En VPN(nytt fönster)-passthrough är en routerfunktion som tillåter VPN-trafik att passera genom din brandvägg och Network Address Translation (NAT)(nytt fönster). Den skapar inte själva VPN-anslutningen, utan ser till att din router inte blockerar en enhet på ditt nätverk från att ansluta till ett externt VPN.

För de flesta företag är detta inget du behöver konfigurera eller tänka på. Betrodda VPN-tjänster som Proton VPN är byggda för att fungera med NAT som standard, så routrar hanterar trafik automatiskt utan att det behövs några särskilda regler.

Varför finns VPN-passthrough?

En VPN-passthrough löser kompatibilitetsproblem mellan äldre VPN-protokoll och nyare nätverksinfrastruktur. De flesta nätverk använder NAT för att tillåta att flera enheter delar på en offentlig IP-adress. Även om detta fungerar för vanlig trafik, var vissa äldre VPN-tjänster inte utformade med NAT i åtanke.

Eftersom äldre VPN-protokoll inte alltid använder standardportar eller strukturer som NAT kan tolka, kan routern inte spåra var datan hör hemma, och anslutningen misslyckas. En VPN-passthrough fungerar som en lösning som hjälper routern att känna igen och dirigera denna typ av trafik på rätt sätt.

Hur fungerar en VPN-passthrough?

En VPN-passthrough är en uppsättning mekanismer inbyggda i routrar för att stödja specifika VPN-protokoll. När den är aktiverad kommer routern att:

  • Identifierar VPN-trafik med specifika protokoll eller portar
  • Tillämpar särskilda hanteringsregler så att krypterade paket inte tappas bort
  • Tillåter anslutningen att passera genom NAT på rätt sätt

Utan VPN-passthrough kan routern blockera eller feldirigera trafiken, vilket förhindrar att VPN-tjänsten ansluter.

Typer av VPN-passthrough

Olika VPN-tjänster hanterar data på olika sätt, så det finns inte bara en typ av passthrough. Om du arbetar med äldre system kan du stöta på olika typer av VPN-passthrough beroende på vilket protokoll som används.

PPTP-passthrough

PPTP (Point-to-Point Tunneling Protocol) är en av de äldsta VPN-typerna. Det använder ett protokoll som kallas GRE (Generic Routing Encapsulation) för att skicka och ta emot data. NAT kräver dock ett portnummer för att dirigera trafik, och GRE använder inte portar, vilket skapar en konflikt som gör att anslutningen bryts.

PPTP-passthrough löser detta genom att lägga till ett Call ID i datan. Routern behandlar detta ID som ett portnummer, vilket gör att trafiken kan passera genom brandväggen på rätt sätt.

L2TP-passthrough

L2TP (Layer 2 Tunneling Protocol) fungerar på ett liknande sätt som PPTP. För att ta sig förbi NAT-hindret tilldelar L2TP-passthrough ett Session ID till datapaketen. Detta ID fungerar som en ersättning för ett portnummer, vilket gör att routern kan identifiera och dirigera trafiken till rätt enhet.

IPSec-passthrough

IPSec (Internet Protocol Security) använder en teknik som kallas NAT Traversal (NAT-T) för att navigera genom routrar. Den kapslar in den krypterade IPSec-datan i ett standard UDP-paket.

Eftersom routrar redan vet hur de ska hantera UDP-paket kan IPSec-passthrough upprätta en anslutning med en specifik port (UDP 4500). Detta gör att routern korrekt kan mappa och dirigera anslutningen samtidigt som den krypterade datan hålls säker och orörd.

Vad är skillnaden mellan en VPN och en VPN-passthrough?

En VPN är tjänsten som skyddar din data. Den krypterar din internettrafik och maskerar din IP-adress genom att dirigera din anslutning via en säker fjärrserver.

En VPN-passthrough är en funktion på din router. Den krypterar inte din data, döljer inte din IP-adress(nytt fönster) och erbjuder ingen säkerhet på egen hand. Dess enda uppgift är att känna igen VPN-trafik och tillåta den att passera genom routerns brandvägg.

Om du använder en bra VPN behöver du i regel inte oroa dig för passthrough-inställningar alls, eftersom routern hanterar det automatiskt.

VPN-passthrough vs. VPN-router

Dessa två förväxlas ofta, men de tjänar helt olika syften:

  • En VPN-router krypterar och dirigerar aktivt trafik för varje enhet som är ansluten till den.
  • En VPN-passthrough tillåter en enskild enhet i ditt nätverk att ansluta till en extern VPN.

Behöver VPN-tjänster passthrough?

I de flesta fall är svaret nej. VPN-protokoll är byggda för att hantera NAT automatiskt. Protokoll som WireGuard(nytt fönster), OpenVPN(nytt fönster) och IKEv2(nytt fönster) är utformade för att tillåta routrar att spåra anslutningar och skicka data till rätt enhet utan någon manuell konfigurering eller särskilda regler.

Proton VPN förlitar sig uteslutande på säkra protokoll, så det är kompatibelt med standardkonfigurationer för routrar som standard.

  • Ingen manuell konfiguration: Du behöver inte ändra några avancerade inställningar i din routers firmware för att ansluta.
  • Automatisk kompatibilitet: Proton VPN fungerar med nästan all nätverksutrustning för hem och kontor direkt ur lådan.
  • Bättre säkerhet: Genom att undvika äldre passthrough-mekanismer undviker du också de säkerhetsbrister som är förknippade med äldre protokoll som PPTP.

Såvida du inte använder extremt gammal hårdvara eller en mycket begränsande företagsbrandvägg kan du ansluta till Proton VPN utan att någonsin behöva justera dina passthrough-inställningar.

Behöver du VPN-passthrough?

Du kanske bara behöver tänka på VPN-passthrough om:

  • Du använder äldre VPN-protokoll som PPTP eller L2TP
  • Du förlitar dig på äldre nätverksutrustning
  • Du hanterar specialiserade eller industriella system med föråldrad mjukvara

I annat fall hanterar VPN-klienter som Proton VPN denna kompatibilitet som standard.

Finns det säkerhetsrisker med en VPN-passthrough?

De flesta säkerhetsbekymmer beror på att VPN-passthrough är utformad för att hjälpa äldre, mindre säkra protokoll att kringgå vanliga routerskydd.

  • Beroende av svaga protokoll: VPN-passthrough används oftast för äldre protokoll som PPTP, vilka inte längre anses vara säkra och enkelt kan utnyttjas vid cyberattacker.
  • Blinda fläckar i brandväggen: Din brandvägg kanske inte inspekterar den data som rör sig in och ut ur anslutningen. Om själva VPN-protokollet är svagt skapar detta en sökväg för skadlig trafik att ta sig in i ditt nätverk oupptäckt.
  • Ökad attackyta: Att aktivera VPN-passthrough kräver ofta att man öppnar specifika kommunikationsportar på din router. Varje öppen port är en potentiell ingång som angripare kan skanna efter och försöka utnyttja.

Bästa praxis för en säker VPN-passthrough-konfiguration

För de flesta företag och privatpersoner är den bästa säkerhetsstrategin att helt undvika behovet av en VPN-passthrough. Om du måste använda det, följ dessa steg för att hålla ditt nätverk säkert:

  • Prioritera uppdaterade protokoll: Använd VPN-tjänster som stöder WireGuard eller OpenVPN, vilka är standard för Proton VPN. Dessa är utformade för att fungera med routrar och NAT utan att behöva en VPN-passthrough.
  • Inaktivera det du inte använder: Om din router har VPN-passthrough aktiverat som standard men du använder en tjänst som Proton VPN bör du stänga av det. Att minska antalet aktiva funktioner på din router minskar din attackyta.
  • Granska dina routerinställningar regelbundet: Det är lätt att aktivera en inställning för en tillfällig lösning och sedan glömma bort den. Kontrollera routerns firmware regelbundet för att säkerställa att du inte lämnar osäkrade poster för äldre protokoll som du inte längre använder.
  • Håll hårdvaran uppdaterad: Se till att din routers firmware är aktuell. Tillverkare släpper ofta uppdateringar som åtgärdar sårbarheter relaterade till hur routern hanterar krypterad trafik och porthantering.

I slutändan bör du se VPN-passthrough som en sista utväg för äldre system. Om din infrastruktur tillåter det är att gå över till en modern VPN-konfiguration det mest effektiva sättet att eliminera dessa risker.

Slutsatsen

VPN-passthrough är en lösning på ett kompatibilitetsproblem mellan äldre VPN-protokoll och nyare nätverk. Idag är det i stort sett onödigt.

De flesta VPN-protokoll, som de som används av Proton VPN, är byggda för att fungera sömlöst med NAT. Detta gör VPN-passthrough till något som de flesta företag aldrig kommer att behöva konfigurera. Om du märker att du fortfarande förlitar dig på passthrough kan det vara ett tecken på att din VPN-konfiguration eller nätverksinfrastruktur behöver uppdateras.