VPN — šifrovaný tunel přes internet
Šifrovaný tunel přes internet, který skryje, kde se nacházíš.
Co to je
Virtual Private Network směřuje tvůj internetový provoz přes jeden konkrétní server. Pro okolí (Wi-Fi v kavárně, mobilní operátor) to vypadá, že komunikuješ jen s VPN serverem; pro cílový web vypadáš, jako bys byl/a tam, kde VPN server stojí.
Proč to záleží
Hodí se na veřejných sítích (kavárna, hotel, letiště) a tam, kde chceš obejít geografická omezení nebo cenzuru. Ne tak pro běžné soukromí na známém Wi-Fi doma — to už řeší samotné HTTPS.
Jak útok funguje
VPN chrání před konkrétními hrozbami, ale sama může být útočník. Tři kategorie rizika kolem VPN:
1. Bezplatné nebo levné VPN služby
- "Free VPN" obecně prodává tvoji aktivitu reklamním brokerům. Některé navíc injektují reklamu do tvého provozu (ironie — VPN, která tě má chránit, naopak sleduje).
- Pochybné apps (typicky čínské/ruské/turecké) byly skutečně součástí botnetů — tvoje IP byla využita jako "exit node" pro útoky, které šly z tvé IP.
- Pravidlo: placená VPN s reputací (Mullvad, ProtonVPN, IVPN, NordVPN audited) > zdarma cokoli. Free VPN je horší než žádná VPN.
2. VPN provider sám je útočník
I solidní VPN technicky vidí všechen tvůj provoz (po dekryptování). Důvěra ke konkrétnímu providerovi je principiální:
- No-logs policies — provider tvrdí, že nesleduje. Některé byly auditovány nezávisle (Mullvad, ProtonVPN). Některé tvrdí, ale audit neexistuje.
- Jurisdikce providera — Mullvad je ve Švédsku (silná privacy regulace), ProtonVPN ve Švýcarsku. NordVPN v Panamě. Místo důležité — některé jurisdikce mohou nutit logovat.
- Soudní příkaz — provider v EU/USA může být donucen logovat konkrétního uživatele do budoucna. Není to retroaktivní (logy, které nemají, nedávají), ale je to riziko.
3. False sense of security
- Lidé si po zapnutí VPN myslí, že jsou "anonymní". Nejsou. VPN skrývá tvoji IP, ale ne identitu — jsi přihlášený do Googlu / Facebooku, máš browser fingerprint, máš cookies. Tracking pokračuje.
- VPN nechrání před phishingem, malwarem, ani před útokem na konkrétní službu, kterou používáš.
- VPN ti nedá imunitu od práva — pokud děláš něco nelegálního, VPN je vrstva, ne ochrana.
Útok na VPN provoz:
- DNS leak — pokud VPN správně nesměruje DNS dotazy, tvůj ISP dál vidí, na jaké stránky chodíš. Test: dnsleaktest.com s VPN zapnutou.
- WebRTC leak — webRTC v browseru může odhalit tvoji reálnou IP. Vypnout v Browser Settings nebo přes uBlock Origin.
- IPv6 leak — pokud VPN tunelu jen IPv4 a tvůj ISP poskytuje IPv6, IPv6 jde mimo tunnel. Dnes většina VPN klientů to řeší.
Jak se chránit
Kdy VPN potřebuješ:
| Scenario | VPN nutná? |
|---|---|
| Doma na známé Wi-Fi, běžné browsing | ❌ Stačí HTTPS |
| V kavárně / hotelu, citlivé úkony (banking) | ✅ ANO (nebo mobilní data) |
| Cestování v zahraničí | ⚠️ Pro citlivé úkony ANO |
| Bypass geografického omezení (Netflix, Hulu) | ✅ ANO |
| Bypass cenzury (Čína, Rusko) | ✅ Specializovaná VPN s obfuscation |
| Bypass tracking od ISP | ✅ ANO |
| "Anonymita na webu" | ❌ Iluze — VPN tě neaktomatuje |
Jak vybrat VPN provider:
- Reputace + audit — Mullvad, ProtonVPN, IVPN mají nezávislé bezpečnostní audity. NordVPN, Surfshark mají audit, ale historie smíšená.
- Jurisdikce — Švýcarsko (Proton), Švédsko (Mullvad), Panama (NordVPN), Britské Panenské ostrovy (Surfshark). Vyhnout se Pětiocí (US/UK/CA/AU/NZ) pokud je primární cíl privacy.
- No-logs policy auditovaná — ne jen tvrzená v marketingu, ale ověřená třetí stranou (Cure53, atd.).
- Anonymní platba — Mullvad přijímá hotovost poštou (extrémní privacy). Většina ostatních krypto + běžné karty.
- WireGuard nebo OpenVPN — moderní protokoly. Vyhnout se PPTP / L2TP.
- Multi-hop a kill switch — pokud VPN spadne, browser nemůže vykouknout.
Doporučené volby (2026):
- Mullvad — minimalistický, ~5 EUR/měsíc, anonymní platba, audity, žádné účty (jen číslo). Pro hard privacy.
- ProtonVPN — Free tier (pomalejší, jen 3 země), placený plán ~10 EUR/měsíc. Integrovaný se ProtonMail. Pro běžné použití.
- IVPN — podobné jako Mullvad, drobnější.
- NordVPN — větší síť serverů, dobré pro streaming, ale méně privacy-fokus.
Setup (Mullvad / Proton):
- Stáhnout official app (NE z neoficiálních zdrojů).
- Kill switch ON — pokud VPN spadne, kompletně odpojit internet.
- DNS přes VPN (defaultně ON v solidních apps).
- Auto-connect při Wi-Fi kromě tvé domácí (Mullvad to umí specificky).
- WireGuard protokol preferovaně (rychlejší, modernější než OpenVPN).
Testování:
- dnsleaktest.com — pokud vidíš svého ISP, máš leak.
- whoer.net — kompletní browser fingerprint check.
- ipleak.net — WebRTC, IPv6, DNS.
Co VPN NEPOMŮŽE řešit:
- Phishing — útočník dostane tvoje heslo, ať jsi přes VPN nebo ne.
- Malware na zařízení — keylogger zaznamenává před šifrováním.
- Account-based tracking — pokud jsi přihlášený do Googlu, Google tě sleduje napříč službami bez ohledu na IP.
- Browser fingerprinting — IP je jen jeden z 50+ signálů.
Pro firmu — Corporate VPN:
- WireGuard / Tailscale / Cloudflare Zero Trust pro remote přístup k internímu systému.
- NE split-tunneling pro security-sensitive prostředí — všechen provoz přes VPN.
- Certificate-based auth lepší než heslo + 2FA.
- Pravidelný VPN audit — kdo má přístup, kdy, na co.
Časté mýty
Mýtus"VPN mě udělá anonymním na webu."
RealitaVPN skrývá IP před weby a před tvým ISP. Ale jsi-li přihlášený do Googlu, Facebooku, Apple ID → tracking pokračuje bez ohledu na IP. Browser fingerprinting (canvas, fonts, hardware) tě identifikuje s ~95 % přesností. Cookies tě sledují napříč session. Anonymity vyžaduje Tor + clean browser + bez login accounts → ne "jen VPN".
Mýtus"Free VPN je lepší než žádná VPN."
RealitaFree VPN typicky prodává tvoje data reklamním brokerům. Některé injektují reklamu nebo tě používají jako exit node pro botnety. Free VPN provider má jednu motivaci — monetizovat tě. Pravá privacy stojí $5/měsíc. Free je horší než zdravá skepse a HTTPS.
Mýtus"VPN potřebuju doma na známé Wi-Fi."
RealitaDoma jsi pod kontrolou tvého ISP, ale provoz je HTTPS, takže ISP vidí jen domény, ne obsah. VPN přidá vrstvu privacy (ISP nevidí ani domény), ale pro běžné browsing není kritická. Užitečné pro: skrýt aktivitu před ISP, bypass tracking, geografická omezení. Pro security samotného webu: HTTPS je dostatečné.
Quick checklist
Volba a setup VPN (jednou):
- Vybrat solidní VPN: Mullvad / ProtonVPN / IVPN (audited, no-logs).
- Stáhnout oficiální app.
- Kill switch ON.
- WireGuard protokol.
- Test: dnsleaktest.com + ipleak.net — bez leak.
Použití:
- ZAPNOUT na veřejné Wi-Fi (kavárna, hotel, letiště).
- ZAPNOUT při bypass geografického omezení.
- ZAPNOUT při cestování v zahraničí.
- NETŘEBA doma na známé Wi-Fi pro běžné browsing (HTTPS stačí).
Údržba:
- 1× měsíčně rychlý test leak (dnsleaktest.com).
- Update app, když přijde notifikace.
- Při změně Wi-Fi → re-connect.
Pro firmu:
- WireGuard / Tailscale / Cloudflare Zero Trust pro remote přístup.
- Certificate-based auth > heslo.
- Pravidelný audit přístupů.
Podobná témata
Souvisí s kategoriemi v testu: Domácí WiFi a router
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.