Monihyppy-reititys ja dVPN: Sensuurin kiertäminen

Multi-hop Routing Censorship Resistance dVPN DePIN Bandwidth Mining
D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 
3. huhtikuuta 2026 7 min lukuaika
Monihyppy-reititys ja dVPN: Sensuurin kiertäminen

TL;DR

Artikkeli käsittelee monihyppy-reititystä dVPN-verkoissa, joka läpäisee palomuurit kierrättämällä liikennettä useiden solmujen kautta. Tutustumme hajautettuun kaistanjakoon ja lohkoketjupalkkioihin. Opit sipulireitityksestä, liikenteen peittämisestä ja siitä, miksi perinteiset VPN-palvelut eivät enää riitä takaamaan täyttä yksityisyyttä.

Miksi perinteiset yhden hypyn VPN-yhteydet pettävät vuonna 2024

Oletko koskaan yrittänyt avata verkkosivua hotellissa tai tiukan sensuurin maassa, vain huomataksesi, että "luotettava" VPN-yhteytesi vain... jumittaa? Tilanne on turhauttava, sillä teknologia, johon olemme luottaneet vuosikymmenen ajan, on törmäämässä seinään.

Suurin ongelma on se, että monet suositut palveluntarjoajat tukeutuvat tunnettuihin palvelinkeskusten IP-alueisiin. Internet-palveluntarjoajalle (ISP) tai valtiolliselle sensuurille on lapsellisen helppoa havaita, kun 5 000 ihmistä ottaa yhteyden yhteen ja samaan konesaliosoitteeseen. Freedom Housen Freedom on the Net 2023 -raportin mukaan hallitukset ovat kehittyneet huomattavasti "teknisissä estoissa", mukaan lukien IP-suodatus.

  • Keskitetyt klusterit: Käyttäessäsi tavallista VPN-palvelua otat yleensä yhteyden tunnettuun palvelinalueeseen. Kun tämä alue merkitään estolistalle, koko palvelu pimenee kaikilta kyseisen alueen käyttäjiltä.
  • Helppo sormenjälkitunnistus: Palvelinkeskusten liikenne näyttää perustavanlaatuisesti erilaiselta kuin tavallinen kotitalouksien (residential) liikenne. Se on kuin kantaisi neonvalokylttiä pimeällä kujalla.

Kaavio 1

Salaus ei ole enää mikään kaiken pelastava hopealuoti. Nykyaikaiset palomuurit hyödyntävät syvää pakettitarkastusta (DPI, Deep Packet Inspection) analysoidakseen tietoliikennepakettien "muotoa". Vaikka ne eivät pystyisi lukemaan sisältöä, ne tunnistavat OpenVPN- tai jopa WireGuard-protokollien kättelyt.

"Yksinkertainen salaus piilottaa viestin, mutta se ei piilota sitä tosiasiaa, että lähetät salattua viestiä."

Toimialoilla, kuten rahoitusalalla tai terveydenhuollossa, joissa työntekijät matkustavat korkean riskin alueille, tukeutuminen yhden hypyn (single-hop) järjestelyyn on muodostumassa tietoturvariskiksi. Jos palveluntarjoaja tunnistaa VPN-allekirjoituksen, se voi yksinkertaisesti kuristaa yhteyden 1 kbps:n nopeuteen tai katkaista sen kokonaan. Meidän on siirryttävä kohti arkkitehtuureja, jotka näyttävät tavalliselta verkkoliikenteeltä. Seuraavaksi pureudumme siihen, miten monihyppy-yhteydet (multi-hop) ja hajautettu VPN-teknologia (dVPN) ratkaisevat tämän ongelman.

DePIN-teknologian rooli sensuurin vastaisessa taistelussa

Oletko koskaan pohtinut, miksi kotisi internetyhteys tuntuu "turvallisemmalta" kuin kahvilan julkinen wifi? Tämä johtuu siitä, että kotitalouksien IP-osoitteilla on korkeampi luottamusluokitus, jollaiseen datakeskukset eivät pysty vastaamaan.

DePIN-verkkojen (hajautetut fyysiset infrastruktuuriverkot) ydinajatuksena on muuttaa tavalliset kodit verkon selkärangaksi. Sen sijaan, että vuokraisimme palvelintilaa konesaleista, hyödynnämme vertaisverkkoon (P2P) perustuvaa kaistanlevyjen jakamista reitittääksemme liikennettä todellisten asuinkiinteistöjen kautta.

  • Kotitalousverkon suoja: Kun käytät naapurustossa sijaitsevaa solmua (node), liikenteesi näyttää tavalliselta Netflix-suoratoistolta tai Zoom-puhelulta. Tämä tekee IP-suodatuksesta – jonka aiemmin mainittu Freedom House -raportti nosti esiin kasvavana uhkana – huomattavasti vaikeampaa sensuuria harjoittaville tahoille.
  • Solmujen monimuotoisuus: Koska näitä solmuja ylläpitävät yksityishenkilöt eri internet-palveluntarjoajien (ISP) alla, verkossa ei ole yhtä ainoaa katkaisijaa. Jos palveluntarjoaja Turkissa estää tietyn solmun, verkko ohjaa liikenteen automaattisesti solmuun Kairossa tai Berliinissä.

CoinGeckon vuoden 2024 DePIN-raportin mukaan hajautettujen verkkojen kasvua ajaa niin kutsuttu "vauhtipyöräefekti" (flywheel effect). Raportti osoittaa, että aktiivisten solmujen määrä suurimmissa DePIN-protokollissa kasvoi viime vuonna peräti 400 %, mikä tekee verkosta jatkuvasti vaikeamman sensuroida.

  1. Kaistanlevyn todentaminen (Proof of Bandwidth): Solmujen on todistettava todellinen nopeutensa ennen kuin ne voivat ansaita palkkioita.
  2. Automatisoidut maksusuoritukset: Mikromaksut tapahtuvat suoraan lohkoketjussa, mikä varmistaa, että solmujen ylläpitäjillä on kannustin pysyä verkossa.
  3. Sanktioriskit (Slashing): Jos solmu poistuu verkosta tai yrittää nuuskia liikennettä, ylläpitäjä menettää pantatut tokeninsa (staked tokens).

Kaavio 4

Monihyppy-arkkitehtuurit dVPN-verkoissa

Jos yhden hypyn yhteys on kuin vilkkuva neonkyltti, monihyppy-arkkitehtuuri (multi-hop) vastaa väkijoukkoon katoamista vilkkaalla rautatieasemalla. Sen sijaan, että datasi kulkisi suoraa tunnelia pitkin konesaliin, se pomppii useiden asuinliittymissä sijaitsevien solmujen kautta. Tämä tekee internet-palveluntarjoajalle lähes mahdottomaksi selvittää, mihin olet todellisuudessa matkalla.

Hajautetuissa VPN-verkoissa (dVPN) hyödynnetään Tor-verkon kaltaista logiikkaa, joka on kuitenkin optimoitu nopeutta varten. Et vain yhdistä "palvelimeen", vaan rakennat reitin yhteisön ylläpitämän verkon läpi. Jokainen solmu tietää vain sitä edeltävän ja sitä seuraavan solmun osoitteen.

  • Syöttösolmut (Entry Nodes): Tämä on ensimmäinen pysäkkisi. Se näkee todellisen IP-osoitteesi, mutta sillä ei ole aavistustakaan lopullisesta määränpäästäsi. Koska nämä ovat usein tavallisia kotitalouksien IP-osoitteita, ne eivät laukaise palomuureissa samoja "konesali-hälytyksiä" kuin perinteiset VPN-palvelut.
  • Välisolmut (Middle Nodes): Nämä ovat verkon työjuhtia. Ne vain välittävät salattua liikennettä eteenpäin. Ne eivät näe IP-osoitettasi eivätkä dataasi – kyse on monikerroksisesta salauksesta päästä päähän.
  • Poistumissolmut (Exit Nodes): Tässä kohdassa liikenteesi siirtyy avoimeen verkkoon. Vierailemallesi verkkosivustolle näytät paikalliselta käyttäjältä, joka selaa nettiä tavallisen kotiyhteyden kautta.

Kaavio 2

Saatat miettiä, miksi joku Berliinissä tai Tokiossa antaisi liikenteesi kulkea oman kotireitittimensä kautta. Tässä Web3-teknologia osoittaa todellisen hyötynsä. Vertaisverkossa (P2P) solmujen ylläpitäjät ansaitsevat tokeneita tarjoamastaan kaistanleveydestä.

Kyseessä on ikään kuin "kaistanleveyden Airbnb". Jos minulla on gigabitin valokuituyhteys ja käytän siitä vain murto-osaa, voin ylläpitää solmua ja ansaita krypto-palkkioita. Tämä synnyttää valtavan, hajautetun IP-osoitepoolin, joka kasvaa jatkuvasti.

Pysy askeleen edellä SquirrelVPN-näkymien avulla

SquirrelVPN on työkalu, joka selkeyttää tätä monimutkaista kokonaisuutta automatisoimalla yhteydet hajautettuihin P2P-verkkoihin. Se toimii käytännössä siltana laitteesi ja DePIN-ekosysteemin välillä.

Tuntuuko välillä siltä, että pelaat kissa ja hiiri -leikkiä oman internetyhteytesi kanssa? Eräänä päivänä konfiguraatiosi toimii täydellisesti, mutta seuraavana aamuna tuijotat aikakatkaistua terminaalia, koska jokin välityspalvelin päätti, että WireGuard-kättelysi näytti "epäilyttävältä".

Pysyäksemme askeleen edellä meidän on lopetettava VPN:n mieltäminen staattiseksi tunneliksi. Todellinen taika tapahtuu, kun kerrostamme protokollia. Esimerkiksi käärimällä WireGuard TLS-tunnelin sisään tai käyttämällä Shadowsocks-kaltaisia peitetyökaluja (obfuscation), saamme liikenteen näyttämään tavalliselta verkkoselaamiselta.

Monihyppyisessä (multi-hop) kontekstissa tämä peittäminen suoritetaan yleensä asiakasohjelmistossa jo ennen kuin liikenne saavuttaa tulosolmun (Entry Node). Näin varmistetaan, että heti ensimmäinen "hyppy" on piilotettu paikalliselta internet-palveluntarjoajaltasi (ISP).

  • Dynaaminen reitinvalinta: Nykyaikaiset dVPN-asiakasohjelmat eivät vain valitse solmua; ne testaavat viivettä ja pakettihävikkiä useiden hyppyjen välillä reaaliajassa.
  • Kotitalous-IP-osoitteiden rotaatio: Koska nämä solmut ovat tavallisia kotiyhteyksiä, niissä ei ole sitä "palvelinkeskuksen hajua", joka laukaisee automaattiset estot kauppa- tai pankkisovelluksissa.
  • Protokollakamuflaasi: Edistyneet solmut käyttävät peitostekniikoita piilottaakseen WireGuard-otsakkeet, jolloin liikenne näyttää tavalliselta HTTPS-kutsulta.

Kaavio 3

Kyse on pohjimmiltaan verkon sietokyvystä. Jos yksi solmu kaatuu tai joutuu mustalle listalle, verkko yksinkertaisesti reitittää liikenteen sen ohi. Seuraavaksi tarkastelemme, miten nämä P2P-verkot käytännössä konfiguroidaan.

Monihyppy-tunneloinnin tekniset haasteet

Monihyppyisen mesh-verkon rakentaminen ei ole pelkkää palvelinten ketjuttamista; se on taistelua fysiikan lakeja vastaan samalla, kun yritetään pysyä näkymättömissä. Jokainen ylimääräinen hyppy (hop) lisää datan kulkemaa "etäisyyttä", ja jos reititysprotokolla on huonosti optimoitu, yhteys tuntuu yhtä hitaalta kuin vanha modeemi.

  • Reitityksen laskentakuorma (Overhead): Jokainen hyppy vaatii uuden salaus- ja purkukerroksen. Jos käytössä on OpenVPN:n kaltainen raskas protokolla, prosessori joutuu koville; siksi suosimme WireGuardia, jonka koodipohja on erittäin kevyt ja tehokas.
  • Polun optimointi: Solmuja ei voi valita sattumanvaraisesti. Älykkäät asiakasohjelmat hyödyntävät "viiveen tunnistavaa" (latency-aware) reititystä löytääkseen lyhimmän polun luotettavimpien asuintaloliittymien (residential IPs) kautta.

Mutta mistä tiedämme, ettei solmun ylläpitäjä ole vain Sybil-hyökkääjä (taho, joka luo useita valeprofiileja hallitakseen verkkoa), joka valehtelee yhteysnopeudestaan? Tarvitsemme tavan varmistaa suorituskyky vaarantamatta yksityisyyttä.

  • Aktiivinen luotaus (Active Probing): Verkko lähettää salattuja "roskapaketteja" mitatakseen todellista reaaliaikaista kapasiteettia.
  • Steikkausvaatimukset: Kuten aiemmin DePIN-palkkioiden yhteydessä todettiin, solmujen on lukittava tokeneita vakuudeksi. Jos ne epäonnistuvat kaistanleveyden todentamisessa (bandwidth proof), niiden vakuudet leikataan (slashing).

Kaavio 5

Liite: Esimerkki monihyppy-konfiguraatiosta (Multi-Hop)

Jotta ymmärtäisit, miten tämä toimii käytännössä "pellin alla", tässä on yksinkertaistettu esimerkki kahden WireGuard-solmun ketjuttamisesta. Todellisessa dVPN-verkossa asiakasohjelmisto hoitaa avaintenvaihdon ja reititystaulut automaattisesti, mutta toimintalogiikka on sama.

Asiakkaan konfiguraatio (yhteys tulosolmuun):

[Interface]
PrivateKey = <Asiakkaan_yksityinen_avain>
Address = 10.0.0.2/32
DNS = 1.1.1.1

# Tulosolmu (Entry Node)
[Peer]
PublicKey = <Tulosolmun_julkinen_avain>
Endpoint = 1.2.3.4:51820
AllowedIPs = 0.0.0.0/0

Tulosolmun reititys (poistumissolmuun): Tulosolmu ei ainoastaan pura salausta, vaan se välittää liikenteen eteenpäin toisen WireGuard-rajapinnan (wg1) kautta, joka osoittaa poistumissolmuun (Exit Node).

# Liikenteen välitys wg0-rajapinnasta wg1-rajapintaan
iptables -A FORWARD -i wg0 -o wg1 -j ACCEPT
iptables -t nat -A POSTROUTING -o wg1 -j MASQUERADE

Esimerkki liikenteen peittämisestä (Shadowsocks-kääre): Jos käytät Shadowsocksia WireGuard-kättelyn piilottamiseen (obfuskointi), asiakasohjelmasi ottaa yhteyden paikalliseen porttiin, joka muodostaa tunnelin etäpalvelimelle:

ss-local -s <Etä_IP> -p 8388 -l 1080 -k <Salasana> -m aes-256-gcm
# Tämän jälkeen WireGuard-liikenne reititetään tämän paikallisen SOCKS5-proxyn läpi

Teknologia on rehellisesti sanottuna vielä kehitysvaiheessa. Kuten aiemmin mainitussa CoinGecko-raportissa todettiin, näiden verkkojen huima kasvu kuitenkin osoittaa, että olemme siirtymässä kohti kestävämpää, vertaisverkkoon (P2P) perustuvaa internetiä. Se on monimutkaista, mutta se on meidän hallinnassamme. Pysykää turvassa ja pitäkää konfiguraationne kunnossa.

D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 

Daniel Richter is an open-source software advocate and Linux security specialist who has contributed to several privacy-focused projects including Tor, Tails, and various open-source VPN clients. With over 15 years of experience in systems administration and a deep commitment to software freedom, Daniel brings a community-driven perspective to cybersecurity writing. He maintains a personal blog on hardening Linux systems and has mentored dozens of contributors to privacy-focused open-source projects.

Aiheeseen liittyvät artikkelit

Privacy-Preserving Zero-Knowledge Tunnels
Privacy-Preserving Zero-Knowledge Tunnels

Privacy-Preserving Zero-Knowledge Tunnels

Explore how Privacy-Preserving Zero-Knowledge Tunnels use zk-SNARKs and DePIN to create a truly anonymous, metadata-free decentralized VPN ecosystem.

Kirjoittanut Marcus Chen 3. huhtikuuta 2026 5 min lukuaika
common.read_full_article
Zero-Knowledge Proofs for Anonymous Traffic Routing
Zero-Knowledge Proofs

Zero-Knowledge Proofs for Anonymous Traffic Routing

Learn how Zero-Knowledge Proofs enable anonymous traffic routing in dVPNs and DePIN networks. Explore zk-SNARKs, bandwidth mining, and Web3 privacy trends.

Kirjoittanut Viktor Sokolov 2. huhtikuuta 2026 12 min lukuaika
common.read_full_article
Best Practices for Securing Residential P2P Nodes
Residential P2P Nodes

Best Practices for Securing Residential P2P Nodes

Learn how to secure your residential P2P nodes for dVPN and DePIN networks. Expert tips on network isolation, firewalls, and bandwidth mining safety.

Kirjoittanut Daniel Richter 2. huhtikuuta 2026 7 min lukuaika
common.read_full_article
Tokenized Bandwidth Liquidity Pools and Automated Market Makers (AMM)
Tokenized Bandwidth

Tokenized Bandwidth Liquidity Pools and Automated Market Makers (AMM)

Learn how Tokenized Bandwidth Liquidity Pools and Automated Market Makers (AMM) are revolutionizing dVPNs and DePIN networks through P2P bandwidth sharing.

Kirjoittanut Natalie Ferreira 1. huhtikuuta 2026 8 min lukuaika
common.read_full_article