万字长文,主流 VPN 指南评测

80 min


前言

隐私权是一项基本人权。

你不应该被互联网浏览;你不应该因为信息本地化而无法看到外面世界的样子;你不应该成为不安全的公共 WiFi 黑客窃取个人信息的受害者;你不应该遭到政府偷窥;你不应该受运营商与在线内容提供商 PY 交易后不中立的流量分配任意摆布。

选择一款适合自己的 VPN 在这个数字时代是一项基本需求。把信息自由还给自己,把网络中立还给自己。

本指南包含了市面上大多数有名的 VPN 服务,可能有少量遗漏与错误,欢迎在本文底部留言讨论。

基本的评分策略

  • 作者思维独立性强但评分比较主观,比如 NordVPN 就因为 Windows 客户端网页登录而给直接降档次。每项 VPN 的严重缺点、可改善之处与优点均与其售价、服务器规模和定位相关。
  • 推荐指数满分 10 分。
  • 超过 3 年期的订阅套餐再便宜也不在价格考虑范围。
  • 来自别的评测者发现的问题会给出链接,对于流媒体解锁的现状请尽可能参考最新评测。
  • 因时间有限,第三方背书只提最近的一次。
  • 官网无第三方站点视频〔主要是 YouTube〕、tracker、cookie,或者不通过各类评测网站打广告的 VPN 定位偏向隐私与数据安全;其余月付高价,年付低价的通用 VPN 必须考虑流媒体解锁能力、服务器数量与速度等。

VPN 相关专业术语及争论

KillSwitch

KillSwitch 在工业上中文叫「紧急停止开关」,但在 VPN 业界的中文翻译并未统一。Surfshark 翻译成「查杀开关」〔很生硬的翻译腔〕,Private Internet Access 翻译成「切断开关」,VPN Ranks 网站一篇科普文章的中文翻译写作「阻止开关」。 它的本质是一种防火墙,只允许 VPN 隧道内通信,当 VPN 连线质量不佳意外中断时,能阻止对外流量进出,保障隐私。VPN 缺少了 KillSwitch 就相当于电热水器缺少了漏电保护,它的非 0 即 1 机制决定必须达到实时激活的水平才能保障安全。KilSwitch 分为基础,高级和永久几个层级。永久 KillSwitch 意味着只有 VPN 服务器和 API 的 IP 地址或域名在默认的白名单里,即使将 VPN 客户端关闭后也不会对外通信。高级 KillSwitch 是只要 VPN 客户端不彻底关闭或者完全登出账号,就算 VPN 处于未连接状态也不会对外通信。基础 KillSwitch 仅仅保护连接成功后与 VPN 服务器意外短线的情况,用户不幸手滑操作失误点了断开 VPN 时,以及切换服务器时从断开原本的连线到与新服务器握手的短暂间隔期将会暴露原始 IP 地址。 桌面端的 KillSwitch 可以融入进操作系统的防火墙,而 iOS/Android 的 KillSwitch 非常简陋,甚至有失效的报告。这也是为何不推荐追求极致数据安全、需要传输敏感数据的用户依赖移动端平台工作的原因。

解锁流媒体 unblock streaming services

在线流媒体服务分为 Netflix, HBO Max, Disney+, Amazon Prime Video 等订阅制服务与 BBC iPlayer 等购买许可证制服务。因为地域版权限制,流媒体业务的提供商在积极封杀 VPN 的 IP 地址,若某个 IP 地址短时间内有多名用户登录,就有可能被认定为公共代理或 VPN 的 IP 地址而封杀。但是流媒体服务解锁是很多 VPN 的卖点之一,因此这种捉迷藏游戏将会持续下去。IPV6 全面流行后,VPN 的 IP 被识别的概率可能会大幅度降低。

总部司法管辖地 headquarter jurisdiction

指实际负责运营 VPN 的公司〔不是仅完成收购而放任独立运行的母公司〕的注册地。是 VPN 界争议最大的问题之一。因斯诺登和维基解密爆料的种种内幕,结合英美联盟的历史,互联网逐渐有了「5 眼国家要不得」、「9 眼国家要不得」与「14 眼国家要不得」的都市传说。

「5 眼」指英语系五眼联盟。「9 眼」指在五眼联盟基础上增加丹麦、法国、荷兰、挪威四国,「14 眼」再增加德国、比利时、意大利、西班牙、瑞典五国即十四国组成的 SIGINT Seniors Europe。这也是不少知名 VPN 总部都在「离岸地」、「避税天堂」的原因,包括但不限于瑞士〔中立国,独立于欧盟〕、罗马尼亚〔罗马尼亚机房都懂的,抗 DMCA 神器〕、塞舌尔〔不只是个旅游胜地〕、巴拿马〔巴拿马文件,嘻嘻〕、英属维尔京群岛〔只有双重犯罪且根据 BVI 法律会判一年刑期起步的事情,法院才会理睬来自外国的调查、司法协助请求〕、和十四眼中「相对特立独行」的瑞典〔海盗湾……〕。

但笔者认为不能被这些都市传说误导,十四眼本质是情报协作联盟,国际司法合作是不分十四眼内与十四眼外的,以「天高皇帝远」为目标去开办公司也得避开落后与缺乏人权与法制的化外之地,总不会有 VPN 公司把总部开到塔利班治下的阿富汗吧?笔者更倾向于相信 Private Internet Access 所解释的,「其他一些 VPN 公司声称,美国的 VPN『妥协』了,因为与国家安全局或其他一些政府恶棍有秘密联系,这当然是无稽之谈。我们拥有严格的无日志政策,并且已〔多次〕在法庭上经受考验并得以证实——我们 100% 致力于维护和保障用户隐私。正是因为我们是一家美国公司,我们享有宪法保护,以防政府过度干预。我们为公司设在美国而自豪,这让我们能够获得所需的自由,为全世界的数字隐私和在线自由权利而奋斗。」

VPN 隐私实践 VPN privacy policy practice

好的 VPN 应该确保服务器端不记录各种可直接或间接识别用户唯一身份的日志。它们包含 VPN 服务器 IP 地址,用户原始 IP 地址,用户浏览网站或服务的 IP 地址或主机名,会话时间戳,会话时长,DNS 解析记录。好的 VPN 需要在自己的服务器组中内置 DNS,而不是依赖第三方的 DNS 服务器。虽然各家 VPN 几乎都声称自己没有日志,但实际的具体运行情况可以千差万别。

VPN 泄漏 VPN leakage

一种情况是 VPN 服务器或 DNS 服务器实际留下了日志。另一种情况是客户端自己出现了问题。由于系统青睐最近处 DNS,本地运营商的 DNS 可能在 VPN 连接后仍然在解析。

WebRTC 是一种开源的浏览器内置的网络实时通讯协议,可能会 VPN 连接后依然通过原始 IP 地址与目标地址之间传输数据。VPN 可以设置拆分隧道,同理操作系统可能有若干连接处于 VPN 之外,造成 IP 泄漏。以上泄漏都可以通过技术手段得到解决。

支付隐私 payment privacy

毫无疑问,使用信用卡、借记卡或者 PayPal、Apple Pay 等在线钱包会留下每一笔交易的详细记录。

很多人不想购买 VPN 的交易被银行等金融机构知道。他们选择加密货币或加密代币,第三方充值卡或 VPN 官方在线下商店售卖的激活码,或者直接向 VPN 提供商的指定地址邮发现金。

加密货币中公认隐私保障最好的是门罗币。但邮发钞票的隐私远不如加密货币,因为发信一般是要写实名的,目的地〔VPN 方提供的邮箱〕也是明牌,还会留下生物指纹;PaymentWall 支持的 Mint、NeoSurf 等预付卡,各类游戏充值卡比如雷蛇金卡和各类商户比如星巴克的预付卡也可能后台留下具体的消费记录。

协议 protocol

随着时代的发展,PPTP 协议已经完全不符合安全需求,加密强度弱,跟明文差别不大。L2TP/IPSec,IKEV2/IPSec,SSTP 虽然安全,但闭源的特性决定了他们不会成为第一梯队的选择。OpenVPN 是安全 VPN 协议的金标准,源代码完全公开并得到专家们的肯定。但此协议的流量特征过于明显。树大招风的道理大家都懂,大街上开 F1 赛车的行为一定会引来注意的。尽管绝大多数国家和地区都没有对 VPN 进行系统性的封锁,但有的运营商会对 UDP 通过 QoS 优先级方式限速。为了骗过运营商、政府的 DPI 即深度流量包检测,通过各类混淆法让 OpenVPN 看上去更像普罗大众的日常流量——TCP与TLS,低调内敛,方能畅行无阻。辨别OpenVPN流量是否混淆的一种办法是通过Wireshark观察流量,未混淆时数据包类型显示为OpenVPN,混淆后则显示为普通的TCP或UDP。

OpenVPN 虽好,但复杂的几十万行源代码注定带来极限速度不快。小巧轻便的 WireGuard 应运而生。WireGuard 同样开源,且源代码非常简单只有几千行,易于维护,留下的可攻击面远小于 OpenVPN,默认走 UDP 高位端口,已经整合进 Linux 和 Windows 的系统内核中。但高速和高 VPN 隧道安全性的背后是对服务器端用户隐私性的一些忽略,VPN 服务器端只允许部署静态 IP 地址,且会把对等节点的 IP 地址记录到至少下次重启,这将是对用户隐私的严重威胁。但好在不同的 VPN 供应商通过各种技术手段克服了 WireGuard 的弊病。只要 VPN 服务器设置得当,是不会有问题的。WireGuard 也可以流量混淆或伪装。SoftEther 是日本筑波大学著名学术研究项目。它还有一个衍生品,由各地〔主要是日韩〕志愿者运行的免费 VPN 网络——VPNGate。SoftEther源代码是公开的,使用HTTPS作为传输隧道,流量特征与常规HTTPS连线无异。 有的 VPN 有自主研发协议,或者是 OpenVPN 和 WireGuard 的改进版,或者是完全的新协议。

第三方背书与开源 3rd-party audit, open-source

为了让潜在和现有客户打消疑虑,VPN 商家普遍在积极地寻求独立地第三方公司或机构前来进行高权限甚至完全权限测试,反馈发现地问题,并通过测试报告为 VPN 商家做公证,背书作证的内容主要包括服务 器无日志、服务器设施安全性、客户端安全性。

作为 VPN 进阶功能,它们的实现均基于 DNS 规则库。由于规则库需要不断更新,因此不同家 VPN 的实际拦截效果差距较大,有拦截失败与错杀的情况。

服务器部署与 IP 地址 VPN servers deployment and IP addresses

同时为多个会话服务的 VPN 服务器需要强大的硬件配置。一台分成多台用的 VPS 无论是性能还是安全性都不是 VPN 应该的选择,因此主流 VPN 都选用独立服务器〔dedicated server 或 bare-metal server〕,且最好位于 Tier 4 级别的数据中心〔多重冗余设计,保障 99.995% uptime〕。 服务器是「租用」还是「拥有」的争论,一直是不同 VPN 厂家互相口诛笔伐的方面。直接从 ISP 出身的 VPN 会说别家是第三方互联网资源,托管方式(co-located)自助搭建服务器的 VPN 也瞧不上仅仅向上游数据中心或云计算厂商租用服务器的 VPN。

但是笔者想说的是,上游厂商的服务器,IP 地址不也是从 ARIN,RIPE NCC,APNIC,LACNIC,AfriNIC 几大区域注册管理机构处获取的吗?再往上想,就是 ICANN 管一切了。 大型 VPN 的可选择的一个「服务器节点」实际多数都是一个服务器集群,具备多个 IP 地址,IP 动态分配,用户长时间连接时候有可能会自动重连中途更换 IP。如果是同一个 IP 段还好,如果是不同的 IP 段,可能会被用户浏览的实际目的地服务器错误识别为变更地理位置而触发账户安全风控,影响使用体验。

与之相反的是少数静态 IP 的服务器,每一个服务器节点只有一个 IPV4 和/或 IPV6 地址。但可能总负载能力相对较低。 有的 VPN 为用户提供额外付费的独享 IP 地址,一定程度能降低各种服务对共享 IP 地址的封锁与风控,但也牺牲了一定的隐私。 有的服务器 IP 地址与服务器物理位置不一样,称为广播 IP。与其相对的是原生 IP,即 IP 地址与服务器物理地址所在地一致。 绝大多数 VPN 的 IP 地址都属于商用网络的 IP 段,但有极少数 VPN 服务器有家用网络 IP 段的 IP 地址。

各 VPN 具体评分

以笔者鸡蛋里挑骨头般严厉的找茬,市面上目前没有完美的产品。连接近完美的都没有。

第一档 8 分 瑕不掩瑜

Surfshark VPN

总部司法管辖地

  • 荷兰

严重缺陷

  • 连接之后无法连接本地 IP 地址〔LAN〕,这意味着无法查看路由器后台和 VNC 远程桌面等。担心本地 IP 地址中间人攻击,可以加入 NAT 保护嘛。
  • Linux 客户端还有些比较严重影响使用的 bug。

存疑之处

  • Surfshark 公司与 NordVPN 母公司 Nord Security 已经合并。
  • Surfshark Search 与 DuckDuckGo 的搜索结果到底有何区别?

可改善之处

  • 双重 VPN 服务器无法自选,只有固定的线路。
  • 无 IPV6。
  • 第三方测试和背书不包含客户端的安全性,客户端亦未开源。

优点

  • 无限多台设备同时登录!而且分享是通过随机生成的代码,不用担心用户名密码被分享给的人盗取。
  • 所有 VPN 服务器全内存运行,无硬盘。
  • 德国 Cure53 在 2021 年通过对 Surfshark 服务器设施安全的背书。
  • 稳定解锁流媒体。
  • 提供数个静态 IP 服务器。
  • WireGuard 通过服务器双重 NAT 解决隐私顾虑。
  • 便宜〔黑五+优惠码叠加后 24+3 个月套餐实际 1.97 美元/月〕。
  • 超过 100 个国家和地区拥有服务器〔尽管很多都是广播 IP〕。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 8 分,不适合需要连线局域网内设备的用户。

官网 https://surfshark.com/

ExpressVPN

总部司法管辖地

  • 英属维尔京群岛

严重缺陷

  • KillSwitch 只有基础的层级。

存疑之处

  • 收购其的母公司 Kape Technologies 手里已经有 Private Internet Access、ExpressVPN、Zenmate、CyberGhost,这是要召唤神龙么?
  • 一名前 NSA 雇员 Daniel Gericke 成为 ExpressVPN 的 CIO。
  • 副主席 Harold Li 来自香港特别行政区〔不过人在新加坡? 〕。

可改善之处

  • 无 IPV6。
  • 无双重 VPN 功能。
  • iOS 端无应用内 KillSwitch,只能用系统自带的 Always-on VPN 功能。
  • 价格稍贵〔最低价 99.99 美元 15 个月〕。
  • VPN 服务器实时负载状况和在线人数不透明。
  • 作为昂贵的 VPN 服务,总的 IP 地址池只有 3000 多个,意味着「万人轮」的 IP 地址被标记进 abuse database 的概率较大。

优点

  • VPN 服务器无永久存储、全内存运行〔diskless sever,或者叫 RAM-only server 或 RAM-disk server〕模式的祖师爷。独有技术 TrustedServer 让所有服务器完整切换到最新的软件环境而不是分批升级保障服务器端安全,由第三方,世界四大会计师行之一的英国 PwC 独立检验并背书。
  • 2017 年土耳其警方物理带走了 ExpressVPN 土耳其服务器以调查俄罗斯驻土耳其大使被刺杀案也未能拿到日志,无日志运行也有 2022 年英国 KPMG 的最新背书。
  • 芬兰的 F-Secure 为 ExpressVPN 的 Windows 客户端做了详细安全检测并背书。Mac OS 与 Linux 客户端的安全检查与背书则由 Cure53 完成。
  • 稳定解锁各种流媒体服务。
  • 不走寻常路。别的厂家拥抱 WireGuard 的时候,ExpressVPN 却自主研发出基于 wolfSSL 的 Lightway 协议,速度如火箭一样快,安全性通过独立第三方 Cure53 测试并背书,核心部分在 Github 公布源代码。
  • 可以分出五组虚拟网卡,同时五个不同连线〔甚至包括断网和不走 VPN〕的路由器原生 GUI 客户端并带有 Killswitch 和超快的 Lightway 协议。使用时可以分出一组断网〔但可以与内网 IP 地址连通〕把本设备临时放到断网组解决切换服务器时无永久 KillSwitch 的弊端。市面上最好的路由器非传统协议支持〔路由器手动加载 OpenVPN 文件设置 KillSwitch 很麻烦〕,并推出官方硬件的 Aircove Router。
  • 94 个国家和地区拥有服务器〔尽管有些是广播 IP〕,70%服务器已经万兆。

推荐指数 8 分。

官网 https://expressvpn.com

Private Internet Access

总部司法管辖地

  • 美国

严重缺陷

  • 桌面版的高级切断开关是半永久 KillSwitch,手滑点断开连接会断网,但不小心登出账号或关闭 APP 就失效,不过登出和退出的位置一般也不太容易轻易按到。 存疑之处
  • 收购其的母公司 Kape Technologies 手里已经有 Private Internet Access、ExpressVPN、Zenmate、CyberGhost,这是要召唤神龙么?

可改善之处

  • 无 IPV6。
  • 美国服务器广播 IP 太多,并不是真实的每个州都有服务器。

优点

  • 所有 VPN 服务器全内存运行,无硬盘。
  • 除了独立第三方 Deloitte Audit 罗马尼亚分公司背书,还有多次法院的「背书」证明确实无日志。
  • 所有支持系统的 APP 全部开源,原生 Linux GUI 客户端支持。
  • 可以通过数个官方 Shadowsocks 服务器或用户自己搭建的本地代理做 VPN 的前置中转。
  • 庞大的 IP 地址池,加上独享 IP 的库存总 IP 地址数是五位数。
  • 官方支持并在加密货币支付教程中提到了使用临时邮箱注册。
  • 稳定解锁大多数流媒体服务。
  • 拆分隧道除了拆分 App 绕过 VPN,还能设置 IP 地址绕过 VPN。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 8 分。

官网 https://www.privateinternetaccess.com/

VyprVPN

总部司法管辖地

  • 瑞士

存疑之处

  • 虽然总部位于瑞士,但工作处位于美国德州〔尽管美国宪法保障通讯自由,联邦政府无权要求 VPN 记录日志〕。 可改善之处
  • Linux 只有 CLI,没有 GUI。
  • 不支持加密货币支付。
  • 流媒体解锁情况并不像官方宣称的那样好。

优点

  • 创始人 Yokubaitis 夫妇就是做 ISP 出身〔Texas.Net,和现在的 Data Foundry〕,完全拥有所有服务器控制权,并非从上游 IDC 厂商租用,VyprVPN 的 IP 地址池拥有超过 30 万个 IP 地址,可能是全球 IP 地址最多的个人 VPN 服务,理论上对抗流媒体提供商「封锁」的 IP 储备非常丰富。
  • VPN 业界内首个主动寻求第三方独立背书的无日志运行证明,背书方为美国 Leviathan Security Group。
  • 伪装 VPN 元数据的专有协议 Chameleon 在调试自由度不高的 iOS 端也能支持。
  • Windows 与 Android 拥有应用拆分隧道,自主决定哪些程序不走 VPN。
  • VPN 服务器端已经开始部署流量混淆。
  • 在部分 DD-WRT 路由器上支持自己的专有小程序,有 Chameleon 协议,市面上唯二的支持路由器运行自研协议的 VPN 之一〔另一家为 ExpressVPN〕。

推荐指数 8 分。如果担心 VPN 提供商对网络基础设施拥有不够彻底,就不要犹豫,选择 VyprVPN 就是了!

官网 https://vyprvpn.com

ProtonVPN

总部司法管辖地

  • 瑞士

存疑之处

  • Proton 聘用了著名产品服务评测写手,例如仍然供职于 Proprivacy 的作者 Douglas Crawford 为其写官方博客文章。
  • 所有 VPN 服务器都是通过硬盘运转,尽管都做了全盘加密处理。
  • VPN 客户端与 ProtonMail 同一个登录密码。
  • Debian/Ubuntu 版 Linux 客户端在 Pop!OS 系统〔基于 Ubuntu〕偶尔出现永久 KillSwitch 在长时杀掉 VPN 连接本身的问题,重新登录时候永久 KillSwitch 也会阻止登录本身,需要先关闭永久 KillSwitch 登录后再开启。

可改善之处

  • Linux 客户端只有 OpenVPN UDP 协议,且两步骤验证在 Linux 客户端形同虚设,直接靠密码就能登录。
  • ProtonVPN 最新的伪装技术〔stealth〕仅可用于 Android, iOS, MacOS 三个系统。
  • Proton 官方完全控制的 SecureCore 中转服务器〔相当于双重 VPN 的入口〕仅有瑞典、瑞士、冰岛三处节点,中转后速度有时会暴降,最后的出口服务器只能选择国家和地区不能选择国家和地区内具体地点。
  • 只有黑五等促销期间年付价格才比较便宜,尤其是邮箱+VPN+存储+日历全家桶。

优点

  • 今年通过了独立第三方,波兰 Securitum 最新的服务器无日志安全检测并背书。
  • 来自 CERN 与 MIT 的科学家们给世界带来的礼物,值得信赖。
  • 所有系统的客户端均完全开源并通过独立第三方,奥地利 SEC Consult 安全评估并背书。
  • 有永久 KillSwitch,即使 Daemon 挂掉也能阻止数据流入流出。
  • 业界第一个发现 iOS 的 VPN 会有数据泄漏在 VPN 隧道外并积极向苹果报告。
  • 付费服务器保障解锁流媒体,部分服务器可以直连 Tor 网站(.onion)而不需要额外的 Tor Browser。
  • 提供日本、美国、荷兰三国总共多达数十个免费 VPN 服务器,无流量上限,但是速度不稳定且不支持 P2P。

推荐指数 8 分。

官网 https://protonvpn.com

第二档 6- 7 分 问题不大

CyberGhost

总部司法管辖地

  • 罗马尼亚

存疑之处

  • 收购其的母公司 Kape Technologies 手里已经有 Private Internet Access、ExpressVPN、Zenmate、CyberGhost,这是要召唤神龙么?

可改善之处

  • OpenVPN 协议无任何流量混淆选项,容易被本地 ISP 盯上。
  • 解锁 DAZN 失败。
  • 去广告功能不够智能。

优点

  • 有为游戏优化的法兰克福、伦敦、纽约、巴黎服务器,低连接延迟,低丢包率。
  • 长达 45 天的无条件退款政策。
  • 世界四大审计行之一的 Deloitte 在 2022 年检查了 CyberGhost 的服务器网络和管理系统,并给无日志政策背书。
  • 官网对于非必须的 cookie 可以自主选择是否接收。
  • 提供免费的 Firefox 和 Chrome〔其他基于 Chromium 的浏览器通过 Chrome 商店也能安装〕代理浏览器插件。

推荐指数 7 分。玩欧服与美东服游戏,P2P 下载都可以考虑。

官网 https://www.cyberghostvpn.com/

NordVPN

总部司法管辖地

  • 巴拿马

严重缺陷

  • 实测 Windows 客户端登录要通过网页〔浏览器是会跟自己的服务器通信的,登录的网页实测含有 akamaiedge、google-analytics 等第三方 tracker,这两者都会让原始 IP 暴露〕。
  • 笔者不明白为什么 NordVPN 要如此设计。

存疑之处

  • 服务器曾经出现过数据泄露〔在升级到全内存运行之前的事〕。
  • Surfshark 公司与 NordVPN 母公司 Nord Security 已经合并。
  • NordLynx 协议没有开源。

可改善之处

  • Linux 只有 CLI,无 GUI。
  • 端对端加密云端存储 NordLocker 是闭源的,不如 Proton 家的开源全家桶来得放心。

优点

  • 所有 VPN 服务器全内存运行,无硬盘。
  • 无日志运行通过 PWC 瑞士分公司 2019 年与 2021 年两次背书。
  • 美国 Versprite 完成深度安全测试并背书。
  • 稳定解锁流媒体。
  • NordLynx 协议基于 WireGuard 非常快,并且通过双重 NAT 方式解决了原版 WireGuard 服务器留下 IP 地址的问题。
  • iOS 端有整合进应用内的 KillSwitch。
  • 原生支持 M1 芯片的 Mac〔那么 M2 应该也可以〕。
  • 除了支持加密货币支付,还支持在线亚马逊和包括沃尔玛在内的线下商店购买实体激活码刮刮卡。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 7 分,不适合有隐私顾虑的 Windows 用户,但绝对是广大果粉的最优选择,在 iOS 和 Mac 表现都是顶级水平。

官网 https://nordvpn.com

Hide.me

总部司法管辖地

  • 马来西亚

存疑之处

  • 总部位于马来西亚〔尽管 Hide.me 官方宣称根据马来西亚法律,他们的 VPN 服务器可以无日志运行〕。
  • 早在 2015 年,Hideme 官方就宣称自己是最早的通过独立第三方背书的 VPN〔VyprVPN 是 2018 年〕,但背书者为自然人个人〔Defense Code Ltd 的创办人和总裁 Leon Juranic〕,且未公开详细报告。 可改善之处
  • 只有 Linux 的 CLI 客户端在 Github 开源,且 Linux 端设置比较复杂,无直观的 GUI。
  • 速度稍慢。

优点

  • 付费服务器能解锁很多流媒体。
  • Windows 和 Mac 客户端支持 SoftEther 协议。
  • 所有 VPN 服务器全内存运行,无硬盘〔通过与他们的客服联系后确认〕。
  • 支持门罗币支付。
  • IPV6 支持。
  • 提供数个静态 IP 的 VPN 服务器。
  • Stealth Guard 中的 Bind Internet to VPN 就是永久 KillSwitch 功能,即使客户端关闭,KillSwitch 依然在工作。
  • 提供 8 个地点的免费 VPN 服务器,免费用户同样享受 24/7 真人客服实时对话服务,但每月限制 10GB 流量。实际上新下载 Windows 客户端直接免费送 7 天高级服务器使用权无流量上限,而且不需要提供任何信息,包括邮箱。
  • 提供免费的 Firefox 和 Chrome〔其他基于 Chromium 的浏览器通过 Chrome 商店也能安装〕代理浏览器插件。

推荐指数 7 分。

官网 https://hide.me/

PureVPN

总部司法管辖地

  • 英属维尔京群岛〔曾经香港特别行政区〕

存疑之处

  • 曾经向执法部门出卖过用户〔但从技术角度来看不是提供了连接内容日志,而是用户自己已经暴露了足够多的信息,criminals are cowards〕。 可改善之处
  • 端口转发功能要额外加一点点钱。 优点
  • Windows 和 Android 的客户端有应用拆分隧道,可以选择部分应用不走 VPN。
  • 便宜的独享 IP 地址价格。
  • 在出卖用户事件几年后,PureVPN 决定让公众信服,业内率先采取「连续背书」模式,在世界四大会计师行之一的英国 KPMG 已经背书两次前提下,邀请 KPMG 任何时候可以不请自来额外做突击检查。

推荐指数 7 分。

官网 https://purevpn.com

Windscribe

总部司法管辖地

  • 加拿大

存疑之处

  • 官方在 App 的 news feed 栏里下作地骑脸嘲讽 Kape Technologies,发布愚人节玩笑——Windscribe改名为牛屎VPN,被大大大大大企业Gape Technologies以高高高高高价收购。
  • 无日志政策尚未有独立的第三方背书。
  • 2021 年乌克兰警方物理带走服务器做调查,但 Windscribe 宣称没有流量被监控。此后 Windscribe 开始「」事后诸葛亮「」式的安全更新,并准备升级成去硬盘服务器〔只运行在内存上〕。
  • 新账号如果通过公共代理或 VPN 的 IP 地址注册,需要联系客服解锁才能完成支付,否则是永远的免费账号。

可改善之处

  • 3 天无条件退款政策。
  • 无 24/7 在线真人客服,官网只有个机器人,与客服联系需要通过邮件或 Reddit。
  • App 在 Github 开源,但仅限 Windows/MacOS/Linux 桌面端。
  • 一年里仅有少数几轮优惠,平日年付价格高达 69 美元,优惠期是 29 美元。
  • 部分服务器禁止 P2P〔但不是很大的问题〕。
  • SmartDNS 功能要额外加钱。

优点

  • App 的 API 有多个备用线路。
  • 不想在无折扣期间年付可以设置义两到三个服务器国家和地区按月订购,无限流量每月 1 美元,每一个国家和地区每月 1 美元。
  • 无限台同时登录设备。
  • 可加钱 96 美元/年购买共享的家宽 IP 段固定 IP,享受隐私的同时还能有家用 IP 带来的便利。
  • 拆分隧道可以添加应用、IP 地址或者域名。
  • 近乎完美的流媒体支持。
  • 免费账号有多达 11 个国家和地区的超多个服务器地点可供选择且不限速〔对,付费用户专享的服务器地点并不占总数中的大多数〕,且具备 DNS 拦截恶意软件功能,但每个月流量限制 10GB,偶尔会有 coupon 增加几十 GB 的免费流量,免费服务器解锁流媒体性能也良好,我用 Windscribe 免费服务器解锁成功了 F1 Pro。
  • 唯一的带 KillSwitch 和修改浏览器时区、语言与 IP 地址所在地一致功能的浏览器代理插件。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 7 分。

官网 https://windscribe.com/

OVPN

总部司法管辖地

  • 瑞典

可改善之处

  • 只有 10 天无条件退款政策。
  • 桌面端无拦截广告功能。
  • OpenVPN 协议无任何混淆选项,容易被本地 ISP 识别。
  • 远距离的 VPN 服务器速度下降明显。
  • 无 24/7 在线的真人客服。

优点

  • 法庭「背书」过的无日志,甚至有律师费或诉讼费用支出。
  • 对收到各种数据请求情况透明。
  • 邮箱不是必须要填写的。
  • 支持比特币、以太坊和门罗币支付。
  • 所有 VPN 服务器均为自助搭建托管〔co-located〕,全内存运行,无硬盘,支持 IPV6。
  • WireGuard 服务器自动删除三分钟无密钥交换的对等节点的信息,最小化信息留存可能。
  • 半年付与年付都有免费附加的双重 VPN 功能。

推荐指数 7 分,不适合需求速度的用户。

官网 https://www.ovpn.com

WeVPN

总部司法管辖地

  • 英属维尔京群岛

存疑之处

  • 2020 年才开始运营的业界萌新。

可改善之处

  • 加密货币支付无法退款。
  • 这么雄心壮志的话,干脆把客户端开源了吧。
  • 独立第三方的背书目前还没有。

优点

  • 路线图十分明确,一步一个脚印向前进,功能越来越强大,看起来充满雄心,也能给用户信心。
  • 在完全内存运行基础上通过 LUKS 加密进一步保障 VPN 服务器安全,服务器自动化管理。
  • 支持门罗币支付。
  • 提供免费的加密公共 DNS 服务。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 7 分,前途无量。

官网 https://wevpn.com

PrivateVPN

总部司法管辖地

  • 瑞典

存疑之处

  • 并未选择仅内存运转的服务器。

可改善之处

  • 长期订阅只有 72 美元三年付选项〔尽管官方美化成 12+24 个月〕。
  • 无原生 Linux 支持。
  • 偶有掉速。

优点

  • 官网对于非必须的 cookie 可以自主选择是否接收。
  • 在 KillSwitch 基础上增加了应用卫士,VPN 意外断联时候自动关闭选择的 App。
  • 优秀的流媒体支持,解锁超过 30 个 Netflix 区库。
  • 执法机关多次「背书」的无日志记录。

推荐指数 7 分。

官网 https://privatevpn.com/

Mullvad

总部司法管辖地

  • 瑞典

存疑之处

  • 无密码无邮箱模式,即只有用户数字号码,尽管隐私极佳,但账号被盗将变成与盗号者「共用 5 个设备槽」的情况。

可改善之处

  • 尚未实现全服无硬盘,但哪些服务器使用硬盘,哪些服务器是租用在 App 里可查看。
  • 最近一次独立第三方德国 Cure53 背书已经是 2020 年了。
  • 双重 VPN 仅限 WireGuard 协议,且 iOS 与 Android App 没有双重 VPN。

优点

  • 所有系统〔Windows, MacOS, Linux, Android, iOS〕客户端完全开源。
  • 最佳的 Linux VPN GUI 客户端。Windows/MacOS 与 Linux 拥有真正的随系统启动与融合进系统底层防火墙的永久 KillSwitch,其中 Windows 使用 WFP,Linux 使用 nftables,MacOS 使用 PF。我做过 Wireshark 嗅探 Linux 虚拟机网络流量的测试,结合启动阶段的 Mullvad Daemon 提示,推断完全不会暴露虚拟机的通过 NAT 共享自宿主机的 IP 地址。
  • 独立的原生 Linux Arm 客户端,最佳的 Raspberry Pi 支持。
  • 月付与年付价格都一样,平日与促销时期价格都一样,5 欧元/月,账号可以用完就扔,加密货币〔比特币、比特币现金与门罗币〕支付每月优惠至 4.5 欧元且不通过中介。
  • 在一些合作的在线和线下商店出售实体激活码刮刮卡。
  • 运营主体 Mullvad VPN AB 的母公司 Amagicom AB 为一家独立、私有的瑞典小公司,还在做开源固件〔2022 年 9 月 19 日-21 日在德国波鸿举办的开源固件会议主办方为谷歌、Mullvad 与 9elements〕,和类似 Yubikey 的硬件安全验证器 Tillitis TKey,并且做到了硬件开源。
  • 业界第一个发现 Android VPN 有跟 iOS VPN 类似的 VPN 隧道外流量的问题,并积极向谷歌报告。
  • 完全自由选择入口和出口服务器的双重 VPN。
  • 支持 IPV6。
  • OpenVPN 有 Shadowsocks 和 V2Ray 两种混淆网桥。
  • WireGuard 也有 UDP over TCP 混淆法,并在服务器端每隔 180 秒删除一次无握手反馈的对等节点信息。
  • 提供免费公共 DNS 服务 Mullvad DNS。

推荐指数 7 分,不适合小白,不适合看流媒体,但经常使用 Linux 系统工作的码农和隐私技术宅狂喜。

官网 https://mullvad.net

Atlas

总部司法管辖地

  • 美国

严重缺陷

  • Android 客户端不直接提供 apk,只有通过 Google Play 下载。

存疑之处

  • 2019 年才娓娓道来的业界萌新,并未久经沙场。
  • 已经被 NordVPN 母公司 Nord Security 收购。
  • VPN 服务器采用全盘加密而非仅内存模式。
  • KillSwitch 启动时候的自动重连有些问题。

可改善之处

  • Linux 客户端只有.deb 的 CLI,无 GUI,更无法兼容 Red Hat 系列系统〔例如 Fedora,CentOS〕。
  • Windows 客户端偶发卡顿
  • 没有类似白名单的分流功能

优点

  • 独有的 SafeSwap 技术像代理一样能在不同的在线会话跳转不同 IP 地址,进一步保障隐私和规避广告商的追踪。
  • 付费服务器稳定解锁流媒体、无同时登录设备数限制
  • 各个客户端 UI 统一、界面设计清晰美观
  • 所有系统的 app 均有荷兰阿姆斯特丹、美国洛杉矶美国纽约三个地点的免费 VPN 服务器,且支持 P2P,但每月限制 5GB 流量。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 7 分。

官网 https://atlasvpn.com/

PrivadoVPN

总部司法管辖地

  • 瑞士

可改善之处 -VPN 网络规模较小,服务器和 IP 地址偏少。 -缺乏拦截广告等附加功能。 -付费用户无法解锁 DAZN 和日区 Netflix。

优点 -提供阿根廷布宜诺斯艾利斯,巴西圣保罗,加拿大蒙特利尔,法国巴黎,德国法兰克福,墨西哥墨西哥城,荷兰阿姆斯特丹,瑞士苏黎世,英国伦敦,美国洛杉矶、迈阿密、纽约、华盛顿共 10 国 14 城市的免费服务器,每月 10GB 流量限制,而免费服务器也可以随缘解锁美区 Netflix。 -KillSwitch 直接就是永久的〔相当于断网的防火墙〕,即使没有连接 VPN 时也不会暴露初始 IP 地址。

推荐指数 7 分。

官网 https://privadovpn.com

AzireVPN

总部司法管辖地

  • 瑞典

严重缺陷 Android 客户端不直接提供 apk,只有通过 Google Play 下载。

可改善之处 -无原生 Linux 客户端,需要下载 WireGuard 组件。 -加密货币支付无退款。 -无法解锁 Netflix 等。

优点 -IPV6 支持。 -VPN 服务器来自永久购买而非租用,无硬盘仅通过内存运行,并物理屏蔽了 USB、VGA 和串行接口。

推荐指数 7 分。不适合用 BlissOS、LinageOS 等去谷歌商店第三方开源安卓系统的用户。

官网 https://www.azirevpn.com/

IVPN

总部司法管辖地

  • 直布罗陀

存疑之处

  • 无密码无邮箱的纯数字账号,被盗号将无法重新获取控制。
  • 「同时在线设备数」算的是未从 IVPN 的中心验证系统登出数而不是实际连线数,意味着两台设备直接关机的话第三台设备登录时候必须先顶号。 可改善之处
  • 价格比市场定位相似的友商 Mullvad 贵很多,标准套餐月付 6 美元,年付 60 美元,却只允许两台设备同时登录,高级套餐终于支持自由的双重 VPN 和端口转发,价格却是年付 100 美元且只允许 7 台设备同时登录,因为美元上涨以欧元结算的 Mullvad 已经显得更划算了。 优点
  • 隐私保护超好,所有系统的客户端全部开源,德国 Cure53 作为独立第三方使用检验了 IVPN 客户端、Daemon 安全性并背书,早先 Cure53 也证明了 IVPN 服务器不记录日志……
  • 可通过本地代理做 OpenVPN TCP 的前置网桥〔与 Private Internet Access 类似〕。
  • 通过特殊技术让服务器的 WireGuard 避免公网 IP 地址残留。
  • IVPN 团队规模小而独立,资助 EFF 等机构,还是 Tor 的某出口节点机主。
  • 部分服务器支持 IPV6。
  • 桌面端的 KillSwitch 在系统加载时候就已经生效,意味着不会有哪怕一丁点时间的 IP 地址外泄,支持真永久 KillSwitch,哪怕登录之前也可以选择封锁网络连接。
  • 支持门罗币和比特币、比特币闪电链支付,有独立的 BTCPay 服务器。

推荐指数 6 分。是 Mullvad 的下位替代品。

官网 https://ivpn.net

AdGuard VPN

总部司法管辖地

  • 塞浦路斯

存疑之处

  • AdGuard 最早创立于莫斯科〔希望是一群像杜叔叔一样热爱自由的人〕。
  • Android 端 KillSwitch 依赖系统自带的。
  • 没有独立第三方背书。

可改善之处

  • 服务器规模小,没有新西兰服务器。
  • 不支持加密货币支付。
  • 无 24/7 在线真人客服。
  • 作为以保护隐私见长的公司,没有 Linux 客户端。

优点

  • 新人可以在 12 个地点的服务器免费体验 5GB 流量,初始 3GB,确认邮箱和增加另一台设备各增加 1GB 流量。
  • DNS 选项丰富,除了 AdGuard VPN 内置 DNS 外,还可以选择能过滤广告和追踪器或不过滤任何信息的的 AdGuard DNS,额外增加去成人内容激活安全搜索与安全模式的家庭保护型 AdGuard DNS,谷歌 DNS,Cloudflare DNS 家族,Open DNS 家族,Quad9, 或者自主添加 DNS。
  • 可以自主把指定域名、IP 地址或者应用排除在 VPN 隧道外。
  • 母服务 AdGuard 团队声誉良好。
  • 独有协议在掩盖 VPN 流量特征同时保持高速度。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 6 分。

官网 https://adguard-vpn.com/

IPVanish

总部司法管辖地

  • 美国

存疑之处

  • 曾经向法庭或警方出卖过用户的上网记录〔虽然该罪犯是罪有应得〕。
  • 母公司 Ziff Davis 集团太过于家大业大。

可改善之处

  • 不支持加密货币支付,只有信用卡和 PayPal 可选。
  • 无原生 Linux 客户端。

优点

  • 拥有自己独立的骨干网。
  • 同时使用设备数量无限制。
  • 2022 年美国 Leviathan Security Group 作为第三方,独立检查了 IPVanish 的服务器配置并给无日志政策背书。

推荐指数 6 分。

官网 https://ipvanish.com

AirVPN

总部司法管辖地

  • 意大利

存疑之处

  • 尽管隐私政策大饼无比美好,但尚未有第三方独立背书证明确实无日志。

可改善之处

  • 没有 iOS 客户端。
  • 客户端 Eddie 在 Linux Debian/Ubuntu/Fedora 等系统都不能开机自动启动,需要先输入系统管理员密码。
  • 作为偏向隐私与数据安全的 VPN,DNS 不带拦截广告和恶意软件功能。
  • 一年只有万圣节、黑五和圣诞期间有优惠。

优点

  • 客户端 Eddie 在所有支持系统完全开源,可调试选项丰富,业界少有的原生 Arch Linux 客户端,可安装也可用 TARGZ、AppImage 和 Mono 的便携版,除了 GUI 客户端 Eddie 外还有融入系统底层的完全开源 CLI 客户端 AirVPN Suite。
  • 真正的永久 Killswitch,即使 Daemon 挂了,原始 IP 地址也无法对外通信。
  • 所有 VPN 服务器全内存运行,无硬盘,支持 IPV6。
  • 可以不填写邮箱或者用 10 分钟的临时邮箱注册,通过用户名和密码就能登录与进用户后台。
  • 付款信息与用户信息分开,加密货币支付更是有独立的接收地址而不是通过 CoinGate 之类的第三方中介,支持门罗币支付。
  • 官网没有追踪用户的 cookie。
  • 由律师、活动家、白客等创立和运营,注册地佩鲁贾是个小城,为维基解密捐过款。

推荐指数 6 分,不适合小白和流媒体狂人,适合大神用户。

官网 https://airvpn.org

Ivacy

总部司法管辖地

  • 新加坡

存疑之处

  • 总部位于新加坡〔可怀疑的理由与马来西亚一样〕。

可改善之处

  • OpenVPN 没有混淆能力。

优点

  • 可邮件联系客服批发购买服务。
  • 虽然 Linux 系统只有 CLI 客户端,但少有的支持 Arch Linux,当然还支持 Debian,Ubuntu,Fdeora,CentOS 和 Linux Mint。
  • 完善的流媒体解锁支持,官方承诺解锁 16 个主要的 Netflix 区库等流媒体服务。
  • 仍在打折期的黑五折扣 5 年 60 美元赠送 1 个月来自西班牙的 2TB 开源端对端加密云盘服务 Internxt,并且,可!以!白!嫖!与客服聊天后得知,即使 redeem 了赠送的 Internxt 激活码,VPN 服务依然可以 30 天内无条件退款,相当于白嫖一个月 VPN+云端硬盘。
  • StackSocial上有低价的激活码〔没有退款政策〕。

推荐指数 6 分。

官网 https://www.ivacy.com/

ZoogVPN

总部司法管辖地

  • 希腊

存疑之处

  • 无日志政策无第三方独立背书。

可改善之处

  • Android 没有应用内嵌 KillSwitch,需借助系统设置。
  • 只有 7 天无条件退款。

优点

  • 每月 10GB 免费流量,有 7 台服务器可供使用,其中德国杜塞尔多夫 2 号服务器、荷兰阿姆斯特丹 1 号服务器、德国测试 1 号服务器与新加坡测试 1 号服务器支持 P2P,德国杜塞尔多夫 2 号服务器、新加坡 2 号服务器、德国测试 1 号服务器和新加坡测试 1 号服务器带抗封锁技术 ZoogShadow,德国测试 1 号服务器和新加坡测试 1 号服务器甚至还带有流媒体优化技术 ZoogPlay。

推荐指数 6 分。

官网 https://zoogvpn.com/

CactusVPN

总部司法管辖地

  • 摩尔多瓦

存疑之处

  • 无日志政策无第三方独立背书。

可改善之处

  • 流媒体解锁能力差。
  • P2P 下载仅限少数几个服务器。
  • 无原生 Linux 支持。

优点

  • 无同时登录设备数限制。
  • 多种流量混淆技术。

推荐指数 6 分。

官网 https://www.cactusvpn.com/

VPNArena

总部司法管辖地

  • 保加利亚

存疑之处

  • 全盘加密而非运行在内存上。

可改善之处

  • Linux 仅有 CLI。
  • 仅有极少数服务器支持混淆协议 Stunnel。

优点

  • 美国任意州的独享 IP 只要额外加 20 美元/年,不过有月度流量限制〔500GB 到 2000GB 不等〕。

推荐指数 6 分。

官网 https://vpnarea.com/

VPN.AC

总部司法管辖地

  • 罗马尼亚

存疑之处

  • Android 客户端无应用内 KillSwitch,需要调用系统的 Always-on VPN 功能。
  • Linux 客户端两年未更新了,仅支持 Debian/Ubuntu 及分支。
  • 一部分日志会保留到当次 VPN 会话结束。

可改善之处

  • 无条件退款政策仅 7 天。
  • 无 24/7 在线真人客服,与客服联系有工单〔可转发为邮件〕和端对端加密通讯软件 Wire 两种方式。
  • 双重 VPN 只有有限的默认路径。
  • 年付价格 55.1 美元,两年付价格 85.5 美元,对比同档次竞品偏贵,没有黑五特价。
  • 只能解锁部分流媒体〔可解锁 Netflix〕。
  • 经实测发现即使连接美国 VPN 服务器,提供 DNS 的服务器依然在加拿大,可能会增加延迟。 优点
  • 母公司为一家独立的罗马尼亚小公司 Netsec Interactive Solutions,同时在做安全硬件存储产品和渗透测试的业务。

推荐指数 6 分。

官网 https://vpn.ac/

第三档 5 分 中规中矩

TunnelBear

总部司法管辖地

  • 加拿大

严重缺陷

  • 不允许 P2P 下载!
  • 客户端程序崩溃时 KillSwitch 也会失效。

可改善之处

  • 缺乏实时在线客服。
  • 无原生 Linux 支持。
  • 只有 48 个 VPN 服务器国家和地区。
  • 无法解锁 DAZN,Netflix 只能解锁英国和美国区。
  • 只有每月 500MB 流量限制的免费账号有什么用呢?推特夸一下也只能再增加 1GB。

优点

  • 聘请 Cure53 进行年度安全测试与背书。 -Android 和 iOS 支持应用拆分隧道,可选择某些应用不过 VPN。

推荐指数 5 分。

官网 https://www.tunnelbear.com/

Perfect Privacy

总部司法管辖地

  • 瑞士

存疑之处

  • 凭什么卖得比 ExpressVPN 还贵?〔年付 119.99 美元,两年付 214.95 美元〕
  • 无理由退款只有 7 天。
  • 无原生 iOS 客户端。
  • 解锁流媒体的水平完全对不起售价。

优点

  • 荷兰洛特丹服务器通过荷兰警方「考验」。
  • 经常更新的透明报告。
  • 支持 IPV6 和多达最多四跳的多重 VPN,拦截广告和钓鱼网站技术出众,有基于神经网络的智能连接优化。
  • 所有 VPN 服务器的 socks5 和 http 代理功能可直接解析洋葱〔.onion〕地址。

推荐指数 5 分。以上优点有的只是花里胡哨。

官网 https://www.perfect-privacy.com/

StrongVPN

总部司法管辖地

  • 美国

存疑之处

  • 运营主体 Strong Technology, LLC 的母公司 Ziff Davis 集团过于家大业大。

可改善之处

  • 无原生 Linux 客户端。

推荐指数 5 分。

官网 https://strongvpn.com/

TorGuard

总部司法管辖地 -美国

存疑之处

  • Android 没有应用内 KillSwitch,需要调用系统的 KillSwitch 和 block connections without VPN 选项。
  • 官网封禁了来自一些其他 VPN 的 IP 的浏览,不知道是否是误杀。就算能浏览的 IP 也要先过一遍 Cloudflare 的保护。

可改善之处

  • 加密邮箱服务 Private-Email 价格巨贵无比。
  • 只有七天退款,且前提条件是未购买独享 IP 的普通套餐订阅。
  • 解锁流媒体的服务器需要额外加钱买独享 IP 地址。

优点

  • 这个名字会让人联想到 Tor Project,但实际上两者并没有直接关联。官方解释是 TorGuard 的 tor 字眼代表 torrenting,以表达该 VPN 对于安全使用 bittorrent 的支持,而 TorGuard 官方亦有捐助 Tor Project。
  • 少有的原生客户端支持 ArchLinux,甚至 Arm Arch。
  • 全新业务,提供业内首家基于 WireGuard 的自助管理远程服务器后台,可连接居家设备的云端 VPN 服务〔每月限制 250GB 流量〕。

推荐指数 5 分。希望云端 VPN 能做成独门绝技。

官网 https://torguard.net

Trust.Zone

总部司法管辖地

  • 塞舌尔

可改善之处

  • Mac 上速度偏慢。
  • 支持协议太少。
  • 退款仅 10 天且前提条件是流量总消耗未超过 1GB。

优点

  • 部分服务器是静态 IP。
  • 提供 3 天 1GB 免费试用。

推荐指数 5 分。

官网 https://trust.zone/

HideMyAss

总部司法管辖地

  • 英国

存疑之处

  • 2011 年向警方提供过用户日志〔Lulzsec 事件〕导致 HideMyAss 口碑不佳。

可改善之处

  • OpenVPN 协议无任何伪装。
  • 无原生 Linux 客户端。

优点

  • 被 Avast 收购,运营已经换得差不多了,跟当年的 HideMyAss 两波人了,对过去的事情态度很诚恳,也做了独立第三方,美国 VerSprite 的无日志背书。
  • 官网提供免费在线页面级代理。

推荐指数 5 分。 官网 https://www.hidemyass.com/

第四档 4 分 问题较多

KeepSolid VPN Unlimited

总部司法管辖地

  • 美国

严重缺陷

  • 原始 IP 地址会保留到当次 VPN 会话结束。

存疑之处

  • 提供 99.99 美元终身套餐,但非终身套餐价格都不划算。

可改善之处

  • 只有三个服务器允许 P2P。

推荐指数 4 分。

官网 https://www.vpnunlimited.com/

ZenMate

总部司法管辖地

  • 德国

严重缺陷

  • 无法自主选择服务器城市。

存疑之处

  • 收购其的母公司 Kape Technologies 手里已经有 Private Internet Access、ExpressVPN、Zenmate、CyberGhost,这是要召唤神龙么?

可改善之处

  • 付款方式只有信用卡和 PayPal。
  • Mac 和 iOS 只有 IKEv2 协议。

推荐指数 4 分。

官网 https://zenmate.com/

第五档 2-3 分 不要购买

MozillaVPN

总部司法管辖地

  • 美国

智商税,用的服务器都是 Mullvad 的,还卖得比 Mullvad 贵,而且不支持加密货币支付!

推荐指数 3 分〔3 分是给 Mozilla 面子〕。

Whoer VPN

总部司法管辖地

  • 塞浦路斯

存疑之处

  • 官方社交账号有 VK,网站内第三方 tracker 有 Yandex,令人怀疑运营团队是否与俄罗斯有资金关联。
  • 30 天「有条件」退款

可改善之处

  • OpenVPN 协议无任何伪装。
  • 无原生 Linux 支持。
  • 位于荷兰的唯一免费服务器速度基本属于不可用状态。

优点

  • 支持双重 VPN。
  • whoer.net 是一个出色的系统与浏览器 user agent 测试网站。

推荐指数 3 分。

官网 https://whoer.net

Hotspot Shield

总部司法管辖地

  • 美国

严重缺陷

  • 记录一些重要的连接日志。

存疑之处

  • 母公司 Aura 就因为拥有几家对隐私极不友好的 VPN 而臭名昭著,例如 Betternet 和 TouchVPN。

优点

  • 提供不限速不限流量的免费代理浏览器插件,虽然服务器极为有限。〔但友商家连免费公共代理都是没有日志的!〕
  • 基于 TLS 的 Catapult Hydra 专有协议。
  • StackSocial 上有低价的激活码〔没有退款政策〕。

推荐指数 2 分。

官网 https://www.hotspotshield.com

Astrill

总部司法管辖地

  • 塞舌尔〔曾经澳大利亚〕

现在的售价下缺点能掩盖一切优点!

推荐指数 2 分,奇贵无比,完全不值这个价。

官网 https://www.astrill.com/

SlickVPN

总部司法管辖地

  • 美国

存疑之处

  • 只有 Windows 和 Mac 客户端。
  • StackSocial 上还有超低价终身激活码,有智商税嫌疑。

推荐指数 2 分。

官网 https://www.slickvpn.com/

第六档 0 分 碰都别碰

TouchVPN

总部司法管辖地

  • 美国

直接无视! 推荐指数 0 分。

Hola VPN

总部司法管辖地

  • 以色列

绝对不要去碰! 推荐指数 0 分。

Betternet

总部司法管辖地

  • 加拿大

根本不要去考量! 推荐指数 0 分。

已经死掉或被收购后不再独立运作的 VPN

纪念的同时不要被山寨的名字骗了

TigerVPN

总部司法管辖地

  • 斯洛伐克

因为 Covid19 带来的严重影响,从 2022 年 7 月 15 日 10:00UTC 时间起永久停止服务了〔悲〕。

BlackVPN

总部司法管辖地

  • 香港特别行政区

不知何原因停运了,2018 年还好好的。

IbVPN〔Invisible Browsing VPN〕

总部司法管辖地

  • 罗马尼亚

被 StrongVPN 收购了,已经成为了 StrongVPN 的一部分。

SaferVPN

总部司法管辖地 以色列

被 StrongVPN 收购了,已经成为了 StrongVPN 的一部分。

冤大头懒人专用 VPN 路由器〔无需复杂手动设置,但价格很贵〕

  • VILFO 路由器 原生支持 VPN 部分列表:AzireVPN, ExpressVPN, HMA(HideMyAss), Hideme, IPVanish, Ivacy, IVPN, Mullvad, NordVPN, OVPN, Perfect Privacy, Private Internet Access, PrivateVPN, ProtonVPN, PureVPN, Surfshark VPN, VPNArena, Websecuritas, WeVPN, Windscribe 支持协议:OpenVPN, WireGuard 功能:KillSwitch,DNS 保护,家长控制,基于域名、IP 地址、端口的多种拆分隧道模式,〔即将实现〕物联网设备隔离…… 速度:最高千兆 WireGuard,最高 500 兆 OpenVPN。
  • FlashRouter 路由器 FlashRouter Privacy App 固件支持 VPN 部分列表:AirVPN, AnonVPN, Astrill, Azire VPN, CyberGhost, EarthVPN, ExpressVPN, Hide Me, HMA, Hotspot Shield, IPVanish, IronSocket, Ivacy, IVPN, Mullvad, NordVPN, Perfect Privacy, Private VPN, Private Internet Access, ProtonVPN, PureVPN, SlickVPN, StrongVPN, Surfshark, Torguard, Trust.Zone, TunnelBear, VPN.ac, VPNArea, Keepsolid VPN Unlimited, VyprVPN, Windscribe, Zenmate 支持协议:OpenVPN 功能:内置 IP 地址查询,启动即自动连接,全局 KillSwitch,分设备 KillSwitch,分设备绕过 VPN,域名白名单与黑名单,服务器自动更新……
  • Sabai 固件路由器 原生支持 StrongVPN。

DD-WRT 固件和 Tomato 固件路由器手工设置 Kill-Switch 教程

  • DD-WRT WireGuard 点击 setup – > Tunnels,开启 Kill Switch,然后 Save- >Apply Settings,重启路由。
  • DD-WRT OpenVPN Administration – > Commands 输入命令行 iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br -j ACCEPT iptables -I FORWARD -i br0 -o $(nvram get wan_iface) -j DROP iptables -I INPUT -i tun0 -j REJECT iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE 点击 Save Firewall 然后重启。
  • Tomato Administration -> Scripts > Firewall 输入命令行 iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br -j ACCEPT iptables -I FORWARD -i br0 -o $(nvram get wan_iface) -j DROP iptables -I INPUT -i tun0 -j REJECT iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE 保存规则然后重启。

iOS 如何避免苹果服务器绕过 VPN

连接 VPN 服务器; 打开飞行模式; 关闭飞行模式。

Android 如何避免 VPN 外流量泄漏

原版目前无法解决,谷歌的回应是完全躺平的。别用原版 Android 了,用 GrapheneOS 之类可禁用连接情况检查的第三方 Android 吧。〔悲〕

MacOS 无原生客户端该如何手动安全连接 OpenVPN

下载自由软件 Tunnelblick。软件可设置 KillSwitch,也可以默认多个 VPN 服务器的证书文件。

Windows 手动连接 VPN 该如何确保安全连线

下载自由软件 killswitch-windows。连接 VPN。此时以管理员身份运行 killswitch-windows。VPN 虚拟网卡一般情况下都是序号 0。输入 0,回车。完毕。

Linux 下自主设置 OpenVPN KillSwitch,以 Debian/Ubuntu 为例

输入命令行 sudo apt install ufw -y 安装 UFW 防火墙。

Ubuntu 和分支系统可能预装了 UFW。sudo systemctl start ufw 启动 UFW。

sudo ufw enable 激活 UFW。 当系统问 Proceed with operation (y|n)?输入 Y,回车。sudo ufw allow ssh 添加规则允许 SSH 连线。

sudo ufw default deny outgoing sudo ufw default deny incoming 此时默认规则是禁止对内对外的除了特殊规则的一切流量。

sudo head /etc/xxx.ovpn〔具体的 OpenVPN 证书文件〕,获取服务器 IP 地址和端口号,以及 UDP 还是 TCP。需要单 IP 地址做 gateway 的服务器。sudo ufw allow out to xxx.xxx.xxx.xxx port xxxx proto udp/tcp 填写 IP 地址和端口,UCP 或 TCP,让他们成为允许流入流出的特殊规则。sudo ufw allow out on tun0 from any to any

sudo ufw allow in on tun0 from any to any 允许 OpenVPN 的虚拟网卡 tun0 流量。sudo mv /root/xxx.ovpn /etc/openvpn/xxx.conf cd /etc/openvpn

ls 移动证书文件到正确的文件夹位置。sudo systemctl start [email protected] 开启 OpenVPN 服务组件。sudo systemctl status [email protected] 验证一下 OpenVPN 是否开启了。sudo systemctl enable [email protected] 自动连接到服务器。

完工。

写在后面

如果您有想购买的 VPN 正好在 StackSocial 售卖, 欢迎通过邀请链接注册,你我各得 10 美元余额。

如果您有任何关于 VPN 的问题或者对本文的修改意见,欢迎到Telegram 群组讨论。


Like it? Share with your friends!

0
Anonymous

Anonymous

Choose A Format
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Video
Youtube and Vimeo Embeds