Защитите Apple TV в Wi-Fi отеля и Airbnb

Сети отелей перегружены и управляются незнакомцами. Сети Airbnb настраивают люди, которых вы можете знать, но со старыми роутерами. В любом случае дорожный Apple TV открыт каждый раз при подключении — если только каждый байт не уходит из номера зашифрованным.

Проблема

В типичной сети отеля 200+ устройств, часто на одном broadcast-домене. Оператор может логировать каждый домен, который вы посещаете, каждый стриминговый сервис, и (с дешёвыми инструментами) метаданные ваших соединений. Хосты Airbnb могут использовать старые непропатченные роутеры с дефолтными паролями. Некоторые smart-TV даже позволяют хосту видеть, что играет.

У Apple TV нет sandboxed-стека сети как на мобильных. Приложения делают обычные сетевые вызовы. "Smart"-функции (AirPlay-обнаружение, рекламные SDK) утекают информацию. Решение — шифровать сам канал.

Как защищает WG Connect

WG Connect маршрутизирует 100% трафика Apple TV через WireGuard-туннель ещё до того, как он попадает в локальную сеть. Роутер отеля видит только зашифрованные UDP-пакеты к одному IP — вашему VPN-провайдеру или домашнему роутеру — но не может ни читать, ни классифицировать. DNS-запросы тоже идут через туннель, так что даже подсматривание имён хостов (самое простое) невозможно.

  Без VPN                              С WG Connect

  ┌──────────┐                        ┌──────────┐
  │ Apple TV │ ── открытый DNS ─┐     │ Apple TV │ ── шифрованно ─┐
  └──────────┘                  ▼     └──────────┘                ▼
                       ┌──────────┐                          ┌──────────┐
                       │ Роутер   │ видит: кто, что,         │ Роутер   │ видит: шум
                       │ отеля    │ когда, куда              │ отеля    │
                       └──────────┘                          └──────────┘
  

Шаг за шагом

1. Выберите VPN-провайдера до поездки. Mullvad и IVPN популярны для приватности. У ProtonVPN бесплатный план. Сгенерируйте .conf WireGuard в веб-панели провайдера, пока есть надёжное соединение дома.
2. Импортируйте конфиг в WG Connect. Откройте приложение на Apple TV → Добавить профиль → Загрузить с телефона. Сканируйте QR, загрузите .conf с телефона по локальному Wi-Fi отеля (это нормально — файл не содержит ничего чувствительного при транзите; ключи генерируются при импорте).
3. Включите always-on. В Настройках WG Connect включите автопереподключение always-on. Туннель будет включаться автоматически при подключении Apple TV к сети.
4. Пройдите captive-портал. Если отель требует согласия с правилами, сначала пройдите его в приложении Настройки на Apple TV (там встроенный браузер captive-портала), потом активируйте WG Connect.
5. Проверьте. На главном экране WG Connect статус должен быть Connected с голубым свечением. Стримите как обычно — Netflix, Plex через туннель, YouTube — всё зашифровано end-to-end.

Какое шифрование вы реально получаете

WireGuard использует ChaCha20-Poly1305 — тот же шифр, что Cloudflare и Google для HTTPS. Ключи согласуются по эллиптической криптографии Curve25519. Известных практических атак против этой конструкции нет. Протокол маленький (менее 4 000 строк кода), несколько раз аудирован. Ваш приватный ключ никогда не покидает Связку ключей Apple TV.

Особенности

• Некоторые отели лимитируют или блокируют UDP. Если WG Connect не подключается, см. руководство AmneziaWG — оно делает туннель похожим на обычный трафик и обходит простые фильтры.
• Стриминговые приложения могут детектить VPN-выходы. Некоторые сервисы (редко) отказываются играть, если IP в списке VPN. У Mullvad и IVPN есть резидентские эндпоинты для этого; или используйте туннель к домашнему роутеру для сервисов, привязанных к домашнему IP.
• Производительность отличная. WireGuard — самый быстрый mainstream VPN-протокол. На сети отеля с 50 Мбит/с стриминг 4K через туннель неотличим.

Частые вопросы