Что такое vpn туннель

VPN туннели

По статистике, каждый четвертый использовал или использует для интернет-соединения VPN туннели. Это помогает повысить общую безопасность подключения, скрыть данные от третьих лиц, сменить IP, получить доступ к контенту. Давайте разберемся, как это работает, какие бывают методы шифрования в VPN туннелях, и какой тип протокола лучше выбрать.

Как работает VPN туннель?

Когда вы подключаетесь к сети, устанавливается соединение между вашим компьютером (планшетом, смартфоном) и сервером вашего провайдера, а уже далее вы выходите в Интернет. То есть, у провайдера есть все данные о вашем подключении: на какие сайты вы заходили, что скачивали, что выкладывали, а также именно через него вы получаете IP-адрес, по которому и определяется геолокация и показывается тот или иной контент. В некоторых странах установлены ограничения, например, Spotify и Netflix доступны только жителям США, а через провайдеров Китая не получится подключиться к Facebook и Youtube.

Когда вы включаете VPN, создается как бы защищенный туннель внутри вашего канала с провайдером, и подключение идет уже к VPN-серверу, который и выдает IP-адрес. Обычно вы сами выбираете, к какому серверу и в какой стране подключиться, то есть, по желанию можете получить IP-адрес Америки, или из Китая подключиться так, как будто вы находитесь в Германии или Англии, где есть полный доступ к соцсетям.

При этом VPN туннель шифрует данные, то есть никто не может видеть, что именно вы делаете в сети. Максимум, что возможно определить, – что вы подключались к VPN, ничего больше. Есть несколько вариантов включения VPN туннеля: например, только для электронной почты, или для одного браузера, или для всего соединения в целом.

Методы шифрования в туннелях VPN

Большинство провайдеров предлагает шифрование с длиной ключа как минимум 128 бит AES, а обычно – 256 бит.

На самом деле, рядовому пользователю вполне достаточно 128-битного шифрования. Для того, чтобы взломать такой шифр перебором, потребуется около миллиона лет.

Шифрование в 256 бит использует американское правительство и крупные финансовые корпорации. Зачем же некоторые провайдеры предлагают VPN туннели с шифром на 2048 бит? Это просто маркетинговый ход, и если сравнение нескольких предложений строится именно на надежности шифра, на это не стоит обращать внимание.

Типы протоколов в VPN туннелях

Невозможно однозначно указать лучший тип протокола, так как каждый из них лучше подходит для решения конкретной задачи и имеет свои особенности простоты настройки, работы на определенных платформах, и т.д. PPTP – наиболее простой в плане шифрования и наиболее массовый протокол. Если вы не скачивали отдельный клиент, а настроили VPN программными средствами ОС, скорее всего, у вас именно PPTP. OpenVPN – открытый протокол, который используется в подавляющем большинстве VPN туннелей, которые требуют установки клиента на устройство. L2TP + IPSec – связка транспортного и шифрующего протоколов. Более надежен, чем PPTP. SSTP – по безопасности приравнивается к OpenVPN, но при этом без установки приложения. Работает только на Windows 7, 8 и Vista.

Стоит ли использовать бесплатные VPN туннели?

В сети есть предложения и платных, и бесплатных программ. Но учитывайте, что в бесплатных обычно есть серьезные ограничения скорости и объема трафика, возможны проблемы с переподключением и т.д. Так что рекомендуется использовать все же платные версии, которые гарантируют надежность, анонимность, и неограниченный трафик. VPN туннель обеспечивает вашу безопасность в сети, так что если использовать его – не стоит экономить.

Создание туннеля IPSec VPN

В сценарии рассматривается настройка IPSec-инстанса для передачи трафика от виртуальных машин Яндекс.Облака в туннель IPSec VPN с использованием демона strongSwan.

В примере туннель настраивается между двумя VPN-шлюзами. Для тестирования работы VPN-туннеля вам потребуется настроить шлюзы на обеих сторонах туннеля. Для этого можно воспользоваться другой сетью в Яндекс.Облаке или вашей локальной сетью.

Чтобы настроить VPN-туннель:

Если IPSec-инстанс больше не нужен, удалите его.

Подготовьте облако к работе

Перед тем, как разворачивать сервер, нужно зарегистрироваться в Облаке и создать платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Яндекс.Облако или зарегистрируйтесь, если вы еще не зарегистрированы.
2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE . Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша виртуальная машина, на странице облака.

Необходимые платные ресурсы

В стоимость поддержки инфраструктуры IPSec VPN входят:

• плата за постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
• плата за использование динамического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud).

Создайте сети и подсети

Для связи облачных ресурсов с интернетом необходимо иметь созданные сети и подсети.

Создайте IPSec-инстанс

Создайте в Облаке виртуальную машину, которая будет служить шлюзом для IPSec-туннеля.

Откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.

Укажите имя виртуальной машины, например ipsec-instance .

Выберите зону доступности, где находится подсеть, к которой будет подключен IPSec-инстанс, и где уже находится тестовая ВМ.

В блоке Публичные образы нажмите кнопку Выбрать и выберите образ IPSec-инстанс.

В блоке Сетевые настройки выберите требуемую сеть, подсеть и назначьте ВМ публичный IP-адрес из списка или автоматически.

Используйте только статические публичные IP-адреса из списка, или сделайте IP-адрес созданной машины статическим. Динамический IP-адрес может измениться после перезагрузки ВМ и туннель перестанет работать.

В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.

Нажмите кнопку Создать ВМ.

Настройте IPSec

Настройте шлюз с публичным IP-адресом и подсетью, который будет устанавливать IPSec-соединение с удаленным шлюзом.

В примере ниже публичный IP-адрес шлюза будет 130.193.32.25 . За шлюзом будет находиться подсеть 10.128.0.0/24 . Этот шлюз будет устанавливать IPSec-соединение с удаленным шлюзом с IP-адресом 1.1.1.1 , за которым находится подсеть 192.168.0.0/24 .

Подключитесь к виртуальной машине по SSH:

Откройте конфигурацию IPSec:

Приведите раздел config setup к следующему виду:

Задайте следующие параметры тестового соединения:

• leftid — публичный IP-адрес IPSec-инстанса.
• leftsubnet — CIDR подсети, к которой подключен IPSec-инстанс.
• right — укажите публичный IP-адрес шлюза на другом конце VPN-туннеля.
• rightsubnet — укажите CIDR подсети, к которой подключен VPN-шлюз на другом конце VPN-туннеля.
• В параметрах ike и esp укажите алгоритмы шифрования, которые поддерживаются на удаленном шлюзе. Списки поддерживаемых алгоритмов шифрования см. на сайте strongSwan: IKEv1 и IKEv2.
• Остальные настройки укажите, консультируясь с документацией strongSwan и учитывая настройки удаленного шлюза.

Сохраните изменения и закройте файл.

Должна получиться конфигурация вида:

Откройте файл /etc/ipsec.secrets и укажите в нем пароль для установки соединения:

3. Настройте статическую маршрутизацию

Настройте маршрутизацию между IPSec-инстансом и заранее созданной виртуальной машиной без публичного IP-адреса.

Создайте таблицу маршрутизации и добавьте в нее статические маршруты:

Откройте раздел Virtual Private Cloud в каталоге, где требуется создать статический маршрут.

Выберите сеть, в которой требуется создать таблицу маршрутизации.

Нажмите кнопку Создать таблицу маршрутизации.

Задайте имя таблицы маршрутизации.

• Длина — от 3 до 63 символов.
• Может содержать строчные буквы латинского алфавита, цифры и дефисы.
• Первый символ — буква. Последний символ — не дефис.

Нажмите кнопку Добавить маршрут.

В открывшемся окне введите префикс подсети назначения на удаленной стороне, в примере это 192.168.0.0/24 .

В поле Next hop укажите внутренний IP-адрес IPSec-шлюза. Нажмите кнопку Добавить.

Нажмите кнопку Создать таблицу маршрутизации.

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети. Для этого:

1. В строке нужной подсети нажмите кнопку .
2. В открывшемся меню выберите пункт Привязать таблицу маршрутизации.
3. В открывшемся окне выберите созданную таблицу в списке.
4. Нажмите кнопку Привязать.

Созданный маршрут можно применять и к другим подсетям в той же сети.

4. Настройте IPSec на другом шлюзе

Для работы VPN-туннеля требуется настроить еще один шлюз IPSec VPN. Вы можете создать в своем каталоге еще одну облачную сеть с подсетью и создать в ней IPSec-инстанс из образа, либо используйте в качестве шлюза машину в вашей локальной сети.

ВПН туннель

Перед тем, как объяснить, что такое VPN-туннель, следует вспомнить, что такое виртуальная сеть. VPN или виртуальная частная сеть – это технология, позволяющая создать одно или несколько соединений поверх другой сети. При подключении к VPN, создается «виртуальная» сеть между устройством пользователя и сервером ВПН, с зашифрованным соединением. Запрос в зашифрованном виде направляется от пользователя, через защищенный канал связи, именуемый ВПН–туннелем, на сервер ВПН. Оттуда запрос перенаправляется по назначению – в интернет или к другому серверу.

Безопасность

Если используется обыкновенное подключение к сети, трафик передается от пользователя напрямую интернет провайдеру. Информация передается в открытом виде, и третьи лица могут получить к ней доступ. Туннелирование позволяет создать защищенный канал, по которому информация передается в зашифрованном виде на сервер, а ключи шифрования есть только у пользователя и сервера. Получить доступ к информации пользователя можно, лишь имея физический доступ к серверу в момент подключения. Большинство крупных провайдеров VPN услуг никогда не сохраняют логи, а физический доступ к их серверам практически исключен. Хотя трафик расшифровывается на сервере, определить конкретного пользователя, который делал этот запрос невозможно – к ВПН подключаются одновременно сотни хостов.

Методы шифрования в туннелях

ВПН туннель – это своеобразный защищенный мост между устройством пользователя и сервером, где данные шифруются при помощи надежных 256-битных алгоритмов. Некоторые сервисы используют 128 битные AES. Даже такие ключи взломать невозможно – используя метод грубого перебора (брутфорса) это заняло бы миллионы лет.

Типы протоколов в VPN туннелях

Самый распространенный среди ВПН сервисов протокол передачи данных в ВПН сетях — OpenVPN. Он использует стандартные TCP и UDP запросы, что позволяет скрыть использование VPN подключения. Пакеты данных шифруются 256-битным шифрованием, а для его работы нужно только соответствующее клиентское приложение. PPTP – самый простой программный протокол. Используется для установления связи типа точка-точка. Для авторизации использует пароль. Шифрование отсутствует, его область применения — настройка соединений программными средствами операционных систем L2TP, IPSec. L2tp это более совершенная версия PPTP, но шифрование у протокола по-прежнему отсутствует. L2TP используется в связке с IPSec – протоколом, шифрующим пакеты данных и обеспечивающим безопасность. Главный недостаток IPsec – сложная настройка клиентских приложений. PPTP или IPSec гораздо менее стабильные протоколы, чем OpenVPN. Хотя для настройки виртуальной сети через PPTP не требуется никаких дополнительных программ, PPTP требует поддержки GRE47, из-за чего может нестабильно работать под сетевым экраном (NAT) и требовать долгих настроек.

Как установить и настроить VPN туннель

Туннелирование VPN может использоваться для объединения двух локальных сетей, к примеру внутренних сетей двух филиалов одной организации для безопасного обмена информацией. Сделать VPN туннель можно как при помощи стороннего ПО, вроде программы OpenVPN, так и при помощи встроенных средств ОС.

Создание ВПН туннеля

Самой простой задачей, для которой может потребоваться VPN туннели – получение доступа к домашнему ПК из любой точки мира. Нередки ситуации, когда человек уезжает в командировку в страну, в которой доступ к соцсетям или любимым ресурсам заблокирован. Чтобы не платить деньги ВПН-провайдерам, достаточно настроить vpn туннель между мобильным устройством и домашним ПК. Собственный VPN туннель будет совершенно бесплатным. Доступ к сайтам восстановится, а скорость работы будет всегда большой, ведь к домашнему ПК подключается только один пользователь.

Порядок настройки

В первую очередь, необходимо обеспечить статический ip-адрес для ПК, к которому планируется подключаться.

1. OpenVPN GUI можно бесплатно скачать по ссылке — https://openvpn.net/community-downloads/
2. Необходимо выполнить генерацию ключей. Делается это с помощью easy-rsa, скачать программу можно тут: https://github.com/OpenVPN/easy-rsa
3. Генерация ключей происходит при помощи командной строки. Для корректной работы должны быть созданы следующие ключи:

• Ключ, сертификат ca.crt, ca.key
• Ключ, сертификат сервера server.crt server.key.
• Ключ, сертификат клиента cl1.crt cl1.key
• Параметры DiffieHellman dh1024.pem.
• Ключ TLS для аутентификации пакетов ta.key

1. После этого создаются файлы конфигурации клиента (.ovpn), где указываются ip адрес с местоположением ключей.
2. Последним шагом настраиваются брандмауэр и маршрутизация.

При помощи мобильного приложения OpenVPN Connect и файла конфигурации, можно подключиться по защищенному ВПН туннелю к домашнему ПК из любой точки мира.

Что такое VPN-туннель?

VPN-туннель обеспечит вам дополнительную защиту и конфиденциальность

VPN-туннель (также известный как VPN — от англ. virtual private network, виртуальная частная сеть) — это зашифрованное подключение между вашим компьютером или мобильным устройством и Интернетом. Так как это подключение зашифровано, то проходящий по нему трафик нельзя перехватить, отследить или изменить.

Весь ваш трафик проходит через VPN-туннель, обеспечивающий ему полную защиту от посторонних глаз. Так вы сможете оградить свои онлайн-действия, переписку и любой другой трафик от не в меру любопытных интернет-провайдера, правительства или хакеров, отслеживающих действия подключившихся к публичным точкам доступа Wi-Fi пользователей.

VPN-туннель скроет ваше местоположение

VPN-туннель не только защищает ваши данные от перехвата, но и скрывает ваш IP-адрес, с помощью которого посторонние смогут идентифицировать вас во время работы в Интернете. Но когда вы подключитесь к VPN, сайты будут видеть уже не ваши исходные IP-адрес и местоположение, а, собственно, выбранного вами VPN-сервера.

Таким образом, VPN-туннели помогают обойти цензурные блокировки как локальных сетей, так и самих сервисов, к которым вы хотели бы получить доступ.

Протоколы VPN-туннелирования

ExpressVPN поддерживает различные протоколы для самых разных задач. Приложение автоматически выберет наиболее подходящую для вас конфигурацию. Продвинутые пользователи, в свою очередь, смогут изменить настройки VPN-туннеля вручную.

Типы протоколов VPN-туннелирования

Конфигурация VPN-туннеля

Чтобы начать работу с ExpressVPN, зарегистрируйтесь ниже и загрузите нужное вам приложение для создания VPN-туннеля (для Windows, Mac, Android, iOS, Linux, роутеров и многих других платформ). Затем выберите сервер в одной из десятков стран, подключитесь к нему и наслаждайтесь безопасной и анонимной работой в Интернете.

Удобный и красивый интерфейс приложения позволяет легко создавать и отключать VPN-туннель, а также проводить тесты для определения загруженности того иного сервера.

Настройте VPN-туннель на:

Проблемы с настройкой VPN-туннеля? Служба поддержки ExpressVPN всегда готова помочь вам по любым вопросам, с какими вы только можете столкнуться.

Настройте VPN-туннель без каких-либо рисков

Воспользуйтесь всеми преимуществами 30-дневной гарантии возврата денег от ExpressVPN:

Если по какой-либо причине вы останетесь недовольны качеством работы ExpressVPN, вы получите полный возврат средств в течение 30 дней с момента оформления подписки.