VPN 安全三件套:DNS 防洩漏、Kill Switch、Split Tunnel 全攻略
開咗 VPN 唔代表安全——DNS leak、Kill Switch 失效、Split Tunnel 設定錯誤都會令你真 IP 曝光。逐個功能拆解 + NordVPN 實操教學。
開咗 VPN ≠ 安全
好多用戶以為「連咗 VPN 就安全」,但以下三個常見漏洞可以令你真實 IP 喺不知不覺間曝光:
- DNS 洩漏:DNS 查詢 bypass 咗 VPN tunnel,ISP 睇到你上咩網站
- VPN 斷線冇 kill switch:VPN 突然斷線,之後嘅流量直接用真 IP 出去
- Split Tunnel 設定錯誤:以為某個 app 行緊 VPN,但原來冇
本文會逐一解釋呢三個問題 + 用 NordVPN 做實操示範點樣設定。
一、DNS 洩漏:最常見嘅安全漏洞
DNS 係咩?(30 秒版)
當你喺 browser 輸入 google.com,電腦需要將呢個域名翻譯成 IP 地址(例如 142.250.80.46)先可以連接。呢個翻譯過程叫 DNS lookup。
問題:如果你開咗 VPN,但 DNS 查詢仍然經過你嘅 ISP(而唔係經過 VPN tunnel),ISP 就可以睇到你上過咩網站——即使網站內容本身係加密嘅。
點檢查自己有冇 DNS leak?
- 連上 NordVPN
- 打開 https://dnsleaktest.com
- 撳「Extended Test」
- 睇結果:顯示嘅 DNS server 應該係 NordVPN 嘅,而唔係你 ISP(例如 HKBN / PCCW)嘅
如果見到 HKBN/PCCW 嘅 server → 你有 DNS leak,需要立即修復。
NordVPN 內置 DNS 防護
NordVPN 預設使用自己嘅私有 DNS server,所有 DNS 查詢都會經過加密 tunnel。你唔需要做任何額外設定——但強烈建議每次連 VPN 之後花 10 秒跑一次 dnsleaktest.com 確認。
額外防護:你可以手動設定使用第三方安全 DNS(例如 Cloudflare 1.1.1.1 或 Quad9 9.9.9.9),但呢個係 optional。NordVPN 本身嘅 DNS 已經足夠安全。
二、Kill Switch:VPN 斷線時嘅最後防線
Kill Switch 係咩?
Kill Switch 係一個自動斷網機制:當 VPN 連接突然中斷,Kill Switch 會立即切斷你嘅所有網絡連接,確保冇任何數據用真 IP 傳出去。
冇 Kill Switch 嘅風險:
- 你用緊 VPN 睇緊網頁 → VPN 突然斷線(server 維護/網絡不穩)→ browser 自動用真 IP 重新連接 → 你曝光咗
有 Kill Switch:
- VPN 斷線 → 全部網絡 traffic 即刻停止 → browser 顯示「無法連接」→ 你察覺到 VPN 斷咗,手動重連
NordVPN Kill Switch 設定教學
NordVPN 提供兩種 Kill Switch 模式:
| 模式 | 行為 | 適用場景 |
|---|---|---|
| Internet Kill Switch | VPN 斷線 → 完全斷網 | 需要最高私隱保護 |
| App Kill Switch | VPN 斷線 → 只關閉指定 apps | 只想保護特定 apps(例如 browser、BT client) |
設定步驟(macOS):
- 打開 NordVPN app → Preferences(偏好設定)
- 揀「Kill Switch」tab
- 選擇「Internet Kill Switch」(推薦)或「App Kill Switch」
- 如果揀 App Kill Switch,加入你要保護嘅 apps(例如 Chrome、Safari、Torrent client)
測試 Kill Switch 係咪有效:
- 連上 NordVPN
- 手動 disconnect VPN(唔好用 app 正常斷線,去 Activity Monitor 強制 kill NordVPN process)
- 睇下 browser 係咪即刻顯示「無法連接」
如果 browser 仲可以上網 → Kill Switch 失效,需要排查。
三、Split Tunnel:選擇性 VPN 路由
Split Tunnel 係咩?
正常情況下,開咗 VPN 之後所有 traffic 都會經 VPN tunnel。 Split Tunnel 俾你指定:邊啲 apps 行 VPN,邊啲 apps 用返你嘅正常網絡。
咩情況需要 Split Tunnel?
| 場景 | 行 VPN | 唔行 VPN |
|---|---|---|
| 外地睇香港 ViuTV | ViuTV app | 其他 apps |
| Remote work 連公司內網 | SSH / VPN client | Spotify、YouTube |
| BT 下載 | qBittorrent | Chrome |
| 打機要低延遲 | — | 遊戲 client(VPN 會加 ping) |
NordVPN Split Tunnel 設定教學
⚠️ NordVPN 嘅 Split Tunnel 功能只喺 Windows 同 Android 上面有完整支援。macOS 同 iOS 版本暫不支援(截至 2026 年 5 月)。
如果你用 Mac 需要 Split Tunnel,有兩個 workaround:
- 用 browser extension(NordVPN 有 Chrome/Firefox 擴展,只加密 browser 流量)
- 用虛擬機(VM)行 VPN,host machine 唔行 VPN
四、進階設定:自訂 DNS + 多重 VPN
自訂 DNS(避免 DNS 劫持)
即使 NordVPN 用緊自己嘅 DNS,如果你身處嘅網絡環境有 DNS 劫持(例如某些公共 Wi-Fi 會將所有 DNS 查詢重新導向),可以手動設定安全 DNS:
- Cloudflare:
1.1.1.1/1.0.0.1 - Quad9:
9.9.9.9/149.112.112.112 - Google Public DNS:
8.8.8.8/8.8.4.4
NordVPN app 內設定: Preferences → Advanced → Custom DNS → 輸入你揀嘅 DNS
Double VPN / MultiHop(雙跳 VPN)
NordVPN 提供 Double VPN 功能:你嘅流量先經 Server A(例如台灣),再經 Server B(例如日本),最後先去目的地。
利弊:
- ✅ 多一層加密,更難追蹤
- ❌ 速度會明顯下降(~40-50% loss)
- ❌ 日常使用冇必要——除非你嘅 threat model 包括國家級監控
安全檢查清單
每次連 VPN 之前,花 30 秒跑呢個 checklist:
- 連線後去 dnsleaktest.com 確認冇 DNS leak
- 確認 Kill Switch 已開啟(Internet Kill Switch 最安全)
- 如果需要 BT,確認 qBittorrent 等 apps 已綁定 VPN 網絡介面
- 去 whatismyipaddress.com 確認顯示嘅 IP 係 VPN server 所在地
- 如果你係喺高風險網絡環境(例如公共 Wi-Fi / 某啲國家),額外開啟 Double VPN
記住一句話:VPN 係工具,唔係魔法。 安全最終靠嘅係你點樣用佢。
試用 NordVPN(內置 Kill Switch + 私有 DNS)→