Что лучше выбрать: wireguard или openvpn? любимый vpn линуса торвальдса

Плюсы и минусы использования VPN

Преимущества VPN

Скрытое местонахождение

С VPN создаётся впечатление, что вы подключаетесь к интернету из другого местонахождения. Это позволяет обойти ограничения вашей страны на доступ к определённым сайтам или географическую блокировку самого сайта.

Лучшая безопасность

Поскольку ваша коммуникация проходит через шифрованный туннель, никто, кроме конечной точки (т. е. VPN-Сервиса), не может ничего в ней понять. Такое шифрованное соединение не даёт интернет-провайдерам, хакерам и прочим шпионам собирать ваши данные. Если посещаемый вами сайт использует HTTPS, то VPN-сервер не видит содержимое вашего запроса. Он лишь знает, к какому сайту вы получаете доступ.

Лучшая конфиденциальность

Помимо того, что ваш провайдер не может узнать, чем вы занимаетесь онлайн, вы также не позволяете посещаемым сайтам определять ваше местонахождение.

Стоимость и разнообразие

Приложив немного усилий, можно создать собственный VPN. Но есть также множество сервисов, предоставляющих доступ к серверам в сотнях стран. У некоторых есть свои коммерческие приложения для мобильных и десктопных операционных систем, тогда как к другим можно просто подключиться с помощью открытого ПО.

Недостатки VPN

Меньшая скорость

Вполне логично, что VPN-подключение часто медленнее, чем обычное. В конце концов, между вашим устройством и посещаемыми сайтами добавляется как минимум ещё один шаг. Например, если вы находитесь в Англии и используете австралийский сервер, то нужно учитывать не только время задержки, но также скорость загрузки/скачивания сервера.

Сервисы знают, кто вы

Ваш IP-адрес маскируется для внешнего мира, но не для VPN-сервисов. Они могут вести логи вашей активности и в некоторых случаях передавать их госорганам. Также они могут продавать их третьим сторонам

Поэтому важно изучить и сравнить разные VPN-сервисы, перед тем как какой-то выбрать

Потенциальная незаконность

Некоторые страны запрещают использовать VPN, применяя такие методы, как deep packet inspection, для идентификации пользователей. В этих юрисдикциях попытки замаскировать свой сетевой трафик могут привести к проблемам с законом и привлечению к ответственности.

На постсоветском пространстве, к примеру, негласный запрет на использование VPN-Сервисов действует в Туркменистане. Вас не оштрафуют за скачивание самого клиента, но если его обнаружат в вашем устройстве при задержании или в ходе расследовании, то дадут внушительный штраф.

Недостаточность

VPN ни в коем случае не решают в полной мере проблему анонимности в сети. Они могут создавать ложное чувство безопасности, тогда как в действительности существует много других способов слежки за интернет-пользователями.

Как VPN работает?

Чтобы понять, что делает VPN, важно иметь представление о том, как происходит обычная коммуникация между вами и сайтом. Допустим, вы хотите получить доступ к какому-то сайту (e) с вашего ноутбука или смартфона (a)

Вы вводите в адресную строку понятное человеку название сайта, но ваша машина переводит его в число. Это число – IP-адрес сайта, который чем-то напоминает почтовый адрес. Когда вы отправляете письмо, нужно указать адрес, куда его следует доставить. В сущности, то же самое вы делаете и при передаче данных онлайн

Допустим, вы хотите получить доступ к какому-то сайту (e) с вашего ноутбука или смартфона (a). Вы вводите в адресную строку понятное человеку название сайта, но ваша машина переводит его в число. Это число – IP-адрес сайта, который чем-то напоминает почтовый адрес. Когда вы отправляете письмо, нужно указать адрес, куда его следует доставить. В сущности, то же самое вы делаете и при передаче данных онлайн.

Ваше устройство не подключено к интернету (d) напрямую. Ему нужно связаться с чем-то, что может передать сообщение дальше. Вероятно, у вас дома есть роутер (b), к которому вы подключаете несколько устройств. Роутер обменивается данными с вашим провайдером (c), который подключает вас к интернету. Далее ваш запрос может быть перенаправлен сайту, который вы хотите посетить (e).

Конечно, сайту нужно знать, куда отправлять запрашиваемую информацию, поэтому ему нужен ваш IP-адрес. Следовательно, когда вы взаимодействуете с разными сервисами таким способом, они знают, где вы находитесь.

У многих такая открытость информации вызывает обеспокоенность. Пересылаемые данные можно зашифровать, но IP-адрес многое может рассказать о ваших намерениях. Например, ваш провайдер может не знать, о чём именно вы читаете на посещаемом сайте, но он видит, что вы пытаетесь получить доступ к данному домену.

Если вы хотите скрыть информацию о посещаемых сайтах – и о вашем местонахождении, – вам стоит использовать VPN.

Коммерческие VPN, используемые для веб-сёрфинга, обычно работают следующим образом:

1. Вы покупаете подписку на VPN-Сервис.
2. Получаете данные для аутентификации.
3. Устанавливаете VPN-клиент, чтобы обмениваться данными с VPN-сервером.
4. Туннельный протокол устанавливает безопасное соединение между вашим устройством и сервером. Примеры возможных протоколов: OpenVPN, L2TP/IPSec, PPTP.
5. Когда вы хотите получить доступ к какой-то странице, данные проходят через туннель к серверу.
6. Сервер запрашивает у сайта информацию и передаёт вам ответ через VPN-туннель.

Туннельный протокол создаёт своего рода частный канал между вашим устройством и VPN-сервером. Информация в нём шифруется, так что посторонние не могут её прочитать или получить к ней доступ. Поскольку ваш веб-трафик теперь перенаправляется через другой сервер, сайт не сможет увидеть ваш реальный IP и местонахождение, но лишь те, которые предоставляет VPN. Если вы живёте в России и подключаетесь через индийский сервер, сайты будут считать, что вы находитесь в Индии.

В этом смысле сервер можно сравнить с выходным узлом в сети Tor. Источник запроса маскируется, после чего перенаправляется в интернет, так что кажется, что он исходит из другого местонахождения.

Дополнительные «Приложения» — что это?

В 2017 году мы запустили платформу для организации новых возможностей в ваших сетях. Идея состоит в том, чтобы предоставить пользователям распределенных домашних сетей услуги, которые или традиционно доступны лишь внутри локальной сети или просто удобны. К таким услугам относятся:

— сервер имен сети Microsoft — WINS,

— сервер DNS,

— сервер IP телефонии и другие,

— пространство хранения Space

Пока мы в процессе создания этих услуг и надеемся, что они найдут свое применение и в вашей распределенной сети.

(UPD: c 2019 года эти услуги временно не оказываются из-за технических сложностей)

На что обращать внимание при выборе VPN

То, как вы планируете использовать VPN, определяет, какие функции туннелирования вам подойдут лучше всего. VPN-туннелирование можно использовать для нескольких целей:

• Разблокирование потоковых сайтов из-за границы : VPN-туннель должен иметь высокую скорость и стабильное соединение. Никаких утечек, которые могли бы выдать ваш реальный IP-адрес.
• Доступ в Интернет из Китая : VPN-туннель должен быть незаметным и безопасным. Обфускация часто используется для сокрытия VPN-туннелей, входящих и исходящих из Китая, в обход Великого файрвола. Это также относится к другим странам, где VPN заблокированы, например, в ОАЭ и Иране.
• Обеспечение безопасности общедоступного Wi-Fi : туннель должен быть защищен от утечек. Аварийный выключатель может помочь защитить этот туннель.
• Торрент : безопасность и скорость здесь имеют первостепенное значение. VPN должен иметь аварийный выключатель, отсутствие утечек и желательно раздельное туннелирование.
• Приватный просмотр веб-страниц : надежное шифрование в туннеле VPN в сочетании с политикой отсутствия журналов и режимом инкогнито или приватного просмотра вашего браузера позволяет просматривать веб-страницы конфиденциально и анонимно.

Какие есть ограничения при объединении моих сетей?

Небольшие ограничения есть:

Ваша домашняя и дачная сети должны использовать РАЗНЫЕ адресные пространства. Например, 192.168.1.0/24 и 192.168.2.0/24. Только если адресные пространства НЕ совпадают служба VPNKI.RU сможет осуществлять маршрутизацию. При совпадении адресных пространств осуществите перенастройку хотя бы одной части сети

Вашим устройствам на концах туннелей будут автоматически назначены адреса из адресного пространства 172.16.0.0/16. При совпадении этих адресов с адресами в домашней сети следует произвести перенастройку домашней сети или подождать следующей версии системы vpnki, где у пользователей появится выбор в использовании для туннелей адресов из сетей 192.168.0.0, 172.16.0.0, 10.0.0.0

Установите сервер WireGuard и создайте все необходимые конфигурации

Чтобы создать все необходимые конфигурации автоматически, вы можете использовать скрипт: wg-ubuntu-server-up.sh, который:

• установит весь необходимый софт
• настроит правила iptables и включит IPv4 forwarding
• установит unbound в качестве dns resolver
• создаст серверную конфигурацию и необходимое количество клиентских конфигураций
• запустит WireGuard

Установите соединение с дроплетом через SSH и выполните следующие команды, чтобы скачать и запустить скрипт (используйте IP адрес вашего дроплета, вместо xxx.xxx.x.xx):

После выполнения скрипта, сервер WireGuard будет установлен, запущен и готов к работе с клиентами.

Признак корректного запуска WireGuard — после отработки скрипта, вы должны увидеть в консоли что-то похожее на:

Скрипт так же создаст 10 клиентских конфигураций , которые вы можете использовать по одной конфигурации для одного устройства (в один момент времени).

Конфигурации лежат в дроплете, в папке: $HOME/wireguard/

Замечание. Вы можете сконфигурировать WireGuard вручную, без использования скрипта, но тогда это не подходит под определение «быстро» и «без глубокого изучения документации». В следующей статье, если к этому будет интерес, я расскажу о происходящей внутри скриптов магии.

Замечание2. Вы сможете резонно заметить, что еще проще — использовать уже готовый образ в том же самом DO и не запускать никакие скрипты

Соглашусь, но обращу ваше внимание на то, что в предложенных скриптах всего 100 строк кода и легко проверить, что никакого криминала в них нет. В готовом образе это сделать сложнее

Замечание3. Команда для установки соединения с дроплетом (ssh) работает в *nix подобных операционных системах. Если у вас Windows, используйте winscp, PuTTY или другое подобное приложение.

Что такое VPN?

VPN – Virtual Private Network – виртуальная частная сеть.

Это совокупность технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

Расшифровка названия: сеть – объединение нескольких устройств каким-либо видом связи, позволяющее обмениваться информацией

Виртуальная – неосязаемая, не физическая, то есть не важно, по каким именно каналам связи она проложена. Физическая и логическая топологии могут как совпадать, так и отличаться

Частная – в эту сеть не может войти посторонний пользователь, там находятся только те, кому разрешили доступ. В частной сети надо маркировать участников и их трафик, чтобы отличить его от остальной, чужой информации. Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.

Приведем еще одно определение: VPN – это сервис, позволяющий защитить приватные данные при пользовании Интернетом.

Рекомендации по использованию VPN

Независимо от того, используете ли вы уже VPN или только решили попробовать, вам нужно знать кое-что о том, как работает выбранный вами Сервис.

Возможно, вы решили использовать VPN, потому что не доверяете своему интернет-провайдеру. Это веская причина, но следует понимать, что вы не устраняете потребность в доверии полностью. Вы лишь вместо интернет-провайдера доверяетесь VPN-Сервису.

Поэтому важно выбрать надёжный сервис. Если вы не знакомы с VPN-индустрией в целом, возможно, вы не знаете, с чего начать

Опишем кое-что из того, на что стоить обращать внимание

Прежде всего, не забудьте ещё раз пройтись по нашей мегаподборке лучших VPN-Сервисов, а затем постарайтесь выбрать тот, который наиболее вам подходит. Для этого ниже мы выделим несколько основных характеристик, которые помогут вам определиться с выбором.

Хорошая репутация

Когда речь идёт о конфиденциальности в сети, не стоит искать самый дешёвый VPN. Бесплатные VPN-сервисы в лучшем случае как-то зарабатывают на ваших данных. А в худшем вы можете установить опасное ПО, от которого будет больше вреда, чем пользы.

Можно найти зарекомендовавшие себя сервисы не дороже, чем вы тратите в месяц на кофе. Почитайте беспристрастные отзывы о разных предложениях, сравните стоимость, скорость и местонахождение серверов. Если вы настроены серьёзно, то можно также почитать пользовательское соглашение. Есть разные непредвзятые сайты с наглядным сравнением, позволяющим определиться. Как и в случае криптовалюты – самостоятельно всё изучите!

Желаемые параметры

У каждого своя модель угроз. Если вы больше заботитесь о конфиденциальности, стоит рассмотреть VPN-сервисы, предлагающие следующие параметры:

Юрисдикции без слежки

«Пять глаз» (Five Eyes) – это альянс стран, обменивающихся друг с другом разведданными. Изначально это было соглашение между Великобританией и США, но затем к нему присоединились Канада, Австралия и Новая Зеландия. Эти страны обмениваются информацией о своих гражданах, что вызывает много противоречий.

Есть также расширенные версии этого альянса, хоть и считается, что они не так активно обмениваются информацией: «Девять глаз» (+ Франция, Нидерланды, Дания и Норвегия) и «Четырнадцать глаз» (+ Швеция, Испания, Германия, Италия и Бельгия).

Активисты, борющиеся за конфиденциальность, предостерегают от использования VPN, базирующихся в этих юрисдикциях. Если вы находитесь в одной из стран «Пяти глаз» и заходите в интернет через VPN-серверы, находящиеся в какой-то другой стране соглашения, то ваше правительство сможет запросить данные о вашей активности. Опять же, всё зависит от вашего профиля риска. Некоторые считают, что избегать этих юрисдикций ни к чему.

Аварийное отключение

Многие VPN имеют опцию, известную как kill switch, – меру безопасности, прекращающую ваше сетевое подключение, если VPN-протокол не работает должным образом. Это удобный механизм, который может помещать случайной утечке вашего IP-адреса, если VPN даст сбой.

Политика отсутствия логов

VPN-Сервисы, обещающие пользователям защищать их конфиденциальность, обычно придерживаются политики отказа от логов. Это просто означает, что они не ведут журнал вашей активности. Но стоит отметить, что это никак нельзя проверить. Компания может лгать. Не так давно были примеры, когда власти заставляли сервисы, якобы не ведущие логи, предоставить данные о пользователях.

Есть мнение, что любой сервис, заявляющий о полном отказе от логов, неискренен, так как некоторые данные всё же должны собираться. Следовательно, стоит искать компании, которые чётко расписывают, какие именно данные они хранят.

Поддержка криптовалют

Если VPN нужен вам для конфиденциальности, то, вероятно, вам не хочется делиться своей личной информацией

Данные вашей кредитной или дебетовой карты, пожалуй, относятся к самой важной личной информации, так что само собой разумеется, что хорошие сервисы должны предлагать альтернативные способы оплаты. Многие позволяют расплатиться той или иной криптовалютой, вместо того чтобы раскрывать личные данные

Поддержка разных устройств

Некоторые сервисы позволяют защитить не только ПК (с Windows, Mac или Linux), но также смартфоны и устройства интернета вещей. Если хотите охватить всю свою домашнюю сеть, возможно, стоит выбрать подписку, которую можно использовать на разных устройствах.

Шаг 3. Подключение VPN туннелей

Результат: Оба туннеля подключены

Шаг 3.1. Импортируйте загруженные профили в программу OpenVPN на обоих компьютерах. Для этого запустите программу OpenVPN GUI (хотя она уже должна быть запущена) и найдите ее ярлычок в системном трее Windows, рядом с часами.

Нажмите на ярлычок правой кнопкой мыши и выберите пункт «Импорт профиля» (Import file). Затем выберите сохранный профиль на своем компьютере.

Шаг 3.2. Теперь давайте подключим туннели на обоих компьтерах. При установлении соединения вас попросят ввести логин и пароль, который вы назначили туннелю в личном кабинете сайта VPNKI. Естественно, на каждом компьютере мы указываем свое собственное имя и пароль. В данном случае скриншот показывает подключение Компьютера 1. На втором компьютере имя будет user10279.

После успешного подключения вы увидите в системном трее Windows зеленый значок OpenVPN, который означает, что подключение успешно.

Если так, то имеет смысл посмотреть как оба соединения выглядят на стороне сервера VPNKI. Для этого перейдите в пункт меню «Статус подключений» в личном кабинете сайта. На сайте вы увидите приблизительно такую картину.

Что еще можно улучшить и оптимизировать

• Не рекомендую заворачивать весь интернет-трафик, так как это вызовет повышенные накладные расходы (утилизация процессоров, каналов и др.). Лучше пользоваться маркировкой для гарантированной доставки действительно необходимого трафика, а все остальное отправлять на LTE-провайдеров. К примеру, я так делал с загрузкой видеофайлов на облачный диск.

• QOS – хорошая штука, особенно на каналах LTE, и особенно с VoIP. Не забываем про это, чтобы остальной трафик не забил и так не слишком широкий канал.

  

  

  

  

  

  

  

  

  

  

• Можно усилить безопасность, если ограничить подключение извне к портам для L2TP и IPsec маршрутизатора R1. Указываем белый IP LTE-провайдера с помощью firewall и адресных листов. Хоть адрес и из NAT и на нем висит не один клиент, все равно будет лучше. Так как IP динамический, то нужно включить на MikroTik функцию ip – cloud, чтобы DNS-сервера всегда знали актуальный IP, технология DDNS.

Конечно же, у схемы есть коммерческие аналоги с возможностями работы из коробки, например: peplink MAX HD4 LTE и тому подобное оборудование, – агрегирующие соединения. Тут бизнес сам оценивает их стоимость для себя.

Что такое протоколы туннелирования VPN

Протокол туннелирования VPN устанавливает правила взаимодействия вашего устройства и сервера VPN. Не все протоколы одинаковы, и у каждого из них есть свои преимущества и недостатки. Часто вы можете выбирать между протоколами в настройках приложения VPN.

Вот некоторые из наиболее распространенных протоколов VPN-туннелирования, используемых сегодня:

• OpenVPN: протокол с открытым исходным кодом, который обеспечивает высокий уровень безопасности и среднюю скорость и обычно требует использования стороннего приложения. Это самый популярный протокол среди потребительских приложений VPN. Использует шифрование SSL.
• Wireguard: новый протокол с открытым исходным кодом с высокой скоростью и достойной безопасностью, хотя IP-адреса пользователей по умолчанию хранятся на сервере. Использует шифрование ChaCha20 и обычно требует стороннего приложения. Вы можете узнать больше в нашей статье Лучшие VPN с Wireguard.
• IKEv2: протокол средней скорости, который отлично подходит для быстрого восстановления соединения после потери сигнала, что делает его идеальным для мобильных пользователей. Использует шифрование IPSec. Поддержка встроена во многие новые устройства.
• L2TP: протокол средней скорости, встроенный во многие популярные операционные системы, такие как Windows, MacOS, iOS и Android. Использует шифрование IPSec.
• SSTP: аналогичен L2TP, но используется только в системах Microsoft, таких как Windows.
• PPTP: быстрый, но небезопасный протокол, который не следует использовать из-за известных уязвимостей безопасности.

Многие приложения VPN имеют на выбор несколько протоколов. Некоторые даже имеют свои собственные проприетарные протоколы, часто основанные на вышеупомянутых. NordLynx от NordVPN, Lightway от ExpressVPN, Chameleon от VyprVPN и Hydra Catapult от Hotspot Shield – все это примеры проприетарных протоколов VPN.

Схема решения вкратце

Итак, при первом столкновении с проблемой отвалов я начал с агрегации частот и убедился, что это не поможет. Смена категории LTE-модема с Cat4 на Cat6 или – еще круче – Cat12 давала преимущество в скорости, но в потерях и отвалах – нет. Пришел к выводу, что нужен второй LTE-провайдер. При этом при переключении не должен потеряться ни один кадр и трансляция не должна отвалиться.

На помощь пришла такая связка: агрегация, она же bonding, и TCP-OpenVPN-туннель поверх этого.

• в облаке создал «сервер агрегации» – виртуалку с CLOUD HOSTED ROUTER (CHR) на базе Router OS;

• на ней поднял L2TP-сервер с включенным шифрованием IPsec;

• поверх L2TP over IPsec создал два EoIP-туннеля;

• EoIP-туннели агрегированы bonding-интерфейсом;

• вишенка на торте – TCP-шный OpenVPN-туннель.

Итоговая схема:

Вместо виртуальной машины в дата-центре в качестве R1 может выступать любая железка с достаточной производительностью. Например, тот же MikroTik серии CCR, компьютер, размещенный где угодно. Главное – позаботиться о производительности и стабильных каналах связи, использовать схемы активного резервирования (VRRP в помощь).

Поддержка OpenVPN UDP реализована только в 7-й версии RouterOS, поэтому в этой конфигурации безальтернативно используется протокол TCP.

Сейчас схема стабильно работает, но нет предела совершенству. Для надежности можно добавить еще LTE-провайдеров или проводные каналы связи, когда такая возможность появится.

Теперь расскажу подробнее о строительстве схемы. Начнем с R1 (облачного маршрутизатора) и – далее – R2 (филиального).

Вы успешно прошли все пункты и получили удаленный доступ к рабочему столу Windows на удаленном компьютере!

Какие могут быть сложности после установления соединения?

— так как в примере использовалось подключение  по протоколу OpenVPN, то следует иметь ввиду, что в системе VPNKI мы принудительно обрываем соединения OpenVPN в 00-00 по Московскому времени. Это связано не только с OpenVPN, но и со всеми другими протоколами, так как слишком много сессий VPN на нашем сервере зависает из-за нестабильности Интернета. Это означает, что удаленный Компьютер 2 потеряет соединение с сервером VPNKI в 00-00 и должен смочь переустановить это соединение автоматически.Увы, это не всегда происходит успешно, поэтому:

1. По слухам переподключение без всплывающего окна с вводом логина и пароля возможно при использовании OpenVPN как системной службы Windows, а не как программы пользователя.

2. И как второй вариант, ознакомьтесь с тем, как сказать OpenVPN о том, что необходимо использовать файл с логином и паролем. В этом случае окошко не должно появляться

(проверено — работает)

— может не хватать скорости для передачи трафика удаленного рабочего стола. Это решается путем перехода на другой тарифный план в системе VPNKI

*** Если вдруг что-то не получилось, обращайтесь на Форум

Зачем нужен VPN?

• Для удаленной работы. Например, вы работаете из дома. По VPN вы можете получить доступ к сервисам и документации своей организации, при этом соединение будет более безопасным, данные будет сложно перехватить и расшифровать.

• Чтобы объединить разные части одной компании. Офисы могут быть удалены друг от друга на любое расстояние.

• Внутри компаний – для объединения и изоляции отделов.

• При подключении к Wi-fi в кафе, метро и т.д., чтобы хакеры не могли украсть ваши данные. При пользовании публичной сетью безопасно, разве что просматривать сайты в браузере. А вот если использовать соц.сети, злоумышленник может не только перехватить вашу конфиденциальную информацию, но и использовать ее в своих целях, авторизовавшись в этой самой соц.сети от Вашего имени. Еще хуже, если ему удастся взломать почту. Тогда атаке подвергнутся все приложения, привязанные к этому почтовому ящику. Но самой неприятной может оказаться утечка данных вашей банковской карты, если вы решили перевести кому-то деньги, подключившись к бесплатному Wi-fi.

  

  

  

  

  

  

  

  

  

  

• Для получения доступа к сайтам, которые заблокированы на определенной территории. Приведем пример: Teen Spirit снимает передачу “Орёл и Решка” и продает ее двум телеканалам: российской “Пятнице” и украинскому “Интеру”. Обычно телеканалы на следующий день после выхода премьеры по телевидению, выкладывают выпуск на свой ютуб-канал, чтобы те, кто не успел посмотреть передачу по телевизору, имели возможность сделать это в интернете и, конечно же, для того, чтобы заработать дополнительно на встроенной в ютуб рекламе. На Украине выпуски выходят на день раньше, чем в России. Соответственно, “Интер” выкладывает видео на ютуб, когда по “Пятнице” передачу еще не показали. Поэтому в России в этот день запрещен доступ к этому видео.

• Для обеспечения анонимности. Нельзя вычислить, какие сайты вы посещали, каким браузером пользуетесь, где находитесь и т.д. Надобность скрыть свою геолокацию может может возникнуть в путешествиях. Например, в Турции запрещен YouTube и WhatsApp. Значит, просто так зайти в привычные соц.сети не получится, а с VPN это сделать вполне возможно.

• Чтобы в браузере оставалась история поиска, на основе которой создается таргетированная реклама

• Чтобы сэкономить, например, при покупке авиабилетов. Авиакомпании устанавливают разные цены на одни и те же билеты для покупателей из разных регионов. А VPN позволяет изменить информацию о геолокации.

Как работает VPN?

Соединение VPN – это, так называемый, “туннель” между компьютером пользователя и компьютером-сервером. Каждый узел шифрует данные до их попадания в “туннель”.

Вы подключаетесь к VPN, система идентифицирует вашу сеть и начинает аутентификацию (сравнивает введенный пароль с паролем в своей базе данных).

Далее сервер Вас авторизует, то есть предоставляет право на выполнение определенных действий: чтение почты, интернет-серфинг и т.д. После установления соединения весь трафик передается между вашим ПК и сервером в зашифрованном виде. Ваш ПК имеет IP-адрес, предоставленный интернет-провайдером. Этот IP блокирует доступ к некоторым сайтам. VPN сервер меняет ваш IP на свой. Уже с VPN-сервера все данные передаются к внешним ресурсам, которые вы запрашиваете. Теперь можно просматривать любые ресурсы и не быть отслеженным.

Однако, следует помнить, что не вся информация шифруется. У разных VPN-провайдеров могут отличаться такие характеристики как степень шифрования, сокрытие факта подключения к серверу, хранение логов (журнал, в который сохраняется информация о посещаемых сайтах, реальный IP адреси т.п.) и сотрудничество при выдаче информации третьим лицам.

Если VPN-провайдер вообще не записывает логи, то передавать третьим лицам просто нечего. А сокрытие факта подключения к серверу – уже более редкая услуга. При некорректном подключении или резком разрыве соединения может произойти утечка части данных. Решить проблему поможет технология Multihop VPN, которая предполагает соединение с сайтом сразу через несколько серверов.

Рассмотрим популярные VPN:

PPTP – Point-to-Point Tunneling Protocol

+ поддерживается всеми ОС

+ не требует много вычислительных мощностей

— плохая защищенность. Методы шифрования устарели, плохая архитектура, есть ошибки в реализации протокола от Microsoft. Нет шифрования по умолчанию, на взлом требуется менее суток.

Используется, когда защита данных не очень важна или когда нет других вариантов.

L2TP – Layer 2 Tunneling Protocol

+ более эффективен для построения виртуальных сетей

— более требователен к вычислительным ресурсам

— не предполагает шифрования по умолчанию

Работает совместно с другими протоколами, чаще всего IPSec.

Используется интернет-провайдерами и корпоративными пользователями.

IPSec – Internet Protocol Security – группа протоколов и стандартов для безопасных соединений.

+ хорошая архитектура

+ надежность алгоритмов

— сложен в настройке (следовательно, снижение защиты, если настроить неправильно)

— требует много вычислительных ресурсов

+ этот недостаток компенсируется путем аппаратного ускорения алгоритма шифрования АЕС

Часто используется совместно с другими технологиями.

SSL – Secure Sockets Layer & TLS – Transport Layer Security – группа методов, включающая в себя протоколы SSL и TLS и другие методы защиты.

+ беспрепятственно пропускаются большинством публичных сетей

— довольно низкая производительность

— сложность в настройке, необходимость установки дополнительного ПО

используется на веб-сайтах, URL которых начинается с https (там еще виден зеленый замочек)

некоторые реализации: OpenVPN, Microsoft SSTP.

+ OpenVPN имеет открытый код, реализован практически для всех платформ, считается очень надежным.

Что может пойти не так?

1         Если в журнале событий появляются сообщения типа или (как в скриншоте ниже), проверьте настройки фазы 1. Чтобы фаза 1 успешно прошла, оба устройства должны использовать один и тот же ключ Pre-Shared Key. Оба устройства должны иметь одну и туже настройку шифрования, метода аутентификации, ключей DH группы и ID. 

2         Если видно, что фаза 1 успешно завершается, но по-прежнему отображается сообщение (как в скриншоте ниже), проверьте настройки фазы 2. Чтобы фаза 2 успешно прошла, оба устройства должны использовать один и тот же протокол, инкапсуляцию, шифрование, метод аутентификации и PFS. 

3         Убедитесь, что в политиках безопасности есть разрешающие правила для трафика IPSec VPN. IKE использует порт-UDP 500, AH использует межсетевой протокол 51 и ESP использует межсетевой протокол 50.

3 ExpressVPN

Доступные приложения:

• ПК
• Mac
• IOS
• Android
• Linux

ExpressVPN – это сервис премиум-класса с надежными приложениями и высокой производительностью. Он отлично подходит для разблокировки потоковых сервисов с региональной привязкой, таких как Netflix, BBC iPlayer, Hulu и Prime Video. Все приложения для Windows, MacOS, iOS, Android, Fire TV, Linux и некоторых маршрутизаторов Wi-Fi защищены от утечек и используют самое надежное шифрование. Когда дело доходит до безопасности, ExpressVPN находится на переднем крае.

Поддерживаемые протоколы включают Lightway (собственный протокол ExpressVPN), OpenVPN, L2TP и IKEv2. Раздельное туннелирование позволяет вам выбирать, какие приложения используют VPN, а какие – прямое незашифрованное соединение.

ExpressVPN надежно обходит китайский файрволл. Вы можете подключить до пяти устройств одновременно. Поддержка в чате доступна 24/7.

Минусы:

• На более дорогой стороне
• Средняя скорость

БЕЗОПАСНЫЙ ТУННЕЛЬ:ExpressVPN – это VPN, ориентированная на конфиденциальность. Он работает с широким спектром устройств и предлагает отличный сервис. Поставляется с 30-дневной гарантией возврата денег.

Прочтите наш полный обзор ExpressVPN.

Купон ExpressVPN

Специальное предложение – получите дополнительные 3 месяца БЕСПЛАТНО

Купон применяется автоматически

Маршрутизатор R1

Сначала берем второй белый IP в дата-центре. У меня CHR находился за Edge в облаке VMware, так что обязательно пробрасываем порты на Edge UDP 1701, 500 и 4500 NAT-T – IPSec Network Address Translator Traversal. Также делаем разрешающее правило в межсетевом экране Edge.

Добавляем в таблицу firewall filter разрешающее правило доступа к маршрутизатору извне для портов UDP 1701, 500 и 4500

Если у вас белые IP непосредственно на маршрутизаторе без пробросов через Edge, галочку NAT Traversal НУЖНО СНЯТЬ!
Проверяем дефолтный IPsec-профиль:

Создаем профиль для L2TP-туннелей:

и настраиваем учетные записи:

Активируем L2TP-сервер и включаем шифрование IPsec:

Поднимаем два EoIP-туннеля поверх L2TP/IPsec-туннелей:

Обязательно указываем минимальный keepalive timeout равным 1 секунде и для каждого EoIP-туннеля указываем уникальный ID.

Настраиваем bonding и назначаем на него IP-адрес:

Тут важно заметить, что в поле mode (режим работы bonding-интерфейса) я указал broadcast, чтобы пакеты отправлялись сразу по двум тоннелям. Таким образом потеря пакета на любом из двух интерфейсов не приведет к потере пакета на bonding-интерфейсе

Остальные значения устанавливаем, как на картинке.