Kill switch в Pivot VPN: ни одного байта мимо туннеля

Kill switch — это не маркетинговая галочка в списке функций. Это последняя линия обороны между вашим реальным IP и интернетом в момент, когда VPN-соединение по какой-то причине обрывается. В Pivot VPN мы относимся к kill switch как к страховке, которая должна срабатывать молча, мгновенно и без исключений — на смартфоне в метро, на ноутбуке в кафе, на домашнем компьютере с торрент-клиентом и на Android TV во время стрима.

Эта страница объясняет, как именно работает kill switch в Pivot VPN, почему он устроен так, как устроен, и что вы будете чувствовать в реальных сценариях — от слабого Wi-Fi до переключения между сетями оператора.

Что такое kill switch и зачем он нужен

Kill switch (его ещё называют сетевым предохранителем или аварийным выключателем) — это механизм, который блокирует весь сетевой трафик устройства, если VPN-туннель перестал работать. Любой VPN рано или поздно сталкивается с разрывом соединения: вы зашли в лифт, переключились с Wi-Fi на мобильную сеть, провайдер сбросил сессию, сервер перезагрузился. В этот момент система обычно автоматически возвращает трафик в открытый интернет — и ваш реальный IP, DNS-запросы и метаданные становятся видны провайдеру, сайтам и любому, кто слушает канал.

Kill switch перехватывает этот переход. Пока туннель не восстановлен, наружу не уходит ни одного пакета. Ни торрент-клиент, ни мессенджер, ни фоновое приложение для синхронизации почты не успеют отправить запрос мимо защищённого канала. Для пользователя, который выбирает VPN с kill switch именно ради приватности, это критично: одна утечка длиной в полсекунды способна перечеркнуть всю остальную работу VPN.

Как kill switch реализован в Pivot VPN

В Pivot VPN мы не делаем kill switch как «дополнительный сервис, который проверяет соединение». Это уровень операционной системы, а не отдельный сторожевой процесс. На Android и Android TV мы используем системный механизм «Always-on VPN» с блокировкой соединений без VPN — он встроен в саму платформу и работает даже до того, как приложение Pivot VPN успело запуститься после перезагрузки. На iOS аналогичную роль выполняет связка On-Demand-правил и системного network extension: трафик не идёт, пока туннель не поднят. На Windows и macOS Pivot VPN устанавливает сетевые фильтры (WFP на Windows, packet filter на macOS), которые отрезают все интерфейсы, кроме защищённого. На Linux используется набор правил nftables/iptables, привязанных к интерфейсу WireGuard.

Принцип у всех платформ один: kill switch не «ловит» разрыв и не пытается «успеть закрыть». Он работает по принципу «по умолчанию запрещено» — наружу разрешено только то, что идёт через туннель. Если туннеля нет, нет и трафика. Это исключает гонку между моментом разрыва и моментом блокировки, которая встречается в более примитивных реализациях.

Что вы реально увидите, когда kill switch сработает

Большую часть времени вы не заметите kill switch вообще. Это и есть нормальное поведение: туннель Pivot VPN на WireGuard переподключается за доли секунды, и приложения просто видят короткую сетевую паузу, к которой они и так готовы. Видео на телевизоре подвиснет на буфер, мессенджер покажет «отправка» вместо галочки, браузер задержит загрузку страницы — и через мгновение всё продолжится уже внутри защищённого канала.

В более жёстких сценариях — например, когда вы вошли в зону без сети или сменили оператора — kill switch может удерживать блокировку дольше. На этот случай в приложении Pivot VPN есть индикатор: иконка статуса меняет цвет, в шторке уведомлений видно, что туннель не активен, а на десктопе в трее появляется метка «Protected: traffic blocked». Никаких всплывающих окон, прерывающих работу, мы не показываем — это была бы такая же утечка внимания, как утечка трафика.

Защита от утечек DNS, IPv6 и WebRTC

Kill switch без защиты от утечек DNS — это половина решения. Если приложение отправит DNS-запрос в обход туннеля, ваш провайдер увидит, какие домены вы запрашивали, даже не зная содержимого. Поэтому Pivot VPN на всех платформах принудительно отправляет DNS только через защищённый канал и наши собственные резолверы. Системные настройки DNS в момент подключения подменяются, а после отключения возвращаются обратно.

Аналогично закрыт IPv6: на платформах, где IPv6-стек может работать параллельно с IPv4, мы либо туннелируем IPv6, либо полностью блокируем его на время сессии. Это снимает целый класс утечек, при которых VPN защищает только IPv4, а IPv6-трафик уходит напрямую. На уровне браузера остаётся ещё риск WebRTC — здесь мы рекомендуем включить соответствующую опцию в браузере, но даже без неё ваш реальный IP не утечёт, потому что WebRTC-пакеты тоже подчиняются системному фильтру kill switch.

Поведение на разных устройствах: один аккаунт — одна логика

Pivot VPN — это одна подписка на Android, iOS, Windows, macOS, Linux и Android TV. Kill switch ведёт себя одинаково предсказуемо на каждом устройстве, но с поправкой на особенности платформы.

На смартфоне (Android и iOS) основная проблема — частая смена сетей. Вы выходите из дома, телефон отваливается от Wi-Fi, цепляется за LTE, потом за 5G, потом снова за Wi-Fi в офисе. Kill switch в Pivot VPN держит блокировку на каждом таком переходе и автоматически восстанавливает туннель в новой сети. Фоновые приложения — почта, облако, мессенджеры — не успевают сходить наружу.

На ноутбуке (Windows и macOS) основной сценарий — режим сна и пробуждения, переключение между Wi-Fi-сетями в командировке, подключение по Ethernet в офисе. Pivot VPN при выходе из сна не разрешает трафик до того, как туннель снова поднят. Если вы закроете крышку с активным VPN, при открытии вас встретит уже защищённое соединение.

На Linux kill switch особенно ценят те, кто работает с торрент-клиентами и серверными задачами: правила nftables/iptables висят до тех пор, пока интерфейс WireGuard не активен. Никакой rtorrent или transmission не сможет отправить пакет в обход.

На Android TV kill switch защищает стриминг: если туннель отвалится в середине эпизода, телевизор не пойдёт за контентом напрямую, и Netflix, Disney+ или YouTube просто покажут паузу до восстановления.

Always-on и автозапуск: kill switch до старта приложения

Отдельный класс утечек возникает между моментом загрузки устройства и моментом, когда вы открываете VPN-приложение. Если в это время система успевает запустить мессенджеры, синхронизацию и фоновые сервисы, они сходят в сеть до того, как туннель будет поднят.

Pivot VPN решает это режимом Always-on. На Android и Android TV это системная опция «Always-on VPN + Block connections without VPN», которую вы включаете один раз — и трафик блокируется уже на этапе старта системы, ещё до запуска приложения. На iOS работает аналогичный механизм On-Demand-конфигурации: туннель поднимается автоматически при появлении сети. На Windows и macOS Pivot VPN можно настроить на автозапуск при входе с предварительной блокировкой сетевых интерфейсов. На Linux — systemd-юнит, который поднимает WireGuard до того, как сетевые сервисы получат доступ.

Влияние на скорость, батарею и стабильность

Kill switch сам по себе не замедляет соединение. Это сетевой фильтр, а не дополнительный слой шифрования. Когда туннель работает, фильтр просто пропускает трафик — никаких накладных расходов вы не заметите. На скорость в Pivot VPN влияет только сам туннель WireGuard, а он спроектирован так, чтобы выжимать максимум из канала: тесты показывают потерю в среднем 5–10% от скорости канала на близких серверах.

На батарею kill switch тоже не давит. Это пассивный фильтр, не активный демон с опросами. На смартфонах Pivot VPN мониторит состояние соединения через системные коллбэки, а не циклические проверки, поэтому фоновое потребление минимально.

Что касается стабильности — kill switch не вызывает «зависаний» сети. Если приложение пытается отправить пакет в момент, когда туннель упал, оно получает обычный сетевой таймаут, точно такой же, как при потере связи. Никаких особых ошибок и сбоев в приложениях вы не увидите.

Когда kill switch стоит выключать и стоит ли

Короткий ответ — почти никогда. Pivot VPN включает kill switch по умолчанию, и для подавляющего большинства пользователей это правильное состояние.

Есть, однако, узкие сценарии, когда блокировка трафика без VPN мешает. Например, локальная сеть: принтер по Wi-Fi, NAS, IP-камеры, умный дом. По умолчанию kill switch блокирует и эти соединения. В Pivot VPN мы добавили опцию «Разрешить локальную сеть» — она оставляет доступ к адресам в локальном диапазоне (192.168.x.x, 10.x.x.x), но при этом не позволяет трафику уходить в интернет без туннеля. Это разумный компромисс: умный дом работает, защита остаётся.

Полностью выключать kill switch имеет смысл разве что для отладки сети или если вы временно используете VPN не для приватности, а только для смены региона на конкретном сайте. Но в этом случае мы рекомендуем включить split tunneling — он позволит часть трафика пускать через туннель, а остальное напрямую, не теряя при этом защиты для нужных приложений.

Что в итоге даёт kill switch в Pivot VPN

Pivot VPN с kill switch — это не «функция, которая есть в галочке», а архитектурное решение, в котором приватность не нарушается ни на одном этапе: ни при загрузке устройства, ни при смене сети, ни при разрыве туннеля, ни при IPv6, ни при DNS-запросах. Один аккаунт, одинаковая логика на Android, iOS, Windows, macOS, Linux и Android TV. Включил один раз — и можно перестать думать о том, что что-то «утечёт мимо».