proxy-aware приложения. |
| Шифрование до посредника | Обычно является частью VPN-протокола. | Зависит от протокола: простой HTTP proxy может не шифровать участок до proxy, а HTTPS/TLS-based схемы шифруют свой транспорт. |
| Что видит сайт | IP VPN-сервера, признаки дата-центра или VPN-сети, данные аккаунта и браузера. | IP proxy-сервера, иногда proxy-заголовки, признаки дата-центра или proxy-сети. |
| Что видит локальная сеть и ISP | Обычно видит подключение к VPN-серверу, время и объем трафика, но не конечные сайты внутри корректного туннеля. | Если proxy без шифрования, может быть видно больше. Если transport зашифрован, виден в основном proxy-сервер и метаданные соединения. |
| DNS | Может направлять DNS через туннель, но возможны DNS-утечки при плохих настройках. | DNS может выполнять приложение, система или сам proxy; SOCKS5 с remote DNS и локальный system proxy дают разные результаты. |
| UDP и не-web трафик | Чаще подходит для всего сетевого стека, включая приложения вне браузера, если протокол и маршруты поддерживают нужный трафик. | Зависит от типа proxy и приложения; многие HTTP/SOCKS-настройки покрывают TCP лучше, чем UDP. |
| Типичные задачи | Публичный Wi-Fi, весь телефон или ноутбук, корпоративный доступ, remote access, единая маршрутизация. | Браузер, тестирование, отдельные приложения, разработка, парсинг, выборочный трафик без изменения всей системы. |
#Кто что видит
VPN и proxy часто рекламируют как способ «скрыть IP», но приватность зависит от наблюдателя. Один и тот же инструмент может скрыть адрес от сайта, но открыть больше данных посреднику. Ниже упрощенная карта видимости.
| Сторона | Без VPN/proxy | С VPN | С proxy |
|---|---|---|---|
| Владелец Wi‑Fi или локальная сеть | Видит подключение к сайтам и метаданные; содержимое HTTPS не видит. | Видит подключение к VPN-серверу, объем и время сессии. | Видит подключение к proxy; при нешифрованном proxy может видеть больше деталей. |
| Интернет-провайдер | Видит направления соединений, DNS при обычных настройках, объем и время. | Видит VPN-сервер, объем и время; конечные направления скрыты при корректной маршрутизации и DNS. | Видит proxy-сервер; детализация зависит от шифрования до proxy и DNS-настроек. |
| VPN/proxy-оператор | Не участвует. | Может видеть метаданные, назначения после выхода из туннеля и незашифрованный трафик. | Может видеть запросы, назначения и незашифрованный трафик в пределах proxy-сессий. |
| Сайт или сервис | Видит ваш обычный IP и данные браузера/аккаунта. | Видит IP VPN-сервера, но также cookies, аккаунт, fingerprinting и поведение. | Видит IP proxy, иногда признаки proxy, а также cookies, аккаунт и fingerprinting. |
| Приложение на устройстве | Может знать GPS, язык, часовой пояс, device ID, аккаунт. | Может продолжать видеть локальные идентификаторы и геолокацию, если у него есть разрешения. | То же самое; proxy не меняет разрешения приложения. |
#TUN, system proxy и почему названия путают
В старом простом сравнении VPN — это «весь трафик», а proxy — «одно приложение». Сейчас это не всегда так. Многие клиенты для VLESS, Shadowsocks, Trojan, VMess, sing-box или Clash-совместимых профилей умеют несколько режимов.
#System proxy
В режиме system proxy клиент поднимает локальный proxy на устройстве, например 127.0.0.1:7890, и прописывает его в системных настройках. Приложения, которые уважают системный proxy, начинают отправлять web-запросы через него. Приложения, которые игнорируют системный proxy, могут идти напрямую. Поэтому статус «connected» в клиенте не гарантирует, что все программы реально идут через посредника.
#TUN-режим
TUN — это локальный виртуальный сетевой интерфейс. В Android-документации VpnService описан как механизм, где приложение создает локальный TUN-интерфейс, читает исходящие IP-пакеты, шифрует и отправляет их к VPN-шлюзу, а входящие пакеты записывает обратно в интерфейс. В таком режиме клиент может перехватывать трафик программ, которые не умеют proxy, потому что для системы это выглядит как сетевой маршрут.
Отсюда важный нюанс: удаленный протокол может быть proxy-like, но локальный режим — VPN-like. Например, приложение может принять VLESS-конфиг, включить TUN и направлять через него весь трафик устройства. Пользователь видит поведение «как VPN», хотя на серверной стороне это не классический IPsec/OpenVPN/WireGuard.
#Per-app и split tunneling
Даже VPN не всегда означает «все приложение и все сайты». На Android и Apple-платформах доступны per-app сценарии, а в VPN-клиентах часто есть split tunneling: часть приложений или адресов идет через туннель, часть напрямую. Это удобно для банка, локальной сети, игр, стриминга или рабочих ресурсов, но ломает простую фразу «VPN защищает весь трафик».
#Когда выбирать VPN
VPN или TUN-режим обычно лучше, когда вам нужна системная маршрутизация, а не настройка одного приложения. Это особенно важно на телефоне, где часть приложений не имеет proxy-настроек, а также в корпоративном доступе, где нужны маршруты к внутренним подсетям.
- Публичный Wi‑Fi и недоверенная сеть. VPN помогает скрыть направления соединений от локальной сети и владельца точки доступа, если туннель и DNS настроены корректно.
- Весь телефон или ноутбук. Если нужно, чтобы мессенджеры, почта, браузер и приложения шли одним маршрутом, proxy в браузере недостаточен.
- Корпоративная сеть. Для доступа к внутренним адресам, DNS-зонам и сервисам часто нужен VPN с маршрутами, а не простой HTTP proxy.
- Приложения без proxy-настроек. TUN/VPN может покрыть программы, которые не знают про SOCKS5 или system proxy.
- Always-on или kill switch. Когда прямой выход нежелателен, системный VPN с блокировкой трафика вне туннеля надежнее, чем ручная proxy-настройка.
#Когда достаточно proxy
Proxy удобен, когда нужно направить через посредника не весь интернет, а конкретную задачу. Он проще для разработки, тестирования, браузерных профилей и приложений, где proxy поддерживается явно.
- Один браузер или один профиль браузера. Можно разделить обычную работу и тестовый маршрут без изменения всей системы.
- Разработка и диагностика. Proxy легко включать, выключать, логировать и привязывать к конкретному инструменту.
- Парсинг, API-тесты, региональная проверка интерфейса. Приложение само управляет proxy, а остальная система остается на прямом маршруте.
- Выборочный доступ. Если нужно отправить через посредника только HTTP-клиент, мессенджер, IDE или один контейнер, proxy может быть аккуратнее.
- Низкий риск и понятный трафик. Для несекретной задачи proxy может быть достаточно, если вы понимаете, что именно идет через него.
#Примеры выбора
| Сценарий | Что выбрать | Почему |
|---|---|---|
| Открыть пару сайтов в отдельном браузере | Proxy в браузере или профиле | Не нужно менять маршрут всей системы. |
| Защититься в неизвестном Wi‑Fi на телефоне | VPN/TUN с DNS через туннель | Покрывает приложения, которые не умеют proxy. |
| Подключиться к рабочей внутренней сети | Корпоративный VPN | Нужны маршруты, авторизация и доступ к приватным адресам. |
| Проверить сайт из другого региона | Proxy или VPN | Если проверка только в браузере — proxy; если нужно несколько приложений — VPN. |
| Приложение игнорирует system proxy | TUN/VPN | System proxy не принуждает все приложения соблюдать настройку. |
| Нужен UDP для игр или звонков | VPN или proxy с подтвержденной UDP-поддержкой | Обычный HTTP proxy для этого не подходит. |
| Нужно исключить банковское приложение | VPN/TUN со split tunneling или per-app правилами | Можно отправить чувствительное приложение напрямую, а остальное через туннель. |
#Ограничения приватности
EFF прямо предупреждает, что VPN часто переоценивают: он полезен для маршрутизации через другую сеть, но не является универсальным средством безопасности или анонимности. То же относится к proxy. Если посредник недоверенный, вы не устраняете риск, а переносите его от локальной сети или ISP к оператору VPN/proxy.
- HTTPS остается важным. VPN/proxy не заменяет HTTPS. Если сайт без HTTPS, посредник может видеть содержимое.
- DNS может утекать. Если DNS остается у провайдера интернета, история доменов может быть видна вне туннеля.
- Аккаунты деанонимизируют. Вход в Google, Apple ID, соцсеть, банк или рабочий аккаунт связывает действия с личностью.
- Fingerprinting не исчезает. Язык, часовой пояс, шрифты, размер окна, WebGL, поведение и cookies могут отличать пользователя даже при новом IP.
- Геолокация не равна IP. Приложение с доступом к GPS или Wi‑Fi-геолокации может знать реальное местоположение.
- Посредник видит многое. VPN/proxy-оператор может видеть метаданные, время подключений, объемы, направления и незашифрованный трафик.
- Сайты могут блокировать дата-центры. Новый IP не гарантирует, что сервис примет соединение как обычного домашнего пользователя.
#Распространенные мифы
#Миф 1. VPN всегда лучше proxy
Нет. Для всего устройства и недоверенной сети VPN часто практичнее. Для одного браузера, теста API или отдельного приложения proxy может быть проще, прозрачнее и безопаснее по области действия: меньше трафика проходит через посредника.
#Миф 2. Proxy никогда не шифрует
Неверно в такой формулировке. Обычный HTTP proxy может не шифровать участок до proxy, но HTTPS, TLS-based proxy-протоколы и HTTP CONNECT меняют картину. Правильнее спрашивать: зашифрован ли транспорт от клиента до посредника и кто расшифровывает данные дальше.
#Миф 3. VPN скрывает все от провайдера и сайта
VPN может скрыть конечные направления от ISP при корректных DNS и маршрутах, но ISP видит сам факт подключения к VPN-серверу, время и объем. Сайт видит IP VPN, но также аккаунт, cookies, браузерные признаки и поведение.
#Миф 4. Если включен TUN, приватность гарантирована
TUN отвечает за локальный захват и маршрутизацию трафика. Он не доказывает, что сервер доверенный, DNS настроен правильно, протокол безопасен, а правила маршрутизации не отправляют часть трафика напрямую.
#Миф 5. Бесплатный proxy безопасен для любых задач
Бесплатный или публичный посредник особенно требует осторожности. Неизвестно, кто им управляет, как он монетизируется, какие логи хранит и не модифицирует ли трафик. Для личной почты, платежей и рабочих данных такой маршрут обычно плохая идея.
#Практический чеклист
- Определите область действия. Нужен весь трафик устройства, только браузер, только одно приложение или только рабочая подсеть?
- Проверьте режим клиента. Это системный VPN, TUN, system proxy, browser proxy или per-app настройка?
- Проверьте DNS. После подключения убедитесь, что DNS идет туда, куда вы ожидаете, а не к провайдеру интернета.
- Проверьте прямые исключения. Split tunneling, bypass rules, direct rules и исключенные приложения могут отправлять часть трафика мимо посредника.
- Оцените доверие к оператору. Кто управляет сервером, какая политика логов, есть ли прозрачность, обновления и понятная модель работы?
- Не отключайте проверки безопасности. Параметры вроде
allowInsecureили отключение проверки сертификата не должны быть обычным способом «починить» подключение. - Не проверяйте приватность только по IP. Смена IP — это один сигнал. Проверьте DNS, WebRTC, аккаунты, cookies, часовой пояс и разрешения приложений.
- Разделяйте сценарии. Не используйте один неизвестный proxy/VPN одновременно для личных аккаунтов, работы и экспериментов.
#Итог
VPN и proxy — не конкурирующие магические кнопки, а разные способы направить трафик через посредника. VPN обычно сильнее интегрирован с системой и удобнее для всего устройства, публичного Wi‑Fi и корпоративного доступа. Proxy удобнее для выборочных задач, браузера, разработки и приложений с явной поддержкой proxy. Современный TUN-режим смешивает эти миры: proxy-клиент может локально работать как VPN, но это не отменяет вопросов о шифровании, DNS, маршрутах и доверии к серверу.
Лучший выбор начинается не с лозунга «VPN лучше» или «proxy быстрее», а с короткой модели угроз: от кого вы хотите скрыть трафик, какие приложения должны идти через посредника, что останется видно сайту и кому вы готовы доверить роль нового сетевого наблюдателя.