VPN के दावे किए गए लोकेशन और वास्तविक ट्रैफ़िक एग्ज़िट देश मेल नहीं खाते

 (ipinfo.io)
11 पॉइंट द्वारा GN⁺ 2025-12-14 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • 20 प्रमुख VPN का विश्लेषण करने पर पता चला कि 17 सेवाओं में वास्तविक ट्रैफ़िक एग्ज़िट, दावे किए गए देश से अलग था, और कई सेवाएँ अमेरिका या यूरोप के उसी डेटा सेंटर का उपयोग कर रही थीं
  • 150,000 से अधिक VPN एग्ज़िट IP मापने पर पाया गया कि 38 देश ‘सिर्फ virtual’ थे, यानी वास्तविक ट्रैफ़िक उन देशों से नहीं निकल रहा था
  • केवल Mullvad, IVPN, Windscribe में सभी देशों के लिए दावा और वास्तविक लोकेशन मेल खाती थी, जबकि बाकी में काफ़ी असंगति थी
  • ‘Virtual location’ का मतलब है कि VPN किसी खास देश के रूप में दिखता है, लेकिन असल में ट्रैफ़िक किसी दूसरे क्षेत्र से निकलता है, जैसे Miami या London
  • VPN द्वारा बताए गए देशों की संख्या और वास्तविक भौतिक लोकेशन के बीच का अंतर transparency और trust की समस्या पैदा करता है, और इसे सुलझाने के लिए IPinfo ने ProbeNet-आधारित measured data approach का इस्तेमाल किया

बड़े पैमाने पर VPN लोकेशन मिसमैच की जांच के नतीजे

  • IPinfo ने 20 लोकप्रिय VPN का विश्लेषण कर पुष्टि की कि 17 में वास्तविक ट्रैफ़िक एग्ज़िट देश अलग था
    • कुछ VPN 100 से अधिक देशों का समर्थन करने का दावा करते हैं, लेकिन वास्तव में वे अमेरिका और यूरोप के कुछ ही डेटा सेंटर साझा करते हैं
  • कुल 150,000 एग्ज़िट IP को 137 देशों के आधार पर मापा गया
    • 38 देश सिर्फ virtual थे, यानी किसी भी VPN में वास्तविक ट्रैफ़िक उस देश से नहीं निकलता था
    • सिर्फ 3 VPN में सभी दावा किए गए लोकेशन वास्तव में सत्यापित किए जा सके
    • मौजूदा dataset में लगभग 8,000 IP location errors पाए गए
  • ProbeNet के माप के अनुसार, ज़्यादातर VPN के पास दावे से कम वास्तविक देश थे

VPN के अनुसार वास्तविक माप के नतीजे

  • हर VPN के दावा किए गए देशों की संख्या और वास्तव में मापे गए देशों की संख्या की तुलना की गई
    • Mullvad, IVPN, Windscribe में 0% mismatch था, यानी पूरी तरह मेल
    • NordVPN, ExpressVPN, CyberGhost आदि में आधे से अधिक लोकेशन virtual थीं या मापी नहीं जा सकीं
  • जितने अधिक देशों का दावा VPN करता था, mismatch ratio उतना ही ज़्यादा था, और ‘100+ countries’ जैसे दावों पर भरोसा करना मुश्किल पाया गया

Virtual Location का मतलब

  • VPN अगर “Bahamas” या “Somalia” दिखाता है, तब भी वास्तविक ट्रैफ़िक अमेरिका के Miami या ब्रिटेन के London से निकल सकता है
    • IP registration info भी self-reported आधार पर “Country X” दिखा सकती है, लेकिन वास्तविक network measurement किसी दूसरे देश की ओर इशारा करता है
  • IPinfo का ProbeNet 1,200 से अधिक global measurement points के ज़रिए वास्तविक RTT (round-trip latency) के आधार पर लोकेशन की पुष्टि करता है
  • पूरे डेटा में 97 देश virtual थे या मापे नहीं जा सके, जिनमें से 38 देश पूरी तरह सिर्फ virtual location के रूप में मौजूद थे

केस स्टडी: Bahamas और Somalia

  • Bahamas: NordVPN, ExpressVPN, PIA, FastVPN, IPVanish — सभी में ट्रैफ़िक अमेरिका से मापा गया
    • RTT Miami के आधार पर 0.15~0.42ms था, जो इस बात का संकेत देता है कि सर्वर वास्तव में अमेरिका में थे
  • Somalia: NordVPN और ProtonVPN ने “Mogadishu” दिखाया, लेकिन वास्तविक ट्रैफ़िक फ्रांस के Nice और ब्रिटेन के London से मापा गया
    • RTT 0.33~0.37ms था, जिससे पुष्टि हुई कि सर्वर यूरोप में थे

मौजूदा IP datasets की त्रुटियाँ

  • मौजूदा IP data providers self-reported information का उपयोग करते हैं, इसलिए वे VPN की गलत लोकेशन को वैसे ही मान लेते हैं
  • ProbeNet के माप और मौजूदा datasets के बीच 736 VPN एग्ज़िट IP की तुलना के नतीजे:
    • 1,000km से अधिक त्रुटि 83% , 5,000km से अधिक त्रुटि 28% , 8,000km से अधिक त्रुटि 12%
    • median error लगभग 3,100km
  • ProbeNet में औसत RTT 0.27ms था, और 90% माप 1ms से कम थे, जो वास्तविक भौतिक लोकेशन के काफ़ी करीब होने का संकेत देते हैं

trust की समस्या और तकनीकी कारण

  • virtual location इस्तेमाल करने के तकनीकी कारण
    • regulation और surveillance risk से बचाव, infrastructure quality में अंतर, cost reduction और performance improvement
  • लेकिन trust की समस्या यहाँ पैदा होती है
    • स्पष्ट disclosure की कमी: “Virtual Bahamas (US-based)” जैसा लेबल नहीं दिया जाता
    • scale की समस्या: दर्जनों देश पूरी तरह virtual location के रूप में ही मौजूद हैं
    • data dependency: media, NGO, security systems आदि के लिए गलत लोकेशन डेटा पर भरोसा करने का जोखिम

उपयोगकर्ताओं के लिए संकेत

  • ‘100+ countries’ जैसे दावों को marketing metric के रूप में देखना चाहिए
    • 17 VPN में 97 देश वास्तव में मौजूद नहीं थे
  • VPN की location labeling method जाँचना ज़रूरी है: क्या virtual server है, क्या वास्तविक hosting location बताई गई है
  • IP data इस्तेमाल करते समय source verification ज़रूरी है: सिर्फ accuracy number नहीं, बल्कि यह भी देखें कि data measurement-based है या नहीं
  • मुद्दा सिर्फ VPN के इस्तेमाल का नहीं, बल्कि transparency और evidence-based data की अहमियत का है

IPinfo का measurement-based approach

  • मौजूदा IP data providers RIR registration information और self-reported data पर निर्भर हैं
  • IPinfo ने ProbeNet-आधारित measured method अपनाया
    1. 1,200 से अधिक PoP (measurement points) का संचालन
    2. RTT-based real-time measurement से IPv4·IPv6 addresses की लोकेशन पहचान
    3. evidence-based geolocation के ज़रिए वास्तविक इंटरनेट व्यवहार पर आधारित लोकेशन निर्धारण
  • इस approach का लक्ष्य self-reported errors को कम करना और measured data-केंद्रित accuracy सुनिश्चित करना है

जांच की methodology

  • 20 VPN providers की websites, configuration files, API आदि से 60 लाख से अधिक data points एकत्र किए गए
  • हर VPN location से सीधे connect करके एग्ज़िट IP और RTT मापा गया
  • VPN द्वारा दावा किए गए देश और ProbeNet द्वारा मापा गया वास्तविक देश की तुलना की गई
  • केवल स्पष्ट रूप से दावा किए गए लोकेशन को विश्लेषण में शामिल किया गया; अस्पष्ट या मापे न जा सकने वाले मामलों को बाहर रखा गया
  • नतीजतन, सख्त मानदंडों पर भी mismatch rate बहुत ऊँची पाई गई, और ढीले मानदंड लगाने पर यह और अधिक हो सकती है

संबंधित पढ़ाई

2 टिप्पणियां

 
princox 2025-12-15

वाह, ऐसे धोखा देकर भी धंधा किया जाता है..;;; काफ़ी समस्याएँ हैं।
 
GN⁺ 2025-12-14
Hacker News की टिप्पणियाँ

  • मैं WonderProxy का सह-संस्थापक हूँ। हमारी सेवा consumer VPN नहीं बल्कि app testing के लिए है, इसलिए सूची में नहीं थी
    हम 100 से ज़्यादा देशों में ऑपरेट करते हैं, और यह सच में एक सिरदर्द है। शुरुआती दिनों में कई provider मेक्सिको या दक्षिण अमेरिका होने का दावा करते थे, लेकिन असल में टेक्सास में होते थे
    एक समय मैंने खुद सर्वर लेकर पेरू जाने की कोशिश की थी, लेकिन यह पता चलने पर कि वहाँ कमाई गई आय पर Peru income tax देना होगा, मैंने विचार छोड़ दिया
    एक ग्राहक ने शिकायत की कि एक competitor मध्य पूर्व क्षेत्र के server देता है, लेकिन जाँच करने पर वह जर्मनी के server से 1ms से भी कम दूरी पर निकला

  • मैं Mullvad में काम करने वाले कई लोगों को जानता हूँ, और वे security और privacy को सच में बहुत गंभीरता से लेते हैं। इसलिए यह नतीजा चौंकाने वाला नहीं है

    • चीन के GFW के पीछे भी Mullvad, Windscribe, IVPN काम कर रहे थे, जबकि ज़्यादा मशहूर VPN नहीं चले। यानी VPN में भी असली VPN होते हैं
    • लेख पढ़ने से पहले ही मुझे यक़ीन था कि Mullvad यह टेस्ट पास करेगा
    • Mullvad जितना ज़्यादा इस्तेमाल करता हूँ, उतना ही अधिक पसंद आता है। दूसरे VPN समय के साथ खराब होते जाते हैं, लेकिन यह उल्टा है। cryptocurrency wallet payment के ज़रिए anonymity बनाए रखने की सुविधा खास तौर पर अच्छी लगती है
    • Windscribe और iVPN को भी अच्छी रेटिंग मिली, लेकिन यह लेख VPN की भ्रामक मार्केटिंग की तरफ इशारा करता है। VPN security को बहुत ज़्यादा मजबूत नहीं करते, लेकिन censorship bypass या geo-restriction हटाने में उपयोगी हैं। मुझे लगता है Psiphon, Lantern, Tor जैसे dedicated network ज़्यादा शक्तिशाली हैं

  • मैं एक देश का नागरिक हूँ और दूसरे देश का निवासी, इसलिए VPN अक्सर इस्तेमाल करता हूँ। सरकारी साइटों तक पहुँच भी VPN के बिना नहीं होती
    सांख्यिकी विभाग की साइट पर foreign IP से जाने पर 404 आता है, लेकिन VPN चालू करने पर सही चलती है। चुनावी प्रसारण देखने के लिए भी VPN चाहिए था
    tax filing के लिए VPN ब्लॉक हो जाता है, इसलिए उसे बंद करना पड़ता है, लेकिन foreign residential IP स्वीकार किए जाते हैं
    अगर कोई VPN residential IP देता हो, तो मैं 30 यूरो महीना देने को भी तैयार हूँ। लेकिन ज़्यादातर पर भरोसा करना मुश्किल है

    • अगर आप किसी दोस्त या परिवार के सदस्य के यहाँ Tailscale लगा हुआ AppleTV छोड़कर आएँ, तो उसे exit node की तरह इस्तेमाल करके कनेक्ट किया जा सकता है। मैं भी ऐसा ही करता हूँ
    • मैं भी उसी स्थिति में था, इसलिए मैंने खुद TunnelBuddy(https://tunnnelbuddy.net) बनाया। यह WebRTC आधारित है, और अगर आपका दोस्त सिर्फ एक बार password शेयर कर दे, तो आप उसके घर से कनेक्ट होने जैसा इंटरनेट इस्तेमाल कर सकते हैं
    • अगर उस देश में आपका कोई दोस्त है, तो Raspberry Pi को modem के पीछे लगाकर छोड़ देना भी एक तरीका है
    • residential IP मासिक flat rate पर नहीं आते, बल्कि प्रति GB billing होती है, इसलिए महंगे पड़ते हैं। आमतौर पर 1GB का दाम 2 डॉलर से ज़्यादा होता है
    • एक तरीका यह भी है कि अपने देश का roaming SIM card इस्तेमाल करके सरकारी साइटों तक पहुँचा जाए

  • यह दिलचस्प है कि latency से server की असली location का अंदाज़ लगाया जा सकता है। लेकिन अगर VPN जानबूझकर 100~300ms की देरी जोड़ दे, तो क्या वह धोखा नहीं दे सकता?
    उदाहरण के लिए 74.118.126.204 को सोमालिया IP बताया जाता है, लेकिन ipinfo.io उसे London के रूप में पहचानता है। curl ipinfo.io/74.118.126.204/json और curl ipwhois.app/json/74.118.126.204 की तुलना करके देखा जा सकता है

    • मेरा मानना है कि ping time पर रोशनी की गति से ज़्यादा hop count और connection quality का असर पड़ता है
    • जैसे server response time से password hash का अनुमान लगाया जा सकता है, वैसे ही noise तो सिर्फ noise है
    • IPinfo कई क्षेत्रों से एक साथ ping भेजकर multilateration से location निकालता है। कहा जाता है कि वह 600 से अधिक probe server चलाता है (स्रोत)
    • अगर हर packet में delay जोड़ भी दी जाए, तब भी आखिरकार London की latency सबसे कम रहेगी
    • अगर कई देशों से ping भेजा जाए, तो triangulation से असली location पता की जा सकती है

  • ज़्यादातर VPN provider यह खुलकर बताते हैं कि यह वास्तव में “virtual location” है। इसलिए इसे पूरी तरह झूठ कहना मुश्किल है
    VPN की geographic location display standard कैसे तय होनी चाहिए, यह एक दिलचस्प सवाल है। क्या असली server location दिखानी चाहिए, या वह देश जो user ने चुना है?
    मुझे दूसरा विकल्प ज़्यादा उपयोगी लगता है। क्योंकि यह दिखाता है कि ग्राहक ‘कहाँ होना चाहता है’
    (संदर्भ के लिए, मैं एक competing service चलाता हूँ, और हम भी VPN द्वारा रिपोर्ट की गई location दिखाते हैं, लेकिन यह साफ़ बताते हैं कि वह VPN है)

    • Proton इस बारे में स्पष्ट रूप से समझाता है: ProtonVPN Smart Routing

  • ProtonMail पर जाने के बाद मैंने ProtonVPN इस्तेमाल किया, लेकिन VPN चालू होते ही आधी वेबसाइटें काम नहीं करतीं। यहाँ तक कि Hacker News भी VPN को ब्लॉक करता है
    वेबसाइटों के लिए VPN endpoint पहचानना लगातार आसान होता जा रहा है, और मैं सोचता हूँ कि आगे VPN इसे कैसे रोक पाएँगे

    • Apple Private Relay के ज़रिए वेबसाइटों पर एक्सेस स्वीकार करने का दबाव डाल सकता था। अगर VPN आम हो जाएँ, तो आखिरकार साइटों को भी उन्हें स्वीकार करना पड़ेगा
    • अगर VPN और Tor यूज़र बढ़ेंगे, तो साइटों के लिए उन्हें ब्लॉक करना मुश्किल होगा। ऐसी दुनिया जहाँ सब Tor इस्तेमाल करें आदर्श होगी। जब सब एक जैसे दिखें, तो भेदभाव असंभव हो जाता है
    • Reddit पर VPN चालू हो तो shadow ban हो जाता है। कोई सूचना भी नहीं मिलती, इसलिए अगर आपकी टिप्पणी पर कोई प्रतिक्रिया नहीं आती, तो private session में जाकर अपना profile देखना पड़ता है
    • Tor के साथ भी यही बात है। anonymity तो मिलती है, लेकिन साथ ही आप बहुत अलग नज़र आने वाली इकाई भी बन जाते हैं
    • VPN का उपयोग बढ़ेगा तो उल्टा वेबसाइटों को ही नुकसान होगा। खासकर mobile users अक्सर VPN हमेशा ऑन रखते हैं
      अगर कोई साइट VPN ब्लॉक करती है, तो users असुविधा महसूस करके छोड़ देंगे।
      mobile user agent spoofing मदद कर सकती है। SSL और HTTP fingerprint भी mobile जैसे होने चाहिए
      free tier वाले VPN से बचना बेहतर है। paid VPN की IP reputation ज़्यादा अच्छी होती है

  • मुझे ठीक से समझ नहीं आया कि इस टेस्ट ने वास्तव में क्या किया। कुछ बड़े VPN का छूट जाना भी अजीब है
    मैं AirVPN इस्तेमाल करता हूँ, क्योंकि यह मेरी ज़रूरत और कीमत दोनों के हिसाब से ठीक बैठता है
    VPN इस्तेमाल करने के कारण कई हो सकते हैं — privacy, anonymity (सिफारिश नहीं), geo-unblocking, torrenting, censorship bypass (GFC) आदि
    इनमें आख़िरी वाला सबसे कठिन है
    संदर्भ लिंक: VPN Services Overview

    • इस टेस्ट ने VPN के असल exit node location की जाँच की थी। कई कंपनियाँ सिर्फ IP का WHOIS data बदलती हैं, लेकिन असली server किसी और देश में रखती हैं

  • अगर देश-स्तरीय firewall से बचना है, तो exit node location महत्वपूर्ण है, लेकिन GeoIP industry खुद भी समस्या है
    अच्छा होगा अगर ISP RFC8805 के ज़रिए users को geo-blocking से बचने में मदद करें

    • CGNAT के फैलने के साथ port-आधारित location information की ज़रूरत पड़ सकती है। जैसे: port 10000~20000 न्यूयॉर्क, 20000~30000 बोस्टन आदि
    • यह बात किसी ऐसे व्यक्ति जैसी लगती है जिसने कभी OFAC sanctions का सामना नहीं किया। sanction violation होते ही मेरा बिज़नेस तुरंत खत्म हो जाएगा।
      geographic IP information ऐसे जोखिम से बचने का मुख्य साधन है
    • अच्छा होगा अगर इसे DNS के PTR record की तरह हैंडल किया जा सके

  • मुझे नहीं लगता कि सिर्फ RTT (round-trip latency) से backbone network knowledge का अनुमान लगाना संभव है।
    ट्रैफिक हमेशा कुशलता से route नहीं होता, और transmission path ट्रैफिक की मात्रा के अनुसार बदलता रहता है। इस पर दूसरे लोगों की राय जानना चाहूँगा

    • efficient routing मानने की ज़रूरत नहीं है। अगर London से 1ms से कम RTT मिल रहा है, तो वह भौतिक रूप से UK के बाहर नहीं हो सकता
      रोशनी की गति की सीमा के कारण 0.4ms RTT का मतलब अधिकतम 120km दूरी है। इससे पक्का पता चल जाता है कि server अपने दावे वाले देश में नहीं है
    • अगर रोशनी की गति से हिसाब लगाएँ, तो 0.5ms से कम RTT का मतलब है कि मापा गया देश सही है। fiber optic में refraction के कारण गति और धीमी होती है, इसलिए error margin और कम हो जाता है
    • “हो सकता है मैं कोई detail मिस कर रहा हूँ” — हाँ, शायद आप physics मिस कर रहे हैं। अगर London से sub-millisecond ping आ रहा है, तो वह Mauritius नहीं है