Типы соединений VPN

Типы соединений VPN

Настройка PPPoE

PPPoE — это один из типов соединения с интернетом, чаще всего использующийся при работе DSL.

    Отличительной особенностью любого VPN-соединения является использование логина и пароля. Некоторые модели роутеров требуют ввод пароля два раза, другие — один раз. При первичной настройке взять эти данные можно из договора с интернет-провайдером.

В зависимости от требований провайдера, IP-адрес роутера будет статическим (постоянным) или динамическим (может меняться при каждом подключении к серверу). Динамический адрес выдаётся провайдером, поэтому тут ничего заполнять не нужно.

«AC Name» и «Service Name» — это параметры, относящиеся только к PPPoE. Они указывают имя концентратора и тип сервиса, соответственно. Если их нужно использовать, провайдер обязательно должен упомянуть это в инструкции.

В некоторых случаях используется только «Service Name».

  • Следующей особенностью является настройка переподключения. В зависимости от модели роутера, будут доступны следующие варианты:
    • «Connect automatically» — маршрутизатор всегда будет подключаться к интернету, а при обрыве соединения будет переподключаться.
    • «Connect on Demand» — если интернетом не пользоваться, роутер отключит соединение. Когда браузер или другая программа попытается получить доступ в интернет, роутер восстановит соединение.
    • «Connect Manually» — как и в предыдущем случае, роутер будет разрывать соединение, если какое-то время не пользоваться интернетом. Но при этом когда какая-нибудь программа запросит доступ в глобальную сеть, маршрутизатор не восстановит соединение. Чтобы это исправить, придётся заходить в настройки роутера и нажимать на кнопку «подключить».
    • «Time-based Connecting» — здесь можно указать, в какие временные промежутки соединение будет активно.

    В некоторых случаях интернет-провайдер требует указать сервера доменных имён («DNS»), которые преобразуют именные адреса сайтов (ldap-isp.ru) в цифровые (10.90.32.64). Если это не требуется, можно проигнорировать этот пункт.

    «MTU» — это количество переданной информации за одну операцию пересылки данных. Ради увеличения пропускной способности можно поэкспериментировать со значениями, но иногда это может привести к проблемам. Чаще всего интернет-провайдеры указывают необходимый размер MTU, но если его нет, лучше не трогать этот параметр.

    «MAC-адрес». Бывает так, что изначально к интернету был подключен только компьютер и настройки провайдера привязаны к определённому MAC-адресу. С тех пор, как смартфоны и планшеты получили широкое распространение, такое встречается редко, тем не менее это возможно. И в данном случае может потребоваться «клонировать» MAC-адрес, то есть, сделать так, чтобы у роутера был точно такой же адрес, как у компьютера, на котором изначально был настроен интернет.

    «Вторичное соединение» или «Secondary Connection». Данный параметр характерен для «Dual Access»/«Russia PPPoE». С его помощью можно подключаться к локальной сети провайдера. Включать его нужно только тогда, когда провайдер рекомендует настраивать именно «Dual Access» или «Russia PPPoE». В противном случае он должен быть выключен. При включении «Dynamic IP» интернет-провайдер выдаст адрес автоматически.

    Настройка L2TP

    L2TP — ещё один VPN-протокол, он даёт большие возможности, поэтому имеет широкое распространение среди моделей роутеров.

      В самом начале настройки L2TP можно определиться, какой должен быть IP-адрес: динамический или статический. В первом случае настраивать его не придётся.


    Во втором — необходимо прописать не только сам IP-адрес и иногда его маску подсети, но и шлюз — «L2TP Gateway IP-address».

    Затем можно указать адрес сервера — «L2TP Server IP-Address». Может встречаться как «Server Name».

    Как и полагается VPN-соединению, нужно указать логин или пароль, взять которые можно из договора.

    Далее настраивается подключение к серверу, которое происходит в том числе после обрыва соединения. Можно указать «Always on», чтобы оно всегда было включено, или «On demand», чтобы подключение устанавливалось по требованию.

    Настройку DNS нужно выполнять в том случае, если этого требует провайдер.

    Параметр MTU обычно менять не требуется, в противном случае интернет-провайдер указывает в инструкциях, какое значение нужно поставить.

    Указывать MAC-адрес требуется не всегда, а для особых случаев существует кнопка «Clone your PC’s MAC Address». Она назначает маршрутизатору MAC адрес компьютера, с которого выполняется настройка.

    Настройка PPTP

    PPTP — это ещё одна разновидность VPN-соединения, внешне она настраивается почти так же, как и L2TP.

      Начать конфигурацию данного типа соединения можно с указания типа IP-адреса. При динамическом адресе настраивать далее ничего не нужно.


    Если же адрес статический, кроме внесения самого адреса иногда требуется указать маску подсети — это нужно тогда, когда маршрутизатор не в состоянии посчитать её сам. Затем указывается шлюз — «PPTP Gateway IP Address».

    Затем нужно указать «PPTP Server IP Address», на котором будет происходить авторизация.

    После этого можно указать логин и пароль, выданные провайдером.

    При настройке переподключения можно указать «On demand», чтобы соединение с интернетом устанавливалось по требованию и отключалось, если им не пользуются.

    Настройка серверов доменных имён чаще всего не обязательна, но иногда требуется провайдером.

    Значение MTU лучше не трогать, если в этом нет необходимости.

    Поле «MAC Address», скорее всего, заполнять не придётся, в особенных случаях можно использовать кнопку внизу, чтобы указать адрес компьютера, с которого выполняется настройка роутера.

    Заключение

    На этом обзор различных типов VPN-соединений закончен. Безусловно, существуют и другие типы, но чаще всего они используются либо в определённой стране, либо присутствуют только в какой-то конкретной модели роутера.

    Типы VPN-соединений в Keenetic

    VPN (Virtual Private Network; виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (туннелей) поверх другой сети (например Интернет).

    Существует много причин для использования виртуальных частных сетей. Наиболее типичные из них — безопасность и конфиденциальность данных. С использованием средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.

    Известно, что сети, использующие протокол IP (Internet Protocol), имеют «слабое место», обусловленное самой структурой протокола. Он не имеет средств защиты передаваемых данных и не может гарантировать, что отправитель является именно тем, за кого себя выдает. Данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.

    Если вы из Интернета подключаетесь к собственному домашнему серверу, файлам USB-накопителя, подключенного к роутеру, видеорегистратору или по протоколу RDP к рабочему столу компьютера, рекомендуем использовать VPN-соединение. В этом случае можно будет не волноваться о безопасности передаваемых данных, т.к. VPN-соединение между клиентом и сервером, как правило, зашифровано.

    Интернет-центры Keenetic поддерживают следующие типы VPN-соединений:

    • PPTP/SSTP
    • L2TP over IPSec (L2TP/IPSec)
    • WireGuard
    • OpenVPN
    • IPSec
    • GRE/IPIP/EoIP
    • IPSec Xauth PSK (Virtual IP)

    С помощью интернет-центра Keenetic ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в Интернет.

    Во всех моделях Keenetic реализованы как VPN клиенты/серверы для безопасного доступа: PPTP, L2TP over IPSec, Wireguard, OpenVPN, SSTP, так и туннели для объединения сетей: Site-to-Site IPSec, EoIP (Ethernet over IP), GRE, IPIP (IP over IP).

    В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения разных сценариев: хост-хост, хост-сеть, хосты-сеть, клиент-сервер, клиенты-сервер, роутер-роутер, роутеры-роутер (vpn concentrator), сеть-сеть (site-to-site).

    Если вы не знаете, какой тип VPN выбрать, приведенные ниже таблицы и рекомендации помогут в этом.

    Таблица 1.

    Тип VPN Клиент Сервер Аппаратное ускорение * Количество одновременных подключений
    PPTP + + Клиент: до 128
    Сервер: до 100 / 150/200 в зависимости от модели **
    SSTP + +
    L2TP over IPSec + + + Клиент: до 128
    Сервер: ограничение отсутствует
    WireGuard + + до 32
    IPSec + + + ограничение отсутствует ***
    GRE/IPIP/EoIP + + до 128
    OpenVPN + + ограничение отсутствует
    IPSec Xauth PSK + + ограничение отсутствует

    * — для моделей Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga используется аппаратное ускорение всего протокола IPSec.

    ** — до 200 для Giga и Ultra; до 150 для DSL и Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra и Zyxel Keenetic Air, Extra II, Start II, Lite III Rev.B, 4G III Rev.B.

    *** — до версии KeeneticOS 3.3 ограничение составляло до 10 подключений для Giga, Ultra и до 5 для всех остальных моделей.

    NOTE: Важно! Число клиентских подключений ограничивается выделенным служебным размером раздела памяти объемом 24 Кбайта для хранения VPN-конфигураций. Особенно это актуально для OpenVPN-соединений, т.к. суммарный размер их конфигураций не должен превышать 24 Кбайта.

    Таблица 2.

    Тип VPN Уровень сложности Уровень защиты данных Скорость** Ресурсо
    емкость
    Интеграция в ОС
    PPTP для обычных пользователей низкий средняя, высокая без MPPE низкая Windows, macOS, Linux, Android, iOS (до версии 9 вкл.)
    SSTP для обычных пользователей высокий средняя, низкая при работе через облако средняя Windows
    L2TP over IPSec для обычных пользователей высокий высокая, средняя на младших моделях высокая Windows, macOS, Linux, Android, iOS
    WireGuard для опытных пользователей очень высокий высокая низкая отсутствует*
    IPSec для профессионалов очень высокий высокая высокая Windows, macOS, Linux, Android, iOS
    OpenVPN для опытных пользователей очень высокий низкая очень высокая отсутствует*
    IPSec Xauth PSK для обычных пользователей высокий высокая высокая Android, iOS

    * — для организации подключения понадобится установить дополнительное бесплатное ПО в операционных системах Windows, macOS, Linux, Android, iOS.

    ** — представлены относительные величины, а не конкретные цифры, т.к. скорости для VPN-подключений зависят от моделей и целого ряда факторов — типа используемых алгоритмов шифрования, числа одновременных подключений, типа подключения к Интернету и скорости интернет-канала, от загрузки интернет-канала, нагрузки на сервер и других факторов. Низкой будем называть скорость до 15 Мбит/с, средняя в районе 30 — 50 Мбит/с и высокая — свыше 70 Мбит/с.

    Таблица 3.

    Тип VPN Плюсы Минусы
    PPTP популярность, широкая совместимость с клиентами невысокий уровень защиты данных, в сравнении с другими протоколами VPN
    SSTP возможность работы VPN-сервера при наличии «серого» IP для доступа в Интернет *, использование протокола HTTPS (TCP/443) встроенный клиент только в ОС Windows, низкая скорость передачи данных при работе через облако
    L2TP over IPSec безопасность, стабильность, широкая совместимость с клиентами используются стандартные порты, что позволяет провайдеру или системному администратору заблокировать трафик
    WireGuard современные протоколы безопасности данных, низкая ресурсоемкость, высокая скорость передачи данных не входит в состав современных ОС, разработка является экспериментальной и может проявляться нестабильность
    IPSec надежность, очень высокий уровень защиты данных сложность настройки для обычных пользователей
    OpenVPN высокий уровень защиты данных, использование протокола HTTPS (TCP/443) не входит в состав современных ОС, очень ресурсоемкий, невысокие скорости передачи данных
    IPSec Xauth PSK безопасность, входит в состав современных мобильных ОС отсутствие поддержки клиентов в ОС для ПК

    * — данная возможность реализована на нашем облачном сервере как специальное программное расширение и доступно только для пользователей интернет-центров Keenetic.

    Для обычных пользователей для использования удаленных подключений клиенты-сервер мы рекомендуем:

    • L2TP over IPSec (L2TP/IPSec), PPTP, IPSec Xauth PSK, SSTP

    Во многих моделях Keenetic передача данных по IPSec (в том числе L2TP over IPSec) ускоряется аппаратно с помощью процессора устройства. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.
    Если провайдер выдает вам публичный IP-адрес, рекомендуем обратить внимание на так называемый виртуальный сервер IPSec (Xauth PSK) и сервер L2TP over IPSec. Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты.
    В качестве самого оптимального универсального варианта можно считать L2TP/IPSec.
    Если же интернет-провайдер предоставляет вам только частный «серый» IP-адрес для работы в Интернете, и нет возможности получить публичный IP, вы всё-равно сможете организовать удаленный доступ к своей домашней сети, используя VPN-сервер SSTP. Основным преимуществом туннеля SSTP является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии «серых» IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного «белого» IP-адреса. Обращаем ваше внимание, что данная возможность реализована на нашем облачном сервере и доступно только для пользователей Keenetic.
    Что касается туннельного протокола PPTP, он наиболее прост и удобен в настройке, но потенциально уязвим, в сравнении с другими типами VPN. Тем не менее лучше использовать его, чем не применять VPN вовсе.

    Для опытных пользователей к этому списку можно добавить:

    OpenVPN очень популярен, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPSec. В интернет-центре Keenetic для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.
    Современный протокол WireGuard сделает работу с VPN проще и быстрее (в несколько раз в сравнении с OpenVPN) без наращивания мощности железа в устройстве.

    Для объединения сетей и организации Site-to-Site VPN используйте:

    • IPSec, L2TP over IP (L2TP/IPSec), WireGuard

    Для решения специализированных задач по объединению сетей:

    IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования. Он является идеальным вариантом для создания подключений типа Site-to-Site VPN для объединения сетей. Кроме этого для профессионалов и опытных пользователей имеется возможность создавать туннели IPIP, GRE, EoIP как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN. Поддержка туннелей IPIP, GRE, EoIP позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей. Настройка туннелей данного типа доступна только в интерфейсе командной строки (CLI) интернет-центра.

    Дополнительную информацию, по настройке разных типов VPN в интернет-центрах Keenetic, вы найдете в инструкциях:

    Пользователи, считающие этот материал полезным: 16 из 16

    Различные типы VPN и их использование

    Примечание редактора: Если вы уже знаете, какие типы VPN существуют и какие протоколы они включают, можете сразу перейти к статье, в которой сравниваются различные типы протоколов.

    Большинство из нас использует интернет ежедневно, в личных или деловых целях. Вероятнее всего, у вас не возникало проблем с различными угрозами. Однако Интернет не так безопасен, как кажется. Хорошо, у вас есть пароль на WiFi, но что насчет VPN? Требуется ли вам такая защита?

    VPN или виртуальная частная сеть — это группа сетей или компьютеров, связанных друг с другом в интернете. VPN позволяет обезопасить подключение, гарантируя, что все данные, какие вы получаете и отправляете, надежно шифруются. Дополнительная информация — что такое VPN и нужна ли вам подобная защита.

    Итак, как вы можете понять, что вам необходимо подключить VPN? Неважно, студент вы или сотрудник, если вы не хотите, чтобы кто-то совал нос в ваши дела, воспользуйтесь VPN.

    Существует несколько разновидностей VPN: Самые распространенные типы — PPTP VPN, Site-to-Site VPN, L2TP VPN, IPsec, SSL, MPLS VPN и Hybrid VPN. Ниже мы рассмотрим их более подробно.

    PPTP VPN

    PPTP VPN — это протокол туннелирования точка-точка. Как видно из названия, PPTP VPN создает туннель и захватывает данные. Это самый распространенный тип VPN. PPTP VPN позволяют подключиться к сети VPN через существующее интернет-подключение. Этот тип VPN прекрасно подходит как для бизнеса, так и для домашнего использования. Для доступа к сети используется пароль. PPTP идеальны для дома и бизнеса, так как они не требуют установки дополнительного оборудования и позволяют обходиться дешевыми и несложными приложениями. PPTP хорошо совместимы с Windows, Mac и Linux.

    И хотя PPTP VPN демонстрируют множество преимуществ, не обошлось без недостатков. Главный из них — это то, что протокол PPTP не использует шифрования. Кроме того, основа PPTP — это протокол PPP, что также не обеспечивает высокий уровень безопасности.

    Site-to-Site VPN

    Узел-узел или Роутер-Роутер — это самый распространенный тип VPN в бизнесе. Особенно это характерно для компаний с офисами как в разных частях одной страны, так и в нескольких странах, что позволяет связать все компьютеры в единую сеть. Также они известны как интранет-VPN (VPN по внутренней сети). Другой вариант также возможен. Компании, использующие VPN узел-узел, подключаются к серверам других компаний таким же образом, как и экстранет-VPN. Говоря простым языком, этот тип VPN — своего рода мост, соединяющий сети в разных локациях, обеспечивая безопасное соединение и подключение к интернету.

    Как и PPTP, VPN типа узел-узел создает безопасную сеть. Однако, выделенная линия не предусмотрена, так что разные компьютеры компании могут подключаться к сети. В отличие от PPTP, шифрование производится либо при помощи специальных устройств, либо при помощи приложений на обоих концах сети.

    L2TP VPN

    L2TP означает «Протокол туннелирования второго уровня», он был разработан компаниями Microsoft и Cisco. VPN на основе протокола L2TP сочетается с другим протоколом, что обеспечивает более безопасное соединение. При протоколе L2TP формируется туннель между двумя точками подключения L2TP, а также при помощи другого протокола, например IPsec, производится шифрование данных.

    L2TP действует подобно PPTP. Главное сходство — отсутствие шифрования и основа на протоколе PPP. Разница же — это защита и сохранность данных. VPN на основе L2TP обеспечивают более безопасное и надежное соединение.

    IPsec

    IPsec — это сокращение, означающее «Безопасность интернет-протокола». IPsec — это VPN-протокол, используемый для того, чтобы обеспечить безопасность в сети. Протокол устанавливает туннель до удаленного узла. Каждая сессия проверяется, пакеты данных шифруются, так что протокол IPsec обеспечивает высокий уровень безопасности соединения. Существует два режима, в которых работает этот протокол. Транспортный и туннельный. Оба служат для защиты передачи данных между разными сетями. В транспортном режиме шифруется сообщение в пакете данных. В туннельном режиме шифруется весь пакет данных. Преимущество использования IPsec заключается в том, что он может быть применен в дополнение к другим протоколам, чтобы повысить защиту сети.

    И хотя IPsec — это полезный и удобный протокол, однако основной минус — это долгое время установки клиентских приложений.

    SSL and TLS

    SSL — это протокол защищенных сокетов, TLS — безопасность на транспортном уровне. Они работают как один протокол. Оба используются для создания VPN. В этом подключении веб-браузер работает как клиент, пользователь получает доступ к специальным приложениям вместо всей сети. SSL и TSL используются в онлайн-продажах. SSL и TSL предоставляют защищенную сессию от браузера до сервера с приложением. Браузер легко переключается на SSL, не требуя никаких дополнительных действий со стороны пользователя. Абсолютное большинство современных браузеров уже включает в себя SSL и TSL. SSL-подключение содержит https вместо http в адресе.

    MPLS VPN

    VPN-сервисы с поддержкой технологии многопротокольной коммутации с использованием меток (MPLS) лучше всего использовать для подключений типа сайт-к-сайту. Все потому, что MPLS — это наиболее гибкий вариант с максимум возможностей для адаптации. MPLS основываются на определенных стандартах, используемых для ускорения распределения сетевых пакетов по множеству протоколов. VPN-сервисы с поддержкой MPLS — это системы, представляющие собой VPN-сервисы, настроенные для работы с интернет-провайдерами, когда два или более сайтов могут объединиться между собой, формируя VPN, используя для этого мощности одного и того же интернет-провайдера. Впрочем, самым большим минусом VPN-сервисов с поддержкой MPLS является тот факт, что такую сеть настроить куда сложнее, чем остальные VPN. Сложнее и вносить в нее модификации. Как следствие, услуги VPN-сервисов с поддержкой MPLS обходятся пользователям дороже.

    Hybrid VPN

    Гибридная сеть VPN сочетает в себе MPLS и IPSec. Оба типа используются отдельно на различных узлах. Однако, иногда узел допускает одновременное подключение обоих типов протоколов. Это делается с целью повысить надежность MPLS при помощи IPSec.

    IPSec, как уже упоминалось ранее, требуют наличия определенного оборудования. Обычно это роутер или многоцелевое устройство безопасности. При его помощи данные шифруются и образуют VPN-туннель. MPLS используются на канале передачи информации при помощи передающего оборудования.

    Для соединения этих двух типов VPN устанавливается шлюз, где устраняется IPSec и производится подключение к MPLS с сохранением безопасности данных.

    Гибридные VPN используются компаниями, так как MPLS очень часто не подходит для их узлов. MPLS обеспечивает множество преимуществ по сравнению с общим подключением, однако цена высока. При помощи гибридной сети вы можете подключиться к центральному узлу через удаленный. Гибридные VPN наиболее дорогие, но при этом очень гибкие в настройке.

    Выводы

    В целом, выбрать подходящий тип VPN довольно трудно. Чтобы понять, какой тип VPN вам нужен, сперва необходимо разобраться, какой тип безопасности вы хотите получить. Также это зависит от того, кто вы: студент, владелец малого бизнеса или крупной компании. Вам следует обдумать, хватит ли простой системы безопасности или потребуется более сложная, по типу гибридной сети VPN. Другой фактор, который обязательно нужно учитывать — это стоимость. Сколько денег вы готовы потратить на обеспечение безопасного интернет-подключения? Как только вы ответите на эти вопросы, выбор станет гораздо легче. И, конечно же, вы всегда можете расширить свои знания по этому вопросу. Удачи!

    Познакомьтесь с лучшими VPN и узнайте, что пользователи думают о них

    Какие бывают типы VPN, и чем они отличаются?

    Мы уже рассмотрели с вами, что такое VPN и для чего он используется, где подробно разобрали этом вопрос. В этот раз попробуем разобраться с видами протоколов VPN, кратко рассмотрим их и попробуем найти в каждом из них преимущества и недостатки. Подобная информация поможет вам подобрать оптимальное решение, учитывая собственные цели и предпочтения.

    PPTP VPN

    Представляет собой туннелированный протокол по принципу из точки в точку – он создает туннель, захватывая данные. Является самым распространенным видом технологии, что позволяет подключиться к сети VPN через существующие интернет-подключения. Подобный вариант станет идеальным решением для домашнего использования и для бизнеса. Не нуждается в установке дополнительного оборудования, при этом можно использовать с помощью несложных и дешевых приложений. Технология PPTP VPN идеально совместима со всеми операционными системами. Несмотря на большое количество преимуществ, технология с протоколом РРР не может гарантировать пользователю высокий уровень безопасности, поэтому для серьезных целей и организаций такой вариант не подходит.

    Site-to-Site VPN

    Является самым распространенным видом VPN в бизнесе, работающий по принципу роутер-роутер или узел-узел. Особенно этот вариант становится актуальным для компаний с офисами в разных областях одной страны, либо в нескольких странах, что позволяет связывать все компьютеры в одну цепочку. При использовании VPN узел-узел компания подключается к серверу другой компании таким же образом, как и экстранет (VPN в одной сети). Если говорить максимально просто, то Site-to-Site VPN – это своего рода мост, который соединяет сети в различных локациях, обеспечивая безопасное соединение и подключение к интернету. Данная система аналогично PPTP создает безопасную сеть. В это время нет выделенной линии, поэтому разные компьютеры компании могут подключаться к сети. В отличие от PPTP, шифрование осуществляется с помощью специально предназначенных устройств, либо с помощью приложений на обоих концах сети.

    L2TP VPN

    Это протокол туннелирования второго уровня, который разработан компаниям Cisco и Microsoft. Виртуальная частная сеть на базе протокола L2TP сочетается с другими протоколами, что будет гарантировать максимальную безопасность соединения. При использовании протокола L2TP формируется туннель между двумя точками подключения, а также с помощью другого протокола, например IPsec, в результате чего проводится шифрование информации. Действует L2TP подобно PPTP. Ключевое сходство заключается в отсутствии шифрования и основы на протоколе РРР. Разница только заключается в защите и сохранности данных – такой вариант может гарантировать максимально надежное и безопасное соединение.

    IPsec

    IPsec – это протокол VPN, который применяется для обеспечения максимальной безопасности сети. Протокол устанавливает своего рода туннель до удаленного узла. Каждая проведенная сессия проходит проверку, пакеты данных шифруются, поэтому протокол может гарантировать высокий уровень безопасности подключения. Предусмотрено два режима, в которых работает протокол – туннельный и транспортный, которые предназначены для защиты данных между различными сетями. При транспортном режиме шифруются сообщения внутри пакета данных, а в туннельном режиме – шифруется весь пакет информации. Преимущество применения IPsec заключается в том, что он может использоваться в дополнение к другим протоколам, а это значительно повышает безопасность сети. Хотя IPsec является удобным и полезным протоколом, но он имеет основной минус – длительное время установки клиентского приложения.

    SSL and TLS

    SSL and TLS – это два протокола, которые работают в единой системе. Протокол SSL предназначен для защиты пакетов данных, а TLS – безопасности на транспортном уровне. При использовании VPN с этими технологиями, браузер работает как клиент, пользователь получает доступ к специальным приложениям во всей сети. Активно используются при онлайн-продажах, обеспечивая защищенную сессию от браузера до сервера с приложением. Браузер без проблем подключается к SSL без каких-либо дополнительных действий со стороны пользователя.

    MPLS VPN

    MPLS – это технология многопротокольной коммутации с использованием меток, которая активно применяется в VPN-сервисах. Идеально решение для подключения сайт-сайт. Все по той причине, что данная технология является самой гибкой с максимальными возможностями в плане адаптации. Основывается на определенных стандартах, используемых с целью ускорения распределения сетевых пакетов по множеству протоколов. Сервисы с технологией MPLS настроены для работы с провайдером, когда ряд сайтов объединяются и создают VPN. Недостатком технологии является то, что сеть настроить значительно сложней, чем при использовании других протоколов. Сложнее вносить и модификации в приложение. Как результат, услуги VPN-сервисов с поддержкой протоколов MPLS обходятся пользователю существенно дороже, чем с другими протоколами.

    Hybrid VPN

    Как видно из самого названия, речь идет о гибридной сети VPN, которая соединяется в себе IPSec и MPLS. Каждый из вариантов применяется отдельно на разных узлах. В это время узел допускает одновременное подключение обоих видов протоколов. Это делается для того, чтобы повысить уровень надежности MPLS с помощью IPSec. Но для этой сети нужно определенное оборудование – роутер или устройство безопасности. С его помощью данные создают шифр и туннель VPN. Гибридный VPN является идеальным решением для крупных организаций. Но все эти особенности способствуют тому, что и стоимость подключения выше. С помощью гибридной сети можно подключить к центральному узлу через удаленный узел. Они хотя и дорогие, но самые гибкие в плане настройки.

    Подведем итоги

    Как видите, подобрать для себя оптимальный вариант VPN – это трудоемкая задача. Для того чтобы понять, какой тип VPN необходим именно вам, нужно разобраться, какой тип безопасности вам нужно получить. Это уже зависит от того, кем вы являетесь: студентом, владельцем малого бизнеса или крупной компанией. Важно обдумать, хватит ли простой системы безопасности для серфинга в интернете или нужна более сложная система, типа гибридной. Немаловажным фактором также является стоимость – сколько денег вы готовы отдать на то, чтобы обеспечить безопасное интернет-подключение? На базе всего этого вы сможете сделать правильный выбор.

    Как работает VPN?

    VPN создает приватное и зашифрованное интернет-соединение (туннель) между вашим девайсом и частным VPN-сервером. Это означает, что ваши данные не могут быть прочитаны любыми другими третьими лицами. После этого VPN сервер отправляет ваш трафик на веб-сайт или сервис, к которому вы хотите получить доступ.

    Если вы уже знаете, как работает VPN, то можете почитать тут, действительно ли он безопасен. А если вы еще не знаете, что такое VPN, то можете прочитать нашу статью.

    Помимо шифрования, в основе работы VPN также лежит инкапсуляция трафика. Не будем подробно рассказывать про структуру сетевых протоколов, о них вы можете прочитать здесь.

    Инкапсуляция

    Для краткости и простоты давайте рассмотрим следующий пример. Допустим, вы посещаете веб-сайт. Во время подключения ваш компьютер передает на сервер множество маленьких пакетиков, несущих определенную информацию. Например, какую страничку открыть, где поставить лайк и так далее. Схематично это можно изобразить так:

    Обмен пакетами с веб-службами

    Что тут происходит? Клиент посылает ряд запросов на сервер. Сервер, в свою очередь, отвечает на каждый из запросов. При этом данные передаются в открытом виде. Что будет, если применить инкапсуляцию? При инкапсуляции один пакет помещается в другой, то есть пакеты станут выглядеть схематично так:

    Что я имею в виду? Давайте рассмотрим структуру пакета. Передаваемые пакеты содержат в себе несколько частей. Условно, их можно поделить на две: это полезная нагрузка (сама передаваемая информация) и служебная информация (адрес отправителя, адрес получателя и т.д.). Так вот, при инкапсуляции одного пакета в другой, весь инкапсулируемый пакет становится как бы полезной нагрузкой другого пакета. На самом деле без рисуночка я сам бы не понял, что мне говорят. Поэтому вот:

    1) У нас есть первоначальный пакет:

    2) Помещаем этот пакет внутрь другого пакета (инкапсулируем):

    То есть один пакет теперь передает другой пакет. Однако как веб-сервер поймет, что тут была инкапсуляция? А ему и не нужно. Эту «обертку» снимает VPN-сервер, а на веб-сервер (сайт), который вы хотели посетить, попадет пакет в первоначальном виде. Представить это можно в виде такой картинки:

    Соответственно, процедура обработки пакета при ответе сервера происходит в обратном порядке: пакет идет на VPN сервер, запаковывается и передаётся на девайс, где клиентом VPN распаковывается. И только после этого вы видите ответ сервера в вашем браузере.

    Но тут задаемся вопросом: разве это должно нас спасти от прослушивания трафика? Конечно же нет, ведь инкапсулированный пакет также просто извлечь обратно. Поэтому, вторая основа VPN – шифрование. Дело в том, что при инкапсуляции вся полезная нагрузка, которая инкапсулируется в другой пакет, полностью шифруется. То есть теперь, даже если извлечь пакет обратно, невозможно узнать, что вы отправляли и куда. При внедрении шифрования предыдущая схема приобретает вид:

    Конечно, у промежуточного пакета остаются его заголовки, поскольку это необходимо для маршрутизации пакета. Однако вся информация, которая там есть – это то, что пакет следует от вашего устройства на VPN-сервер (или наоборот). Все, что будет происходить дальше с содержимым пакета так и останется неизвестным.

    Шифрование

    Шифрование – это процесс преобразования данных таким образом, что только компьютер с правильным ключом может преобразовать иx обратно в читаемую форму. Для всех же остальных эти данные будут оставаться в нечитаемом, совершенно бессмысленном виде.

    VPN является настолько же безопасным, каким является шифрование, которое он использует для защиты ваших данных.

    С помощью VPN компьютеры на каждом конце VPN-туннеля шифруют данные, поступающие в туннель, и расшифровывают их на другом конце туннеля. Однако для применения шифрования VPN требуется нечто большее, чем просто пара ключей. Тут и появляются протоколы.

    VPN-протоколы

    VPN-протокол – это набор правил, которым следуют и клиент, и сервер для установления безопасного соединения. То есть протокол определяет то, как на самом деле формируется и функционирует безопасный туннель между клиентом и сервером.

    В зависимости от используемого протокола VPN может иметь различные скорости, возможности или даже уязвимости. Большинство провайдеров VPN дадут вам возможность выбрать, какой протокол вы хотели бы использовать.

    Существует несколько доступных протоколов VPN, но не все из них безопасны в использовании. Вот таблица наиболее распространенных:

    • OpenVPN. На данный момент предпочтительный протокол VPN. Он с открытым исходным кодом, с достаточной и проверенной степенью безопасности, а также работает почти на всех устройствах с поддержкой VPN. OpenVPN хорошо протестирован и остается золотым стандартом отрасли. Лучше использовать OpenVPN там, где это возможно.
    • IKEv2 / IPSec. IKEv2 — это более новый протокол VPN с закрытым исходным кодом. Он безопасен, довольно быстр и легко справляется с изменениями в сети. Это делает его идеальным протоколом для мобильных устройств, которые постоянно переключаются между Wi-Fi и мобильными сетями.
    • L2TP / IPSec. Этот протокол довольно устарел и имеет несколько недостатков в системе безопасности. При использовании с шифром AES он обычно считается безопасным, но есть предположения, что протокол был скомпрометирован АНБ.
    • SSTP. Этот протокол с закрытым исходным кодом. Был разработан компанией Microsoft и основан на SSL 3.0, который, кстати, уязвим к MITM атаке Poodle. Однако, это еще не было подтверждено. Тем не менее сообщество экспертов однозначно сходится на том, что явно не стоит рисковать и использовать его, когда есть более надежные протоколы.
    • PPTP. Этот протокол точно не стоит использовать. Он уже давно скомпрометирован, а на его взлом могут понадобиться считанные минутки.
    • Wireguard. Это самый новый протокол на сегодняшний день. Он вселяет надежды и является весьма многообещающим, поскольку стремится быть безопасным и удобным для пользования. Однако до сих пор не было стабильного выпуска. Поэтому данный протокол все еще считается экспериментальным.

    Шифры

    В то время, как VPN-протоколы создают VPN-туннель, безопасно соединяя клиента с сервером, шифры используются непосредственно для шифрования передаваемой информации. Операции шифрования и расшифрования строятся на знании определенного секрета – ключа. Без него дешифровать информацию чрезвычайно трудно.

    Говоря о шифровании, обычно упоминается название шифра (например, AES), а также длина ключа (128), которая обозначает количество битов в данном ключе.

    На данный момент рекомендуемой длиной ключа для симметричного шифрования считается 256 бит. Этой длины достаточно, чтобы увеличить перебираемое множество настолько, что нужно потратить несколько миллиардов лет в попытке поиска ключа.

    Соответственно, в VPN-протоколах тоже используются различные шифры:

    • AES. Он как OpenVPN в мире симметричных шифров. Он используется правительством США для конфиденциальных данных и считается чрезвычайно безопасным. Часто используются и 128-, и 256-битные ключи (есть еще длиной 196). И тот, и другой варианты считаются безопасными.
    • Blowfish. Раньше этот шифр использовался в OpenVPN по умолчанию, однако теперь его заменяет AES, поскольку первый не считается безопасным из-за уязвимости к атаке дня рождения.
    • Camellia. Этот шифр очень похож на AES с точки зрения скорости и безопасности. Однако, в отличие от AES, это не было доказано Национальным институтом стандартов и технологий. То есть он не был так же тщательно изучен и протестирован.

    VPN также используют рукопожатия и аутентификацию для дальнейшей защиты вашего соединения. Подробнее об этом можно прочитать тут.

    Спасибо за прочтение!

    Ключевые слова: VPN, ВПН, Как работает VPN, инкапсуляция, туннель, протокол, шифр, ключ

    Краткий справочник анонима. Виды шифрования и защиты трафика, выбор софта

    Содержание статьи

    Справочник анонима

    Статьи из этого цикла публикуются бесплатно и доступны всем. Мы убеждены, что каждый имеет право на базовые знания о защите своих данных.

    Другие статьи цикла:

    Если для тебя эти материалы тривиальны — отлично! Но ты сделаешь доброе дело, отправив ссылку на них своим друзьям, знакомым и родственникам, менее подкованным в технических вопросах.

    Прокси-серверы

    Прокси-серверы — самый доступный способ анонимизировать трафик: они дешевы и широко распространены. Их принцип работы очень прост: прокси — это почтальон, который доставляет конверты с письмами вместо тебя, аккуратно стирая имя отправителя, и возвращает ответ лично тебе в руки.

    Изначально эта технология была призвана защищать внутренние корпоративные сети от остального интернета (сотрудники получали доступ из внутренней сети в интернет через шлюз), но стала исторически первым способом анонимизировать трафик.

    Схема работы прокси-сервера

    Работая через прокси, компьютер все свои запросы перенаправляет через посредника (прокси-сервер), и уже посредник, представляясь твоим компьютером, запрашивает данные у сайтов. Прокси-серверы узкоспециализированы, поэтому на каждый тип интернет-соединения имеется свой тип прокси. Например, для FTP (File Transfer Protocol) есть FTP-прокси. Подробно мы разберем три типа прокси-серверов.

    HTTP и HTTPS могут работать только с запросами HTTP, а вся разница между ними в том, что HTTPS шифрует передаваемые данные, а HTTP — нет. Поэтому прокси HTTP не рекомендуются к пользованию, они могут лишь менять адрес IP, а данные защитить они неспособны. Также будь осторожен с выбором самого прокси-сервера, так как некоторые не только не защитят твои данные, но и могут раскрыть личность.

    Обращай внимание на тип сервера — transparent proxy или anonymous proxy. Первые не будут скрывать твою личность!

    Использовать такой прокси несложно: найди в интернете или создай сервер, которому сможешь доверять, и, открыв настройки браузера (доступ к сети), введи данные.

    Тип SOCKS применяется в тех приложениях, которые либо не используют HTTP и HTTPS, либо не имеют встроенной поддержки прокси-серверов. В отличие от предыдущего типа, этот априори не будет публиковать твой IP, поэтому об анонимности можно не беспокоиться. Однако SOCKS сам по себе не предоставляет никакого шифрования, это лишь транспортный протокол. Чтобы применять его, есть, например, утилита Shadowsocks.

    SOCKS4 и SOCKS5 — это разные версии серверов. Убедительно рекомендую использовать пятую версию, так как она имеет много возможностей и более безопасна. Например, поддерживает использование логина и пароля, запросы DNS. А лучше даже использовать Shadowsocks — это SOCKS5 на стероидах. Тут есть и мощное шифрование, и скрытие трафика, и возможность обходить различные блокировки. Есть клиенты как для компьютера, так и для смартфона, позволяющие оставаться под защитой постоянно.

    Чтобы начать использовать SOCKS в привычных программах, не нужно ничего особенного. В Firefox и µTorrent эта функция встроена и доступна в настройках. Для Google Chrome есть расширение Proxy Helper. Можно воспользоваться универсальными программами вроде SocksCap или ProxyCap.

    Список множества бесплатных HTTP, HTTPS и SOCKS прокси-серверов можно найти либо с помощью поиска, либо в Википедии.

    VPN (Virtual Private Network — виртуальная частная сеть) также изначально не задумывалась как средство защиты и анонимизации трафика. Ее задачей было объединить компьютеры в единую сеть, даже если они находятся за множество километров друг от друга. Ключевой особенностью стало то, что соединения VPN всегда защищались шифрованием, так как использовались в корпорациях и позволяли подключать несколько филиалов к головному офису.

    VPN имеет два режима: объединение двух локальных сетей между собой через интернет и подключение отдельного компьютера к удаленной локальной сети (удаленный доступ). Последний и послужил основой для некоммерческого, персонального варианта. Защита данных в соединении VPN предоставляется двумя техниками, которые зачастую используются вместе:

    • PPP (Point-to-Point Protocol) используется для защиты на уровне канала данных, то есть на самом низком из возможных. Его задача — обеспечить стабильное соединение между двумя точками в интернете, а также предоставить шифрование и аутентификацию.
    • PPTP (Point-to-Point Tunneling Protocol) является расширением и дополнением PPP. Для работы этого протокола устанавливается два соединения — основное и управляющее.

    Из-за того что придуман этот протокол был в далеком 1999 году его безопасность оставляет желать лучшего. Ни один из методов шифрования, работающих с PPTP, не устойчив. Часть из них подвержена расшифровке даже в автоматическом режиме. Потому я не советую использовать PPTP. Этот протокол имеет серьезные уязвимости как в аутентификации, так и в шифровании и позволяет злоумышленнику очень быстро вскрыть канал и получить доступ к данным.

    Более новый способ создания соединения — еще один протокол, построенный поверх PPP, — L2TP (Layer 2 Tunneling Protocol). Цель этого протокола — не столько защитить соединение, сколько полностью регламентировать процесс сообщения компьютеров в сети. Данный протокол, кроме создания соединений VPN, также используется, например, для подключения банкоматов к офисам банков, что служит некоторой гарантией. Хотя и стоит учесть, что собственного шифрования у L2TP нет.

    L2TP не защищает сами данные, передаваемые в его рамках. Для этого обычно используется протокол IPsec (IP security). Он призван защищать содержимое пакетов IP и благодаря этому может шифровать любые виды соединений. Для VPN из двух возможных режимов используется лишь туннельный, защищающий не только данные передаваемого пакета в сети, но и его заголовки. Благодаря этому со стороны не будет видно, кто отправитель данных.

    IKE и IKEv2 (Internet Key Exchange) — строгие алгоритмы шифрования и защиты данных, передаваемых по информационному каналу. Используется исключительно с IPsec, так как является его защитным слоем — именно благодаря IKE данные в соединении остаются под замком. В общем-то, эти алгоритмы и послужили основой для развития всех современных средств и утилит создания соединений VPN, но настало время поговорить о том, что и из чего выбирать.

    С распространением SSL и TLS протокол PPP был расширен до SSTP (Secure Socket Tunneling Protocol) и в таком виде работает не через открытое соединение, а по SSL. Это гарантирует надежное шифрование и защиту от потери пакетов. Но стоит учитывать, что SSTP был разработан в Microsoft, а Microsoft сотрудничает с правительствами, поэтому доверять SSTP можно только с учетом этого.

    OpenVPN — самое популярное решение для создания защищенного соединения. Этот протокол открыт и предоставляет самую серьезную защиту, поэтому ему можно доверять. Настройка соединения вряд ли займет больше пары минут.

    SoftEther — мультиклиент для работы как с описанными выше протоколами, включая OpenVPN, так и со своим собственным, не менее безопасным, чем OpenVPN.

    В таблице ниже — небольшое резюме по этим решениям.

    Сравнение протоколов VPN

    Tor (The Onion Router) — одно из лучших средств для обеспечения анонимности в Сети. Схема работы подразумевает трехкратную защиту данных и анонимизацию трафика.

    Как описано в самом названии, Tor использует так называемую луковую маршрутизацию: твои данные — это сердцевина лука, а их защита — слои вокруг. Так, каждый из промежуточных серверов Tor снимает свой слой защиты, и только третий, последний из них, достает сердцевину и отправляет запрос в интернет.

    Схема работы компьютера в сети Tor

    Работу всей системы обеспечивают тысячи энтузиастов по всему миру, борющиеся за права человека и приватность. Благодаря этому для каждого отдельного сайта строится собственная цепочка промежуточных серверов Tor, что дает полную защиту: каждый сайт — новая личность.

    Большой плюс Tor — стабильность работы и большая забота об анонимности: благодаря усердиям многих специалистов он работает даже в Китае, стране, которая широко известна своим строжайшим подходом к блокировкам и наказаниями за их обход.

    Для упрощения жизни пользователям разработчики создали Tor Browser, основанный на Firefox, и улучшили его дополнениями, запрещающими сайтам следить за тобой. Например, HTTPS Everywhere заставляет веб-сайты использовать шифрование, а NoScript отключает выполнение скриптов на странице, фактически запрещая собирать любые данные пользователя.

    Скачать Tor, как и прилагающийся к нему браузер, можно на официальном сайте проекта Tor Project.

    К сожалению, все эти средства могут оказаться бесполезными, если твой провайдер начал блокировки с применением DPI (Deep Packet Inspection) — системы глубокого анализа сетевого трафика. Цель DPI — отбрасывать все, что не похоже на работу обычного человека за обычным компьютером, то есть блокировать любую подозрительную активность. А все способы анонимизации трафика априори подозрительны, поэтому программы зачастую дают сбои или в принципе отказываются работать.

    Но и с этим можно бороться. Почти для каждой из описанных возможностей защищать канал связи есть надстройки, помогающие обходить зоркое око анализаторов DPI. Например, Shadowsocks имеет встроенную защиту от DPI и притворяется, что выполняет обычное подключение к удаленному серверу.

    OpenVPN сам по себе легко различим, но stunnel позволяет также обойти анализ пакетов. Stunnel маскирует канал VPN под соединение SSL, которое с виду безобидно: это может быть и простой браузер, который обращается к сайту по HTTPS. Благодаря этому заблокировать такой туннель непросто. Если перестараться, можно заблокировать вообще все.

    Обходить DPI также помогает tls-crypt, режим, введенный в версии OpenVPN 2.4, который шифрует трафик VPN.

    Создатели Tor Browser специально работают над обходом средств анализа DPI. При подключении к сети Tor можно воспользоваться транспортом-прослойкой, которая обеспечивает беспрепятственное подключение к первому серверу защищенной сети. Этот транспорт можно либо выбрать из списка (это общедоступные серверы), либо получить персональный на официальном сайте Tor Bridges.

    Лучше всего себя показывает obfs4 — это обфускатор, перемешивающий передаваемые данные так, что в сети их нельзя определить. DPI обычно пропускает такие пакеты, поскольку не может предположить, что находится внутри.

    Еще есть несколько программ, которые пытаются тем или иным способом обмануть анализ пакетов, например разбивая их на мелкие части или меняя заголовки. В их числе GoodbyeDPI или Green Tunnel с простым графическим интерфейсом — они не скрывают ни IP, ни данные, но обходят блокировку.

    Кардинальным решением можно считать проект Streisand, его русское описание есть на GitHub. Это палочка-выручалочка в мире безопасности данных. Эта утилита всего за несколько минут развертывает и настраивает на удаленном сервере сразу несколько сервисов для защиты данных, а также дает подробную инструкцию по ним.

    Для сохранения нашей с тобой интернет-безопасности и анонимности придумано множество технологий самого разного уровня. Часть из них проверена временем, другая помогает против новейших методов цензуры. Благодаря этому мы еще можем оставаться невидимыми, нужно лишь не забывать пользоваться этой возможностью.