Как организовать vpn канал через интернет
Перейти к содержимому

Как организовать vpn канал через интернет

  • автор:

Статьи

iMac

Многие пользователи сегодня ищут способ максимально обезопасить процесс обмена данными. Одним из самых эффективных способов является создание и настройка персональной локальной сети через VPN – сервиса виртуального соединения. Такая технология подразумевает использование вычислительных мощностей удаленной северной платформы для переадресации запросов и надежной шифровки трафика. Пользователь устанавливает на свою рабочую станцию клиентское приложение, которое обрабатывает исходящие запросы, после чего отправляет их на виртуальный сервер. Между персональным компьютером пользователя и удаленным оборудованием создается частная сеть ВПН, которая представляет собой защищенный канал. С сервера запрос оправляется на искомый веб-ресурс, а все данные с него также поступают на рабочую станцию в зашифрованном виде.

В итоге, пользователь сохраняет анонимность при посещении любых сайтов, адреса запросов невозможно идентифицировать, и даже в статистке суточного трафика они отображаются в виде закодированных данных.

Таким образом, использование небольшой программы VPN на компьютере или мобильном устройстве, позволяет обойти любые блокировки контента, от файерволла в корпоративной сети, до региональных ограничений по ip-адресу. Но анонимность и свободный доступ к информации в интернете — это лишь часть функциональных возможностей такого специфического ПО.

Варианты использования сервиса VPN: создание локальной сети, настройка персонального сервера

Программное обеспечение, разработанное по технологии Virtual Private Network активно используется не только рядовыми пользователи в качестве эффективного анонимайзера, но и является удобным средством для создания корпоративных сетей. Функционал современных образцов ПО от профессиональных разработчиков допускает создание локального соединения любой сложности, рассчитанного на большое количество устройств, в том числе и удаленных. При помощи сервиса VPN можно настроить виртуальная сеть между несколькими персональными компьютерами и физическими серверами, соединение формата устройство — сеть или сеть — сеть. Это означает, что локальный канал обмена данными между рабочими станциями не ограничивается пространством одного помещения или здания, частная сеть VPN успешно подключается к интернету.

В итоге, в состав корпоративной информационной структуры могут входит удаленные устройства, в том числе смартфон, планшеты и ноутбуки. При этом специальное ПО реализует функционал гибкого администрирования, позволяя руководству компании устанавливать уровень доступа и ограничивать права пользователей на редактирование системных файлов или просмотр и копирование ценной корпоративно информации.

Как создать сеть VPN

Виртуальные частные сети представлю собой разновидность локального соединения. В процессе создания защищенного канала для обмена данными задействован программный модуль и вычислительные мощности серверного оборудования. В зависимости от спектра рабочих задач и бюджета компании, клиент сам выбирает вариант технического решения.

Виртуальная сеть VPN может быть создана лишь с использованием программы-клиента на рабочих станциях, в таком случае основной процесс шифрования данных проводится на оборудовании компании-разработчика продукта. Это удобный и простой способ, который подойдет для рядовых пользователей и небольших организаций.

Максимальный уровень свободы в вопросах администрирования и настойки функций предоставляет собственный VPN server. Современное программное обеспечение для таких целей поддерживает все актуальные версии операционных северных систем и совместимо с оборудованием самых сложны конфигураций. Такое решение окажется рациональным при создании обширных виртуальных сетей для компаний с большим количеством филиалов в других городах и регионах.

Записки IT специалиста

В наших прошлых материалах мы рассматривали применение OpenVPN исключительно для организации каналов связи между подразделениями организации. Но современный мир приносит новые вызовы, на которые следует реагировать. Один из них — общественные сети с низкой безопасностью, для работы в которых желательно иметь защищенный канал, препятствующий доступу третьих лиц к вашему трафику. Традиционно эта задача решается использованием VPN-сервисов и в данной статье мы расскажем, как организовать собственный сервис на базе OpenVPN.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Кроме общественных сетей в последние годы стала приобретать повышенную актуальность проблема ограничения доступа к некоторым ресурсам исходя из географического расположения клиента. Это могут быть как ограничения регионального характера, например, популярный поставщик видеоконтента Netflix, так и блокировки со стороны органов власти, как яркий пример которых «ковровые блокировки» РКН в его борьбе с Телеграм, когда под ограничения попало большое количество совершенно легальных ресурсов.

Исходя из вышесказанного можно сделать вывод, что наличие VPN-сервиса для доступа в интернет в современных условиях — это не роскошь, а насущная необходимость, особенно если ваша деятельность завязана на работу в сети. Да, существуют многочисленные VPN-провайдеры, но их услуги являются платными и снова встает вопрос доверия, особенно если вы используете канал для обмена конфиденциальной или финансовой информацией.

Что нужно для создания собственного VPN-сервиса? Прежде всего потребуется VPS (виртуальный выделенный сервер) расположенный в регионе, из которого возможен неограниченный доступ к требуемым ресурсам. В большинстве случаев можно выбирать Европу или Штаты, но во втором случае задержки будут выше. На наш взгляд, выбирать Штаты имеет смысл, если вам требуется доступ к американским ресурсам, тому же Netflix или покупкам у американских продавцов на Amazon и Ebay.

Для поиска недорогих VPS можно воспользоваться специальными сайтами, такими как Low End Box или бесплатными предложениями от облачных провайдеров. Так у Amazon и Microsoft можно бесплатно получить виртуальную машину на год, а Oracle предлагает две VPS бесплатно и навсегда.

В нашем примере мы будем использовать бесплатный VPS от Oracle с Ubuntu 18.04, но данная инструкция подойдет для любых deb-based систем и с некоторыми поправками для любого другого Linux-дистрибутива.

Настройка сервера OpenVPN

Прежде всего установим OpenVPN и Easy-RSA для управления ключами:

apt install openvpn easy-rsa

Скопируем файлы easy-rsa в конфигурационную директорию OpenVPN и создадим символическую ссылку на файл настроек OpenSSL:

cp -r /usr/share/easy-rsa /etc/openvpn
ln -s /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf

Затем откроем файл /etc/openvpn/easy-rsa/vars и изменим в нем следующие строки, указав собственные данные для сертификатов, например, так:

export KEY_COUNTRY="US"
export KEY_PROVINCE="Wild West"
export KEY_CITY="Uncle Tom's Cabins"
export KEY_ORG="Uncle Tom"
export KEY_EMAIL="tom@example.com"
export KEY_OU="Cabin"

Сохраним файл и перейдем к созданию собственного центра сертификации (CA). Для этого перейдем в директорию нашего CA и загрузим переменные:

cd /etc/openvpn/easy-rsa
source ./vars

Очистим любые имеющиеся данные и инициализируем центр сертификации:

./clean-all
./build-ca

В процессе создания ключей вам будут задаваться вопросы, ответы по умолчанию на которые берутся из файла vars и помещены в квадратных скобках, поэтому можно просто подтверждать их нажатием Enter.

OpenVPN-internet-gateway-001.png

После чего в директории /etc/openvpn/easy-rsa/keys появится сертификат CA, содержащий публичный ключ, ca.crt, который должен присутствовать на каждом VPN-клиенте, и закрытый ключ центра сертификации ca.key, этот файл является секретным и не должен покидать пределы сервера.

Затем создадим файл параметров Диффи-Хеллмана, который нужен для формирования уникального сеансового ключа и обеспечения режима совершенной прямой секретности:

./build-dh

Данная операция, в зависимости от производительности вашего VPS, может занять достаточно много времени.

И, наконец, создадим ключевую пару для сервера:

./build-key-server server

где server — имя вашего сервера, мы рекомендуем давать осмысленные названия, чтобы потом не пришлось гадать, что именно это за ключевая пара и для чего она нужна.

На этом формирование необходимых ключей и сертификатов закончено, перейдем к настройке OpenVPN, прежде всего создадим директорию для хранения ключей. Можно, конечно, использовать ключи прямо из директории easy-rsa, но лучше отделить CA от остальных служб.

mkdir /etc/openvpn/keys

Теперь скопируем туда необходимые серверу ключи и сертификаты:

cd /etc/openvpn/easy-rsa/keys
cp ca.crt dh2048.pem server.crt server.key /etc/openvpn/keys

Распакуем и скопируем в директорию /etc/openvpn шаблон серверной конфигурации:

gzip -d /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn

Откроем файл /etc/openvpn/server.conf и внесем в него необходимые изменения, в большинстве случаев вам придется раскомментировать нужны строки или убедиться в их наличии. Опции указаны в порядке их следования в файле:

port 1194
proto udp
dev tun

Данные опции указывают порт, протокол и тип туннеля, менять их не следует, однако в ряде случаев может потребоваться использовать протокол tcp, но в силу более высоких накладных расходов этой ситуации желательно избегать.

Затем зададим топологию сети:

topology subnet

Укажем пути к ключам и сертификатам, допускаются относительные пути, в этом случае корнем будет считаться директория /etc/openvpn:

ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem

Зададим диапазон OpenVPN-сети:

server 10.88.0.0 255.255.255.0

И укажем файл для хранения адресов клиентов, которые будут автоматически выдаваться сервером:

ifconfig-pool-persist /var/log/openvpn/ipp.txt

Автоматически сконфигурируем клиентов на доступ в интернет через OpenVPN-подключение:

push "redirect-gateway def1 bypass-dhcp"

И передадим им собственные DNS-сервера:

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Укажем параметры проверки активности:

keepalive 10 120

Сервер будет проверять клиента каждые 10 секунд и при отсутствии ответа через 120 секунд клиент будет считаться неактивным.

Обязательно закомментируйте строку:

#tls-auth ta.key 0

Для сценария доступа в интернет дополнительная TLS-аутентификация будет излишней.

В последних версиях OpenVPN включен механизм автоматического согласования протоколов шифрования между клиентом и сервером, по умолчанию будет выбран шифр AES-256-GCM, но так как вычислительные возможности VPS обычно ограничены и большого смысла шифровать канал доступа в интернет сложными шифрами нет, то отключим соглассование и укажем достаточно простой AES-шифр:

ncp-disable
cipher AES-128-CBC

Также в новых версиях доступен новый механизм компрессии, для его включения укажем:

compress lz4-v2
push "compress lz4-v2"

Данная опция будет автоматически отправлена на клиент, что облегчает его конфигурирование.

Если у вас есть старые версии клиентов (ниже 2.4), то можно использовать простое lzo-сжатие, для этого закомментируйте вышеприведенные строки и добавьте:

comp-lzo

Эту опцию также потребуется добавить в конфигурационные файлы клиентов.

В целях безопасности понизим права запущенного сервера:

user nobody
group nogroup

После чего проконтролируем наличие опций, отвечающих за правильные права к некоторым ресурсам после их понижения:

persist-key
persist-tun

Укажем путь к файлам логов:

status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log

И укажем его подробность:

verb 3

Во время отладки можно поднять уровень логов до 5-6.

Настройка брандмауэра и маршрутизации

Основной задачей нашего сервера является обеспечение выхода в интернет и будет разумно обеспечить минимальный набор правил безопасности, во многом они будут повторять те правила, которые мы использовали для наших роутеров на базе Linux.

Создадим файл правил:

touch /etc/nat 

и внесем в него следующие строки, обратите внимание на имя сетевого интерфейса вашего VPS, в нашем случае это ens3:

#!/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Сбрасываем настройки брандмауэра
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X


# Разрешаем инициированные нами подключения извне
iptables -A INPUT -i ens3 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешаем подключения по SSH
iptables -A INPUT -i ens3 -p tcp --dport 22 -j ACCEPT

# Разрешаем подключения к OpenVPN
iptables -A INPUT -i ens3 -p udp --dport 1194 -j ACCEPT

#Запрещаем входящие извне
iptables -A INPUT -i ens3 -j DROP

# Разрешаем инициированные нами транзитные подключения извне
iptables -A FORWARD -i ens3 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем транзитный трафик извне
iptables -A FORWARD -i ens3 -o tun0 -j DROP

# Включаем маскарадинг для локальной сети
iptables -t nat -A POSTROUTING -o ens3 -s 10.88.0.0/24 -j MASQUERADE

Не забудем сделать файл исполняемым:

chmod +x /etc/nat

Данный файл требуется запускать после создания туннельного интерфейса tun0, поэтому откроем конфигурационный файл сервера OpenVPN /etc/openvpn/server.conf и в его конце добавим опцию:

up /etc/nat

Перезагрузим сервер и убедимся, что OpenVPN сервер автоматически запустился и создал туннельный интерфейс, это можно сделать командой:

ip a

OpenVPN-internet-gateway-002.png

Также проверим применение правил брандмауэра:

iptables -L -vn

OpenVPN-internet-gateway-003.png

Следующий шаг касается только виртуальных машин в облаке Oracle Cloud, вам потребуется дополнительно разрешить входящий трафик на порт OpenVPN. Для этого перейдите в Сети » Виртуальные облачные сети » VirtualCloudNetwork-20191008-0144 » Сведения о списках безопасности, где вместо VirtualCloudNetwork-20191008-0144 будет имя вашей виртуальной сети. Затем добавьте новое правило для входящего трафика:

OpenVPN-internet-gateway-004.png

Укажите: Тип источника — CIDR, Исходный CIDR — 0.0.0.0/0, IP-протокол — UDP, Диапазон исходных портов — Все, Диапазон конечных портов — 1194.

Настройка клиентов OpenVPN

Настройка клиента начинается на сервере с получения ключей и сертификатов клиента, для этого перейдем в директорию центра сертификации и загрузим переменные:

cd /etc/openvpn/easy-rsa
source ./vars

Затем создадим ключевую пару клиента командой:

./build-key client

где client -имя клиента, мы также рекомендуем давать им осмысленные имена.

Теперь скопируем файлы, которые необходимо передать на компьютер клиента в домашнюю директорию и изменим их владельца (по умолчанию владелец — root), чтобы вы смогли их скопировать с помощью любого FTP или SFTP клиента. В нашем случае имя пользователя ubuntu:

cd /etc/openvpn/easy-rsa/keys
cp ca.crt client.crt client.key ~
cd ~
chown ubuntu:ubuntu ca.crt client.crt client.key

Помните, что закрытый ключ клиента client.key является секретным и следует избегать его передачи по открытым каналам связи.

Также не будет лишним сразу скопировать шаблон клиентской конфигурации:

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client.ovpn

После чего скопируйте все эти файлы на клиент и установите на нем OpenVPN, в Windows системах советуем изменить путь установки OpenVPN на более короткий и без пробелов, скажем, C:\OpenVPN.

Затем откроем файл client.ovpn, который в Windows системах должен быть расположен в C:\OpenVPN\config, а в Linux в /etc/openvpn, и внесем в него следующие изменения:

client
dev tun
proto udp

Данные опции задают клиентский режим работы, тип туннеля и используемый протокол UDP.

Затем укажем адрес сервера:

remote 111.222.333.444 1194

Следующая опция предписывает клиенту постоянно разрешать имя OpenVPN-сервера, имеет смысл если мы указываем сервер по FQDN-имени, а не IP-адресу.

resolv-retry infinite

Для Linux систем обязательно укажите:

user nobody
group nogroup

В Windows данные опции следует обязательно закомментировать.

Проконтролируем наличие следующих опций:

persist-key
persist-tun

Укажем пути к ключам и сертификатам, для Linux систем подразумеваем их нахождение в /etc/openvpn/keys:

ca keys/ca.crt
cert keys/client.crt
key keys/client.key

Для Windows систем предположим их нахождение в C:\OpenVPN\keys:

ca C:\\OpenVPN\\keys\\ca.crt
cert C:\\OpenVPN\\keys\\client.crt
key C:\\OpenVPN\\keys\\client.key

Также обязательно закомментируем опцию:

#tls-auth ta.key 1

Включим защиту от атак типа «человек посередине»:

remote-cert-tls server

И укажем используемый шифр, он должен совпадать с указанным на сервере:

cipher AES-128-CBC

Остальные опции можно оставить без изменений. Сохраним файл и запустим OpenVPN-клиент.

Убедиться, что вы выходите в интернет через VPN-канал можно при помощи любого сервиса, показывающего ваш IP-адрес, например, 2ip.ru:

OpenVPN-internet-gateway-005.png

Обращаем внимание на национальную принадлежность адреса, в данном случае мы выходим в интернет из Штатов.

Самое время провести замер скорости доступа, мы будем использовать для этого популярный сервис SpeedTest. Первый замер без VPN:

OpenVPN-internet-gateway-006.png

Второй через OpenVPN-канал:

OpenVPN-internet-gateway-007.png

Сразу обращаем внимание на выросший пинг — это последствия размещения сервера в Штатах, а также скорость скачивания не выше 10 Мбит/с — ограничение бесплатного тарифа Oracle, хотя в большинстве случаев этого вполне достаточно для комфортного серфинга.

Напоследок затронем еще один момент. Мы настроили сервер таким образом, что он автоматически конфигурирует клиента на доступ в интернет через OpenVPN-подключение, но бывают случаи, когда это не нужно. Допустим вы хотите пустить через VPN только некоторые ресурсы, а остальной доступ должен осуществляться через локального провайдера. В таком случае добавьте в конфигурационный файл клиента опцию:

route-nopull

После чего клиент будет игнорировать передаваемые с сервера опции маршрутизации и DHCP-опции, такие как DNS-сервера и т.п.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Дополнительные материалы:

  1. Настраиваем VPN. Часть 1 — Общие вопросы
  2. Настраиваем VPN. Часть 2 — Cтруктура сети
  3. Настраиваем VPN сервер. Часть 3 — PPTP. Платформа Linux
  4. Настраиваем VPN сервер. Часть 4 — PPTP. Платформа Windows
  5. Настраиваем VPN сервер. Часть 5 — L2TP. Платформа Windows
  6. Ubuntu Server. Форвардинг PPTP средствами iptables
  7. Организация VPN каналов между офисами при помощи OpenVPN
  8. Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой
  9. Организация VPN каналов между офисами. Маршрутизация
  10. Организация каналов между офисами при помощи OpenVPN на платформе Linux
  11. Настройка OpenVPN-сервера для доступа в интернет
  12. Настройка двух и более OpenVPN-серверов на одном сервере
  13. Почему тормозит OpenVPN? Размер буферов приема и отправки
  14. Как настроить несколько одновременных OpenVPN подключений в Windows
  15. SSH-туннели на службе системного администратора
  16. Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3
  17. Настройка OpenVPN-сервера на роутерах Mikrotik
  18. Настройка VPN-подключения в роутерах Mikrotik
  19. OpenVPN объединяем ключи и конфигурацию клиента в один файл
  20. OpenVPN и инфраструктура открытых ключей (PKI)
  21. Настройка OpenVPN-сервера на роутерах Mikrotik
  22. Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам
  23. Настраиваем PPTP или L2TP VPN-сервер при помощи RRAS в Windows Server
  24. Автоматическое добавление маршрутов для VPN-соединения в Windows

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Подпишись на наш Telegram-канал

Или подпишись на наш Телеграм-канал:

VPN- туннель: способы создания соединения между двумя компьютерами

vpn туннель между двумя компьютерами через интернет

С какой целью создают VPN туннель между двумя компьютерами через интернет? Виртуальная частная сеть, или VPN, — это соединение, которое можно настроить между двумя компьютерами и которое обеспечивает надежную связь между компьютером с общим доступом к интернету и компьютером, подключенным к частной сети (дома или на работе). Чтобы настроить VPN, вам придется узнать определенную информацию о каждом компьютере. Например, их IP-адрес или доменное имя, имя пользователя и пароль, а также другие настройки для аутентификации. Затем эти данные необходимо ввести в меню конфигураций VPN на компьютере. В этой статье содержатся инструкции для настройки VPN на компьютерах.

Общая информация о VPN

VPN-технологии сегодня прочно вошли в повседневную жизнь и на слуху не только у IT-специалистов, поэтому мы решили обновить ряд старых статей, значительно дополнив и расширив имеющуюся в них информацию. Если десять лет назад VPN был в основном уделом достаточно крупных организаций, сегодня он широко используется повсеместно. В этой статье мы рассмотрим, что такое VPN в 2019 году, какие технологии доступны, в чем их достоинства и недостатки и как это все можно использовать.

Прежде всего определимся с терминологией. VPN (Virtual Private Network, виртуальная частная сеть) — обобщенное название технологий позволяющих обеспечить построение логической (виртуальной) сети поверх физической. Как правило, поверх сети интернет или иных сетей с низким уровнем доверия.

Для построения сетей VPN обычно используются туннели, туннелирование это процесс установления соединения между двумя точками с использованием инкапсуляции. Когда данные одного протокола помещаются в «конверты» другого протокола с целью обеспечить их прохождение в неподходящей среде. Обеспечения целостности и конфиденциальности, защиты с помощью шифрования и т.д. и т.п.

Если подходить к вопросу терминологии строго, то под VPN следует понимать виртуальную сеть, которая образуется путем установления туннельных соединений между отдельными узлами.

Но на практике термины используются гораздо более вольно и очень часто вносят серьезную путаницу. Скажем, популярный сейчас доступ в интернет через VPN виртуальной частной сетью собственно не является. А представляет туннельное соединение для выхода в интернет, с логической точки зрения ничем не отличаясь от PPPoE, которое тоже является туннелем, но VPN его никто не называет.

По схеме организации можно выделить две большие группы: клиент-серверные технологии и просто туннели. В названии первых обычно принято использовать аббревиатуру VPN, у вторых нет. Туннели требуют наличия с обоих концов выделенного IP-адреса. Не используют вспомогательных протоколов для установления соединения и могут не иметь инструментов контроля канала. Клиент-серверные решения, наоборот, используют дополнительные протоколы и технологии. Осуществляющие установку связи между клиентом и сервером, контроль и управление каналом, обеспечение целостности и безопасности передаваемых данных.

PPTP

PPTP (Point-to-Point Tunneling Protocol, туннельный протокол точка-точка) — один из наиболее известных клиент-серверных протоколов, получил широкое распространение благодаря тому, что начиная с Windows 95 OSR2 PPTP-клиент был включен в состав ОС. В настоящее время поддерживается практически всем спектром систем и устройств, включая роутеры и смартфоны (клиент удален из последних версий macOS и iOS).

Технически PPTP использует два сетевых соединения: канал управления, работающий через TCP и использующий порт 1723 и GRE-туннель для передачи данных. Из-за этого могут возникать сложности с использованием в сетях мобильных операторов. Проблема с одновременной работой нескольких клиентов из-за NAT и проблема проброса PPTP соединения через NAT.

Еще одним существенным недостатком является низкая безопасность протокола PPTP, что не позволяет строить на нем защищенные виртуальные сети. Но широкое распространение и высокая скорость работы делают PPTP популярным там. Где безопасность обеспечивается иными методами, либо для доступа в интернет.

L2TP

L2TP (Layer 2 Tunneling Protocol, протокол туннелирования второго уровня) — разработка компаний Сisco и Microsoft, использует для передачи данных и управляющих сообщений единственное UDP соединение на порту 1701, но не содержит никаких встроенных средств защиты информации. L2TP-клиент также встроен во все современные системы и сетевые устройства.

Поэтому без шифрования L2TP широко применялся и применяется провайдерами для обеспечения доступа в интернет, обеспечивая таким образом разделение бесплатного внутрисетевого и дорогого интернет трафика. Это было актуально в эпоху домовых сетей, но данная технология продолжает применяться многими провайдерами и по сей день.

Для построения VPN обычно используют L2TP over IPsec (L2TP/IPsec), где IPsec работает в транспортном режиме и шифрует данные L2TP-пакета. При этом L2TP-туннель создается внутри IPsec-канала и для его установления необходимо прежде обеспечить IPsec-соединение между узлами. Как следствие, это может вызвать сложности при работе в сетях с фильтрацией трафика (гостиничные сети, публичный Wi-Fi и т.д.). Вызывает проблемы с пробросом L2TP/IPSec через NAT и работой из-за NAT одновременно нескольких клиентов.

К плюсам L2TP можно отнести высокую распространенность и надежность, IPsec не имеет серьезных уязвимостей и считается очень безопасным. Минус — высокая нагрузка на оборудование и невысокая скорость работы.

SSTP

SSTP (Secure Socket Tunneling Protocol, протокол безопасного туннелирования сокетов) — разработанный компанией Microsoft безопасный VPN-протокол, относится к так называемым SSL VPN, распространен преимущественно в Windows-среде, хотя клиенты доступны в среде многих современных ОС. Также есть сторонние серверные решения, скажем в Mikrotik.

Технически SSTP представляет собой туннельное PPP-соединение внутри HTTPS-сессии на стандартный порт 443. Для стороннего наблюдателя доступны только HTTPS-заголовки, наличия туннеля в трафике остается скрытым. Это позволяет успешно работать в любых сетях, так как HTTPS широко используется для доступа к сайтам и обычно разрешен, снимает проблему с пробросом или работой из-за NAT. Безопасен.

К плюсам можно отнести интеграцию в Windows-среду, безопасность, возможность работы через NAT и брандмауэры. К недостаткам — слабую или недостаточную поддержку со стороны других ОС и сетевых устройств, а также уязвимость к некоторым классическим SSL-атакам, таким как «человек посередине».

OpenVPN

OpenVPN — свободная реализация VPN с открытым исходным кодом. Для защиты соединения также используется SSL, но в отличие от SSTP заголовки OpenVPN отличаются от стандартных HTTPS, что позволяет однозначно определить наличие туннеля. Для передачи данных внутри SSL-канала OpenVPN использует собственный протокол с транспортом UDP, также существует возможность использовать в качестве транспорта TCP, но данное решение является нежелательным из-за высоких накладных расходов.

OpenVPN обеспечивает высокую безопасность и считается одним из самых защищенных протоколов, составляя альтернативу IPsec. Также имеются дополнительные возможности в виде передачи с сервера на клиент необходимых настроек и маршрутов, что позволяет легко создавать сложные сетевые конфигурации без дополнительной настройки клиентов.

Кроме туннелей, работающих на сетевом уровне (L3) — TUN, OpenVPN позволяет создавать соединения канального (L2) уровня — TAP, позволяя связывать сети на уровне Ethernet. Однако следует помнить, что в этом случае в туннель будет инкапсулироваться широковещательный трафик, а это может привести к повышенной нагрузке на оборудование и снижению скорости соединения.

Несмотря на то, что OpenVPN требует установки дополнительного ПО серверная часть доступна для Windows и UNIX-like систем, а клиентская в том числе и для мобильных устройств. Также поддержка OpenVPN имеется во многих моделях роутеров (часто в ограниченном виде).

К недостаткам можно отнести работу в пользовательском пространстве и некоторую сложность настроек. Скорость внутри OpenVPN туннелей также может быть значительно ниже скорости канала.

Несмотря на это OpenVPN имеет высокую популярность и достаточно широко используется как в корпоративных сетях, так и для доступа в интернет.

GRE туннель

GRE (Generic Routing Encapsulation, общая инкапсуляция маршрутов) — протокол туннелирования разработанный компаний Cisco и предназначен для инкапсуляции любых протоколов сетевого уровня OSI (т.е. не только IP), GRE работает непосредственно поверх IP и не использует порты, не проходит через NAT, номер протокола 47.

Generic Routing Encapsulatio требует белых IP-адресов для обоих сторон туннеля и является протоколом без сохранения состояния, т.е. никак не контролирует доступность противоположного узла, хотя большинство современных реализаций содержат дополнительные механизмы, позволяющие определить состояние канала. Также отсутствуют какие-либо механизмы безопасности, но это не является недостатком, так как в отличие от клиент-серверных решений GRE-туннели применяются в корпоративной и телекоммуникационной среде, где для обеспечения безопасности могут использоваться иные технологии.

Для построения защищенных решений обычно используется GRE over IPsec, когда туннель GRE располагается поверх защищенного IPsec канала, хотя возможно и иное решение — IPsec over GRE, когда защищенное соединение устанавливается внутри незашифрованного GRE-туннеля.

GRE поддерживается в UNIX-like системах, сетевом оборудовании (исключая домашние модели), а также в Windows Server начиная с версии 2016. Данный протокол широко используется в телекоммуникационной сфере и корпоративной среде.

IP-IP туннель

IP-IP (IP over IP) — один из самых простых и имеющий минимальные накладные расходы протокол туннелирования, но в отличие от GRE инкапсулирует только IPv4 unicast трафик. Также является протоколом без сохранения состояния и встроенных механизмов безопасности, обычно используется в паре с IPsec (IP-IP over IPsec). Поддерживается UNIX-like системами и сетевым оборудованием. Как и GRE не использует порты и не проходит через NAT, номер протокола 4.

EoIP туннель

EoIP (Ethernet over IP) — разработанный Mikrotik протокол туннелирования канального уровня (L2), работает на базе протокола GRE инкапсулируя Ethernet кадры в GRE пакеты. Позволяет соединять на канальном уровне удаленные сети (что равносильно прямому соединению патч-кордом между ними) и обеспечивать связь без использования маршрутизации. При этом следует понимать, что такое соединение предполагает прохождение широковещательного трафика, что способно существенно снизить производительность туннеля, особенно на узких каналах или каналах с большими задержками.

В тоже время EoIP может быть полезен для подключения торгового и промышленного оборудования, которое не умеет работать на сетевом (L3) уровне с маршрутизацией. Например, для подключения удаленных видеокамер к видеорегистратору.

Первоначально EoIP поддерживался только оборудованием Mikrotik, сегодня его поддержка реализована в оборудовании Zyxel и существуют пакеты для его реализации в среде Linux.

IPsec

IPsec (IP Security) — набор протоколов для обеспечения безопасности передаваемых по сетям IP данных. Также может использоваться не только для защиты уже существующих каналов связи, а для организации самостоятельных туннелей. Но IPsec-туннели не нашли широкого распространения по ряду причин: сложность настройки, критичность к ошибкам конфигурирования (может сильно пострадать безопасность) и отсутствие возможности использовать маршрутизацию для управления трафиком в таких туннелях (решение об обработке IP-пакетов принимается на основании политик IPsec).

IKEv2

IKEv2 (Internet Key Exchange) входит в состав протоколов IPSec, однако может использоваться самостоятельно для создания туннельных подключений. Отличается высокой безопасностью и скоростью работы, поддерживает аутентификацию по сертификатам. Прост в настройке с клиентской стороны, может передавать клиентам маршрутную информацию. Поддерживается всеми современными ОС. Хорошо проходит через NAT и не имеет проблем характерных для L2TP/IPsec. Из недостатков следует выделить сложность в настройке серверной части и определенные сложности с маршрутизацией, которые указаны выше, при описании IPsec.

ВПН туннель

При подключении к VPN, создается «виртуальная» сеть между устройством пользователя и сервером ВПН, с зашифрованным соединением. Запрос в зашифрованном виде направляется от пользователя, через защищенный канал связи, именуемый ВПН–туннелем, на сервер ВПН. Оттуда запрос перенаправляется по назначению – в интернет или к другому серверу.

Безопасность

Если используется обыкновенное подключение к сети, трафик передается от пользователя напрямую интернет провайдеру. Информация передается в открытом виде, и третьи лица могут получить к ней доступ. Туннелирование позволяет создать защищенный канал, по которому информация передается в зашифрованном виде на сервер, а ключи шифрования есть только у пользователя и сервера. Получить доступ к информации пользователя можно, лишь имея физический доступ к серверу в момент подключения. Большинство крупных провайдеров VPN услуг никогда не сохраняют логи, а физический доступ к их серверам практически исключен. Хотя трафик расшифровывается на сервере, определить конкретного пользователя, который делал этот запрос невозможно – к ВПН подключаются одновременно сотни хостов.

Методы шифрования в туннелях

ВПН туннель – это своеобразный защищенный мост между устройством пользователя и сервером, где данные шифруются при помощи надежных 256-битных алгоритмов. Некоторые сервисы используют 128 битные AES. Даже такие ключи взломать невозможно – используя метод грубого перебора (брутфорса) это заняло бы миллионы лет.

что такое vpn туннель

Типы протоколов в VPN туннелях

Самый распространенный среди ВПН сервисов протокол передачи данных в ВПН сетях — OpenVPN. Он использует стандартные TCP и UDP запросы, что позволяет скрыть использование VPN подключения. Пакеты данных шифруются 256-битным шифрованием, а для его работы нужно только соответствующее клиентское приложение. PPTP – самый простой программный протокол. Используется для установления связи типа точка-точка. Для авторизации использует пароль. Шифрование отсутствует, его область применения — настройка соединений программными средствами операционных систем L2TP, IPSec. L2tp это более совершенная версия PPTP, но шифрование у протокола по-прежнему отсутствует. L2TP используется в связке с IPSec – протоколом, шифрующим пакеты данных и обеспечивающим безопасность. Главный недостаток IPsec – сложная настройка клиентских приложений. PPTP или IPSec гораздо менее стабильные протоколы, чем OpenVPN. Хотя для настройки виртуальной сети через PPTP не требуется никаких дополнительных программ, PPTP требует поддержки GRE47, из-за чего может нестабильно работать под сетевым экраном (NAT) и требовать долгих настроек.

Создание ВПН туннеля

Самой простой задачей, для которой может потребоваться VPN туннели – получение доступа к домашнему ПК из любой точки мира. Нередки ситуации, когда человек уезжает в командировку в страну, в которой доступ к соцсетям или любимым ресурсам заблокирован. Чтобы не платить деньги ВПН-провайдерам, достаточно настроить vpn туннель между мобильным устройством и домашним ПК. Собственный VPN туннель будет совершенно бесплатным. Доступ к сайтам восстановится, а скорость работы будет всегда большой, ведь к домашнему ПК подключается только один пользователь.

Как установить и настроить VPN туннель?

Туннелирование VPN может использоваться для объединения двух локальных сетей, к примеру внутренних сетей двух филиалов одной организации для безопасного обмена информацией. Сделать VPN туннель можно как при помощи стороннего ПО, вроде программы OpenVPN, так и при помощи встроенных средств ОС.

Основные VPN-решения

При работе с облачными сервисами важна не только скорость обработки и передачи данных — на первое место выдвигается гарантированный уровень безопасности. Данные, хранящиеся на внешнем ресурсе, ни в коем случае не должны попасть в чужие руки. C другой стороны, постоянно появляются сообщения о попытках государств что-нибудь да заблокировать. Наверное, поэтому в последнее время вырос интерес к VPN-решениям, и наряду с уже традиционными IPsec/XFRM и OpenVPN в Linux стали активно развиваться еще несколько проектов. Сегодня тебя ждут четыре интересных экземпляра: SoftEther VPN, WireGuard, FreeLAN и GoVPN.

SoftEther VPN

SoftEther VPN — академический проект японского Цукубского университета (University of Tsukuba), распространяемый под лицензией GPLv2. Главной его особенностью является поддержка нескольких VPN-протоколов, совместимых с оригинальными клиентами. Это позволяет вместо парка серверов из проприетарных и open source решений использовать для подключения клиентов, работающих под управлением разных ОС, одно приложение. И просто выбирать нужный протокол в зависимости от конкретной ситуации.

Поддерживаются: SSL-VPN (HTTPS), IPsec, L2TP, MS-SSTP, L2TPv3, EtherIP и OpenVPN. SoftEther VPN работает в режимах remote-access и site-to-site, на уровнях L2 (Ethernet-bridging) и L3 (IP). В случае замены OpenVPN мы получаем более простую конфигурацию. Есть генератор ovpn-файлов для быстрого подключения VPN-клиента. Замена SSTP VPN позволяет отказаться от использования серверов на базе Win2k8/2012, требующих лицензии. Собственный протокол обеспечивает прохождение Ethernet поверх HTTPS (отсюда и название проекта — Software Ethernet), характеризуется хорошей пропускной способностью и низкой латентностью. Его использование дает возможность прозрачно соединить несколько Ethernet-сетей в одну, то есть отпадает необходимость в дополнительных решениях Ethernet-over-IP.

И главное — он совместим с NAT и работает через стандартный 443-й порт, который обычно не блокируется брандмауэрами провайдеров. Эта возможность позволяет скрыть вообще использование VPN: со стороны трафик выглядит как обычный и не обнаруживается технологиями Deep Packet Inspection. Собственно, поэтому он и стал очень популярен в Китае, где его используют для обхода Великого китайского файрвола. При этом на стороне клиента реализован виртуальный сетевой адаптер Ethernet, а на сервере — виртуальный коммутатор.

Большой плюс — наличие NAT Traversal, включенной по умолчанию, то есть не нужно просить админа открыть доступ к VPN-серверу, находящемуся во внутренней сети. Но и это еще не все. В сетях с ограниченным доступом, у которых блокируются все TCP- и UDP-пакеты (например, публичные Wi-Fi), для создания VPN можно использовать протоколы ICMP и DNS, обычно не блокируемые брандмауэром. Поддерживается Dynamic DNS, позволяющий получить доступ при динамически меняющемся IP-адресе. Для этого реализован сервис VPN Gate, называемый VPN Azure Cloud Service, — к нему можно организовать соединение из внутренней сети и затем при необходимости свободно попадать внутрь сети. Клиентская часть содержит специальный плагин VPN Gate, позволяющий отслеживать смену IP и быстро подключаться к VPN Gate.

Управлять SoftEther VPN можно при помощи графического интерфейса

WireGuard

WireGuard — результат исследований автора проекта Джейсона Доненфилда (Jason A. Donenfeld), главы компании Edge Security. Продукт со встроенной криптографией, одновременно простой в использовании и в реализации (чуть более 4000 строк кода), что существенно выделяет его среди остальных решений. Например, его код легче проанализировать, чем все, что написано в рамках *Swan/IPsec или OpenVPN. Самый молодой проект обзора. О нем заговорили в середине лета 2016-го после публикации анонса в списке рассылки разработчиков ядра Linux, где был представлен патч к ядру. Хотя сам проект развивается уже несколько лет и прошел стадию рецензирования криптографии, то есть его можно внедрять в основное ядро.

VPN-соединение инициализируется (handshake) путем обмена открытыми ключами и напоминает подход, применяемый в SSH. Все остальное прозрачно обрабатывается WireGuard, нет необходимости беспокоиться о ключах, роутинге, контроле состояния и прочем, это все забота WireGuard. Возможно использование симметричного шифрования, но это потребует чуть больших настроек. Маршрутизация производится по ключам шифрования, для этого к каждому сетевому интерфейсу привязывается закрытый ключ. Для обновления ключей handshake происходит через определенное время или по сигналу, что ключи устарели. Для согласования ключей и соединения вместо собственного демона в пространстве пользователя используется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH, без усложнений в виде поддержки x509 и ASN.1.

Для шифрования применяются потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305. Для генерации совместного секретного ключа — протокол Диффи — Хеллмана на эллиптических кривых в реализации Curve25519, предложенной Дэниелом Бернштейном. Для хеширования используются BLAKE2s (RFC 7693) и SipHash-2-4. Избежать replay-атаки позволяет метка времени TAI64N, пакеты с меньшей меткой времени отбрасываются.

Передача данных осуществляется на третьем уровне ISO через инкапсуляцию в пакеты UDP. Поддерживаются IPv4 и IPv6, инкапсуляция v4 в v6 и v6 в v4. Может работать за NAT и файрволом. Поддерживается смена IP-адреса VPN-сервера без разрыва соединения с автоматической перенастройкой клиента.

После установки в системе появляется новый сетевой интерфейс wg0, который может быть настроен штатными инструментами ipconfig/ip-address и route/ip-route. Специальная утилита wg позволяет установить секретный ключ устройства и указать список ассоциаций для клиентов (его публичный ключ, разрешенный IP).

Пока WireGuard доступен только для Linux, после тестирования предполагается портировать в другие ОС. Код распространяется под лицензией GNU GPLv2.

Настройка WireGuard
Настройка WireGuard
Смотрим конфигурацию WireGuard

FreeLAN

FreeLAN — мультиплатформенный VPN-клиент, который распространяется по лицензии GNU GPL и относится к так называемому классу Full Mesh, то есть использует P2P-технологии. Проект относительно молодой, активно начал продвигаться только с 2013 года. Его главное отличие от других проектов — это выбор варианта архитектуры: клиент-серверная (как привычный VPN, клиенты в зависимости от установок могут или не могут обмениваться данными друг с другом, сервер может выступать как релей), P2P (клиенты подключаются друг к другу напрямую) и смешанный (оба варианта). Таким образом, можно гибко настроить VPN практически под любые условия. Например, сервер может понадобиться, чтобы получать доступ во внутреннюю сеть или для контроля соединений, в остальных случаях можно позволить подключаться напрямую.

Основой служит собственный протокол FSCP (FreeLAN Secure Channel Protocol), базирующийся на UDP. Может работать как на уровне Ethernet, устанавливая прямые Ethernet-соединения между узлами, так и на уровне IPv4/IPv6. Предусмотрена авторизация по секретному слову и по X.509-сертификатам, минимальный размер открытого ключа RSA — 1024 бит, рекомендуемый — 2048 бит, в качестве симметричного ключа используется AES-256. Сессии имеют ограниченный срок службы, после окончания которого перезапускаются, сообщения содержат счетчики и контролируют время, что позволяет избежать replay-атак. Для поддержания сеанса отправляются сообщения keep-alive. Заголовок сообщения подписывается частным ключом или HMAC-SHA-256, если используется pre-shared-ключ. В общем, выбор в настройках очень большой.

Поддерживаются Win, Linux, macOS, Raspberry Pi. Пакет есть в репозиториях основных дистрибутивов, поэтому установка сложностей не вызывает. По факту программа представляет собой один бинарник, поэтому создавать сети очень просто.

Поднимаем сервер FreeLAN
Поднимаем сервер FreeLAN
Конфигурационный файл FreeLAN

GoVPN

GoVPN — легкий и простой в настройке демон VPN, предназначенный для создания шифрованных и аутентифицированных каналов связи поверх UDP или TCP. Среди задач проекта — безопасный код, который легко читать и анализировать, безопасность, устойчивость к DPI/цензуре. Фактически GoVPN просто туннелирует кадры Ethernet — ни больше ни меньше. Нет никаких особых инструментов для управления IP, но для этого можно самостоятельно написать скрипты. Использует TAP сетевые интерфейсы, в настройках можно задавать его имя. MTU конфигурируются относительно каждого клиента отдельно. Написан на языке Go и распространяется под лицензией GPLv3. Для согласования ключей используется протокол с двусторонней аутентификацией сторон по парольной фразе (PAKE DH A-EKE: Diffie — Hellman Augmented Encrypted Key Exchange). Клиент для подключения вводит парольную фразу, на серверной стороне хранится верификатор, который нельзя использовать с клиентской стороны, поэтому даже при взломе сервера хакер не может выдавать себя за клиента.

Реализовано три режима работы:

  • обычный (применяется по умолчанию), когда в сеть идут просто зашифрованные пакеты;
  • noise (шумовой), когда пакеты дополняются шумом до постоянной длины;
  • CPR (постоянной скорости) — в дополнение к noise пакеты отправляются строго через определенный промежуток, если нет полезной информации, отправляется шумовой пакет.

В последних двух режимах благодаря генерированию постоянного шумового трафика удается скрывать длину сообщений и сам факт передачи полезной нагрузки. Имеет свойство нулевого неразглашения, при котором невозможна offline-атака по словарю, устойчив к replay-атакам через использование одноразового кода аутентификации сообщения (message authentication code) и синхронизацию времени (опционально). Предусмотрена ротация сессионных ключей и отправка heartbeat для поддержания работы через NAT или файрвол. Для хеширования парольных фраз задействован Balloon (в релизе 6.0). В релизе 5.0 это был Argon2d, еще ранее PBKDF2. Поэтому версии несовместимы.

Особенности

Есть нешифрованный режим, также обеспечивающий конфиденциальность и аутентичность данных благодаря технологии chaffing and winnowing. Он позволяет обойти ограничения на использование криптографических инструментов в некоторых странах. Вместо шифрования применяются алгоритмы аутентификации и передача множества лишних пакетов (получатель просто отбирает те, которые ему подходят). Но это увеличивает каждый пакет на 4128 байт, поэтому режим требователен и к процессору, и к лишнему передаваемому трафику.

Совместим с IPv4 и IPv6. Возможно подключение через внешний HTTP-прокси, клиент также имеет встроенный режим HTTP-прокси, который можно использовать для доступа к серверу. Для получения статистики о подключенных клиентах в режиме реального времени в JSON-формате используется встроенный HTTP-сервер. Поддерживается работа в GNU/Linux и FreeBSD. Сервер конфигурируется с использованием YAML-файла.

Готовых пакетов проект не предлагает, только исходные тексты, для сборки понадобятся пакеты uml-utilities и golang. Хотя неофициальные порты появились уже в некоторых дистрибутивах. Дистрибутив постоянно развивается, и часть инструкций по настройке уже недействительна.

Настройка клиента в GoVPN

Строим VPN-туннель в локальную сеть с помощью WireGuard

Наиболее популярные решения с открытым исходным кодом для построения виртуальных частных сетей — «OpenVPN» и «IPSec». В релиз ядра Linux 5.6, который состоялся 30 марта 2020 года, вошла еще одна реализация технологии VPN — «WireGuard». Это молодой набирающий популярность проект.

Основные преимущества «WireGuard»:

  1. Высокая производительность.
  2. Простая настройка.
  3. Современная криптография.
  4. Качественный код.

Ниже приведена инструкция по настройке VPN-туннеля в локальную сеть с помощью «WireGuard» и обеспечим доступ из интернета к узлам LAN с различных устройств.

Настройка сервера

Для размещения сервера потребуется VPS. При выборе необходимо обратить внимание на технологию виртуализации: предпочтительно KVM, можно XEN, а вот OpenVZ следует избегать. Дело в том, что в WireGuard реализован как модуль ядра, а в OpenVZ ядро очень старое. Я буду использовать самый дешевый виртуальный сервер c операционной системой Ubuntu 20.04 (KVM 512 МБ RAM 20 ГБ SSD 1 CPU — такая конфигурация вполне подойдет).

Залогинимся на сервер с правами пользователя root и выполним следующие команды:

Обратите внимание на название сетевого интерфейса — оно должно соответствовать общедоступному сетевому адаптеру, в моем случае это eth0. Вывести список адаптеров можно командой: ip aВыберите из списка тот, которому соответствует внешний IP-адрес. — заменяем содержимым файла /etc/wireguard/privatekey.Запустим VPN-сервис и добавим его в автозагрузку:

  • wg-quick up wg0 systemctl enable [email protected]Убедимся, что служба запустилась корректно:
  • [email protected]:/etc/wireguard# wg show wg0 interface: wg0 public key: private key: (hidden) listening port: 51820.

Настройка клиента в LAN

Если ваш роутер поддерживает WireGuard (Zyxel KeeneticOS >=3.3, Mikrotik RouterOS >=7.1beta2, OpenWRT) — можно настроить VPN-клиент прямо на нем. Я буду использовать для этой цели сервер Ubuntu 20.04 (локальный адрес 192.168.100.7).

Первый этап настройки аналогичен конфигурации серверной части. Выполняем с правами root-пользователя:

— заменяем содержимым /etc/wireguard/privatekey, — /etc/wireguard/publickey с сервера, — внешний IP-адрес сервера. Правила iptables в PostUp/PostDown необходимы для того, чтобы наш клиент выступал в роли шлюза в LAN. Указываем в правилах тот сетевой интерфейс, на который назначен локальный адрес (192.168.100.7, в моем случае это wlp2s0). Уточните его путем исполнения команды:ip a

Настройка удаленных клиентов

Сборки WireGuard доступны для основных платформ: Linux, Windows, Mac, Android, FreeBSD, OpenWRT и др. Рассмотрим настройку VPN-клиента на десктопах под управлением Linux и Windows, а так же на Android-смартфоне.

Удаленный Linux клиент

На клиенте выполняем с правами root:

# устанавливаем Wireguard apt update && apt upgrade apt install wireguard # генерируем ключи wg genkey | tee /etc/wireguard/peer_1_privatekey | wg pubkey | tee /etc/wireguard/peer_1_publickeyКонфигурационный файл /etc/wireguard/wg0.conf:

[Interface] PrivateKey =Address = 10.0.0.3/32 DNS = 8.8.8.8 [Peer] PublicKey = Endpoint = :51820 AllowedIPs = 0.0.0.0/0 # AllowedIPs = 10.0.0.0/24, 192.168.100.0/24 PersistentKeepalive = 20

— заменяем содержимым /etc/wireguard/peer_1_privatekey, — /etc/wireguard/publickey с сервера.

Обратите внимание на строку «AllowedIPs = 0.0.0.0/0» — в данной конфигурации весь трафик будет маршрутизироваться через VPN-адаптер. Это может понадобиться для сокрытия реального IP при работе в интернет или для защиты трафика при подключении к недоверенным сетям (например публичные Wi-Fi точки доступа). В этом случае указываем «DNS = 8.8.8.8» (8.8.8.8 — DNS-сервер Google), чтобы DNS-запросы выполнялись через защищенное VPN-соединение.

Если VPN-туннель необходим только для доступа к LAN 192.168.100.0/24 — убираем строчку «DNS = 8.8.8.8» и в параметре AllowedIPs меняем «0.0.0.0/0» на «10.0.0.0/24, 192.168.100.0/24».

# запускаем службу wg-quick up wg0 # добавляем в автозапуск systemctl enable [email protected]На сервере в конфигурационный файл /etc/wireguard/wg0.conf добавляем блок:

[Peer] PublicKey =AllowedIPs = 10.0.0.3/32Где

Удаленный Windows клиент

Скачиваем WireGuard для Windows с официального сайта и устанавливаем.

На сервере сгенерируем ключи для Windows-клиента:

wg genkey | tee /etc/wireguard/peer_2_windows_privatekey | wg pubkey | tee /etc/wireguard/peer_2_windows_publickeyДобавим блок Peer в файл /etc/wireguard/wg0.conf:

…​[Peer] PublicKey =AllowedIPs = 10.0.0.4/32

systemctl restart [email protected]Конфигурационный файл windows.conf:

[Interface] PrivateKey =Address = 10.0.0.4/32 [Peer] PublicKey = Endpoint = :51820 AllowedIPs = 10.0.0.0/24, 192.168.100.0/24 PersistentKeepalive = 20

В приложении WireGuard открываем конфигурационный файл и нажимаем кнопку «подключение».

Конфигурационные файлы можно генерировать и на клиентах, а после отправлять открытые части ключей на сервер.

Удаленный Android клиент

Приложение для Android доступно в Google Play.

Генерируем ключи для клиента и добавляем Peer в конфигурационный файл сервера.

wg genkey | tee /etc/wireguard/peer_3_android_privatekey | wg pubkey | tee /etc/wireguard/peer_3_android_publickey/etc/wireguard/wg0.conf:

… [Peer] PublicKey =AllowedIPs = 10.0.0.5/32

Не забываем перезапускать сервер после каждого изменения конфигурации:

systemctl restart [email protected]Создадим конфигурационный файл для Android клиента mobile.conf:

[Interface] PrivateKey =Address = 10.0.0.5/32 [Peer] PublicKey = Endpoint = :51820 AllowedIPs = 10.0.0.0/24, 192.168.100.0/24 PersistentKeepalive = 20

Устанавливаем пакет qrencode:

sudo apt install qrencodeИ генерируем QR-код с конфигурацией для PEER_3:

В Android-приложении выбираем пункт меню «сканировать QR-код»:

И подключаемся к VPN-туннелю:

Объединение двух офисов через VPN средствами Windows

Задача — объединить по VPN два офиса –головной и филиал. Ситуацию еще и осложнял тот факт, что в головном офисе стоял видео-сервер, который должен принимать видео с IP камеры филиала.

Способов решения много. Все зависит от того, что у вас есть под рукой. Вообще, VPN легко построить с помощью железного решения на базе различных роутеров Zyxel. В идеале, может случиться и то, что интернет обоим офисам раздает один провайдер и тогда у вас вообще проблем не возникнет (достаточно просто обратиться к прову). Если фирма богата, то может себе позволить и CISCO. Но обычно все решается программными средствами.

А тут выбор велик – Open VPN, WinRoute (учтите, что он платный), средства операционной системы, программы типа Hamanchi (честно говоря, в редких случаях она может и выручит, но полагаться на нее не рекомендую – бесплатная версия имеет ограничение в 5 хостов и еще один существенный минус заключается в том, что все ваше соединение зависит хоста Hamanchi, что не всегда гуд). В моем случае идеально было бы воспользоваться OpenVPN – бесплатной программой, способной незатейливо создать надежное VPN-соединение. Но мы, как всегда, пойдем по пути наименьшего сопротивления.

На базе клиентской Windows

У меня в филиале интернет раздает шлюз на базе клиентской Windows. Согласен, не самое лучшее решение, но для тройки клиентских компьютеров хватит с головой. Мне нужно сделать VPN-сервер из этого шлюза. Так как вы читаете эту статью, то наверняка уверен, что являетесь новичком в VPN. Поэтому для вас я привожу самый простой пример, который, в принципе, устраивает и меня.

В Windows семейства NT уже вшиты зачаточные возможности серверов. Поднять VPN-сервер на одной из машин не составит труда. В качестве сервера я буду приводить примеры скриншотов Windows 7, но общие принципы будут теми же самыми, что и для старушки XP.

Учтите, что для соединения двух сетей, нужно чтобы они имели разный диапазон! Например, в головном офисе диапазон может быть 192.168.0.x, а в филиале – 192.168.20.x (или любой диапазон серых ip). Это очень важно, так что будьте внимательны. Теперь, можно приступать к настройке.

Зайдите на сервере VPN в Панель управления -> Центр управления сетями и общим доступом ->изменение параметров адаптера.

Теперь нажмите клавишу Alt, вызвав меню. Там в пункте Файл нужно выбрать «Новое входящее подключение».

Поставьте галочки тем пользователям, которые могут входить в систему по VPN. Я настоятельно рекомендую Добавить нового пользователя, назвать его понятным именем и назначить пароль.

После того, как вы это сделали, нужно в следующем окне выбрать как будут подключаться пользователи. Ставьте галку «Через интернет». Теперь вам остается назначить диапазон адресов виртуальной сети. Причем, можно выбрать сколько всего компьютеров может участвовать в обмене данных. В следующем окне выберите протокол TCP/IP версии 4 нажмите «Свойства»:

У вас появится то, что у меня на скриншоте. Если вы хотите, чтобы клиент получил доступ к локальной сети, в которой находится сервер, просто ставьте галку «Разрешить звонящим доступ к локальной сети». В пункте «Назначение IP адресов» я рекомендую указать адреса вручную по принципу, который я выше описал. В моем примере я дал диапазону всего двадцать пять адресов, хотя мог указать просто и два и 255.

После этого жмем на кнопку «Разрешить доступ».

Настройка VPN-клиента

Система автоматически создаст VPN-сервер, который будет сиротливо ожидать, когда к нему кто-либо присоединится.

Теперь остается дело за малым – настроить VPN-клиента. На клиентской машине также идете в Центр управления сетями и общим доступом и выбираете Настройка нового подключения или сети. Теперь вам нужно будет выбрать пункт «Подключение к рабочему месту»

Жмете на «Использовать мое подключение к Интернету и теперь вас выбросит в окно, где нужно будет ввести адрес нашего интернет-шлюза в филиале. У меня он имеет вид 95.2.x.x

Теперь можно вызывать подключение, вводить то имя пользователя и пароль, который вы ввели на сервере и пытаться подключиться. Если все правильно, то вы подключитесь. В моем случае, я могу уже посылать пинг любому компьютеру филиала и запрашивать камеру. Теперь ее моно легко цеплять к видеосерверу. У вас же может быть что-то другое.

Как вариант, при подключении может выскочить ошибка 800, сигнализируящая о том, что с подключением что-то не то. Это проблема брэндмауэра либо клиента, либо сервера. Конкретно я сказать вам не могу – все определяется экспериментально.

Вот так незатейливо мы создали VPN между двумя офисами. Таким же образом можно объединить и игроков. Однако не стоит забывать, что это будет все-таки не полноценный сервер и лучше использовать более продвинутые средства, о которых я расскажу в следующих частях.

Настройка туннелей VPN-устройств в Windows 10

Always On VPN позволяет создать выделенный профиль VPN для устройства или компьютера. Always On VPN-подключения включают два типа туннелей:

  1. Туннель устройств подключается к указанным VPN-серверам до входа пользователей на устройство. Сценарии подключения до входа и управление устройствами используют туннель устройств.
  2. Туннель пользователя подключается только после входа пользователя на устройство. Пользовательский туннель позволяет пользователям получать доступ к ресурсам организации через VPN-серверы.

В отличие от туннеля пользователя, который подключается только после входа пользователя на устройство или компьютер, туннель устройств позволяет VPN установить подключение до входа пользователя. Туннель устройств и пользовательский туннель работают независимо со своими профилями VPN, могут быть подключены одновременно и могут использовать различные методы проверки подлинности и другие параметры конфигурации VPN соответствующим образом. Пользовательский туннель поддерживает SSTP и IKEv2, а туннель устройств поддерживает IKEv2 только без поддержки резервного использования SSTP.

Пользовательский туннель поддерживается на присоединенных к домену, не присоединенных к домену (рабочих группах) или присоединенных к Azure AD устройствах, чтобы обеспечить как корпоративный, так и BYOD-сценарии. Она доступна во всех выпусках Windows, а функции платформы доступны третьим сторонам посредством поддержки подключаемого модуля VPN UWP.

Туннель устройств можно настроить только на присоединенных к домену устройствах под управлением Windows 10 Корпоративная или Образовательных учреждений версии 1709 или более поздней. Отсутствует поддержка стороннего управления туннелированием устройства. Туннель устройств не поддерживает использование таблицы политики разрешения имен (NRPT). Туннель устройств не поддерживает принудительное туннелирование. Его необходимо настроить как разделенный туннель.

Требования и компоненты Tunnel устройств

Необходимо включить проверку подлинности сертификата компьютера для VPN-подключений и определить корневой центр сертификации для проверки подлинности входящих VPN-подключений.

Конфигурация Tunnel VPN-устройства

Приведенный ниже пример XML профиля содержит хорошие рекомендации для сценариев, в которых для туннеля устройств требуются только инициированные клиентом запросы. Фильтры трафика используются для ограничения туннеля устройства только для управления трафиком. Эта конфигурация хорошо подходит для клиентский компонент Центра обновления Windows, типичных сценариев групповая политика (GP) и Microsoft Endpoint Configuration Manager обновлений, а также vpn-подключения для первого входа без кэшированных учетных данных или Сценарии сброса пароля.

Для сценариев принудительной отправки, инициированных сервером, таких как Windows удаленное управление (WinRM), remote GPUpdate и сценарии обновления удаленного Configuration Manager, необходимо разрешить входящий трафик в туннель устройства, поэтому фильтры трафика нельзя использовать. Если в профиле туннеля устройства включен фильтр трафика, устройство Tunnel запрещает входящий трафик. Это ограничение будет удалено в будущих выпусках.

Пример VPN profileXML

Ниже приведен пример ПРОФИЛЯ VPNXML:

vpn.contoso.com IKEv2 Certificate SplitTunnel true

10.10.0.2

32

10.10.0.3

32 10.10.0.2, 10.10.0.3 true true true

В зависимости от потребностей каждого конкретного сценария развертывания другая функция VPN, которую можно настроить с помощью туннеля устройства, — это обнаружение доверенной сети.

Развертывание и тестирование

Туннели устройств можно настроить с помощью скрипта Windows PowerShell и моста инструментария управления Windows (WMI). Туннель VPN-устройства Always On необходимо настроить в контексте учетной записи LOCAL SYSTEM. Для этого потребуется использовать PsExec, один из psTools , включенный в набор служебных программ Sysinternals .

Рекомендации по развертыванию отдельных устройств (.\Device) и профилей пользователя (.\User) см. в статье «Использование сценариев PowerShell с поставщиком моста WMI».

Выполните следующую команду Windows PowerShell, чтобы убедиться, что профиль устройства успешно развернут:

Get-VpnConnection -AllUserConnectionВ выходных данных отображается список профилей VPN на уровне устройства, развернутых на устройстве.

Дополнительные ресурсы

Ниже приведены дополнительные ресурсы для поддержки развертывания VPN.

Ресурсы конфигурации VPN-клиента

Ниже приведены ресурсы конфигурации VPN-клиента.

  1. Создание профилей VPN в Configuration Manager
  2. Настройка подключений постоянно подключенного VPN-профиля клиента Windows 10
  3. Параметры профиля VPN

Ресурсы шлюза сервера удаленного доступа

Ниже приведены ресурсы шлюза сервера удаленного доступа (RAS).

  1. Настройка RRAS с помощью сертификата проверки подлинности компьютера
  2. Устранение неполадок VPN-подключений IKEv2
  3. Настройка удаленного доступа на основе IKEv2

При использовании устройства Tunnel со шлюзом Microsoft RAS необходимо настроить сервер RRAS для поддержки проверки подлинности сертификата компьютера IKEv2, включив метод проверки подлинности сертификата компьютера для IKEv2, как описано здесь. После включения этого параметра настоятельно рекомендуется использовать командлет Set-VpnAuthProtocol PowerShell вместе с необязательным параметром RootCertificateNameToAccept, чтобы убедиться, что подключения RRAS IKEv2 разрешены только для сертификатов VPN-клиента, которые привязываются к явно определенному внутреннему или частному корневому центру сертификации.

Доступ к домашней сети через VPN

Все чаще возникают ситуации, в которых пользователям, находящимся в пути, приходится обращаться к домашней сети и сетевому хранилищу. Для минимизации рисков в незашифрованных беспроводных сетях при подобных действиях рекомендуется организовать «виртуальную частную сеть» (Virtual private network, VPN). Преимущество подобного VPN-соединения в сравнении с решением, использующим динамическую систему доменных имен: вы используете прямую связь со всей вашей домашней сетью, такую же, как если бы вы сидели дома, в рабочем кабинете.

VPN-соединение с сетевым хранилищем Synology

VPN

Самыми важными условиями являются установленная на сетевом хранилище Synology новейшая версия операционной системы DiskStation Manager (DSM) и настроенный удаленный доступ. В этом случае запустите в центре управления компонент «VPN-сервер», расположенный в разделе «Служебные программы». Теперь вы можете выбрать один из трех вариантов подключения. Поскольку «PPTP» считается небезопасным, а поддержка «OpenVPN» мобильными устройствами осуществляется не в полной мере, щелкните в левом разделе («Настройки») по пункту «L2TP/IPSec» и активируйте функцию. Уже введенные параметры, например «Динамический IP-адрес», присвоенный подключенным через VPN устройствам, изменять не требуется. В результате необходимо лишь ввести надежный пароль в пункте «Предустановленный пароль» и повторить его в пункте «Подтвердить предустановленный пароль». Сохраните изменения, нажав кнопку «Принять», и подтвердите кликом по «ОК» сообщение о переадресации UDP-портов 500, 1701 и 4500.

Важный момент

Если вы используете брандмауэр сетевого хранилища, следует открыть указанные выше порты. Кроме того, в диалоговом окне «VPN-сервер» необходимо выбрать пункт «Привилегии» и ограничить права пользователей, которым запрещен доступ по VPN. Во избежание этих действий в будущем выберите в левом столбце раздел «Общие настройки» и снимите галочку в пункте «Предоставить права доступа по VPN для новых пользователей». Пользователи, имеющие права доступа по VPN, перечислены в пункте «Протокол». Системы сетевого хранения данных производства компаний Asustor и Qnap также поддерживают доступ по VPN. Настройка практически одинакова: запуск приложения (Asustor — «VPN-сер­вер», Qnap — ­«QVPN-­сервис»), выбор типа VPN и ввод необходимой информации.

Настройка переадресации портов на маршрутизаторе

VPN

Чтобы маршрутизатор мог пересылать пакеты данных, поступающие из Интернета, к требуемым устройствам, он должен «знать», какими сетевыми клиентами являются эти устройства. Для этого на нем необходимо настроить переадресацию портов. Это осуществляется с помощью маски конфигурации маршрутизатора. Откройте веб-браузер и зайдите на ваш роутер через веб-интерфейс.

Затем щелкните по пункту меню «Интернет | Разрешения» и активируйте вкладку «Переадресация портов» для настройки переадресации. Перейдите вниз, к пункту «Добавить разрешенное устройство», и выберите ваше сетевое хранилище. После нажатия кнопки «Новое разрешение» выберите опцию «Разрешение портов», затем в пункте «Применение» выберите «Название фильтра» и впишите название, например «VPN-сер­вер». В разделе «Протокол» выберите «UDP», в пунктах «Порт к устройству», «До порта» и «Желаемый внешний порт (IPv4)» введите число «500» и подтвердите ввод, нажав «OK». Затем аналогичным образом настройте переад­ресацию UDP-портов 1701 и 4500. Сохраните настройки, щелкнув по кнопке «OK».

Создание VPN-соединения с Windows 10

VPN

После проведения подготовительных действий можно проверить, все ли получилось. В идеальном случае первый доступ по VPN следует осуществить с локального компьютера, так как в случае возникновения проблем у вас есть доступ как к маршрутизатору, так и к сетевому хранилищу, и следовательно, будет возможность оперативного внесения изменений. При работе с Windows 10 настройка весьма проста. Выберите в разделе «Параметры» пункт «Сеть и Интернет», в левом столбце выберите «VPN», щелкните по ссылке «Добавление VPN-подключения» и введите необходимые данные. В меню «Поставщик услуг VPN» выберите «Windows (встроенные)», имя подключения можно указать любое, например «VPN-NAS». В пункте «Имя или адрес сервера» введите динамический DNS-адрес вашего сетевого хранилища Synology, в «Тип VPN» выберите «Автоматически». Подтвердите ввод кнопкой «Сохранить», затем кликните по иконке VPN и выберите «Подключить».

В диалоговом окне «Регистрация» введите данные, которые вы используете для подключения к сетевому хранилищу, и щелкните «OK». Через несколько секунд (в это время Windows 10 и сетевое хранилище обмениваются данными о типе VPN) будет создано подключение, и вы сможете получить доступ ко всем дос­тупным в вашей домашней сети ресурсам, в том числе к мас­ке конфигурации сетевого хранилища Synology.

Настройка VPN на мобильных устройствах

Доступ к сетевому хранилищу через VPN также возможен и с мобильных устройств. Однако их настройка немного сложнее, чем в Windows 10.

Android

Откройте «Настройки», в пункте «Сетевые подключения» нажмите «Дополнительные настройки» и добавьте новое подключение, нажав на «+». После этого в разделе «Тип» выберите пункт «L2TP/IPSec PSK», введите «Адрес сервера» (динамический DNS-адрес вашего хранилища), а также «IPsec Pre-shared Key» (то есть заданный в шаге 1 пароль), далее нажмите «Сохранить». В завершение коснитесь нового подключения, введите имя пользователя и пароль, активируйте опцию «Сохранить данные учетной записи» и нажмите «Подключить».

iOS

Перейдите в «Настройки | Основные | VPN | Добавить VPN» и в пункте «Тип» выберите «L2TP». После этого введите данные в «Описание», в пункте «Сервер» укажите динамический DNS-адрес вашего сетевого хранилища и в завершение, в пункте «Секретный пароль» — заданный на шаге 1 пароль. Данные доступа укажите в пунктах «Логин» и «Пароль». Затем нажмите «Готово», вернитесь к предыдущему диалоговому окну и установите переключатель в разделе «Конфигурация VPN» в положение «Вкл» для установки соединения.

Настройка VPN соединения и сервера на Windows 10 8 7 XP

Многие предприятия используют VPN-сеть для передачи данных между компьютерами. Для настройки VPN Windows 7, XP, 8 и 10 имеет встроенное программное обеспечение, позволяющее за несколько минут создать частную виртуальную сеть и пользоваться ей для защиты частной информации.

Настройка через Панель управления

На Windows XP, Vista и более поздних версиях ОС создавать и подключаться к ВПН сети можно встроенным ПО. Рассмотрим поэтапно такое подключение:

  1. Вначале нужно перейти в «Центр управления сетями и общим доступом». Используйте поиск программ или перейдите через значок сети. Также можно использовать сочетание клавиш Win + R и ввести в строку control /name Microsoft.NetworkAndSharingCenter
    Центр управления сетями
  2. Нажмите на пункт «Настройка нового подключения или сети». Настройка нового подключения
  3. Нажимайте на третий пункт «Подключение к рабочему месту».
    Подключение к рабочему месту
  4. Теперь перед пользователем появится окно с выбором способа, как подключиться к серверу. Если в дальнейшем планируется использовать VPN-подключение для Windows 7 из удаленного места, например, из дома или кафе, то нужно создать защищенную сеть, проходящую через Интернет. Если же компьютер используется только на рабочем месте в локальной сети, то выбирайте второй пункт без Интернета. Для соединения потребуется подключать все устройства через LAN-кабели (оптоволоконные или телефонные). Лучше на Windows 7 и других ОС создавать частную защищенную сеть (VPN) с подключением через Интернет, это удобнее и практичнее в использовании.
    Выбор подключения
  5. Теперь Windows XP, 7 и т. п. потребует от пользователя данные для соединения с сервером. Для этого нужно узнать IP или домен сервера у поставщика услуг. Их вписывают в первую строку. Вторая графа является названием для данного соединения, можно выбрать любое значение.
    Адрес Интернета
  6. Последним действием нужно указать данные для доступа к сети. Имя пользователя и пароль также выдается поставщиком услуг.
    Имя пользователя и пароль
  7. Далее производится подключение согласно введенным данным. На этом этапе может возникнуть ряд проблем и ошибок, вызванных неправильной работой или настройкой Виндовс. Об их исправлении будет описано позже.

Меню сетей

Если удаленный VPN-сервер получит верные данные, то в течение нескольких минут компьютер подключится к новой частной сети. В дальнейшем не нужно каждый раз настраивать подключение, оно будет находиться в разделе быстрого выбора подключения.

Дополнительные свойства соединения

Чтобы соединение работало корректно, рекомендуется немного изменить его параметры. Для этого после нажатия кнопки Подключения в появившемся меню выберите кнопку Свойства. Также эти свойства можно открыть через раздел «Изменение параметров адаптера» из Панели управления.

Вход в подключение VPN

  1. Перейдите в раздел «Общие», уберите галочку с «Сначала набрать номер для этого подключения».
  2. В «Параметры» отключите пункт «Включать домен входа в Windows».
  3. В разделе «Безопасность» нужно установить «Туннельный протокол точка-точка (РРТР)». Из галочек отмечаем «Протокол проверки пароля (CHAP)» и следующим за ним «Протокол Microsoft CHAP версии 2 (MS-CHAP v2)».
  4. В разделе «Сеть» отмечаем только вторую галочку (TCP/IPv4). Можно также использовать IPv6.

Настройка VPN на Windows xp, 7, 8, 10 через Панель управления одинаковая по алгоритму исполнения. Исключением является слегка измененный дизайн в зависимости от версии операционной системы.

После того, как установка соединения окончена, нужно разобраться, как удалить VPN. Для этого достаточно перейти в раздел «Изменение параметров адаптера» из Панели управления. Далее правой кнопкой мыши наводим на ненужный элемент и в меню выбираем «Удалить».

Настройка подключения Windows XP

Процесс установки соединения почти не отличается от версии в Windows 7.

  1. Вначале нужно перейти в раздел сетевых подключений, для этого необходимо выполнить такую последовательность: «Панель управления» — «Сеть» — «Подключения к Интернету» — «Сетевые подключения».
    Мастер новых подключений
  2. В этом разделе нужно запустить «Мастер новых подключений». В его окне нужно отметить пункт «Подключиться к сети на рабочем месте», после этого нажмите «Далее».
    Тип сетевого подключения
  3. В новом окне отметьте пункт с «Подключением к виртуальной частной сети» через Интернет.
    Сетевое подключение
  4. Теперь нужно ввести имя для виртуальной сети, сюда можете вписывать любое название.
    Имя подключения
  5. В Windows XP поддерживалась функция предварительного подключения через телефонный номер. Здесь нужно отметить галочку с отменной предварительного подключения.
    Публичная сеть
  6. Предпоследним пунктом нужно ввести адрес VPN-сервера и дать согласие на создание подключения.
    Выбор VPN-сервера

Завершение работы мастера

Теперь подключение можно производить через меню сетей. Нужно лишь ввести пользователя и пароль для входа.

Подключение к сети

Рекомендуется, в заключение, провести такую же настройку свойств подключения, как на Windows 7.

Создание VPN-сервера

Данная инструкция действует на версиях от XP и выше. К сожалению, через стандартное средство создания виртуальных частных сетей можно подключить только одного пользователя в сессии.

  1. Откройте «Командную строку» через комбинацию клавиш Win + R.
  2. Введите ncpa.cpl и перейдите по команде.
    Выбор сети
  3. В открывшемся окне нужно нажать Alt, в верхнем левом углу выберите файл «Новое входящее подключение…».
    Новое входящее подключение
  4. Теперь нужно добавить пользователя, которому разрешается подключаться к VPN. В небольшом окне нужно придумать логин и пароль для входа. После создания новой учетной записи нажмите «Далее», отмечайте подключаться через Интернет.
    Подключение учетных записей
  5. Теперь надо настроить IPv4 протокол, выберите его в списке и перейдите в Свойства.
    Настройка IPv4
  6. В данном меню можно снять отметки со всех остальных функций. Также можно настроить диапазон IP-адресов, которые смогут подключаться к серверу. По умолчанию стоит настройка по DHСP.
    Свойства входящих вызовов IP
  7. Теперь нужно настроить роутер, через который раздается Интернет на компьютер. В зависимости от производителя меню настроек будет отличаться. Более подробно о настройках определенного роутера можно узнать у производителя.
  8. Нужно перенаправить все подключения с порта 1723 на созданный VPN-сервер, ему также нужно задать постоянный IP. Или создать доменное имя через бесплатные сервисы (DynDNS, Free DNS и т. п.).

Если не создать постоянный IP или доменное имя, то для подключения пользователя каждый раз придется менять адрес сервера.

На этом создание сервера заканчивается. Теперь к нему можно подключить одного пользователя. Для входа используется логин и пароль из созданной ранее учетной записи.

VPN-сервер на Windows XP

Данная инструкция актуальна для настройки Windows 7, 8 и 10. В XP для настроек используется мастер настроек.

  1. В нем после выбора пункта создания нового входящего подключения перед пользователем откроется мастер настроек. В нем нужно выбрать последний пункт «Установить прямое подключение к другому компьютеру» и далее следовать указаниям мастера.
    Установка прямого подключения
  2. В окне «Дополнительные параметры подключения» необходимо выбрать разрешение подключения к серверу.
    Дополнительные параметры подключения
  3. На этапе выбора устройства для входящих подключений можно пропустить выбор устройства, если используется модем или LPT (параллельный порт).
    Устройства для входящих подключений
  4. В следующем окне выбираем «Разрешить виртуальные частные подключения (VPN)».
    Входящие подключения к VPN
  5. Далее переходим к настройке пользователей.
    Разрешения пользователей

В дальнейшем настройки пользователя и протокола IPv4 производятся, как на остальных версиях Windows.

Настройка подключения через Windows 8 и 10

VPN-подключение на Windows 8 стало более простым в использовании и осуществляется через небольшую программу. Она располагается в разделе «Сеть» — «Подключения» — «VPN».

Подключение VPN

VPN-подключение на Windows 10 и 8 настраивается не только через «Панель управления», но и через встроенную программу. В ней нужно указать название подключения, адрес сервера и данные для входа в систему.

Ввод данных VPN

После ввода данных сеть можно запустить из меню подключений. На этом вопрос, как создать VPN-подключение можно считать разобранным.

VPN в меню

Как создать сервер VPN, ошибки

Если у пользователя имеются какие-либо неполадки при подключении к VPN, то об этом сообщает выплывающее окно с номером и описанием проблемы.

619

Ошибка 619 на Windows 7 возникает при неправильной настройки безопасности соединения VPN. В большинстве случаев возникает при неправильном введении имени и пароля пользователя. Но также может появиться при блокировки подключения фаерволом. Или при неправильной точки доступа. Если все введенные данные верны, то ошибка заключается в неправильной настройке безопасности. В результате рекомендуется их сбросить:

  1. В свойствах VPN-подключения перейдите во вкладку безопасности и используйте рекомендуемые параметры.
  2. Также надо назначить пункт «требуется шифрование данных (иначе отключаться)». После этого требуется сохранить изменения и отключить компьютер для перезагрузки.

VPN-подключение позволяет надежно защищать все передаваемые данные. Благодаря дополнительным протоколам шифрования нежелательные лица не смогут просматривать информацию пересылаемую между пользователями и серверами. Главное правильно произвести настройку подключения к серверу.

806

После настройки VPN Windows 8 может появиться ошибка 806. Она возникает при неправильной настройке сети или подключения сетевого кабеля.

Рассмотрим решение этих проблем:

  1. Перейдите в настройки изменения параметров адаптера.
  2. Далее создайте новое входящее подключение и в нем добавьте пользователя с подключением через Интернет.
  3. В свойствах подключения нужно выбрать протокол версии 4.
  4. Теперь нужно перейти в дополнительные настройки протокола TCP/IPv4 и снять галочку с «Использовать основной шлюз в удаленной сети».
  5. Теперь нужно в брандмауэре разрешить входящие соединения через порт TCP 1723 с разрешением протокола GRE.
  6. Также нужно на сервере установить постоянный IP и настроить передачу данных на порт 1723.

Таким образом, удаляемый сервер будет передавать все данный через этот порт и соединение не будет разрываться.

809

Ошибка 809 является наиболее часто встречающейся, она возникает при подключении через MikkroTik шлюз с протоколом L2TP.

Ошибка 809

Чтобы ее исправить, нужно выполнить 3 этапа настройки:

  1. Первоначально нужно проверить модем, который используется для соединения компьютеров. Как правило, им является Wi-Fi роутер, который раздает Интернет в помещении. Для работы с протоколами L2TP устройство должно уметь его обрабатывать. Если этого не происходит, то появится ошибка 809.
  2. Вторым этапом настройки VPN в Windows 10 для устранения 809 ошибки нужно в брандамауэре разрешить передачу данных через порты 500, 1701, 4500. Они используются для передачи зашифрованных данных. Без дополнительного правила Windows блокирует данные соединения, воспринимая их за вредоносные. Перейдите в брандмауэр в раздел «Правила для входящих подключений».
    Брэндмауэр
  3. Далее выберите раздел «Для порта» и в свойствах выставите значения, как на фото ниже. Далее повторить данные настройки, но для исходящих соединений.
    Свойства L2TP

Если после этих настроек ошибка 809 не устраняется, то нужно изменять реестр. Для этого используйте комбинацию клавиш Win + R и введите regedit Далее перейдите в раздел HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Rasman\Parameters. Поэтому создайте параметр DWORD с именем ProhibitIpSec и значением 1.

Параметр DWORD

После этого перезагрузите ПК.

  • https://ru.wikihow.com/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B8%D1%82%D1%8C-VPN-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-%D0%B4%D0%B2%D1%83%D0%BC%D1%8F-%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B0%D0%BC%D0%B8
  • https://interface31.ru/tech_it/2019/06/nastraivaem-vpn-chast-1-obshhie-voprosy.html
  • https://www.vpnside.com/ru/vpn-tunnel/
  • https://xakep.ru/2016/10/07/vpn-review/
  • https://vc.ru/dev/155768-stroim-vpn-tunnel-v-lokalnuyu-set-s-pomoshchyu-wireguard
  • https://www.programbeginner.ru/?p=1111
  • https://learn.microsoft.com/ru-ru/windows-server/remote/remote-access/vpn/vpn-device-tunnel-config
  • https://ichip.ru/sovety/dostup-k-domashnejj-seti-cherez-vpn-131098
  • https://UstanovkaOS.ru/instrument/nastrojka-vpn-windows-10.html

Как работает VPN? Узнайте тут!

Узнайте, как работает VPN, может быть непросто — если только у вас нет этого учебника, чтобы помочь вам!

Обновлено: November 08, 2023

Правила Проверки Фактов Top50vpn.com

Контент Top50vpn.com постоянно проверяется фактическими данными для соответствия достоверности. Мы следуем строгим редакторским требованиям при проведении анализа и проверки.

Достоверность источников обеспечивается следованием чётких правил добавления источников.

Контент Top50vpn.com следует этим стандартам:

1. Только уважаемые источники, вроде журналов или академических сообществ используются для изучения темы и в качестве источников для контента.

2. Читатели должны быть проинформированы об истинном контексте любой освещаемой темы.

3. Читатели должны быть проинформированы о любых несоответствиях интересов, относительно исследований и анализа.

How does a VPN work: featured image.

VPN — это действительно классный инструмент, который помогает людям защитить свою онлайн-конфиденциальность и анонимность. По правде говоря, хотя это уже общеизвестно, есть еще много людей, которые не имеют ни малейшего понятия, как работает VPN. В то время как некоторые топовые VPN имеют короткие объяснения о том, как работают их инструменты, этого часто недостаточно для среднего пользователя.

Однако в этой статье мы рассмотрим именно это.

Являетесь ли вы владельцем VPN и просто интересуетесь процессами, которые происходят в фоновом режиме, или это ваш первый раз, когда вы слышите этот термин, и вы понятия не имеете, как вы попали на эту статью, в первую очередь — не волнуйтесь. Мы расскажем все доступным языком и будем избегать формальностей — вам не нужно иметь степень в области компьютерных наук, чтобы понять VPN.

Тем не менее, прежде чем выяснить, как работает VPN, мы, вероятно, должны кратко изучить его основные функции, не так ли?

Основные функции VPN

Все верно — основные функции VPN.

Наиболее очевидное использование VPN — это сохранение онлайн-безопасности и анонимности. Тот факт, что вы можете скрыть свой IP-адрес (или заменить его), является настоящей целью VPN. В конце концов, это основной посыл многих рекламных компаний VPN.

Обратите внимание, что вы всегда можете проверить, работает ваш VPN правильно или нет, проверив свой IP-адрес до и после его включения. Вы можете сделать это здесь.

Люди, которым интересно, как работает VPN, должны иметь это в виду. Большая часть функциональности VPN вращается вокруг обеспечения безопасности вас — пользователя — во время просмотра веб-страниц и выполнения иных действий. В то время как я собираюсь сдержать свое обещание и избежать каких-либо сложных технических деталей в этой статье “как работает VPN» — Ну что ж, это все равно стоит знать.

Как работает VPN? Узнайте тут!

Однако, помимо безопасности и анонимности, у VPN есть и другие способы его использования.

Одним из наиболее известных способов такого использования это потоковая передача контента. Это относится к любому контенту, но самые популярные примеры должны были бы включать Netflix, Hulu и HBO. Видите ли, у этих компаний, как правило, есть целый ряд контента с ограниченным регионом — это означает, что если вы живете в другом регионе, чем тот, где этот контент транслируется, вы его не увидите.

Если, конечно, у вас нет VPN в вашем распоряжении.

Из-за того, как они работают (не волнуйтесь — в этой статье “как пользоваться ВПН”, мы дойдем до этого), VPN способны обмануть системы этих основных платформ потоковой передачи контента и предоставить вам доступ к вышеупомянутому контенту.

Использование торрентов является еще одной причиной использовать для VPN. Когда вы загружаете торрентный файл, всегда есть вероятность, что вы можете столкнуться с вирусом или кейлоггером. Без наличия надлежащего VPN в вашем распоряжении, это может привести к целому ряду проблем.

Зная, как работает VPN и используя один из лучших VPN в отрасли, вы можете быть уверены, что не причините никакого вреда вашей собственной, личной личности и другой конфиденциальной информации.

Как работает VPN? Узнайте тут!

Итак — вот некоторые из основных функций, которые есть у большинства VPN. Теперь, когда мы разобрались с этим, давайте сразу перейдем к тонкостям работы VPN.

Самые Интересные Материалы

Ищете более подробную информацию по смежным темам? Чтобы сэкономить ваше время, мы сделали подборку похожих статей! Взгляните!

ExpressVPN или IPVanish

ExpressVPN или IPVanish

ExpressVPN или IPVanish: Полное сравнение

IPVanish или NordVPN

IPVanish или NordVPN

IPVanish или NordVPN: Полное сравнение

NordVPN или PIA

NordVPN или PIA

NordVPN или PIA: Что Вам Выбрать?

Как работает VPN — основы

Теперь, чтобы сделать это руководство “как пользоваться ВПН» настолько простым для понимания, насколько это возможно, давайте разделим его на несколько различных глав. И прежде чем мы перейдем к некоторым деталям, необходимо сделать общий, базовый обзор.

Так как работает VPN? VPN сокращенно называется «виртуальная частная сеть«. Как следует из названия, это сеть, которая разработана с учетом идеи конфиденциальности — отсюда вся эта ”безопасность и анонимность«.

Пример использования

Чтобы сделать эту часть более простой, давайте возьмем пример.

Представьте, что Вы зашли в свою местную библиотеку, чтобы прочитать о том, как работает VPN. Там вы вошли в систему общественного Wi-Fi-соединения и вспомнили, что хотели проверить свой банковский счет.

Когда вы входите в свой банковский счет, на другой стороне комнаты есть хакер, перехватывающий ваше соединение на своем собственном ноутбуке. Вы не замечаете никаких помех как таковых, но хакеру удалось получить IP-адрес вашего устройства из вашего WiFi-соединения.

Как работает VPN? Узнайте тут!

При этом этот человек теперь имеет доступ к вашим банковским реквизитам, личной информации, возможно, даже к вашему домашнему адресу и номеру социального страхования.

Так вот, я мог бы несколько преувеличить, но общая идея все та же.

Если бы вы использовали VPN в этой ситуации, вы бы избежали всех тех неприятностей, в которые вы только что попали. Как же так? Это следующая часть выяснения того, как пользоваться ВПН.

Что происходит, когда вы включаете VPN?

Когда вы загружаете, устанавливаете и включаете свой VPN в самый первый раз, затем между вашим устройством и VPN-сервером устанавливается соединение. Всякий раз, когда вы заходите на сайт онлайн, вы предоставляете ему свои учетные данные — IP-адрес, местоположение и так далее. Когда кто-то перехватывает это соединение, он может видеть все эти данные.

Запущенный VPN действует как посредник между вами и веб-сайтом, к которому вы пытаетесь получить доступ. Ваши данные поступают на серверы VPN, а затем шифруются перед отправкой на сайт, к которому вы пытались получить доступ.

С точки зрения непрофессионала, это означает, что вы получаете новый, общий IP-адрес. И сайт, к которому вы обращаетесь, и потенциальный хакер видят ваш новый, поддельный IP — таким образом, ваш первоначальный IP-адрес остается нетронутым и безопасным.

Как работает VPN? Узнайте тут!

Хотя это может немного сбить с толку любого, кто пытается узнать, как работает VPN, просто представьте, что вы отправляете письмо другу, но не хотите, чтобы он знал ваш адрес. Что вы сделаете? Вы нанимаете компанию, которая пересылает ваше письмо. Вы посылаете его им, а затем они отправляют его вашему другу под фальшивым обратным адресом.

Ни ваш друг, ни тот, кто попытается украсть ваше письмо до того, как оно достигнет места назначения, не увидят Вашего настоящего адреса. Именно так и работает VPN. Кроме того, именно поэтому VPN могут предоставить вам возможность просмотра гео-заблокированного контента или доступа к сайтам с ограниченным регионом.

Более подробный взгляд — AES 256, экстренное отключение и другие функции

Так вот, это были основы того, как работает VPN. Давайте подойдем немного ближе и кратко рассмотрим процессы, происходящие на заднем плане.

Прежде всего, все крупные провайдеры VPN используют то, что известно как комбинация 256-битного шифрования данных AES и протокола OpenVPN.

OpenVPN — это протокол, который помогает поставщикам VPN реализовывать безопасные и стабильные одноранговые и одноранговые соединения внутри своих сетей. Это стандартный отраслевой протокол, и его используют все крупные игроки.

Как работает VPN? Узнайте тут!

Так вот, AES 256 немного сложнее, чем это. Как следует из названия, это система шифрования данных-AES используется для шифрования данных, которые вы отправляете и получаете, и считается самой сильной системой шифрования на сегодняшний день (версия 256, то есть).

Тем не менее, позвольте мне дать вам профессиональный совет из моего собственного, личного опыта.

Всякий раз, когда вы узнаете, как работает VPN, и устанавливаете свой собственный VPN, всегда дважды проверяйте, включен ли у него AES 256 по умолчанию. Большинство VPN будут работать, но есть некоторые определенные провайдеры, которые имеют более низкую версию системы шифрования — AES 128 — включенную по умолчанию.

Причина этого довольно проста — AES 256 требует много ресурсов с вашей стороны. Это означает, что ваше соединение будет относительно медленным. Однако это не должно быть вашей главной заботой, поскольку нет ничего важнее, чем иметь безопасное соединение.

Функция экстренного отключения (Kill switches)

Kill switches — это еще один важный инструмент, который можно найти почти в каждом VPN, который в настоящее время находится на топе.

Функциональный аспект этой функции довольно прост — всякий раз, когда вы просматриваете Интернет и происходит резкая потеря соединения с вашим VPN, переключатель kill завершает все ваши процессы или, другими словами, выключает все окна Вашего браузера и прекращает ваши загрузки.

Некоторые читатели этой статьи “Как использовать VPN?«— хотят сказать, что это крайне неудобно? И на это я отвечаю — Да, это определенно так. Но знаете, что еще неудобно? Получение всех ваших данных и конфиденциальной личной информации, третьими лицами.

Немного про VPN и сбор данных

Мы рассмотрели всю основную информацию, касающуюся вопроса о том, как работает VPN. На этом этапе вы должны иметь довольно хорошее представление об основных процессах, которые происходят в фоновом режиме всякий раз, когда вы активируете свой VPN.

Тем не менее, есть еще кое-что, что мы должны затронуть, прежде чем закончить с этой статьей “Как использовать VPN?» — регистрация данных.

Возможно, вы слышали или не слышали, но регистрация данных — это одна из главных проблем индустрии VPN. Это процесс, когда провайдер VPN отслеживает вашу активность в интернете и ведет журналы, только чтобы затем продать ее сторонним рекламным фирмам или даже правительственным учреждениям.

На самом деле, это совершенно безумно — вот почему в интернете есть много статей с разоблачениями, в которых говорится о таких провайдерах и их теневой практике.

Почему я говорю об этом сейчас? Честно говоря, чтобы предупредить вас.

Регистрация данных не будет серьезной проблемой, если вы решите воспользоваться услугами одного из крупнейших поставщиков VPN-услуг. Однако, когда вы начинаете смотреть на некоторые менее известные сервисы, все может оказаться довольно грустно.

Что вам нужно сделать, так это всегда читать мелкий шрифт условий предоставления услуг поставщика. Учитывая, что ведение журнала данных является популярной темой среди критиков и различных отзывов клиентов и пользователей, почти все более известные VPN-компании теперь имеют специальные разделы в своих политиках, посвященные ведению журнала данных.

В этих разделах вы найдете ответы на все ваши вопросы, касающиеся регистрации данных — делает ли это компания? Если да,то сколько и какого рода ваши данные регистрируются? Собирается ли поставщик предоставлять эти данные третьим лицам, особенно государственным учреждениям?

Как работает VPN? Узнайте тут!

Однако обратите внимание, что не все записи данных плохи или выходят за рамки нормы. В то время как есть некоторые провайдеры VPN, которые не регистрируют абсолютно ничего (читай: AirVPN), подавляющее большинство отслеживает некоторую некоторую второстепенную информацию, такую как платежные данные, технические параметры, время входа (дата, а не час) и так далее.

Все вышеперечисленные журналы хранятся для того, чтобы гарантировать положительный опыт для вас, клиента. Однако все, что пересекает линию безопасности клиентов и вторгается в вашу личную информацию о просмотрах, должно быть воспринято очень серьезно.

Лучшие материалы

Просмотрите нашу коллекцию самых подробных статей, руководств и учебных пособий по VPN. Всегда будьте в курсе событий и принимайте обоснованные решения!

Avast VPN или NordVPN

Avast VPN или NordVPN

Avast VPN или NordVPN: Кто из них победитель?

How to create a VPN: featured image.

Руководства по VPN

Узнайте, Как Создать VPN Сервер (и Почему Не Стоит Этого Делать)

Знать о том, как создать VPN сервер может быть полезно — но стоит ли оно этого?

How to unblock websites: unblocking.

Как обойти блокировку сайта? Все хитрости, которые вам нужно знать

Узнайте, как зайти на заблокированный сайт и преодолеть ограничения

Заключение

Независимо от того, каковы ваши причины для того, чтобы узнать, как работает VPN, это всегда то, что полезно знать. Эта статья “как работает VPN?» должна служить основным введениемвзглядом за кулисы, если хотите. Естественно, чем глубже вы погружаетесь в эту тему, тем все сложнее.

Однако в этой статье я хотел бы избежать любой сложной технической информации и некоторых специфических для отрасли причуд и сосредоточиться на том, чтобы рассказать вам — читателю — как использовать VPN настолько простым способом, насколько это возможно. Я надеюсь, что мне удалось достичь этой цели, и что теперь вы гораздо лучше разбираетесь в этой теме, чем 10 минут назад.

Кроме того, не забывайте всегда проверять, есть ли у VPN-провайдера kill switch, новейшие протоколы шифрования и безопасности данных и какова их позиция в отношении регистрации данных в целом. Однако если вы хотите быть уверенным на 100% и сэкономить некоторое время без необходимости рыскать по интернету в поисках битов информации, вы всегда можете взглянуть на наш список лучших VPN года.

Оставьте свой честный отзыв

Оставив свое честное мнение, вы можете помочь тысячам читателей выбрать лучший VPN. Мы принимаем подлинные и полезные отзывы пользователей, как положительные, так и отрицательные. Имейте в виду, что предвзятые отзывы публиковаться не будут. Если вы хотите поделиться своим мнением, опытом или советом, мы хотим, чтобы вы им поделились с нами!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *