VPN-сервис и VPN-сервер, в чем разница?
Для начала, давайте разберемся, что такое VPN. Virtual Private Network (виртуальная частная сеть) – это зашифрованное подключение вашего устройства к ресурсам в интернете, которое позволяет сохранить конфиденциальность личной информации и обойти ограничения в сети.
Используйте его, если хотите повысить уровень безопасности данных, подключиться к корпоративной сети или, при необходимости, получить доступ к ресурсам, попавшим под локальные ограничения. Чтобы его настроить, вы можете использовать публичный VPN-сервис или создать свой личный VPN-сервер.
В чем же разница?
- VPN-сервис – это приложение, которое шифрует данные и сохраняет конфиденциальность при подключении к общедоступной сети.
- Личный VPN-сервер – это ваш собственный сервер, на котором настроен VPN. Вы самостоятельно управляете конфигурацией и количеством пользователей. Он выполняет все те же функции, что и VPN-сервис.
VPN-сервисымогут дать более высокий уровень безопасности и обеспечивают конфиденциальность данных. Но ими одновременно пользуются тысячи людей, а трафик проходит через сторонние серверы, доступ к которым пользователь не контролирует. Это может ограничивать скорость передачи данных и не предоставляет достаточный уровень безопасности для подключения к корпоративным ресурсам, авторизации в банковских приложениях и онлайн-оплаты.
вы можете создать самостоятельно и настроить под свои потребности. Это стоит сделать, если вы хотите быть уверены в безопасности своих данных, получить полный контроль над трафиком и сохранить конфиденциальность в сети.
Основные фичи:
- Доступ к личному VPN-серверу есть только у вас или у пользователей, которым вы сами его предоставили, вам не нужно его ни с кем делить, как при использовании VPN-сервиса. Это снижает риск перехвата трафика и позволяет сохранить частную информацию.
- Вы сами создаете VPN-сервер, поэтому не нужно делить пропускную способность с другими пользователями, сохраняется максимальная скорость соединения.
- Вы можете самостоятельно настраивать под свои потребности и контролировать конфигурации VPN-сервера.
Как создать VPN-сервер
Сначала нужно зайти к любому провайдеру облачной инфраструктуры и развернуть виртуальный сервер (VPS/VDS), затем настроить его под VPN по любой инструкции из интернета. Некоторые провайдеры предоставляют услугу развертывания готового VPN-сервера, чтобы экономить время пользователей на настройке.
Вот некоторые облачные провайдеры, у которых можете заказать сервер и настроить VPN самостоятельно: Serverspace, DigitalOcean, AWS, Vultr, Linode, или любые другие поставщики инфраструктуры, которых можно нагуглить.
Как раз, в Serverspace можно создать сервер с предустановленным ПО SoftEther VPN, не нужно ничего настраивать.
Достаточно выбрать локацию и нажать кнопку «Создать». Машинка тарифицируется каждые 10 минут, удобно платить только за время ее существования.
Дальше вы получите креды для подключения к VPN и инструкцию по подключению.
* SoftEther – программное обеспечение VPN-клиента и сервера VPN с открытым исходным кодом.
Чем отличается личный vpn от конфигурации
Для управления маршрутизацией определенного сетевого трафика можно настроить VPN.
Виртуальная частная сеть (VPN) — это сервис, который может шифровать и перенаправлять определенный сетевой трафик с устройства таким образом, чтобы Ваш IP‑адрес был скрыт от сайтов и сервисов, которые Вы просматриваете и с которыми взаимодействуете. Даже когда VPN включен, часть трафика, необходимая для основных системных служб, проходит вне VPN, чтобы устройство работало корректно.
Вы можете загрузить любую конфигурацию VPN из App Store и установить ее на устройстве. Организации, например работодатели или учебные заведения, также могут настраивать конфигурации VPN на устройствах, которыми они управляют, в том числе на Apple Watch и Apple TV. VPN также можно добавить вручную. Для этого на устройствах iOS или iPadOS откройте «Настройки» > «Основные» > «VPN и управление устройством» > «VPN», затем коснитесь «Добавить конфигурацию VPN…» и введите необходимую информацию. На Mac откройте «Системные настройки» > «Сеть», нажмите кнопку с тремя точками, затем выберите «Добавить конфигурацию VPN» и введите необходимую информацию.
Всегда пользуйтесь только теми VPN‑сервисами, которым Вы доверяете. Когда Вы установите и включите конфигурацию VPN, Ваш VPN‑провайдер сможет просматривать, перехватывать и изменять информацию о Ваших действиях в интернете. Рекомендуем изучить политику конфиденциальности и практики работы с данными Вашего VPN‑провайдера, чтобы узнать, как этот сервис собирает и использует Ваши данные. Когда Вы пользуетесь сторонними приложениями или просматриваете сайты, не управляемые Apple, компания Apple не собирает данные об использовании VPN‑сервиса на Вашем устройстве, на основе которых можно было бы установить Вашу личность.
VPN-провайдеры контролируют работу Вашей конфигурации VPN, в том числе могут перенаправлять трафик, покидающий Ваше устройство, а также принимать решения о шифровании этого трафика и предоставлении данных сайтам, на которые Вы переходите.
Если конфигурация VPN установлена и активирована на устройстве, где включен Частный узел iCloud, определять маршрутизацию интернет-соединений будет конфигурация VPN. В противном случае они были бы под защитой Частного узла.
Через включенный VPN направляется не весь сетевой трафик устройства. Если разработчик приложения указывает необходимый тип подключения для своего приложения (например, только по сотовой сети), сетевой трафик от этого приложения исключается из активных конфигураций VPN. На устройствах iOS и iPadOS провайдер VPN может отменить эту настройку и запретить большинству приложений, сервисов и системных функций перенаправлять сетевой трафик вне активной конфигурации VPN.
Некоторый трафик, необходимый для работы основных системных служб, не направляется через включенную конфигурацию VPN. К такому трафику относятся прямые подключения к маршрутизаторам локальной сети (они необходимы для установления и поддержания сетевого подключения) и определенные сотовые службы, работающие только внутри сотовых сетей (к ним может относиться Визуальный автоответчик, если он доступен).
Дата публикации: 18 сентября 2023 г.
Собственный VPN-сервер
Персональный VPN сервер пригодится всем, независимо от того, где вы предпочитаете работать — дома, в офисе или в дороге. Если вы работаете дома или в офисе, то собственный VPN нужен, если необходимо скрыть свой или же получить доступ к заблокированным вашим провайдером ресурсам (есть вероятность, что через VPN к ним можно будет достучаться). Если же вы привыкли работать в дороге, то использование незащищенных (отель, кафе, аэропорт) довольно опасно — ваши данные могут быть украдены, в том числе и финансовая информация, если вы совершаете покупки онлайн. При использовании VPN сервера весь ваш трафик будет проходить через него в зашифрованном виде, что исключает его перехват по крайней мере на отрезке «провайдер -> VPN».
Почему бы не оплатить VPN сервис или не использовать бесплатный VPN? Если VPN нужен только для смены и безопасность не нужна (то есть вас не беспокоит, что ваши данные могут быть украдены), то можно использовать бесплатные . Если же вас беспокоит безопасность ваших данных, то лучше доплатить немного денег и получить свой VPN сервер, который будет подконтролен только вам, и вы точно будете знать, что он не сохраняет передаваемую вами информацию и не направляет ее третьим лицам. Все элементарно: можно быть уверенным только в том, что мы сами контролируем.
Стоимость
Любой человек, кто хоть раз задумывался о том, как создать собственный VPN сервер, пытался найти информацию о расходах на эту процедуру. Ясно, что отдельный виртуальный сервер будет стоить дороже, чем оплата безлимитного сервиса (без ограничения трафика), но все равно цена будет доступной. Учитывая, если клиентов будет немного (например, вы и еще несколько человек), то хватит минимальной конфигурации (2 ядра, 3 Гб оперативной памяти, на 20 Гб), которая на платформе xelent.cloud обойдется всего в 1265 рублей в месяц. Для предприятия — это вообще ничего. Для отдельно взятого человека, который будет платить свои кровные, тоже немного, учитывая, что, если сервером будут пользоваться несколько человек и эта сумма будет разделена поровну.
Не нужно заказывать для собственного VPN сервера огромный диск (при желании всегда объем диска можно увеличить), не нужны большие объемы оперативки При небольшом количестве клиентов вполне хватит конфигурации, изображенной на рис. 1. Такая конфигурация обойдется как раз в 1265 рублей.
Рис. 1. Минимальная конфигурация сервера для VPN
Установка необходимого программного обеспечения
Перед тем, как создать собственный VPN сервер, вам надо будет выбрать ОС и установить нужные для этого процесса программы. Далее описана настройка виртуальной частой сети на базе Ubuntu 16.04, поэтому при заказе серверного компьютера на xelent.cloud нужно выбрать именно эту операционную систему. Создание вручную — задача хоть и не очень сложная, но требует определенного времени, так что запасайтесь терпением.
Первым делом нужно установить необходимое программное обеспечение:
sudo install openvpn
Мы устанавливаем два пакета. Первый — это сам OpenVPN, а второй — — пакет, позволяющий построить собственный сервер сертификации.
Настройка центра сертификации
OpenVPN использует TLS/SSL, поэтому нам нужны сертификаты для шифрования трафика между серверным компьютером и клиентом. Чтобы не покупать сертификаты, мы создадим собственный центр сертификации.
Скопируем шаблонную директорию в нашу домашнюю директорию с помощью команды :
Откройте файл vars (файловый менеджер уже установлен по умолчанию, если вы используете виртуальные машины от xelent.cloud):
Вместо редактора mcedit можете использовать тот, который вам больше нравится. В конце файла будут описаны переменные, используемые при создании сертификатов. Установите свои значения, например:
Также найдите и отредактируйте переменную KEY_NAME:
e xport KEY_NAME=»server»
Для простоты можно использовать просто «server» (или любую другую строку, но запомните, какую именно). Если вы будете использовать название, отличное от «server», тогда вам придется изменить некоторые команды, в которых встречается это название. Теперь можно приступить к созданию центра сертификации:
cd ~/
source vars
Вывод будет примерно таким:
NOTE: If you run./ , I will be doing a rm -rf on /home/den/ /keys
После этого введите команды:
Первая команда выполнит очистку имеющихся ключей, а вторая начнет процесс создания ключа и сертификата корневого центра сертификации. Поскольку все значения уже указаны в файле vars, вам нужно будет только нажимать Enter для подтверждения выбора. Теперь у нас есть собственный центр сертификации, который мы будем использовать для создания сертификата, ключа и файлов шифрования для сервера.
Создание сертификата и ключа для сервера
Для создания ключей для своего введите команду:
Процесс создания ключей очень прост — нажимайте Enter в ответ на предлагаемые значения. Значение challenge password задавать не нужно. В конце процесса нужно два раза ввести y — для подписи и для подтверждения создания сертификата:
Certificate is to be certified until Jan 22 19:24:16 2028 GMT (3650 days) Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Осталось досоздать остальные файлы:
./
openvpn -genkey -secret keys/ta.key
Первая команда создает ключи протокола , вторая — генерирует подпись HMAC. В зависимости от расторопности вашего сервера, эти команды могут работать несколько минут каждая.
Какая реализация технологии VPN лучше?
В настоящее время существует множеством вариантов реализаций технологии VPN, с определенными преимуществами и недостатками. Мы поможем вам в них разобраться!
VPN в любом случае должен выполнять следующие задачи:
- Маркировка узлов виртуальной сети и корректная адресация пакетов для конкретных клиентов
- Шифрование передаваемой информации должно быть максимально эффективным, экономичным с точки зрения ресурсов и конфиденциальным. Шифрование должно выполняться синхронно поступлению данных.
- Полное исключение передачи данных в открытом виде
- Аутентификация участников при подключении к сети и анализ источников информации. Это обязательное условие защиты сети от несанкционированных данных.
Перечисленные задачи выполняются различными VPN при помощи разных протоколов и инструментов, и конкретный результат от применения выбранных методов является основным критерием оценки вашего варианта реализации Virtual Private Network. Также важным критерием служат показатели безопасности, скорости, стабильности работы виртуальной частной сети, кроссплатформенность и простота конфигурации.
Проанализируем наиболее востребованные технологии реализации VPN:
PPTP (Point-to-Point tunneling protocol)
IPSec (IP Security)
L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec
SSTP (Secure Socket Tunneling Protocol)
OpenVPN
PPTP (Point-to-Point tunneling protocol)
PPTP(Point-to-Point Tunneling Protocol) был основан и опубликован Microsoft в 1999-м году, но и сегодня является довольно популярным решением. Для соединения в нем используется TCP, для шифрования — протокол MPPE (также создано Microsoft). Аутентификация клиентов чаще всего выполняется механизмом MS-CHAPv2.
Широкое распространение PPTP VPN обусловлено простой настройкой и кроссплатформенностью (поддержка данного VPN по умолчанию включена в большинство современных операционных систем, в том числе мобильные и роутерные). Также преимуществами PPTP является стабильность, сокращенная нагрузка на вычислительные ресурсы и высокая скорость работы.
Недостатком PPTP VPN является низкая безопасность. В настоящее время в нем обнаружено множество уязвимостей, касающихся устройства протокола MMPE (напр., изменение исходящего потока RC4), элемента аутентификации MS-CHAP (в 2012 году был выпущен онлайн-сервис, подбирающий MS-CHAPv2 ключ за 23 часа). Вторая проблема решается сменой механизма аутентификации с MS-CHAP на PEAP, однако компания Microsoft рекомендует использовать L2TP или SSTP.
IPSec (IP Security)
IPsec (IP Security) — это группа протоколов, предназначенных для обеспечения конфиденциальности передаваемой через IP-сети информации, при помощи аудита подлинности и целостности и шифрования передаваемых данных. IPsec рассчитан на работу в транспортном и туннельном режимах. Транспортный режим предполагает шифрование только данных передаваемого пакета, при сохранении исходного заголовка; в туннельном режиме шифруется и инкапсулируется в поле данных нового IP-пакета вся передаваемая информация. Транспортный режим IPsec применительно к созданию VPN-сетей также применяется совместно с другими реализациями (обычно L2TP), а вот туннельный сам по себе может использоваться в качестве метода создания VPN-туннеля.
Шифрование соединения IPsec реализуется такими средствами:
IKE (Internet Key Exchange Protocol)
ISAKMP (Internet Security Association and Key Management Protocol)
AH (Authentication Header Protocol)
STS (Station-to-Station protocol)
HMAC (Hash Message Authentication Code)
MD5 (Message Digest 5)
3DES (Triple Data Encryption Standart)
AES (Advanced Encryption Standart)
XAUTH (Extended Authentication)
ESP (Encapsulating Security Payload Protocol)
SHA-1 (Security Hash Algorithm)
В полном мере назвать IPsec VPN все-таки нельзя, так как он не создает в системе дополнительный виртуальный сетевой адаптер, а использует стандартный внешний интерфейс. Это не реализация технологии виртуальных частных сетей, а средство защиты от подмены передаваемых IP-пакетов. Развертывание же виртуальных туннелей – уже второстепенное свойство.
Поддержка IPsec доступна на всех современных операционных системах (серверных, настольных, мобильных) а также на многих роутерах. Настройка VPN на роутерах не требует дополнительных действий на клиентах, находящихся за этими роутерами.
Все эти преимущества делают IPsec одним из лучших вариантов для применения в сетях VPN.
Однако, у IPsec есть и недостатки. Работа в транспортном режиме IPsec может сопровождаться атакам, направленным на протокол ISAKMP. А при работе IPsec без заголовков AH атакующий может выполнить инъекцию собственных данных в передаваемые пакеты. Возможны атаки, при которых подменяется маршрут передачи пакетов (характерно для транспортного режима IPSec). Также известен новый эксплойт, позволяющий расшифровать IPsec-трафик посредством уязвимости в IKE.
L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec
L2TP(Layer 2 Tunneling Protocol) представляет собой протокол туннелирования для виртуальных частных сетей. Это симбиоз протокола L2F (Layer 2 Forwarding) производства Cisco и PPTP (см.выше). Предназначен для создания VPN-сети с разграничением прав доступа, однако не шифрует трафик. Этот протокол обеспечивает конфиденциальность и целостность L2TP-пакетов внутри туннеля, одновременно требуя обеспечения шифрования и аутентификации на пакетном уровне для всего проходящего трафика. Для этого подходит IPsec.
Совместное использование L2TP/IPsec востребовано в современных ОС, при этом настройка его аналогична PPTP. Усложнить конфигурацию может L2TP, а также UDP-порт 500, изредка блокируемый в случае вашего нахождения за NAT. Чтобы предупредить такие проблемы, используйте дополнительную настройку firewall или роутера (переадресацию портов), которая не требуется для решений, использующих стандартный для HTTPS порт TCP 443.
В настоящее время LT2P/IPsec является достаточно безопасным вариантом при таких алгоритмах шифрования, как AES. Однако двойное инкапсулирование данных приводит к замедлению реализаций, использующих SSL (напр., OpenVPN или SSTP).
Стабильность работы L2TP/IPsec – очень высока.
Возможным недостатком LT2P/IPsec является повышенное использование ресурсов CPU для обеспечения двойного инкапсулирования.
SSTP (Secure Socket Tunneling Protocol)
SSTP (Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – также разработано Microsoft и опубликовано одновременно с выходом Windows Vista. В качестве SSTP-сервера может использоваться уже не только Windows Server 2008/2012, но и машина под управлением Linux или RouterOS (правда, это не самый функциональный вариант). Поддержка SSL v.3, SSTP делает возможной работу без конфигурации маршрутизатора/межсетевого экрана, а за счет интегрированности в Windows упрощена настройка и стабилизирована работа. Для шифрования применяется стойкий AES (до 256 бит шифрование с сертификатами до 2048-бит).
SSTP – оптимальное решение именно для Windows-сетей по всем критериям.
OpenVPN
OpenVPN – был представлен в 2002 году, однако на сегодняшний день данная open-source реализация VPN набирает все большую популярность. Безопасность разворачиваемых туннелей обеспечивает библиотека OpenSSL , предоставляющая большой выбор открытых инструментов шифрования (Blowfish, AES, Camelia, 3DES, CAST и т.д.). Скорость работы OpenVPN напрямую зависит от выбранного алгоритма, и по сравнению с L2TP/IPsec она быстрей и экономичней.
Преимуществом OpenVPN также является возможность прохождения через NAT и Firewall без их дополнительной конфигурации по стандартному для HTTPS порту TCP 443 за счет SSL/TLS-инкапсуляции. Также возможна и работа по протоколу UDP –установленному в конфигурации по умолчанию. ТCP гарантирует высокую надёжность передачи данных, однако характеризуется большими задержками по сравнению с UDP, гораздо более быстрым за счёт отсутствия подтверждения доставки пакетов.
Сжатие данных в OpenVPN осуществляется инструментом LZO.
Широкие возможности конфигурации, дополнительные возможности безопасности частной сети и поддержка большинством ОС обуславливает растущую популярность OpenVPN. Гибкость OpenVPN в некоторых ситуациях может обернуться более утомительной конфигурацией, по сравнению с другими вариантами, что, впрочем, решается подготовкой преднастроенных установочных клиентских пакетов или использованием OpenVPN Remote Access Server. Так что необходимость установки стороннего ПО есть.
Выводы
Конечно, выбор оптимальной реализации VPN зависит от конкретных задач. Однако общие выводы следующие:
PPTP — стабильный и простой в использовании, однако достаточно уязвимый с точки зрения безопасности. Неплохой выбор при минимальных требованиях к конфиденциальности туннеля, альтернатива IPsec или L2TP+IPsec (которые в тех же условиях предоставляют больше возможностей: кроссплатформенность, порог вхождения в конфигурацию для администратора, более высокий уровень безопасности).
IPsec располагает большим количеством алгоритмов шифрования и аутентификации для VPN, несмотря на то что является стеком протоколов для защиты IP-пакетов при их передаче. IPsec идеален для развертывания VPN, безопасность которых особенно актуальна. Для таких задач IPsec лучше использовать в связке с L2TP. В плане возможностей IPsec – один из лучших вариантов для VPN.
L2TP в связке с IPsec также оптимален и в плане безопасности, и в плане совместимости с популярными ОС. Недостатки: возможная необходимость в дополнительной настройке роутера/firewall на разрешение используемых LT2P/IPsec портов (UDP 1701, UDP 4500, UDP 500), а также двойная инкапсуляция, замедляющая работу туннеля.
Протокол SSTP отличается удобством конфигурации, стабильностью и безопасностью, но привязан только к системам Microsoft. На других ОС SSTP на порядок менее функционален.
OpenVPN по многим параметрам сбалансирован идеально.
Скорость: за счет сжатия LZO и опции работы по протоколу UDP
Стабильность: особенно при работе через TCP
Гибкость конфигурации: доступны дополнительные опции, например, балансировка нагрузки, различные типы аутентификации
Кроссплатформенность: наличие клиентских приложений для большинства современных ОС, в т.ч. мобильных
Безопасность: благодаря работе со всеми инструментами библиотеки openssl
Однако даже первичная конфигурация OpenVPN может оказаться сложнее, по сравнению другими реализациями. Проблему возможно компенсировать за счет: быстрого развертывания сервера виртуальной частной сети из стандартной конфигурации; OpenVPN Remote Access Server для создания VPN «из коробки»; возможности сервера передавать большой список параметров подключения клиентам без их указания в клиентской конфигурации вручную.
Самостоятельная настройка VPN на физическом или виртуальном сервере (VPS/VDS) является наиболее надежным и гибким решением. Отличным вариантом является создание виртуальной частной сети OpenVPN по одном из тарифов нашей компании (Windows, Linux), используя облачный VPS/VDS сервер.
Не нашли ответа на Ваш вопрос? Напишите нам!
sales@cloudlite.ru — вопросы по услугам, оплате, документам и партнерству