Интернет через vpn: Интернет через VPN плюсы и минусы – Как подключиться через VPN: основные способы

Интернет через VPN плюсы и минусы

В последние годы многие пользователи стали использовать технологию VPN. На русский эту англоязычную аббревиатуру можно перевести примерно как частная приватная сеть. Первыми преимущества технологии VPN оценили работники корпораций разбросавших свои филиалы по различным странам мира.


 

Организация связывает свои филиалы в единую сеть, распечатка документа из компьютера находящегося за океаном происходит в один клик.

Когда следует пользоваться VPN?

Сама приватная сеть объединяет различные компьютеры и передает информацию между ними в зашифрованном виде. Доступ к ресурсам производится не с компьютера пользователя, а с внешнего сервера расположенного в другой стране. Для обычных пользователей мировой паутины VPN станет незаменимым помощником в следующих ситуациях:

  1. Провайдер заблокировал определенный ресурс, а пользоваться им желательно. Так сейчас очень актуальным стал вопрос использования соцсетей Вконтакте и Одноклассники для жителей Украины. Сменив с помощью VPN свой IP адрес, каждый украинец может пользоваться любимой социальной сетью.
  2. Пользователь активно использует интернет-банкинг, часто проводит оплату за товары и услуги с помощью интернета. В таком случае установленное приложение VPN даст гарантию, что деньги дойдут до плательщика. Также тайной останутся данные банковских карт. Злоумышленники при всем желании не смогут воровать деньги.
  3. Сам сервис не предусматривает использование в стране в которой проживает пользователь. Смена IP адреса решает эту проблему.
  4. Бывает так, что правительственные и неправительственные организации собирают сведения о посетителях тех или иных сайтов. Использование технологии VPN не дает возможности отслеживать пользователей по IP адресам их компьютеров. В такой ситуации на сайт приходит вызов из совершенно другой страны.
  5. Когда нет роутера с помощью технологии VPN можно соединить 2 компьютера и дать возможность обоим выходить в интернет.

Принцип работы VPN.

Приватные виртуальные сети работают по принципу создания туннеля между компьютером пользователя и удаленным внешним сервером. Установленное на компьютер приложение шифрует исходный запрос и уже в шифрованном виде он подается на внешний сервер. Далее на сайт поступает запрос от внешнего сервера с IP адресом другого государства. Полученный отклик шифруется внешним сервером, дешифровка проводится уже сервисом VPN установленным на компьютере.

Для использования технологии VPN пользователю достаточно иметь устройство способное выходить в интернет (компьютер, ноутбук, смартфон, планшет и прочее). На него нужно скачать одно из платных или бесплатных приложений находящихся в свободном распространении в интернете, например RocketVPN.

Зачем нужен VPN?

Сейчас по просторам интернета курсирует множество вредоносных программ, цель которых сбор данных о пользователях. Злоумышленники воруют логины и пароли, данные банковских карт, рабочую и частную переписки, проводят промышленный шпионаж. Особенно большую угрозу представляет собой использование Wi-Fi с открытых точек доступа в общественных местах - аэропортах, железнодорожных вокзалах, ресторанах и кафе и тому подобное.

Важной для многих пользователей является возможность посещать сайты заблокированные или просто недоступные на территории его государства. К примеру, популярный среди меломанов сайт Last.fm доступен пользователям только в странах Западной и Центральной Европы, а также в США и Канаде. Послушать любимые передачи жителям Российской Федерации невозможно. Однако использование технологии VPN позволяет избежать ограничений по географическому принципу.

VPN

Отличие VPN от TOR.

По принципу своей работы VPN и TOR весьма близки - и та, и другая технологии работают за счет передачи шифрованных запросов к внешним серверам, только затем следует запрос с внешнего сервера на необходимый сайт. Однако если VPN создает постоянный туннель для передачи данных, то TOR для каждого запроса создает новый туннель, что негативно сказывается на скорости интернет-соединения. Кроме этого, VPN приложения создаются профессионалами, цель создателей создание устойчивого канала передачи данных. Технология TOR поддерживается энтузиастами своего дела, устойчивость создания канала передачи данных значительно ниже, разрывы связи при этой технологии редкостью не являются. Зайти на нужный сайт с помощью TOR можно, но вот смотреть с его помощью видеоролики или фильмы вряд ли удастся.

Отличие VPN от proxy.

Технология proxy, как и VPN также основана на использовании смены IP адреса. Однако proxy не проводит шифрование запросов и откликов, так что информация передается в обычном виде. Перехватить такую информацию не очень сложно - следовательно данные компьютера и сама информация остаются под угрозой взлома. О безопасности в такой ситуации говорить не приходится.

RocketVPN лучшее решение для интернета через ВПН.

Российским программистам удалось создать приложение RocketVPN полностью превосходящее своих конкурентов. При использовании платных или бесплатных сервисов VPN имеются 2 существенные проблемы. Шифровка и дешифровка данных уменьшает скорость передачи, так что просмотр видео часто становится невозможным, также увеличивается мобильный трафик.

Падение скорости соединения при использовании RocketVPN весьма незначительное - видео можно смотреть в качестве 1080 пикселей. Увеличение мобильного трафика сложно зафиксировать даже самым опытным пользователям.

Обычные VPN приложения, как платные, так и бесплатные, имеют всего 1-3 варианта создания туннеля. RocketVPN предлагает своим клиентам возможность использовать внешние сервера сразу в 8 развитых государствах, размещенных на различных континентах нашей планеты.

Само приложение платное, но для оценки его возможностей разработчики предусмотрели различные акции и время бесплатного тестирования. Стоимость месяца пользования всего 5 долларов, причем при годичной подписке месячная стоимость уменьшается до 2,5 доллара. А это в разы дешевле, чем у конкурентов.

 

 

Доступ в Internet минуя VPN канал (на примере) |

Недавно решил следующую интересную задачу: требовалось обеспечить подключение до ресурсов на работе по защищенному каналу, при этом, использовать свой домашний интернет, а не рабочий интернет сквозь VPN соединение.

Перефразирую задачу, требуется, чтобы рабочий трафик ходил внутри VPN канала, а остальной — шел обычным путем.

У нас имеется настроенное VPN соединение (VPN активен). Подключим его и проверим параметры интерфейсов. Для этого запустим командную строку (здесь и далее, командная строка должна быть с правами администратора).

Выполним команду ipconfig

результат выполнения

нас интересуют текущий IP-адрес локальной машины (

192.168.0.164) и IP-адрес адаптера VPN соединения (192.168.112.45).

Проверим и убедимся, что у нас доступен интернет и трафик идет через VPN канал.

Для этого выполним ping 8.8.8.8 до общедоступного DNS и
tracert 8.8.8.8

доступность и маршрут до интернета

Как видно, интернет есть, и он идет через IP VPN соединения по сети 192.168.112.0

Убедимся, что рабочий ресурс нам доступен, для этого выполним
ping 192.168.1.100 (это контроллер домена рабочей сети),
а также tracert 192.168.1.100

доступность и маршрут до рабочего сервера

Ресурс доступен.

Для решения нашей задачи необходимо настроить интерфейс VPN: Свойства VPN -> Свойства TCP/IPv4 -> Дополнительно… ->
снять чек «Использовать основной шлюз в удаленной сети»

Так как соединение было активно, требуется отключить и снова включить соединение, для вступления изменений в силу, о чем нас любезно предупредят.

Теперь весь трафик, который раньше шел через VPN – будет идти так, как было бы без него. Проведем эксперимент, для этого вновь проверим доступность интернета и как идет трафик

доступность и маршрут до интернет доступность и маршрут до рабочего сервера

Как видно из тестов, интернет идет через нужный нам канал, но доступ до рабочих ресурсов пропал. Нам необходимо явно добавить маршрут (маршруты), для которых необходим доступ по VPN.

Нам понадобится IP адрес шлюза VPN соединения или IP адрес, назначаемый при VPN подключении, если шлюз не известен. Для нашего примера это адрес 192.168.112.45.

Посмотрим таблицу маршрутизации введя route print

таблица маршрутизации

Нас интересует номер VPN интерфейса (подсвечен). Обратите внимание, что у нас отсутствуют постоянные маршруты.

Далее нам необходимо определить адрес(а) или подсеть трафик в которую необходимо направлять через VPN соединение. В нашем случае это весь трафик для рабочей сети 192.168.1.0/24., который необходимо направлять через интерфейс VPN соединения 192.168.112.45

.

Пропишем постоянный маршрут:
route add 192.168.1.0 mask 255.255.255.0 192.168.112.45 if 36 -p

Здесь, параметр -p означает, что добавляемый маршрут будет сохранён (persistent). Параметр if 36 означает, что этот маршрут будет применяться только при поднятом интерфейсе 36 (т.е. при подключенном VPN, который имеет этот номер). Если не указать параметр if, то маршрут будет работать только до отключения VPN-соединения. При отключении, Windows определит, что маршрут более неприменим, и удалит его. После повторного подключения VPN, маршрут не будет активным несмотря на то, что он создан с параметром -p. Если указан параметр if, то при отключении от VPN система определит, что маршрут не следует удалять, и временно отключит его до поднятия нужного интерфейса.
192.168.1.0 — имя сети (или IP адрес) в которую мы обращаемся,
mask 255.255.255.0 — определяет маску сети или конкретный адрес,
192.168.122.45 — адрес шлюза или интерфейса, через который должен направляться трафик.

результат сохранения маршрута ОК.

Посмотрим таблицу маршрутизации. У нас появился постоянный маршрут.

таблица маршрутизации после сохранения маршрута

Задача решена, проверим что все работает так как задумывалось.

доступность и маршрут до интернета

Интернет есть и трафик идет по обычному каналу.

доступность и маршрут до рабочего сервера

Доступ до рабочих ресурсов есть и идет внутри VPN.

Подобный подход можно использовать и для настройки одновременной работе двух (или больше) сетевых карт.

(Visited 1 025 times, 1 visits today)

Заворачиваем весь трафик локальной сети в vpn без ограничения скорости / Postuf corporate blog / Habr


В прошлой статье мы разбирали, как анонимизировать весь Интернет-трафик одного хоста. Теперь давайте повысим уровень безопасности, обернув всю локальную сеть VPN-ом. При этом мы избавимся от опасности выйти в интернет с еще не настроенного девайса и ассоциировать адрес своего провайдера с этим устройством.

Для этой цели можно просто настроить VPN-клиент на шлюзе, если это позволяет роутер. Но такое решение черевато последствиями в виде уменьшения скорости работы Интернета, повышенной нагрузки на роутер, к тому же некоторые клиенты отправляют весь трафик через основное соединение сразу же в случае отключения от VPN. Не стоит забывать, что даже ведущие VPN-провайдеры не могут обеспечить 100% аптайм своих серверов.

Итак, каковы наши цели:

  • пропускать через VPN весь без исключения исходящий трафик
  • делать это с максимально возможной скоростью
  • не зависеть от временных неполадок VPN-провайдера
  • максимум анонимности в Интернете


Нам нужен мощный роутер, способный шифровать трафик на высокой скорости. Он будет выступать в роли VPN-шлюза. Мы нашли замечательные мини-ПК на AliExpress, которые подошли под эту задачу: четырехъядерный Intel Celeron, нативная поддержка AES-CBC, AES-XTS, AES-GCM, AES-ICM и аж четыре RJ-45 порта. И по умолчанию на них была установлена pfSense. С ней и будем работать.

Если ваш Интернет-провайдер требует особой настройки соединения, вы можете взять еще два роутера и разделить доступ к интернету и локальную сеть, а между ними поставить VPN-шлюз. В другом случае, можете напрямую подключить провод провайдера к VPN-шлюзу, а за ним разместить ваш домашний роутер с локальной сетью. Первоначальная настройка Интернет-соединения на pfSense выходит за рамки этой статьи.


Статья предполагает, что интернет подключен к первому порту, ваш ПК или домашняя сеть — ко второму, и что до настройки VPN вы смогли выйти в интернет.

Во избежание дальнейших проблем давайте авторизуемся у любимого VPN-провайдера и найдем инструкцию по настройке pfSense. Если ваш провайдер не предоставляет инструкцию по ручной настройке в pfSense, можно воспользоваться вот этой от моего любимого провайдера: www.expressvpn.com/support/vpn-setup/pfsense-with-expressvpn-openvpn — основная суть не изменится. Приведенная статья с картинками расписывает, как полностью настроить только что купленный роутер с pfSense.

Вот краткий чеклист настройки нового VPN-а:

  • System — Cert. Manager — CAs. Добавляем сертификат VPN CA
  • System — Cert. Manager — Certificates. Добавляем сертификат VPN сервера
  • VPN — OpenVPN — Clients. Создаем нового клиента по инструкции от VPN-провайдера
  • Interfaces — Assignment. Добавляем клиентов как интерфейсы
  • System — Routing. Проверяем что появился шлюз.
  • Firewall — NAT. Добавляем правила NAT для каждого клиента
  • Firewall — Rules — LAN. Добавляем перенаправление всего трафика из сети через Gateway
  • System — Routing. Для активного VPN-a в настройках шлюза указываем Monitor IP, пингом до которого будет проверяться работоспособность VPN-а

Перезагрузка VPN-ов осуществляется в Status — OpenVPN. Просмотр логов в Status — Package Logs — OpenVPN.

На этом этапе останавливаемся и проверяем, что доступ в интернет через VPN есть, и что при отключении от VPN доступ пропадает вовсе. Если интернета нет — где-то ошиблись, смотрим логи VPN, проверяем настройки заново. Если после отключения VPN трафик начинает идти через основной шлюз, значит накосячили в Firewall — Rules — LAN.

Теперь интересная часть. Если ваш провайдер выдает 20 Мбит в секунду, и то ночью — то на этом этапе вы уже получили локальную сеть, полностью закрытую VPN-ом, который работает с максимально возможной скоростью. Но что, если у вас канал пошире?


Настраиваем еще пару-тройку VPN клиентов для разных серверов по инструкции выше. Добавлять сертификаты CA и сервера не нужно, выбираем уже добавленные. Также не выполняем шаг с Firewall — Rules — LAN, его мы сделаем позже. Необходимое количество клиентов устанавливается эмпирическим путем по результатам замеров скорости через каждый отдельный сервер.

После того как завершили, у нас должна быть следующая картина:

— В VPN — OpenVPN — Clients созданы и активированы клиенты

— В Interfaces — Assignment созданы и активированы интерфейсы для каждого клиента

— В Status — OpenVPN все клиенты находятся в состоянии «up»

— В System — Routing появились шлюзы, и для них указаны пингуемые IP-адреса.
(Если не можете придумать, кого попинговать — откройте shodan.io и найдите все IP google)

Теперь зайдем в System — Routing — Gateway Groups. Нажмите Add. Укажите запоминающееся имя в Group Name.

Теперь обратите внимание на таблицу Gateway Priority. Группы шлюзов работают следующим образом: failover по уровням, балансировка внутри уровня. Столбец Tier указывает, в каком уровне будет использоваться данный шлюз. Простейший вариант — указываем все активные VPN-шлюзы в первом уровне. Вариант для медленного интернета — создаем двух клиентов и размещаем их на первом и втором уровне, но в этом случае будет только отказоустойчивость.

Ниже найдите Trigger Level. Это условие, при котором произойдет временное исключение шлюза из группы. Варианты кроме Member Down позволяют перестать отправлять пакеты шлюзу чуть раньше, чем он упадет полностью — по превышению порога потери пакетов и/или по высокому пингу. Пороги потерь и пинга задаются для каждого шлюза индивидуально в System — Routing — Gateway.

Как только выбрали удобный вариант расстановки шлюзов по уровням, нажмите Save.

Пришло время направить трафик в новую группу шлюзов. Идем в Firewall — Rules — LAN, открываем созданное ранее правило перенаправления, спускаемся до списка со шлюзами и видим в этом списке созданную нами группу. Выбираем её, сохраняем правило и применяем изменения. Всё, теперь каждое новое соединение будет идти через новый VPN-клиент в группе.

Время тестирования: открываем api.ipify.me, отключаем кэш и keep-alive, и перезагружаем страницу. Если вы единственный пользователь в сети, на каждое обновление страницы вы должны видеть новый IP адрес, отличающийся от вашего домашнего. Если вы видите один и тот же адрес, полностью обновите страницу при помощи Ctrl+F5 (Command+Shift+R на маках), или откройте новую приватную вкладку. Если не помогло — значит где-то ошиблись в настройках группы, или не сменили шлюз в правилах фаерволла.

Теперь о плохом. К сожалению, у данного решения есть небольшой трудноуловимый баг, если использовать его перед роутером локальной сети (а не коммутатором). Рано или поздно у вас отваливается один из VPN-клиентов, срабатывает исключение его из группы, и всё хорошо до того момента, пока VPN не поднимется обратно. Так как все пользователи находятся за NAT, а VPN-роутер видит только один IP-адрес и 65 тысяч портов, со временем он ассоциирует все порты с теми VPN-клиентами, которые никогда не падали. Соответственно, как только VPN-клиент поднимается, через него не идет никакой трафик. Клиент полностью жив, через него идут пинги и некоторое стабильное количество служебного трафика, но через него не идет трафик клиентов. По идее это решалось бы сбросом таблицы соединений, и для этого даже есть галочка в настройках pfSense, но в моих исследованиях эта галочка напрочь блокировала всякий доступ к роутеру, так как клиенты начинали валиться циклично, при этом роняя только-только установленные соединения с веб-интерфейсом, что сильно затрудняло исправление проблемы. Без этой галочки при наличии более двух VPN-ов они уравновешивали себя, так что доступ хотя бы через один всегда был. В конце концов я настроил в мониторинге условие «если пять минут на интерфейсе было меньше 1000 байт трафика в секунду, сообщить мне», и в особо запущенных случаях перезагружаю зомби-VPN-клиента вручную с целью сбросить таблицу соединений.

Итак, мы получили сеть, полностью пропускаемую через несколько распределенных VPN-ов. За счет сочетания нескольких разных VPN-серверов мы не зависим от доступности каждого из них в отдельности, а скорость сети ограничена только вашим каналом за вычетом шифрования. Если вдруг вам не хватит одного роутера — их тоже можно масштабировать, но это тема для отдельной статьи.

Настраиваем VPN. Часть 1 - Общие вопросы

vpn-general-issues-000.pngVPN-технологии сегодня прочно вошли в повседневную жизнь и на слуху не только у IT-специалистов, поэтому мы решили обновить ряд старых статей, значительно дополнив и расширив имеющуюся в них информацию. Если десять лет назад VPN был в основном уделом достаточно крупных организаций, сегодня он широко используется повсеместно. В этой статье мы рассмотрим, что такое VPN в 2019 году, какие технологии доступны, в чем их достоинства и недостатки и как это все можно использовать.

Прежде всего определимся с терминологией. VPN (Virtual Private Network, виртуальная частная сеть) - обобщенное название технологий позволяющих обеспечить построение логической (виртуальной) сети поверх физической, чаще всего поверх сети интернет или иных сетей с низким уровнем доверия.

Для построения сетей VPN обычно используются туннели, туннелирование это процесс установления соединения между двумя точками с использованием инкапсуляции, когда данные одного протокола помещаются в "конверты" другого протокола с целью обеспечить их прохождение в неподходящей среде, обеспечения целостности и конфиденциальности, защиты с помощью шифрования и т.д. и т.п.

Т.е. если подходить к вопросу терминологии строго, то под VPN следует понимать виртуальную сеть, которая образуется путем установления туннельных соединений между отдельными узлами. Но на практике термины используются гораздо более вольно и очень часто вносят серьезную путаницу. Скажем, популярный сейчас доступ в интернет через VPN виртуальной частной сетью собственно не является, а представляет туннельное соединение для выхода в интернет, с логической точки зрения ничем не отличаясь от PPPoE, которое тоже является туннелем, но VPN его никто не называет.

По схеме организации можно выделить две большие группы: клиент-серверные технологии и просто туннели. В названии первых обычно принято использовать аббревиатуру VPN, у вторых нет. Туннели требуют наличия с обоих концов выделенного IP-адреса, не используют вспомогательных протоколов для установления соединения и могут не иметь инструментов контроля канала. Клиент-серверные решения, наоборот, используют дополнительные протоколы и технологии, осуществляющие установку связи между клиентом и сервером, контроль и управление каналом, обеспечение целостности и безопасности передаваемых данных.

Ниже мы рассмотрим наиболее популярные типы туннельных соединений, которые применяются для построения VPN-сетей, начнем с классических решений.

PPTP

PPTP (Point-to-Point Tunneling Protocol, туннельный протокол точка-точка) - один из наиболее известных клиент-серверных протоколов, получил широкое распространение благодаря тому, что начиная с Windows 95 OSR2 PPTP-клиент был включен в состав ОС. В настоящее время поддерживается практически всем спектром систем и устройств, включая роутеры и смартфоны (клиент удален из последних версий macOS и iOS).

Технически PPTP использует два сетевых соединения: канал управления, работающий через TCP и использующий порт 1723 и GRE-туннель для передачи данных. Из-за этого могут возникать сложности с использованием в сетях мобильных операторов, проблема с одновременной работой нескольких клиентов из-за NAT и проблема проброса PPTP соединения через NAT.

Еще одним существенным недостатком является низкая безопасность протокола PPTP, что не позволяет строить на нем защищенные виртуальные сети, но широкое распространение и высокая скорость работы делают PPTP популярным там, где безопасность обеспечивается иными методами, либо для доступа в интернет.

L2TP

L2TP (Layer 2 Tunneling Protocol, протокол туннелирования второго уровня) - разработка компаний Сisco и Microsoft, использует для передачи данных и управляющих сообщений единственное UDP соединение на порту 1701, но не содержит никаких встроенных средств защиты информации. L2TP-клиент также встроен во все современные системы и сетевые устройства.

Без шифрования L2TP широко применялся и применяется провайдерами для обеспечения доступа в интернет, обеспечивая таким образом разделение бесплатного внутрисетевого и дорогого интернет трафика. Это было актуально в эпоху домовых сетей, но данная технология продолжает применяться многими провайдерами и по сей день.

Для построения VPN обычно используют L2TP over IPsec (L2TP/IPsec), где IPsec работает в транспортном режиме и шифрует данные L2TP-пакета. При этом L2TP-туннель создается внутри IPsec-канала и для его установления необходимо прежде обеспечить IPsec-соединение между узлами. Это может вызвать сложности при работе в сетях с фильтрацией трафика (гостиничные сети, публичный Wi-Fi и т.д.), вызывает проблемы с пробросом L2TP/IPSec через NAT и работой из-за NAT одновременно нескольких клиентов.

К плюсам L2TP можно отнести высокую распространенность и надежность, IPsec не имеет серьезных уязвимостей и считается очень безопасным. Минус - высокая нагрузка на оборудование и невысокая скорость работы.

SSTP

SSTP (Secure Socket Tunneling Protocol, протокол безопасного туннелирования сокетов) - разработанный компанией Microsoft безопасный VPN-протокол, относится к так называемым SSL VPN, распространен преимущественно в Windows-среде, хотя клиенты доступны в среде многих современных ОС. Также есть сторонние серверные решения, скажем в Mikrotik.

Технически SSTP представляет собой туннельное PPP-соединение внутри HTTPS-сессии на стандартный порт 443. Для стороннего наблюдателя доступны только HTTPS-заголовки, наличия туннеля в трафике остается скрытым. Это позволяет успешно работать в любых сетях, так как HTTPS широко используется для доступа к сайтам и обычно разрешен, снимает проблему с пробросом или работой из-за NAT. Безопасен.

К плюсам можно отнести интеграцию в Windows-среду, безопасность, возможность работы через NAT и брандмауэры. К недостаткам - слабую или недостаточную поддержку со стороны других ОС и сетевых устройств, а также уязвимость к некоторым классическим SSL-атакам, таким как "человек посередине".

OpenVPN

OpenVPN - свободная реализация VPN с открытым исходным кодом. Для защиты соединения также используется SSL, но в отличие от SSTP заголовки OpenVPN отличаются от стандартных HTTPS, что позволяет однозначно определить наличие туннеля. Для передачи данных внутри SSL-канала OpenVPN использует собственный протокол с транспортом UDP, также существует возможность использовать в качестве транспорта TCP, но данное решение является нежелательным из-за высоких накладных расходов.

OpenVPN обеспечивает высокую безопасность и считается одним из самых защищенных протоколов, составляя альтернативу IPsec. Также имеются дополнительные возможности в виде передачи с сервера на клиент необходимых настроек и маршрутов, что позволяет легко создавать сложные сетевые конфигурации без дополнительной настройки клиентов.

Кроме туннелей, работающих на сетевом уровне (L3) - TUN, OpenVPN позволяет создавать соединения канального (L2) уровня - TAP, позволяя связывать сети на уровне Ethernet. Однако следует помнить, что в этом случае в туннель будет инкапсулироваться широковещательный трафик, а это может привести к повышенной нагрузке на оборудование и снижению скорости соединения.

Несмотря на то, что OpenVPN требует установки дополнительного ПО серверная часть доступна для Windows и UNIX-like систем, а клиентская в том числе и для мобильных устройств. Также поддержка OpenVPN имеется во многих моделях роутеров (часто в ограниченном виде).

К недостаткам можно отнести работу в пользовательском пространстве и некоторую сложность настроек. Скорость внутри OpenVPN туннелей также может быть значительно ниже скорости канала.

Несмотря на это OpenVPN имеет высокую популярность и достаточно широко используется как в корпоративных сетях, так и для доступа в интернет.

GRE туннель

GRE (Generic Routing Encapsulation, общая инкапсуляция маршрутов) - протокол туннелирования разработанный компаний Cisco и предназначен для инкапсуляции любых протоколов сетевого уровня OSI (т.е. не только IP), GRE работает непосредственно поверх IP и не использует порты, не проходит через NAT, номер протокола 47.

GRE требует белых IP-адресов для обоих сторон туннеля и является протоколом без сохранения состояния, т.е. никак не контролирует доступность противоположного узла, хотя большинство современных реализаций содержат дополнительные механизмы, позволяющие определить состояние канала. Также отсутствуют какие-либо механизмы безопасности, но это не является недостатком, так как в отличие от клиент-серверных решений GRE-туннели применяются в корпоративной и телекоммуникационной среде, где для обеспечения безопасности могут использоваться иные технологии.

Для построения защищенных решений обычно используется GRE over IPsec, когда туннель GRE располагается поверх защищенного IPsec канала, хотя возможно и иное решение - IPsec over GRE, когда защищенное соединение устанавливается внутри незашифрованного GRE-туннеля.

GRE поддерживается в UNIX-like системах, сетевом оборудовании (исключая домашние модели), а также в Windows Server начиная с версии 2016. Данный протокол широко используется в телекоммуникационной сфере и корпоративной среде.

IP-IP туннель

IP-IP (IP over IP) - один из самых простых и имеющий минимальные накладные расходы протокол туннелирования, но в отличие от GRE инкапсулирует только IPv4 unicast трафик. Также является протоколом без сохранения состояния и встроенных механизмов безопасности, обычно используется в паре с IPsec (IP-IP over IPsec). Поддерживается UNIX-like системами и сетевым оборудованием. Как и GRE не использует порты и не проходит через NAT, номер протокола 4.

EoIP туннель

EoIP (Ethernet over IP) - разработанный Mikrotik протокол туннелирования канального уровня (L2), работает на базе протокола GRE инкапсулируя Ethernet кадры в GRE пакеты. Позволяет соединять на канальном уровне удаленные сети (что равносильно прямому соединению патч-кордом между ними) и обеспечивать связь без использования маршрутизации. При этом следует понимать, что такое соединение предполагает прохождение широковещательного трафика, что способно существенно снизить производительность туннеля, особенно на узких каналах или каналах с большими задержками.

В тоже время EoIP может быть полезен для подключения торгового и промышленного оборудования, которое не умеет работать на сетевом (L3) уровне с маршрутизацией. Например, для подключения удаленных видеокамер к видеорегистратору.

Первоначально EoIP поддерживался только оборудованием Mikrotik, сегодня его поддержка реализована в оборудовании Zyxel и существуют пакеты для его реализации в среде Linux.

IPsec

IPsec (IP Security) - набор протоколов для обеспечения безопасности передаваемых по сетям IP данных. Также может использоваться не только для защиты уже существующих каналов связи, а для организации самостоятельных туннелей. Но IPsec-туннели не нашли широкого распространения по ряду причин: сложность настройки, критичность к ошибкам конфигурирования (может сильно пострадать безопасность) и отсутствие возможности использовать маршрутизацию для управления трафиком в таких туннелях (решение об обработке IP-пакетов принимается на основании политик IPsec).

Заключение

Переписывая данную статью, мы не ставили задачу объять необъятное, рассмотреть все существующие VPN-решения в рамках одной статьи невозможно. Ее назначение - познакомить читателя с основными используемыми сегодня технологиями для построения виртуальных частных сетей. При этом мы намеренно оставили за кадром решения от Cisco или иных "взрослых" производителей, так как их внедрением занимаются профессионалы, которым подобные статьи явно без надобности.

Также мы не стали рассматривать решения без широкой поддержки со стороны производителей сетевого оборудования, хотя там есть достаточно интересные продукты. Например, мультипротокольный сервер SoftEther VPN, который поддерживает L2TP, SSTP, OpenVPN и собственный SSL VPN протокол, имеет широкие сетевые возможности, графический клиент для настройки и администрирования и многие иные "вкусности". Или перспективный WireGuard, который отличается простотой, высокой производительностью и использованием современной криптографии.

Тем не менее, какую именно технологию следует использовать? Все зависит от сферы применения. Если стоит задача связать два офиса с выделенными IP-адресами, то мы порекомендовали бы использовать GRE или IP-IP, если возможность настройки удаленных сетей ограничена, то следует посмотреть в сторону OpenVPN, он также подойдет, если удаленные сети находятся за NAT или не имеют выделенного IP.

А вот для организации удаленного доступа следует использовать один из протоколов с нативной поддержкой в используемых пользователями системах или устройствах. Если у вас основу инфраструктуры составляют Windows-системы и не стоит вопрос доступа с мобильных устройств, то следует обратить внимание на SSTP, в противном случае лучше остановить свой выбор на универсальном L2TP.

PPTP в современных условиях не может считаться надежным из-за слабой защиты, но может оставаться хорошим выбором, если данные в туннеле будут передаваться по одному из защищенных протоколов. Скажем для доступа по HTTPS к корпоративному порталу или веб-версии корпоративного приложения, также работающему через SSL. В данном случае VPN будет обеспечивать дополнительную аутентификацию и сужать периметр атаки на приложение, безопасность самого канала в данном случае не будет играть решающей роли.

Доступ к домашней сети через VPN

Наверх
  • Рейтинги
  • Обзоры
    • Смартфоны и планшеты
    • Компьютеры и ноутбуки
    • Комплектующие
    • Периферия
    • Фото и видео
    • Аксессуары
    • ТВ и аудио
    • Техника для дома
    • Программы и приложения
  • Новости
  • Советы
    • Покупка
    • Эксплуатация
    • Ремонт
  • Подборки
    • Смартфоны и планшеты
    • Компьютеры
    • Аксессуары
    • ТВ и аудио
    • Фото и видео
    • Программы и приложения
    • Техника для дома
  • Гейминг
    • Игры
    • Железо
  • Еще
    • Важное
    • Технологии

Какой параметр в openvpn отвечает за "интернет через vpn"? — Хабр Q&A

port 2235
proto tcp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel if you
# have more than one. On XP SP2 or higher,
# you may need to selectively disable the

ca ca.crt
cert server.crt
key server.key # This file should be kept secret

dh dh3048.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0

# Maintain a record of client <-> virtual IP address
# associations in this file. If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist /var/log/openvpn/ipp.txt

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
push "redirect-gateway def1 bypass-dhcp" #это за интернет

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses. CAVEAT:
# openvpn.net/faq.html#dhcpcaveats
# The addresses below refer to the public
# DNS servers provided by opendns.com.
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
;client-to-client

keepalive 10 120

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth ta.key 0 # This file is secret
key-direction 0

cipher AES-256-CBC
auth SHA256

# Enable compression on the VPN link and push the
# option to the client (v2.4+ only, for earlier
# versions see below)
;compress lz4-v2
;push "compress lz4-v2"

# For compression compatible with older clients use comp-lzo
# If you enable it here, you must also
# enable it in the client config file.
;comp-lzo

# The maximum number of concurrently connected
# clients we want to allow.
max-clients 15

user nobody
group nogroup

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log

verb 3

mute 20

Почему не стоит использовать VPN-сервисы: вопросы и ответы

Почему VPN-сервисы – не то, что вам нужно, и почему не стоит их использовать: рассказываем о недостатках и альтернативах провайдерам VPN.

VPN-сервисы видят ваш трафик и могут делать с ним все, что угодно. Даже записывать в отдельный лог.

Конечно же вы не можете проверить. Нечистый на руку провайдер будет этим пользоваться. Важно помнить, в интересах VPN-сервиса регистрировать базу клиентов и вести учет – это поможет сервису переложить вину на пользователя, если случатся проблемы с законом.

10 долларов в месяц, которые вы платите за сервис, не окупят даже кофе для юриста. Так что сдать вас в случае чего – в интересах провайдера.

История с сервисом HideMyAss показывает, что нет. В 2011 благодаря логам, которые вела компания, удалось раскрыть членов хакерской группировки lulzsec. HideMyAss писали об этом в своем блоге, упомянув, что логи ведутся для поиска подобных нежелательных пользователей.

Но большинству пользователей VPN-сервисов нет до этого дела.

Не важно, что вы используете для оплаты: биткоины, PaysafeCard, наличку – вы все еще подключаетесь к VPN провайдеру со своего IP. Так вас и найдут.

Если хотите безопасности – не пользуйтесь VPN. VPN – чересчур расхваленный прокси. VPN-сервисы обеспечивают приватность лишь в исключительных случаях. Во всех остальных трафик можно прослушать на выходе прокси-сервера.

Используйте SSL/TLS и HTTPS для централизованных сервисов и сквозное шифрование для социальных или P2P-приложений. VPN не может волшебным образом шифровать ваш трафик: это просто технически невозможно. Если конечная точка ожидает незашифрованного текста, вы ничего не можете с этим поделать.

При использовании VPN единственная зашифрованная часть соединения идет от вас к провайдеру. Начиная с VPN-провайдера, происходит все то же самое, что и без VPN. И помните, VPN-провайдер может видеть и записывать весь ваш трафик с привязкой к IP адресу, с которого вы подключились.

Для современных отслеживающих систем IP-адрес – не самый важный показатель. Когда на один домашний IP адрес приходится несколько устройств, которые часто принадлежат разным людям, приходится идентифицировать клиентов более совершенным образом.

Сегодня маркетинговые инструменты используют множество дополнительных параметров, чтобы определить конкретного пользователя: от User Agent до версии ОС.

  • Вы подключаетесь к однозначно вредоносной точке доступа (например, общественный Wi-Fi в транспорте/торговом центре или провайдер, который использует MITM), и хотите максимально сократить отслеживание.
  • Вы хотите изменить свой IP-адрес для обхода блокировок и других информационных запретов конкретных стран.

И даже так, во втором варианте вам больше поможет простой прокси-сервер, так как провайдер все равно имеет возможность отслеживать ваш трафик и в случае проблем с законом вас сдаст.

Если вы абсолютно уверены, что вам нужен VPN и понимаете все ограничения, лучше заведите свой. Арендуйте выделенный сервер и настройте его самостоятельно. Недорогой VPS можно подобрать на Lowendbox.

При использовании сервиса VPN-провайдера вероятность нарваться на недобросовестного поставщика, который жестко следит за трафиком, намного выше, чем в случае обычного хостинга, сдающего в аренду тысячи виртуальных серверов.

Это легкие деньги. Вы просто настроили OpenVPN на нескольких серверах и продаете к ним доступ. Можно давать пользователям любые обещания, потому что проверить все равно никто не сможет.

Так что единственная цель, которой служат VPN-сервисы – приносить пользу провайдеру, а не вам.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *