Ошибочное отождествление SSH-туннелей и VPN-серверов. SSH-туннели не покрывают все сценарии, где требуется полная маршрутизация трафика всего устройства или защита от утечек на уровне ядра.
Причины:
1. Уровень шифрования и маршрутизации: SSH работает на прикладном уровне (L5–L7), туннелируя только определённые TCP-порты. VPN (OpenVPN, WireGuard) шифрует и маршрутизирует весь L3/IP-трафик, включая UDP, ICMP, multicast.
2. Утечки DNS и WebRTC: SSH-туннель не перехватывает DNS-запросы — они уходят через оригинальный интерфейс. VPN изменяет таблицу маршрутизации и DNS-серверы на системном уровне.
3. Поддержка протоколов: SSH не может перенаправлять трафик не-TCP приложений (VoIP, видеозвонки, торренты, игры). VPN — может.
4. Многопользовательский доступ: SSH-туннели — одно соединение на устройство. VPN (site-to-site, remote access) легко масштабируется для пользователей/сетей.
5. Обход DPI и фильтрации по протоколу: SSH трафик легко детектируется по заголовкам и порту 22. VPN (особенно WireGuard на UDP случайном порту) сложнее заблокировать.
Решение:
Используйте VPN, когда нужно:
- Полная изоляция трафика всего устройства (OpenVPN, WireGuard).
- Доступ к частной сети с полной L3/L2 маршрутизацией (IPsec, OpenVPN TUN/TAP).
- Защита от утечек DNS/WebRTC на системном уровне (все запросы через VPN-интерфейс).
- Поддержка UDP/ICMP (применение: голосовые сервисы, эхо-запросы).
- Сценарии «постоянный VPN» (например, для удалённой работы).
SSH-туннель оправдан только для единичных TCP-соединений (например, прокси для браузера):
bash
<h2 id="socks5-cherez-ssh-dlya-odnogo-prilozheniya">SOCKS5 через SSH для одного приложения</h2>
ssh -D 1080 -N user@vpsДля полноценного VPN (WireGuard):
ini
[Interface]
PrivateKey =
Address = 10.0.0.2/24
DNS = 10.0.0.1
[Peer]
PublicKey =
Endpoint = server_ip:51820
AllowedIPs = 0.0.0.0/0