VPN konum iddiaları ile gerçek trafik çıkış ülkesi eşleşmiyor

 (ipinfo.io)
11 puan yazan GN⁺ 2025-12-14 | 2 yorum | WhatsApp'ta paylaş
  • 20 büyük VPN’in analizine göre, 17 hizmette gerçek trafik çıkışı iddia edilen ülkeden farklıydı; çoğu ABD veya Avrupa’daki aynı veri merkezlerini kullanıyordu
  • 150.000’den fazla VPN çıkış IP’sinin ölçümü sonucunda, 38 ülkenin yalnızca ‘sanal’ olduğu ve gerçek trafiğin bu ülkelerden çıkmadığı görüldü
  • Mullvad, IVPN, Windscribe dışında hiçbir sağlayıcıda tüm ülkelerde iddia edilen konum ile gerçek konum tamamen eşleşmedi
  • ‘Sanal konum’, VPN’in belirli bir ülke olarak görünmesine rağmen trafiğin gerçekte başka bir bölgeden (ör. Miami, Londra) çıkması anlamına geliyor
  • VPN’lerin iddia ettiği ülke sayısı ile gerçek fiziksel konumlar arasındaki fark, şeffaflık ve güven sorunu yaratıyor; IPinfo bunu çözmek için ProbeNet tabanlı ölçüme dayalı bir yaklaşım kullanıyor

Büyük ölçekli VPN konum uyumsuzluğu araştırmasının sonuçları

  • IPinfo, 20 popüler VPN’i analiz ederek 17’sinde gerçek trafik çıkış ülkesinin farklı olduğunu doğruladı
    • Bazı VPN’ler 100’den fazla ülkeyi desteklediğini iddia etse de gerçekte ABD ve Avrupa’daki az sayıdaki veri merkezini paylaşıyor
  • Toplam 150.000 çıkış IP’si, 137 ülke baz alınarak ölçüldü
    • 38 ülke yalnızca sanaldı; hiçbir VPN’de gerçek trafik o ülkelerden çıkmadı
    • Yalnızca 3 VPN’de iddia edilen tüm konumlar fiilen doğrulanabildi
    • Mevcut veri kümelerinde yaklaşık 8.000 IP konum hatası bulundu
  • ProbeNet ölçümleri, çoğu VPN’in iddia ettiğinden daha az sayıda gerçek ülkeye sahip olduğunu gösterdi

VPN bazında gerçek ölçüm sonuçları

  • Her VPN’in iddia ettiği ülke sayısı ile fiilen ölçülen ülke sayısı karşılaştırıldı
    • Mullvad, IVPN, Windscribe %0 uyumsuzlukla tamamen eşleşti
    • NordVPN, ExpressVPN, CyberGhost gibi sağlayıcılarda konumların yarısından fazlası sanal ya da ölçülemezdi
  • VPN’in iddia ettiği ülke sayısı arttıkça uyumsuzluk oranı da yükseldi; bu da ‘100+ ülke’ iddialarını güvenilmez kılıyor

Sanal konumun (Virtual Location) anlamı

  • VPN “Bahamalar” veya “Somali” gösterse bile gerçek trafik ABD’nin Miami ya da Birleşik Krallık’ın Londra kentinden çıkabilir
    • IP kayıt bilgileri de öz-beyan temelinde “Ülke X” olarak görünebilir, ancak gerçek ağ ölçümleri başka bir ülkeyi işaret eder
  • IPinfo’nun ProbeNet sistemi, 1.200’den fazla küresel ölçüm noktası üzerinden gerçek RTT (gidiş-dönüş gecikmesi) temelinde konumu doğruluyor
  • Tüm veride 97 ülke sanal ya da ölçülemez durumdaydı; bunların 38’i tamamen yalnızca sanal konum olarak bulunuyordu

Vaka çalışmaları: Bahamalar ve Somali

  • Bahamalar: NordVPN, ExpressVPN, PIA, FastVPN ve IPVanish için trafik ölçümleri ABD’yi gösterdi
    • Miami’ye göre RTT değerleri 0,15~0,42 ms olduğundan, sunucuların gerçekte ABD içinde olduğu anlaşılıyor
  • Somali: NordVPN ve ProtonVPN “Mogadishu” gösterse de gerçek trafik Fransa’nın Nice ve Birleşik Krallık’ın Londra kentlerinde ölçüldü
    • 0,33~0,37 ms RTT değerleri sunucuların Avrupa’da bulunduğunu doğruladı

Mevcut IP veri kümelerindeki hatalar

  • Mevcut IP veri sağlayıcıları, öz-beyan temelli bilgileri kullandığı için VPN’lerin yanlış konumlarını olduğu gibi izliyor
  • ProbeNet ölçümleri ile mevcut veri kümeleri arasında 736 VPN çıkış IP’sinin karşılaştırılmasında:
    • %83’te 1.000 km’den fazla hata, %28’de 5.000 km’den fazla hata, %12’de 8.000 km’den fazla hata görüldü
    • Medyan hata yaklaşık 3.100 km idi
  • ProbeNet’te ortalama RTT 0,27 ms, ölçümlerin %90’ında ise 1 ms veya altı değerler elde edilerek gerçek fiziksel konuma yakınlık doğrulandı

Güven sorunu ve teknik nedenler

  • Sanal konum kullanımının teknik nedenleri
    • Düzenleme ve gözetim riskinden kaçınma, altyapı kalitesi farkları, maliyet düşürme ve performans artırma
  • Ancak güven sorunu şu noktalarda ortaya çıkıyor
    • Açık bilgilendirmenin eksikliği: “Virtual Bahamas (US-based)” gibi bir ifade kullanılmıyor
    • Ölçek sorunu: Onlarca ülke yalnızca sanal konum olarak mevcut
    • Veri bağımlılığı: Basın, STK’lar ve güvenlik sistemleri yanlış konum bilgilerine güvenme riski taşıyor

Kullanıcılar için çıkarımlar

  • ‘100+ ülke’ ifadesi pazarlama metriği olarak görülmeli
    • 17 VPN’de 97 ülke gerçekte mevcut değildi
  • VPN’lerin konum gösterim biçimi kontrol edilmeli: sanal sunucu kullanıp kullanmadığı ve gerçek barındırma konumunu açıklayıp açıklamadığı incelenmeli
  • IP verisi kullanılırken kaynağın doğrulanması gerekiyor: yalnızca doğruluk oranına değil, ölçüme dayalı veri olup olmadığına bakılmalı
  • Sorun VPN kullanımının kendisinden çok, şeffaflık ve kanıta dayalı verinin önemi ile ilgili

IPinfo’nun ölçüme dayalı yaklaşımı

  • Mevcut IP veri sağlayıcıları RIR kayıt bilgilerine ve öz-beyan verilerine dayanıyor
  • IPinfo ise ProbeNet tabanlı gerçek ölçüm yöntemini benimsiyor
    1. 1.200’den fazla PoP (ölçüm noktası) işletiyor
    2. RTT tabanlı gerçek zamanlı ölçümlerle IPv4 ve IPv6 adreslerinin konumunu belirliyor
    3. Kanıta dayalı coğrafi verilerle gerçek internet davranışına dayanan konum çıkarımı yapıyor
  • Bu yaklaşım, öz-beyan kaynaklı hataları azaltmayı ve ölçüm merkezli doğruluk sağlamayı hedefliyor

Araştırma metodolojisi

  • 20 VPN sağlayıcısının web siteleri, yapılandırma dosyaları ve API’lerinden 6 milyondan fazla veri noktası toplandı
  • Her VPN konumuna doğrudan bağlanılarak çıkış IP’si ve RTT ölçüldü
  • VPN’in iddia ettiği ülke ile ProbeNet’in ölçtüğü gerçek ülke karşılaştırıldı
  • Analize yalnızca açıkça iddia edilen konumlar dahil edildi; belirsiz veya ölçülemeyen durumlar dışarıda bırakıldı
  • Sonuç olarak, temkinli ölçütlerle bile yüksek uyumsuzluk oranı görüldü; daha gevşek ölçütler uygulanırsa bu oranın daha da yüksek olması muhtemel

İlgili okumalar

2 yorum

 
princox 2025-12-15

Vay canına, demek böyle şeylerde de kandırıp ticaret yapıyorlarmış..;;; gerçekten çok sorunlu.
 
GN⁺ 2025-12-14
Hacker News yorumları

  • WonderProxy'nin kurucu ortaklarından biriyim. Hizmetimiz bir tüketici VPN'i değil, uygulama testi için olduğundan listede yoktu
    100'den fazla ülkede faaliyet gösteriyoruz ve bu gerçekten bir baş belası. İlk zamanlarda Meksika ya da Güney Amerika'da olduklarını iddia eden sağlayıcıların aslında Teksas'ta bulunduğu çok oluyordu
    Bir ara sunucuyu bizzat Peru'ya götürmeyi denedim ama orada kazanılan gelir için Peru gelir vergisi ödemem gerektiğini öğrenince vazgeçtim
    Bir müşteri, rakibin Orta Doğu sunucuları sunduğunu söyleyip şikayet etti; araştırınca bunun Almanya'daki bir sunucuya 1 ms'den daha kısa mesafede olduğu ortaya çıktı

  • Mullvad'da çalışan birkaç kişi tanıyorum; onlar güvenlik ve gizliliği gerçekten çok ciddiye alıyor. O yüzden bu sonuç şaşırtıcı değil

    • Çin'in GFW'sinin arkasında bile Mullvad, Windscribe ve IVPN çalışıyordu ama daha ünlü VPN'ler çalışmıyordu. Demek ki VPN'in de gerçek VPN olanı var
    • Haberi görmeden önce bile Mullvad'ın testi geçeceğinden emindim
    • Mullvad'ı kullandıkça daha çok beğeniyorum. Diğer VPN'ler zamanla kötüleşirken bu tam tersi. Özellikle kripto cüzdanıyla ödeme sayesinde anonimliği koruyabilmesi hoşuma gidiyor
    • Windscribe ve iVPN de iyi değerlendirme aldı ama bu yazı VPN'lerin aldatıcı pazarlamasına işaret ediyor. VPN'ler güvenliği büyük ölçüde artırmasa da sansürü aşma veya bölge kısıtlarını kaldırma konusunda faydalı. Psiphon, Lantern, Tor gibi özel ağların daha güçlü olduğunu düşünüyorum

  • Bir ülkenin vatandaşıyım ama başka bir ülkede yaşıyorum, bu yüzden VPN'i sık kullanıyorum. Devlet sitelerine erişim bile VPN olmadan mümkün olmuyor
    İstatistik kurumu sitesine yabancı bir IP ile girince 404 dönüyor ama VPN'i açınca normal çalışıyor. Seçim yayını için de VPN gerekiyordu
    Vergi beyanında VPN engelleniyor, o yüzden kapatmam gerekiyor; ama yurt dışında ikamete ait IP'lere izin veriliyor
    Konut tipi IP kullanan bir VPN varsa ayda 30 avro bile ödemeye razıyım. Ama çoğuna güvenmek zor

    • Bir arkadaşının ya da aile üyesinin evine Tailscale kurulu bir AppleTV bırakıp onu exit node olarak kullanabilirsin. Ben de öyle yapıyorum
    • Ben de aynı durumdaydım, bu yüzden TunnelBuddy'yi (https://tunnnelbuddy.net) kendim yaptım. WebRTC tabanlı; arkadaşın şifreyi bir kez paylaşıyor, sen de sanki onun evinden bağlanıyormuşsun gibi interneti kullanabiliyorsun
    • O ülkede bir arkadaşın varsa modemin arkasına bir Raspberry Pi takıp bırakmak da bir yöntem
    • Konut tipi IP'ler aylık sabit ücretli değil, GB başına ücretlendirilir, bu yüzden pahalıdır. Genelde 1 GB için 2 dolardan fazladır
    • Sadece kendi ülkendeki roaming SIM kartını kullanarak devlet sitelerine erişmek de bir yol

  • Gecikme (latency) ile gerçek sunucu konumunu tahmin edebilmek ilginç. Ama VPN yapay olarak 100-300 ms gecikme eklerse kandıramaz mı?
    Örneğin 74.118.126.204 Somali IP'si gibi görünüyor ama ipinfo.io bunu Londra olarak tanımlıyor. curl ipinfo.io/74.118.126.204/json ile curl ipwhois.app/json/74.118.126.204 çıktısını karşılaştırabilirsin

    • Ping süresinin ışık hızından çok hop sayısı ve bağlantı kalitesinden etkilendiğini düşünüyorum
    • Sunucu yanıt süresinden parola hash'ini tahmin edebilmemiz gibi, gürültü sadece gürültüdür
    • IPinfo, farklı bölgelerden aynı anda ping gönderip multilateration ile konumu hesaplıyor. 600'den fazla probe sunucusu işlettiklerini söylüyorlar (kaynak)
    • Tüm paketlere gecikme eklense bile sonunda Londra en düşük gecikmeye sahip olacaktır
    • Birden fazla ülkeden ping gönderirsen üçgenleme ile gerçek konumu bulabilirsin

  • Çoğu VPN sağlayıcısı bunun aslında bir “sanal konum (virtual location)” olduğunu açıkça belirtiyor. O yüzden tamamen yalan demek zor
    VPN'in coğrafi konum gösterim ölçütünü nasıl belirlemek gerektiği ilginç bir soru. Gerçek sunucu konumu mu gösterilmeli, yoksa kullanıcının seçtiği ülke mi?
    Bence ikincisi daha kullanışlı. Çünkü müşterinin 'nerede olmak istediğini' gösteriyor
    (Bu arada ben de rakip bir hizmet işletiyorum ve biz de VPN'in bildirdiği konumu gösteriyoruz ama bunun VPN olduğunu açıkça belirtiyoruz)

  • ProtonMail'e geçerken ProtonVPN'i denedim ama VPN açıkken web sitelerinin yarısı çalışmıyor. Hatta Hacker News bile VPN'i engelliyor
    Sitelerin VPN uç noktalarını tespit etmesi giderek kolaylaşıyor; ileride VPN'lerin bunu nasıl aşabileceğini merak ediyorum

    • Apple, Private Relay ile sitelere bu bağlantıları kabul etmeleri için baskı kurabilirdi. VPN yaygınlaşırsa siteler de sonunda bunu kabul etmek zorunda kalacaktır
    • VPN ve Tor kullanıcıları artarsa sitelerin bunları engellemesi zorlaşır. Herkesin Tor kullandığı bir dünya ideal olurdu. Herkes aynı görünürse ayrımcılık imkansızlaşır
    • Reddit, VPN açıkken seni gölge yasaklama (shadow ban) ile vuruyor. Bildirim de vermediği için yorumlarına kimse tepki vermiyorsa profiline özel oturumdan bakman gerekiyor
    • Tor için de aynı durum geçerli. Anonimlik sağlıyor ama aynı zamanda dikkat çeken bir varlık haline getiriyor
    • VPN kullanımı artarsa siteler aslında zarar görür. Özellikle mobil kullanıcılar VPN'i sürekli açık tutabiliyor
      Site VPN'i engellerse kullanıcı rahatsız olur ve gider.
      Mobil user-agent taklidi yardımcı olabilir. SSL ve HTTP parmak izlerini de mobil gibi ayarlamak gerekir
      Ücretsiz katmanı olan VPN'lerden kaçınmak daha iyi. Ücretli VPN'lerin IP itibarı daha iyidir

  • Bu testin tam olarak ne yaptığını pek anlamadım. Bazı büyük VPN'lerin eksik olması da tuhaf
    Ben AirVPN kullanıyorum çünkü kullanım amacıma ve fiyatına uyuyor
    VPN kullanma nedenleri çok çeşitli — gizlilik, anonimlik (önermem), bölge kısıtlarını aşma, torrent, sansürü aşma (GFC) vb.
    Sonuncusu en zor olanı
    İlgili bağlantı: VPN Services Overview

    • Test, VPN'in gerçek çıkış düğümü konumunu kontrol etti. Birçok şirket yalnızca IP'nin WHOIS bilgisini değiştiriyor ve gerçek sunucuyu başka bir ülkede tutuyor

  • Ülke düzeyindeki güvenlik duvarını aşmak için exit node konumu önemlidir ama GeoIP sektörü başlı başına sorunlu
    Keşke ISS'ler RFC8805 aracılığıyla kullanıcıların bölgesel engelleri aşmasına yardımcı olsa

    • CGNAT yaygınlaştıkça port düzeyinde konum bilgisi gerekebilir. Örnek: 10000-20000 arası portlar New York, 20000-30000 arası Boston gibi
    • Bu, OFAC yaptırımlarıyla hiç uğraşmamış birinin söyleyeceği türden bir şey. Benim işim, yaptırım ihlali halinde hemen biter.
      Coğrafi IP bilgisi, bu tür risklerden kaçınmak için temel bir araçtır
    • Keşke DNS'teki PTR kaydı gibi bu bilgiyi işleyebilsek

  • Sadece RTT (gidiş-dönüş gecikmesi) üzerinden backbone ağ bilgisi çıkarmanın zor olduğunu düşünüyorum.
    Trafik her zaman verimli şekilde yönlendirilmez ve iletim yolu trafik miktarına göre değişir. Başkalarının görüşünü merak ediyorum

    • Verimli yönlendirme varsayımına gerek yok. Londra'dan 1 ms'nin altında RTT alıyorsan, bu fiziksel olarak Birleşik Krallık dışında olamaz
      Işık hızı sınırı nedeniyle 0,4 ms RTT en fazla 120 km mesafe demektir. Bununla sunucunun iddia ettiği ülkede olmadığını kesin olarak anlayabilirsin
    • Işık hızına göre 0,5 ms'nin altındaki RTT, ölçülen ülkenin doğru olduğunu gösterir. Fiber içindeki hız kırılma nedeniyle daha da yavaş olduğu için hata payı daha da azalır
    • “Belki bir ayrıntıyı kaçırmışımdır” sözüne cevaben — evet, sanırım fiziği kaçırmışsın. Londra'dan sub-milisaniye ping alınıyorsa bu Mauritius değildir